image

VS waarschuwt voor veiligheid vpn's wegens thuiswerken

zaterdag 14 maart 2020, 09:33 door Redactie, 16 reacties

Nu meer organisaties vanwege de uitbraak van het coronavirus hun personeel laten thuiswerken heeft de Amerikaanse overheid een waarschuwing afgegeven om op de veiligheid van vpn-netwerken te letten. Organisaties laten medewerkers via een vpn verbinding met het bedrijfsnetwerk maken.

Doordat organisaties vpn's voor telewerken gebruiken zullen er meer kwetsbaarheden in dergelijke producten worden gevonden en aangevallen, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid. Een bekend voorbeeld is het ernstige beveiligingslek in de vpn-oplossing van Pulse Secure dat vorig jaar op grote schaal werd aangevallen. "Aangezien vpn's 24/7 zijn, zijn organisaties minder geneigd om ze up-to-date te houden met de laatste beveiligingsupdates", aldus het CISA

Tevens bestaat de kans dat aanvallers meer phishingaanvallen op thuiswerkers zullen uitvoeren om hun gebruikersnamen en wachtwoorden te stelen. "Organisaties die geen gebruik van multifactorauthenticatie voor telewerken maken zijn kwetsbaarder voor phishingaanvallen", zo laat het CISA weten. Een ander risico is dat organisaties een beperkt aantal vpn-verbindingen hebben, waardoor niet alle medewerkers thuis kunnen werken. Deze verminderde beschikbaarheid zou ook impact op it-securitypersoneel kunnen hebben om hun werkzaamheden uit te voeren.

Het CISA advieert organisaties om hun vpn-oplossingen, netwerkapparatuur en apparatuur van thuiswerkers up-to-date te houden. Verder moeten medewerkers voor een verwachte toename van phishingaanvallen worden gewaarschuwd, er voor alle vpn-verbindingen multifactorauthenticatie worden toegepast en it-personeel mogelijke vpn-beperkingen testen en aanpassingen doorvoeren zodat gebruikers met een grotere behoefte aan bandbreedte voorrang krijgen.

Reacties (16)
14-03-2020, 12:52 door Anoniem
En maar massaal pulse blijven gebruiken. Kost niks zeker?
14-03-2020, 15:49 door Anoniem
Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?
Ik denk eerder dat oplossingen die ooit wel geinstalleerd zijn maar nooit (meer) daadwerkelijk gebruikt worden onveiliger
zijn, omdat die wellicht nog draaien zonder dat iemand zich dat realiseert.
Juist nu er daadwerkelijk thuis gewerkt wordt ontdekt wellicht iemand dat ze nog op "update" moeten klikken.
14-03-2020, 16:18 door Anoniem
Door Anoniem: En maar massaal pulse blijven gebruiken. Kost niks zeker?
Als het al gepatched is, wat is dan jouw probleem?
14-03-2020, 17:21 door Anoniem
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?
Ik denk eerder dat oplossingen die ooit wel geinstalleerd zijn maar nooit (meer) daadwerkelijk gebruikt worden onveiliger
zijn, omdat die wellicht nog draaien zonder dat iemand zich dat realiseert.
Juist nu er daadwerkelijk thuis gewerkt wordt ontdekt wellicht iemand dat ze nog op "update" moeten klikken.

Door meer gebruik komen er meer problemen aan het licht, zo simpel is het.
14-03-2020, 17:56 door Erik van Straten
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?
Ik denk eerder dat oplossingen die ooit wel geinstalleerd zijn maar nooit (meer) daadwerkelijk gebruikt worden onveiliger zijn, omdat die wellicht nog draaien zonder dat iemand zich dat realiseert.
Juist nu er daadwerkelijk thuis gewerkt wordt ontdekt wellicht iemand dat ze nog op "update" moeten klikken.
Helaas is er niet altijd een "update" knop. Het risico is dat een lang geleden geïnstalleerde VPN-client nog verouderde cryptografische algoritmes gebruik (RSA keys <= 1024bit, MD5, RC4) en/of kwetsbare componenten gebruikt (waaronder, maar zeker niet beperkt tot, oude en kwetsbare versies van OpenSSL).

Niet alleen mensen die zelden of nooit thuiswerken, met mogelijk kwetsbare of reeds gehackte routers en/of kwetsbare IoT apparatuur aan het netwerk, zouden wel eens risicovolle VPN clients kunnen gebruiken.
14-03-2020, 21:44 door Briolet
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?

Zeer zeker. Vooral bij mensen die het nu voor het eerst gaan gebruiken kunnen er veel misconfiguraties gebeuren. B.v. omdat de VPN server door onervaren mensen geïnstalleerd wordt omdat er geen deskundigheid in het bedrijf is.

Andere redenen staan al in het stuk van de redactie.
14-03-2020, 21:50 door Anoniem
Door Anoniem:
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?
Ik denk eerder dat oplossingen die ooit wel geinstalleerd zijn maar nooit (meer) daadwerkelijk gebruikt worden onveiliger
zijn, omdat die wellicht nog draaien zonder dat iemand zich dat realiseert.
Juist nu er daadwerkelijk thuis gewerkt wordt ontdekt wellicht iemand dat ze nog op "update" moeten klikken.

Door meer gebruik komen er meer problemen aan het licht, zo simpel is het.

Dat lijkt me niet. Onveiligheid zit em niet in het gebruik, maar in de beschikbaarheid.
14-03-2020, 21:52 door Anoniem
Door Briolet:
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?

Zeer zeker. Vooral bij mensen die het nu voor het eerst gaan gebruiken kunnen er veel misconfiguraties gebeuren. B.v. omdat de VPN server door onervaren mensen geïnstalleerd wordt omdat er geen deskundigheid in het bedrijf is.

Andere redenen staan al in het stuk van de redactie.

Alsof er nu ineens bedrijven die geen deskundigheid in huis hebben een VPN server gaan installeren die ze eerst niet hadden...
Bovendien, degenen die nu vers geinstalleerd worden draaien waarschijnlijk verse software.
14-03-2020, 23:40 door Anoniem
Door Briolet:
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?

Zeer zeker. Vooral bij mensen die het nu voor het eerst gaan gebruiken kunnen er veel misconfiguraties gebeuren. B.v. omdat de VPN server door onervaren mensen geïnstalleerd wordt omdat er geen deskundigheid in het bedrijf is.

Andere redenen staan al in het stuk van de redactie.
Denk je nu werkelijk, dat bedrijven, die thuiswerkers heeft, tot nu toe GEEN VPN server heeft staan?
15-03-2020, 03:34 door Anoniem
Allemaal zinloos, onze Amerikaanse "vrienden" hebben al keer op keer laten zien dat ze hun collegas, nato buddies, en intelligentie diensten tegen elkaar uitspelen door bijvoorbeeld opzettelijk foute encryptie te pushen waardoor vpn diensten van Amerikaanse bedrijven af te luisteren zijn en deze gebruikt kunnen worden voor "make America corrupt again".

Dus voor de veiligheid hoef je het niet te doen. Natuurlijk worden al dese achterdeurtjes alleen door de cia en nsa gebruikt... totdat ze ook door china en rusland gezien worden en dan komt er opeens een security advisory uit voor een "bug". Wat dus gewoon het opruimen van een Amerikaanse backdoor is zodat anderen deze niet meer kunnen gebruiken.

Verder is het natuurlijk zo dat met name vpn verbinden de backbone zijn die nooit meer aangeraakt kan worden na installatie. Mensen gebruiken het 24u per dag, overdag thuiswerkers, s avonds standby engineers en mensen in andere tijdzones.

Fixen door downtime is een nogo, net als remote vpn client updates.
15-03-2020, 10:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?
Ik denk eerder dat oplossingen die ooit wel geinstalleerd zijn maar nooit (meer) daadwerkelijk gebruikt worden onveiliger
zijn, omdat die wellicht nog draaien zonder dat iemand zich dat realiseert.
Juist nu er daadwerkelijk thuis gewerkt wordt ontdekt wellicht iemand dat ze nog op "update" moeten klikken.

Door meer gebruik komen er meer problemen aan het licht, zo simpel is het.

Dat lijkt me niet. Onveiligheid zit em niet in het gebruik, maar in de beschikbaarheid.

Een programma wat niet gebruikt wordt heeft geen problemen, een programma wat door een paar man gebruikt wordt heeft mogelijk een heel enkel probleem, bij een programma wat door miljoenen gebruikt wordt komen de problemen en de bugs vanzelf bovendrijven.
15-03-2020, 13:39 door Anoniem
Veiligheid met een vpn verbinding valt of staat met datalekken. Bij het wegvallen van de vpnverbinding, moet de killswitch systeembreed werken. En wel onmiddelijk. De appgebonden killswitch blokkeert meestal slechts op appniveau het netwerkverkeer. En dan vaak niet onmiddelijk. Een goede workaround met je firewall elimineert dat probleem, door al het netwerkverkeer via het mac-adres van de vpntap te laten lopen. Dus eigenlijk zelf een killswitch bouwen, die werkt dan ook onmiddelijk. Dit vergt wel wat werk bij bedrijven/instellingen. Om nog maar te zwijgen van het terug-tweaken van de firewall indien je weer het 'reguliere' netwerk op wil.
Daarom heb ik Comodo firewall getweaked voor mijn vpnverbinding. Voor reguliere netwerkverbindingen schakel ik gewoon over naar Windows Firewall.
Goed verdiepen in (privacy)policies, achtergronden, affiliates, jurisdicties, en reputatie van verschillende vpn-aanbieders, is minstens zo noodzakelijk. (Pure-vpn zal 'm dus niet worden.)
16-03-2020, 00:17 door Anoniem
Door Anoniem: Verder is het natuurlijk zo dat met name vpn verbinden de backbone zijn die nooit meer aangeraakt kan worden na installatie. Mensen gebruiken het 24u per dag, overdag thuiswerkers, s avonds standby engineers en mensen in andere tijdzones.
In dat geval verwacht ik dat het vpn-endpoint redundant is uitgevoerd. zodat je gewoon kan updaten, zonder dat dit al teveel invloed heeft.
16-03-2020, 00:29 door Anoniem
Door Erik van Straten: [...]
Helaas is er niet altijd een "update" knop. Het risico is dat een lang geleden geïnstalleerde VPN-client nog verouderde cryptografische algoritmes gebruik en/of kwetsbare componenten gebruikt.
Dat zou je aan de serverzijde kunnen detecteren en dan de verbinding verbreken. Beter nog zou die server een upgrade forceren van de client, maar dan wel zo dat een aanvaller dat niet kan.
16-03-2020, 09:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?
Ik denk eerder dat oplossingen die ooit wel geinstalleerd zijn maar nooit (meer) daadwerkelijk gebruikt worden onveiliger
zijn, omdat die wellicht nog draaien zonder dat iemand zich dat realiseert.
Juist nu er daadwerkelijk thuis gewerkt wordt ontdekt wellicht iemand dat ze nog op "update" moeten klikken.

Door meer gebruik komen er meer problemen aan het licht, zo simpel is het.

Dat lijkt me niet. Onveiligheid zit em niet in het gebruik, maar in de beschikbaarheid.

Een programma wat niet gebruikt wordt heeft geen problemen, een programma wat door een paar man gebruikt wordt heeft mogelijk een heel enkel probleem, bij een programma wat door miljoenen gebruikt wordt komen de problemen en de bugs vanzelf bovendrijven.

Jij hebt er duidelijk niets van begrepen!
Een VPN service bij een bedrijf is een statische situatie waar vervolgens de vele portscanners het bestaan van
ontdekken en die ze gaan aanvallen.
Of er daadwerkelijk mensen mee werken dat heeft daar NIETS mee te maken.
En als er daadwerkelijk mensen mee werken dan is er meer aandacht voor die service, die wellicht 5 jaar geleden
was geinstalleerd omdat de directeur riep dat ie thuis moest werken maar dat in de praktijk eigenlijk nooit deed,
waardoor er nooit meer naar gekeken werd.
Nu er veel mee gewerkt wordt komt er wellicht weer een beheerder op het idee om em eens te updaten.
16-03-2020, 13:38 door Anoniem
Door Erik van Straten:
Door Anoniem: Zouden VPN oplossingen werkelijk "kwetsbaarder" of "onveiliger" worden naarmate ze meer daadwerkelijk gebruikt worden?
Ik denk eerder dat oplossingen die ooit wel geinstalleerd zijn maar nooit (meer) daadwerkelijk gebruikt worden onveiliger zijn, omdat die wellicht nog draaien zonder dat iemand zich dat realiseert.
Juist nu er daadwerkelijk thuis gewerkt wordt ontdekt wellicht iemand dat ze nog op "update" moeten klikken.
Helaas is er niet altijd een "update" knop. Het risico is dat een lang geleden geïnstalleerde VPN-client nog verouderde cryptografische algoritmes gebruik (RSA keys <= 1024bit, MD5, RC4) en/of kwetsbare componenten gebruikt (waaronder, maar zeker niet beperkt tot, oude en kwetsbare versies van OpenSSL).

Niet alleen mensen die zelden of nooit thuiswerken, met mogelijk kwetsbare of reeds gehackte routers en/of kwetsbare IoT apparatuur aan het netwerk, zouden wel eens risicovolle VPN clients kunnen gebruiken.

Software waar geen "update" knop in zit moet je gewoon uitfaseren, kies een merk waar dat wel goed voor elkaar is
en waar ze zich niet verschuilen achter allerlei humbug over beheerders die op cursus geweest moeten zijn.

Maar bovendien, het gaat er normaal gesproken niet in de eerste plaats om dat de encryptie al dan niet uptodate is,
maar veel meer dat de VPN server open te breken is door aanvallers die de bugs daarin kennen. Als je server maar
uptodate is dan zit je wel goed, kunnen je clients niet connecten omdat de server de oudere protocollen niet meer
ondersteunt dan bellen ze wel over hoe ze moeten updaten. Dus geen risico maar een kans om te verbeteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.