Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 15, views: 15.529 •

De aanvallers van beveiligingsbedrijf RSA hebben toegeslagen bij meer dan 760 andere bedrijven wereldwijd, claimt een Amerikaanse security-journalist. Het zou gaan om onder meer Microsoft, Google, Intel, IBM, VeriSign en Cisco.

Journalist Brian Krebs heeft op zijn blog een lijst gepubliceerd van bedrijven die zouden zijn getroffen door dezelfde aanval als die op RSA, eerder dit jaar. Bij die aanval gebruikten aanvallers een met malware besmet Flash-object dat in een Excel-bestand was gevoegd om in te breken. Het Excel-bestand werd via e-mail naar slachtoffers gestuurd.

Volgens Krebs zijn minimaal 760 bedrijven met succes op een vergelijkbare manier aangevallen: via hun netwerken zou verbinding zijn gezocht met servers van de RSA-hackers. Onder die 760 bedrijven zijn verschillende multinationals en prominente ict-bedrijven, zoals Microsoft, IBM, Cisco, Google, VMware, Verisign, Qualcomm, Intel en Research in Motion. Ook het Europese ruimte-agentschap ESA staat op de lijst, evenals de Amerikaanse belastingdienst.

Op de lijst staan ook veel internetproviders, waaronder Nederlandse, maar dat betekent niet direct dat die bedrijven ook zelf het slachtoffer waren van een succesvolle aanval: minstens net zo waarschijnlijk is het dat klanten van de isp's getroffen zijn. Onder meer KPN, Ziggo, UPC en Surfnet staan op de lijst.

Dat RSA niet het enige slachtoffer was, werd al langer vermoed, maar gedacht werd aan tientallen organisaties. Krebs geeft niet aan hoe hij de lijst heeft bemachtigd, maar de journalist staat als betrouwbaar te boek.

De journalist tekent aan dat via de netwerken van de getroffen bedrijven weliswaar contact is gezocht met de servers van de gehackte bedrijven, maar dat dat niet automatisch betekent dat de aanvallers ook daadwerkelijk informatie hebben kunnen stelen. Ook kunnen bepaalde bedrijven de malware hebben onderzocht en deze met opzet contact hebben laten zoeken met de servers, om deze te onderzoeken; er staan diverse it-beveiligingsbedrijven op de lijst.

Onder de volgens Krebs gehackte bedrijven is ook defensiebedrijf Northrop Grumman, maar niet diens concurrent Lockheed Martin. Van dat laatste bedrijf is bekend dat het na de RSA-hack met beveiligingsproblemen kampte. Bij de RSA-hack in maart werd informatie over de werking van RSA's SecurID-sleutelgenerators buitgemaakt. Die generators worden gebruikt om it-systemen via two step authentication te beveiligen, en werden onder meer bij Lockheed Martin gebruikt.

Reacties (15)

Onder die 760 bedrijven zijn verschillende multinationals en prominente ict-bedrijven, zoals Microsoft, IBM, Cisco, Google, VMware, Verisign, Qualcomm, Intel en Research in Motion
Alle grote bedrijven dus! Het blijft tegenwoordig oppassen geblazen... :/

[Reactie gewijzigd door KoploperMau op 24 oktober 2011 13:16]

Ja, groot maar ook prominent op het gebied van IT en beveiliging.

Maar de strijd tegen malware / virussen / trojans etcetera is dan ook echt een guerilla.

De diversiteit aan systemen en applicaties en content-/object embedding maakt het nagenoeg onmogelijk om alles veilig te houden. Na dit soort gebeurtenissen heb ik toch weer sterk het gevoel dat het internet nog een vroege Beta-versie is die van alle kanten lekt. Er is genoeg ruimte voor verbetering, al heb ik niet doorlopend de indruk dat het ook echt veiliger wordt. Zeker niet na dit soort nieuws.

Einsteins quote:
"I know not with what weapons World War III will be fought, but World War IV will be fought with sticks and stones."

Ik denk dat WW III op dit moment wordt uitgevochten met IT en goedkope arbeid.

[Reactie gewijzigd door E_E_F op 24 oktober 2011 13:38]

Zo gaat helaas in de normale wereld ook... Geen enkel huis is echt veilig voor inbraak... En dit zal altijd wel zo blijven.... Zo ook op het internet dus... Crackers/Inbrekers vinden altijd wel een andere/betere manier om ergens binnen te komen en zo blijft het een kat en muis spelletje..
Inderdaad Brummetje. je kunt een huis bouwen wat niet in te breken is, door het helemaal dicht te metselen. echter kom je er zelf dan ook niet meer in... Dit zelfde geld voor het internet. zolang je een verbinding hebt en dingen kunt up en downloaden is het altijd mogelijk om iets naar binnen te smokkelen wat er niet thuis hoort.

Het probleem momenteel is dat internet te vrij is. Dit is fijn voor de mensen die het gebruiken, maar helaas ook een oneindig domein aan criminaliteit voor de misbruikers.

er is niet 1 toezichthouder maar er zijn er miljoenen. Een hacker kraakt een server deze server slaat wat dingen op en de isp slaat wat dingen op... maar verder is er niemand die deze gebruiker kan traceren. zeker niet als deze persoon ook nog eens een wijk verderop inlogged op het netwerk van iemand anders en via een laptop in de auto daar zijn slag slaat.

Als iedereen globaal aangemeld zou zijn via 1 instantie met een DNA code. die voor iedere gebruiker in de hele wereld uniek is en alleen met deze code online zou kunnen. dan zou iedere gebruiker terug te vinden zijn na een hack.

Echter het nadeel hiervan is weer dat 1 instantie die de codes van miljarden accounts bijhoudt wel heel erg het doelwit wordt. als ze eenmaal een miljard codes binnen hebben dan is er een groter probleem.

Echter denk ik wel dat de waarheid van een perfect systeem niet ver van dit idee af ligt. Je moet ervoor zorgen dat iemand alleen toegang heeft als hij of zij zijn identiteit afstaat. hierdoor is bij misbruik deze persoon ook altijd weer te traceren. een groot nadeel is dat je niet meer anoniem bent op het internet. en al je opgevraagde gegevens via die servers gaan.

Aan de andere kant snap ik niet dat je een hacker niet meer kunt vinden. hij heeft verbinding gehad met een server, je zou toch terug moeten kunnen vinden waar hij zich bevindt?
Ja en nee.... ik weet dat het maar films zijn waar ik het heb gezien maar weet zeker dat het in de realiteit niet anders is..

Je gaat in een hotel kamer zitten (als hacker) met een 3g stickie.. doet je ding en als je klaar bent gooi je het stickie weg..... Sowieso heb je met die dingen bijna altijd wel een ander IP wat het al wat lastiger maakt... en als je hem weg gooit vinden ze je helemaal niet meer...

Nu gaat het in de praktijk meestal net iets anders omdat ze dan vaak via, via, via, via gaan en als er op al die tussen punten een goede beveiliging zit (encryptie enz..) dan word het ook al best lastig om iemand te achterhalen en als ze hem al vinden duurt dit misschien te lang waardoor die al weer ergens anders is...

Blijft dus lastig.


Je andere punt dat we iets unieks gebruiken zou kunnen werken maar ook dit is wel weer te kraken of te faken (na maken)... Kan nog zo uniek zijn het is altijd wel te klonen op ťťn of andere manier..
"inderdaad Brummetje. je kunt een huis bouwen wat niet in te breken is, door het helemaal dicht te metselen. echter kom je er zelf dan ook niet meer in."
dus als we nou het internet vergelijken met het echte wereld gaat het zo: normale mensen(internetters?) en hackers gebruiken het internet alleen de 1ne gebruikt encryptie de andere niet.
in de echte wereld lopen internetters op straat maar ook mensen met bivakmutsen(hackers) omdat ze alles encrypteren en dat is volkomen normaal.
nou die kerel met zoon bivakmuts kan je niet zien of dat de eigenaar is of een inbreker is hij gebruikt encryptie.
nou mensen zeggen dat encryptie normaal is op internet, maar je loopt toch op straat niet met een bivakmuts of wel?
ongeveer als je de internet met echte wereld wilt vergelijken.
mensen zeggen alles moet opencource terwijl mensen zich zelf dicht te timmeren (encryptie)!
Als je het dan toch graag wilt vergelijken met de echte wereld, doe het dan goed. De vergelijking is eerder 'je draagt op straat al je spullen met je mee in een transparant plastic zakje' (je weet wel zo'n zakje die bij het vliegen verplicht is) versus 'je stopt je spullen in een dichte tas, waardoor niemand kan zien wat je nou weer bij je hebt.
Met de mijnheer boven mij. Dit probleem is niet inherent aan het internet zelf (of zelfs aan IT), maar dat het om steeds complexere systemen gaat die ook nog eens allemaal met elkaar verbonden zijn.
Nah , alles is in de jaren 80 en eerder uitgevonden als het om ict gaat. Het is allemaal oude koek . En in grote bedrijven bestaat de kans altijd dat een gebruiker een excel opent met hack meuk.
Van de certificaat uitgevers valt het me wel tegen, daarvan zou verwachten dat ze bepaalde systemen echt fysiek afschermen.
Zo zie je weer hoe afhankelijk iedereen is van deze "beveiliging"
Ik ben eigenlijk wel benieuwd hoe die journalist aan deze lijst gekomen is. Hij schrijft dat sommige slachtoffers al vanaf november 2010 contact leggen met de (voornamelijk Chinese) C&C servers. Wie heeft dat hoe dan gemonitord?
Aangezien iedereen bij een bedrijf wel het internet kan benaderen zoals bijvoorbeeld de telefoniste, wil dat nog niet betekenen dat men ook bij gevoelige informatie kon. Aangezien zowel Flash als Excel op vrijwel elke kantoor PC staat is het dus niet verwonderlijk dat alle grote bedrijven terug komen in de lijst. Niet alle spyware wordt namelijk direct ontdekt.

Aangezien de hackers dus de RSA, Lockhead Martin en blijkbaar ook Northrop hebben 'gehacked' (of poging tot) vind ik het opvallend dat Homeland Security niet bij de journalist op de stoep staan om zijn bron te onthullen. Het recht op 1st admendment vervalt namelijk als de staats veiligheid in het geding is (en dat is met deze zeer aannamelijk te maken). Bij het weigeren de bron te verhullen kan de journalist 'aiding and abetting to a terrorist organisation' ten laste worden gelegd. Dat is in het verleden al meerdere keren gebeurd.

Er zijn genoeg landen zoals Iran, Noord Korea en waarschijnlijk ook China welke een vermogen neerleggen voor een spyware trojan welke bij vrijwel alle belangrijke Amerikaanse bedrijven aanwezig is..
Even wat kanttekeningen...

1. De journalist is volgens mij aan deze lijst gekomen via de C&C server waarmee de software werd aangestuurd. Op deze lijst met IP's is een reverse lookup gedaan om de eigenaar van het IP adres te achterhalen. De naam bij dat adres hoeft dus niet de eigenaar van de machine ervan te zijn! Er staan veel ISP's op de lijst die formeel eigenaar van het IP adres zijn, maar niet van de host die het gebruikt. Dat zijn vaak de (kleinere) klanten van die ISP...

2. Het maakt eigenlijk geen donder meer uit waar je je 0-day het bedrijf inschiet - zodra je ergens op een workstation je software hebt ben je bijna bij je doel. Dat op de pc van de receptioniste minder vertrouwelijke documenten staan dan die van de administrator of HR is waar, maar ze hangen beide aan hetzelfde netwerk! Eenmaal binnen een corporate LAN wordt je als hacker vaak geen strobreed meer in de weg gelegd en kan je nagenoeg overal bij: open shares, websites, sniffen van verkeer - allemaal mogelijk, ook vanaf de pc van de receptioniste/telefoniste...

Het enge aan deze aanval is dat de spreadsheet met daarin de adobe-flash exploit zeer gericht naar bepaalde mensen binnen een bedrijf gestuurd werd (dat was in ieder geval bij RSA de manier). Een standaard spam mail houdt iedereen wel tegen, maar een beetje listig genaamde spreadsheet die maar naar 2 of 3 mensen wordt gestuurd, dat klinkt al snel vertrouwd...
In het bronartikel zie je dat er meerdere C&C servers zijn. Lijkt me trouwens sterk dat een journalist inzage krijgt in de C&C logs, als deze servers worden opgerold, maar goed, wie ben ik. Dat het in de lijst gaat om bedrijven en ook klanten van ISP's dat zie ik ook wel, maar dat maakt voor het verkrijgen van de informatie niet uit.

Kort is de vraag dus eigenlijk 'Hoe kan deze journalist zien dat een willekeurige PC contact heeft gezocht met een C&C server'?
Dan ga je toch snel denken aan firewall logs, ISP logs (niet openbaar), of wellicht toch gegevens van een opsporingsdienst die een C&C server neer hebben gehaald.

In het bronartikel heeft de journalist gereageerd dat hij de bron niet kan vrijgeven.
andere bedrijven en hoe zite het met andere overheidsorganisaties behoudens ESA?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013