image

CISA: communiceer alleen end-to-end versleuteld en stop met privé vpn's

woensdag 18 december 2024, 17:12 door Redactie, 15 reacties

Het Amerikaanse cyberagentschap CISA heeft vandaag het advies gegeven om alleen end-to-end versleuteld te communiceren, alsmede te stoppen met sms-gebaseerde multifactorauthenticatie (MFA) en persoonlijke vpn-diensten. Het advies staat in een document over best practices voor mobiele communicatie en is geschikt voor iedereen, maar met name voor 'highly targeted' individuen, aldus de beschrijving (pdf).

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security claimt dat aan China gelieerde aanvallers erin zijn geslaagd om toegang tot de systemen van telecomproviders te krijgen en zo gespreksgegevens van een 'beperkt aantal highly targeted' individuen konden compromitteren. Volgens het CISA is het belangrijk dat 'highly targeted' individuen meteen hun communicatie beveiligen en aannemen dat al hun communicatie het risico loopt te worden onderschept.

Het advies bevat enkele algemene aanbevelingen, waaronder het gebruik van alleen end-to-end versleutelde communicatie. De Amerikaanse overheidsdienst noemt daarbij 'Signal of soortgelijke apps' als voorbeeld. Verder wordt aangeraden om geen sms-gebaseerde MFA te gebruiken en voor de nieuwste telefoonhardware te kiezen, omdat die vaak belangrijke securityfeatures bevatten die oudere hardware niet kan ondersteunen.

Ook wordt met klem afgeraden een persoonlijke vpn-dienst te gebruiken. "Persoonlijke vpn's verplaatsen het restrisico van je internetprovider naar de vpn-provider, wat vaak het aanvalsoppervlak vergroot. Veel gratis en commerciële vpn-providers hebben dubieus security- en privacybeleid." Het CISA benadrukt dat het advies niet gaat over vpn-oplossingen waarmee bedrijven hun medewerkers toegang tot data of applicaties geven.

Verder bevat het advies specifieke aanbevelingen voor iPhones en Androidtelefoons. Zo wordt iPhone-eigenaren aangeraden de Lockdown Mode in te schakelen, Apple iCloud Private Relay te gebruiken, encrypted DNS in te stellen en ervoor te zorgen dat berichten niet via sms worden verstuurd. Androidgebruikers wordt aangeraden te kiezen voor fabrikanten met een goed security track record die hun telefoons lang van beveiligingsupdates voorzien. Daarnaast geeft de Amerikaanse overheidsdienst om alleen Rich Communication Services (RCS) te gebruiken als end-to-end encryptie staat ingeschakeld.

Reacties (15)
18-12-2024, 18:00 door Anoniem
Wat is een LockDown mode op Android?
18-12-2024, 18:51 door Anoniem
Dank voor de goede tips! Ik wist niet dat zoiets als Apple iCloud Private Relay bestond.
Die heb ik alvast aangezet.

Meer info hier:
https://support.apple.com/en-us/102602
18-12-2024, 21:09 door Anoniem
Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
18-12-2024, 23:06 door Anoniem
Door Anoniem: Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
TOTP volgens RFC 6238 is zo'n beetje de standaard met talloze (open source) apps die dat ondersteunen. Zelfs in te stellen bij Microsoft, die inderdaad eerst hun crappy OTP app naar voren schuit.
18-12-2024, 23:19 door Anoniem
Door Anoniem: Dank voor de goede tips! Ik wist niet dat zoiets als Apple iCloud Private Relay bestond.
Die heb ik alvast aangezet.

Meer info hier:
https://support.apple.com/en-us/102602

ja, lekker, alles naar de icloud van apple, die getapt wordt door de nsa.. maak het ze nog makkelijker.. ipv honderden VPN toko's met wurg gag orders te klagen moeten ze nu alleen de glasvezel naar apple ophogen... pfff.. regen in de drup in het kwadraad.
18-12-2024, 23:44 door Anoniem
Door Anoniem: Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...

Zie: https://www.seniorweb.nl/artikel/wat-is-rcs-en-hoe-kan-ik-het-activeren

Je kan ook met Signal SMSen.
19-12-2024, 00:20 door Anoniem
Door Anoniem: Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...

Ja, dat schiet op.
19-12-2024, 09:19 door Anoniem
Door Anoniem: Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
Ik zou niet zeggen dat de OTP apps crap zijn en ik heb er nu met verschillende gewerkt. Daarnaast is er ook nog de ouderwetse sleutelhanger die een code kan genereren, Heb je alleen wel een hoop sleutelhangers.
19-12-2024, 09:31 door Anoniem
Door Anoniem: Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...

Er zijn allerlei alternatieven, zie bijv https://cheatsheetseries.owasp.org/cheatsheets/Multifactor_Authentication_Cheat_Sheet.html#one-time-password-tokens
19-12-2024, 09:43 door Erik van Straten
Door Anoniem: Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...
MFA/2FA zou de "oplossing" zijn voor het probleem dat mensen zwakke wachtwoorden kiezen en/of (evt. sterke) wachtwoorden hergebruiken. Daarbij is zwakke MFA (SMS, Voice, TOTP, Number Matching) niet phishing-resistant.

Een veiliger oplossing voor genoemd probleem is een wachtwoordmanager gebruiken met per account een lang, random gegenereerd wachtwoord (essentieel is dat je het master-wachtwoord niet vergeet, backups maakt en zorgt dat het door jou gebruikte apparaat niet gecompromitteerd raakt).

Als die wachtwoordmanager de bedoelde inloggegevens alleen prijsgeeft indien in de adresbalk van de browser de juiste domeinnaam wordt getoond (en je zelf checkt dat https gebruikt wordt), is de kans op phishing enorm veel kleiner.

Meer info in https://security.nl/posting/840236/Veilig+inloggen. Een plaatje van hoe dat eruit ziet onder Android vind je onderaan https://infosec.exchange/@ErikvanStraten/113549056619471557.
19-12-2024, 09:53 door Anoniem
Door Anoniem: Geen SMS. Wat dan?

Een of andere crappy app? Die alleen maar op android of crapple telefoons draait? Nee, dat schiet op...

Veel password managers hebben een MFA optie ingebakken tegenwoordig (dus het hoeft niet op je telefoon) en zijn echt niet zo crappy als je denkt. Je kunt vaak ook hardware tokens gebruiken en/of passkeys.

Ook hebben MFA apps geen internet nodig om te werken, alleen om ingesteld te worden. Voorbeeld: https://answers.microsoft.com/en-us/outlook_com/forum/all/using-microsoft-authenticator-offline/fa73ed0b-bec5-4971-8aa8-b74428b0cdd1
19-12-2024, 11:58 door Underlyingglitch
Lockdown mode is wel een beetje overkill. Apple geeft zelf aan dat deze functie niet bedoeld is voor “de gemiddelde gebruiker” en deze modus zorgt ervoor dat veel functionaliteiten niet meer werken. Privé VPN en SMS MFA afraden is wel een goed idee
19-12-2024, 12:11 door Anoniem
Door Underlyingglitch: Lockdown mode is wel een beetje overkill. Apple geeft zelf aan dat deze functie niet bedoeld is voor “de gemiddelde gebruiker” en deze modus zorgt ervoor dat veel functionaliteiten niet meer werken. Privé VPN en SMS MFA afraden is wel een goed idee

Eerste alinea :

Het advies staat in een document over best practices voor mobiele communicatie en is geschikt voor iedereen, maar met name voor 'highly targeted' individuen, aldus de beschrijving
19-12-2024, 18:55 door Anoniem
Waarom geen SMS, simpel.... dit is vrij makkelijker te onderscheppen. De apps daarintegen communiceren met TLS endpoints.

https://www.youtube.com/watch?v=FhZpncIm89E
21-12-2024, 22:21 door Anoniem
Hmm... ipv over prive VPNs te spreken is het beter om over commerciële VPN diensten te spreken. Immers privé is een beetje dubbelop. (*prive* Virtual *Private* Network)...
Een privé VPN is in mijn wereld een VPN die je privé inricht, ofwel thuis een VPN endpoint waar je je eigen mobiele apparaten in de GBB (grote boze buitenwereld) via internetS mee verbindt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.