bijna 20 procent van de https-servers te werken met een certificaat dat niet vertrouwd wordt,
in slechts een derde van de gevallen Always-On SSL te zijningesteld - zodat bij twee derde er geen garantie is dat alle communicatie over https loopt,
niet meer dan een kwart een Extended Validation-certificaat te hanteren,
18,5 procent nog kwetsbaar te zijn voor POODLE, een fout in de beveilgingsopzet die ruim een jaar geleden aan het licht kwam,
12 procent de PCI DDS-voorschriften 2.3 en 4.1 van banken en credtcardmatschappijen na te volgen
slechts 2,4 procent de aanbevelingen van het National Institute of Standards and Technology op te volgen.
Per saldo krijgt net iets meer dan de helft een goede beoordeling (en A) van High-Tech Bridge Security Research. Op dat blog biedt het bedrijf ook een link naar een tooltje waarmee men het veiligheidsniveau van verbindingen met via SSL/TLS beveiligde websites kan vaststellen.
DigiD en ABN Amro kwetsbaar voor POODLE
Een kleine test via dit tool van Nederlandse sites levert opmerkelijke resultaten op. Digid.nl bijvoorbeeld is volgens het tool van High-Tech Bridge kwetsbaar voor POODLE en kent ook andere zwakheden. De site waar Nederlanders hun digitale identitificatie richting overheid regelen, krijgt daarom als cijfer slechts een B. Een woordvoerder van Logius, dat zorgdraagt voor DigiD, kan zich in een eerste reactie moeilijk voorstellen dat dit echt het geval is; Logius zoekt het op dit moment verder uit.
Abnamro.nl is volgens High-Tech Bridge eveneens nog kwetsbaar voor POODLE en hanteert ook een niet-vertrouwd certificaat. Het krijgt daarom een B+, de ING-site en Triodos krijgen een A, maar zondigt op onderdelen tegen de PCI DDS-voorschriften, Rabobank, ASN en SNS krijgt een A+ - ze voldoen alleen niet aan alle NIST-aanbevelingen.
Personal details of four million consumers could have been exposed by the TalkTalk data breachTalkTalk
In the wake of the TalkTalk hacking scandal, cyber security experts have warned consumers are being "held over a barrel" by internet providers asking customers to hand over sensitive banking information for direct debit payments, which is then stored online.
The details of four million consumers could have been exposed by the TalkTalk data breach, which the company and its CEO Dido Harding are still trying to get a handle on. However, the failure of TalkTalk to protect its customers' details including the leak of partial credit and debit card numbers has provoked security concerns for all companies storing banking information online.
Information security consultant Paul Moore, who exposed the vulnerability of TalkTalk's security provision a year ago, told IBTimes UK he believed customers were being exposed needlessly by companies and internet providers asking for direct debit payments. He said the problem was worsened when companies like Virgin Media and BT levied extra charges on customers opting not to pay by direct debit. "I don't think the customer should be held over a barrel," he said, adding that direct debit payments were "inherently more risky because you are handing over yet more of your personal information and you are having to trust it is being secured securely."
"Organisations need to make sure they have the appropriate level of security in place to protect the customer information they hold. If they don't, we will act." - Information Commissioner's Office
Moore added: "Typically I don't use direct debit or continuous payment on to a debit card - for precisely this reason. You can never quite know how it is kept."
Joe Sturonas, chief technology officer of PKWARE echoed similar sentiments. "I am very conservative in the amount of information I provide and I only try to focus on types of payments that would reduce my risk in terms of exposure," he said and added if the general public knew more about data protection practices they would also doubtlessly be more conservative.
Internet providers, telecoms companies and other businesses storing banking details in remotely accessible networks are reluctant to talk about how they secure their information. When contacted by this publication, a spokeswoman from BT said: "BT takes great pains to ensure we protect and secure our customer data, but will not reveal our security defences publicly." The company declined to comment on its use of direct debit payments.
Virgin Media said some of its payment options did incur a fee and that "Ensuring customer data is secure is of utmost importance to Virgin Media. Virgin Media has a wide range of security measures in place including encryption."
The Financial Conduct Authority explained to IBTimes UK: "Our rules state that fees should be presented in a way that is clear and not misleading so that consumers can know exactly what they will be charged before they sign up to a product or service."
An Information Commissioner's Office spokesperson said: "Organisations need to make sure they have the appropriate level of security in place to protect the customer information they hold. If they don't, we will act."
What should companies do after a wide-scale data breach?
by Catalin Cosoi - Chief Security Strategist at Bitdefender - Monday, 26 October 2015.
It is not always possible to prevent such attacks, however, it is possible to make them highly unlikely to succeed. It is also possible to limit the extent of possible damage that any given successful attack can cause. The brand’s reputation can also encounter a significant amount of damage, which can be very hard to repair.
Good first steps would be communicating breaches as soon as they are found and providing help for customers to safeguard their money and identities in the face of compromise. Further on, a credible and public initiative to secure systems and data should be implemented. Companies suspecting to have been breached should act quickly and strategically.
There are five key actions that companies such as TalkTalk should follow after a breach:
1. Close the gaps - Secure the area where the breach occurred to limit further damage, as well as help document and preserve evidence for an in-depth forensic analysis.
2. Evaluate the losses - Determine the value of what was stolen and the impact – was it highly sensitive data, how many people were affected, does the organisation have a backup in place?
3. Fix the issue that caused the breach - Clean and repair affected systems in order to eliminate any hacker presence. Change credentials of important online accounts and servers where data is stored and isolate servers, machines and parts of the system, where possible.
4. Notify customers and other parties about the breach - For instance, inform the police if criminal activity is suspected. Monitor the status of the potential victims and sign them up for a credit or identity-monitoring service, if necessary. Take other necessary steps to remediate injuries caused by the breach.
5. Revisit overall security risks - Prevent future intrusions and implement proactive technologies like strong firewalls to enhance security. Site owners should keep their software up to date, use strong passwords to secure server website administrator areas as well as use a security certificate whenever sites are passing personal information between them and a web server database.
Affected customers of the TalkTalk data breach are advised to change their passwords and monitor their bank account activity for fraudulent purposes. Furthermore, customers should contact their bank and Action Fraud, the UK’s national fraud and internet crime agency. Be wary of email and telephone scams, as hackers will try to take advantage of the breach by sending related phishing spam requesting passwords or banking details via telephone.
Amazon Price:$30.98 $30.98 (as of October 25, 2015 10:12 – Details). Product prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on the Amazon site at the time of purchase will apply to the purchase of this product.
An updated Denial-of-service attack interpretation. In data processing, a denial-of-service assault (DoS attack) either dispersed denial-of-service assault (DDoS attack) is an aim to create a engine either net-work asset not available to its designed consumers. Although the intents to take out, reasons for, and aims of a DoS assault might differ, it normally comprises of attempts to provisionally either until further notice interject either hang facilities of a service related to the Internet. There has never been a Denial-of-service attack Guide like this.
It contains 231 answers, much more than you can imagine; comprehensive answers and extensive details and references, with insights that have never before been offered in print. Get the information you need–fast! This all-embracing guide offers a thorough view of key knowledge and detailed insight. This Guide introduces what you want to know about Denial-of-service attack.
A quick look inside of some of the subjects covered: Timeline of hacker history – 2001, IRC – Modern IRC, Web server – Causes of overload, Session border controller – Functions, Bitstamp – Service disruptions, Cyber fraud – Drug trafficking, VoIP phone – Technology issues, Internet Sacred Text Archive – History, Internet Control Message Protocol – Data, Virtual sit-in, Denial-of-service, IRC – Attacks, Denial-of-service – Distributed attack, Internet activism – Types, Hacktivism – Controversy, LAND, Google Instant – Error messages, Script kiddies – Michael Calce, SYN flood, Cyberterrorism – Concerns, Address Resolution Protocol – ARP spoofing and Proxy ARP, Three way handshake – Development, Denial-of-service attack – Backscatter, Dosnet, Information security – Availability, Nortel Secure Router 4134 – Security, Gnutella2 – Search algorithm, LulzSec – Government-focused activities, Malicious software – Purposes, Scientology – Scientology and the Internet, Civil disobedience Choice of specific act, and much more…
French bank Crédit Agricole will pay $787 million and hire an independent monitor after violating U.S. sanctions against Sudan, Iran, Myanmar, and Cuba between 2003 and 2008.
The bank will also fire a managing director involved in the violations of U.S. federal law and New York banking law.
Most other employees implicated in the offenses have already left the bank, the New York State Department of Financial Services said Tuesday.
The $787.3 million Crédit Agricole will pay in total includes $385 million to the New York State Department of Financial Services, $90.3 million to the Federal Reserve, $156 million to the Manhattan District Attorney's Office, and $156 million to the U.S. Attorney's Office for the District of Columbia.
A $330 million penalty imposed by the U.S. Department of the Treasury's Office of Foreign Assets Control will be "deemed satisfied" by amounts Crédit Agricole is paying the other agencies.
From at least 2003 to 2008, Crédit Agricole processed more than $32 billion in U.S. dollar payments through its New York branch from its branches in Paris, London, Singapore, Geneva, Hong Kong, and the Arabian Gulf, on behalf of Sudanese, Iranian, Burmese, and Cuban entities.
The bank agreed to hide its clients' identities on transactions through New York that violated U.S. sanctions.
One client described the crisis in the Darfur region of Sudan as "an exaggeration in the media." The bank processed more than 4,000 transactions in violation of U.S. economic sanctions against Sudan.
Crédit Agricole's Geneva employees were encouraged to complete illegal U.S. dollar transactions using a method fabricated by the bank's anti-money laundering committee known internally as the "Sudanese U-turn exception."
U.S. law didn't recognize the "Sudanese U-turn exception." But with no legal basis, the bank's AML committee authorized its use.
Crédit Agricole also made sure Iranian transactions routed through New York didn't mention Iran on the instructions.
The New York regulator said Tuesday,
Compliance staff in the Geneva Subsidiary's Office of the General Secretariat published and disseminated a policy in 2006 entitled, Compliance Embargos, which listed for employees the following non-transparent steps to be taken to effect Iranian-related U.S. dollar transactions: "Transfer instruction (MT 202) sent to Bank A's U.S. correspondent (Bank), WITH NO MENTION OF IRAN … no reference to Iran is made during this [MT 202 coverpayment] transaction."
Similar instructions not to mention Iran in transactions routed through New York went to the bank's head office in Paris, the London branch, and the Geneva subsidiary.
In its resolution Tuesday, Crédit Agricole entered into a deferred prosecution agreement with the U.S. Attorney’s Office for the District of Columbia for violations of the International Emergency Economic Powers Act and the Trading With the Enemy Act.
In May this year, another French bank, BNP Paribas S.A., paid $9 billion after pleading guilty to violating U.S. sanctions against Sudan, Iran, and Cuba.
* * *
The New York DFS consent order against Crédit Agricole is here (pdf).
OFAC's settlement agreement with Crédit Agricole is here (pdf).
The Federal Reserve's order against Crédit Agricole is here (pdf).
The DOJ's release is here.
________ Richard L. Cassin is the publisher and editor of the FCPA Blog. He can be contacted here.
- See more at: http://www.fcpablog.com/blog/2015/10/20/credit-agricole-pays-787-million-to-resolve-us-sanctions-off.html#sthash.QnXU1QQb.dpuf
We are aware of the United States National Security Agency (NSA) powers to break almost unbreakable encryption used on the Internet and intercept nearly Trillions of Internet connections – thanks to the revelations made by whistleblower Edward Snowden in 2013.
However, what we are not aware of is exactly how did the NSA apparently intercept VPN connections, and decrypt SSH and HTTPS, allowing the agency to read hundreds of Millions of personal, private emails from persons around the globe.
Now, computer scientists Alex Halderman and Nadia Heninger have presented a paper at the ACM Conference on Computer and Communications Security that advances the most plausible theory as to how the NSA broke some of the most widespread encryption used on the Internet.
According to the paper, the NSA has exploited common implementations of the Diffie-Hellman key exchange algorithm – a common means of exchanging cryptographic keys over untrusted channels – to decrypt a large number of HTTPS, SSH, and VPN connections.
Diffie-Hellman – the encryption used for HTTPS, SSH, and VPNs – helps users communicate by swapping cryptographic keys and running them through an algorithm that nobody else knows except the sender and receiver.
Healthcare providers must boost cyber defenses: Accenture
Healtchare providers need to shore up their defenses.
The continued digitization of the nation's healthcare system will place $305 billion worth of personal and medical information online and squarely in the crosshairs of cybercriminals in the next five years, according to a report by Accenture.
With this enormous target dangling in front of cybercriminals, Accenture said healthcare providers must boost their online defenses to protect customer data.
Accenture estimates that in the next five years one in 13 patients, or 25 million, will have their personal information stolen due to a data breach at their healthcare provider. Six million of these people will subsequently become medical identity theft victims, while another 4 million will end up paying out of pocket expenses to the tune of $65 billion due to the ID theft.
In many cases the victims may end up paying extra without realizing. One crime brought up in the report has criminals using stolen data to charge a victim's insurance company, and if the victim is not careful they could be paying for services they did not use.
“What most healthcare providers don't recognize is that as a result of cyber attacks on medical information, many patients will suffer personal financial loss. In contrast to credit card identity theft, where the card provider generally has a legal responsibility for account holders' losses above $50, victims of medical identity theft often have no automatic right to recover their losses,” the report stated.
Accenture recommended that healthcare providers opt for an active defense to protect the data. This includes developing an understanding of their adversaries, becoming more agile and thus able to reach customers faster by using cloud services, and establishing an end-to-end enterprise-level security program.
A high-ranking member of the Senate Banking Committee beseeched Experian to cough up additional details about the data breach that compromised the information of 15 million T-Mobile customers.
A high-ranking member of the Senate Banking Committee beseeched Experian to cough up additional details about the data breach that potentially compromised the information of 15 million T-Mobile customers.
Noting in a letter to Experian that “virtually no consumer can apply for credit without entering your system,” Sen. Sherrod Brown (D-Ohio), the committee's top-ranking Democrat, called for the credit agency to explain more fully how the breach went down and what steps it was taking to thwart future breaches.
Brown noted in the letter, which U.S. News & World Report said was obtained by the Associated Press, that "protection of this information is of the utmost importance, especially because the scope of the information is vast.”
T-Mobile's reputation has taken a hit after the breach, which occurred between Sept. 1, 2013, and Sept. 16, 2015, with hackers obtaining unauthorized access to customers' names, birth dates, addresses and social security numbers,
Payment card breach at Peppermill Resort Spa Casino in Reno
An undisclosed number of individuals are being notified that an attack may have compromised credit and debit cards used between October 2014 and February 2015 at the front desk of the Reno, Nev.-based Peppermill Resort Spa Casino. How many victims? Undisclosed. What type of personal information? Cardholder names, card numbers, expiration dates, and credit card security codes. What happened? An attack may have compromised payment cards used at the Peppermill's front desk. What was the response? New policies and procedures aimed at preventing future security incidents have been implemented. Affected individuals are being notified. Details: Peppermill became aware of the incident in late April, and notification was delayed due to an ongoing law enforcement investigation. Payment cards may have been affected if used at the Peppermill front desk between Oct. 12, 2014, and Feb. 16. Quote: “This security incident relates to the unauthorized and illegal acquisition, by criminal hackers, of certain kinds of credit and debit cards used at Peppermill's front desk,” a notification letter said. Source: oag.ca.gov, “Breach Letter,” Oct. 5, 2015.
Roughly 9,300 individuals are being notified that a laptop containing personal information was stolen from a physician who formerly worked for the University of Oklahoma Department of Urology.
How many victims? About 9,300. What type of personal information? Names, diagnoses and treatment codes and dates, dates of birth or ages, brief descriptions of urological medical treatments or procedures, medical record numbers and treating physician names. What happened? A laptop containing the personal information was stolen from a physician who formerly worked for the University of Oklahoma Department of Urology. What was the response? Steps are being taken to prevent similar incidents from occurring, and employees are being given additional training on the importance of securing patient information. All affected individuals are being notified, and offered a free year of credit monitoring services. Details: The theft occurred during the overnight hours of July 16-17, and the university was made aware of the incident on or about Aug. 14. The University of Oklahoma determined on or about Sept. 18 that the former physician and his current employer had not notified university patients who may have been affected. The Department of Urology was not aware that the former physician had taken patient information when leaving. The personal information was in a database spreadsheet stored on the laptop, which was password protected, but not encrypted. The information related to pediatric urology procedures occurring between 1996 and 2009. Quote: “The physician is not certain that patient information was on the laptop, but the university wanted to notify patients of this incident and assure them that this matter is being taken seriously,” a notification said. Source: oumedicine.com, “Notice to Certain Pediatric Urology Patients,” Oct. 9, 2015.
Hacking group stole credit card data of 150K casino customers
The personal information of 150,000 customers of an as-yet-unnamed casino was compromised following an incursion by the "Fin5" hacking group.
The personal information of 150,000 customers of an as-yet-unnamed casino was compromised following an incursion by the "Fin5" hacking group, according to The Register.
Barry Vengerik and Emmanual Jean-Georges of FireEye's Mandiant team determined that the hackers, already known for their use of “RawPOS” malware to siphon data from PoS devices, had been in the casino's system for a year. They added that the network lacked basic protections, such as a firewall and logging capabilities.
Vengerik said the gang attacks using stolen credentials, thereby avoiding an initial chance at detection. With a backdoor named Tornhull and a VPN called Flipside, the perpetrators then target Active Directory to gain further credentials.
The incursion illustrates how enterprises should safeguard any egress that third-parties have to corporate networks, Vengerik said.
The casino has since updated its security posture to include two-factor authentication, application whitelisting and more logging.
29 september 2015 - Organisaties die persoonsgegevens verwerken krijgen per 1 januari 2016 met een nieuwe wet te maken, de Meldplicht Datalekken. Wordt uw organisatie getroffen door een ernstig datalek? Dan moet u dat direct (binnen twee werkdagen) melden bij het College Bescherming Persoonsgegevens. Onderneem nu actie om de gevolgen van eventuele datalekken te beperken en zo mogelijk in de toekomst te voorkomen!
Wanneer moet u datalekken melden?
In de Meldplicht Datalekken is vastgelegd dat alleen ernstige datalekken direct gemeld moeten worden. Maar wat is nu een ernstig datalek? Volgens het College Bescherming Persoonsgegevens (CBP) moet een datalek alleen gemeld worden als het lek leidt tot mogelijke nadelige gevolgen voor de geregistreerden die door het lek getroffen zijn. Dit kan per situatie verschillen. Van een datalek is niet alleen sprake als door kwaadwillenden in uw systeem is ingebroken. Ook het verlies van persoonsgegevens, onrechtmatige verwerkingen en zelfs onbevoegde kennisname van gegevens vallen onder het begrip datalek. Het CBP werkt aan specifieke richtlijnen waarmee wordt aangegeven onder welke omstandigheden u een datalek moet melden.
Datalek direct melden
Als uw organisatie wordt getroffen door een datalek en dit mogelijke nadelige gevolgen heeft voor de geregistreerden, dan moet u het lek binnen twee werkdagen melden bij het CBP. Bovendien moet u in bepaalde gevallen de geregistreerden over het datalek informeren. Dit zijn de personen waarvan de gegevens zijn gelekt. Of u de geregistreerden moet informeren, hangt af van de ernst van uw lek.
Boetes
Meldt u het lek niet binnen de gestelde termijn bij het CBP en informeert u de geregistreerden niet over het lek? Dan kunt u hiervoor een boete krijgen die kan oplopen tot maximaal € 810.000 of 10% van uw omzet.
Wat kunt u doen?
Of er nu een USB-stick kwijtraakt, een laptop wordt gestolen of uw gegevens worden gehackt, de kans dat uw organisatie wordt getroffen door een datalek neemt alsmaar toe. Om de risico’s op een lek te beperken, kunt u diverse maatregelen treffen. Hieronder vindt u een praktisch stappenplan:
Ga na welke persoonsgegevens u beheert en welke gegevens u registreert. Classificeer deze gegevens naar gevoeligheid voor de geregistreerden
Bepaal hoe deze gegevens zijn beveiligd. Kunnen de gegevens gemakkelijk gehackt worden? En heeft u alles goed beveiligd?
Stel vast of uw organisatie in staat is om datalekken te detecteren
Creëer een communicatie- en calamiteitenplan voor het geval u met een datalek te maken krijgt. Met een dergelijk plan kunt u direct de juiste acties ondernemen. Bovendien helpt dit u om eventuele nadelige gevolgen tot een minimum te beperken.
De specialisten van Mazars helpen u graag bij het opstellen van een goed beveiligingsbeleid en -plan voor uw organisatie. Ook kunnen zij de beveiliging van uw systemen doorlichten en u adviseren bij het verbeteren van uw beveiliging.
Aansprakelijkheid beperken niet voldoende
U bent altijd verantwoordelijk en aansprakelijk wanneer vanuit uw organisatie persoonsgegevens op straat komen te liggen. Dit betekent dat het niet altijd mogelijk is om uw aansprakelijkheid contractueel te beperken. Onderneem daarom de juiste stappen en richt u op het beschermen van uw gegevensverwerking. Het voldoen aan de privacy wetgeving en in het bijzonder het realiseren van de daarbij behorende passende beveiligingsmaatregelen is essentieel om de gevolgen van een datalek te beperken.
Meer weten?
Heeft u vragen over de Meldplicht Datalekken of wilt u meer weten over de impact voor uw organisatie? Neem dan contact op met Jan Matto per e-mail ( jan.matto@mazars.nl ) of per telefoon: +31 (0)88 277 13 99 / +31 (0)6 53 57 82 32. Hij helpt u graag verder.
The US government has decided not to call for new legislation to force tech companies to decode the encrypted communications of their customers - for now at least.
Police and intelligence agencies have become increasingly concerned about the use of end-to-end encrypted communications services by criminals because it is all but impossible to decode the conversations.
With more traditional methods of communication there is usually a way for the service provider to allow police - with a warrant - access to the data. But end-to-end encryption means the only place the message is unscrambled is on the smartphone itself.
"Changing forms of internet communication and the use of encryption are posing real challenges to the FBI's ability to fulfill its public safety and national security missions. This [is a] real and growing gap," said FBI director James Comey in a written statement to the Senate's Homeland Security and Governmental Affairs Committee.
Comey told the committee that terrorists are using social networks to find recruits and then switching to end-to-end encrypted networks to continue their interactions.
"They will move them off of Twitter, where with lawful process we can see the communications, and move them to an end-to-end mobile messaging app which is end-to-end encrypted. So the needle we may have found disappears on us once it becomes most dangerous... we cannot see what is being said between that ISIL recruiter and someone who would kill where they are," he warned.
Comey said the issue with encryption was a clash between the need for safety and security on the internet and public safety. "Those two values we hold dear are crashing into each other. I don't know what the answer is," he said.
The use of strong encryption is also key to banking and ecommerce and critics argue that giving law enforcement a back-door into such systems would undermine the security of everyone.
Privacy campaigners also argue that the use of encrypted communications is a vital lifeline for those living under many regimes around the world: others still argue that revelations such as those by Edward Snowden show that intelligence agencies already have far too much access to the apparently private communications of the public.
Comey said the US government will not call for new laws in this area: "The administration has decided not to seek a legislative remedy now but that it makes sense to continue the conversations we are having that are very productive," he said. According to the Washington Post that decision was made in a cabinet meeting on 1 October.
In contrast, the government in the UK has several times suggested that it wants to pass legislation so that it can gain access to such communications: precisely how it would do that is not clear.
13-10-2015 11:35 | Door Rik Sanders | Lees meer artikelen over: Browsers | Lees meer over het bedrijf: CWI | Er zijn nog geen reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Een internationaal team van cryptanalysten dringt er bij de industrie op aan om de SHA-1 internetbeveiligingsstandaard eerder in te trekken, omdat de kosten van het breken aanzienlijk lager blijken te zijn dan gedacht. Deze industriële standaard wordt gebruikt voor digitale handtekeningen, die credit card transacties, online bankieren en de distributie van software beveiligen. Op dit moment zullen browsers de SHA-1 handtekeningen pas in januari 2017 als onveilig markeren, ten gunste van de veilige opvolger SHA-2.
De wetenschappers Marc Stevens van Centrum Wiskunde & Informatica (CWI) uit Amsterdam, Pierre Karpman van het Franse nationale instituut voor computerwetenschappen Inria en Thomas Peyrin van de technische universiteit NTU Singapore, stellen dat er veel eerder dan geraamd vervalste digitale handtekeningen kunnen worden gemaakt. Stevens zegt: 'We hebben net met succes de volledige binnenste laag van SHA-1 gebroken. We denken nu dat de state-of-the-art aanval op heel SHA-1, zoals beschreven in 2013, maar ongeveer honderdduizend dollar zal kosten aan het huren van grafische kaarten in de cloud.'
Freestart collision
Op 22 september leidde gezamenlijk onderzoek van Stevens, Karpman en Peyrin tot een succesvolle 'freestart collision attack' op SHA-1. Dit is een cryptografisch algoritme, ontworpen door de NSA in 1995, om veilige digitale vingerafdrukken voor berichten te kunnen berekenen. Deze vingerafdrukken worden gebruikt in de berekening van digitale handtekeningen, die het fundament vormen van internetbeveiliging, zoals bij https (ssl)-security, elektronisch bankieren, het ondertekenen van digitale documenten en software.
Botsingen - verschillende berichten met dezelfde message fingerprint - kunnen leiden tot vervalsingen van digitale handtekeningen. Een freestart collision breekt de binnenlaag van SHA-1. 'We hebben net laten zien hoe grafische kaarten zeer efficiënt kunnen worden gebruikt voor dit soort aanvallen. Nu kunnen we dit ook gebruiken om een state-of-the-art collision attack voor de complete SHA-1 meer kostenefficiënt te maken', legt Karpman uit.
Criminelen
Het onderzoeksteam wijst er op dat in 2012 beveiligingsexpert Bruce Schneier de kosten van een volledige SHA-1 aanval in 2015 schatte op ongeveer zevenhonderdduizend dollar. Dit bedrag zou dalen tot ongeveer 173.000 dollar in 2018, wat hij binnen de financiële mogelijkheden van criminelen achtte. Het team zegt nu te hebben aangetoond dat voor deze aanvallen grafische kaarten veel sneller zijn en dat volgens zijn schatting een volledige SHA-1 botsing momenteel tussen de 75.000 en 120.000 dollar kost voor het huren van een paar maanden rekentijd op Amazon EC2 cloud computers.
'Dit impliceert dat botsingen nu al binnen de middelen van criminele organisaties vallen, bijna twee jaar eerder dan werd verwacht, en een jaar voordat SHA-1 als onveilig zal worden gemarkeerd in moderne internet browsers. Daarom raden wij aan om op SHA-1 gebaseerde digitale handtekeningen al veel eerder als onveilig aan te merken dan het huidige internationale beleid voorschrijft.'
CA/Browser Forum
Het internationale onderzoeksteam heeft een dringend beroep gedaan op het CA/Browser Forum om tegen een recent voorstel te stemmen om uitgifte van SHA-1-certificaten met nog een jaar uit te breiden. De stemming hiervoor sluit op 16 oktober.
De groep beschreef hun aanbevelingen in een technisch rapport, dat online beschikbaar is.
100 procent bescherming tegen cyberaanvallen bestaat niet. Nog
afgezien van de immens hoge kosten die dat met zich mee zou brengen,
heeft het dus weinig zin daar naar te streven. Maar wat is dan wel
genoeg?
Voor Righard Zwienenberg, senior research fellow bij beveiliger
ESET, moet de basis van beveiliging in orde zijn. “Zorg voor een goede
firewall plus een goede beheerder. Dan houd je een heel groot deel van
het toevallig langs hackende verkeer wel buiten.” Want buiten houden is
van groot belang voor beveiliging. “Die firewall is nodig omdat er te
veel poorten open staan. Zijn ze eenmaal binnen dan wordt het moeilijk.
Ze kunnen wel worden opgemerkt, maar uit overwegingen van performance,
overhead en gemak worden verbindingen die van binnenuit worden opgestart
meestal wel doorgelaten.”
Wat is dan een goede firewall? “Die kan zich op zijn minst zelf
updaten met bijvoorbeeld nieuwe regels. En hij kan heel precies
functionaliteit voor grote groepen gebruikers afschermen als dat nodig
is. Een goede firewall zorgt er zo voor dat duidelijk is wie wat
gebruikt en houdt daarvan logbestanden bij die je kunt raadplegen als
dat nodig is.”
Cruciaal is volgens Zwienenberg de aanwezigheid van een goede
beheerder. “Het liefst iemand die zich niet puur aan het schoolboekje
houdt, want dat boekje kennen de hackers ook. Hij moet zich constant
bijscholen en informeren op het gebied van beveiliging. Dat betekent
eigenlijk dat hij de hele wereld af moet struinen zodat hij ziet of
gevaren elders ook voor zijn netwerk gelden. Dat betekent dat hij ook
naar conferenties moet, want die kennis is wel belangrijk. Daarbij moet
goed duidelijk zijn welke apparaten binnen het bedrijf staan, zodat hij
snel kan concluderen of een nieuwe gevaarlijke ontwikkeling ook zijn
systemen kan raken.”
Onveilige apparaten weren
Relatief duur maar ook behoorlijk doeltreffend is hier bovenop een
tool voor device control te plaatsen. Dat zorgt ervoor dat gebruikers
niets kunnen doen op het netwerk wanneer ze daar voor niet zijn
geautoriseerd. “Daarop kun je precies vastleggen welke apparaten het
netwerk op mogen, tot aan het serienummer van zo’n apparaat toe. Vreemde
apparaten komen er gewoon niet op. En die worden er wel vaak op
aangesloten door medewerkers in het kader van BYOD. Dat houd je niet
tegen, maar met device control houd je wel mogelijk onveilige apparaten
weg.”
Zwaardere, gerichte aanvallen houd je hier echter vrijwel niet mee
tegen. Dat vereist maatregelen die diep ingrijpen op de werkbaarheid
binnen een organisatie. “Bij gerichte aanvallen wordt vaak gebruik
gemaakt van contacten binnen de organisatie. En binnen is binnen. Wil je
dat voorkomen dan moet je extreme firewall-regels toepassen en compleet
gescheiden netwerken installeren. Dat is onwerkbaar voor een normaal
bedrijf. Naarmate je meer doet, wordt de werkbaarheid steeds minder. Dat
begint al met 2-factorauthenticatie”, vindt Zwienenberg.
Paul Heywood, directeur EMEA van beveiliger Dyn, ziet de invoering
van 2-factorauthenticatie juist als een belangrijke stap in bescherming
van het netwerk. “Je moet zorgen dat een hacker meer stappen moet zetten
om binnen te komen en 2FA is dan een eerste laag waar hij doorheen
moet. Vergelijk het met maar met een huis. Kijk waar de ramen zitten en
maak het de inbreker moeilijk.”
Inventariseren moet
Volgens Heywood is het van nog groter belang om allereerst een
inventarisatie te maken van alle (digitale) bezittingen. “Interne
governance is een belangrijk onderdeel van beveiliging. Daarvoor moet
duidelijk zijn welke bezittingen aanwezig zijn en wat daarvan van
kritiek belang is voor de organisatie. Heb je dat eenmaal op een rijtje,
kun je de verschillende profielen gaan bepalen en de beleidsregels erop
afstemmen. Doe dat wel zo uniform mogelijk, want alleen zo blijf je
goed georganiseerd. Daardoor houd je alles overzichtelijker en beter
dicht. Vallen er gaten, dan biedt dat kansen aan hackers.”
Hans Hoogstraaten is docent-onderzoeker aan de Haagse Hogeschool voor
Information Security Management en bij de Cyber Security Academy.
Daarvoor werkte hij onder meer bij het Nederlands Forensisch Instituut,
TNO en Fox-IT. Basismaatregelen zoals het inzetten van firewalls en
virusscanners zijn volgens hem altijd goed, alle kleine beetjes helpen
immers. Het houdt in elk geval de wat minder geavanceerde aanvallen
tegen. Maar meer is beter. “Voor de beveiliging moet je keuzes maken op
basis van wat je het dierbaarst is. Hoe dierbaarder, hoe meer
maatregelen.” Kleinere bedrijven adviseert hij in zee te gaan met
leveranciers van securitydiensten – managed service providers. “Er is
veel kennis nodig om het netwerk goed te beveiligen. Voor kleinere
bedrijven is daar moeilijk aan te komen. Experts zijn duur en schaars.
Deze bedrijven kunnen beter kiezen voor het inhuren van die kennis via
managed security providers.” Hij wijst erop dat dit in zijn algemeenheid
voor IT-beveiliging geldt. “Tenzij je een heel groot bedrijf bent, laat
je je beveiliging door derden doen.”
De meerwaarde van monitoring
Naast een firewall en een virusscanner is monitoring van groot
belang, vindt Hoogstraaten. “De focus bij beveiliging verschuift van
preventie naar detectie. Aanvallen zijn niet te voorkomen. Het is daarom
beter deze snel op te merken en te reageren. Zet dáár je geld op. Een
verhouding 50/50 tussen beveiliging en detectie is helemaal niet zo
gek.”
Daarnaast is een ander soort maatregelen nodig. “Er wordt steeds meer
gehackt met behulp van social engineering”, zegt Hoogstraaten.
“Daartegen kun je dure maatregelen nemen die tot gevolg hebben dat de
bewegingsvrijheid van de gebruiker wordt beperkt. Denk aan Blue Coat,
waarbij het verkeer van medewerkers wordt gemonitord. Dat is beperkend
voor de organisatie.”
Zaligmakend zijn monitoringtechnieken bovendien niet. “De kwaliteit
van de monitoringtools zit hem in het aantal false positives [ten
onrechte iets aanzien voor een aanval] en false negatives [de aanval
niet detecteren]. De tools geven nogal wat false positives waardoor er
weer mensen nodig zijn om uit te zoeken of de positive een echte
positive is.” De relatie tussen deze twee cijfers is meestal die van
communicerende vaten. “In het ideale geval zijn er geen false negatives,
want dan hebben de tools geen aanvallen gemist. Dit zorgt vaak weer
voor veel false positives, die dan weer met de hand geverifieerd moeten
worden. Een goede monitoringdienst kost dus veel geld!”
Hoogstraaten wijst ook op het opensourceprogramma SNORT. Dat kan
gebruikt worden als Intrusion Detection en Intrusion Prevention System.
“Dat is goedkoop, maar het moet wel getuned worden op de eigen
organisatie.” Het andere uiterste is dat je al die false positives
onderzoekt. “Dat vereist een SOC met 24/7-diensten. Maar wat je ook
kiest: het helpt altijd! Er zijn altijd aanvallen die heel makkelijk te
detecteren zijn, dus die ondervang je in elk geval.”
Monitoringtools werken – net als virusscanners – veel met de
herkenning van signatures: ‘handtekeningen’ van bekende malware of
aanvallen. Dat volstaat met de almaar groeiende toename van aanvallen
en de snelle productie van nieuwe malware niet meer. Liever ziet
Hoogstraaten daarom tools die gebruik maken van anomaliedetectie. “Deze
tools kijken naar de afwijkingen van het normale. Dat klinkt
makkelijk, maar is echt lastig, want normaal verkeer is al zo divers. Er
zijn veel SIEM-leveranciers die claimen dat hun systeem dit ook kan,
maar dat betwijfel ik. De tools moeten eerst tunen wat normaal is. Dat
is al een grote en moeilijke klus, zeker als de organisatie veel
toestaat aan haar gebruikers.” Ook moet een organisatie volgens hem
nadenken over hoeveel geld het in anomaliedetectie wil steken, want het
is nog geen proven technology. “Mijn advies is: vraag om bewijs van de
werking.” Toch geldt voor monitoringtools die met wat oudere
technologieën werken dat ook zij helpen. Het is altijd beter dan niets.
Een organisatie kan ook verder gaan dan beveiliging op netwerkniveau.
“Tools kunnen ook binnen een computer monitoren hoe bijvoorbeeld de
processen of de library’s zich gedragen. Een voordeel is dat ze heel
goed profielen kunnen maken van het normale gedrag binnen een computer
of server. Dit moet dan wel goed worden verpakt, anders herkent slimme
malware dit en schakelt het uit. Het is opnieuw een duurdere oplossing
doordat je dit voor elk softwarepakket moet uitzoeken en bepalen – en
opnieuw voor elke update.”
Blijven werken aan bewustwording
Afgezien van de technische beveiliging is bewustwording bij de
gebruikers van zeer groot belang. “Intensieve phishingmethodes vormen
een groot gevaar als gebruikers er niet op voorbereid zijn”, zegt
Hoogstraaten. “Daartegen bestaan relatief goedkope maatregelen in de
vorm van bijvoorbeeld cursussen, al kan die kennis weer snel wegzakken.
Streef dus naar een cultuurverandering. Al doe je maar een beetje, dan
helpt het toch iets. Hoe meer tijd en geld je erin steekt, hoe sterker
je verdediging wordt.”
Wantrouw alles en iedereen
Forrester introduceerde in 2010 het zero trust-model voor
beveiliging. Dat gaat er van uit dat zowel het externe als het interne
netwerk gewantrouwd dient te worden. Vooral aan interne medewerkers
werd en wordt te veel vertrouwen gegeven op het bedrijfsnetwerk.
Bij zero trust dient al het verkeer in real time gecontroleerd
te worden. Zero trust gaat uit van een gesegmenteerd netwerk waarbij
security in de architectuur is ingebouwd, dus niet achteraf eraan is
toegevoegd. Daarbij mag niets of niemand zonder meer vertrouwd worden,
ook niet de eigen medewerkers, want ook die kunnen, vaker onbewust dan
bewust, een gevaar voor de beveiliging vormen. Dat betekent dat al het
verkeer gelogd en geïnspecteerd moet worden. Toegangscontroles moeten
streng worden opgelegd en gecontroleerd en het moet zeker zijn dat de
toegang tot alle resources op een veilige manier wordt verschaft. Regels
hiervoor moeten steeds bijgesteld worden op basis van de bevindingen
van analyses van het beveiligingssysteem. En natuurlijk moet alle
waardevolle informatie versleuteld zijn.
It is not always possible to prevent such attacks, however, it is possible to make them highly unlikely to succeed. It is also possible to limit the extent of possible damage that any given successful attack can cause. The brand’s reputation can also encounter a significant amount of damage, which can be very hard to repair.
Richard L. Cassin
