Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wat zijn de reacties van de prof's op KRO reporter?

10-12-2012, 09:14 door yobi, 28 reacties
Voor iedereen, die het gemist heeft KRO-reporter van 7 december:
http://www.uitzendinggemist.nl/afleveringen/1311089

Wat zijn de reacties van de prof's op dergelijke lekken?
Reacties (28)
10-12-2012, 09:20 door Anoniem
Niets nieuws. :)
10-12-2012, 10:12 door sjonniev
Schokkend. Maar niet verbazingwekkend. Behalve dan van die directeur die niet met zijn handen van andermans camera af kan blijven.
10-12-2012, 10:20 door sjonniev
Tip voor thuis: http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx, voorheen bekend als de Astaro Security Gateway.
10-12-2012, 10:53 door Anoniem
"Wat zijn de reacties van de prof's op dergelijke lekken?"

Ik vond de reactie van Europol wel grappig. De zaak bagatelliseren omdat niet hun netwerk lek was, maar niet vragen hoe het kan dat een medewerker van Orange thuis een schijf vol met Europol data heeft staan.
10-12-2012, 11:10 door Anoniem
Even uit het vuistje ...Dus ik tik echt even heel snel...en heb er niet echt diep over nagedacht...

- Dat er risico's zijn voor velen partijen
- Dat er maatregelen genomen moeten worden om die risico's voor de betrokken partijen te moeten verminderen

Echter gezien de omvang is het uitzoeken van de betrokken partijen een aardige klus.
-I1 Alle afnemers zullen gewaarschuwd moeten worden.
-I2 Alle klanten v.d. betrokken afnemers die hier mogelijk last van kunnen hebben zullen gewaarschuwd moeten worden.
-I3 De betrokken partij kan ook de leverancier zijn want mogelijk worden er schadeclaims (kans is klein) ingediend en dan is er weer een financieel risico voor de leverancier. Imago schade is er al.

Paar maatregelen:
Het is vooral voor de leveranciers van de betrokken artikelen de taak om hierin verantwoording in te nemen:
-M1 Procedures en processen die deze situatie hebben mogelijk gemaakt te controleren en te herzien c.q. te verbeteren.
-M2 Er lering uit te trekken voor nieuwe producten
-M3 Daar waar oude producten geupgrade kunnen worden dit ook kenbaar te maken, beschikbaar te stellen en mogelijk te maken.
-M4 Klanten informeren en een redelijke oplossing bieden
-M5 Daar waar het security bewustzijn niet echt aanwezig is Dit verhogen en te borgen.
-M6 De producten voor wat betreft de security regelmatig te laten controleren door een gespecialiseerde partij. Zoals b.v. netwerkprinters/scanners en netwerkdisks

Vooruitgang gaat nu eenmaal gepaard met veranderingen/changes en dit gaat weer gepaard met risico's. Niets is 100% safe.

M.b.t. punt 2 Gaat Martin Duin v.d. KLM (zo heette die toch) ook de betrokken afnemers van die data (die risico liepen) nog inlichten? Grappig is dat in het geval van KLM een prachtige faciliteit heeft (goed fysiek beveiligd) de reporter gewoon op het terrein wordt toegelaten en de betrokken directeur wat mij betreft een paar protocollen heeft geschaad.
Human firewall was even niet aanwezig...
10-12-2012, 11:28 door Anoniem
Door Anoniem:
Het is vooral voor de leveranciers van de betrokken artikelen de taak om hierin verantwoording in te nemen:

Ach welnee...
De fabrikanten en leveranciers van deze dingen zijn alleen maar betrokken bij produceren en verkopen, dat is
waar ze hun geld verdienen.
En ze willen een product op de markt brengen wat gemakkelijk te installeren is, anders wordt het niet verkocht.
De mensen willen iets hebben wat je meteen kunt gebruiken als je het aangesloten hebt.

Zoals al meermalen in dat programma gezegd: de mensen die die spullen ontwikkelen weten echt wel dat de kopers
een risico lopen, maar het is de marketing die ze opdringt om het zo te maken en niet veilig.

Ik denk dat je hooguit van ze kunt vragen om een extra pagina in het boekje te plaatsen waarin wordt uigelegd dat
het belangrijk is je apparaat te beveiligen. Deze pagina wordt vervolgens door niemand gelezen, want men opent
het hele boekje nog niet eens, maar dan is dat in ieder geval afgedekt.
10-12-2012, 11:28 door User2048
Het mooiste vond ik wel dat je op het inlogscherm op Cancel kunt klikken en dat je dan de handleiding te zien krijgt waar username en password in staan. *face in palm*
10-12-2012, 11:34 door golem
Ik ben niet verbaasd, eigenlijk weten we allemaal hier wel dat dit probleem bestaat.

Leuk dat het op TV is gekomen, helaas alleen maar in een slecht bekeken programma als Reporter.
Men vindt het blijkbaar bij de NOS, telegraaf, RTL enzovoort niet interessant genoeg om
dit kenbaar te maken bij het grote publiek.
Misschien is het ook te moeilijk voor het grote publiek om dit filmpje te begrijpen.

Maar het ergste is natuurlijk die IT 'er van Orange. Die moet beter weten.
10-12-2012, 11:52 door [Account Verwijderd]
[Verwijderd]
10-12-2012, 12:16 door regenpijp
Door User2048: Het mooiste vond ik wel dat je op het inlogscherm op Cancel kunt klikken en dat je dan de handleiding te zien krijgt waar username en password in staan. *face in palm*

Oh, dat heb je ook bij Icidu routers, daar staat dan ook username=admin, password=admin na het wegklikken van de login pop-up :P
10-12-2012, 12:23 door AdVratPatat
Welke "professional" bedoel je precies yobi?

IMHO:
- Voor de vakbekwame professional is dit gelukkig niets meer dan een mooi schoolvoorbeeld om in de nabije toekomst aan te halen tijdens training/voorlichting/publicatie e.d. en een reden om een paar extra logjes door te kijken misschien ;]

- Een publieke reactie vanuit de politiek verwacht ik niet voor Maart 2013, als deze al komt, want alle IT-problemen zijn hoofdzakelijk (lees alleen) de verantwoordelijkheid van de eigenaar volgens Ivo.

- Voor de BYOD-aanhangers en MKB-Nl. zou het een eye-opener moeten zijn, maar die hebben helaas over het algemeen een bord voor de kop of slaap in de ogen wat dit soort zaken betreft dus daar verwacht ik ook niets van.

- De consument / eind-gebruiker zou hardware-matig al beschermd moeten worden, zoals gebruikelijk bij de (meeste) internet-doosjes bijvoorbeeld.


Kortom, ik verwacht niet dat het "het gesprek van de dag" wordt bij de kapper, maar ik moet wel zeggen dat ik verbaasd ben over het aantal keer dat ik afgelopen weekend (vooral door de wat oudere consument) ben aangesproken met vragen rondom deze uitzending.

EDIT: typo
10-12-2012, 13:12 door Security Scene Team
Door Anoniem: "Wat zijn de reacties van de prof's op dergelijke lekken?"

Ik vond de reactie van Europol wel grappig. De zaak bagatelliseren omdat niet hun netwerk lek was, maar niet vragen hoe het kan dat een medewerker van Orange thuis een schijf vol met Europol data heeft staan.


dat vroeg ik me nou net ook af.
10-12-2012, 13:15 door Anoniem
Zou het een onoverkomelijk probleem zijn/worden als er een wettelijke verplichting komt die voorschrijft dat gevoelige functionaliteit van een apparaat beschermd moet worden met -minimaal- een wachtwoord dat bij de eerste keer gebruik gewijzigd moet worden? Met een serieus te nemen boete als stok achter de deur.

Welke haken en ogen zouden hier aan zitten?
10-12-2012, 13:37 door Anoniem
Ik vond het een hele goede documentaire, ik heb er de hele dag aan gedacht.

Het is niks nieuws dat de mens de zwakste schakel is, maar een fail op zo'n schaal had ik niet verwacht.

Hoewel het altijd genant is om de verantwoordelijke voor de camera te krijgen (zoals die 'directeur' van iOmega) zijn dit soort incidenten en media aandacht wel nodig om de security afdeling een sterkere stem te geven dan die van de marketing.

Ben benieuwd wat er met die KLM directeur gaat gebeuren...
10-12-2012, 15:33 door Anoniem
Door User2048: Het mooiste vond ik wel dat je op het inlogscherm op Cancel kunt klikken en dat je dan de handleiding te zien krijgt waar username en password in staan. *face in palm*

Maar dat is suggestief. Er staat niet het wachtwoord wat voor dat apparaat geldt, maar alleen het default wachtwoord.
Het is dus niet zo dat als je je wachtwoord (zoals het hoort) gewijzigd hebt, daar dan je nieuwe wachtwoord komt te staan!
10-12-2012, 15:53 door yobi
Volgens mij zijn de professionals:
- Mensen, die dergelijke apparatuur ontwikkelen.
- Mensen, die dergelijke apparatuur verkopen.
- Mensen, die dergelijke apparatuur (pen)testen.

Van de gebruiker kan men dergelijke zaken niet verwachten. De beveiliging op de gebruiker afschuiven vind ik dan ook geen goede zaak. Een gebruiker zou in mijn ogen juist beschermd moeten worden. Ook verwijzen naar een handleiding werkt niet. Eenvoudiger lijkt me om het apparaat pas actief op internet te laten worden, nadat de beveiliging op niveau is.
10-12-2012, 16:30 door Anoniem
Zwak verhaal ... die apparaten zijn bedoeld om op een lokaal netwerk te gebruiken. Als ze dus via Internet te benaderen zijn, klopt er iets niet in de instellingen van je router/firewall. Wordt met geen woord over gesproken ... ?
10-12-2012, 17:04 door prikpost
Door Anoniem:
Door User2048: Het mooiste vond ik wel dat je op het inlogscherm op Cancel kunt klikken en dat je dan de handleiding te zien krijgt waar username en password in staan. *face in palm*

Maar dat is suggestief. Er staat niet het wachtwoord wat voor dat apparaat geldt, maar alleen het default wachtwoord.
Het is dus niet zo dat als je je wachtwoord (zoals het hoort) gewijzigd hebt, daar dan je nieuwe wachtwoord komt te staan!
Dus redoracle.com heb je helemaal niet nodig, goh
10-12-2012, 19:32 door vimes
Iomega was wel treffend. Toen met 'the-click-of-death' werd het probleem ook genegeerd.
10-12-2012, 19:54 door vimes
Het probleem is nog veel groter dan veel mensen denken.
Al deze apparatuur werkt met een embedded webserver. Meestal zijn deze van zeer beduimelde kwaliteit. Ik zit braaf elke maand mijn server te voorzien van updates, maar bij de meeste embedded servers is dat niet eens mogelijk. Sommige hebben een flash mogelijkheid maar dan zijn er weer geen updates van de fabrikant.
Wat ik probeer te zeggen is dat je wachtwoorden kan instellen wat je wilt maar dat helpt ook niet echt.
Ook niet omdat ook nog spul in omloop is waarbij je met een standaard master login de gebruikers login te resetten is.
10-12-2012, 23:12 door Anoniem
Tsja, smartphones voor dummies en andersom
Zit tegenwoordig al wifi in je camera
Geef mij maar lekker kabels
En een dikke E-Sata externe schijf
Schiet tenminste een beetje op
Eens even loeren of mijn huisarts ook zo een NAS heeft
Kan ik hem adviseren en een dikke rekening sturen

Probleem is dat men denkt zelf ICT te organiseren
Oudgedienden zijn zwaar onder gewaardeerd en betaald
Hopelijk na nog wat van dit soort uitzendingen, veranderd dit hopelijk
10-12-2012, 23:31 door Anoniem
Het feit dat diverse NAS eerst een connectie met het internet moeten maken alvorens ze kunnen functioneren maakt het secure gebruik al niet eenvoudiger. Daarnaast is niet iedere it'er goed onderlegd op het security vlak. Als dat namelijk wel zo zou zijn zou er niet zoveel vraag naar security specialisten zijn. En als de gemiddelde it specialist er al moeite mee heeft kan je dat dus ook niet verwachten van een manager van een datacenter. Dit is een manager en over het algemeen geen techneut.

Ik denk dat dit programma wel heeft bijgedragen aan het uit de markt prijzen van dergelijke insecure devices. Het is nu aan de security specialisten om door te pakken en dit soort internet bound devices NOOIT te adviseren.
11-12-2012, 09:29 door john west
Het is bijna niet te geloven dat er zo omgesprongen wordt met de veiligheid en de privacy.
Ongelooflijk stom.
Daarom wil ik ook niet in het Elektronisch Patiënten Dossier. (EPD)


Er zijn 2 problemen bij aanschaf nieuwe netwerk apparatuur en rand apparatuur.
1: gebruiker moet eerst de gebruiksaanwijzing goed door lezen.
en apparaat binnenste buiten keren,zodat hij weet wat hij gekocht heeft.
2: Fabrikant moet in de taal gebruiker duidelijke veiligheid instructies geven,en gebruik instructies.
Ook de kwestie van update's v.b routers is soms uitermate ouderwets en onveilig.
3: Het apparaat moet standaard veilig zijn,zodanig dat het alleen toegankelijk is voor de gebruiker.
zonder dat moet het apparaat weigeren te functioneren.

Aangezien beide de fout in gaan,ja dan liggen de gegevens op straat.
Dat verantwoordelijke hun verantwoording ontwijken,ontkennen is een bevestiging dat deze personen
hun werk niet goed verrichten,en dus niet geschikt zij voor deze functie(s).
11-12-2012, 12:38 door Anoniem
Oud nieuws. Nadruk ligt op functionaliteit en oh ja, er moet ook nog wat aan security gedaan worden.
De juiste werkwijze zou moeten zijn: timmer het eerst eens volkomen dicht en prik een paar gaatjes voor de reguliere gebruiker. Maar ja, dat is niet 'gebruikersvriendelijk'.
11-12-2012, 12:41 door [Account Verwijderd]
[Verwijderd]
11-12-2012, 16:39 door Anoniem
Door Anoniem: Oud nieuws. Nadruk ligt op functionaliteit en oh ja, er moet ook nog wat aan security gedaan worden.
De juiste werkwijze zou moeten zijn: timmer het eerst eens volkomen dicht en prik een paar gaatjes voor de reguliere gebruiker. Maar ja, dat is niet 'gebruikersvriendelijk'.
Volkomen mee eens. Hoppa, en nog maar weer een uitzondering op de firewall voor de leverancier van de software, omdat die zegt dat dat noodzakelijk is voor onderhoud en ondersteuning.
11-12-2012, 21:12 door Gebruiker30037
ik heb de uitzending ook gezien, en ben er toch wel van geschrokken.
ik ben de bezitter van een QNAP NAS, en ben redelijk bijdehand wat computers betreft.

Mijn NAS is dan wel geconfigureerd met een NON default password, om netjes te zeggen, en de weinige porten die openstaan in de router zijn bewust opengezet tbv diverse services.

op zich is deze NAS vrij goed beveiligt, echter, diverse library's zoals openssl zijn veroudert.
in een volgende firmware worden die geupdate.


elke NAS is te hacken, waarbij het in veel gevallen de schuld van de gebruiker zelf is, wat ook in de reportage naar voren kwam.

Onnodige services en zwakke wachtwoorden zijn de boosdoener

de beste NAS is op dit moment synology, die hebben alles up2date, en het apparaat heeft zelfs een firewall.
12-12-2012, 11:46 door Anoniem
QNAP NAS heeft helaas een sterk verouderde SSL versie (0.9.7). Doe maar niet op internet zonder vpn ;-)
Enneh... Daar wordt al geruime tijd over geklaagd, maar QNAP doet er helaas niets mee. Lekker professioneel.
Voor diegenen die een account hebben op het QNAP forum; Kijk maar naar de posts die over de firmware gaan.
60+ issues open:
http://forum.qnap.com/viewtopic.php?f=160&t=66652
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.