Onderzoekers aan onderzoekers: vermijd Chrome en Skype
Beveiligingsonderzoekers die met gevoelige informatie werken kunnen beter Google Chrome en Skype vermijden, zo adviseren twee onderzoekers. Volgens Dani Creus en Vicente Diaz van Kaspersky Lab komt het voor dat onderzoekers door criminele bendes en inlichtingendiensten worden benaderd.
Ook gebeurt het dat onderzoekers worden afgeluisterd of dat hun apparatuur tijdens reizen wordt gecompromitteerd. Operationele veiligheid (OPSec) is daarom essentieel, zo stellen Creus en Diaz. De belangrijkste regel hierbij is om te zwijgen. "Als je niet iets hoeft te zeggen doe het dan niet. Als je wel met iemand moet communiceren doe het dan op een veilige manier zodat je niet de inhoud van je bericht in gevaar brengt en indien mogelijk ook geen metadata achterlaat."
Communicatie
In het geval er communicatiemiddelen moeten worden gebruikt zoals e-mail, instant messaging en telefoon geven de onderzoekers verschillende tips. Zo kunnen alleen chatdiensten worden vertrouwd die Off-the-Record (OTR) aanbieden en moet Skype nooit worden gebruikt voor het bespreken van gevoelige zaken. Ook moeten er waar mogelijk wegwerptelefoons worden gebruikt. Verder krijgen onderzoekers het advies om TrueCrypt te gebruiken voor het versleutelen van data.
Om te internetten is het volgens Creus en Diaz verstandig om een 'air gap' te gebruiken, waarbij er via een anoniem verkregen 3G/4G modem verbinding wordt gemaakt. Ook moeten er geen cookies in de browser worden geaccepteerd en moet het uitvoeren van JavaScript worden voorkomen. Verder moeten gebruikers niet op een account inloggen en wordt het gebruik van Google Chrome afgeraden.
"OPSec moet snel een onderdeel van de dagelijkse routine van beveiligingsonderzoekers worden", merken de twee onderzoekers op. "Gegeven het soort operaties dat wordt ontdekt, en de betrokken partijen, kan het gebrek aan kennis en discipline op dit gebied verschrikkelijke gevolgen voor onderzoekers hebben die hun werk doen", concludeert het tweetal. Eerder gaf ook een onderzoeker genaamd The Grugq allerlei tips voor het verbeteren van de operationele veiligheid.
En ik ben blij dat er eindelijk onderzoekers zijn die Chrome afraden. Dat papegaaien gedrag om Chrome als veilig te erkennen werd zowat heilig verklaard als je er tegenin ging. Ik ben blij dat er een groep bestaat die eindelijk Chrome in een ander hoekje zet.
Alleen de exacte reden staat hier niet in het artikel, maar volgens mijn eigen onderzoek gaat een hoop als niet alles via de Google servers en dat is al de belangrijkste reden waarom Chrome niet te vertrouwen is als men veilig wilt communiceren.
Maarja, ik word al jaren voor gek verklaard, dus ik ben blij met dit bericht.
De vraag is tegen welke dreiging je je wilt beschermen. Google ? NSA ? Criminelen ? Het antwoord op die vraag heeft ook impact op de vraag hoe je je het beste kan beveiligen tegen die dreigingen.
Chrome is bijvoorbeeld onder de browsers, wanneer het gaat om bedreigingen met malware, een van de betere opties. Dus tegen die bedreiging is het gebruik van Chrome zinnig. Gaat het je om de vraag of Google gegevens in handen krijgt, dan kan je inderdaad beter kiezen voor een andere browser.
Kort gezegd: Denk in termen van risico analyse, en bedenkt eerst waartegen je je wil beveiligen en daarna pas hoe je dat inhoudelijk doet. Roepen dat iets veilig is, zonder na te denken over de vraag tegen welke bedreigingen je je wilt beveiligen, zegt mij iig niet zo heel erg veel.
Want de tekst 'Do not accept cookies, do not allow the execution of JavaScript, do not log into any account, and do not use Chrome' -> Lees ik, gebruik IE! En dat is wel toch zo veilig!!
Of te wel, leuk zo'n blog, maar is zo weinig zeggends. Ik kan ook heel makkelijk een lange lijst van programma's en zaken verzinnen die je niet zou moeten doen. Dat is niet zo moeilijk. Maar het is veel lastiger om dan te schrijven wat je _WEL_ moet doen. Dus... niet echt sterk onderzoek
TheYOSH
Geen goede tip dus.
Met telefoonwerpen op de openbare weg vraag je daar dan ook wel om.
Als je er alleen mee belt lijkt er niets aan de hand.
De vraag is tegen welke dreiging je je wilt beschermen. Google ? NSA ? Criminelen ? Het antwoord op die vraag heeft ook impact op de vraag hoe je je het beste kan beveiligen tegen die dreigingen.
Waar ik naar kijk is wat er met je bits en bytes gebeurt als bijv. bedrijf zijnde. Bedrijven werken met gevoelige informatie en die wil je niet in handen van Google leggen. Dat is dus ook de reden waarom ik Google bij de meeste bedrijven adviseer om niet te gebruiken.
Ben blij dat het nu ook een beetje bevestigd wordt.
Het lijkt erop dat het zonder M$ kon.
NSA was net wat eerder.
"Inside the NSA's War on Internet Security"
Tegen de NSA zal het niet helpen (valt mee te leven?) maar in zijn algemeenheid lijkt het wel wat veiliger te kunnen :
M$kype werkt ook zonder connectie over TCP poort 80 toe te staan, onder andere.
Wellicht toch wat veiliger om die blokkeer maatregel in ieder geval te nemen, als je M$kype nog wil gebruiken tenminste.
Want de tekst 'Do not accept cookies, do not allow the execution of JavaScript, do not log into any account, and do not use Chrome' -> Lees ik, gebruik IE! En dat is wel toch zo veilig!!
Of te wel, leuk zo'n blog, maar is zo weinig zeggends. Ik kan ook heel makkelijk een lange lijst van programma's en zaken verzinnen die je niet zou moeten doen. Dat is niet zo moeilijk. Maar het is veel lastiger om dan te schrijven wat je _WEL_ moet doen. Dus... niet echt sterk onderzoek
TheYOSH
Er staat toch wat je wel moet doen.. namelijk bepaalde dingen laten.
Daarnaast is de doelgroep 'beveiliging researchers' waarvan je mag verwachten dat die zelf wel capabel zijn om zelf alternatieven te vinden.
Het lijkt mij vanzelfsprekend dat kwa browser, Firefox met plugins hoog scoort (al verschuift dat met de dag meer naar 99% over Tor), en kwa chat, een eigen jabberserver met end2end encryption (bv openfire), en kwa mail, een eigen mailserver al dan niet met encryptie (zonder encryptie bestaat reeds het grote voordeel dat je correspondentie niet in extern beheer staat)
En als het wordt aangeraden moet je je op zijn minst achter de oren krabben".
En als je niet afgeluisterd wil worden: "Neem geen telefoon waar je de accu niet van kunt verwijderen.
En gebruik geen internet (sloop voor alle zekerheid de WiFi/Bluetooth module eruit) en dubieuze USB-sticks"
So what?
Waar gaat dit over?
Ik krijg een sterk gevoel dat dit niet gaat over onderzoekers maar over slopers/saboteurs/crackers die zich proberen
te vermommen als onderzoeker...
Een goed onderzoeker onderzoekt en publiceert. Dan maakt het dus niet uit dat je wordt afgeluisterd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
