Kleine netwerkscanner CUJO groot succes op Indiegogo
Een klein apparaatje dat het netwerkverkeer op malware en andere aanvallen scant is een groot succes op crowdfundingplatform Indiegogo. CUJO heeft de omvang van een grote appel en monitort het verkeer van alle apparaten op het netwerk. Gebruikers hoeven het apparaatje alleen op hun router aan te sluiten en CUJO doet de rest, aldus de omschrijving op Indiegogo.
Volgens de ontwikkelaars fungeert CUJO als een gateway tussen het internet en de apparaten op het netwerk. Al het verkeer wordt vervolgens op pakketniveau geïnspecteerd en geblokkeerd in geval van malware of andere dreigingen. Hiervoor past CUJO deep packet inspection (DPI) toe. Naast het betalen voor het apparaatje zelf, dat 49 dollar kost, moet er ook een abonnement van 9 dollar per maand worden afgesloten. De abonnementskosten zijn volgens de ontwikkelaars nodig om nieuwe dreigingen te detecteren.
Hiervoor haalt het lokale CUJO-apparaatje informatie uit de CUJO-cloud. Hoewel CUJO het netwerkverkeer scant krijgen gebruikers wel het advies om lokaal op de computer een virusscanner te installeren. In vier dagen tijd op Indiegogo heeft CUJO al 90.000 dollar van 1259 mensen opgehaald, terwijl er 30.000 dollar was beoogd. Met nog 28 dagen te gaan zit de netwerkscanner nu al op 300% van het financieringsdoel. Als alles volgens plan gaat zullen de eerste CUJO's volgend jaar februari of maart worden uitgeleverd.
Reacties (17)
19-09-2015, 09:58 door
karma4
We hebben het over een oplossing die alle inhoud (content) en metadata afwerk en controleert op de datalijn.
Dat kan al ingevuld worden door de ISP https://www.security.nl/posting/443814/Sterke+toename+van+Windows-malware+op+mobiele+netwerken Alcatel-lucent levert dat al.
We zetten virusscanners op de machines waar we alle toegang en rechten aan afgeven. https://www.security.nl/posting/443905/Anti-virusbedrijf+AVG%3A+we+gaan+geen+persoonlijke+data+verkopen
Ik zie alleen maar symptoombestrijding waarbij het middel erger kan zijn dan de kwaal.
Ik zou graag zien dat root-causes aangepakt zouden worden.
Dat kan al ingevuld worden door de ISP https://www.security.nl/posting/443814/Sterke+toename+van+Windows-malware+op+mobiele+netwerken Alcatel-lucent levert dat al.
We zetten virusscanners op de machines waar we alle toegang en rechten aan afgeven. https://www.security.nl/posting/443905/Anti-virusbedrijf+AVG%3A+we+gaan+geen+persoonlijke+data+verkopen
Ik zie alleen maar symptoombestrijding waarbij het middel erger kan zijn dan de kwaal.
Ik zou graag zien dat root-causes aangepakt zouden worden.
19-09-2015, 10:34 door
[Account Verwijderd]
[Verwijderd]
Door Buran: En we geloven CUJO op hun blauwe ogen dat niet al het verkeer (/meta data) in een cloudje komt te staan ...
Is het opensource software, ik heb er niks van kunnen vinden.
Precies, hoe betrouwbaar is dit eigenlijk? Halen we niet een trojaans paard binnen met een achterdeur naar de NSA/GHCQ/AIVD etc etc?Is het opensource software, ik heb er niks van kunnen vinden.
Als Cujo netwerkverkeer kan monitoren kan het waarschijnlijk ook netwerkverkeer analyseren. Het komt natuurlijk wel weer uit de VS dus dan zouden standaard alle alarmbellen af moeten gaan.
Door Buran: En we geloven CUJO op hun blauwe ogen dat niet al het verkeer (/meta data) in een cloudje komt te staan ...
Is het opensource software, ik heb er niks van kunnen vinden.
Is het opensource software, ik heb er niks van kunnen vinden.
In de Faq staat het reeds
We do collect metadata headers based on deep packet inspection. Raw deep packet inspection NEVER leaves your CUJO device and it is not stored. When the CUJO device publishes the metadata, It is important to know that is encrypted and anonymized.
Waarom überhaupt metadata publiseren?Hoe voeren ze die Deep Packet Inspection uit? En dan doel ik met name op versleutelde (https/ssl/tls) communicatie.
Of dat slaan ze voor het gemak maar over, ze 'vergeten' dus een groot deel te scannen wat een misleidend gevoel van veiligheid geeft.
Of ze gebruiken een man-in-the middle certificaat om je communicatie eerst te decrypten en vervolgens naar de server weer te encrypten. (à la Lenovo). Voor je browser lijkt nu alles veilig...
Of dat slaan ze voor het gemak maar over, ze 'vergeten' dus een groot deel te scannen wat een misleidend gevoel van veiligheid geeft.
Of ze gebruiken een man-in-the middle certificaat om je communicatie eerst te decrypten en vervolgens naar de server weer te encrypten. (à la Lenovo). Voor je browser lijkt nu alles veilig...
Wat is de beoogde doorvoersnelheid van het apparaatje?
DPI op SSL is een flinke impact op de snelheid van het verkeer.
Dat er al (meta)data wordt verstuurd heb ik al mijn twijfels bij
DPI op SSL is een flinke impact op de snelheid van het verkeer.
Dat er al (meta)data wordt verstuurd heb ik al mijn twijfels bij
Door Anoniem:
In de Faq staat het reeds
Door Buran: En we geloven CUJO op hun blauwe ogen dat niet al het verkeer (/meta data) in een cloudje komt te staan ...
Is het opensource software, ik heb er niks van kunnen vinden.
Is het opensource software, ik heb er niks van kunnen vinden.
In de Faq staat het reeds
We do collect metadata headers based on deep packet inspection. Raw deep packet inspection NEVER leaves your CUJO device and it is not stored. When the CUJO device publishes the metadata, It is important to know that is encrypted and anonymized.
Waarom überhaupt metadata publiseren?Omdat ze hierdoor in staat zijn trends en verspreiding van malware te detecteren tbv een "zelf lerend" systeem. Hiermee kun je sneller en beter reageren op onbekende malware updates.
Een beetje zoals ironports omgaan met spam.
19-09-2015, 13:56 door
karma4
Ik denk dat deze link https://www.indiegogo.com/projects/don-t-get-hacked-get-cujo#/story het beeld complete maakt. Inhoud van encrypted data gaat niet, dan is het alleen nog metadata. Er wordt lokaal wat gedaan en er komen zaken uit de cloud. Waarom ze die metadata nodig hebben? Het is de terugkoppeling van events waarop nieuwe gevallen gebaseerd moeten gaan worden. Hoe dacht je dat malwaredetectie dat oplost. Call-home. Dat hoeft niet fout te zijn.
Hij moet tussen de provider en router. Als die ISP-er dat als combinatie levert, zal dat door de ISP gedaan kunnen worden.
Hij moet tussen de provider en router. Als die ISP-er dat als combinatie levert, zal dat door de ISP gedaan kunnen worden.
het is gewoon een apparaat met Snort erop. Heb ik thuis ook Die voert ook DPI uit. Doormiddel van een aantal lijsten die worden bijgewerkt waar in de signaturs etc staan van de malware en andere dingen.
Als je een oude computer/laptop etc heb met 2 netwerk aansluitingen kan je dat zelf instaleren GRATIS.
of een rasberri pi kan je ook al zo iets maken.
Deze zal wel het zelfde doen.
weet verder niet hoe ze het verder doen maar.
Denk dat hij data naar de cloud stuurt en dat het daar gescand word en dan een signaal terug stuurt.
Als je een oude computer/laptop etc heb met 2 netwerk aansluitingen kan je dat zelf instaleren GRATIS.
of een rasberri pi kan je ook al zo iets maken.
Deze zal wel het zelfde doen.
weet verder niet hoe ze het verder doen maar.
Denk dat hij data naar de cloud stuurt en dat het daar gescand word en dan een signaal terug stuurt.
gewoon een Rasberry pi https://www.raspberrypi.org/products/raspberry-pi-2-model-b/
pakken en daar pfsense opgooien met snort en in je netwerk hangen. Resultaat. Zelfde.
met snort https://www.snort.org/ = een IPS/IDS wat ook DPI kan uitvoeren en je data word niet naar de cloud gestuurd omdat je zelf het beheerd.
of een oude computer/laptop etc kan ook als er maar 2 netwerk connecties erop zit.
De doorvoersnelheid ligt aan de snelheid van de hardware zelf. Met mijn setup haal ik makelijk 200 MBit/second downloads. Terwijl mijn router(met pfsense/snort/eigen DNS/en andere spul) maar 20% van mijn cpu draait.
pakken en daar pfsense opgooien met snort en in je netwerk hangen. Resultaat. Zelfde.
met snort https://www.snort.org/ = een IPS/IDS wat ook DPI kan uitvoeren en je data word niet naar de cloud gestuurd omdat je zelf het beheerd.
of een oude computer/laptop etc kan ook als er maar 2 netwerk connecties erop zit.
De doorvoersnelheid ligt aan de snelheid van de hardware zelf. Met mijn setup haal ik makelijk 200 MBit/second downloads. Terwijl mijn router(met pfsense/snort/eigen DNS/en andere spul) maar 20% van mijn cpu draait.
19-09-2015, 17:10 door
MeowSec
Door karma4: Ik denk dat deze link https://www.indiegogo.com/projects/don-t-get-hacked-get-cujo#/story het beeld complete maakt. Inhoud van encrypted data gaat niet, dan is het alleen nog metadata. Er wordt lokaal wat gedaan en er komen zaken uit de cloud. Waarom ze die metadata nodig hebben? Het is de terugkoppeling van events waarop nieuwe gevallen gebaseerd moeten gaan worden. Hoe dacht je dat malwaredetectie dat oplost. Call-home. Dat hoeft niet fout te zijn.
Hij moet tussen de provider en router. Als die ISP-er dat als combinatie levert, zal dat door de ISP gedaan kunnen worden.
Hij moet tussen de provider en router. Als die ISP-er dat als combinatie levert, zal dat door de ISP gedaan kunnen worden.
Je kan https verkeer wel afluisteren in theory.
met bv fiddler die maakt een eigen CA aan en kan in de browser geplaats worden. Die kan dan ook alle ssl verkeer monitoren en dus ook gebruikers namen en wachtwoorden onderscheppen. Voor een hacker is dat lastiger om een certificaat te installeren op je computer maar voor veel 3 letterige organisaties staan ze al op onze computers. dan hoeven ze alleen maar het verkeer zelf proberen af te tappen.
19-09-2015, 20:53 door
karma4
Door MeowSec: [Je kan https verkeer wel afluisteren ....
maar voor veel 3 letterige organisaties staan ze al op onze computers. .
Ik geef het meteen toe, je hebt gelijk. Dat ding zet je in het midden dus een "man in de middle" attack is goed denkbaar. Je noemt in één adem door de inherente zwakte van de CA's. Het is het zelfde argument om niet in open wifi spots zo maar aan de slag te gaan. (krantje lezen is tot daaraan toe).maar voor veel 3 letterige organisaties staan ze al op onze computers. .
Mag ik die 3 letterige organisaties met 4 en meer uitbreiden? AIVD (NL) GCHQ (UK) zijn de 4 letterige voorbeelden
Door MeowSec: [met snort https://www.snort.org/ .... .
Je alternatieve voorstel ... http://hexus.net/tech/features/network/86447-cujo-primed-protect-home-network-threats/"We use proprietary behavioral analysis engine, SNORT packet inspection, and a 3rd party malware scanning solution (confidential)." Het is precies wat ze aan het doen zijn en commercieel zien te krijgen.
Kijk ik op snort rond dan zie ik: http://manual.snort.org/ "Copyright ©2014 Cisco and/or its affiliates. All rights reserved. " Wat doet Cisco daar in open source? Oracle deed het ook zo goed met open office (not).
19-09-2015, 22:22 door
ej__
Cisco heeft enige tijd geleden de maker van Snort (sourcefire) gekocht. Daarom zie je nu Cisco staan.
http://www.cisco.com/web/about/ac49/ac0/ac1/ac259/sourcefire.html
http://www.cisco.com/web/about/ac49/ac0/ac1/ac259/sourcefire.html
Al het verkeer gaat door dat ding heen en het stuurt info naar een vreemde server ("cloud"). Ik hoop dat ze goed over de beveiliging hebben nagedacht en dat boven UX prevaleren. Zo niet, dan ben ik bang dat wanneer dit project in eerste instantie een succes wordt, er enige tijd later een aantal nieuwsartikelen op security.nl zullen verschijnen. We zullen zien...
20-09-2015, 01:10 door
MeowSec
bedoelde natuurlijk ook de nederlandse en alle varianten ervan.
het apparaatje is verder niet duur. maar wat ik niet zit zitten is elke maand er voor te betalen. Dan ben je goedkoper uit als je zelf iets opzet met snort installed. Pfsense addon is wel snort maar is aangepast zodat hij goed werkt met freebsd/pfsense en een gui erbij etc. De rules zijn gratis en zo. Er is wel een betaalde lijst maar die word na een tijdje door gezet naar de gratis list.
als je altijd uptodate wilt zijn kan je dat doen. maar voor een huis connectie waar ze oprichten lijkt me is dat niet echt nodig.
en voor bedrijven die hebben iets sterkere hardware nodig.
Geen idee waarom cisco snort heeft gekocht misschien om het gewoon te kunnen gebruiken en het een beetje te kunnen sturen wat aangepast/toegevoegd word.
het apparaatje is verder niet duur. maar wat ik niet zit zitten is elke maand er voor te betalen. Dan ben je goedkoper uit als je zelf iets opzet met snort installed. Pfsense addon is wel snort maar is aangepast zodat hij goed werkt met freebsd/pfsense en een gui erbij etc. De rules zijn gratis en zo. Er is wel een betaalde lijst maar die word na een tijdje door gezet naar de gratis list.
als je altijd uptodate wilt zijn kan je dat doen. maar voor een huis connectie waar ze oprichten lijkt me is dat niet echt nodig.
en voor bedrijven die hebben iets sterkere hardware nodig.
Geen idee waarom cisco snort heeft gekocht misschien om het gewoon te kunnen gebruiken en het een beetje te kunnen sturen wat aangepast/toegevoegd word.
Door karma4:
Mag ik die 3 letterige organisaties met 4 en meer uitbreiden? AIVD (NL) GCHQ (UK) zijn de 4 letterige voorbeelden
"We use proprietary behavioral analysis engine, SNORT packet inspection, and a 3rd party malware scanning solution (confidential)." Het is precies wat ze aan het doen zijn en commercieel zien te krijgen.
Kijk ik op snort rond dan zie ik: http://manual.snort.org/ "Copyright ©2014 Cisco and/or its affiliates. All rights reserved. " Wat doet Cisco daar in open source? Oracle deed het ook zo goed met open office (not).
Door MeowSec: [Je kan https verkeer wel afluisteren ....
maar voor veel 3 letterige organisaties staan ze al op onze computers. .
Ik geef het meteen toe, je hebt gelijk. Dat ding zet je in het midden dus een "man in de middle" attack is goed denkbaar. Je noemt in één adem door de inherente zwakte van de CA's. Het is het zelfde argument om niet in open wifi spots zo maar aan de slag te gaan. (krantje lezen is tot daaraan toe).maar voor veel 3 letterige organisaties staan ze al op onze computers. .
Mag ik die 3 letterige organisaties met 4 en meer uitbreiden? AIVD (NL) GCHQ (UK) zijn de 4 letterige voorbeelden
Door MeowSec: [met snort https://www.snort.org/ .... .
Je alternatieve voorstel ... http://hexus.net/tech/features/network/86447-cujo-primed-protect-home-network-threats/"We use proprietary behavioral analysis engine, SNORT packet inspection, and a 3rd party malware scanning solution (confidential)." Het is precies wat ze aan het doen zijn en commercieel zien te krijgen.
Kijk ik op snort rond dan zie ik: http://manual.snort.org/ "Copyright ©2014 Cisco and/or its affiliates. All rights reserved. " Wat doet Cisco daar in open source? Oracle deed het ook zo goed met open office (not).
They use snort and noting about encrypted traffic such as TLS, Look like a cheap snort using bidefender.
22-09-2015, 01:01 door
MeowSec
Door Anoniem: They use snort and noting about encrypted traffic such as TLS, Look like a cheap snort using bidefender.
vind ik ook :) en je moet ook nog eens maandelijks betalen
Yup agreed. and you have to pay for it monthly also.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
