90% VPN netwerken is kwetsbaar voor hackers
Volgens security bedrijf NTA Monitor is 90% van de virtual private networks, vanwege standaardfouten, kwetsbaar voor hackers. Ondanks het feit dat de meeste bedrijven en financiele instellingen hun eigen security teams hebben, trof NTA in de afgelopen 3 jaar veel exploitbare lekken in de VPNs aan. Onder de fouten bevinden zich "username enumeration" lekken, waardoor gebruikersnamen via woordenboekaanvallen achterhaald kunnen worden. "Een van de standaard vereisten van een gebruikersnaam/wachtwoord authenticatie aanpak is dat een verkeerde login geen informatie mag vrijgeven of de gebruikersnaam of het wachtwoord verkeerd is. Veel VPNs negeren deze regel echter. Het feit dat VPN gebruikersnamen vaak op de namen en e-mailadressen van personen gebaseerd zijn, maakt het voor een aanvaller makkelijker om via een woordenboekaanval geldige gebruikersnamen te achterhalen." aldus Roy Hills van NTA.
standaard instellingen laat. kunnen hackers er ook geen gebruik van
maken :-)
ik neem aan dat ze hiermee de kleine bedrijfen mee bedoelen,
waarmee de eerste de beste sjonnie als netwerk beheerder wordt
benoemd.
tjah dan vraag je erom he.
> tjah dan vraag je erom he.
En dat is nou precies een belangrijk deel van het probleem.
Jij slaapt 's zomers zeker met je slaapkamerraam potdicht,
om insluipers te voorkomen?
Als ik mijn deur een keer vergeet op slot te doen, of bij de
beveiliging van een server of VPN verbinding of wat dan ook
iets over het hoofd gezien heb, of een patch nog niet
geinstalleerd heb, of die patch er gewoon nog niet is, dan
betekent dit allemaal niet dat ik om een inbraak (een
misdrijf) vraag.
Wat niet wil zeggen dat de meeste Sjonnies (en ik) het niet
op prijs stellen als we op onvolkomenheden worden gewezen,
voordat de boel door egoistische malloten overhoop wordt
gehaald.
Erik van Straten
magazine tijdschrift van een VPN heeft gelezen, kan dit met moeite
installeren, laat staan configgen...
Schoenmaker blijf bij je leest... een goeie sysadmin heeft zijn zaakjes wel
voor elkaar, 90% lijkt me ook een errug sterk percentage :S
wachtwoord-authenticatie moeten hebben: sterke authenticatie is beter.
Daarbij komt dat pptp bijvoorbeeld met korte wachtwoorden heel goed te
kraken is. De vraag is natuurlijk wel: gebeurd dat ooit.
90% lijkt me volledig uit de lucht gegerepen. Vooral omdat ze geen bron
noemen of onderzoeksopzet.
a.no
Je moet via (bijvoorkeur sterke) authenticatie bewijzen dat je bent wie je
bent. Je moet dus niet alleen je wachtwoorden gaan geheimhouden,
maar ook nog je usernamen, etc. Straks wordt zelfs het feit dat je
Pietersen heet al een beviligingsrisico
Op maandag 31 januari 2005 13:24 schreef Anoniem onder meer:
> tjah dan vraag je erom he.
En dat is nou precies een belangrijk deel van het probleem.
Jij slaapt 's zomers zeker met je slaapkamerraam potdicht,
om insluipers te voorkomen?
Als ik mijn deur een keer vergeet op slot te doen, of bij de
beveiliging van een server of VPN verbinding of wat dan ook
iets over het hoofd gezien heb, of een patch nog niet
geinstalleerd heb, of die patch er gewoon nog niet is, dan
betekent dit allemaal niet dat ik om een inbraak (een
misdrijf) vraag.
Wat niet wil zeggen dat de meeste Sjonnies (en ik) het niet
op prijs stellen als we op onvolkomenheden worden gewezen,
voordat de boel door egoistische malloten overhoop wordt
gehaald.
Erik van Straten
kijk dat laat nou weer zien hoe onprofessioneel je te werk gaat.
in dit geval ga je dus duidelijk voor een alternatief zoeken.
om zulk soort calamiteiten te voorkomen.
Nou Sjonnie, omdat jij denkt dat je nix kan doen, is jou netwerk in gevaar.
Als ik mijn deur een keer vergeet op slot te doen, of bij de
beveiliging van een server of VPN verbinding of wat dan ook
iets over het hoofd gezien heb, of een patch nog niet
geinstalleerd heb, of die patch er gewoon nog niet is, dan
betekent dit allemaal niet dat ik om een inbraak (een
misdrijf) vraag.
Wat niet wil zeggen dat de meeste Sjonnies (en ik) het niet
op prijs stellen als we op onvolkomenheden worden gewezen,
voordat de boel door egoistische malloten overhoop wordt
gehaald.
Erik van Straten
Ben ik het mee eens, maar wanneer je via VPN mensen toegang wil geven
tot je pc, gaat het er niet alleen om, om software te installeren en als het
werkt is het allemaal best.. maar er zou iets dieper in het protocol moeten
worden gekeken. Zo worden deze dingen opgevangen. Het is algemeen
bekent dat er met encryptie veel minder mogelijkheden zijn voor een
aanvaller.
Gebruik die dan ook al kost het meer tijd.
Mvg,
Ronald van der Westen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
