Nieuws

Het placebo-effect van slechte security

dinsdag 7 september 2010, 11:10 door Redactie, 7 reacties

Slechte beveiligingsproducten kunnen gebruikers laten geloven dat ze werken, toch is men op de lange termijn altijd duurder uit, zo waarschuwt beveiligingsonderzoeker Robert 'Rsnake' Hansen. Daarnaast zorgt slechte security ervoor dat men nog altijd het risico loopt om gehackt te worden. Interessant genoeg kan van zelfs de meest waardeloze security tools worden bewezen dat ze "werken" door naar de cijfers te kijken.

Hansen schetst een scenario van twee banken, bankA en bankB. De aanbieder van snakeoil security gaat naar BankA en overtuigt de bank om zijn product te gebruiken. BankA denkt dat het met een toename van fraude heeft te maken, net als de andere banken, en gaat akkoord met een proefperiode. Aanvallers kijken naar de nieuwe beveiliging van BankA en besluiten om die niet te omzeilen, maar voeren twee keer zoveel aanvallen uit op BankB.

BankA ziet opeens een afname van fraude, wat de bank laat denken dat de snakeoil security werkt. De leverancier mag de bank vervolgens als 'case' gebruiken, die daarmee naar BankB gaat. BankB ziet sinds enige tijd een verdubbeling van de fraude (de eigen fraude en die van BankA) en win hier iets aan doen. De leverancier van de snakeoil security vertelt dat BankA sinds de introductie van de producten minder fraude heeft, waarop BankB de producten ook implementeert.

Snakeoil
De aanvaller moet op dit moment wel de snakeoil security proberen te kraken, anders kan hij stoppen. Binnen een paar uur is de waardeloze snakeoil security gekraakt en kan de aanvaller zijn aanvallen weer over beide banken verdelen. BankA ziet weer een toename van fraude, net als voorheen, maar kan dat niet in verband met de snakeoil security brengen. BankB ziet na installatie van de snakeoil security een afname, waardoor het product twee keer lijkt te werken door alleen naar de cijfers te kijken. Gebruikers zijn in dit geval niet beter af en lopen mogelijk zelfs meer risico.

Het netto effect is dat de banken nu geld spenderen aan een product dat niets doet, maar waar van de banken denken dat het ze tegen fraude beschermt. Ze hebben tenslotte de cijfers om het te bevestigen. Nu is er echter minder geld om aan echte security-oplossingen te spenderen.

Concurrentie
Hansen haalt ook de 'beer in het bos' analogie aan. Het gaat er niet om dat je sneller dan de beer rent, je hoeft alleen sneller dan de man naast je te rennen. "Hoewel het een grappig verhaal is, werkt het alleen als er twee mensen zijn en je één beer tegenkomt." In een echt ecosysteem zijn er veel verschillende mensen in dezelfde bedrijfstak actief en zijn er ook veel aanvallers. "Als je je concurrenten te grazen laat nemen, lijkt dat misschien goed voor je op de korte termijn, maar in werkelijkheid voer je de aanvallers."

Uiteindelijk blijft zo het ecosysteem van de aanvaller bloeien, terwijl de hoeveelheid fraude wereldwijd niet afneemt. "Als je echt je eigen probleem wilt oplossen, moet je je concurrenten helpen." Wie in de beer-analogie de man achter hem aan de beer voert, zorgt ervoor dat het dier eventjes tevreden is. "Maar als de beer weer honger heeft, achter wie gaat hij dan aan?" Volgens Hansen hebben in dit geval mensen die samenwerken meer kans om de beer af te schrikken dan degenen die alleen doorlopen.

Chief Security Officer
"Als je een onervaren CSO bent, wil je snel scoren, dus raad maar voor welke optie je kiest?" Bij veel bedrijven zijn CSO's slechts een paar jaar actief, waardoor belangrijke maatregelen niet worden doorgevoerd. "Ze willen aan de slag, flink scoren en weer vertrekken voordat er iets stuk gaat of ze gehackt worden", zegt de beveiligingsonderzoeker

Hansen merkt op dat de CSO weinig motivatie heeft om problemen echt op te lossen of flink te scoren. Die pogingen zijn te risicovol en ze willen hun naam ook niet met een fiasco associëren. "Ze zijn beter af door zo weinig mogelijk te doen, met een paar kleine overwinningen die ze op hun C.V. kunnen zetten." Dit soort CSO's zijn volgens Hansen eenvoudig te herkennen aan hoe lang ze ergens hebben gezeten en wat ze hebben bereikt.

Sony stopt PS3-jailbreak met firmware update

TechCrunch besmet bezoekers weer met malware

Reacties (7)

07-09-2010, 11:18 door Anoniem

Dat scenario is nogal onduidelijk, kan er niet wat meer uitleg bij waarom aanvallers een bank met slechte beveiliging met rust laten? Ik neem aan dat het te maken heeft met dat ze die beveiliging nog niet kennen, maar dat mag wel wat explicieter naar voren komen. Daarnaast vraag ik me af hoe dit werkt als je meer dan twee banken hebt?

Piet

07-09-2010, 12:00 door Bitwiper

@Piet: ik vermoed dat e.e.a. vergelijkbaar is met knipperende LEDjes in auto's.

Toen weinig auto's een knipperend LEDje hadden dachten autodieven (misschien niet alle, maar wel een deel) nog dat het wel om een serieus diefstalalarm zou gaan, en stalen de auto van de buurman. Nu alle auto's knipperende LEDjes hebben werkt dat niet meer.

De winnaar van dit systeem is de fabrikant van knipperende LEDjes ;)

07-09-2010, 13:48 door SirDice

Aanvallers kijken naar de nieuwe beveiliging van BankA en besluiten om die niet te omzeilen, maar voeren twee keer zoveel aanvallen uit op BankB.

Beter bekend als "low hanging fruit".

07-09-2010, 15:58 door Anoniem

"Aanvallers kijken naar de nieuwe beveiliging van BankA en besluiten om die niet te omzeilen, maar voeren twee keer zoveel aanvallen uit op BankB."

Waarom zouden die aanvallers zich laten afschrikken door placebo-security ? Zijn ze niet capabel genoeg om te weten of het produkt hen al dan niet buiten kan houden ? De pretentie dat ze naar de concurrent rennen is een veronderstelling - niets meer, en niets minder.

PS: Een matige security oplossing kan voor aanvallers erg interessant zijn. Denk er bijvoorbeeld aan wat je als aanvaller kan doen wanneer je een IDS of DLP oplossen kan overnemen, doordat de beveiligingsoplossing zelf niet goed beveiligd is, waarna de aanvaller het netwerk kan sniffen / monitoren.

07-09-2010, 17:25 door waarom_

Door Anoniem: "Waarom zouden die aanvallers zich laten afschrikken door placebo-security ? Zijn ze niet capabel genoeg om te weten of het produkt hen al dan niet buiten kan houden ? De pretentie dat ze naar de concurrent rennen is een veronderstelling - niets meer, en niets minder.

Omdat het miscchien minder werkt kost op die manier. Als het een target attack is, oftewel men moet en zal bij jouw inbreken gaat dat lukken. Maar waarom moeite doen als bij je buurman de voordeur openstaat.

Dat is wat er bedoeld wordt. Volgens mij gaat dit hele verhaal alleen maar over toevalligheden en niet echt over targetted attacks. Daar helpt een halfbakken beveiligings pakketje niet tegen.

07-09-2010, 17:53 door ej__

Beetje erg gezocht scenario, en bij mijn weten eigenlijk onmogelijk bij nederlandse banken. Het is niet 1 persoon die over dit soort zaken beslist... En zeker niet een cso.

07-09-2010, 18:10 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer