Microsoft 100.000 keer per maand aangevallen
Niet alleen Windows gebruikers, ook Microsoft zelf wordt met grote regelmaat aangevallen. De reus uit Remond krijgt elke maand meer dan 100.000 aanvallen te verduren. Van de 10 miljoen e-mailberichten die het dagelijks ontvangt, is 90% spam of geinfecteerd met virussen. Het netwerk van Microsoft is met zijn broncodes, software en andere informatie een geliefd doelwit voor aanvallers. Toch moeten werknemers van de softwaregigant die thuiswerken of onderweg zijn wel bij het netwerk kunnen.
Microsoft gebruikt daarvoor verschillende lagen. De eerste laag die Microsoft's VPN moet beschermen is twee-factor authenticatie. Na een incident in 2000, waarbij hackers via een gestolen gebruikersnaam en wachtwoord op het netwerk konden inloggen, is het bedrijf overgestapt op PKI en hebben alle werknemers en contractors een smartcard gekregen.
De tweede laag is een sandbox die via Windows Server 2003’s Network Access Quarantine Control wordt beheerd. Voordat een computer verbinding met het netwerk vermaakt, wordt de machine eerst gecontroleerd of alle beveiligingsupdates, firewall en virusscanner wel zijn geinstalleerd. Ook mag de machine niet met een ander VPN zijn verbonden. Nadeel is wel dat het inloggen via VPN hierdoor soms meer dan 5 minuten duurt.
De softwaregigant volgt haar eigen aanbevelingen voor VPN encryptie, authenticatie, wachtwoord sterkte en wachtwoord updates. Volgens Microsoft wordt de meest veilige VPN authenticatie geboden door Extensible Authentication Protocol-Transport Level Security (EAP-TLS) in combinatie met smartcards. Point-to-Point Tunneling Protocol (PPTP) met EAP-TLS zijn dan ook de primaire VPN services voor encapsulatie en encryptie. Dit artikel beschrijft verder hoe Microsoft haar e-mail en IM beveiligt.
nemen van maatregelen om nutteloze hackersbombardementen tegen
te houden.
Men beseffe dat zulke maatregelen door bedrijven en consumenten
wereldwijd om deze redenen worden toegepast en dat dat geld kost.
Hoeveel dat alles bij elkaar is? Geen idee, maar heel veel.
Wie betaalt het gelag? Alle consumenten.
niet als spam of virusdragend zijn getagged. Zou de
directie alle medewerkers op de full-disclosure en bugtraq
maillijsten hebben ingeschreven? ;)
Overigens vind ik "more than 100,000 intrusion attempts per
month" zonder "intrusion attempt" te definieeren zo vaag dat
je hem niet zo moeten noemen.
Daarentegen is de rest van het computerworld artikel
wel interessant, maar laat m.i. de security.nl
redactie in bovenstaan artikel (dat natuurlijk wel veel
korter is) essentieele punten weg, dus neem ik de vrijheid
om e.e.a. aan te vullen, en te vertalen voor diegenen die
het Engels niet zo goed beheersen.
Zo kiest Microsoft naar verluid vooralsnog niet voor
biometrische identificatie maar voor smartcards. Een ander
punt is dat bij ongunstige weersomstandigheden (sneeuwstorm
bijv.) vooral veel medewerkers overgaan op
thuiswerken. Het computerworld arikel vemeldt dat het zelfs
tot 15 minuten kan duren voordat de inloggende computer
"schoon genoeg" is bevonden om toegang te krijgen tot het
netwerk. Dit blijkt dus een enorm probleem te zijn, waardoor
Microsoft -noodgedwongen- allerlei bypasses voor hun
dichtgetimmerde VPN's is gaan bedenken. Dat klinkt eng in
mijn security oren.
Bijvoorbeeld "the Microsoft VPN system speeds up the log-in
process for frequent VPN users", oftewel als je vaak genoeg
inlogt gaan de veiligheidseisen naar beneden (alsof Windows
PC's geleidelijk aan gekraakt worden en niet van het ene
moment op het andere).
De toegang tot de Exchange servers bij Microsoft bleek veel
te traag (email, maar natuurlijk ook zaken als agenda beheer
etc. vanuit Outlook). Daarom kunnen Exchange proxies bereikt
worden via RPC over HTTP via SSL verbindingen. We hebben al
eerder lekken in RPC gezien, daarom raadt Microsoft
zelf aan om bijv. poort 135 (1) naar het Internet
dicht te zetten. Omdat men toch RPC nodig heeft van
buitenaf gaat men vervolgens RPC via poort 80 of 443
tunnelen? Vanaf een PC die niet volledig is
geinspecteerd omdat dit te lang duurt?
Waarom heb ik een vermoeden dat een systeem als Vista (ik
meen 2GB op je harde schijf) inspecteren langer duurt dan
vorige versies van Windows? Hoeveel langer zal Vista SP1 dit
maken?
Een vergelijkbare oplossing als bij Exchange is voor IM
gekozen: Microsoft Office Communicator 2005. "That product
can work securely over the Internet without a VPN
connection, using a proxy".
PC's van thuisgebruikers die voor andere zaken dan werk
worden gebruikt en door de gebuiker(s) zelf worden "beheerd"
zijn per definitie onbetrouwbaar. Ik schat dat men zich op
het interne netwerk enorme inspanningen zal moeten
getroosten om te voorkomen dat dergelijke dozen toegang
krijgen tot (te) kritische informatie, en dit alles omdat de
(waarschijnlijk) beste oplossing vanuit security oogpunt in
de praktijk onwerkbaar bleek.
(1) Fraai overzicht van typische MS Windows poorten:
http://www.iss.net/security_center/advice/Exploits/Ports/groups/Microsoft/default.htm
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
