Exclusief: Security.nl interviewt Snort-ontwikkelaar
Security.nl had afgelopen vrijdag een persoonlijk en exclusief interview met Martin Roesch, ontwikkelaar van het populaire IDS/IPS Snort. Naast het beantwoorden van vragen die door lezers van Security.nl waren ingestuurd, ging Roesch ook in op de situatie rondom Sony. De Japanse elektronicafabrikant kan nog wel wat van Microsoft leren als het gaat om beveiliging en het online houden van een gaming-netwerk, aldus de Snort-bedenker. "Je vraagt je af wat ze dachten. De problemen met deze grote ondernemingen die deze grote services uitrollen, is dat ze op 'security through obscurity' vertrouwen. Wat tot op grote hoogte ook het geval bij Sony was. Als dat faalt en je niets anders achter de hand hebt, dan moet je niet vreemd staan opkijken als je wordt opgeblazen. Dat is een triest gegeven in dit geval, maar wat mij intrigeert is hoeveel Sony's er nog meer zijn, die compleet onwetend zijn of iets veilig is."
Volgens Roesch, die het beveiligingsbedrijf Sourcefire oprichtte, hebben veel bedrijven haast met het uitrollen van diensten en denken ze dat beveiliging wel later komt. "Ik denk dat er veel bedrijven met een verrotte infrastructuur zijn." Zo had Sony niet eens een Chief Security Officer. "Ik vraag me dan ook af wat voor security operations team ze hadden, als dat al aanwezig was."
Roesch verwijst naar een artikel waarin stond dat PSN niet meer te maken was en dat Sony opnieuw moest beginnen. "Dat zal kostbaar zijn en niet te vergeten de klanten die in een PS3 hebben geïnvesteerd. Zullen die klanten Sony vergeven? Zullen ze ooit weer voor een PlayStation kiezen als er ook een Xbox 360 met bijna allemaal dezelfde games is? Je kan zeggen wat je wil over Microsoft, maar ze snappen beveiliging. Ze hebben nog steeds veel lekken, maar ze schrijven veel software en hebben een proces, volgen het proces en denken erover na."
Imagoschade
Zeker met consumentenproducten kunnen bedrijven als Sony met dit soort incidenten consumenten voor langere tijd kwijtraken. Volgens Roesch is het belangrijk dat bedrijven meer inzicht in hun eigen netwerkomgeving hebben en anders krijgen. Zeker voor plekken waar veel klantgegevens zijn opgeslagen. "Dat maakt me gek. We hebben grote klanten die alleen onze rulesets draaien, maar ze gebruiken niet de flexibiliteit van Snort. En er is zoveel meer dat je met deze technologie kan doen."
Communiceren
Wat betreft het delen van de informatie over de aanval, zodat ook andere bedrijven zich hier tegen kunnen beschermen, is volgens Roesch eerder te pijnlijk voor Sony dan dat het om te gevoelige gegevens gaat. "Ik kan me voorstellen dat ze zo weinig als mogelijk over de interne werking van hun netwerk willen prijsgeven, uit angst voor nieuwe aanvallen. Ik denk dat ze in die mode zitten."
"Als ze een fundamenteel veilig netwerk hadden gebouwd, hadden ze erover kunnen praten. Omdat ze dat niet deden, willen ze er niet over praten. En het jammere is dat zoveel bedrijven niet praten. Eén van de problemen als verdediger is dat niemand iets deelt. Mensen delen geen informatie over wat er in hun omgeving plaatsvindt. Daar heeft de aanvaller baat bij." Het is hetzelfde als de Maffia die iedereen in een dorp afperst, maar niemand spreekt erover of komt bij elkaar om het aan te pakken. "Als we samenwerken kunnen we beter weerstand tegen deze dreigingen bieden. Maar feit is dat we niet effectief communiceren, we geen gegevens effectief delen." De verdediger heeft juist baat bij communicatie, merkt Roesch op. "Omdat we niet communiceren, zitten we allemaal te wachten om te worden gehackt. We kunnen onszelf erg goed helpen door te gaan communiceren."
Sony verliest nu miljoenen dollars, terwijl het voor een fractie van die kosten zich had kunnen beschermen. "En dat is de vraag die bedrijven zich moeten stellen. Ze denken dat het hen nooit overkomt, maar toch overkomt het ze. En de percentages dat het gebeurt zijn hoog. Einstein zei het, wat is definitie van gestoordheid: steeds hetzelfde herhalen en andere uitkomsten verwachten. We zien dat steeds dezelfde fouten worden gemaakt."
Niet alleen zijn er onvoldoende gekwalificeerde IT security professionals, volgens Roesch zijn ook de platformen waarop we bouwen inherent onveilig. "8086 is geen veilige architectuur. We hebben een hoop problemen op te lossen."
De vragen die lezers van Security.nl aan Roesch stelden, zullen deze en volgende week online verschijnen
Ook is het verschil dat bij Microsoft verschillende afdelingen (gaming/ OS/ Applicaties) erg dicht aan elkaar verbonden zitten, bij Sony is het naast de naam nauwelijks verwant.
Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig. Deze vergelijking is natuurlijk mooi maar je kan niet van alles en iedereen om zo'n goede beveiliging te hebben als MS.
Daarbij komt dat op het moment Sony een beetje het middelpunt is van de aandacht als het gaat om inbraken/hacken etc.
Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig. Deze vergelijking is natuurlijk mooi maar je kan niet van alles en iedereen om zo'n goede beveiliging te hebben als MS.
Excuseer ?
De persoonlijke informatie van 70 MILJOEN klanten niet belangrijk genoeg voor meneer ?
Naam, adres, email, geboortedatum, passwoord en login informatie ... en zoals je wsl wel weet gebruiken heeeeel veel mensen die zelfde informatie (including password) op veel verschillende plekken.
Dit was een goudmijn voor identiteitsdiefstal.
Dit was de zoveelste schande binnen de it-security wereld, en hopelijk krijgen ze een zwaar genoege boete / process aan hun been zodat de rest van de wereld wakker schiet.
Behalve PSN, met meer dan 100 miljoen klanten, en daarbij behorende creditcard gegevens en andere persoonlijke informatie ?
"Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig."
Het is maar wat je onbelangrijk noemt.
@Anoniem. Al heeft sony die kennis niet in huis dan is het niet onmogelijk om dat in huis te halen.
Ken de details niet maar ze hadden oa heel oude servers draaien. Allemaal zaken die "standaard" zijn.
Nu kunnen ze inderdaad het wiel alnsog gaan uitvinden of kijken hoe de concurent het doet :)
"Sony kan nog wel wat van Microsoft leren als het gaat om beveiliging en het online houden van een gaming-netwerk"
Die vergelijking klopt gewoon
Geen online diensten naast psn ????
2 minuten zoeken levert de volgende lijst op:
http://nl.playstation.com/psn/
http://www.soe.com/en/
http://b2b.sonymusic.nl/
https://auth.station.sony.com
https://www.sony.co.uk/ProductRegistration/
http://www.sonystyle.com
https://iam.sel.sony.com
https://www.sonyrewards.com/
https://www.sonycreativesoftware.com/myaccount/home
https://account.sonyericsson.com/login?cc=gb&lc=en&oauth_token=none
Geen online diensten naast psn ????
2 minuten zoeken levert de volgende lijst op:
http://nl.playstation.com/psn/
http://www.soe.com/en/
http://b2b.sonymusic.nl/
https://auth.station.sony.com
https://www.sony.co.uk/ProductRegistration/
http://www.sonystyle.com
https://iam.sel.sony.com
https://www.sonyrewards.com/
https://www.sonycreativesoftware.com/myaccount/home
https://account.sonyericsson.com/login?cc=gb&lc=en&oauth_token=none
Dit is het probleem, mensen begrijpen niet dat buiten Sony deze bedrijven niet veel met elkaar te maken hebben.
SOE en SCE zijn al twee hele andere takken. Een MMO die op het PSN zou draaien zou door SCE geregeld worden desondanks dat SOE hier juist ervaring mee heeft.
De links die je post zijn dan ook van:
SCE (Computer Entertainment)
SOE (Online Entertainment)
Sony Ericcson (Mobiele telefoon)
Sony (Elektronica zoals Tv's, Blu-ray spelers, fotocamera's en audio)
Sony Software (Makers van software zoals Sony Vegas etc.
en Sony BMG wat films en muziek uitbrengt.
Ook is het verschil dat bij Microsoft verschillende afdelingen (gaming/ OS/ Applicaties) erg dicht aan elkaar verbonden zitten, bij Sony is het naast de naam nauwelijks verwant.
Microsoft heeft veel belangrijkere data om op te slaan en dus een veel hoger budget hiervoor nodig. Deze vergelijking is natuurlijk mooi maar je kan niet van alles en iedereen om zo'n goede beveiliging te hebben als MS.
Daarbij komt dat op het moment Sony een beetje het middelpunt is van de aandacht als het gaat om inbraken/hacken etc.
SOE en SCE zijn al twee hele andere takken. Een MMO die op het PSN zou draaien zou door SCE geregeld worden desondanks dat SOE hier juist ervaring mee heeft.
De links die je post zijn dan ook van:
SCE (Computer Entertainment)
SOE (Online Entertainment)
Sony Ericcson (Mobiele telefoon)
Sony (Elektronica zoals Tv's, Blu-ray spelers, fotocamera's en audio)
Sony Software (Makers van software zoals Sony Vegas etc.
en Sony BMG wat films en muziek uitbrengt.
Je zou dan verwachten dat er binnen Sony een governance tak is met een security division zodat bijvoorbeeld de BMG site in griekenland niet gehacked, oh wacht ......
Er staat Sony op de deur, het zijn Sony assets die de Sony asset reputatie schade toebrengen dus Sony had zijn security management beter op orde moeten hebben binnen het Sony conglomeraat.
Laatste wat ik las was dat ze dachten van niet, maar iedereen waarschuwden er rekening mee te houden dat deze mogelijk compromised waren. Could be wrong though, volg de zaak niet zo heel erg.
Laatste wat ik las was dat ze dachten van niet, maar iedereen waarschuwden er rekening mee te houden dat deze mogelijk compromised waren. Could be wrong though, volg de zaak niet zo heel erg.
creditcard gegevens zijn buitgemaakt maar deze waren encrypted en de CVC codes zijn NIET buitgemaakt dus het is nog steeds grotendeels nutteloos.
Ook wachtwoorden (en misschien emails) waren encrypted. uiteindelijk is het nog wel meegevallen hoeveel data er is gestolen, natuurlijk gaat het nog steeds om gigantische aantallen. Maar het wordt opgeblazen, natuurlijk heeft uiteindelijk de consument er baat bij omdat de beveiliging wordt aangescherpt.
dus al met al heeft het ook voordelen voor de consument.
PS: Ik denk niet dat Sony hier heel erg veel imago-schade op nahoud. De gemiddelde consument kan het niks meer schelen als zijn e-mail en NAW gegevens bekend worden voor iedereen.
daarnaast is dit een soort van 'rage'
over 2 maanden denkt niemand hier meer aan en zelfs tijdens het down zijn van het PSN waren de verkopen van de PS3 niet omlaag of lager dan concurrenten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
