Het hoofd van het NSA-hacking team, Rob Joyce, gaf gisteren een flinke sneer naar IT-beheerders bij zijn hoogst ongebruikelijke uitleg hoe je het best de spiedende ogen van zijn team buiten de IT-systemen kan houden.
Het bezoek en de voordracht van Rob Joyce op de Usenix Enigma conferentie was op zijn zachtst gezegd opmerkelijk. De NSA is een van de meest gesloten organisaties van de Amerikaanse overheid. Lange tijd werden zelfs de verregaande spionagepraktijken van de NSA ontkend en nu komt de baas van het spul uitleggen hoe ze te werk gaan en hoe je dit ongewenste bezoek buiten de deur kan houden. The Register deed verslag van de bijeenkomst.
Joyce gaf IT-beheerders een forse tik op de vingers. De essentie van zijn verhaal was dat zij beter moeten weten hoe hun systemen in elkaar zitten en welke componenten daar onderdeel van uitmaken. “Vaak kennen wij de netwerken beter dan degenen die ze hebben ontworpen en runnen”. Hij schetste een zesstaps strategie die de NSA hanteert: ontdekken, eerste penetratie, aanwezigheid verzekeren, installeren van softwaregereedschap, uitbreiding naar brede aanwezigheid, en dan als laatste fase het verzamelen, exporteren en gebruik van de gegevens.
Prikken en prikken
De cruciale fase is de eerste. Daar gaat het om het vinden van de zwakke plek. “We prikken en prikken en wachten en wachten, tot we binnen zijn.” Zijn team richt zich vooral op fouten in de netwerkarchitectuur, en op sleutelfiguren in de organisatie die slordig omgaan met het beveiligingsbeleid. Maar het team zoekt ook naar plekken in het doelnetwerk, waar de NSA binnen wil komen, verbindingen heeft met andere computersystemen zoals de verwarming of de ventilatie. Die bieden soms een goed handvat voor een aanval.
Joyce raadde ook aan een grondig evaluatie van cloudproviders te doen voordat een contract wordt gesloten. Zodra je data plaatst in een cloudopslag, vertrouw je volledig op de beveiliging van de aanbieder.
Zero day niet gebruikelijk
Hij bestreed overigens de veelgebruikte aanname dat overheidsgestuurde hackers doorgaans gebruik maken van nog niet gemelde kwetsbaarheden (zero day vulnerabilities). “Dat is niet zo gebruikelijk. Bij grote bedrijven is volharding en doelgericht zoeken voldoende om binnen te komen zonder zero day: er zijn zo veel meer manieren die veel makkelijker zijn, minder riskant en veel productiever.”
Leer het volledige verslag van het advies van Joyce op The Register.
Bron: Automatiseringgids
