CISA: communiceer alleen end-to-end versleuteld en stop met privé vpn's
Het Amerikaanse cyberagentschap CISA heeft vandaag het advies gegeven om alleen end-to-end versleuteld te communiceren, alsmede te stoppen met sms-gebaseerde multifactorauthenticatie (MFA) en persoonlijke vpn-diensten. Het advies staat in een document over best practices voor mobiele communicatie en is geschikt voor iedereen, maar met name voor 'highly targeted' individuen, aldus de beschrijving (pdf).
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security claimt dat aan China gelieerde aanvallers erin zijn geslaagd om toegang tot de systemen van telecomproviders te krijgen en zo gespreksgegevens van een 'beperkt aantal highly targeted' individuen konden compromitteren. Volgens het CISA is het belangrijk dat 'highly targeted' individuen meteen hun communicatie beveiligen en aannemen dat al hun communicatie het risico loopt te worden onderschept.
Het advies bevat enkele algemene aanbevelingen, waaronder het gebruik van alleen end-to-end versleutelde communicatie. De Amerikaanse overheidsdienst noemt daarbij 'Signal of soortgelijke apps' als voorbeeld. Verder wordt aangeraden om geen sms-gebaseerde MFA te gebruiken en voor de nieuwste telefoonhardware te kiezen, omdat die vaak belangrijke securityfeatures bevatten die oudere hardware niet kan ondersteunen.
Ook wordt met klem afgeraden een persoonlijke vpn-dienst te gebruiken. "Persoonlijke vpn's verplaatsen het restrisico van je internetprovider naar de vpn-provider, wat vaak het aanvalsoppervlak vergroot. Veel gratis en commerciële vpn-providers hebben dubieus security- en privacybeleid." Het CISA benadrukt dat het advies niet gaat over vpn-oplossingen waarmee bedrijven hun medewerkers toegang tot data of applicaties geven.
Verder bevat het advies specifieke aanbevelingen voor iPhones en Androidtelefoons. Zo wordt iPhone-eigenaren aangeraden de Lockdown Mode in te schakelen, Apple iCloud Private Relay te gebruiken, encrypted DNS in te stellen en ervoor te zorgen dat berichten niet via sms worden verstuurd. Androidgebruikers wordt aangeraden te kiezen voor fabrikanten met een goed security track record die hun telefoons lang van beveiligingsupdates voorzien. Daarnaast geeft de Amerikaanse overheidsdienst om alleen Rich Communication Services (RCS) te gebruiken als end-to-end encryptie staat ingeschakeld.
Die heb ik alvast aangezet.
Meer info hier:
https://support.apple.com/en-us/102602
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Die heb ik alvast aangezet.
Meer info hier:
https://support.apple.com/en-us/102602
ja, lekker, alles naar de icloud van apple, die getapt wordt door de nsa.. maak het ze nog makkelijker.. ipv honderden VPN toko's met wurg gag orders te klagen moeten ze nu alleen de glasvezel naar apple ophogen... pfff.. regen in de drup in het kwadraad.
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Zie: https://www.seniorweb.nl/artikel/wat-is-rcs-en-hoe-kan-ik-het-activeren
Je kan ook met Signal SMSen.
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Ja, dat schiet op.
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Er zijn allerlei alternatieven, zie bijv https://cheatsheetseries.owasp.org/cheatsheets/Multifactor_Authentication_Cheat_Sheet.html#one-time-password-tokens
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Een veiliger oplossing voor genoemd probleem is een wachtwoordmanager gebruiken met per account een lang, random gegenereerd wachtwoord (essentieel is dat je het master-wachtwoord niet vergeet, backups maakt en zorgt dat het door jou gebruikte apparaat niet gecompromitteerd raakt).
Als die wachtwoordmanager de bedoelde inloggegevens alleen prijsgeeft indien in de adresbalk van de browser de juiste domeinnaam wordt getoond (en je zelf checkt dat https gebruikt wordt), is de kans op phishing enorm veel kleiner.
Meer info in https://security.nl/posting/840236/Veilig+inloggen. Een plaatje van hoe dat eruit ziet onder Android vind je onderaan https://infosec.exchange/@ErikvanStraten/113549056619471557.
Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Veel password managers hebben een MFA optie ingebakken tegenwoordig (dus het hoeft niet op je telefoon) en zijn echt niet zo crappy als je denkt. Je kunt vaak ook hardware tokens gebruiken en/of passkeys.
Ook hebben MFA apps geen internet nodig om te werken, alleen om ingesteld te worden. Voorbeeld: https://answers.microsoft.com/en-us/outlook_com/forum/all/using-microsoft-authenticator-offline/fa73ed0b-bec5-4971-8aa8-b74428b0cdd1
Eerste alinea :
https://www.youtube.com/watch?v=FhZpncIm89E
Een privé VPN is in mijn wereld een VPN die je privé inricht, ofwel thuis een VPN endpoint waar je je eigen mobiele apparaten in de GBB (grote boze buitenwereld) via internetS mee verbindt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
