Securitybedrijf Fox-IT doelwit van man-in-the-middle-aanval
Securitybedrijf Fox-IT is in september het doelwit van een man-in-the-middle-aanval geworden waarbij een aanvaller de dns-instellingen van Fox-it.com aanpaste en zo informatie en bestanden onderschepte, alsmede e-mails. Dat heeft het bedrijf vandaag zelf bekendgemaakt.
De aanval vond plaats op 19 september van dit jaar, waarbij een aanvaller via de domeinregistrar van Fox-IT de dns-instellingen van Fox-it.com wist aan te passen. Dns (domain name system) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. De aanvaller wijzigde het dns-record van een server en liet die naar een server wijzen die onder zijn controle stond om zo verkeer te onderscheppen. De aanval was gericht op het klantenportaal van Fox-IT dat wordt gebruikt voor het uitwisselen van bestanden met klanten, leveranciers en andere organisaties.
Gedurende een periode van 10 uur en 24 minuten kon de aanvaller informatie en bestanden onderscheppen. Het ging onder andere om de inloggegevens van negen personen en twaalf bestanden. Drie van deze bestanden waren vertrouwelijk van aard. Het gaat echter niet om staatsgeheimen, aangezien die niet via het klantenportaal worden uitgewisseld, aldus het securitybedrijf. Andere onderschepte documenten bevonden zich al in het publieke domein.
Tevens werd een mobiel telefoonnummer onderschept, alsmede een verzameling namen en e-mailadressen van gebruikers van het klantenportaal en accountnamen binnen het portaal. De aanvaller wist ook tien minuten lang e-mail van Fox-IT te onderscheppen. "Aangezien e-maildistributie gedecentraliseerd is op het internet, weten we niet welke e-mails de aanvaller gedurende deze periode heeft onderschept", laat Fox-IT weten. Door het onderscheppen van de e-mail kon de aanvaller aantonen dat hij eigenaar van het Fox-it.com-domein was en zo een ssl-certificaat voor het klantenportaal aanvragen. Daarmee werd de uiteindelijk man-in-the-middle-aanval uitgevoerd.
Wachtwoord
Het securitybedrijf stelt dat de aanvaller met geldige inloggegevens op het beheerderspaneel van de dns-instellingen heeft ingelogd. Hoe de aanvaller deze inloggegevens in handen wist te krijgen is nog niet duidelijk. Gebaseerd op de onderzoeken van de politie en Fox-IT is er "sterk bewijs" dat de aanvaller de inloggegevens via een gecompromitteerde derde partij heeft verkregen. Het onderzoek is nog gaande.
Een mogelijke factor die de aanvaller heeft geholpen is dat het wachtwoord sinds 2013 niet is gewijzigd. De reden dat het wachtwoord al die jaren niet is veranderd, is dat de dns-instellingen nauwelijks worden gewijzigd, aldus de verklaring van Fox-IT. Het bedrijf erkent dat dit beter kan. Verder blijkt dat de gebruikte dns-provider geen tweefactorauthenticatie ondersteunt. De aanvaller had zodoende genoeg aan alleen een wachtwoord en gebruikersnaam om in te loggen. In de analyse van de aanval doet Fox-IT ook verschillende aanbevelingen en laat weten welke lessen het heeft geleerd. Alle organisaties en personen van wie is vastgesteld dat er informatie is onderschept zijn inmiddels ingelicht.
Reacties (49)
Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
Zo werkt het dus niet.
https://en.wikipedia.org/wiki/DNS_root_zone
Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
Dit zijn geen interne adressen, maar externe internet DNS adressen.
Dat zie je wel vaker dat een service provider waar je je domain hebt geregistreerd dit host.
Username/Password is inderdaad meestal enige wat nodig is.
14-12-2017, 16:01 door
Tha Cleaner
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
Volgens maakt DNS dnssec niets meer uit als je al controle over de DNS zone hebt?
Door Anoniem: Zo'n belangrijk onderdeel (DNS) van je infrastructuur uitbesteden dat vind ik nog het meeste vreemde van dit security incident,
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
en ik had ook wel verwacht dat Fox dnssec zou gebruiken ...
Welke DNS infra structuur?
En nog steeds is de boel daar niet helemaal veilig. Kijk eeens hier - Let's Encrypt certificaatje voor
Zie om af te voeren: http://retire.insecurity.today/#!/scan/3b646d5d2b61cd7e60098ca94c7cb99069e71895140532644aefec91a384fdec
Onveilig gerelateerd met site: Results from scanning URL: https://s1.wp.com/_static/??-eJyFztEKwjAMBdAfsquTiXsRv6XWOFKXtDbphn69HeiDMBQCgdzDJXZOBtmP5QJiQ517gfx4rybIxv4ChnDITqEh5A/2kRVYF0vxjCOYIpDdUG+16BpXXIqiBCIVraTfLyFPCPNfFkCT8zeTQfC5tJ7o2Hb9Yde3+24bXjRNW9I=
Number of sources found: 71
Number of sinks found: 33
D- status hier en aanbevelingen: https://observatory.mozilla.org/analyze.html?host=blog.fox-it.com
json result: {} Did not follow redirect to https://en.wordpress.com/typo/?subdomain=192
WordPress Plugins
The following plugins were detected by reading the HTML source of the WordPress sites front page.
ie-sitemode
custom-fonts latest release (1.0.3)
http://www.wpastra.com/
syntaxhighlighter latest release (3.2.1)
http://www.viper007bond.com/wordpress-plugins/syntaxhighlighter/
Plugins are a source of many security vulnerabilities within WordPress installations, always keep them updated to the latest version available and check the developers plugin page for information about security related updates and fixes.
Interessante link sites: www.melani.admin.ch Swiss Federal Government Switzerland & blockchain.info CloudFlare United States en dit Results from scanning URL: http://www.residentevil.com/bumper.php?tgtwww=http%253A%252F%252Fanimeindo.net/
Number of sources found: 3
Number of sinks found: 193
In de cloud zit vaak ook veel gebakken lucht...
Common name:
tls.automattic.com
SAN:
blog.foveroparty.com, blog.fox-it.com, blog.fox-it.nl, fourwindswellness.com, fourwoodthinking.com, fourxviii.com, fouseimprovements.com, foutasfamillenomade.com, foutsassociates.com, fouzology.com, fovdiffusion.com, fovgames.com, fovi63.net, fowberryestate.com, foweygalley.com, fowkesstudios.com, fowledevolution.com, fowlerdaniel.com, fowlerfamilyblog.com, fowllifestyle.com, fowr.net, fox-companies.com, fox-in-moon.com, fox-red-labrador.com, fox-robin.com, fox11events.com, tls.automattic.com, www.fourwindstarot.com, www.fourwindswellness.com, www.fourwoodthinking.com, www.fourxviii.com, www.fouseimprovements.com, www.foutasfamillenomade.com, www.foutsassociates.com, www.fouzology.com, www.fovdiffusion.com, www.fovgames.com, www.fovi63.net, www.fowberryestate.com, www.foweygalley.com, www.fowkesstudios.com, www.fowledevolution.com, www.fowlerdaniel.com, www.fowlerfamilyblog.com, www.fowllifestyle.com, www.fowr.net, www.fox-companies.com, www.fox-in-moon.com, www.fox-red-labrador.com, www.fox-robin.com, www.fox11events.com
Zie: https://aw-snap.info/file-viewer/?protocol=secure&tgt=blog.fox-it.com&ref_sel=GSP2&ua_sel=ff&fs=1tls.automattic.com
SAN:
blog.foveroparty.com, blog.fox-it.com, blog.fox-it.nl, fourwindswellness.com, fourwoodthinking.com, fourxviii.com, fouseimprovements.com, foutasfamillenomade.com, foutsassociates.com, fouzology.com, fovdiffusion.com, fovgames.com, fovi63.net, fowberryestate.com, foweygalley.com, fowkesstudios.com, fowledevolution.com, fowlerdaniel.com, fowlerfamilyblog.com, fowllifestyle.com, fowr.net, fox-companies.com, fox-in-moon.com, fox-red-labrador.com, fox-robin.com, fox11events.com, tls.automattic.com, www.fourwindstarot.com, www.fourwindswellness.com, www.fourwoodthinking.com, www.fourxviii.com, www.fouseimprovements.com, www.foutasfamillenomade.com, www.foutsassociates.com, www.fouzology.com, www.fovdiffusion.com, www.fovgames.com, www.fovi63.net, www.fowberryestate.com, www.foweygalley.com, www.fowkesstudios.com, www.fowledevolution.com, www.fowlerdaniel.com, www.fowlerfamilyblog.com, www.fowllifestyle.com, www.fowr.net, www.fox-companies.com, www.fox-in-moon.com, www.fox-red-labrador.com, www.fox-robin.com, www.fox11events.com
Zie om af te voeren: http://retire.insecurity.today/#!/scan/3b646d5d2b61cd7e60098ca94c7cb99069e71895140532644aefec91a384fdec
Onveilig gerelateerd met site: Results from scanning URL: https://s1.wp.com/_static/??-eJyFztEKwjAMBdAfsquTiXsRv6XWOFKXtDbphn69HeiDMBQCgdzDJXZOBtmP5QJiQ517gfx4rybIxv4ChnDITqEh5A/2kRVYF0vxjCOYIpDdUG+16BpXXIqiBCIVraTfLyFPCPNfFkCT8zeTQfC5tJ7o2Hb9Yde3+24bXjRNW9I=
Number of sources found: 71
Number of sinks found: 33
D- status hier en aanbevelingen: https://observatory.mozilla.org/analyze.html?host=blog.fox-it.com
json result: {} Did not follow redirect to https://en.wordpress.com/typo/?subdomain=192
WordPress Plugins
The following plugins were detected by reading the HTML source of the WordPress sites front page.
ie-sitemode
custom-fonts latest release (1.0.3)
http://www.wpastra.com/
syntaxhighlighter latest release (3.2.1)
http://www.viper007bond.com/wordpress-plugins/syntaxhighlighter/
Plugins are a source of many security vulnerabilities within WordPress installations, always keep them updated to the latest version available and check the developers plugin page for information about security related updates and fixes.
Interessante link sites: www.melani.admin.ch Swiss Federal Government Switzerland & blockchain.info CloudFlare United States en dit Results from scanning URL: http://www.residentevil.com/bumper.php?tgtwww=http%253A%252F%252Fanimeindo.net/
Number of sources found: 3
Number of sinks found: 193
In de cloud zit vaak ook veel gebakken lucht...
14-12-2017, 16:37 door
SPer
Ik zou Fox-IT willen adviseren de targets van de DNS lookups van hun portals te monitoren zodat het direct uitkomt als de DNS compromised is.Dan hadden klanten in ieder geval geen 10 - 24 uur het risico gelopen dat documenten met een hoge BIV classificatie in de hand van derden zouden vallen
DIt is een gratis advies BTW .
DIt is een gratis advies BTW .
14-12-2017, 16:39 door
SPer
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Even ter verduidelijking de (r)overheid betaald geen belasting dat doen wij, wel even de feiten controleren ;-)
En je betaalt je blauw voor hun security assesments. Leuk om te horen dat je 2FA moet hebben (natuurlijk!), maar als zelf als wachtwoorden niet veranderen (self-assesment), hun eigen supply chain niet in de gaten houden (supply-chain-assesment)... Dan is het wel de pot verwijt de ketel dat hij zwart ziet....
Hmm... De aanval aas al in September en komt nu pas naar buiten... En wie is er recent weggegaan?
Hmm... De aanval aas al in September en komt nu pas naar buiten... En wie is er recent weggegaan?
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
De roverheid gaat meer belasting betalen.
Nou... die hebben we nog niet gehad!
Nog 16 dagen te gaan voor een nog harder knallende losse flodder die als de spreekwoordelijke tang op een varken slaat, en de zotste uitspraak van 2017 hebben we hier binnen op security.nl
De roverheid gaat meer belasting betalen Ècht subliem! Ik heb hem gebookmarked!
Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Omdat een privaat bedrijf een breach heeft ? Kraam niet zo'n ongelovelijke onzin uit.
Een MiTM aanval op Fox-IT heeft geen enkele relatie met de vraag hoeveel belasting je betaalt in Nederland.
14-12-2017, 17:31 door
Tha Cleaner
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Blijf alsjeblieft weg met dit soort opmerkingen. Ze voegen echt helemaal niets toe aan de discussie. Sterker nog ze slaan helemaal nergens op.
Als het kalf verdronken is..
https://mxtoolbox.com/productinfo/dnszoneprotect?source=inline&mxicn=inline&mxicinfo=ZoneProtect
https://mxtoolbox.com/productinfo/dnszoneprotect?source=inline&mxicn=inline&mxicinfo=ZoneProtect
Waar maken we ons druk om, een lekke Engelse toko die binnenkort ook nog eens niet meer tot de EU behoort. ;-)
Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Rond 2030 krijgt men een verhoging van de energiebelasting die tot 1000 euro per huishouden kan oplopen.Er gaan dus heel veel gezinnen in de winter in de kou zitten vrees ik (met dank aan meneer Wiebes en al die andere politieke figuren die Windmolenfiel zijn geworden). http://klimaatgek.nl/wordpress/2017/10/10/afrekening/
Les 1: Bewaak je DNS logs
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!
Publieke access op het beheerders paneel??? Dat hebben wij niet eens.
Omdat niemand het zegt: KUDOS VOOR FOX-IT dat ze zo open zijn om dit te delen en andere bedrijven te helpen zich hier nu tegen te wapenen.
Tuurlijk gaan er dingen fout, zelfs bij hun. Het is hoe je daar vervolgens mee omgaat wat je bedrijf maakt of kraakt.
En nee; geen aandelen / werknemer of dergelijke.
Tuurlijk gaan er dingen fout, zelfs bij hun. Het is hoe je daar vervolgens mee omgaat wat je bedrijf maakt of kraakt.
En nee; geen aandelen / werknemer of dergelijke.
Een wachtwoord wat al 4 jaar niet gewijzigd is op een internet facing service.
Dat kan ik als amateur beter.
Dat kan ik als amateur beter.
Door Anoniem: Les 1: Bewaak je DNS logs
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!
Really... wat een bullshit staat hier. Het is gewoon teveel om op te noemen.
Door Anoniem: Waar maken we ons druk om, een lekke Engelse toko die binnenkort ook nog eens niet meer tot de EU behoort. ;-)
Maar wel onze staatsgeheimen moet beschermen....
Gelukkig maken ze er geen doofpotje zodat wij allemaal weer eens met de neus op de feiten gedrukt worden over de ernst van deze WW-3-cyber.
Door Anoniem: Omdat niemand het zegt: KUDOS VOOR FOX-IT dat ze zo open zijn om dit te delen
.
Kudo's waren op zijn plaats geweest als ze dat binnen een paar dagen met hun klanten hadden gedeeld. Niet drie maanden later....
Inhoudelijk begrijp ik nog niet hoe de documenten bemachtigd zijn. De 2FA was tenslotte niet doorbroken. Iemand?
je mag toch wel verwachten van een bedrijf als Fox IT dat die de zaakjes voor elkaar heeft .
blijkt dus gewoon met lock picking de voordeur wijd open staat .
blijkt dus gewoon met lock picking de voordeur wijd open staat .
Door Tha Cleaner:
Sterker nog ze slaan helemaal nergens op.
Nee, het is mijn mening, en die mag ik posten. Vind ook de beheerder van de site, anders was mijn post wel geweigerd.Door Anoniem: Ik voel dat de roverheid dit weer zal gebruiken om meer belasting te gaan betalen.
Blijf alsjeblieft weg met dit soort opmerkingen. Ze voegen echt helemaal niets toe aan de discussie. Sterker nog ze slaan helemaal nergens op.
Ik vraag ook niet om een reactie, wil ook geen discussie voeren, maar uiteraard bent u vrij om een reactie te geven.
Maar zolang kopschoppers na een dag weer vrij zijn, kindermisbruikers, die aangeven daar trots op zijn, vrij rondlopen en de roverheid mijn afgedragen geld niet goed besteed, blijf ik posten.
Rond 2030 krijgt men een verhoging van de energiebelasting die tot 1000 euro per huishouden kan oplopen.
Er gaan dus heel veel gezinnen in de winter in de kou zitten vrees ik (met dank aan meneer Wiebes en al die andere politieke figuren die Windmolenfiel zijn geworden). http://klimaatgek.nl/wordpress/2017/10/10/afrekening/
Er gaan dus heel veel gezinnen in de winter in de kou zitten vrees ik (met dank aan meneer Wiebes en al die andere politieke figuren die Windmolenfiel zijn geworden). http://klimaatgek.nl/wordpress/2017/10/10/afrekening/
Dit topic gaat over een MiTM aanval op Fox IT, hou aub op met deze onzin reacties. Heeft niets te maken met dit topic, of het onderwerp van deze website in bredere zin.
Vraag die ik nog heb is hoe de hackers de 2FA hebben weten te omzeilen. Er zijn tenslotte wel documenten bemachtigd, waarbij je zou denken dat 2FA nodig was om deze te kunnen bemachtigen.
Volgens maakt DNS dnssec niets meer uit als je al controle over de DNS zone hebt?
Is het niet zo dat bij dnssec twee vormen van control ontstaan? Control e over de zone (dus records kunnen aanpassen) en controle over de ondertekening ervan dmv van een private key. Het ligt voor de hand om de private key zelf te beheren en niet te plaatsen bij je domein-registrar.Dus DNSsec kan dan wel degelijk een dergelijke aanval voorkomen. De aanvaller moet dan niet alleen inbreken op het account bij je domeinregistrar maar ook de private signing key bemachtigen.
Door Anoniem: Omdat niemand het zegt: KUDOS VOOR FOX-IT dat ze zo open zijn om dit te delen en andere bedrijven te helpen zich hier nu tegen te wapenen.
Tuurlijk gaan er dingen fout, zelfs bij hun. Het is hoe je daar vervolgens mee omgaat wat je bedrijf maakt of kraakt.
En nee; geen aandelen / werknemer of dergelijke.
Tuurlijk gaan er dingen fout, zelfs bij hun. Het is hoe je daar vervolgens mee omgaat wat je bedrijf maakt of kraakt.
En nee; geen aandelen / werknemer of dergelijke.
Daar heb je gelijk in; neem alleen wel even mee dat Fox het zich niet kan veroorloven dat niet te zijn. De PR schade is al groot; het niet disclosen maakt het gigantisch. Dat is wel hetgeen de afgelopen maanden heeft bewezen (Equipfax/Uber)
wijze les: hackers hoeven maar 1x success te hebben; blue teams moeten dat elke keer.
Kudos? Tja, meldplicht datalekken https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
Maar dan nog. Er zijn vast veel bedrijven die dat aan hun laars lappen. Is nogal negatieve publiciteit zoiets als dit
DNS records monitoren is wel het minste wat je kunt doen idd. En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?
Maar dan nog. Er zijn vast veel bedrijven die dat aan hun laars lappen. Is nogal negatieve publiciteit zoiets als dit
DNS records monitoren is wel het minste wat je kunt doen idd. En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?
Door Anoniem:
Really... wat een bullshit staat hier. Het is gewoon teveel om op te noemen.
Door Anoniem: Les 1: Bewaak je DNS logs
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!
Les 2: bewaak je DNS queries op wijzigingen en richt je DNS update proces zo in dat de SIEM en Loganalyse ook aangepast wordt.
Les 3: De uitwisseling van bestanden mag ober het Internet niet afhangen qua security van TLS. Defense in depth eist dat je twee lagen van versleuteling gebruikt.
Les 4. Ook bij gebruik van diensten van derden is het belangrijk dat je controleert of de securty maatregelen voldoen aan je eigen beleid!
Les 5: Een pentest op een dienst zelf is niet voldoende. Je moet ook kijken naar de componenten er omheen die de beveiligingssituatie mede bepalen.
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Les 7: Bewaking van de certificaten registreer log ten aanzien van je eigen domein is essentieel!!!
Les 8: CA's moet via block chain hun nieuwe certificaten gaan delen met minimaal hun klanten!
Les 9: Huur een echte security architect in die technisch hands on echt weet waar het over gaat!
Really... wat een bullshit staat hier. Het is gewoon teveel om op te noemen.
Bedankt voor je superinhoudelijke bijdrage zonder enige onderbouwing. Daar komen we echt verder mee met dit soort onzin commentaar. Doe maar even dan wat wel de oplossing is volgens jou?
Door Anoniem: Vraag die ik nog heb is hoe de hackers de 2FA hebben weten te omzeilen. Er zijn tenslotte wel documenten bemachtigd, waarbij je zou denken dat 2FA nodig was om deze te kunnen bemachtigen.
Dit is eenvoudig. Het gaat hier om een MiTM aanval. De aanvaller loodst alle verkeer tussen de klant en de server van Fox via zijn server.
Klant haalt document op ---> aanvallers server ontvang request ---> aanvallers server stuurt het requeset door naar de server van Fox ---> Fox verstuurt het document naar de server van de aanvaller ---> server van de aanvaller stuurt het document door naar klant (die heeft niks in de gaten) en houdt het document ook zelf.
Vandaar dat ook niet alle documenten zijn gecompromitteerd.
Door SPer: Ik zou Fox-IT willen adviseren de targets van de DNS lookups van hun portals te monitoren zodat het direct uitkomt als de DNS compromised is.Dan hadden klanten in ieder geval geen 10 - 24 uur het risico gelopen dat documenten met een hoge BIV classificatie in de hand van derden zouden vallen
Ik werd toevallig net door fox-it gebeld toen ik dit artikel aan het lezen was. Ze probeerden een SOC dienst te verkopen, waarmee we "sneller problemen zouden kunnen detecteren".
Fox-it: Waar kent u ons van?
Ik: Van een artikel over jullie klantportaal in september.
Fox-it: Ja, wij komen natuurlijk vaak in het nieuws.
Ze hadden geen idee van het soort organisatie, onze grootte of zelfs ons e-mail domein.
Ze hoeven niet meer terug te bellen.
Peter
Door Anoniem:
Ik werd toevallig net door fox-it gebeld toen ik dit artikel aan het lezen was. Ze probeerden een SOC dienst te verkopen, waarmee we "sneller problemen zouden kunnen detecteren".
Fox-it: Waar kent u ons van?
Ik: Van een artikel over jullie klantportaal in september.
Fox-it: Ja, wij komen natuurlijk vaak in het nieuws.
Ze hadden geen idee van het soort organisatie, onze grootte of zelfs ons e-mail domein.
Ze hoeven niet meer terug te bellen.
Peter
Door SPer: Ik zou Fox-IT willen adviseren de targets van de DNS lookups van hun portals te monitoren zodat het direct uitkomt als de DNS compromised is.Dan hadden klanten in ieder geval geen 10 - 24 uur het risico gelopen dat documenten met een hoge BIV classificatie in de hand van derden zouden vallen
Ik werd toevallig net door fox-it gebeld toen ik dit artikel aan het lezen was. Ze probeerden een SOC dienst te verkopen, waarmee we "sneller problemen zouden kunnen detecteren".
Fox-it: Waar kent u ons van?
Ik: Van een artikel over jullie klantportaal in september.
Fox-it: Ja, wij komen natuurlijk vaak in het nieuws.
Ze hadden geen idee van het soort organisatie, onze grootte of zelfs ons e-mail domein.
Ze hoeven niet meer terug te bellen.
Peter
Maar hoe komen ze dan aan jouw telefoonnummer?
De baas is nog niet weg of het gaat al fout. Net zoals bij Madison. Deze laatste bestaat al niet meer. Nu de eerste nog.
Door Anoniem: De baas is nog niet weg of het gaat al fout. Net zoals bij Madison. Deze laatste bestaat al niet meer. Nu de eerste nog.
Het ging al fout ónder Ronald Prins, hij was in de periode van 2013 tot nu gewoon verantwoordelijk voor de toko.
FoxIT doet niet moeilijk om ip adressen en domeinen van andere slachtoffers te delen, maar als ze zelf slachtoffer zijn dan houden ze die liever verborgen. En niet aankomen met een smoes dat dit komt doordat er nog een (politie)onderzoek bezig is. In de gevallen van andere slachtoffers doet FoxIT daar niet moeilijk over. Dan delen ze die informatie wel omdat ze er dan mee kunnen pronken.
Zolang een domeinnaam niet ondertekend is met DNSSEC, kan een aanvaller nog steeds DNS-antwoorden spoofen. Op die manier kan de aanvaller (web-/mail-)verkeer omleiden en zelfs een vals certificaat aanvragen. Het CA/B Forum verplicht CA's om DNSSEC te valideren als er een CAA-record is. Kortom als je je domeinnaam met DNSSEC ondertekent én een CAA-record publiceert, dan kan een aanvaller niet zomaar een vals certificaat aanvragen via DNS-spoofing. Voorwaarde daarvoor is wel dat CA's zich houden aan de verplichte spelregels van CA/B Forum. Zie verder: https://cabforum.org/2017/03/08/ballot-187-make-caa-checking-mandatory/
Les 6: Een "goede pentest" club is niet hetzelfde als een goede beveiligingsclub!
Sterker nog, een goede pentest-club laat zich door een andere partij testen op hun bedrijfsveiligheid.Really... wat een bullshit staat hier. Het is gewoon teveel om op te noemen.
Als je na je studie gaat werken zul je merken dat hier best goed advies tussen staat.FoxIT doet niet moeilijk om ip adressen en domeinen van andere slachtoffers te delen, maar als ze zelf slachtoffer zijn dan houden ze die liever verborgen. En niet aankomen met een smoes dat dit komt doordat er nog een (politie)onderzoek bezig is. In de gevallen van andere slachtoffers doet FoxIT daar niet moeilijk over. Dan delen ze die informatie wel omdat ze er dan mee kunnen pronken.
FoxIT staat bij mij ook niet hoog aangeschreven op dit gebied. Maar wat niet is kan best nog komen."En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"
ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
/sarcasm=on heeeft heeeelemaaaaaal niiets met techniek te maken of mensen hooooooor neeeeeeeuuuuuuuh /sarcasm=off
spreadsheet managers.... de vloek van deze eeuw! in defensie, in de zorg, bij belastingdienst, bij politie, in het onderwijs, allemaal zichtbaar en duidelijk en bij bedrijven ook net zo alleen die zijn niet zo transparant daarin!
en daarom wil ik dat we afstappen van MS excel, exchange, outlook en powerpoint the lot!
ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
/sarcasm=on heeeft heeeelemaaaaaal niiets met techniek te maken of mensen hooooooor neeeeeeeuuuuuuuh /sarcasm=off
spreadsheet managers.... de vloek van deze eeuw! in defensie, in de zorg, bij belastingdienst, bij politie, in het onderwijs, allemaal zichtbaar en duidelijk en bij bedrijven ook net zo alleen die zijn niet zo transparant daarin!
en daarom wil ik dat we afstappen van MS excel, exchange, outlook en powerpoint the lot!
Door Anoniem: spreadsheet managers.... de vloek van deze eeuw! in defensie, in de zorg, bij belastingdienst, bij politie, in het onderwijs, allemaal zichtbaar en duidelijk en bij bedrijven ook net zo alleen die zijn niet zo transparant daarin!
Al kunnen ze soms wel dingen duidelijk markeren. Of je er bij mee bent is dan een tweede.en daarom wil ik dat we afstappen van MS excel, exchange, outlook en powerpoint the lot!
En wat heeft dit met het issue te maken? Afgezien dat bijna het hele bedrijfsleven er op werkt. Maar niets met spreadsheet managers te maken heeft of het het huidige security issue van FoxITDoor Anoniem: "En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"
ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
/sarcasm=on heeeft heeeelemaaaaaal niiets met techniek te maken of mensen hooooooor neeeeeeeuuuuuuuh
....
De iso27001 gaat over het strategisch niveau ofwel het begint met de mensen die de hoofd verantwoordelijkheid hebben.ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
/sarcasm=on heeeft heeeelemaaaaaal niiets met techniek te maken of mensen hooooooor neeeeeeeuuuuuuuh
....
Daaruit komt het tactisch beleid ofwel arcitectuur. Iso27002 27018 27013 etc. Het zijn de aandachtsgebieden voor wat er technisch moet gebeuren.
Pas daarna mag er een specifieke invulling in techiek aan de orde komen die voldoet.
Naast micromanagement met persoonlijke spreadsheets heb je de last van eigenwijze Nerds die boel feitelijk aan het saboteren zijn.
Een externe mitm gebeuren krijg je enkel naar boven door goed gescheiden externe paden waar je met een indicator kan werken. Zo niet dan blijft het theewater risico.
Het gaat hier om inloggegevens die zij van een derde partij wisten te bemachtigen waardoor zij DNS intellingen konden aanpassen. Deze inloggegevens waren 4 jaar niet gewijzigd en back to basic behoort dit tot het wachtwoordbeleid. Samengevat Return Back To Basic!!!
18-12-2017, 11:15 door
Krakatau
Door Anoniem: "En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"
ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
Volgens mij is het probleem met die ISO-quoters dat ze helemaal niet (zelf) kunnen denken! Ze kunnen alleen hun ISO-receptjes aanhalen en nauwgezet opvolgen. Over alles wat erbuiten valt zou je (zelf) moeten nadenken. Maar ja, het vermogen daartoe, dat is niet iedereen gegeven.
Leuk zo'n "security" bedrijf die weleens stoer praatje heeft op de radio bijv.
Door Krakatau:
Volgens mij is het probleem met die ISO-quoters dat ze helemaal niet (zelf) kunnen denken! Ze kunnen alleen hun ISO-receptjes aanhalen en nauwgezet opvolgen. Over alles wat erbuiten valt zou je (zelf) moeten nadenken. Maar ja, het vermogen daartoe, dat is niet iedereen gegeven.
Door Anoniem: "En ben benieuwd naar hun ISO 27001 en audit daarvan. Hoe in hemelsnaan kan dit daar doorheen geglipt zijn?"
ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
ha ha ha mooi die blinde vlek die je regelmatig ziet bij die iso dit en iso dat denkers :).
Volgens mij is het probleem met die ISO-quoters dat ze helemaal niet (zelf) kunnen denken! Ze kunnen alleen hun ISO-receptjes aanhalen en nauwgezet opvolgen. Over alles wat erbuiten valt zou je (zelf) moeten nadenken. Maar ja, het vermogen daartoe, dat is niet iedereen gegeven.
ja en als een regel tegenstrijdig is met een harde functionaliteit eis, dan wordt regel niet geimplementeerd (wat terrecht is want wat heb je aan een systeem zonder gebruiker), maar de bedoeling achter de regel ook niet op een alternatieve manier geimplementeerd. want voor dat laatste heb je inhoudelijk technische kennis nodig. maarja, dat zijn weer die OS nerds waar iso denkers maar moeite mee hebben. Ik zeg je, het is een hele lange top-down keten die zo sterk is als de zwakste schakel en waarbij schakel 1 aan de top niet verder dan schakel 2 kan kijken. efin er zijn maar wijnig ITers met genoeg mentale bagage om grens overschrijdend te denken. ik merk dat je dit soort mensen eerder uit de academische wereld ziet komen dan elders. vaak hebben ze ook een PhD of een ander (hard) beta vak gedaan. dat is wat ik merk en zie daar waar het wel werkt tov waar het niet werkt. dus if you pay peanut... klopt wel aardig steeds weer...
Daar draait de hele discussie hier steeds weer om - technische IT contra gewone IT. Zoals de "staartjes" met een apple
en het developer type met das en zonder. De stack-ridder en de bug-tester.
Wie gaat er nog handwerk verrichten als er al prachtig kant en klaar over nagedacht is door een club van mensen met net iets meer kennis en specialisatie dan de eenling, die het wiel weer opnieuw wil uitvinden.
De manager met zijn geloof in dozenschuivers van "one click solves it all" oplossingen, aangepraat op de manier van een soort van artsenbezoeker-type van een IT tech-bedrijf. Of de cut-and-paste codeurs, het code scharrelpluimvee.
Neen, beter nog, geen eigen verantwoordelijk meer nemen. De weg naar de hemel of hel loopt immers via de cloud en de outsourcer staat al roepend klaar. Hij kijkt alsof hij de cloud al kan zien en het data-manna dat snel neer zal dalen.
Wie het vroeger in-huis deed, is ingedut en niet meer meegekomen met de laatste ontwikkelingen of wegbezuinigd.
Hij had een leuk recept, maar dat werkt niet meer bij str*nt aan de knikker en als andere partijen niet meer thuis geven.
Herkent iemand zich hierin? Ken je al je bus-schema's nog uit je hoofd voor RAM? Ik voel met je mee, man!
en het developer type met das en zonder. De stack-ridder en de bug-tester.
Wie gaat er nog handwerk verrichten als er al prachtig kant en klaar over nagedacht is door een club van mensen met net iets meer kennis en specialisatie dan de eenling, die het wiel weer opnieuw wil uitvinden.
De manager met zijn geloof in dozenschuivers van "one click solves it all" oplossingen, aangepraat op de manier van een soort van artsenbezoeker-type van een IT tech-bedrijf. Of de cut-and-paste codeurs, het code scharrelpluimvee.
Neen, beter nog, geen eigen verantwoordelijk meer nemen. De weg naar de hemel of hel loopt immers via de cloud en de outsourcer staat al roepend klaar. Hij kijkt alsof hij de cloud al kan zien en het data-manna dat snel neer zal dalen.
Wie het vroeger in-huis deed, is ingedut en niet meer meegekomen met de laatste ontwikkelingen of wegbezuinigd.
Hij had een leuk recept, maar dat werkt niet meer bij str*nt aan de knikker en als andere partijen niet meer thuis geven.
Herkent iemand zich hierin? Ken je al je bus-schema's nog uit je hoofd voor RAM? Ik voel met je mee, man!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
