image

Exclusief: Security.nl interviewt Snort-ontwikkelaar

maandag 23 mei 2011, 10:19 door Redactie, 13 reacties

Security.nl had afgelopen vrijdag een persoonlijk en exclusief interview met Martin Roesch, ontwikkelaar van het populaire IDS/IPS Snort. Naast het beantwoorden van vragen die door lezers van Security.nl waren ingestuurd, ging Roesch ook in op de situatie rondom Sony. De Japanse elektronicafabrikant kan nog wel wat van Microsoft leren als het gaat om beveiliging en het online houden van een gaming-netwerk, aldus de Snort-bedenker. "Je vraagt je af wat ze dachten. De problemen met deze grote ondernemingen die deze grote services uitrollen, is dat ze op 'security through obscurity' vertrouwen. Wat tot op grote hoogte ook het geval bij Sony was. Als dat faalt en je niets anders achter de hand hebt, dan moet je niet vreemd staan opkijken als je wordt opgeblazen. Dat is een triest gegeven in dit geval, maar wat mij intrigeert is hoeveel Sony's er nog meer zijn, die compleet onwetend zijn of iets veilig is."

Volgens Roesch, die het beveiligingsbedrijf Sourcefire oprichtte, hebben veel bedrijven haast met het uitrollen van diensten en denken ze dat beveiliging wel later komt. "Ik denk dat er veel bedrijven met een verrotte infrastructuur zijn." Zo had Sony niet eens een Chief Security Officer. "Ik vraag me dan ook af wat voor security operations team ze hadden, als dat al aanwezig was."

Roesch verwijst naar een artikel waarin stond dat PSN niet meer te maken was en dat Sony opnieuw moest beginnen. "Dat zal kostbaar zijn en niet te vergeten de klanten die in een PS3 hebben geïnvesteerd. Zullen die klanten Sony vergeven? Zullen ze ooit weer voor een PlayStation kiezen als er ook een Xbox 360 met bijna allemaal dezelfde games is? Je kan zeggen wat je wil over Microsoft, maar ze snappen beveiliging. Ze hebben nog steeds veel lekken, maar ze schrijven veel software en hebben een proces, volgen het proces en denken erover na."

Imagoschade
Zeker met consumentenproducten kunnen bedrijven als Sony met dit soort incidenten consumenten voor langere tijd kwijtraken. Volgens Roesch is het belangrijk dat bedrijven meer inzicht in hun eigen netwerkomgeving hebben en anders krijgen. Zeker voor plekken waar veel klantgegevens zijn opgeslagen. "Dat maakt me gek. We hebben grote klanten die alleen onze rulesets draaien, maar ze gebruiken niet de flexibiliteit van Snort. En er is zoveel meer dat je met deze technologie kan doen."

Communiceren
Wat betreft het delen van de informatie over de aanval, zodat ook andere bedrijven zich hier tegen kunnen beschermen, is volgens Roesch eerder te pijnlijk voor Sony dan dat het om te gevoelige gegevens gaat. "Ik kan me voorstellen dat ze zo weinig als mogelijk over de interne werking van hun netwerk willen prijsgeven, uit angst voor nieuwe aanvallen. Ik denk dat ze in die mode zitten."

"Als ze een fundamenteel veilig netwerk hadden gebouwd, hadden ze erover kunnen praten. Omdat ze dat niet deden, willen ze er niet over praten. En het jammere is dat zoveel bedrijven niet praten. Eén van de problemen als verdediger is dat niemand iets deelt. Mensen delen geen informatie over wat er in hun omgeving plaatsvindt. Daar heeft de aanvaller baat bij." Het is hetzelfde als de Maffia die iedereen in een dorp afperst, maar niemand spreekt erover of komt bij elkaar om het aan te pakken. "Als we samenwerken kunnen we beter weerstand tegen deze dreigingen bieden. Maar feit is dat we niet effectief communiceren, we geen gegevens effectief delen." De verdediger heeft juist baat bij communicatie, merkt Roesch op. "Omdat we niet communiceren, zitten we allemaal te wachten om te worden gehackt. We kunnen onszelf erg goed helpen door te gaan communiceren."

Sony verliest nu miljoenen dollars, terwijl het voor een fractie van die kosten zich had kunnen beschermen. "En dat is de vraag die bedrijven zich moeten stellen. Ze denken dat het hen nooit overkomt, maar toch overkomt het ze. En de percentages dat het gebeurt zijn hoog. Einstein zei het, wat is definitie van gestoordheid: steeds hetzelfde herhalen en andere uitkomsten verwachten. We zien dat steeds dezelfde fouten worden gemaakt."

Niet alleen zijn er onvoldoende gekwalificeerde IT security professionals, volgens Roesch zijn ook de platformen waarop we bouwen inherent onveilig. "8086 is geen veilige architectuur. We hebben een hoop problemen op te lossen."

De vragen die lezers van Security.nl aan Roesch stelden, zullen deze en volgende week online verschijnen

Reacties (13)
23-05-2011, 10:31 door Anoniem
Dit is de slechtste vergelijking ooit, behalve het Playstation Network heeft Sony nauwelijks tot geen online diensten.

Ook is het verschil dat bij Microsoft verschillende afdelingen (gaming/ OS/ Applicaties) erg dicht aan elkaar verbonden zitten, bij Sony is het naast de naam nauwelijks verwant.

Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig. Deze vergelijking is natuurlijk mooi maar je kan niet van alles en iedereen om zo'n goede beveiliging te hebben als MS.

Daarbij komt dat op het moment Sony een beetje het middelpunt is van de aandacht als het gaat om inbraken/hacken etc.
23-05-2011, 11:16 door blondie1970
Ik begrijp je niet. Ik vind de vergelijking best goed: beide runnen ze een grote gaming community, beide hebben dezelfde exposure hiermee. Alleen door schade en schande wijs geworden (en ok, ik geeft toe, in andee delen van ms) hebben ze nu procedures in place om na te denken hoe je zoiets veilig zou kunnen opzetten. Dat er bij Sony en geen procedures zijn en er niet over na gedacht is is volgens mij de strekking van bovenstaand verhaal.
23-05-2011, 11:16 door DarkViewOfTheWorld
Door Anoniem:
Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig. Deze vergelijking is natuurlijk mooi maar je kan niet van alles en iedereen om zo'n goede beveiliging te hebben als MS.

Excuseer ?
De persoonlijke informatie van 70 MILJOEN klanten niet belangrijk genoeg voor meneer ?
Naam, adres, email, geboortedatum, passwoord en login informatie ... en zoals je wsl wel weet gebruiken heeeeel veel mensen die zelfde informatie (including password) op veel verschillende plekken.
Dit was een goudmijn voor identiteitsdiefstal.

Dit was de zoveelste schande binnen de it-security wereld, en hopelijk krijgen ze een zwaar genoege boete / process aan hun been zodat de rest van de wereld wakker schiet.
23-05-2011, 11:19 door Anoniem
"Dit is de slechtste vergelijking ooit, behalve het Playstation Network heeft Sony nauwelijks tot geen online diensten."

Behalve PSN, met meer dan 100 miljoen klanten, en daarbij behorende creditcard gegevens en andere persoonlijke informatie ?

"Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig."

Het is maar wat je onbelangrijk noemt.
23-05-2011, 11:24 door N4ppy
@Dark vergeet de creditcards niet. ;)

@Anoniem. Al heeft sony die kennis niet in huis dan is het niet onmogelijk om dat in huis te halen.
Ken de details niet maar ze hadden oa heel oude servers draaien. Allemaal zaken die "standaard" zijn.
Nu kunnen ze inderdaad het wiel alnsog gaan uitvinden of kijken hoe de concurent het doet :)

"Sony kan nog wel wat van Microsoft leren als het gaat om beveiliging en het online houden van een gaming-netwerk"
Die vergelijking klopt gewoon
23-05-2011, 11:31 door SecOff
Door Anoniem: Dit is de slechtste vergelijking ooit, behalve het Playstation Network heeft Sony nauwelijks tot geen online diensten.

Geen online diensten naast psn ????

2 minuten zoeken levert de volgende lijst op:
http://nl.playstation.com/psn/
http://www.soe.com/en/
http://b2b.sonymusic.nl/
https://auth.station.sony.com
https://www.sony.co.uk/ProductRegistration/
http://www.sonystyle.com
https://iam.sel.sony.com
https://www.sonyrewards.com/
https://www.sonycreativesoftware.com/myaccount/home
https://account.sonyericsson.com/login?cc=gb&lc=en&oauth_token=none
23-05-2011, 11:36 door Anoniem
Door SecOff:
Door Anoniem: Dit is de slechtste vergelijking ooit, behalve het Playstation Network heeft Sony nauwelijks tot geen online diensten.

Geen online diensten naast psn ????

2 minuten zoeken levert de volgende lijst op:
http://nl.playstation.com/psn/
http://www.soe.com/en/
http://b2b.sonymusic.nl/
https://auth.station.sony.com
https://www.sony.co.uk/ProductRegistration/
http://www.sonystyle.com
https://iam.sel.sony.com
https://www.sonyrewards.com/
https://www.sonycreativesoftware.com/myaccount/home
https://account.sonyericsson.com/login?cc=gb&lc=en&oauth_token=none



Dit is het probleem, mensen begrijpen niet dat buiten Sony deze bedrijven niet veel met elkaar te maken hebben.

SOE en SCE zijn al twee hele andere takken. Een MMO die op het PSN zou draaien zou door SCE geregeld worden desondanks dat SOE hier juist ervaring mee heeft.

De links die je post zijn dan ook van:

SCE (Computer Entertainment)
SOE (Online Entertainment)
Sony Ericcson (Mobiele telefoon)
Sony (Elektronica zoals Tv's, Blu-ray spelers, fotocamera's en audio)
Sony Software (Makers van software zoals Sony Vegas etc.
en Sony BMG wat films en muziek uitbrengt.
23-05-2011, 12:17 door Skizmo
Door Anoniem: Dit is de slechtste vergelijking ooit, behalve het Playstation Network heeft Sony nauwelijks tot geen online diensten.

Ook is het verschil dat bij Microsoft verschillende afdelingen (gaming/ OS/ Applicaties) erg dicht aan elkaar verbonden zitten, bij Sony is het naast de naam nauwelijks verwant.

Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig. Deze vergelijking is natuurlijk mooi maar je kan niet van alles en iedereen om zo'n goede beveiliging te hebben als MS.

Daarbij komt dat op het moment Sony een beetje het middelpunt is van de aandacht als het gaat om inbraken/hacken etc.

welterusten !
23-05-2011, 12:56 door N4ppy
Door Anoniem: Dit is het probleem, mensen begrijpen niet dat buiten Sony deze bedrijven niet veel met elkaar te maken hebben.

SOE en SCE zijn al twee hele andere takken. Een MMO die op het PSN zou draaien zou door SCE geregeld worden desondanks dat SOE hier juist ervaring mee heeft.

De links die je post zijn dan ook van:

SCE (Computer Entertainment)
SOE (Online Entertainment)
Sony Ericcson (Mobiele telefoon)
Sony (Elektronica zoals Tv's, Blu-ray spelers, fotocamera's en audio)
Sony Software (Makers van software zoals Sony Vegas etc.
en Sony BMG wat films en muziek uitbrengt.

Je zou dan verwachten dat er binnen Sony een governance tak is met een security division zodat bijvoorbeeld de BMG site in griekenland niet gehacked, oh wacht ......

Er staat Sony op de deur, het zijn Sony assets die de Sony asset reputatie schade toebrengen dus Sony had zijn security management beter op orde moeten hebben binnen het Sony conglomeraat.
23-05-2011, 13:39 door Anoniem
@Nappy voor zover ik weet is het niet bevestigd dat de creditcard gegevens compromised zijn.
Laatste wat ik las was dat ze dachten van niet, maar iedereen waarschuwden er rekening mee te houden dat deze mogelijk compromised waren. Could be wrong though, volg de zaak niet zo heel erg.
23-05-2011, 21:20 door Anoniem
Toch wel heel verdrietig als je nog wat van Microsoft moet leren...
24-05-2011, 11:10 door Anoniem
Door Anoniem: @Nappy voor zover ik weet is het niet bevestigd dat de creditcard gegevens compromised zijn.
Laatste wat ik las was dat ze dachten van niet, maar iedereen waarschuwden er rekening mee te houden dat deze mogelijk compromised waren. Could be wrong though, volg de zaak niet zo heel erg.

creditcard gegevens zijn buitgemaakt maar deze waren encrypted en de CVC codes zijn NIET buitgemaakt dus het is nog steeds grotendeels nutteloos.

Ook wachtwoorden (en misschien emails) waren encrypted. uiteindelijk is het nog wel meegevallen hoeveel data er is gestolen, natuurlijk gaat het nog steeds om gigantische aantallen. Maar het wordt opgeblazen, natuurlijk heeft uiteindelijk de consument er baat bij omdat de beveiliging wordt aangescherpt.

dus al met al heeft het ook voordelen voor de consument.

PS: Ik denk niet dat Sony hier heel erg veel imago-schade op nahoud. De gemiddelde consument kan het niks meer schelen als zijn e-mail en NAW gegevens bekend worden voor iedereen.

daarnaast is dit een soort van 'rage'

over 2 maanden denkt niemand hier meer aan en zelfs tijdens het down zijn van het PSN waren de verkopen van de PS3 niet omlaag of lager dan concurrenten.
26-05-2011, 15:19 door Anoniem
Leuk dat meneer 8086 een onveilige architectuur vindt. Maar dat hebben we dan wel aan Microsoft en IBM te danken. Een 8086 is een harvard machine. Daar heb je per definitie geen last van 'code injection' door stack overflows, botweg omdat data hardwarematig niet executable is. Dat men er in de PC een von Neumann machine van gemaakt heeft, ligt niet aan de architectuur...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.