image

NCSC waarschuwt voor SMBloris-lek in Windows-servers

maandag 31 juli 2017, 17:06 door Redactie, 42 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie heeft een waarschuwing afgegeven voor het SMBloris-lek in Windows-servers dat vorige week tijdens de Def Con-hackerconferentie in Las Vegas werd gedemonstreerd (pdf).

Het gaat om een kwetsbaarheid in het SMBv1-protocol waardoor het mogelijk is om met een eenvoudige computer, zoals een Raspberry Pi, krachtige webservers uit te schakelen. Volgens het NCSC kan een aanvaller vanaf één ip-adres 65.335 verbindingen opzetten, waardoor er ongeveer 8GB aan geheugen gealloceerd zal worden door de server wat niet beschikbaar meer is voor andere processen. De aanval kan vanaf meerdere ip-adressen worden uitgevoerd, waarbij elk ip-adres 8GB geheugen in beslag neemt.

"Microsoft heeft dit probleem niet als kwetsbaarheid ingeschaald, maar als bug. Daarom heeft Microsoft aangegeven deze kwetsbaarheid niet te verhelpen middels een beveiligingsupdate. Er is op dit moment dus geen patch beschikbaar om deze kwetsbaarheid te verhelpen", aldus het NCSC. De organisatie wijst naar algemene maatregelen om systemen te beschermen. Zo moet tcp-poort 445 niet vanaf het internet toegankelijk zijn, moet poort 445 alleen binnen bepaalde netwerksegmenten en alleen tussen clients en servers op basis van strikte noodzaak bereikbaar zijn en moet indien mogelijk SMBv1 worden uitgeschakeld. Daarnaast kan het aantal tcp-verbindingen per ip-adres worden beperkt.

Reacties (42)
31-07-2017, 17:55 door Anoniem
Gelukkig.... er zit 32 GB ram in mijn Linux bak :D

TheYOSH
31-07-2017, 19:04 door Anoniem
en weer eentje.... had MS maar veeel eerder SMBv1 default uitgezet enzo...
31-07-2017, 19:52 door karma4
Door Anoniem: en weer eentje.... had MS maar veeel eerder SMBv1 default uitgezet enzo...
Wanneer de beheerders en gebruikers beginnen te schreeuwen dat hun oud apparaten en die Linux doosjes het niet meer doen. Linux is pas sinds 2008 de nieuwe versie aan gaan bieden. Dat betekent dat je vanaf 2012 of later aangepaste Linux doosjes mag verwachten als gangbaar iets.

Op zich wel lachen dat ze nu eenvoudige capaciteitsissues als een security aanval gaan zien. De meest eenvoudige stupiditeit is het uitschakelen of kwetsbaar laten zijn van serviceaccounts of nog beter root open zetten admin/admin.
31-07-2017, 20:00 door [Account Verwijderd]
[Verwijderd]
31-07-2017, 20:00 door Anoniem
"Wanneer de beheerders en gebruikers beginnen te schreeuwen dat hun oud apparaten en die Linux doosjes het niet meer doen. Linux is pas sinds 2008 de nieuwe versie aan gaan bieden. Dat betekent dat je vanaf 2012 of later aangepaste Linux doosjes mag verwachten als gangbaar iets."

kijk weetje wat zo krom aan deze redenering is, van gebruikers verwachten we dat ze het verschil zien tussen een fishing mail en linkjes die malware binnenhalen etc., maar van beheerders mogen we van jou dus niet verwachten dat ze overweg kunnen met een service / daemon die default uit staat en indien nodig is enables kan worden via een klik in een gui.

default uit is niet gelijk aan uitgefaseerd. wie thuis in MKB heeft eem windows sever met SMBv1 nodig omdat die ook een linux machine heeft ofzo? is het nu zo moeilijk voor te stellen voor je dat indien de situattie zich voordoet dat SMBv1 nodig is, de beheerder in kwetsie nieten een google kan doen en een klik kan plegen?

maar blijf vooral gebruikers de schuld geven omdat ze bedonderd worden een linkje te klikken... heel constructief allemaal!
31-07-2017, 21:21 door karma4
Door Neb Poorten:
Wat heeft dat hiermee te maken? En oude Linux versies kan je probleemloos updaten naar nieuwere versies en dan blijft alles gewoon werken.
Probeer dat eens met alle IOT zaken zoals: routers, camera's, NAS systemen dat levert een zeer koude douche op.
31-07-2017, 21:29 door [Account Verwijderd]
[Verwijderd]
31-07-2017, 21:50 door karma4
Door Neb Poorten: Dat zou prima werken! Het probleem bij IoT is dat de fabrikanten het updaten moelijk of zelfs onmogelijk hebben gemaakt.
En waarom zouden ze dat (denk aan onmogelijk) gedaan hebben ... denk je. Het levert in ieder geval een catch22 op.
31-07-2017, 22:10 door Anoniem
"En waarom zouden ze dat (denk aan onmogelijk) gedaan hebben ... denk je. Het levert in ieder geval een catch22 op."


waarschijnlijk om dezelfde economische winst belang redenen als de fabrikanten van hardware met MS windows embedded er op die geen updates krijgen:

https://en.wikipedia.org/wiki/Windows_IoT


we kennen ze allemaal wel die blue screens op pin automaten of ns of andere reclame borden....

ja ja heel veel issues met IoT inderdaad!
31-07-2017, 23:21 door Anoniem
Door Neb Poorten:
Door karma4:
Door Neb Poorten:
Wat heeft dat hiermee te maken? En oude Linux versies kan je probleemloos updaten naar nieuwere versies en dan blijft alles gewoon werken.
Probeer dat eens met alle IOT zaken zoals: routers, camera's, NAS systemen dat levert een zeer koude douche op.

Dat zou prima werken! Het probleem bij IoT is dat de fabrikanten het updaten moelijk of zelfs onmogelijk hebben gemaakt.

Zo simpel ligt dat lang niet altijd. De realiteit is nou eenmaal dat nieuwere versies (ook bij Linux) meer resources vergen,
op zijn minst meer opslagruimte (flash), meestal meer werkruimte (RAM) en vaak ook meer CPU power. Dat zie je al heel
goed als je kijkt naar het updaten van PC's, maar ook bij embedded devices speelt dat. Het is dus helemaal niet zeker
dat een iets ouder apparaat nog KAN worden geupdate met de versies die de nieuwe protocollen en beveiligingen
mogelijk maken.
01-08-2017, 07:40 door Anoniem
Door Anoniem: Gelukkig.... er zit 32 GB ram in mijn Linux bak :D

TheYOSH

De aanval kan vanaf meerdere ip-adressen worden uitgevoerd. Iedere keer een 8GB stack.
01-08-2017, 08:19 door karma4
Door Anoniem: ...
waarschijnlijk om dezelfde economische winst belang redenen als de fabrikanten van hardware met MS windows embedded er op die geen updates krijgen.
Je bent er bijna. A/ iot us voornamelijk linux want dat is gratis en je hoeft niets aan informatieveiligheid te doen. Dat is boor anderen (ahum.... ).
B/ trek het maar meteen door naar appliances pakketten van de grote commerciële jongens ibm Oracle aap en meet. Je betaalt je er blauw aan terwijl ze tegelijkertijd het hebben over Foss wat meekomt het is meer de fud aanpak.
En nee ook daar kan je niet zo maar onderdelen gaan uitwisselen naar eigen smaak en voorkeur. Je moet wachten op de leverancier en dan complexe kostbare migratietrajecten doorgaan. Het is niet veel anders als embedded systemen.
01-08-2017, 08:50 door [Account Verwijderd] - Bijgewerkt: 01-08-2017, 08:55
[Verwijderd]
01-08-2017, 08:50 door [Account Verwijderd] - Bijgewerkt: 01-08-2017, 09:27
[Verwijderd]
01-08-2017, 09:35 door Bitwiper
Door Anoniem: en weer eentje.... had MS maar veeel eerder SMBv1 default uitgezet enzo...

Uit https://www.theregister.co.uk/2017/07/30/slow_loris_smbv1_attack/:
By Richard Chirgwin 30 Jul 2017 at 23:59:
Microsoft won't patch SMB flaw that only an idiot would expose
[...]
Updated to add

According to Microsoft's SMB supremo Ned Pyle, SMBLoris affects all versions of SMB – not v1 as first thought – because it all happens so early on in the connection. Best thing to do is firewall off ports 445 and 139 from the public, and rate limit access to the service locally if you're paranoid about internal attacks.
01-08-2017, 10:29 door Anoniem
Door Anoniem: en weer eentje.... had MS maar veeel eerder SMBv1 default uitgezet enzo...

MS gebruikt sinds XP al geen SMBv1 meer. Maar omdat allerlei verouderde Linux-gebaseerde IT-zut nog wel SMBv1 doet, staat het protocol standaard aan.

Niks mis met Linux overigens, wel met slecht systeemonderhoud.
01-08-2017, 11:23 door Bitwiper - Bijgewerkt: 01-08-2017, 11:24
Door Anoniem:
Door Anoniem: en weer eentje.... had MS maar veeel eerder SMBv1 default uitgezet enzo...

MS gebruikt sinds XP al geen SMBv1 meer.
Doe je huiswerk (lees bijv. https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows) voordat je de suggestie wekt dat je na XP niet kwetsbaar meer bent.

Een van mijn PC's met W10 met Creators Update: http://imgur.com/a/byxUb

Los daarvan, zoals ik hierboven schreef: deze kwetsbaarheid geldt, naar verluidt volgens Ned Pyle van Microsoft, voor ALLE SMB versies.
01-08-2017, 11:33 door Anoniem
De versie van Windows maakt voor deze kwetsbaarheid niet uit, ook de versie van SMB niet. Het is de deamon die de geheugenruimte alloceert. De server/pc is niet meer kwetsbaar als er geen deamon meer luistert op deze poort.
01-08-2017, 12:01 door Anoniem
Het hele SMB protocol dient derhalve op de schop omdat niemand goed heeft nagedacht over manier waarop geheugen allocatie plaatsvindt, bezetten van sockets en fysieke RAM die je hebt o.a. Men zal wel weer eindeloos verder blijven modderen met additionele beveiligingslaagjes als ware het slabbetjes.

Amit Klein beschreef de mogelijkheid van SMBloris aanvallen al in 2007. Bij een terdege aanval via 20 lijntjes code is er niet eens meer ruimte voor het tonen van een blauw scherm.

Ik heb zo het idee dat men al die decennia de infrastructuur heeft willen domineren door de kennis hierover bij een hele kleine groep te houden met een massa gebruikers, die nog niet eens beschikken over kennis van handige short-cuts als Windowsknop + l om hun machine direct te locken. mocht de typejuffrouw even weggeroepen worden.

Ook vele mensen op de IT vloer beseffen niet voldoende via kennis over protocollen en code waar de beveiliging om zou moeten draaien. Ik zie het bij de website bouwers tegenover technische IT, die regulaire expressies kan gebruiken en meestal hun weg vinden binnen een kleine kring van "ingewijden". En zo werden we tientallen jaren a.h.w. gegijzeld door Microsoft en de Amerikaanse veiligheidsdiensten. Surveillance & Hacks by design.

Het is net een systeem als in de Middeleeuwen, een kleine kaste kon schrijven en de grote massa moest het doen met afbeeldingen en als je kijkt naar kinderen en het huidige schrijfonderwijs kan zo'n situatie als de neo-Middeleeuwen zo weer terugkeren.

Jammer dat de fouten die (wellicht moedwillig) zijn gemaakt nu moeten worden opgelost met Server Message Block met full encryption en firewalling en IDS (kost iets meer), en dat we niet weten wat de slechte kant van de ingewijden voor rampen nog over ons af kan roepen.

Ik ben het dus wel met bovengaande reactie eens, dat er tenminste binnen een organisatie iemand weet moet hebben van wat er allemaal digitaal gebeurt en of dat veiligheidsimplicaties kan hebben. Met de manier waarop alles tegenwoordig georganiseerd is en vanwege de status van de infrastructuur denk ik dat het nog lang dweilen met de kraan open zal blijven.

Gaan we nog wat doen hieraan bij opleiding, bij het herstellen en veiligmaken van de infrastructuur, aan de enorme kennisachterstand bij de gewone n00b gebruikers.

De olifant loopt al lang door de kamer, echter weinigen die hem kunnen of willen zien.

luntrus
01-08-2017, 14:18 door karma4
Door Neb Poorten:
Door karma4:
Door Anoniem: ...
waarschijnlijk om dezelfde economische winst belang redenen als de fabrikanten van hardware met MS windows embedded er op die geen updates krijgen.
Je bent er bijna. A/ iot us voornamelijk linux want dat is gratis en je hoeft niets aan informatieveiligheid te doen. Dat is boor anderen (ahum.... ).

Gelul natuurlijk. Informatieveiligheid heeft met de informatie in kwestie te maken. Is deze kostbaar of privacygevoelig en moet deze daarom worden beveiligd of niet..
Daar heb je gelijk in. Je moet echter niet bij mij zijn om daarop af te geven. Ik haalde enkel aan wat de productmanagers in die wereld uitdragen.
01-08-2017, 15:42 door Anoniem
Heb getracht SMBv1 uit te zetten.
Moest het alleen weer snel aanzetten daar SAMBA op Linux niet met SMBv2 overweg kon.

Weet iemand welke SAMBA service versie wel met Microsoft SMBv2 overweg kan?
01-08-2017, 17:18 door [Account Verwijderd] - Bijgewerkt: 01-08-2017, 17:19
[Verwijderd]
01-08-2017, 18:30 door karma4
Door Neb Poorten: ....
Je zal altijd zelf moeten blijven nadenken en kennis in eigen huis houden. Wanneer je alles maar uitbesteedt en er zelf niets van afweet dan ben je vroeg of laat de bitch van je leveranciers.
Ook daar heb je gelijk in. De keuze van uitbesteden kennis taken wordt in de boardroom genomen. Het is de zelfde plek waar ook de eindverantwoordelijkheid voor informatieveiligheid ligt.
Als men daar besluit er liever met een zak geld naar een bevriende relatie van af te zijn, dan gebeurt dat.
Je bent dan niet dd bitch van je leveranciers maar de wandelende beurs waar je wat uit gaat halen.
Genoeg voorbeelden van de verkooppraatjes lean mean kleurenbelt methodes van bezuinigingen.
Een Indiër Oost Europeaan of ander die je zo weinig mogelijk betaald met op papier de ronkende cv's met de fte's. Boekhouding en winst is zaligmakend.

Het is de olifant die rondwaart met alle verniingen die niemand ziet. Overgenomen van Luntrus hij heeft daar gelijk in.
01-08-2017, 18:42 door Anoniem
Door Anoniem: Het hele SMB protocol dient derhalve op de schop omdat niemand goed heeft nagedacht over manier waarop geheugen allocatie plaatsvindt, bezetten van sockets en fysieke RAM die je hebt o.a. Men zal wel weer eindeloos verder blijven modderen met additionele beveiligingslaagjes als ware het slabbetjes.
Dit is een beetje onzinnig want dit geldt voor zo ongeveer ALLE services. Er is altijd ofwel een maximaal aantal
connecties, ofwel dit aantal wordt bepaald door zaken als geheugen, en als je de boel overbelast door heel veel
connecties te maken dan zullen de "normale" gebruikers daar onder lijden.

Het internet is bedoeld voor mensen die leuk willen meedoen. Maar helaas, tegenwoordig heb je een flinke groep
die het leuker vindt om de boel te bederven. Dit is vergelijkbaar met mensen die bij het zien van een mooi glazen
bushokje niet denken "daar kan ik schuilen voor de regen tot de bus komt", maar "daar kan een stoeptegel doorheen".

Je kunt proberen steviger glas te gebruiken, maar het is handiger om die mensen op te voeden dan wel uit de samenleving
te verwijderen. Anders blijf je bezig.
01-08-2017, 19:00 door [Account Verwijderd] - Bijgewerkt: 01-08-2017, 19:03
[Verwijderd]
01-08-2017, 20:36 door Anoniem
ik heb veel response gelezen, maar nog steeds geen duidelijk reden gezien waarom MS niet SMB (kan me geen reet schelen welke versie) default uit heeft staan.

het argument omdat er dan misschien een linux server er niet mee overweg kan staat geheel los of de windows machine default SMB aan of uit heeft.

SMBv1 gaat met de creators update er uit bij MS :

https://www.onmsft.com/news/microsoft-wont-patch-20-yr-old-smbv1-vulnerability-you-should-just-turn-the-service-off

SMBv2 zal nog wel default aan staan en dus door sufferds per ongeluk aan het net worden gehangen zonder dat ze dat door hebben. weer terug bij af en ik verwacht vrij snel een probleem / exploit voor SMBv2 zodra het niet meer wil in de praktijk met SMBv1.

prutsers!
01-08-2017, 21:11 door Anoniem
Bij FreeNas CIFS verkeer is de volgende encryptie mogelijk met het forceren van -e:

1) Encryption is of van Samba naar Samba of SMB3
2) Geen encryptie beschikbaar voor Win7, Vista, Server 2008, Server 2008R2.
3) Er zal sprake zijn van overhead by encryptie. .
01-08-2017, 22:01 door Anoniem
@ anoniem van 20:36

Prutsers, dat denk ik niet. Ik denk eerder dat het uitgekookt beleid is wat de Murrica hegonomie over het Internet moeten laten voortbestaan via zo lang mogelijk verborgen zwakheden en achterdeurtjes (security through obscurity) heet dat en heel Silicon Valley moet daar min of meer verplicht (onder strikte afgedwongen geheimhouding (gag-order)) aan mee doen.

Verder is er o.a. heel wat verdwenen uit de grijze MS-DOS bijbel, die ik nog heb gehanteerd, qua commando's: https://www.computerhope.com/msdos.htm

Lekt er onverhoopt wat uit, dat kan er gepatched worden. Een volgende update kan ook betekenen dat weer nieuwere onveiligheid kan worden geintroduceerd.

Nu hebben we de ellende met SMB. We hebben echter een hele litanie van zaken gehad, die een dergelijke impact hadden. De oorspronkelijke line interpreter opbouw van het Windows platform leent zich hier ook beter toe dan linux, waar eerst root verkregen moet worden. Vlak ook de rol in deze niet uit van tracking en tracing door de grote advertentie-sjacheraars. Ook de IMB-legacy en bijvoorbeeld de New Yorkse ingehuurde spookcoder-periode kleeft nog als vuil aan de schoenzolen van Microsoft en blijft plakken en kleven.

NT4 en de kernel moeten doen in de tijd dat op allerle linux-omgevingen (ziekenhuizen en transportsector) van de leiding NT4 verplicht moest worden uitgerold. Leuk clubje IT-ers met jarenlange ervaring, die leren je wel van de wind af p*ssen en je moest geen Rotterdammertje een Mokum's slabbetje om doen.

Veel geleerd hoe linux MS veiligheid kan ondersteunen en ook omgekeerd. Het gaat per slot van rekening om veiligheid. Wat heeft het voor zin om javascript op code-errors etc. te gaan checken als er geen "same-origin" omgeving is gerealiseerd of geen server client verificatie plaats vindt (d.m.v. nonces o.a.).

Wil je het nog eens van een ander horen (lezen in dit geval): http://www.itworld.com/article/2767536/security/why-windows-security-is-awful.html

Wordt het beter?. Ik denk het eigenlijk van niet, het wordt alleen maar grotesker tot het moment, dat een groter aantal mensen de feitelijke oorzaken van de narigheid gaan onderkennen en daarmee op veranderingen gaan inzetten. De tegenkrachten en de daaraan verbonden interessen zijn daarentegen enorm, hou daar altijd rekening mee. De soepelheid van de wilg werkt dus beter als de kracht van de harde eik.

Net als in de Middeleeuwen...De Kerk had de macht, de gelovigen konden noch lezen noch schrijven en moesten op vrijdag vis eten, terwijl de schrijvende monnik zonder schroom vlees zat te schransen, zodat het vet van de kin op de dikke buik droop.

Een dergelijke discrepantie moeten we hier in dit geval ook gaan onderkennen en als je goed weet waar naar te kijken (zoals recentelijk weer met de nu optredende certificeringssoap) ga je patronen herkennen en achtergronden doorzien.

Onderzoek daarom digitaal alles en behoudt slechts dat wat het veiligst is.
01-08-2017, 22:29 door Anoniem
@22:01

misschien wel een van de moeilijkste zaken voor een mens is zichzelf te realiseren dat die over analyseerd.
02-08-2017, 07:57 door Bitwiper - Bijgewerkt: 02-08-2017, 07:58
Elk communicatieprotocol waarbij niet eerst betrouwbare authenticatie van zowel server als client plaatsvindt, voordat er welke gegevens dan ook (gesigneerd en/of versleuteld!) worden uitgewisseld, moet worden vervangen.

En met betrouwbare authenticatie bedoel ik dat het onmogelijk is of, als dat niet kan, extreem lastig is (bijv. fysieke toegang vereist) om authenticatiegegevens te kopiëren en vanaf een andere host in te zetten. Daarmee bedoel ik TPM chips of bijv. USB stick/smartcard met vergelijkbare functionaliteit (private key die de stick nooit verlaat en rekenroutines in de stick zelf).

Perfecte bescherming biedt dat niet, want elke host aan een netwerk (meer sinds BYOD en IOT) kan gecomproniteerd raken (of al langer zijn, bijv. een backdoor hebben) en aanvallen uitvoeren (DoS of toegang verschaffen tot andere systemen om te verspreiden, informatie te stelen, te wissen, wijzigen en/of te versleutelen). Maar als je succesvolle connects logt naar een separate hardened (syslog o.i.d.) server, weet je in elk geval welke hosts al gecompromitteerd waren en nu kunnen zijn. En hoef je slechts die hosts af te sluiten en op te schonen of te vervangen.

In een scenario waarbij we alles aan elkaar willen knopen, kun je niet meer vertrouwen op veel te eenvoudig te vervalsen hostnames, IP- en/of ethernet adressen. Met als gevolg dat een protocol als SMB, maar ook protocollen als NBNS, DHCP, ARP, WPAD, DNS, WiFi etc. op de schop zullen moeten!
02-08-2017, 10:26 door Anoniem
@ Bitwiper,

Stricte server client authorisatie met gebruikmaking van opgewaardeerde protocollen, zoals bij voorbeeld DNSSEC zal hard nodig zijn om ons enigszins het gevoel terug te geven, dat je ergens nog met een "trusted" systeem van doen hebt..

Het wordt aan allerlei kanten, of vanwege ontbrekende kennis of uit lamlendigheid of mischien wel opzettelijk vanuit andere redenen gefrustreerd door verkeerd implementeren, server info proliferatie, onveilige client, onveilig transport of hosting op non-public clouddiensten, die trust verlenen tot je "rackdeur". Wat gaat er allemaal mis met naamservers (versie nummer proliferatie verraden bind versies e.d.....).

Als je dan tevens hoort dat NSA graait in de MS error rapportjes om de boel nog beter en grondiger te kunnen "pn*wen" om wat voor redenen dan ook, die ze mogen hebben, (surveillance, monitoring, evil hacking etc. etc.), nou dan zijn we met beveiliging nog lang van z'n leven niet waar we zijn moeten, als we daar ooit zullen arriveren.

Er bestaat nu eenmaal geen medicijn voor de meeste kwalijke menselijke eigenschappen, zoals daar zijn jaloezie, afgunst, lamlendigheid en vooral domheid...Er bestaat behalve lezen en goed opgeleid worden geen medicijn tegen PEBKAC. Ik voel dus met je mee,

luntrus (onafhankelijk vrijwillig website security analist en website foutenjager)
02-08-2017, 14:44 door Anoniem
"onafhankelijk vrijwillig website security analist en website foutenjager"

aha die noemen wij meestal 'de paardestaart met een apple' :).

wat ik bedoel is dat je niet te hoog van je toren moet blazen, ik ken genoeg web developers en security types die niets van OS weten en oblivious zijn dus voor shelshock achtige dingen :).

ieder mens heeft oogkleppen en tunnelvisie. er zijn vakgebieden waar ook jij de ballen verstand van hebt waarvan je het ook meteen inziet en toegeeft, maar er is ook een grijsgebied in je kennis (en dat is bij elk mens zo) waar jij denk het te weten maar niet door enige kennis gehinderd word om het zo maar te stellen.

heb dus begrip naar andere mensen toe ook.
02-08-2017, 19:28 door Anoniem
@ Anoniem van 14:44

Aangenaam,

Niemand kan alles overzien, daarom ga je naar iets specifieks kijken en daarom website beveiliging. Als er 60% websites zijn waar nog qua beveiligheid e.e.a. op op te merken valt (F-Grade, B-Grade, retirable jQuery, XSS-Dom issues en implicaties bij bepaalde gebruikte technieken, cloaking, iFrame kwetsbaarheden, DNS onveiligheid, sri-hashes niet gegenereerd dus niet voldoend aan de "same-origin" regels, server info proliferatie die met een Dazzlepodje en een shodannetje leuke exploits kan opleveren, enz. enz.

Ik heb geen staart en kom echter wel eens in een klas met 2-e jaars IT-studenten, die met 24 man en vrouw sterk, gebogen over inderdaad een appletje, worstelen met de stack op een 'buiding' examen. Ik durf te bewerekn dat deze jongens onvoldoende meekrijgen over website-security in tegenstelling tot de technische Infosec studenten op de derde verdieping van de Hoge School, die wel genoeg security savvy zijn, maar juist weer niet later websites e.d. gaan zitten inkloppen. Ze weten meestal wel waar ik het over heb en zijn er ook nieuwsgierig naar. Later komen hieruit de security researchers voort.

Ik ben zelf een F.R.A.V.I.A. adept. F.R.A.V.I.A was eerst resource hacker en later search-guru met zijn searchlores dot org. Hij was ook een groot linguist en ook goed op de hoogte met code (PHP, java, etc.).
Weak cgi had toen mijn speciale belangstelling en het toepassen in allerlei bibliotheken voor server scrapers,
toen waren die nog voornamelijk http (2004), denk aan intellitamper, nu free ninja.. F.R.A.V.I.A. is ons helaas veel te vroeg ontvallen maar zijn nalatenschap staat nog online. Goed hem en zijn vrienden digitaal gekend te hebben.

Op het moment ben ik min of meer structureel bezig met code-onveiligheid en configuratie-fouten op websites en
kijken waar javascript code bijvoorbeeld langer loopt als zou moeten en error verslagen natrekken bij de vrienden van Stack-Overflow. Allerlei kontakten met luitjes van Wilders tot leraren van G2G op forums. Ik doe zogenaamd 'cold reconnaissance third party website scanning'.

Zelf ooit begonnen als ASO-figuur en nog steeds volop voorstaander van ASO = het Anti-Spyware-Offensief.

Frappant te zien hoe vaak vele website automatisch worden aangevallen. Het onderwerp verdient echt wat meer aandacht dan een kul-verhaaltje op een Word Press blog of een lijst van kwetsbare Magenta webshops (zie mage.report).

Geen 'paardenstaart met apple' dus, maar wel jeugdig gebleven belever, waar de brede interessen zijn blijven bestaan.
02-08-2017, 19:57 door karma4
Door Anoniem: "onafhankelijk vrijwillig website security analist en website foutenjager"

aha die noemen wij meestal 'de paardestaart met een apple' :).

wat ik bedoel is dat je niet te hoog van je toren moet blazen, ik ken genoeg web developers en security types die niets van OS weten en oblivious zijn dus voor shelshock achtige dingen :).

ieder mens heeft oogkleppen en tunnelvisie. er zijn vakgebieden waar ook jij de ballen verstand van hebt waarvan je het ook meteen inziet en toegeeft, maar er is ook een grijsgebied in je kennis (en dat is bij elk mens zo) waar jij denk het te weten maar niet door enige kennis gehinderd word om het zo maar te stellen.

heb dus begrip naar andere mensen toe ook.
Het begrip houdt daar op waar het nodig lijkt om persoonlijk te worden. Voel de dubblehartigheid.

De tunnelvisie is op veel gebieden een grote uitdaging. (managementtaal voor probleem). Van de ongewenste boodschap naar verantwoordelijken tot dd te beperkte techische inzichten op de vloer. Met als belangrijkste alleen ja knikkers gewenst want kritiek verstoort en is lastig.
02-08-2017, 21:28 door Anoniem
"Er bestaat nu eenmaal geen medicijn voor de meeste kwalijke menselijke eigenschappen, zoals daar zijn jaloezie, afgunst, lamlendigheid en vooral domheid...Er bestaat behalve lezen en goed opgeleid worden geen medicijn tegen PEBKAC. Ik voel dus met je mee,"

is vrij hoog van de toren geblazen... anoniem van 14:44 heeft gewoon gelijk en geeft je ook een koekje van eigen deeg: waar jij mensen in een vakje PEBKAC en dom stopt zonder ze te kennen of te weten wat de achtergrond is, noemt anoniem 14:44 net zo ongefundeerd je die paardestaart. zou dat karma zijn?
02-08-2017, 21:34 door Anoniem
"te beperkte techische inzichten op de vloer."

veelal merk ik hoe hoger in de boom hoe groter het gorilla gedrag en juist minder technisch inzicht. maar dat is mijn persoonlijke ervaring maar hoor :).
02-08-2017, 22:44 door Anoniem
beetje off topic, maar er is meer in de wereld:

Ik heb geen staart en kom echter wel eens in een klas met 2-e jaars IT-studenten, die met 24 man en vrouw sterk, gebogen over inderdaad een appletje, worstelen met de stack op een 'buiding' examen. Ik durf te bewerekn dat deze jongens onvoldoende meekrijgen over website-security in tegenstelling tot de technische Infosec studenten op de derde verdieping van de Hoge School, die wel genoeg security savvy zijn, maar juist weer niet later websites e.d. gaan zitten inkloppen. Ze weten meestal wel waar ik het over heb en zijn er ook nieuwsgierig naar. Later komen hieruit de security researchers voort.

ik heb zelf niet zo een bijzondere ervaring gehad met IT scholieren die van de hoge school komen. Heb er als docent twee keer een project gedaan met wat me verteld was de betere scholieren waren, maar ze missen heel duidelijk het abstract denk vermogen dat veel meer nodig is bij bijv security op verschillende lagen en met verschillende technologien. Zo waren ze ook niet in staat ook maar iets zinnigs over RSA bijv te zeggen (moesten https posten met client en server side signed certs doen vanuit een java gui die ook eenvoudige rendering moest doen). Het iets naslaan uit applied cryptography was toch wel erg moeilijk zeker in combinatie met basis lineaire algebra om met matrices te werken om basic rendering te doen. ze hadden nog nooit met complexe getallen gewerkt eens. toen maar naar een 1e jaars cursus c / c++ gestuurd om nog maar iets van dat project voor hen te maken, nooit het tentamen gedurfd. java gui dingetjes via een toolbox, dat is alles wat ze konden. wat er uit een eenvoudige voorbeeld boekje in is gestopt komt er nogwel uit, maar vraag dit soort scholieren niet te abstract te denken.

het probleem is met veel mensen die nooit iets gezien hebben en comfortabel hun leventje leven, ze kunnen zich zo moeilijk voorstellen wat sommige andere mensen voor elkaar krijgen, gewoon omdat ze eigenlijk dus niet veel gezien hebben. mijzelf incluis automatisch, maar misschien heb ik achteraf constaterend etoch wel wat meer gezien. anyway, ze begonnen dus met grote moed en 'dat doen we wel eventjes' instelling. huilend terug naar de HLO zijn ze gegaan en wij hebben elders maar gezocht voor het project. we hebben uiteindelijk iemand gevonden die de abstractie en problematiek wel aan kon, en dat jave gui dingetje er maar eventjes bij deed omdat het moest. een PhDer met een natuurkunde achtergrond. die kon de wiskunde vrij makkelijk aan, kon ook vrij snel zelfstandig programeren in java et presto.

efin, na de lange annekdote, ik ben dus zelf ook niet zo onder de indruk van wat ik op die hoge school vandaag zag komen. ik hoop dat deze ervaringen de uitzonderingen waren en niet de regel zijn :).
02-08-2017, 23:15 door Anoniem
@ karma4

Nou kreeg jij de paardestaart ook al toebedeeld, van anoniem 14:44 & 21.28.

Ik spreek over de algemene veiligheidstoestand op de infrastructuur en die is zeer belabberd.

In de gevallen waar hier van sprake is, kan de oorzaak gelegen zijn in gebrek aan kennis (directory listing staat aan bij voorbeeld, verlaten code is niet afgeserveerd, security headers niet aanwezig, sri-hashes niet gegenereerd).

Zelfs door de term "apple-paardestaart" voel ik me niet persoonlijk aangesproken. Wat ik uit het totaalbeeld haal is waar ik het over heb en niet hier en hier gaat een bepaalde website admin de fout in (cloaking, seo-hacking, phishing).

Als je bezig bent geweest met het vraagstuk van automatisch sinkholen, samen met een van de bekendste Weense deskundigen op dat gebied, weet je tenminste ongeveer wat wel of niet in aanmerking komt en welke domeinen wel en niet voor automatische sinkholing zouden kunnen worden bestempeld. Die Wener ging na afstuderen aan zijn Uni van Wenen naar Praag en heeft daar inmiddels een security bedrijf, dat nu al weer is opgegaan is binnen een nog groter security bedrijf. Ik heb dus al wel een paar T-shirtjes in de kast hangen.

Als ik als op een Hogeschool rondloop en studenten vertellen mij dat ze over bepaalde beveiligingszaken nog nooit hebben gehoord, waar ligt dan het manco, vraag ik me af?.

Klopt het niet voor vele beleidsmakers, dat ze 'zilch' verstand hebben van IT beveiliging en toch gaan over de beveiliging binnen een toko. "Grote bek en opposanten zo snel mogelijk verbaal vloeren" is hun trade-mark. Daar ruik ik pas de arrogantie, niet bij degenen die braaf veel tijd steken in het onderzoeken van de onderliggende technische problemen. Altijd is de "boodschapper van het nare nieuws" de gebeten hond en de veroorzaker wordt graag underdog in dat geval.

Maar waarom voelt u zichzo persoonlijk aangesproken, waar ik het enkele heb over scenario's waar het fout gaat?
Is wat ik beweer niet waar dan? Hebben we een algemeen veilige website infrastructuur? Dan hoef ik in ieder geval geen firehol te draaien op mijn dhcp server, toch?
03-08-2017, 08:57 door Anoniem
Door Anoniem: @ karma4

Nou kreeg jij de paardestaart ook al toebedeeld, van anoniem 14:44 & 21.28.


lees toch nog eens beter en kijk hier eens naar:

https://en.wikipedia.org/wiki/Karma

er wordt naar een concept verwezen, niet naar een handle of persoon.
03-08-2017, 09:02 door Anoniem
"Maar waarom voelt u zichzo persoonlijk aangesproken?"

doe ik niet.

je oorspronkelijke reactie op een post van Bitwiper (die puur over techniek sprak) eindig je met een zeel hoog van de toren afgeblazen paragraaf.

heb wat meer begrip voor de mens in mensen.
03-08-2017, 13:23 door Anoniem
Het was helemaal niet de bedoeling hoog van de toren af te blazen, maar als we over de opleiding en het curriculum praten is mijn opmerking niet persoonlijk bedoeld. Met anoniem van 22:44 zit ik dan wel op een lijn, als ik me zorgen maak. Een internationaal door NGO's gesponsorde cursus mischien, waarmee men zich kan omringen met prachtige "nep-certificaten" is dat waar we steeds meer heen willen. IT op maat voor de behoefte van de markt!?!

Niet iedere linguist hoeft m.i. te weten wat een adhortatief hulpwerkwoord is, maar als studenten mij glazig aankijken als ik de klassieke regel over eenheid van tijd, plaats en handeling om te hanteren, aanstip, verbaas ik me over wat ze in de lesstof op de middelbare school nog meekrijgen.

Mijn generatie beheerst nog wel de negenproef om zeer snel ingewikkelde vermenigvuldigingen na te kijken. Wij leerden nog op onze knokkels even en oneven maaddagen te onderscheiden. Nu weten velen niet meer wat met etmaal wordt bedoeld en kom je steeds meer in aanraking met B.O.'s (leesblindheid, rekenblindheid). Schrijfonderricht staat onder grote druk. Om terug te keren bij het onderwerp, waarom een toets over lambda generator berekeningen met een rekenapparaat als het ding, de lambda-generator, online op het Internet staat? Beetje overkill door de desbetreffende docent lijkt mij.

Mijn kritiek gaat er niet over individuele gevallen, maar over de algehele aard van de commercieel gedreven insteek, die soms wringt met een goed security begrip en beleid.

En als je dan zo'n veertien jaar lang lappen website code hebt voorbij zien komen met allerlei mogelijke en echte kwetsbaarheden, dan ga je daar toch op een bepaalde manier naar kijken. Of het nu gaat over hosters, die snel de kassa opmaken en je verder het maar laten uitzoeken of clouddiensten, die verschillende kwaliteit leveren naar gelang je betaalt (12 keer normaal voor IDL sterkte etc.). Mijn kritiek richt zich op management, die wel de besluiten neemt, maar niet de veiligheidsimplicaties vaak goed overweegt (de goeden niet te na gesproken).

Als een smb protocol (door IBM ontwikkeld) 25 jaar na dat nog zoveel ellende kan veroorzaken, zitten er dus zaken a priori fout en is men dus zelfs nooit aan een "overhaul vanbestaande onveiligheid" begonnen. Er is alleen maar banden geplakt en we rijen nog op die oude banden verder, om het zo uit te drukken. We kunnen verschillen over wat de beveiligingswereld idealiter zou moeten, zijn toch zie ik dat er nog veel mis gaat,....I rest my case...
04-08-2017, 09:51 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.