Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 26, views: 17.773 •

De digitale aanvallen op banken en tv-zenders in Zuid-Korea kwamen waarschijnlijk allemaal van dezelfde bron. Wie er achter zou zitten, is onduidelijk. Anders dan eerder werd gesuggereerd is er geen bewijs dat China achter de aanvallen zou zitten.

Vlag Zuid-KoreaVolgens persbureau Reuters denkt de Zuid-Koreaanse evenknie van de OPTA dat de aanval op drie tv-zenders en twee banken in dat land afkomstig is van één bron. Daarbij zouden de aanvallers mogelijk een 'overzeese route' hebben gevolgd; onduidelijk is of daarmee wordt bedoeld dat de aanval afkomstig zou kunnen zijn vanuit China.

Eerder werd gesuggereerd van wel: een ip-adres dat werd gebruikt in de aanval zou in China geregistreerd staan. Naar nu blijkt was dat een fout: het zou in werkelijkheid een intern ip-adres zijn dat gelijk is aan een ip-adres in China. Waarom de bank publieke ip-adressen gebruikte voor zijn interne netwerk, is onduidelijk. Ook is niet duidelijk waarom het interne ip-adres opdook tijdens het onderzoek. Mogelijk is de aanval door het interne ip-adres gebruikt om de daadwerkelijke afkomst van de aanvallers te verhullen.

Bij de aanval werd waarschijnlijk een virus gebruikt dat het master boot record van de hardeschijf wist, waardoor opstarten vanaf die schijf niet meer mogelijk is. Om en nabij de 32.000 computers werden door de aanval getroffen. Volgens de Zuid-Koreaanse ict-beveiligingsorganisatie van de overheid zijn er nog zeker vijf dagen nodig om alle systemen weer overeind te helpen. De getroffen banken waren een paar uur na de aanval al online, maar de servers van de tv-zenders zouden er ernstiger aan toe zijn.

Reacties (26)

Dat is slecht zeg, op een bankennetwerk alle pc's een extern ip adres.
Als je dan op een hele subrange gaat kijken zit er altijd wel ergens een gaatje in lijkt me.
Ik denk dat ze bedoelen dat ze intern adressen(LAN) hebben gebruikt die ook extern(Internet) bestaan.
dat kan niet. Dan kun je immers niet routeren.
Hoezo niet?

Als je via NAT naar buiten gaat, niemand die het merkt.
Ook intern kan het prima; maar zonder NAT, tja, ok dan niet (althans, dat zou niet moeten), maar wie weet dat ze in Zuid Korea dat zelfde subnet binnen het land wel gewoon routeren.

Ok er is n ding dat je dan zelf niet kunt en dat zijn die set met "echte" publieke IP-adressen benaderen; wat op zich natuurlijk wel een grappige manier is om te voorkomen dat je een verbinding opbouwt met dat subnet in China :)
Dat kan wel gewoon, maar verstandig is het niet. Dat kan bij routeren problemen geven, bv, moet deze connectie nu gemaakt worden met het interne netwerk IP of het IP op internet. Onnodig complex. Ze hebben genoeg adressen beschikbaar op 10.x.x.x.
Ik denk dat ze bedoelen dat ze intern adressen(LAN) hebben gebruikt die ook extern(Internet) bestaan.
En ik denk dat dit een lulverhaal is wat bedacht of verkeerd begrepen is door iemand zonder verstand van techniek. Als ze echt externe IP's intern gebruiken moeten ze hun netwerkbeheerder ontslaan. Het zijn dan misschien koreanen, maar zo slecht zullen beheerders bij een bank toch ook niet zijn?
[...]

En ik denk dat dit een lulverhaal is wat bedacht of verkeerd begrepen is door iemand zonder verstand van techniek. Als ze echt externe IP's intern gebruiken moeten ze hun netwerkbeheerder ontslaan. Het zijn dan misschien koreanen, maar zo slecht zullen beheerders bij een bank toch ook niet zijn?
Je weet totaal niet wat je zegt, kan geen enkele kwaad om intern ipv 192.168.x.x te gebruiken een andere reeks te gebruiken, heeft geen enkel nadeel. Enige is dat fabrikanten die reeks hebben afgesproken om zo makkelijker netwerk te maken. Maar buiten dat is er geen enkele rede dat je perse 192.168 zou moeten nemen voor intern netwerk ip.

En je weet waarschijnlijk niks af van hoe hun internet werkt, zoek dat eens op. Hele internet van zuid korea werkt anders dan hier in Nederland, voor bankzaken moet je activex gebruiken en daar leunt volgens mijn hele internet toegang ook op, zonder activex kan je volgens mijn niet eens het internet op in zuid korea.
Tot je moet communiceren met een computer die zo een address heeft dat jij intern bent gaan gebruiken.
Die reeksen zijn niet voor niets vast gelegd.
er wordt alleen niet gesuggereerd dat het IP-adres ook extern benaderbaar was. Je kan in een intern netwerk prima IP-adressen gebruiken die eigenlijk gereserveerd zijn voor "het internet", dus iets wat geen 10/8 of 192.168/16 is.

Edit: wat M3! zegt ;)

[Reactie gewijzigd door nehru op 22 maart 2013 12:59]

Voor een intern netwerk kun je ELK class A, B of C subnet gebruiken. Echter heeft het IANA een aantal IP ranges gereserveerd voor intern gebruik. Echter hoef je je niet tot die lijst te beperken.

Op beurzen worden vaak ook externe IP's op een afgeschermd (intern) netwerk gebruikt. Vooral bij lastige distributed software configuraties kiest men deze techniek omdat je dan alleen het netwerk hoeft na te bouwen.

Het nadeel van het gebruik van een extern IP op interne machines is dat je de originele (Chinese) machine niet meer kunt benaderen.
Dus bij n bank zijn ze er achter gekomen dat het ging om een intern IP-adres...

Waar blijft dan het bewijs dat de aanvallen n bron hebben?
Nogal vreemde berichtgeving: "Anders dan eerder werd gesuggereerd is er geen bewijs dat China achter de aanvallen zou zitten."

Volgens mij werd het niet zo voorgeschoteld door de media. NRC plaatste gisteren een artikel waarin stond: "Uit de eerste onderzoeken blijkt dat de aanval vanuit n organisatie kwam. Dat de aanval van een Chinees adres kwam, hoeft echter niet te betekenen dat het om een Chinese aanval gaat, benadrukte de Zuid-Koreaanse woordvoerder tegenover persbureau AP"

De woordvoerder heeft gelijk al aangegeven dat het niet om een Chinese aanval hoeft te gaan. Lijkt me toch redelijk essentieel om dit te vermelden? En al had de woordvoerder dit niet aangegeven, dat valt toch wel onder de algemene kennis bij de crew van t.net?
In Rusland hebben ze helemaal geen last van externe IP adressen op beurzen. Daar doen ze allen intern met een bewaker naast de server. Zo komt er niemand van buitenaf bij.
kun je trouwens na zo'n aanval die de MBR delete niet gewoon heel simpel,
Fixboot en Fixmbr gebruiken. werkte bij mij wel bij een aantal Hdd's.
Waarschijnlijk is het niet alleen de bootsector die vernield is.
Hoe simpel zie jij dat dan?

Laten we uitgaan van dat alle 32.000 pc`s XP draaien.
Heb je dat al op je hdd staan op een aparte recoverypartitie, heb je dat op een recovery CD gezet, of heb je daar een bootable USB stick van gemaakt?

Veel bankcomputers zullen de eerste twee niet kunnen, geen recoverypartitie (onnodig ivm image plaatsen met compleet op maat ingericht geupdate systeem op een nieuwe pc of een "stomme"werknemer die per ongeluk even een nieuw incompleet ongeupdate XP installeert) en geen DVD/CD drive (ivm veiligheid)
Blijft een bootable stick over.....eerst USB drive als eerste boot zetten in het BIOS, daarna uitvoeren, daarna BIOS terugwijzigen, x 32.000 computers.

Dus stel je bent per computer totaal 10 minuten bezig met het MBR repareren (incl naar de volgende PC lopen) dan ben je (32000x10/60)/24 = 222 dagen bezig als je continu doorgaat.
Werk je maar 10 uur per dag dan ben je 533 dagen bezig.

Dan vergeten we gemakshalve verder even dat je elke pc daarna moet opstarten/checken en scannen op malware vr je hem weer in het netwerk opneemt.

Blijft veiligheidshalve eigenlijk over de HDD formatteren zodat je alle troep zeker kwijt bent en een image terugzetten
Je wilt immers die malware die zich verspreid heeft niet terug ergens in je intranetwerk.
Dus dat maal 32.000 over X filialen.

Je kan je dus voorstellen hoe een grote kostenpost zoiets is, want ook een image terugzetten is simpel maar duurt wat langer dan 10 minuten.
Bijvoorbeeld, heb je 533 man er op gezet en duurt de procedure 30 minuten per pc incl in het netwerk opnemen, dan nog ben je 3 dagen verder voor je netwerk weer helemaal bruikbaar is bij 10 werkuren per dag per man.
Of als je drie ploegen van 666 man in 8 uurdiensten na elkaar inzet kun je het in n dag klaren, maar dat lijkt me gewoonweg logistiek niet reel of haalbaar.

(disclaimer; natuurlijk kun je elke werknemer bv 15 sticks geven zodat hij simultaan images terug kan zetten zodat het sneller gaat, maar ook die 8000 stickjes maken kost tijd. En dan is het natuurlijk niet alleen een stickie erin en klaar...je moet het BIOS wijzigen, image terugzetten, BIOS terugzetten, opstarten/checken, configureren en in het netwerk opnemen
Het gaat er meer om dat het niet even snel het MBR repareren is zoals velen denken omdat ze dat thuis wel eens gedaan hebben.
Dit is een zakelijke financile markt die gegarandeerd veilig moet zijn, geen thuis/hobby-computer.
Eerst zullen servers weer bruikbaar gemaakt worden en de systeemback-up daar op teruggeplaatst worden zodat elke pc die er weer bij komt toegang heeft tot de systeemdata.
Voordat alles weer loopt gaat dus gewoon minimaal een paar dagen overheen)

OT;
Mij lijkt trouwens dat als het via een IP adres binnen het netwerk verspreid is het een inside job is, een werknemer die even een besmet stickje van thuis ingeplugd had.
Foutje dat dat geaccepteerd werd maar ook moeilijker tegen te beveiligen dan van buitenaf, als je binnen bent met de juiste rechten dan helpt weinig beveiliging nog. Gevalletje PEBKAC.
De hoofdsysteembeheerder zal waarschijnlijk toch een ander baantje moeten zoeken denk ik.
Zulke foutjes mogen niet gebeuren.
Is het terug te herleiden naar een werknemer dan zal die wel voor de rest van zijn leven gratis voor de bank werken, als dit op hem/haar verhaalt wordt.

[Reactie gewijzigd door Teijgetje op 23 maart 2013 03:15]

Voor het gemak vergeet je dat de meeste grote bedrijven hun computers geconfigureerd hebben om bij het starten een image van een netwerkmachine te kunnen laden. Dan kun je hiermee automatisch een image terugplaatsen of een tooltje draaien dat de mbr fix uitvoerd.
Grote banken, universiteiten, bedrijven en hogescholen gebruiken stuk voor stuk 'externe' IP adressen op hun interne clients, precies op de manier zoals IPv4 ooit bedoeld is.....
Klopt, maar zij hebben dan wel die adressen ooit netjes bij de IANA of de regionale coordinatoren (RIPE etc.) geregistreerd. Het internet zal die pakketjes dus ook netjes aan de eigenaar sturen. Wat deze bank deed is dus in feite IP adressen kapen.

Je kan best andermans IP adressen intern gebruiken maar dan zit je vast aan NAT. Anders kan je namelijk geen enkele internet site bereiken (de antwoorden op je IP pakketten worden namelijk naar de echte eigenaar gerouteerd en komen niet bij jou aan).

Als je dan toch NAT gebruikt pak dan meteen een 10.0.0.0/8 adres range (of 172.16.0.0/16 etc) dan ben je helemaal compliant. Dus ik ben het met Ting87 eens, dit is een slechte praktijk.
Ik geloof niet dat Zuid-Korea echt details zal prijsgeven.... dat doen ze op veel gebieden niet en dus ook niet bij een grootschalige aanval op systemen.
Lost het hebben van (U)EFI + GTP boot partitie en dus geen MBR dit probleem dan eigenlijk niet op?
Als het alleen om de MBR ging was het redelijk simpel te fixen. Partitietabellen nabouwen is een eitje met tools als testdisk en ieder OS kan z'n eigen bootloader opnieuw installeren. Dat gaat echt geen 5 dagen duren. Ik denk dat er dus nog wel meer gedelete was, maar ze willen er gewoon niet al te veel details over geven.
Of ze hebben er een beheerder zitten die net zoveel van computers weet als m'n digibete moeder, wat me, gezien hun verhaal over de IP adressen die ze daar gebruiken, niet geheel onwaarschijnlijk lijkt.
Of ze hebben niet genoeg mankracht om circa 32.000 computers binnen een dag te repareren, al is het maar even een MBR fixen.
Ik begrijp niet dat er geen externe backup aanwezig is / was waarmee in korte tijd in plaats van dagen alles weer hersteld kan worden?
Een back-up is iets anders dan je OS.
Een back-up slaat al je data op, een kopie van je OS heet een image.
Verloren data kan je uit de back-up terugzetten, een verminkt OS moet je eerst repareren/image terugzetten voordat je daar de back-up weer in terug kan zetten
Laten we China zwaar straffen en ze afsnijden van 't internet.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Smartphones Google Laptops Sony Apple Games Wetenschap Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013