Overslaan en naar de inhoud gaan

NSA-topman: zo bescherm je je tegen ons

Het hoofd van het NSA-hacking team, Rob Joyce, deelde gisteren een flinke sneer uit aan IT-beheerders. Hij gaf een hoogst ongebruikelijke uitleg hoe je het best de spiedende ogen van zijn team buiten de IT-systemen kan houden.
Rob Joyce
© Rob Joyce
Rob Joyce

Het bezoek en de voordracht van Rob Joyce op de Usenix Enigma conferentie waren op zijn zachtst gezegd opmerkelijk. De NSA is een van de meest gesloten organisaties van de Amerikaanse overheid. Lange tijd werden zelfs de vergaande spionagepraktijken van de NSA ontkent en nu komt de baas van het spul uitleggen hoe het team te werk gaan en hoe je dit ongewenste bezoek buiten de deur kan houden. The Register deed verslag van de bijeenkomst.

Tik op de vingers

Joyce gaf IT-beheerders een forse tik op de vingers. De essentie van zijn verhaal was dat zij beter moeten weten hoe hun systemen in elkaar zitten en welke componenten daar onderdeel van uitmaken. "Vaak kennen wij de netwerken beter dan degenen die ze hebben ontworpen en runnen". Hij schetste een zesstaps strategie die de NSA hanteert: ontdekken, eerste penetratie, aanwezigheid verzekeren, installeren van softwaregereedschap, uitbreiding naar brede aanwezigheid, en dan als laatste fase het verzamelen, exporteren en gebruik van de gegevens.

De cruciale fase is de eerste. Daar gaat het om het vinden van de zwakke plek. "We prikken en prikken en wachten en wachten, tot we binnen zijn." Zijn team richt zich vooral op fouten in de netwerkarchitectuur, en op sleutelfiguren in de organisatie die slordig omgaan met het beveiligingsbeleid. Maar het team zoekt ook naar plekken in het doelnetwerk waar het verbindingen heeft met andere computersystemen zoals de verwarming of de ventilatie. Die bieden soms een goed handvat voor een aanval.

Joyce raadde ook aan een grondig evaluatie van cloudproviders te doen voordat een contract wordt gesloten. Zodra je data plaatst in een cloudopslag, vertrouw je volledig op de beveiliging van de aanbieder.

Zero day niet gebruikelijk

Hij bestreedt overigens de veelgebruikte aanname dat overheidsgestuurde hackers doorgaans gebruik maken van nog niet gemelde kwetsbaarheden (zero day vulnerabilities). "Dat is niet zo gebruikelijk. Bij grote bedrijven is volharding en doelgericht zoeken voldoende om binnen te komen zonder zero day: er zijn zo veel meer manieren die veel makkelijker zijn, minder riskant en veel productiever."

Leer het volledige verslag van het advies van Joyce op The Register.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in