'Outlook.com-gebruikers in China kampten met mitm-aanval'

Chinese gebruikers zouden te maken hebben gehad met een man in the middle-aanval op de imap-implementatie van Outlook.com, het voormalige Hotmail. Chinezen die de mail checkten via de browser, zouden niet getroffen zijn.

De site GreatFire ontdekte de aanval die in het weekeinde anderhalve dag plaatsvond. Gebruikers die hun Outlook.com-adres hadden ingesteld in een mailclient, kregen te maken met een foutmelding die ze makkelijk konden wegklikken.

De man-in-the-middle-aanval was mogelijk door een vals certificaat, dat self-signed is en browsers dus als vanzelf verdacht vinden. Mailprogramma's geven ook een melding, maar adviseren gebruikers niet om de verbinding af te breken.

De aanval duurde volgens GreatFire anderhalve dag. De aanval zou geleken hebben op vergelijkbare aanvallen op Google en Yahoo, die de site toeschrijft aan de Chinese overheid.

Cyberaanval Outlook.com

IT-banen

Reacties (27)

Astrix 20 januari 2015 11:48

De Chinese overheid wil met dergelijke acties, de burger blijkbaar geheel overbodig, er nog effe aan herinneren, dat activiteiten op het internet scherp in de gaten worden gehouden.

Kenzi @Astrix • 20 januari 2015 13:12

Er is vooralsnog geen bewijs dat de Chinese overheid hier achter zit.

we once again suspect that Lu Wei and the Cyberspace Administration of China

Er wordt alleen met de vinger gewezen naar de Chinese overheid maar dat doet Greatfire bij elke melding. Echt objectief is die site niet te noemen.
Zou het interessant vinden als er een wat meer onafhankelijke onderzoeker in deze materie zou duiken en kijken waar dit mitm aanvallen nou daadwerkelijk vandaan komen.

Verwijderd 20 januari 2015 11:39

In China, MITM van de Chinese overheid.
Maar overal in de Wereld buiten de VS, geldt toch dat MS voldoet aan de Fisa standaard, dus zelf ook toegang geeft voor de eigen Amerikaanse overheid, als gebruikers voldoen aan het predikaat 'foreigners'.

the_shadow @Verwijderd • 20 januari 2015 11:46

Een MITM is een aanval op een beveiligd kanaal. Wat de Amerikaanse overheid gewoon doet is data die opgeslagen staat bij MS opeisen onder bepaalde wetten. Ondanks dat het resultaat gelijk is, is de methode toch echt heel anders.

Verwijderd @the_shadow • 20 januari 2015 12:02

Een man-in-the-middle-aanval is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. Hierbij bevindt de computer van de aanvaller zich tussen de twee communicerende partijen.[wiki]

Voor het opeisen, van data bij MS van eigen burgers van de VS zijn er inderdaad wettelijke vereisten, en soms zelfs een rechter nodig.

Maar je moet je geen illusies maken over de 96% van de wereldbevolking die valt onder de categorie 'foreigners'.
Wetenschapper Hypponen zegt hierover:

Well, not exactly everyone, because the U.S. intelligence only has a legal right to monitor foreigners. They can monitor foreigners when foreigners' data connections end up in the United States or pass through the United States. And monitoring foreigners doesn't sound too bad until you realize that I'm a foreigner and you're a foreigner. In fact, 96 percent of the planet are foreigners.
[..]
The very first PRISM slides from the beginning of June detail a collection program where the data is collected from service providers, and they actually go and name the service providers they have access to. They even have a specific date on when the collection of data began for each of the service providers.
[..]
And every single one of these companies denies. They all say that this simply isn't true, that they are not giving backdoor access to their data. Yet we have these files. So is one of the parties lying, or is there some other alternative explanation? And one explanation would be that these parties, these service providers, are not cooperating. Instead, they've been hacked. That would explain it. They aren't cooperating. They've been hacked. In this case, they've been hacked by their own government.

Uit interne documenten van de NSA blijkt dat het zeer aannemelijk is dat van diverse Amerikaanse dienstverleners alle informatie 1:1 gebackupettet, wordt door de dienst. Juridisch mag dat maar kort, of met een bevel voor Amerikanen zelf. Maar Europeanen hebben als 'foreigners' geen enkel notificatie of verdedigingsrecht tegen deze praktijk.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:21]

batjes @Verwijderd • 20 januari 2015 14:24

Alleen laat MS de NSA e.d. niet bij servers komen die buiten amerikaans grond gebied staan.
Jaar of 2-3 geleden was er een "rumour" over NSA/CIA medewerkers die bij MS liepen te janken dat hun encryptie niet te breken was. Dat ze een beetje bij MS medewerkers liepen te pijlen of er 1tje om te kopen was om toch die encryptie te kunnen doorbreken.

Microsoft heeft in veel gevallen waar ze verplicht waren data van gebruikers af te geven, een blob encrypted informatie gestuurd van "We kunnen hier zelf ook niet bij, zoek het maar uit".

Momenteel vecht o.a. MS het uit voor ons europeanen, ja niet alleen vanuit hun goede hart, hun weten ook wel dat amerikaanse bedrijven heel veel klanten kwijt kan raken zodra ze data van europese klanten zo maar overhandigen aan de amerikaanse regering/inlichtingendiensten.
De notificatie is er wel enigsinds, maar die is er vanuit MS, Google en dergelijke. Die zich nog een beetje in de strijd gooien.

Vanuit Europa zelf zijn er jammer genoeg veelste weinig geluiden op politiek gebied. Dit is het moment om als Europa hard te maken tegen Amerika met "Hier zijn we niet van gedient, we zijn gvd jullie bondgenoten"

Thystan @batjes • 21 januari 2015 10:36

Overhandigen met een court order is 1 ding waar ik op zich (met de juiste court orders) wel achter kan staan om criminaliteit te bestrijden.

Wat ze in de praktijk doen is alles opvangen en opslaan en alles doorzoeken (zonder court order). Stel ik spreek een keer met een ali khadaffi en een ander persoon, ook genaamd ali khadaffi komt op hun lijst, dan krijgen zij gewoon de resultaten tussen mij en de onschuldige ali khadaffi te zien.

Niet correct.

Ik vind trouwens best dat onze politiek hier wat aan mag gaan doen.

Op dit moment vecht M$ het uit, maar M$ is gebaseerd in Ierland en ik vind het eigenlijk vreemd dat onze data moet voldoen aan de Ierse privacy wetten.

De privacy wet is daar het makkelijkst voor bedrijven!

Edit: voor heel europa word het land met het europese hoofdkantoor genomen voor internationale standpunten mbt tot bijvoorbeeld privacy bij grote multinationals.

[Reactie gewijzigd door Thystan op 23 juli 2024 00:21]

batjes @Thystan • 21 januari 2015 11:04

Dat is het punt nou, zoals het er naar uitziet komt de NSA/CIA/FBI niet door de encryptie heen die MS gebruikt. Niet zonder hulp van MS, en MS geeft deze hulp buiten amerikaanse grenzen niet. En data van ons nederlanders staat op servers in europa. Uitzonderingen daargelaten.

En MS focust niet alleen op Ierland, hoe MS met privacy omgaat is al vele jaren hetzelfde en valt ook binnen nederlandse wetgeving/maatstaven. Sterker nog MS doet het beter dan menig bedrijf in nederland waar randon klantenservice medewerkers alle klanten info kunnen opvragen incl rekening nr.

Thystan @batjes • 21 januari 2015 14:20

Geloof je het zelf?
http://www.theguardian.co...a-collaboration-user-data

En mbt tot het land:
"Organisations will only have to deal with a single national data protection authority in the EU country where they have their main establishment. Likewise, people can refer to the data protection authority in their country, even when their data is processed by a company based outside the EU. Wherever consent is required for data to be processed, it is clarified that it has to be given explicitly, rather than assumed."

http://www.computerweekly...-of-data-protection-rules

Thystan @the_shadow • 21 januari 2015 10:32

Dat is niet waar. De data wordt onderschept voordat het wordt encrypt.

Zie ook http://www.theguardian.co...a-collaboration-user-data

Joolee 20 januari 2015 11:40

Heeft dit niet te maken met de geruchten dat de Chinese DNS servers bij geblokkeerde websites random ip adressen terugsturen? De eigenaren van die adressen zien een volledig willekeurige ddos uit China. De bezoeker krijgt vreemde websites te zien en bij ssl, verkeerde certificaten.

Verwijderd @Joolee • 20 januari 2015 18:17

DNS poisoning kan een rol spelen maar je verwacht dan een geldig of ongeldig certificaat voor een verkeerde domeinnaam. In dit geval gaat het specifiek om een certificaat voor *.hotmail.com.

En, hoewel dat toeval kan zijn, is het IP adres uit de Wireshark log wel gewoon een Microsoft adres: 157.56.195.250.

Xantis 20 januari 2015 11:42

Gebruikers die hun Outlook.com-adres hadden ingesteld in een mailclient, kregen te maken met een foutmelding die ze makkelijk konden wegklikken.

Zo zie je maar weer dat de veiligheid van een systeem voor een groot deel afhangt van de gebruiker. (of de weergaveimplementatie van softwarepakketten die je dienst gebruiken.

Armin

Netwerk en systeembeheer

@Xantis • 21 januari 2015 03:04

Merk verder op dat Tweakers ten onrechte meld dat "mailprogramma's" een slechte controle geven. Dat is onjuist, want het gaat hier specifiek om iOS native mail-app dat self-signed toestaat zonder dat het in de root-store staat.

Ik ben het er deels mee eens dat een pientere gebruiker nog steeds niet verder gaat, maar het deels ook een OS probleem want die foutmelding is nogal gematigd terwijl het een vet/eng rood kruis moet zijn. Android heeft helaas hetzelfde. De defaults van het OS zijn verkeerd, en een app moet opt-in doen om controles te doen (*). Bij non-narive iOS en Android apps krijg je vaak zelfs deze vage popup niet eens!

Windows en Windows Phone doet (tenzij de app zijn eigen certificaat bibliotheek gebruikt) bijvoorbeeld wél. Windows Phone zou bijvorbeeld onheroepelijk (!) gewoon de verbinding weigeren met een foutmelding.

Ik heb al een paar keer vage en slecht geconfigureerde exchange servers gezien, waar vervolgens door de admin steen en been geklaagd werd dat Android wél "gewoon" werkte, maar Windows Phone niet dat lag dan aan Windows Phone zei men. Todat we Fiddler erbij pakte en het certificaat-chain die meergestuurd was gewoon niet klopte

(Overigens geen sneer naar Android/iOS, want apps kunnen het wel gewoon goed doen natuurlijk. Het is alleen jammer dat het goed doen een opt-in is.)

WokeBroke 20 januari 2015 12:13

Het lijkt mij in het kader van de veiligheid van je burgers. Niet meer dan redelijk, dat je een kleine steekproef neemt. Om te kijken wat voor informatie je burgers zoal delen met de NSA.

teacup @WokeBroke • 20 januari 2015 12:35

Om te kijken wat voor informatie je burgers zoal delen met de NSA.

En daar zijn vast meer effectieve methodes voor te verzinnen. Maar ja, grote hoeveelheden gegevens geven blijkbaar een soort schijnzekerheid. Soms is laten zien hoeveel je doet belangrijker dan welke effecten je ermee bereikt. Vooral als diegenen die de activiteit beoordelen er nog minder kennis over hebben.

Maar dit is wel erg duidelijk, te opzichtig. Voor Chinezen is dit niet de eerste keer dat ze dit meemaken. Velen zullen hebben gedacht: "het is weer zover", en de groep die dit niet denkt is als doelgroep sowieso oninteressant. Hierover nadenkende krijg ik toch de indruk dat of deze man in the middle niet erg heeft geweten hij mee bezig was, of alleen maar wil laten zien hoe druk hij is met controle activiteiten. In beide gevallen is het niet iets om ons zorgen over te maken.

eprillios @WokeBroke • 20 januari 2015 12:44

Welke overheid dan ook, ze hebben niets te zoeken in de verbinding en informatieoverdracht tussen twee partijen. Alleen als eigenaar van je gegevens mag je erover beslissen. Als er zorgen zijn over de NSA, zal de keus uiteindelijk bij de gebruiker liggen om beslissingen over bijvoorbeeld de locatie van zijn gegevens te maken.

[Reactie gewijzigd door eprillios op 23 juli 2024 00:21]

Verwijderd 20 januari 2015 12:46

Dit heeft niets met Microsoft te maken, maar alles met internet in China. Dat was vorige keer ook al het geval. Het is dus geen MS probleem als iemand dat misschien denkt

Eloy 20 januari 2015 16:09

De aanval heeft dan misschien maar kort geduurd, ze hebben nu wel alle wachtwoorden van de gebruikers die hebben ingelogd tijdens de MitM attack, waarvan waarschijnlijk de wachtwoorden ook worden gebruikt voor andere websites.

Thystan @Eloy • 21 januari 2015 10:42

Of belangrijker nog: andere diensten bij hetzelfde bedrijf

Eloy @Thystan • 21 januari 2015 11:16

Andere diensten? Windows wachtwoorden bedoel je?

Thystan @Eloy • 21 januari 2015 11:30

Alles gekoppeld aan dat account. Ivm Outlook.com kan het van alles zijn aangezien je met het email adres ook andere accounts kunt resetten.

Eloy @Thystan • 21 januari 2015 11:56

Oh op die manier bedoel je. Lijkt me alleen minder realistisch, omdat de gebruiker het dan doorheeft. Het is niet op grote schaal toe te passen door de overheid. Die hebben veel betere methodes

MPAnnihilator 20 januari 2015 14:15

en dan nog een connectie opzetten op 993 , haha , totaal niet verdacht

( maar allicht voor de doorsnee gebruiker minder opvallend )

Dysmael @MPAnnihilator • 20 januari 2015 18:53

Dat zie je verkeerd. Om aan te tonen dat er een verkeerd certificaat wordt aangeboden maakt de onderzoeker zelf verbinding met het adres om zo het certificaat makkelijker te kunnen laten zien.

Edit: niks mis met de URL dus. Voordat verdere communicatie plaatsvind wordt eerst het certificaat gevalideerd. Ga je dan door dan zal blijken dat de IMAP server geen HTTP aanbied en kan je browser er dus niets mee.

[Reactie gewijzigd door Dysmael op 23 juli 2024 00:21]

MPAnnihilator @Dysmael • 21 januari 2015 06:51

Ah , ok , in het bericht ging het over outlook.com via mail clients , ik had erover gelezen en dacht dat het om toegang via de browser ging.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: