Monthly Archives: juli 2013

Deep Packet Investigation om dataverkeer te analyseren

Het rinkelen van de mobiele telefoon kondigt het nieuws aan dat elke netwerkbeveiligingsprofessional vreest: "Ik denk dat het netwerk is gehackt". Plotseling moet u antwoord vinden op vijf vragen die u nooit gesteld had willen zien.

Die vijf vragen zijn:

  1. Welke schade is aangericht?
  2. Wie was de indringer?
  3. Hoe is de indringer langs de beveiliging gekomen?
  4. Heeft de indringer een virus achtergelaten?
  5. Heb ik voldoende gegevens om de aanval te analyseren en na te bootsen?

De klassieke manier om het dataverkeer van een netwerk te onderzoeken, omvat het ophalen van duizenden data-elementen uit een veelheid van bronnen, zoals firewall logs, router logs, Intrusion Detection Systems (IDS), server logs, harde schijven en system dumps. Het resultaat moet daarna aan elkaar worden gesmeed tot een samenhangend beeld. Het resultaat is vaak onvolledig.

Nieuwe techniek
Er is echter een nieuwe techniek in opkomst op het gebied van network forensics die aansluit bij de bestaande technieken om dataverkeer te analyseren en zo beveiligingsincidenten te reconstrueren. In dit artikel zullen we deze techniek 'Digital Network Packet Forensics' (DNPF) noemen.

DNPF-analyse is gebaseerd op de mogelijkheden van bestaande network analyzers zoals Wireshark voor het vastleggen, analyseren en reconstrueren van de gegevensstroom in een computernetwerk. Aangezien dit soort producten is ontworpen om dataverkeer vast te leggen en een gedetailleerde analyse te maken van verschillende gegevenstypen, is het zeer geschikt voor deze extra taak. Dit onderzoek naar de individuele datastromen en de elementen waaruit ze zijn samengesteld, maakt een reconstructie mogelijk van de volgorde van incidenten gedurende een bepaald tijdsbestek.

Recontructie en diepte-analyse
Als dit geïntegreerd wordt met de nieuwe generatie van high-performance, line-rate capture appliances die veel schijfruimte (meerdere terabyte) bevatten, dan kan de netwerkprofessional met de resterende capture files een beveiligingsincident reconstrueren en een diepte-analyse toepassen tot, indien nodig, op het individuele bit-niveau. Het resultaat van deze analyse kan worden gebruikt voor het beantwoorden van elk van de vijf eerder gestelde vragen. Daarnaast kunnen hiermee alle aangetaste knooppunten in het netwerk worden geïdentificeerd en kan het zelfs worden gebruikt als basis voor het actualiseren van de bestaande IDS.

De DNPF-analyse bouwt voort op enkele belangrijke aspecten van de manier waarop netwerken momenteel worden geanalyseerd. Terwijl de meeste netwerkanalyses bestaan uit het verzamelen en analyseren van statistieken, van bijvoorbeeld het gebruik van het netwerk,protocoldistributie en dergelijke, richt DNPF zich op het gedetailleerde gedrag van bepaalde netwerken of knooppunten, vaak binnen een bepaalde periode.

Men kan nu de DNPF-analyse inzetten door de volgende zes stappen (afgeleid van de klassieke zes-stappen-probleemoplossingsmethode) te nemen:

Stap 1 – Kiezen
Het selecteren van de relevante knooppunten, gesprekken en/of datastromen is de kritische eerste stap die de netwerkbeveiliger zet om de eerste signalen uit het netwerk te evalueren en de mogelijke reikwijdte van het beveiligingsincident te bepalen. Alle verdachte afwijkingen in zowel netwerk- of knooppuntprestaties worden genoteerd voor verdere evaluatie. Tijdens deze stap worden de eerste theorieën over het incident in kwestie geformuleerd.

Stap 2 – Plaatsen
Het opsporen en vaststellen van de betrokken trace files kan plaatsvinden na inschatting van de tijd waarop het beveiligingsincident plaatsvond. Vervolgens kunnen de files uit de storage-locatie worden opgehaald. Een storage-locatie kan zich simpelweg in de huidige packet capture buffer bevinden of in de huidige online netwerk data recorders of in een off-line Storage Area Network (SAN).

Stap 3 – Analyseren
Een analyse van de geselecteerde trace files richt zich op het identificeren en selecteren van de belangrijkste knooppunten, datastromen en gesprekken voor verder onderzoek. Dit kan worden bereikt met behulp van een aantal hulpmiddelen, bijvoorbeeld de eerder genoemde Wireshark.

Gedetailleerde analyse kan op verschillende manieren worden uitgevoerd, waaronder het een voor een inspecteren van de databestanden. Deze methode, die de meest gedetailleerde resultaten oplevert, vereist veel deskundigheid op het gebied van data-analyse en is ook zeer tijdrovend. Een alternatief hiervoor is een visuele analyse en evaluatie van de tracé files, maar dat vereist deskundigheid op het gebied van visuele analyse.

Het evalueren van het resultaat vereist gedetailleerd onderzoek naar de vele kenmerken binnen de data, waaronder dataheaders, MAC en netwerklaagadressen, TCP/IP-optievelden. Ook moet, indien aanwezig, de inhoud van de ACSII payload worden onderzocht. Kritieke informatie is doorgaans te vinden in het ASCII payload gedeelte van de data, omdat veel netwerkprotocollen nog steeds hun payload data in dit formaat overbrengen.

Stap 4 – Reconstrueren
Het herstel en een gedetailleerde evaluatie van het incident is nauw verbonden met de vorige stap en kan worden uitgevoerd met verschillende methoden. De meest effectieve manier om dit te doen is met behulp van visuele payload reconstructietechnieken. Hiermee kan de individuele payload data opnieuw worden opgebouwd tot een eenvoudig coherent beeld dat onderzocht kan worden.

Stap 5 – Construeren
Het bouwen en testen van specifieke datafilters, netwerk IDS waarschuwingssystemen en/of capture triggers is erg belangrijk. Hiermee kan de bron van het incident worden geïdentificeerd, alsmede andere geïnfecteerde knooppunten en netwerken die voor verbeteringen in aanmerking komen. Verder kunnen de resultaten van deze tests worden gebruikt om de veiligheid van netwerken, waaronder firewalls en IDS-apparatuur, te wijzigen en bij te werken.

Stap 6 – Samenvatten
Het samenvatten en rapporteren van bevindingen zijn twee van de meest vergeten aspecten bij het analyseren van dataverkeer. Deze elementen vormen vaak de basis voor toekomstige juridische acties, bieden na afloop doorgaans een grondig inzicht in de veiligheid van het netwerk en worden gebruikt om beveiligingsoplossingen verder te testen en te implementeren.

Trainingen
Digital Network Packet Forensics (DNPF) analyse vormt een krachtige aanvulling op de instrumenten die traditionele netwerkanalyse biedt. DNPF bouwt voort op de mogelijkheden en technieken die netwerktechnici al gebruiken. Verborgen in de sporen van de data zitten de belangrijkste aanwijzingen die een netwerkbeveiligingsprofessional nodig heeft om te analyseren, te evalueren en de meeste netwerkbeveiligingsincidenten op te lossen. SCOS Software te Hoofddorp (Wireshark Authorized Training Center) organiseert regelmatig trainingen waarin de Digital Network Packet Forensics wordt behandeld.

Phillip D. Shade, Certified Wireshark University Trainer bij SCOS Software bv

ZyXEL introduceert nieuwe reeks VDSL2 gateways

ZyXEL Communications, leverancier van oplossingen voor breedbandtoegang, introduceert een nieuwe reeks VDSL2 gateway producten. De nieuwe ZyXEL VDSL2 gateway producten bestaan uit de VMG4325, VMG4380, VMG8324 en VMG8924. Het topmodel van deze nieuwe reeks DSL routers zijn voorzien van de nieuwe 802.11ac wireless standaard. De router diverse opties voor wide area networks (wan), zoals ADSL, VDSL of ethernet.
ZyXEL's VMG8924
De ZyXEL VMG8924, het topmodel uit de reeks, beschikt over de nieuwe 802.11ac dual-band technologie, waarbij een snelheid wordt gehaald van 1300 Mbps. Het dual-band mechanisme van de gateway is toepasbaar op 2.4GHz en 5GHz bandbreedte. Deze technologie maakt het mogelijk grote hoeveelheden gebruikers gelijktijdig toegang te geven tot het internet.
ZyXEL heeft de gateways ontwikkeld voor service providers. De modellen zijn uitgerust met de nieuwe breedbandtechnologieën Vectoring en Bonding. Vectoring is een techniek die de efficiëntie op oudere koperen DSL netwerken verhoogt tussen VDSL2 lijnen. Dit leidt tot hogere doorvoersnelheden. Hierdoor kunnen service providers hun service bereik tot drie keer uitbreiden. Bonding technologie bundelt fysieke kanalen in één bundel, wat leidt tot een hogere performance en doorvoersnelheden tot 150 Mbps. Hierdoor kunnen gebruikers altijd werken met digitale applicaties die veel breedband nodig hebben, zoals IPTV, OTT (Over-the-Top) en interactieve audio/video media.

ZyXEL introduceert nieuwe reeks VDSL2 gateways

ZyXEL Communications, leverancier van oplossingen voor breedbandtoegang, introduceert een nieuwe reeks VDSL2 gateway producten. De nieuwe ZyXEL VDSL2 gateway producten bestaan uit de VMG4325, VMG4380, VMG8324 en VMG8924. Het topmodel van deze nieuwe reeks DSL routers zijn voorzien van de nieuwe 802.11ac wireless standaard. De router diverse opties voor wide area networks (wan), zoals ADSL, VDSL of ethernet.
ZyXEL's VMG8924
De ZyXEL VMG8924, het topmodel uit de reeks, beschikt over de nieuwe 802.11ac dual-band technologie, waarbij een snelheid wordt gehaald van 1300 Mbps. Het dual-band mechanisme van de gateway is toepasbaar op 2.4GHz en 5GHz bandbreedte. Deze technologie maakt het mogelijk grote hoeveelheden gebruikers gelijktijdig toegang te geven tot het internet.
ZyXEL heeft de gateways ontwikkeld voor service providers. De modellen zijn uitgerust met de nieuwe breedbandtechnologieën Vectoring en Bonding. Vectoring is een techniek die de efficiëntie op oudere koperen DSL netwerken verhoogt tussen VDSL2 lijnen. Dit leidt tot hogere doorvoersnelheden. Hierdoor kunnen service providers hun service bereik tot drie keer uitbreiden. Bonding technologie bundelt fysieke kanalen in één bundel, wat leidt tot een hogere performance en doorvoersnelheden tot 150 Mbps. Hierdoor kunnen gebruikers altijd werken met digitale applicaties die veel breedband nodig hebben, zoals IPTV, OTT (Over-the-Top) en interactieve audio/video media.

CommVault vernieuwt Edge-software met synchronisatie- en beveiligingsfeatures

CommVault geeft zijn Edge-software een update. IT-afdelingen kunnen met de nieuwe variant gebruikers de mogelijkheid bieden veilig bestanden te delen, zoeken en herstellen via hun eigen mobiele toestel, desktop of laptop zonder dat hier hulp vanuit de IT-afdeling voor nodig is of diensten van een derde partij aan te pas hoeven te komen.
CommVault
De Edge-software is gebaseerd op het Simpana-softwareplatform en is een complete IT-oplossing voor het automatiseren van laptop- en desktopbeveiliging. De oplossing biedt eindgebruikers directe toegang tot hun data, ongeacht waar deze is gecreëerd. De CommVault Edge-technologie is schaalbaar en kan maximaal 25.000 clients beveiligen. Edge kan worden ingezet naast de bestaande back-upomgevingen van bedrijven.
Bestandssynchronisatie
De nieuwe opties in Edge omvatten bestandssynchronisatie tussen pc’s en de mogelijkheid bestanden te doorzoeken via een Microsoft Windows Explorer-plug-in. Organisaties behouden hiermee de controle over hun data, terwijl zij medewerkers wel de mogelijkheid bieden bestanden op veilige wijze te delen via hun eigen apparaten.
De vernieuwde CommVault Edge-oplossing biedt een aantal nieuwe opties. Edge Sync biedt medewerkers altijd toegang tot hun meeste recente documenten vai een automatische synchronisatie. Deze deel het werk via laptops en desktops en geeft toegang tot de data via smartphones en tablets. Edge Access biedt zelfservicetoegang tot een veilige en persoonlijke data-cloud. Een nieuwe Windows Explorer-plug-in voor Windows 7- en Windows 8-omgevingen verrijkt de zoek- en herstelopties van de Simpana-software. Ook zijn mobiele apps, een webgebaseerde portal en geïntegreerde zoekmogelijkheden voor grote hoeveelheden data beschikbaar.
Edge Protection
Edge Protection zorgt voor efficiënte en transparante beveiliging van bedrijfsgevoelige data op laptops en desktops via deduplicatie aan de bronkant, opportunistic scheduling, bandwidth throttling, flexibele policydefiniëring en de intelligentie om alleen te back-uppen als het bestand is aangepast.

CommVault vernieuwt Edge-software met synchronisatie- en beveiligingsfeatures

CommVault geeft zijn Edge-software een update. IT-afdelingen kunnen met de nieuwe variant gebruikers de mogelijkheid bieden veilig bestanden te delen, zoeken en herstellen via hun eigen mobiele toestel, desktop of laptop zonder dat hier hulp vanuit de IT-afdeling voor nodig is of diensten van een derde partij aan te pas hoeven te komen.
CommVault
De Edge-software is gebaseerd op het Simpana-softwareplatform en is een complete IT-oplossing voor het automatiseren van laptop- en desktopbeveiliging. De oplossing biedt eindgebruikers directe toegang tot hun data, ongeacht waar deze is gecreëerd. De CommVault Edge-technologie is schaalbaar en kan maximaal 25.000 clients beveiligen. Edge kan worden ingezet naast de bestaande back-upomgevingen van bedrijven.
Bestandssynchronisatie
De nieuwe opties in Edge omvatten bestandssynchronisatie tussen pc’s en de mogelijkheid bestanden te doorzoeken via een Microsoft Windows Explorer-plug-in. Organisaties behouden hiermee de controle over hun data, terwijl zij medewerkers wel de mogelijkheid bieden bestanden op veilige wijze te delen via hun eigen apparaten.
De vernieuwde CommVault Edge-oplossing biedt een aantal nieuwe opties. Edge Sync biedt medewerkers altijd toegang tot hun meeste recente documenten vai een automatische synchronisatie. Deze deel het werk via laptops en desktops en geeft toegang tot de data via smartphones en tablets. Edge Access biedt zelfservicetoegang tot een veilige en persoonlijke data-cloud. Een nieuwe Windows Explorer-plug-in voor Windows 7- en Windows 8-omgevingen verrijkt de zoek- en herstelopties van de Simpana-software. Ook zijn mobiele apps, een webgebaseerde portal en geïntegreerde zoekmogelijkheden voor grote hoeveelheden data beschikbaar.
Edge Protection
Edge Protection zorgt voor efficiënte en transparante beveiliging van bedrijfsgevoelige data op laptops en desktops via deduplicatie aan de bronkant, opportunistic scheduling, bandwidth throttling, flexibele policydefiniëring en de intelligentie om alleen te back-uppen als het bestand is aangepast.

Motiv lanceert Engelstalige versie van mSafe

Motiv lanceert een nieuwe versie van mSafe. Het gaat om een Engelstalige versie van het platform voor veilige bestandsuitwisseling. Het bedrijf maakt de oplossing hiermee geschikt voor de internationale markt.
Motiv mSafe
De oplossing is ontwikkeld voor de zakelijke markt en maakt het mogelijk op veilige wijze bijvoorbeeld persoonsdossiers, medische dossiers of financiële informatie uit te wisselen. Motiv mSafe scant bestanden die worden verzonden continu op malware, wat moet voorkomen dat kwaadwillenden de machines van gebruikers kunnen infecteren of bestanden kunnen bemachtigen. Bestanden worden zowel versleuteld opslagen als verzonden.
mSafe is op abonnementbasis beschikbaar, waarbij de gebruiker een jaarlijkse vergoeding betaald voor de afgenomen opslagcapaciteit. Het aantal transacties kan in bundels worden afgenomen. Een ‘teller’ binnen mSafe biedt de beheerder inzicht in het aantal uitgevoerde transacties, zoals het aantal bestanden dat is gedownload, en het aantal ‘credits’ dat nog beschikbaar is. Voor wie klein wil beginnen, is er een instapmodel beschikbaar.

Motiv lanceert Engelstalige versie van mSafe

Motiv lanceert een nieuwe versie van mSafe. Het gaat om een Engelstalige versie van het platform voor veilige bestandsuitwisseling. Het bedrijf maakt de oplossing hiermee geschikt voor de internationale markt.
Motiv mSafe
De oplossing is ontwikkeld voor de zakelijke markt en maakt het mogelijk op veilige wijze bijvoorbeeld persoonsdossiers, medische dossiers of financiële informatie uit te wisselen. Motiv mSafe scant bestanden die worden verzonden continu op malware, wat moet voorkomen dat kwaadwillenden de machines van gebruikers kunnen infecteren of bestanden kunnen bemachtigen. Bestanden worden zowel versleuteld opslagen als verzonden.
mSafe is op abonnementbasis beschikbaar, waarbij de gebruiker een jaarlijkse vergoeding betaald voor de afgenomen opslagcapaciteit. Het aantal transacties kan in bundels worden afgenomen. Een ‘teller’ binnen mSafe biedt de beheerder inzicht in het aantal uitgevoerde transacties, zoals het aantal bestanden dat is gedownload, en het aantal ‘credits’ dat nog beschikbaar is. Voor wie klein wil beginnen, is er een instapmodel beschikbaar.

'Hacken van containerterminals door cyberbendes is slechts het begin'

Het hacken van containerterminals in de Haven van Antwerpen door een drugsbende maakt een geheel nieuwe vorm van cybercriminaliteit zichtbaar. "De cyberbendes zijn een nieuwe fase ingegaan”, zegt Wim van Campen, directeur voor Noord- en Oost-Europa bij beveiligingsbedrijf McAfee, tegen De Telefgraaf. Van Campen vraagt zich hardop af wat er gebeurd als cyberbendes beurskoersen manipuleren.
'Hacken van containerterminals door cyberbendes is slechts het begin'
"De succesvolle aanval in Antwerpen is realiteit. Tegen deze nieuwe generatie aanvallen, met virussen die telkens van versie veranderen bij een beveiligingspoging, zijn bedrijven niet opgewassen”, zegt Van Campen tegen de krant. "Criminelen sturen op afstand in andere systemen. Wat als ze aan insider trading kunnen doen, en beurskoersen manipuleren. Dat is denkbaar.”
De McAfee-directeur wijst op een aantal eerdere incidenten die kunnen worden gezien als vingeroefeningen voor meer complexere en gevaarlijkere aanvallen. Denk hierbij aan het leegroven van rekeningen via internetbankieren en het gebruik van gestolen creditcardgegevens, maar ook aan een inbraakpoging bij de luchtverkeersleiding op Schiphol. Onderzoek van McAfee schat de schade die dergelijke aanvallen kunnen aanrichten op maximaal 500 miljard dollar.

'Hacken van containerterminals door cyberbendes is slechts het begin'

Het hacken van containerterminals in de Haven van Antwerpen door een drugsbende maakt een geheel nieuwe vorm van cybercriminaliteit zichtbaar. "De cyberbendes zijn een nieuwe fase ingegaan”, zegt Wim van Campen, directeur voor Noord- en Oost-Europa bij beveiligingsbedrijf McAfee, tegen De Telefgraaf. Van Campen vraagt zich hardop af wat er gebeurd als cyberbendes beurskoersen manipuleren.
'Hacken van containerterminals door cyberbendes is slechts het begin'
"De succesvolle aanval in Antwerpen is realiteit. Tegen deze nieuwe generatie aanvallen, met virussen die telkens van versie veranderen bij een beveiligingspoging, zijn bedrijven niet opgewassen”, zegt Van Campen tegen de krant. "Criminelen sturen op afstand in andere systemen. Wat als ze aan insider trading kunnen doen, en beurskoersen manipuleren. Dat is denkbaar.”
De McAfee-directeur wijst op een aantal eerdere incidenten die kunnen worden gezien als vingeroefeningen voor meer complexere en gevaarlijkere aanvallen. Denk hierbij aan het leegroven van rekeningen via internetbankieren en het gebruik van gestolen creditcardgegevens, maar ook aan een inbraakpoging bij de luchtverkeersleiding op Schiphol. Onderzoek van McAfee schat de schade die dergelijke aanvallen kunnen aanrichten op maximaal 500 miljard dollar.

SecureLink benoemt Jeroen Roosien tot General Manager

SecureLink heeft Jeroen Roosien aangesteld als General Manager. Roosien is eindverantwoordelijke voor de dagelijkse operatie van SecureLink.
Jeroen Roosien
De digitalisering van de samenleving en de daaruit voortvloeiende risico’s hebben de laatste jaren voor een explosieve groei gezorgd van de organisatie. Roosien gaat samen met het huidige managementteam de groeiambitie van het bedrijf begeleiden.
Jeroen Roosien is afkomstig van Tele2, waar hij verantwoordelijk was voor Customer Operations in de zakelijke- en de wholesale markt. In deze functie had Roosien een team van 150 medewerkers onder zich. Hij heeft ervaring in het aansturen van teams in Service (Delivery) Management, Sales en (Customer) Operations.