image

Aanvallers Sony gebruikten wachtwoord systeembeheerder

vrijdag 19 december 2014, 09:27 door Redactie, 12 reacties

De aanvallers die op het netwerk van Sony wisten in te breken gebruikten het gestolen wachtwoord van een systeembeheerder, zo beweren Amerikaanse onderzoekers aan de hand van gevonden bewijs. Via het wachtwoord hadden de aanvallers toegang tot het gehele Sony-netwerk.

De ontdekking is één van de redenen waarom de onderzoekers niet denken dat de aanval op Sony is uitgevoerd met hulp van een werknemer, zo laten functionarissen tegenover CNN weten. De Amerikaanse autoriteiten hebben de aanval inmiddels tot een zaak van nationale veiligheid verklaard. Volgens CNN zal Washington mogelijk vandaag Noord-Korea als schuldige achter de aanval aanwijzen.

Beveiligingsexpert Jeffrey Carr stelt dat de VS eerst bewijs moet leveren voordat kan worden aangenomen dat Noord-Korea daadwerkelijk achter de aanval zit. Zelf heeft hij hier grote twijfels over. "Mijn advies aan journalisten, directeuren, beleidsmakers en het publiek is om over alles te twijfelen wat je hoort over het toekennen van cyberaanvallen. Eis concreet bewijs en geen mogelijke indicatoren die niet kunnen worden gecontroleerd."

Ook Kim Zetter van Wired publiceerde een uitgebreid artikel waarom het bewijs tegen Noord-Korea flinterdun is. Ook zou de film "The Interview" geen aanleiding voor de aanval zijn geweest. Zo werd de film tijdens de eerste aankondiging door de aanvallers niet genoemd. Ook het feit dat de malware op een computer met een Koreaanse taalinstelling is gecompileerd wil nog niets zeggen. Zetter schetst dan ook twee scenario's wie erachter de aanval zit. Mogelijk is het een groep van mensen die net als Anonymous opereren, of er waren meerdere groepen met verschillende motieven die toegang tot het Sony-netwerk hadden.

Reacties (12)
19-12-2014, 10:08 door Renellekes
Het account van 1 systeembeheerder had toegang tot het gehele Sony-netwerk? Doet me denken aan een vorig artikel waarin vermeld word dat het beveiligingsbeleid zwak was. Als je dus het wachtwoord van 1 beheeraccount weet te stelen heb je meteen toegang tot alles en iedereen binnen Sony, handig...
19-12-2014, 10:31 door Anoniem
Door Renellekes: Het account van 1 systeembeheerder had toegang tot het gehele Sony-netwerk? Doet me denken aan een vorig artikel waarin vermeld word dat het beveiligingsbeleid zwak was. Als je dus het wachtwoord van 1 beheeraccount weet te stelen heb je meteen toegang tot alles en iedereen binnen Sony, handig...

Tja, als iemand bij ons in de organisatie de domain admin account weet te kapen hebben wij ook een serieus probleem. Zijn er uberhaubt manieren om dit te mitigeren?
19-12-2014, 11:00 door BaseMent
Zijn er uberhaubt manieren om dit te mitigeren?

Ja hoor. Two factor bijvoorbeeld. Of toegang alleen toestaan vanuit een bepaalde subset aan ip adressen. Of toegang koppelen aan andere toegang verlenende systemen zoals paslezers voor fysieke toegang.

Manieren te over. Alleen is het wel zo dat hoe moeilijker je het maakt, het op een gegeven moment ten koste gaat van de flexibiliteit van de organisatie.
Een goede keuze in maken tussen commercie, techniek en security is een kunst op zich.
19-12-2014, 11:16 door Renellekes
Inderdaad een two-factor authenticatie lijkt me op zijn plaats voor een account wat zoveel impact heeft in het systeem. Ook meerdere accounts die allemaal toegang hebben tot een bepaald stuk van het netwerk/database is een optie (wat niet wegneemt dat one factor authenticatie me nog steeds veel te weinig lijkt voor een account met deze rechten), of een 2de authenticatie om toegang te krijgen tot bepaalde delen, etc.
19-12-2014, 11:43 door Anoniem
Naast two-factor authenticatie zijn er ook commerciele oplossingen die de gegevens van alle accounts met hoge rechten (admin, dba, applicatie id's, router id's, ) kunnen beveiligen.
Deze oplossingen slaan de userid's en passwords op in een digitale kluis, zorgen ervoor dat de wachtwoorden automatisch gewijzigd worden (dat kan zelfs na iedere keer dat ze gebruikt zijn) en kunnen acteren als een soort proxy, waardoor de medewerkers die deze accounts gebruiken de passwords niet eens hoeven te weten. Uiteraard kun je zo'n oplossing dan ook nog combineren met 2-factor authenticatie.
Bovendien kunnen dan alle activiteiten die een gebruiker uitvoert met een admin-account gelogd worden (denk aan keyboard logging, screen capture, etc), zodat activiteiten altijd terug gerelateerd kunnen worden aan een gebruiker, en er altijd een volledige audit trail is van admin activiteiten (zonder te hoeven vertrouwen op een OS/DB log die de admin met zijn rechten kan manipuleren)
19-12-2014, 12:17 door Anoniem
Door BaseMent: Zijn er uberhaubt manieren om dit te mitigeren?

Ja hoor. Two factor bijvoorbeeld. Of toegang alleen toestaan vanuit een bepaalde subset aan ip adressen. Of toegang koppelen aan andere toegang verlenende systemen zoals paslezers voor fysieke toegang.

Manieren te over. Alleen is het wel zo dat hoe moeilijker je het maakt, het op een gegeven moment ten koste gaat van de flexibiliteit van de organisatie.
Een goede keuze in maken tussen commercie, techniek en security is een kunst op zich.

Of de Aloude truuk met het in 2en delen van het domain admin account. Piet 1 deel van het WW en Klaas het andere deel. Daarnaast nooit onder je eigen admin account werken maar onder een normale user doet ook al wonderen
19-12-2014, 13:04 door Anoniem
two factor is leuk, maar in de praktijk alleen toepasbaar op de wijze waarop men inlogt op het netwerk. met een citrix inlogpagina of zo.

Dus ik steel de 2 factor dinges van een medewerker, of ben die medewerker, vervolgens gok ik het adminwachtwoord/copypaste die uit de porno-site waar hij een same password account heeft, en RDP rechtstreeks naar de domain controller. Knappe SIEM oplossing die dat doorheeft. Daar maak ik een paar extra domain admins aan of enable een disablede uit dienst admin, en gas erop.

en hoe kom je aan een admin wachtwoord? koop een 50,- usb keylogger, installer die op je eigen werk-pc, en bel een admin dat er iets is dat hij alleen lokaal kan oplossen. of restore een serverbackup die men ergens heeft laten slingeren, lees de oude wachtwoorden uit, en als een daarvan Zomer12 is, dan zal het huidige wachtwoord wel Zomer 13 of 14 zijn.

Ik las ergens dat ze daar nog pc's gebruiken in plaats van thin clients. Steel zo'n pc, lees local admin uit, en probeer daarmee in te loggen vanaf die pc op alle 30.000 andere lokale pc's. lokale software keylogger installeren...

Dit probleem wordt minder groot als je vlanning, firewalling/logging SIEM, en een setje niet-overwerkte systeembeheerders hebt die niet vies zijn van het ingelogd zijn als gewone gebruiker in plaats van altijd in te loggen als domain admin.
19-12-2014, 13:41 door Anoniem
Door Anoniem: two factor is leuk, maar in de praktijk alleen toepasbaar op de wijze waarop men inlogt op het netwerk. met een citrix inlogpagina of zo.

Two-factor werkt op veel meer locaties.

Dus ik steel de 2 factor dinges van een medewerker, of ben die medewerker, vervolgens gok ik het adminwachtwoord/copypaste die uit de porno-site waar hij een same password account heeft, en RDP rechtstreeks naar de domain controller. Knappe SIEM oplossing die dat doorheeft. Daar maak ik een paar extra domain admins aan of enable een disablede uit dienst admin, en gas erop.

De SIEM zal zien dat je vanaf een onbekende machine komt i.p.v. de machine van de beheerder. Hier moet je trouwens eerst via een terminalserver voordat je via RDP (of SSH of zo) bij een server kunt komen.

en hoe kom je aan een admin wachtwoord? koop een 50,- usb keylogger, installer die op je eigen werk-pc, en bel een admin dat er iets is dat hij alleen lokaal kan oplossen.

Een admin met een wachtwoord voor een werkplek heeft geen wachtwoord voor een server. Ik kan me, zelfs bij Microsoft niet, iets bedenken waarbij je als admin op een werkplek moet inloggen om iets op de server te kunnen herstellen.

of restore een serverbackup die men ergens heeft laten slingeren, lees de oude wachtwoorden uit, en als een daarvan Zomer12 is, dan zal het huidige wachtwoord wel Zomer 13 of 14 zijn.

Als men een dergelijke backup laat slingeren, dan laten ze wel meer slingeren. Dan heb jehet wachtwoord niet nodig, want alles staat al op die backup.

Dit probleem wordt minder groot als je vlanning, firewalling/logging SIEM, en een setje niet-overwerkte systeembeheerders hebt die niet vies zijn van het ingelogd zijn als gewone gebruiker in plaats van altijd in te loggen als domain admin.

Zelfs onder Windows is het tegenwoordig heel eenvoudig om als gebruiker op je eigen werkplek ingelogd te zijn en voor de server een heel ander account en wachtwoord te hebben.

Peter
19-12-2014, 15:12 door Anoniem
FYI; https://www.riskbasedsecurity.com/2014/12/a-breakdown-and-analysis-of-the-december-2014-sony-hack/
19-12-2014, 15:14 door Anoniem
@peter,

Groot gelijk, ik zei echter hel subtiel: "Knappe SIEM oplossing die dat doorheeft." Ik denk dat een echte SIEM oplossing dit wel had kunnen voorkomen, of op zijn minst detecteren/alarmeren, maar SIEM op een plat netwerk is als een non op een gemengde school; leuk dat je alles in de gaten houd, maar een hek is toch gemakkelijker.
Daarnaast is SIEM vrij nutteloos als je een week na de meesterhack moet vaststellen dat het alarmeringsSMSje niet is uitgestuurd om dat het SMS tegoed van de SIEM-SIM op was. of de systeembeheerder ziek of al 2 jaar uit dienst. of de boef.
Veel bedrijven geven een godsvermogen uit om beschermingsmiddelen te hebben, maar vergeten dat het om het doel gaat, en niet de middelen.
Als je 500.000.000,- uitgeeft om je data te beveiligen, maar een admin wel de mogelijkheid geeft deze te copy-pasten, dan kan een mailtje met een foto van zijn kids op het schoolplein voldoende zijn om je half miljard door het toilet te spoelen.
19-12-2014, 20:22 door Anoniem
Het is ERG onverstandig om werkstations te beheren met het Domain Admin account!
Beter kun je een aparte groep werkstation admins maken in je domein, deze groep tijdens installatie van de werkstations
toevoegen aan de locale Admininistrators groep op het werkstation (kan simpel bij een automated install) en dan zet je
in die groep een of meer werkstation admin accounts die je gebruikt om werkstations te installeren enz.
Tevens maak je in group policy een regel aan die voorkomt dat de domain administrator inlogt op een werkstation.
Daarmee voorkom je dat gecachte credentials op allerlei werkstations terecht komen, en dat domain admins in de
verleiding komen om op een werkstation in te loggen met dat account.

Gewoon een best practice.
19-12-2014, 22:24 door Anoniem
Ach 15:14 denk als een manager.
Dat half miljard was toch voor een vriendje dat geld moest toch al ergens heen. Waarom er verder moeilijk over doen.
En aangezien er zo veel geld aan uitgegeven is ben ik als manager er niet meer aansprakelijk voor als het mis gaat.
Het persoonlijkje hachje is veilig, het vriendje heeft zijn geld. Jammer van die bijkomende schade voor het bedrijf maar dat is toch maar het bedrijf niet echt relevant zolang ze maar blijven bestaan om geld van te krijgen.
hoeveel managers zouden er zo in steken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.