image

Security Tip van de week: vertrouwen is goed...

maandag 1 oktober 2012, 16:21 door Homme Bitter, 14 reacties

Security.nl lanceert een nieuw onderdeel waar elke week een andere professional, expert, onderzoeker of lezer een security tip geeft. Persoonlijke tips, varierend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Homme Bitter.

Vertrouwen is goed, controle is beter
Als consultant krijg ik regelmatig te maken met nieuwe omgevingen en systemen. Meestal is het zo dat er iets nieuw moet worden geïmplementeerd, of een grote upgrade gedaan moet worden. Om er voor te zorgen dat zo'n upgrade of implementatie niet mislukt, doe je dan een aantal controles voordat je begint om je plan op te stellen. Als er al een plan is, doe je de controles alsnog, om te kijken of het plan wel klopt.

Naast de gebruikelijke controles of je wel genoeg hardware, netwerkverbinding, storage en dergelijke hebt, kijk ik ook altijd naar hoe de security en continuïteit geregeld is. Is er een risicoanalyse gedaan van het project en van het systeem wat uiteindelijk opgeleverd moet worden? Is er een business impact analyse gedaan? Is er gekeken naar hoe de beveiliging van de gegevens geregeld is en of alles wel aan de wettelijke normen voldoet?

Zijn de back-ups en failovers geregeld? Welke versies van soft- en hardware worden er gebruikt en zit daar wel support op? Vaak missen er dingen en moet je gaan kijken of ze nodig zijn. Dat hoeft niet altijd zo te zijn, maar je moet er wel over nagedacht hebben voordat je ze overslaat.

Wachtwoorden
Als alles op papier in orde lijkt, ben ik meestal zo eigenwijs dat ik zelf ga controleren of de beveiliging ook wel echt in orde is en of de backups ook echt te restoren zijn. Op webapplicaties laat ik de OWASP top 10 los en van software en besturingssystemen controleer ik of de versies wel veilig en ondersteund zijn.

Daarvoor gebruik ik vaak de in het besturingssysteem aanwezige tools die je vertellen welke updates er beschikbaar zijn, maar soms is het ook handmatig versies op gaan zoeken op de website van de fabrikant. Ik laat John the Ripper los op de wachtwoordendatabase van de interne gebruikers en ik controleer of de bewaking zomaar mensen binnenlaat, door een collega uit te nodigen en die niet aan te melden bij de klant. De collega gaat dan proberen om langs de bewaking te komen, dat lukt vaak ook nog.

Ik gebruik voor John the Ripper wachtwoordenlijsten in de taal of talen die bij de klant gesproken worden en als het een heel specifieke klant is, zoek ik ook woordenlijsten die voor dat vakgebied van toepassing zijn. De hoeveelheid meteorologen die "Stratocumulus" als wachtwoord hebben is groot genoeg om dat de moeite waard te maken.

Als het een grote lijst is, gebruik ik de "community edition" van John the Ripper in combinatie met een videokaart die hardware acceleration heeft (OpenCL) zodat ik de videochip als coprocessor kan gebruiken voor het kraken.

Back-up
Als het enigszins kan, zal ik voordat ik op ga leveren alle servers en storage leeg gooien en volgens de documentatie opnieuw inrichten. Tapes of images vanaf de remote locatie laten komen en daarmee, volgens de documentatie een restore doen. Ik heb zelf m'n back-ups bij vrienden versleuteld op hun NAS staan en zij bij mij, inclusief versies van jaren geleden van alle bestanden die veranderen.

Mijn eigen back-ups controleer ik ook regelmatig of ze nog wel echt te restoren zijn, want mijn foto's en dergelijke ga ik nooit meer terugkrijgen als ze weg zijn. Ik heb voor de setup deze handleiding gebruikt. Zoiets wil je toch voor je klanten ook kunnen garanderen?

Een bedrijf wat aan bedrijfsrecherche doet heeft als slogan "Vertrouwen is goed, controle is beter". Dat gaat ook hier op. Het werkt een stuk rustiger en prettiger aan een migratie of upgrade, als je voor je aan de uitvoering begint zeker weet dat alles wat je nodig hebt om je project succesvol af te ronden is geregeld is. Op zoiets hoor je te kunnen vertrouwen, maar het kan zeker geen kwaad om het toch
te controleren.

Homme Bitter is consultant bij Sogeti en speelt regelmatig mee met hackwedstrijden. Tevens is hij actief op het forum en het Certified Secure IRC-kanaal.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (14)
01-10-2012, 21:21 door ITAFG
Mooie initiatief Security.nl!


En ook dank aan de gastschrijvers!


MVG,

ITAFG
02-10-2012, 08:53 door Bitwiper
Door Homme Bitter: Op webapplicaties laat ik de OWASP top 10 (http://owasp.com/index.php/Category:OWASP_Top_Ten_Project) los ...
"Er op los laten" klinkt als een tool, maar die site beschrijft vooral aandachtspunten. Kun je concrete tools aanbevelen die je hiervoor gebruikt, zowel bij "black box" tests als met assessments met toegang tot sources e.d.?

Back-up
...
Mijn eigen back-ups controleer ik ook regelmatig of ze nog wel echt te restoren zijn, want mijn foto's en dergelijke ga ik nooit meer terugkrijgen als ze weg zijn. Ik heb voor de setup deze handleiding (http://www.revpol.com/node/140)gebruikt.
Ah, daar staan handige tips in, dank voor de URL!
02-10-2012, 09:19 door Nimrod
Met betrekking tot de wachtwoorden. Wat ook altijd goed werkt is alle woorden van de site van een bepaald bedrijf opnemen in je dictionairy. Just saying :)
02-10-2012, 09:37 door Anoniem
Klopt wat je zegt. Met name uitvoeren en controleren of de toegepaste maatregelen ook daad werkelijk uitgevoerd worden.
02-10-2012, 09:38 door Dick99999
Ik heb voor de setup deze http://www.revpol.com/node/140 handleiding gebruikt. Zoiets wil je toch voor je klanten ook kunnen garanderen?
Wat zijn de voordelen om een backup helemaal 'zelf te maken', als er werkelijk een overdaad aan kant en klare backup services, software en cloud oplossingen is, ook off-site en met optionele encryptie. Zelf zou ik er niet aan denken een eigen oplossing te maken.

Overigens helemaal eens: Mooi initiatief Security.nl!
02-10-2012, 10:10 door RickDeckardt
Op webapplicaties laat ik de OWASP top 10 los...
Zorg wel dat je een waiver hebt, voor ze je van 'hacken' beschuldigen
02-10-2012, 18:07 door Anoniem
tip: niet teveel vaste regels - its a trap, your bug. you hiding the fact you lost overview. thats y you need your checklist. security is new, ongoing, on the move biz. static rules == obscurity, just like the binary tale. tellen is niet zelf een cijfer willen zijn. hacken is nooit per definitie. niet napraten. zelluf doen, zelluf proberen, zelluf weten, identiteit xD

psssst.. inclusief spelvouten die zijn superleuk en gave interesse filter. keiharde corporate probleemlokalisatie en dus oplossing. geloof je niet he? ROFLOL sneller dan welke sukkel van een management consultant ook, met die checklists *proest*

afgestudeerd of niet, thats the joke.
03-10-2012, 15:59 door Overcome
Goed initiatief van security.nl. Wat me overigens wel verbaast is het volgende:

Ik laat John the Ripper los op de wachtwoordendatabase van de interne gebruikers

Dit zou ik eerst even kortsluiten met de gebruikersorganisatie. Bij veel bedrijven mag je dit niet doen, doordat (a) hacktools niet zijn toegestaan op het interne netwerk, ook niet als onderdeel van goedbedoelde tests, (b) een password policy actief is die ervoor zorgt dat accounts na 5 incorrecte logpogingen geblokkeerd zijn, (c) er geen pentest NDA is ondertekend om dit uit te voeren en wachtwoorden van gebruikers mogelijk als privegegevens worden gezien, (d) resultaten in acceptatie (mocht je het daar uitvoeren) weinig zeggen over resultaten in productie.

Daarnaast zou ik wel eens een discussie willen voeren over het nut van een password crack exercitie. We weten allemaal dat wachtwoorden onveilig zijn. Als er geen password policy met afgedwongen complexiteitsregels is gedefinieerd, dan hoef je de test niet uit te voeren, want dan weten we dat de wachtwoorden onveilig zijn. Als complexiteitsregels wel worden afgedwongen, dan weten we nu ook al dat rainbow tables prima middelen zijn om passwords te kraken. Kortom, wat is je precieze doel van deze password test? Ik zou het als organisatie interessanter vinden om duidelijk te krijgen dat alle mitigerende maatregelen (account lockout ingesteld, monitoring van ongeautoriseerde logins aanwezig, correcte afhandeling van detectie danwel false positives, detectie van aanwezigheid van crack tools, geen default username/ password combinaties, geen toegang tot password database door personen anders dan de systeembeheerders etc.) zijn getroffen.
03-10-2012, 16:48 door Dick99999
Door Overcome: .....Daarnaast zou ik wel eens een discussie willen voeren over het nut van een password crack exercitie. ......... Als complexiteitsregels wel worden afgedwongen, dan weten we nu ook al dat rainbow tables prima middelen zijn om passwords te kraken............
Ik dacht nu juist dat een goed password mechanisme (sterk wachtwoord, salting, iterations etc), voorkomt dat rainbows gebruikt kunnen worden . En voor wachtwoorden/sleutels die het zonder lockout- veiligheid moeten doen, denk aan lokale encryptie op een 'gevonden' laptop, gestolen hash tables etc. , lijkt mij het prima om met toestemming van de organisatie een test te doen. En zo zowel gebruikers als de organisatie te waarschuwen. Dat alles onder de aanname dat 'rainbows en John' machteloos zijn bij sterke wachtwoorden/mechanismes.
03-10-2012, 18:15 door Anoniem
"Ik laat John the Ripper los op de wachtwoordendatabase van de interne gebruikers"
Aanname; hiervoor maak je een kopie van deze database, anders loop je al direct tegen de lamp (logging) en loop je risico operationele verstoringen te creeeren omdat deze accounts gelocked zullen worden.

Als beheerder zal ik alle tot mijn beschikking staande middelen in werking stellen om je asap de deur uit te laten zetten zodra (niet "als") dit wordt gedetecteerd. Dit omvat ook het volledig schonen van iedere media drager en het onderzoeken van alle communicaties ten tijde van deze overtreding. Dit om zo aannemelijk mogelijk te maken dat wachtwoorden het netwerk niet hebben verlaten.

Deze check kan makkelijker (en beter!) worden opgevangen door het beveiligingsbeleid van deze servers op te vragen. In plaats van een point-in-time check heb je dan de garantie dat makkelijke wachtwoorden niet gebruikt kunnen worden. Op deze wijze kan je de gegevens tenminste ook presenteren aan de klant. Hoe wil je zonder repercussies vertellen dat je deze aktie hebt uitgevoerd? Iedereen weet dat ieder wachtwoord gekraakt kan worden.

Met de meeste andere maatregelen die je oppert ben ik het wel eens, maar hiermee werk je jezelf echt verschrikkelijk in de nesten.
04-10-2012, 08:13 door Anoniem
een procedure is om je te ondersteunen verantwoordelijkheid te dragen, niet verantwoordelijkheid overnemen. zo ook met veel vaste regels. ze verschuiven zich van het vlak collectief begrip (tot begrip komen) naar een oerwoud om verantwoordelijkheid te ontlopen. de reden dat we achter feiten aan hobbelen. sorry jongens (en vooral het stukkie wat meteen kan downvoten zonder mening LOL) maar het IS zo. en het KOMT steeds meer uit. GEBREK aan identiteit. napraten.

je komt er toch niet omheen uiteindelijk. consume your life, fool. and find out why we found out in the first place. ROFL
04-10-2012, 08:13 door Overcome
Door Dick99999: Ik dacht nu juist dat een goed password mechanisme (sterk wachtwoord, salting, iterations etc), voorkomt dat rainbows gebruikt kunnen worden . En voor wachtwoorden/sleutels die het zonder lockout- veiligheid moeten doen, denk aan lokale encryptie op een 'gevonden' laptop, gestolen hash tables etc. , lijkt mij het prima om met toestemming van de organisatie een test te doen. En zo zowel gebruikers als de organisatie te waarschuwen. Dat alles onder de aanname dat 'rainbows en John' machteloos zijn bij sterke wachtwoorden/mechanismes.

Waar het mij voornamelijk om gaat is dat dit soort acties deuren open trappen die al wagenwijd open staan. Op Internet zijn de meest uiteenlopende statistieken te vinden van de gevolgen van een slecht wachtwoordbeleid. Daar zal een eigen test weinig tot niets nieuws aan bijdragen. We weten dat sterke wachtwoorden goed zijn. We weten echter ook dat "de werkvloer" nooit akkoord zal gaan met een wachtwoord beleid van minimaal 14 karakters in combinatie met de complexiteitsregels zoals b.v. in Windows worden gehanteerd, doordat de veiligheid dan juist afneemt vanwege het opschrijven van wachtwoorden.

Een password crack actie zou in het uiterste geval nuttig zijn voor managers die de statistieken op Internet niet geloven en graag willen zien (uit onwetendheid, uit nieuwsgierigheid, ...) of het bij hun bedrijf ook zo slecht is. In zo'n geval kan die scan bijdragen aan wat extra security awareness. Iedereen kan op zijn klompen aanvoelen wat het resultaat is als de maatregelen zoals ik hierboven opsomde niet aanwezig zijn: ja, het is zo slecht. Ja, minimaal 80% of meer van de wachtwoorden zijn binnen een paar minuten achterhaald.

Het geldt dus ook voor het voorbeeld dat je geeft over een gevonden laptop waar b.v. een eenvoudig Truecrypt wachtwoord op staat. Dat wachtwoord is dus te kraken. Als dit soort basale kennis niet aanwezig is, dan vraag ik me af wat je als (IT) manager of als (technisch) projectleider op die positie doet. Gezien de organisaties waar Homme veelal met Sogeti komt, kan ik me niet voorstellen dat die kennis daar niet of nauwelijks aanwezig is.
04-10-2012, 09:12 door Dick99999
Ik proef een tegenstrijdigheid. Ja we zouden met sterke wachtwoorden moeten werken,dan is de zaak beter of zelfs goed beschermd. Maar nee, 'sterk'is niet acceptabel op de werkvloer (inclusief mijzelf?) en ik als CIO/Sec Officer accepteer dat bedrijfsgeheimen slecht beveiligd worden!

Zou IT zelf niet kunnen helpen? Zou een password manager niet de weg zijn om dit deelprobleem op te lossen? En als de werkvloer met een sterkke oplossing werkt, vind ik nog steeds dat een controle zeker op zijn plaats is en meerwaarde biedt
04-10-2012, 10:15 door Overcome
Het is ook tegenstrijdig, absoluut. De meeste veilige varianten (2-factor authenticatie, password oplossingen zoals Cyber-Ark, noem ze maar op) kosten geld. Veel geld. En dan vindt er een afweging plaats tussen kosten en veiligheid, werkbaarheid en veiligheid, politiek en veiligheid. En vaak verliest veiligheid dat. Middelen kunnen slechts eenmaal uitgegeven worden en als de business geld kan genereren door 5 ton te investeren in een marketing campagne, product innovatie of wat dan ook, dan gaat daar het geld naartoe. Maak maar een business case waarom dat geld naar security danwel een veilige password oplossing moet gaan en we praten verder. Daarom zouden we m.i. security in het algemeen ook veel meer meetbaar moeten maken. Met onderbuikgevoelens over "het is veiliger" (wie zegt dat?) of "je wordt gehacked" (is in het verleden ook niet gebeurd dus bewijs maar dat er een trendbreuk plaats gaat vinden) komen we niet veel verder. Maar ik dwaal af.


Bedirjfsgeheimen worden niet zozeer slecht beveiligd door geen password crack actie uit te voeren. We hebben een heleboel mitigerende maatregelen die de risico's kunnen indammen. Ik denk dat IT op dat gebied absoluut een bijdrage kan leveren, maar ook IT is gebonden aan budget restricties. De fancy en veilige oplossingen zijn er, het geld niet, zeker niet in de huidige tijden voor een gebied dat alleen geld kost en niet eenduidig inzichtelijk kan maken wat de harde opbrengsten zijn. Dan zijn eenvoudige mitigerende maatregelen zoals password lockout e.d. een middenweg. Geen ideale middenweg op security gebied, maar iets waar beide kampen, hoewel met enige tegenzin, mee kunnen leven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.