image

Onderzoekers aan onderzoekers: vermijd Chrome en Skype

maandag 19 januari 2015, 14:21 door Redactie, 12 reacties

Beveiligingsonderzoekers die met gevoelige informatie werken kunnen beter Google Chrome en Skype vermijden, zo adviseren twee onderzoekers. Volgens Dani Creus en Vicente Diaz van Kaspersky Lab komt het voor dat onderzoekers door criminele bendes en inlichtingendiensten worden benaderd.

Ook gebeurt het dat onderzoekers worden afgeluisterd of dat hun apparatuur tijdens reizen wordt gecompromitteerd. Operationele veiligheid (OPSec) is daarom essentieel, zo stellen Creus en Diaz. De belangrijkste regel hierbij is om te zwijgen. "Als je niet iets hoeft te zeggen doe het dan niet. Als je wel met iemand moet communiceren doe het dan op een veilige manier zodat je niet de inhoud van je bericht in gevaar brengt en indien mogelijk ook geen metadata achterlaat."

Communicatie

In het geval er communicatiemiddelen moeten worden gebruikt zoals e-mail, instant messaging en telefoon geven de onderzoekers verschillende tips. Zo kunnen alleen chatdiensten worden vertrouwd die Off-the-Record (OTR) aanbieden en moet Skype nooit worden gebruikt voor het bespreken van gevoelige zaken. Ook moeten er waar mogelijk wegwerptelefoons worden gebruikt. Verder krijgen onderzoekers het advies om TrueCrypt te gebruiken voor het versleutelen van data.

Om te internetten is het volgens Creus en Diaz verstandig om een 'air gap' te gebruiken, waarbij er via een anoniem verkregen 3G/4G modem verbinding wordt gemaakt. Ook moeten er geen cookies in de browser worden geaccepteerd en moet het uitvoeren van JavaScript worden voorkomen. Verder moeten gebruikers niet op een account inloggen en wordt het gebruik van Google Chrome afgeraden.

"OPSec moet snel een onderdeel van de dagelijkse routine van beveiligingsonderzoekers worden", merken de twee onderzoekers op. "Gegeven het soort operaties dat wordt ontdekt, en de betrokken partijen, kan het gebrek aan kennis en discipline op dit gebied verschrikkelijke gevolgen voor onderzoekers hebben die hun werk doen", concludeert het tweetal. Eerder gaf ook een onderzoeker genaamd The Grugq allerlei tips voor het verbeteren van de operationele veiligheid.

Reacties (12)
19-01-2015, 14:44 door Anoniem
Jaja, Skype configureren : een ware firewall-h#ll
19-01-2015, 14:46 door BadAss.Sx
Hoe oud is dit onderzoek? Truecrypt gebruiken? Is er al een fork van dan? Ja, die is er, maar die heet geen Truecrypt.

En ik ben blij dat er eindelijk onderzoekers zijn die Chrome afraden. Dat papegaaien gedrag om Chrome als veilig te erkennen werd zowat heilig verklaard als je er tegenin ging. Ik ben blij dat er een groep bestaat die eindelijk Chrome in een ander hoekje zet.

Alleen de exacte reden staat hier niet in het artikel, maar volgens mijn eigen onderzoek gaat een hoop als niet alles via de Google servers en dat is al de belangrijkste reden waarom Chrome niet te vertrouwen is als men veilig wilt communiceren.

Maarja, ik word al jaren voor gek verklaard, dus ik ben blij met dit bericht.
19-01-2015, 14:56 door Anoniem
@BadAss:

De vraag is tegen welke dreiging je je wilt beschermen. Google ? NSA ? Criminelen ? Het antwoord op die vraag heeft ook impact op de vraag hoe je je het beste kan beveiligen tegen die dreigingen.

Chrome is bijvoorbeeld onder de browsers, wanneer het gaat om bedreigingen met malware, een van de betere opties. Dus tegen die bedreiging is het gebruik van Chrome zinnig. Gaat het je om de vraag of Google gegevens in handen krijgt, dan kan je inderdaad beter kiezen voor een andere browser.

Kort gezegd: Denk in termen van risico analyse, en bedenkt eerst waartegen je je wil beveiligen en daarna pas hoe je dat inhoudelijk doet. Roepen dat iets veilig is, zonder na te denken over de vraag tegen welke bedreigingen je je wilt beveiligen, zegt mij iig niet zo heel erg veel.
19-01-2015, 15:07 door Anoniem
Ik vind het altijd leuk om te lezen wat je niet moet doen.... maar schrijf nou eens wat je wel moet doen....

Want de tekst 'Do not accept cookies, do not allow the execution of JavaScript, do not log into any account, and do not use Chrome' -> Lees ik, gebruik IE! En dat is wel toch zo veilig!!

Of te wel, leuk zo'n blog, maar is zo weinig zeggends. Ik kan ook heel makkelijk een lange lijst van programma's en zaken verzinnen die je niet zou moeten doen. Dat is niet zo moeilijk. Maar het is veel lastiger om dan te schrijven wat je _WEL_ moet doen. Dus... niet echt sterk onderzoek

TheYOSH
19-01-2015, 15:11 door [Account Verwijderd]
[Verwijderd]
19-01-2015, 15:27 door Anoniem
Door U-7: Wegwerp-telefoons gebruiken leidt in dit land al tot een aanhouding door de politie, zoals laatst in mijn woonplaats.
Geen goede tip dus.

Met telefoonwerpen op de openbare weg vraag je daar dan ook wel om.
Als je er alleen mee belt lijkt er niets aan de hand.
19-01-2015, 15:43 door User2048
Voordat Skype door Microsoft gekocht werd, werd het gezien als de manier om veilig te communiceren. Veiligheidsdiensten hadden er geen grip op. En nu wordt het dus afgeraden. Way to go Microsoft!
19-01-2015, 15:56 door BadAss.Sx
Door Anoniem: @BadAss:

De vraag is tegen welke dreiging je je wilt beschermen. Google ? NSA ? Criminelen ? Het antwoord op die vraag heeft ook impact op de vraag hoe je je het beste kan beveiligen tegen die dreigingen.

Waar ik naar kijk is wat er met je bits en bytes gebeurt als bijv. bedrijf zijnde. Bedrijven werken met gevoelige informatie en die wil je niet in handen van Google leggen. Dat is dus ook de reden waarom ik Google bij de meeste bedrijven adviseer om niet te gebruiken.

Ben blij dat het nu ook een beetje bevestigd wordt.
19-01-2015, 16:15 door Anoniem
Way to go Microsoft!

Het lijkt erop dat het zonder M$ kon.
NSA was net wat eerder.

"Inside the NSA's War on Internet Security"
One example is the encryption featured in Skype, a program used by some 300 million users to conduct Internet video chat that is touted as secure. It isn't really. "Sustained Skype collection began in Feb 2011," reads a National Security Agency (NSA) training document from the archive of whistleblower Edward Snowden. Less than half a year later, in the fall, the code crackers declared their mission accomplished. Since then, data from Skype has been accessible to the NSA's snoops. Software giant Microsoft, which acquired Skype in 2011, said in a statement: "We will not provide governments with direct or unfettered access to customer data or encryption keys." The NSA had been monitoring Skype even before that, but since February 2011, the service has been under order from the secret US Foreign Intelligence Surveillance Court (FISC), to not only supply information to the NSA but also to make itself accessible as a source of data for the agency.
http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

Tegen de NSA zal het niet helpen (valt mee te leven?) maar in zijn algemeenheid lijkt het wel wat veiliger te kunnen :

M$kype werkt ook zonder connectie over TCP poort 80 toe te staan, onder andere.

Wellicht toch wat veiliger om die blokkeer maatregel in ieder geval te nemen, als je M$kype nog wil gebruiken tenminste.
19-01-2015, 19:21 door Anoniem
Door Anoniem: Ik vind het altijd leuk om te lezen wat je niet moet doen.... maar schrijf nou eens wat je wel moet doen....

Want de tekst 'Do not accept cookies, do not allow the execution of JavaScript, do not log into any account, and do not use Chrome' -> Lees ik, gebruik IE! En dat is wel toch zo veilig!!

Of te wel, leuk zo'n blog, maar is zo weinig zeggends. Ik kan ook heel makkelijk een lange lijst van programma's en zaken verzinnen die je niet zou moeten doen. Dat is niet zo moeilijk. Maar het is veel lastiger om dan te schrijven wat je _WEL_ moet doen. Dus... niet echt sterk onderzoek

TheYOSH

Er staat toch wat je wel moet doen.. namelijk bepaalde dingen laten.
Daarnaast is de doelgroep 'beveiliging researchers' waarvan je mag verwachten dat die zelf wel capabel zijn om zelf alternatieven te vinden.
Het lijkt mij vanzelfsprekend dat kwa browser, Firefox met plugins hoog scoort (al verschuift dat met de dag meer naar 99% over Tor), en kwa chat, een eigen jabberserver met end2end encryption (bv openfire), en kwa mail, een eigen mailserver al dan niet met encryptie (zonder encryptie bestaat reeds het grote voordeel dat je correspondentie niet in extern beheer staat)
20-01-2015, 01:40 door Eric-Jan H te D
Volgens mij is het ongeveer zo: "Als iets wordt afgeraden, kun je het met een gerust hart wel doen.
En als het wordt aangeraden moet je je op zijn minst achter de oren krabben".

En als je niet afgeluisterd wil worden: "Neem geen telefoon waar je de accu niet van kunt verwijderen.
En gebruik geen internet (sloop voor alle zekerheid de WiFi/Bluetooth module eruit) en dubieuze USB-sticks"
20-01-2015, 22:55 door Anoniem
"Ook gebeurt het dat onderzoekers worden afgeluisterd"

So what?
Waar gaat dit over?
Ik krijg een sterk gevoel dat dit niet gaat over onderzoekers maar over slopers/saboteurs/crackers die zich proberen
te vermommen als onderzoeker...

Een goed onderzoeker onderzoekt en publiceert. Dan maakt het dus niet uit dat je wordt afgeluisterd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.