Spionagegroep kon vpn-wachtwoord van Cisco PIX stelen
Een aan de NSA-gelieerde spionagegroep was in staat om via het internet Cisco PIX-apparaten aan te vallen en vpn-privésleutels te stelen. Dat laat onderzoeker Mustafa Al-Bassam weten die een tool testte die deze week in een datadump van de "Equation Group" online verscheen.
De Cisco PIX (Private Internet eXchange) was een populaire ip-firewall en network address translation (NAT) appliance die sinds 2008 niet meer door Cisco wordt aangeboden en ook niet meer wordt ondersteund. Ook kon het apparaat worden gebruikt voor het opzetten van vpn-verbindingen, zodat werknemers van een organisatie bijvoorbeeld met een bedrijfsnetwerk verbinding konden maken. Maandag verscheen op internet een collectie met allerlei tools en exploits van de Equation Group om allerlei netwerkapparaten mee aan te vallen.
Eén van de tools, met de naam BENIGNCERTAIN, blijkt een exploit voor Cisco PIX-apparaten te zijn. De tool stuurt een Internet Key Exchange (IKE) pakketje naar de PIX-appliance, die daardoor een deel van het geheugen dumpt. De geheugendump kan vervolgens worden uitgelezen om zo de RSA-privésleutel en andere gevoelige configuratiegegevens, zoals vpn-instellingen, te achterhalen. Vanwege deze mogelijkheid heeft Al-Bassam de tool tot Pixpocket omgedoopt. Volgens Bassam heeft de NSA de aanvalstool veel gebruikt, aangezien het allerlei objecten in de geheugendumps van de PIX-apparaten herkent.
In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.
Als je eigen oplossingen gebruikt waarvan de aanvaller niet beschikt over een copie of zelfs de broncode, dan is het
veel lastiger voor hem om lekken te vinden bijvoorbeeld buffer overflows, en daar dan ook daadwerkelijk iets mee te doen wat
beter bruikbare resultaten geeft dan een DOS (bijvoorbeeld de software laten crashen).
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.
Als je eigen oplossingen gebruikt waarvan de aanvaller niet beschikt over een copie of zelfs de broncode, dan is het
veel lastiger voor hem om lekken te vinden bijvoorbeeld buffer overflows, en daar dan ook daadwerkelijk iets mee te doen wat
beter bruikbare resultaten geeft dan een DOS (bijvoorbeeld de software laten crashen).
Tenzij je iets fysieks doet zoals een kabel verwijderen of een machine niet aan het internet hangt dan maak jij hoe dan ook gebruik van een platform, of dat nu linux is of whatever daarop zal je dan mogelijk een firewall draaien die je naar ik gok ook niet zelf ontworpen hebt. Daarnaast zal je de software draaien op een machine met de nodige chips die je volgens mij ook niet gebakken hebt. kortom er is genoeg materiaal beschikbaar om proberen binnen te komen.
Natuurlijk is het waar dat als je de niet standaard oplossingen gebruikt je het een onwenste bezoeker die een gemakkelijke prooi zoekt mogelijk (even) de deur wijst maar als ze jou op de korrel hebben dan zitten ze gewoon naast je op je computerstoel, zeker als de aanval op het niveau van bijvoorbeeld een NSA vandaan komt of een goede hackersgroep.
Het is net als een iets beter slot op je deur..binnen komen doen ze wel alleen het duurt iets langer.
In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
"Best practice" is security in depth waarbij je je VPN "service" (IKE, TLS, IPSEC, etc...) enkel voor je gekende VPN peers toegankelijk maakt d.m.v. filtering...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
