Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 29, views: 13.308 •

Hackers zijn er in geslaagd om geheime systemen van het Britse ministerie van defensie binnen te dringen. Dat heeft een vertrekkend generaal-majoor gezegd. Opvallend is dat het aantal succesvolle aanvallen 'moeilijk te kwantificeren' zou zijn.

Hoewel het precieze aantal aanvallen volgens de afzwaaiende generaal-majoor Jonathan Shaw dus onduidelijk is, blijkt uit de aanvallen wel dat de ict-beveiliging bij het Britse ministerie van defensie moet worden opgevoerd, schrijft The Guardian. De krant schrijft dat de gehackte systemen als top secret te beschouwen zijn. Het is onduidelijk wanneer de aanvallen plaatsvonden.

Volgens Shaw is het aantal serieuze incidenten 'klein'. "Maar ze zijn er wel", aldus de generaal-majoor. "En dat zijn de incidenten waar we van weten. De kans is aanwezig dat er problemen zijn waar we niets van weten", zegt Shaw. Volgens de Britse krant is het de eerste keer dat het Britse ministerie bevestigt dat zijn systemen zijn gekraakt.

Shaw wilde niet zeggen wie er mogelijk achter de aanvallen zitten. Volgens hem is het Britse leger op dit moment niet voldoende toegerust op digitale dreigingen, en zou het departement veel kunnen leren van bedrijven als Facebook. Die hebben programma's waarbij white hat-hackers worden beloond als ze helpen beveiligingsproblemen te rapporteren en op te lossen.

Reacties (29)

Dit bewijst toch weer eens dat de overheden nog steeds niet goed genoeg beveiligd zijn...
Wanneer is een systeem goed genoeg beveiligd? Ben zelf alles behalve een expert op dit gebied maar ik denk dat er nooit een systeem zal zijn dat 100% garantie zal bieden. Het blijft immers mensenwerk en ook in de hardware kan een zwakte zitten. Er zal altijd iemand zijn die een zwak punt kan vinden (en misbruiken).
Beveiliging zal altijd een kat-en-muis-spel blijven. Maar een overheid/bedrijf met gevoelige gegevens zal wel altijd haar best moeten doen om een zo hoog mogelijk niveau van veiligheid te realiseren. En dit ook up-to-date moeten houden want de ontwikkelingen gaan nu eenmaal razendsnel.

edit: typo

[Reactie gewijzigd door D vd V op 4 mei 2012 09:39]

D vd V heeft gelijk. Ik ben zelf actief in de netwerksector. Zowel als student als werknemer. Geen enkele code is 100% waterdicht. Er zit altijd wel een zwak punt in het netwerk. Het up-to-date houden is inderdaad ook een grote kwestie in de beveiligingssector. Vandaag heb je alles up-to-date gemaakt.. en morgen is er weer een nieuwe update omdat er een kleine lek is.

Zelfs al zou je je netwerk theoretisch 100% waterdicht hebben is er nog de persoonlijke aanpak. Social Engineering bijvoorbeeld.

Ik heb nog geen code gezien die werknemers tegen social engineering beschermt.

Het scheelt in ieder geval dat de hoeveelheid serieuze incidenten klein is. Het is echter wel tijd dat ze nu aan de bel trekken en zo snel mogelijk gaan proberen het lek te dichten!
Zoals het artikel beschrijft zou programma's om white hat hackers te motiveren te helpen een stuk verbetering kunnen betekenen.

Ik denk dat veel mensen toch wel te motiveren zouden zijn om legaal de security van het ministerie te toetsen, en hiervoor dan een geldbedrag en misschien zelfs een referentie aan over te houden. Daarnaast krijgt het ministerie daardoor een grote verbetering op de beveiliging.

Systemen zijn nooit waterdicht, maar de beste beveiligers zijn hackers.
Ondanks dat ik ook wel de waarde van white-hat hackers kan inzien, brengt het volgens mij ook grote risico's met zich mee. Ik heb er niet veel verstand van maar volgens mij kan iemand zich best voor doen als white-hat hacker en dan toch ff een achterdeurtje plaatsen.
De "white-hat' zou er dan in dit geval toch sowieso in slagen om er in te komen? Dat er een achterdeur wordt geplaatst is toch te voorkomen door de white-hat alleen het probleem te laten aankaarten en de ICT van de defensie het gat te dichten, dan wordt het moeilijker om stiekem een back-door te plaatsen.
Je kan 100% patchen, maar je bent nooit veilig, zeker niet als de 0day exploits gewoon door Microsoft op een presenteerblaadje aan de Chinezen gegeven worden:

nieuws: Microsoft: Chinese partner lekte proof-of-concept van rdp-exploit
Dit nadeel kent wel een voordeel. Namelijk dat wanneer het mogelijk wordt voor een overheid haar informatie dusdanig af te schermen dat effectief niemand er meer bij kan, burgers dus nooit meer de mogelijkheid hebben de overheid te hacken, dus een controlerende functie uit te oefenen. Als de overheid echt iets te verbergen heeft, en dat heeft ze vaak genoeg, vraag het eens aan een man als..Fred Spijkers... en ze kunnen die informatie voor zichzelf houden, dan is er geen angst meer om problemen weg te moffelen.
Dit bewijst weinig. Het bewijst dat de aanvalsmethodes die gebruikt zijn gedicht moeten worden, zodat ze niet nogmaals gebruikt kunnen worden, en ik ga ervan uit dat er ook nog wel meer aandacht aan besteed mag worden (maar dat is niet gratis, en er wordt overal flink op defensie bezuinigd, dat zal ook tenkoste gaan van digitale beveiligingen).

Maar een 100% veilig systeem is nagenoeg onmogelijk te maken. En ik ga ervan uit dat deze hackers niet zijn binnen gekomen met een random SQL injectie (als dat wel het geval is, is de beveiliging inderdaad behoorlijk bagger), maar eerder met zero-day exploits.

En er zullen zeker weten mensen komen die vertellen dat zulke systemen ook niet aan het internet horen te hangen. Behalve dat dat niet alles zegt (zie Stuxnet), heb je ook nog dat het inderdaad heel makkelijk is data voor 100% te beveiligen tegen een elektronische aanval. Stop het op een USB stick, stop die in een blok beton, en dump het op een paar kilometer diepte in de oceaan. Oftewel ja heel goed beveiligen kan wel, maar het moet nog wel te gebruiken zijn.
Zelfs de best beveiligde systemen hebben zwaktes die misbruikt kunnen worden. Het is en blijft door mensen gemaakt en mensen maken fouten.
Dat kun je zo niet zeggen. Leuke oneliner, maar niet meer dan dat.

Je kunt op basis van dit verhaal alleen absoluut geen enkele conclusie trekken. Je weet niet hoe de hacks hebben plaatsgevonden en door wie. Het kan zijn dat iemand inside info had en dan is het wel heel makkelijk om in ieder geval door de voordeur binnen te komen. Er zijn legio mogelijkheden en zels de zwaarst beveiligde infrastructuur heeft ergens een zwak punt. De kunst is alleen om ervoor te zorgen dat men intern dat zwakke punt onderkent en het dan ook scherp in de gaten houdt.

Bij een van mijn voormalige opdrachtgevers kwam men erachter dat er door een configuratiefout de beveiligde logon mbv dir RSA dongles omzeild kon worden. Als je de URL wist, kwam je er zonder authenticatie doorheen... Dat schijnt zo maanden lang open hebben gestaan. Maar een hacker komt daar niet zomaar achter. Hij zal dan eerst wat inside info moeten hebben over op welke URL wat te halen is.
Dit bewijst toch weer eens dat de overheden nog steeds niet goed genoeg beveiligd zijn...
Lees: Nooit goed beveiligd zijn geweest...
"En dat zijn de incidenten waar we van weten. De kans is aanwezig dat er problemen zijn waar we niets van weten", zegt Shaw.
Eindelijk iemand die eens eerlijk is. Hoe beter de hack, hoe minder zichtbaar deze is, dus je weet nooit 100% zeker of je niet vaker gehackt bent. Vandaar ook dat het aantal succesvolle aanvallen 'moeilijk te kwantificeren' valt. Dat is per definitie zo. Pluspunten voor het feit dat deze hooggeplaatste functionaris dat doorheeft in plaats van een standaardpraatje af te leveren.

Meer investeren in IT-beveiliging en beloningsprogramma's voor white hat hackers vind ik een top plan, maar ik denk dat ze het beste kunnen beginnen met een aantal audits door security bedrijven. Als je die beloning uitlooft maak je wel een enorm doelwit van jezelf natuurlijk. :)
Ik weet niet of je die white hats met hun hacks toegang wil laten krijgen tot geheime informatie. White Hat hacking is leuk maar ik denk niet dat het een goed idee is voor computers me geheime informatie.
Tja, liever white hats dan black hats zou ik zeggen :) Als de beveiliging niet op orde is hou je ze toch niet tegen. Dan heb ik liever iemand die met goede motieven binnenkomt, dan iemand die meteen informatie doorverkoopt aan een terroristische cel.

[Reactie gewijzigd door Cloud op 4 mei 2012 10:45]

Dat heeft een vertrekkend generaal-majoor gezegd.

Dus geen pluspunten. Hij had het ook eerder kunnen melden :)
Dat heeft een vertrekkend generaal-majoor gezegd.

Dus geen pluspunten. Hij had het ook eerder kunnen melden :)
Waarschijnlijk mocht hij het eerder niet melden (aan de pers), en heeft hij het wel intern gemeld, richting de verantwoordelijken.

Nu hij afzwaait, kunnen ze hem niets meer maken, en kan hij een boekje opendoen zonder consequenties voor hemzelf.

[Reactie gewijzigd door arjankoole op 4 mei 2012 11:06]

Als je die beloning uitlooft maak je wel een enorm doelwit van jezelf natuurlijk

Zij zijn toch al een high profile doelwit. En afhankelijk zijn van ethiek alleen is niet genoeg. Er zijn er genoeg die zwichten voor hun breakingpoint bedrag. Dat was al zo tijdens de koude oorlog toen er noch geen internet bestond.

Echte gevoelige materie behoort niet op een pc opgeslagen te staan die op een netwerk is aangesloten. Beter dat een selectief gezelschap het in het hoofd houdt.
[...]

Eindelijk iemand die eens eerlijk is. Hoe beter de hack, hoe minder zichtbaar deze is, dus je weet nooit 100% zeker of je niet vaker gehackt bent. Vandaar ook dat het aantal succesvolle aanvallen 'moeilijk te kwantificeren' valt. Dat is per definitie zo. Pluspunten voor het feit dat deze hooggeplaatste functionaris dat doorheeft in plaats van een standaardpraatje af te leveren.

Meer investeren in IT-beveiliging en beloningsprogramma's voor white hat hackers vind ik een top plan, maar ik denk dat ze het beste kunnen beginnen met een aantal audits door security bedrijven. Als je die beloning uitlooft maak je wel een enorm doelwit van jezelf natuurlijk. :)
Je hoeft ze niet te laten testen op je live systeem natuurlijk, kopieer 't, pleur 't ergens anders neer en zorg dat ze niet je echte systeem fucken...
Ik snap nog steeds niet waarom alles rechtstreeks achter internet moet hangen tegenwoordig.
Waarom wil je "top-secret" systemen achter een wereldwijd netwerk zetten waar iedereen mee verbonden is, ook de landen die heel veel belang hebben bij die informatie.
Het internet is natuurlijk groot geworden door het aaneenknopen van militaire netwerken (naar het voorbeeld van universiteiten die er eerst mee begonnen). Dus nee, alles moet niet 'tegenwoordig' rechtstreeks achter internet hangen, maar die top-secret systemen altijd al achter internet gehangen. Nu kun je natuurlijk met alle navo landen samen besluiten nieuwe bekabeling te leggen om defensie infrastructuur te koppelen, maar na verloop van tijd worden daar ook weer zoveel dingen aan gehangen dat hetzelfde gebeurd als nu :)
Omdat je niet met allemaal in hetzelfde gebouw zit? Je kan niet zomaar dedicated lijnen leggen tussen al je diensten, soms moet je wel over het internet. En hoewel je je systemen beveiligd met elkaar kunt laten communiceren hangen bepaalde machines nog altijd gewoon aan het net met extern benaderbare IPs ,
Kheb dat ook nooit gesnapt. Dan vraag je inderdaad op acties als deze.
Er staat nergens in het artikel dat de systemen op het internet aangesloten stonden. Ik heb zelf gewerkt bij een militaire organisatie en kan je zeggen dat er geen secret data op het internet werd aangesloten.
Militairen hebben hun eigen netwerk.
Als de Britten dit wel zouden hebben is dat natuurlijk achterlijk.
Juist, beste beveiliging is nog steeds dan om deze info niet aan het internet te hangen, ook al zitten er tig firewall, routers, pixen en asa's tussen,..
Defensiesystemen moeten juist vaak op grote afstand met elkaar communiceren dus het is vrij onvermijdelijk. Overigens zijn alle alternatieven ook kraakbaar. Een rule of thumb zou zijn dat informatie overdracht altijd gevaarlijk is. Bouw een eigen netwerk en je kunt als 'axis of evil'-overheid gewoon de grond opengraven en jezelf toegang verschaffen. Sla alles op op vaste media en de koerier die je USB stick vervoerd wordt omgelegd. Een postduif is waarschijnlijk nog het veiligst, element of surprise ;)

[Reactie gewijzigd door Makkelijk op 4 mei 2012 09:58]

sterker nog, het internet is een uitvinding van darpa, gericht op het behouden van communicatie ten tijde van oorlog !
De koerier die de USB stick vervoerd, dood je niet perse.
Je kan hem ook te eten geven door een mooie dame, en als hij dan moe en voldaan in haar armen in slaap valt, is er genoeg tijd om de USB even te kopiŽren, de data (eventueel) te wijzigen en hem daarna zijn berichtje af te leveren. Kortom social engineering is de grootste dreiging. Iedereen denkt immers 'Mij overkomt het toch niet?' Met andere woorden: bewustwording. Wat voor consequenties hebben mijn acties...
Wel erg 007-achtig, maar ik moest wel lachen.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Processors Sony Microsoft Games Apple Politiek en recht Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013