image

Spionagegroep kon vpn-wachtwoord van Cisco PIX stelen

vrijdag 19 augustus 2016, 14:32 door Redactie, 5 reacties

Een aan de NSA-gelieerde spionagegroep was in staat om via het internet Cisco PIX-apparaten aan te vallen en vpn-privésleutels te stelen. Dat laat onderzoeker Mustafa Al-Bassam weten die een tool testte die deze week in een datadump van de "Equation Group" online verscheen.

De Cisco PIX (Private Internet eXchange) was een populaire ip-firewall en network address translation (NAT) appliance die sinds 2008 niet meer door Cisco wordt aangeboden en ook niet meer wordt ondersteund. Ook kon het apparaat worden gebruikt voor het opzetten van vpn-verbindingen, zodat werknemers van een organisatie bijvoorbeeld met een bedrijfsnetwerk verbinding konden maken. Maandag verscheen op internet een collectie met allerlei tools en exploits van de Equation Group om allerlei netwerkapparaten mee aan te vallen.

Eén van de tools, met de naam BENIGNCERTAIN, blijkt een exploit voor Cisco PIX-apparaten te zijn. De tool stuurt een Internet Key Exchange (IKE) pakketje naar de PIX-appliance, die daardoor een deel van het geheugen dumpt. De geheugendump kan vervolgens worden uitgelezen om zo de RSA-privésleutel en andere gevoelige configuratiegegevens, zoals vpn-instellingen, te achterhalen. Vanwege deze mogelijkheid heeft Al-Bassam de tool tot Pixpocket omgedoopt. Volgens Bassam heeft de NSA de aanvalstool veel gebruikt, aangezien het allerlei objecten in de geheugendumps van de PIX-apparaten herkent.

Image

Reacties (5)
19-08-2016, 17:56 door Anoniem
Weer een reden om geen "best practices" te volgen en veelgebruikte apparaten en oplossingen te gebruiken.

In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
20-08-2016, 07:12 door Anoniem
Door Anoniem: Weer een reden om geen "best practices" te volgen en veelgebruikte apparaten en oplossingen te gebruiken.

In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.
Best practice is om niet te vertrouwen op een product voor je beveiliging. Maar als jij dat liever wel doet moet je dat natuurlijk zelf weten.

Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.
20-08-2016, 11:58 door Anoniem
Door Anoniem:
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.

Als je eigen oplossingen gebruikt waarvan de aanvaller niet beschikt over een copie of zelfs de broncode, dan is het
veel lastiger voor hem om lekken te vinden bijvoorbeeld buffer overflows, en daar dan ook daadwerkelijk iets mee te doen wat
beter bruikbare resultaten geeft dan een DOS (bijvoorbeeld de software laten crashen).
21-08-2016, 09:19 door Anoniem
Door Anoniem:
Door Anoniem:
Waarom zou jou boeren verstand veiliger zijn dan dat van een fabrikant die veel meer geld en tijd kan steken in research naar een veilige oplossing? Een spionagegroep gaat het om het doel en welke middelen een groep moet overwinnen weet je niet. Je weet dan ook niet of je riciso afneemt of juist toeneemt door je eigen oplossing te gebruiken.

Als je eigen oplossingen gebruikt waarvan de aanvaller niet beschikt over een copie of zelfs de broncode, dan is het
veel lastiger voor hem om lekken te vinden bijvoorbeeld buffer overflows, en daar dan ook daadwerkelijk iets mee te doen wat
beter bruikbare resultaten geeft dan een DOS (bijvoorbeeld de software laten crashen).

Tenzij je iets fysieks doet zoals een kabel verwijderen of een machine niet aan het internet hangt dan maak jij hoe dan ook gebruik van een platform, of dat nu linux is of whatever daarop zal je dan mogelijk een firewall draaien die je naar ik gok ook niet zelf ontworpen hebt. Daarnaast zal je de software draaien op een machine met de nodige chips die je volgens mij ook niet gebakken hebt. kortom er is genoeg materiaal beschikbaar om proberen binnen te komen.

Natuurlijk is het waar dat als je de niet standaard oplossingen gebruikt je het een onwenste bezoeker die een gemakkelijke prooi zoekt mogelijk (even) de deur wijst maar als ze jou op de korrel hebben dan zitten ze gewoon naast je op je computerstoel, zeker als de aanval op het niveau van bijvoorbeeld een NSA vandaan komt of een goede hackersgroep.

Het is net als een iets beter slot op je deur..binnen komen doen ze wel alleen het duurt iets langer.
22-08-2016, 12:41 door Anoniem
Door Anoniem: Weer een reden om geen "best practices" te volgen en veelgebruikte apparaten en oplossingen te gebruiken.

In plaats daarvan kies ik er thuis voor om creatieve oplossingen te gebruiken en te vertrouwen op eigen kennis en boerenverstand.

"Best practice" is security in depth waarbij je je VPN "service" (IKE, TLS, IPSEC, etc...) enkel voor je gekende VPN peers toegankelijk maakt d.m.v. filtering...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.