image

NSA geeft beveiligingstips tegen NSA

maandag 1 februari 2016, 12:38 door Redactie, 6 reacties

Tijdens een recente beveiligingsconferentie heeft een topman van de NSA het publiek uitgelegd wat ze kunnen doen om hun netwerken en systemen beter te beveiligen en zo het leven van inlichtingendiensten als de NSA een stuk lastiger te maken.

Vorige week vond de USENIX Enigma beveiligingsconferentie in San Francisco plaats. Rob Joyce, hoofd van de NSA's Tailored Access Operations (TAO), gaf een presentatie genaamd Disrupting Nation State Hackers (pdf). In zijn presentatie bespreekt Joyce hoe de NSA netwerken aanvalt en wat hier aan gedaan kan worden. "Als je echt je netwerk wilt beschermen, moet je je netwerk kennen, waaronder alle apparaten en beveiligingstechnologie die er onderdeel van uitmaken. In veel gevallen kennen wij netwerken beter dan de mensen die ze hebben ontworpen of beveiligen."

De NSA volgt daarbij zes fases om toegang tot een netwerk te krijgen, namelijk verkenning, eerste exploitatie, het verkrijgen van permanente toegang, het installeren van tools, lateraal door het netwerk bewegen en als laatste data verzamelen, terugsturen en gebruiken. Daarbij maakt de NSA vaak geen gebruik van zero day-lekken. Sterker nog, volgens Joyce komt het gebruik van onbekende kwetsbaarheden niet vaak voor. Vaak beginnen de aanvallen met traditionele aanvalsvectoren, zoals e-mailbijlagen en drive by-downloads via besmette websites.

Ook het aanvallen van bekende kwetsbaarheden die niet door organisaties zijn gepatcht is een beproefde methode. Volgens Joyce een belangrijk wapen in het hackingarsenaal van de NSA dan ook uitgebreide kennis en een flinke portie geduld. "Er is een reden dat het Advanced Persistent Threats worden genoemd, omdat we blijven rondneuzen en wachten. We wachten op die opening en gelegenheid om de missie te volbrengen."

Image

Reacties (6)
01-02-2016, 13:46 door Overcome
"Er is een reden dat het Advanced Persistent Threats worden genoemd, omdat we blijven rondneuzen en wachten. We wachten op die opening en gelegenheid om de missie te volbrengen."

Het lijkt dus meer op persistent threats. Dat 'advanced' is in veel gevallen helemaal niet nodig. Schakel een willekeurige pentester in om je network onder handen te nemen en je zult zien dat de meest basale zaken zoals patching, user access management, wijziging van default gebruikersnamen/wachtwoorden, network segmentatie, device hardening etc. niet op orde zijn en uiteindelijk uitgebuit kunnen worden. Hoe groter de organisatie, hoe groter de problemen, o.a. door legacy software, inzet van verschillende technologieën, achterstallige documentatie en daardoor gebrek aan inzicht hoe alles door de jaren heen is ontwikkeld, firewall regels die niet worden opgeruimd na uitfasering van software etc. Een NSA analist gaf dat een tijd geleden al aan: we hoeven cryptografie helelemaal niet te breken om binnen te komen. De gaten liggen vaak voor het oprapen. Security blijft wat dat betreft lastig om goed te doen, zeker als medewerkers of managers de lat laag leggen.
01-02-2016, 15:15 door Anoniem
Inderdaad, al die OPSEC en semi super kernel 0day exploit kiddies opmerkingen zijn erg leuk maar bij het gros van de bedrijven staan vaak de voordeuren wagenwijd open dus bespaar je de moeite en probeer die maar eerst eens netjes dicht te krijgen.
01-02-2016, 17:00 door Anoniem

De NSA volgt daarbij zes fases om toegang tot een netwerk te krijgen, namelijk verkenning, eerste exploitatie, het verkrijgen van permanente toegang, het installeren van tools, lateraal door het netwerk bewegen en als laatste data verzamelen, terugsturen en gebruiken.

Dus... Nmap, Armitage/Metasploit en een RAT achter laten?? Toch leuk dat ze met Kali Linux werken daar. Toch??/sarcasmeoff
01-02-2016, 20:25 door Anoniem
De aanhouder wint. Daarom is het bijna onmogelijk om, ondanks hun tips, dergelijke organisaties permanent buiten het netwerk te houden. Ze hebben het geduld en de resources om de schakels van de ketting constant onder druk te zetten totdat er een zwakke schakel voorbij komt. Dat kan een nieuw device zijn maar ook een systeembeheerder die op een gegeven moment door privé problemen even niet goed oplet bij het configureren van een IDS.

Wat interessanter zou zijn om te weten is hoe ze hun doelen kiezen: vallen ze maar gewoon lulkraak alles aan wat zwak genoeg is om te kijken wat er te halen valt en bewaren ze de zero days voor doelen met hoge prioriteit, of zijn ze specifiek en gericht om zo niet op te vallen.

Dat maakt nog wel een verschil: als een netwerk van een mkb overhoop gehaald wordt en het blijkt niet interessant dan blijft het bedrijf wel zitten met een nog grotere gatenkaas.
01-02-2016, 22:29 door Anoniem
Drive by downloads? R u kidding?

Dus die fake Adobe flash updates, fake download buttons en download scriptjes worden ook gemaakt door de nsa ;)
24-02-2016, 18:39 door Anoniem
Dit lijkt me meer een manier om de media te bespelen dan echt de in-en-outs te vertellen van de hoe de NSA te werk gaat. Als Plasterk al te bang is om cijfers te publiceren om zijn "modus operandi" te verraden, dan gaan ze bij de NSA hierover toch geen boekje open doen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.