'RSA-hack trof honderden andere bedrijven'
De aanvallers van beveiligingsbedrijf RSA hebben toegeslagen bij meer dan 760 andere bedrijven wereldwijd, claimt een Amerikaanse security-journalist. Het zou gaan om onder meer Microsoft, Google, Intel, IBM, VeriSign en Cisco.
Journalist Brian Krebs heeft op zijn blog een lijst gepubliceerd van bedrijven die zouden zijn getroffen door dezelfde aanval als die op RSA, eerder dit jaar. Bij die aanval gebruikten aanvallers een met malware besmet Flash-object dat in een Excel-bestand was gevoegd om in te breken. Het Excel-bestand werd via e-mail naar slachtoffers gestuurd.
Volgens Krebs zijn minimaal 760 bedrijven met succes op een vergelijkbare manier aangevallen: via hun netwerken zou verbinding zijn gezocht met servers van de RSA-hackers. Onder die 760 bedrijven zijn verschillende multinationals en prominente ict-bedrijven, zoals Microsoft, IBM, Cisco, Google, VMware, Verisign, Qualcomm, Intel en Research in Motion. Ook het Europese ruimte-agentschap ESA staat op de lijst, evenals de Amerikaanse belastingdienst.
Op de lijst staan ook veel internetproviders, waaronder Nederlandse, maar dat betekent niet direct dat die bedrijven ook zelf het slachtoffer waren van een succesvolle aanval: minstens net zo waarschijnlijk is het dat klanten van de isp's getroffen zijn. Onder meer KPN, Ziggo, UPC en Surfnet staan op de lijst.
Dat RSA niet het enige slachtoffer was, werd al langer vermoed, maar gedacht werd aan tientallen organisaties. Krebs geeft niet aan hoe hij de lijst heeft bemachtigd, maar de journalist staat als betrouwbaar te boek.
De journalist tekent aan dat via de netwerken van de getroffen bedrijven weliswaar contact is gezocht met de servers van de gehackte bedrijven, maar dat dat niet automatisch betekent dat de aanvallers ook daadwerkelijk informatie hebben kunnen stelen. Ook kunnen bepaalde bedrijven de malware hebben onderzocht en deze met opzet contact hebben laten zoeken met de servers, om deze te onderzoeken; er staan diverse it-beveiligingsbedrijven op de lijst.
Onder de volgens Krebs gehackte bedrijven is ook defensiebedrijf Northrop Grumman, maar niet diens concurrent Lockheed Martin. Van dat laatste bedrijf is bekend dat het na de RSA-hack met beveiligingsproblemen kampte. Bij de RSA-hack in maart werd informatie over de werking van RSA's SecurID-sleutelgenerators buitgemaakt. Die generators worden gebruikt om it-systemen via two step authentication te beveiligen, en werden onder meer bij Lockheed Martin gebruikt.
Reacties (15)
Alle grote bedrijven dus! Het blijft tegenwoordig oppassen geblazen...Onder die 760 bedrijven zijn verschillende multinationals en prominente ict-bedrijven, zoals Microsoft, IBM, Cisco, Google, VMware, Verisign, Qualcomm, Intel en Research in Motion
[Reactie gewijzigd door KoploperMau op maandag 24 oktober 2011 13:16]
Maar de strijd tegen malware / virussen / trojans etcetera is dan ook echt een guerilla.
De diversiteit aan systemen en applicaties en content-/object embedding maakt het nagenoeg onmogelijk om alles veilig te houden. Na dit soort gebeurtenissen heb ik toch weer sterk het gevoel dat het internet nog een vroege Beta-versie is die van alle kanten lekt. Er is genoeg ruimte voor verbetering, al heb ik niet doorlopend de indruk dat het ook echt veiliger wordt. Zeker niet na dit soort nieuws.
Einsteins quote:
"I know not with what weapons World War III will be fought, but World War IV will be fought with sticks and stones."
Ik denk dat WW III op dit moment wordt uitgevochten met IT en goedkope arbeid.
[Reactie gewijzigd door E_E_F op maandag 24 oktober 2011 13:38]
Het probleem momenteel is dat internet te vrij is. Dit is fijn voor de mensen die het gebruiken, maar helaas ook een oneindig domein aan criminaliteit voor de misbruikers.
er is niet 1 toezichthouder maar er zijn er miljoenen. Een hacker kraakt een server deze server slaat wat dingen op en de isp slaat wat dingen op... maar verder is er niemand die deze gebruiker kan traceren. zeker niet als deze persoon ook nog eens een wijk verderop inlogged op het netwerk van iemand anders en via een laptop in de auto daar zijn slag slaat.
Als iedereen globaal aangemeld zou zijn via 1 instantie met een DNA code. die voor iedere gebruiker in de hele wereld uniek is en alleen met deze code online zou kunnen. dan zou iedere gebruiker terug te vinden zijn na een hack.
Echter het nadeel hiervan is weer dat 1 instantie die de codes van miljarden accounts bijhoudt wel heel erg het doelwit wordt. als ze eenmaal een miljard codes binnen hebben dan is er een groter probleem.
Echter denk ik wel dat de waarheid van een perfect systeem niet ver van dit idee af ligt. Je moet ervoor zorgen dat iemand alleen toegang heeft als hij of zij zijn identiteit afstaat. hierdoor is bij misbruik deze persoon ook altijd weer te traceren. een groot nadeel is dat je niet meer anoniem bent op het internet. en al je opgevraagde gegevens via die servers gaan.
Aan de andere kant snap ik niet dat je een hacker niet meer kunt vinden. hij heeft verbinding gehad met een server, je zou toch terug moeten kunnen vinden waar hij zich bevindt?
Je gaat in een hotel kamer zitten (als hacker) met een 3g stickie.. doet je ding en als je klaar bent gooi je het stickie weg..... Sowieso heb je met die dingen bijna altijd wel een ander IP wat het al wat lastiger maakt... en als je hem weg gooit vinden ze je helemaal niet meer...
Nu gaat het in de praktijk meestal net iets anders omdat ze dan vaak via, via, via, via gaan en als er op al die tussen punten een goede beveiliging zit (encryptie enz..) dan word het ook al best lastig om iemand te achterhalen en als ze hem al vinden duurt dit misschien te lang waardoor die al weer ergens anders is...
Blijft dus lastig.
Je andere punt dat we iets unieks gebruiken zou kunnen werken maar ook dit is wel weer te kraken of te faken (na maken)... Kan nog zo uniek zijn het is altijd wel te klonen op één of andere manier..
dus als we nou het internet vergelijken met het echte wereld gaat het zo: normale mensen(internetters?) en hackers gebruiken het internet alleen de 1ne gebruikt encryptie de andere niet.
in de echte wereld lopen internetters op straat maar ook mensen met bivakmutsen(hackers) omdat ze alles encrypteren en dat is volkomen normaal.
nou die kerel met zoon bivakmuts kan je niet zien of dat de eigenaar is of een inbreker is hij gebruikt encryptie.
nou mensen zeggen dat encryptie normaal is op internet, maar je loopt toch op straat niet met een bivakmuts of wel?
ongeveer als je de internet met echte wereld wilt vergelijken.
mensen zeggen alles moet opencource terwijl mensen zich zelf dicht te timmeren (encryptie)!
Van de certificaat uitgevers valt het me wel tegen, daarvan zou verwachten dat ze bepaalde systemen echt fysiek afschermen.
Aangezien de hackers dus de RSA, Lockhead Martin en blijkbaar ook Northrop hebben 'gehacked' (of poging tot) vind ik het opvallend dat Homeland Security niet bij de journalist op de stoep staan om zijn bron te onthullen. Het recht op 1st admendment vervalt namelijk als de staats veiligheid in het geding is (en dat is met deze zeer aannamelijk te maken). Bij het weigeren de bron te verhullen kan de journalist 'aiding and abetting to a terrorist organisation' ten laste worden gelegd. Dat is in het verleden al meerdere keren gebeurd.
Er zijn genoeg landen zoals Iran, Noord Korea en waarschijnlijk ook China welke een vermogen neerleggen voor een spyware trojan welke bij vrijwel alle belangrijke Amerikaanse bedrijven aanwezig is..
1. De journalist is volgens mij aan deze lijst gekomen via de C&C server waarmee de software werd aangestuurd. Op deze lijst met IP's is een reverse lookup gedaan om de eigenaar van het IP adres te achterhalen. De naam bij dat adres hoeft dus niet de eigenaar van de machine ervan te zijn! Er staan veel ISP's op de lijst die formeel eigenaar van het IP adres zijn, maar niet van de host die het gebruikt. Dat zijn vaak de (kleinere) klanten van die ISP...
2. Het maakt eigenlijk geen donder meer uit waar je je 0-day het bedrijf inschiet - zodra je ergens op een workstation je software hebt ben je bijna bij je doel. Dat op de pc van de receptioniste minder vertrouwelijke documenten staan dan die van de administrator of HR is waar, maar ze hangen beide aan hetzelfde netwerk! Eenmaal binnen een corporate LAN wordt je als hacker vaak geen strobreed meer in de weg gelegd en kan je nagenoeg overal bij: open shares, websites, sniffen van verkeer - allemaal mogelijk, ook vanaf de pc van de receptioniste/telefoniste...
Het enge aan deze aanval is dat de spreadsheet met daarin de adobe-flash exploit zeer gericht naar bepaalde mensen binnen een bedrijf gestuurd werd (dat was in ieder geval bij RSA de manier). Een standaard spam mail houdt iedereen wel tegen, maar een beetje listig genaamde spreadsheet die maar naar 2 of 3 mensen wordt gestuurd, dat klinkt al snel vertrouwd...
Kort is de vraag dus eigenlijk 'Hoe kan deze journalist zien dat een willekeurige PC contact heeft gezocht met een C&C server'?
Dan ga je toch snel denken aan firewall logs, ISP logs (niet openbaar), of wellicht toch gegevens van een opsporingsdienst die een C&C server neer hebben gehaald.
In het bronartikel heeft de journalist gereageerd dat hij de bron niet kan vrijgeven.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
