Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties

Er komen steeds meer digitale aanvallen, waarbij hackers proberen malware te installeren op specifieke sites, zoals die van brancheorganisaties. Ook het gebruik van 'gepersonaliseerde phishing' neemt toe.

Deze digitale aanvallen, die in het Engels 'watering hole' en 'spearphishing' heten, zijn gericht op specifieke bedrijven of instellingen, zoals bijvoorbeeld overheden of bedrijven met specifieke kennis. De Nederlandse inlichtingendienst doet de constatering in zijn jaarrapport over 2014. De impact van dergelijke aanvallen kan bovendien groter zijn, omdat netwerken van bedrijven en overheidsinstanties steeds meer aan elkaar gekoppeld zitten.

Bovendien constateert de AIVD dat bedrijven en instellingen door het gebruik van clouddiensten zoals die van Dropbox, Apple, Microsoft en Google, risico's lopen. "De AIVD heeft vastgesteld dat clouddiensten doelwit zijn van digitale spionage en dat buitenlandse inlichtingendiensten investeren in hun relatie met clouddiensten. Het gebruik van clouddiensten brengt een spionagerisico met zich mee en gezien de concentratie van informatie binnen deze dienstverleners kunnen de mogelijke omvang en impact van deze dreiging groot zijn."

Hoewel het jaarverslag enkele trends en bedreigingen omschrijft, komen er geen cijfers of concrete gevallen in terug. In elk geval een digitale aanval op een Nederlands bedrijf kwam wel boven water. Tweakers meldde onlangs dat ASML gehackt was.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (22)

Bovendien constateert de AIVD dat bedrijven en instellingen door het gebruik van clouddiensten zoals die van Dropbox, Apple, Microsoft en Google, risico's lopen. "De AIVD heeft vastgesteld dat clouddiensten doelwit zijn van digitale spionage en dat buitenlandse inlichtingendiensten investeren in hun relatie met clouddiensten. Het gebruik van clouddiensten brengt een spionagerisico met zich mee en gezien de concentratie van informatie binnen deze dienstverleners kan de mogelijke omvang en impact van deze dreiging groot zijn."
Kortom, de Nederlandse AIVD waarschuwt impliciet alle Nederlandse ondernemingen voor spionage door onze eigen bondgenoot, de Verenigde Staten. Waar de genoemde clouddiensten gevestigd zijn en onder wiens jurisdictie die clouddiensten vallen.

Dat is toch een vrij zwaar 'negatief aanbesteed advies' voor die Amerikaanse cloud diensten.

[Reactie gewijzigd door nul07 op 22 april 2015 16:29]

Dat is toch al jaren bekend en Wet is nooit geheim geweest, landen als Rusland, China, UK, Duitsland, etc doen het allemaal, je kan ze niet vertrouwen, dat heeft niks specifieks met de VS te maken. Ik zou mijn bedrijfsdata nooit bij derde onderbrengen, waar de server ook staat. ;)

Vele roepen al vanaf begin dat je cloud niet moet gebruiken als bedrijf zijnde. Ook niet bij andere clouddiensten, je loopt altijd extra risico als je je data uit handen geeft, bij VS weet je het tenminst nog die handelen nog meeste na hun eigen wetten. Niet dat ik het goedpraat maar je kon het wel verwachten, die wetten van de VS waren nooit een geheim.

AL denk ik dat AIVD niet doelt op NSA, maar meer op bedrijfsspionage, die worden veel al niet door overheid instanties gedaan maar door criminelen om ze door te verkopen, clouddiensten vormen gewoon extra beveiligingsgevaren, zoals het automatisch delen van de data naar andere gekoppelde pc, komt de data ineens op slecht beveiligde privť pc terecht.

Edit/
Net even bron gelezen, het jaarverslag waar dit artikel op gebaseerd is, maar AIVD noemt geen enkele naam, dat lijstje is er door tweakers zelf bij verzonnen. AIVD zegt alle cloud diensten vormen extra gevaar.

Het origineel uit het verslag:
"Dataconcentratie vergroot potentiŽle impact Burgers, overheden en bedrijven besteden hun informatiehuishouding in toenemende mate uit aan een beperkt aantal dienstverleners. Dit is onder meer het gevolg van het toegenomen gebruik van clouddiensten. Deze grote concentraties van gegevens zijn een aantrekkelijk spionagedoelwit. Veel van dergelijke dienstverleners zijn gedeeltelijk of geheel eigendom van of in beheer bij buitenlandse organisaties. Dit vergroot de mogelijkheden van buitenlandse inlichtingendiensten om financiŽle, politieke, juridische of persoonlijke druk uit te oefenen om spionage te faciliteren. De AIVD heeft vastgesteld dat clouddiensten doelwit zijn van digitale spionage en dat buitenlandse inlichtingendiensten investeren in hun relatie met clouddiensten. Het gebruik van clouddiensten brengt een spionagerisico met zich mee en gezien de concentratie van informatie binnen deze dienstverleners kan de mogelijke omvang en impact van deze dreiging groot zijn."

[Reactie gewijzigd door mad_max234 op 22 april 2015 22:20]

Met Clouddiensten moet je niet enkel aan Dropbox, Google Drive of OneDrive denken.

Ons salarissysteem, ons tijdregistratiesysteem (de "prikklok"), de verwerking van douanedocumenten, het aanmelden van pakketten aan de vrachtvervoerder, het opgeven van exportgegevens aan het CBS en wellicht straks ons CRM (klantenrelatiebeheer) systeem die tot enkele jaren geleden nog lokaal op een PC werden gedraaid, zitten allemaal 'in de cloud'. Nu zijn wij geen high-tech bedrijf als ASML waar de hackers op de loer liggen, maar je ziet wel dat alles langzaam naar 'buiten de deur' verschuift, omdat beheer dan 'zoveel eenvoudiger' is (geen eigen server, geen clientsoftware-installatie).
Komt het wel op neer ja. Gelukkig wouden de mogelijkheden voor een personal cloud met encryptie ook steeds beter.
Encryptie van diezelfde US bedrijven?
Ja, daar zal het beter van worden 8)7
Hangt er vanaf hoe je dat precies doet
  • Plain text opsturen en door een Amerikaans bedrijf laten encrypten geeft inderdaad nul bescherming tegen de Amerikaanse overheid.
  • Het gebruik van een encryptiealgorithme dat door een Amerikaans bedrijf ontwikkeld is kan de Amerikaanse overheid misschien buiten houden; niet overal zitten backdoors in (enige probleem: er is geen manier om dat zeker te weten).
Het probleem is kennis bij overheid zelf. Zij besteden zekere opdrachten uit aan bedrijven voor het ontwikkelen van een ICT infrastructuur. Die besluiten websites en applicaties op een bepaalde manier te bouwen dat nu dus vatbaar dreigt te worden voor phishing en malware.

Programmeurs zijn gewoon lui, en kiezen vaker voor opensource dan closed source, waarbij risico's met zich meekomen. Ook de website van G wilders staat gewoon in Joomla. Dat is geen software pakket dat je zou moeten gebruiken als overheid.
Programmeurs zijn gewoon lui, en kiezen vaker voor opensource dan closed source, waarbij risico's met zich meekomen. Ook de website van G wilders staat gewoon in Joomla. Dat is geen software pakket dat je zou moeten gebruiken als overheid.
Waarom zou je voor ieder project het wiel opnieuw moeten uitvinden, zeker gezien alle code risico's met zich meebrengt? Is de 5 miljard die jaarlijks verspild wordt aan ICT projecten bij de overheid nog niet voldoende?
Closed source is in dit geval zelfs 'gevaarlijker', juist omdat backdoors niet of moeilijk gedetecteerd kunnen worden. Open source is in dat opzicht juist veel veiliger, omdat iedereen een audit kan doen op de code.

Daarnaast, wat de website van Geertje hier mee te maken heeft snap ik echt niet. Betreft het overheidszaken? Nee, het is een persoonlijke dan wel partijwebsite. Is het gekoppeld aan overheidssystemen? Nee. Wordt de software dus gebruikt door de overheid zelf? Nee.

Ik ga echt niet ontkennen dat ik als programmeur lui ben, maar, in tegenstelling tot veel andere vakgebieden, is dat niet altijd slecht. Luiheid kan er onder andere aan bijdragen dat een systeem met weinig inspanning onderhouden, uitgebreid, gerepareerd of vervangen kan worden.
In tegenstelling tot overactieve codekloppers die alles abstraheren en overal abstract factories inbouwen die vervolgens niemand meer snapt, laat staan kan fixen. Dan loop je tegen problemen aan ja...
AIVD kenmerkt dat het steeds populairder aan het worden is om op overheidsinstellingen en behorende websites, malware c.q phishing te gebruiken. Dat houdt dus in dat de steeds meer websites die actief zijn toch serieus iets mee mis is dat dit uberhaubt lukt.

Dan moet je terug naar de overheid, en aan wie zij deze projecten uitbesteden. En daar ligt het probleem. Een goed gebouwde website met een goede vorm van beveiliging hoeft in jaren nog niet eens gehacked te kunnen worden, laat staan dat het mogelijk is iets te injecteren met bestanden, javascript of aanpassingen in de code plaats kan vinden.
AIVD kenmerkt dat het steeds populairder aan het worden is om op overheidsinstellingen en behorende websites, malware c.q phishing te gebruiken. Dat houdt dus in dat de steeds meer websites die actief zijn toch serieus iets mee mis is dat dit uberhaubt lukt.
Malware en phishing is gericht op medewerkers van overheden, niet direct op de websites zelf. Daarnaast wordt nergens gesproken over de hoeveelheid data die hiermee is buitgemaakt, noch over het aantal succesvolle aanvallen met phishing dan wel malware.
Een goed gebouwde website met een goede vorm van beveiliging hoeft in jaren nog niet eens gehacked te kunnen worden, laat staan dat het mogelijk is iets te injecteren met bestanden, javascript of aanpassingen in de code plaats kan vinden.
Dan vergeet je alleen dat de website in kwestie op software draait; er is meer in het spel dan de site alleen. Vanaf de bootloader tot aan de gebruikte serversoftware (Apache, nginx, IIS) kunnen exploits gebruikt worden waarmee een website om zeep geholpen kan worden. Je website kan nog zo goed beveiligd zijn, als deze op een XP bak draait (of Windows Server 2003 for that matter) dan wordt 'ie gehackt.

Tevens is geen enkele vorm van beveiliging waterdicht, hoe goed deze ook ontworpen is. Beveiliging ontneemt vaak gebruiksgemak; een gebruiker wil bijvoorbeeld niet bij ieder verzoek zijn of haar wachtwoord moeten invoeren. Daardoor worden concessies gedaan, wat het geheel weer minder veilig maakt. Moet het systeem met meerdere systemen praten, dan moeten ook daarvoor vaak concessies worden gedaan doordat deze systemen de laatste mogelijkheden nog niet ondersteunen.

Dan kan je gebruik willen maken van geadvanceerde beveiligingstechnieken, maar de zwakste schakel bepaald uiteindelijk hoe effectief deze in de praktijk zijn. Als dat een systeem uit '98 is, dan kan 'ie nog zo goed ontworpen zijn, maar hij is niet gebouwd op de hedendaagse technieken en mogelijkheden. En gezien de overheid een jaar of 10 achterloopt....
OpenSource of ClosedSourced maakt in dit geval niet uit. Het gaat om de kwaliteit van de software en niet om de licentie.
kiezen vaker voor opensource dan closed source, waarbij risico's met zich meekomen
huh?

Kijk, dat een luie programmeur risico's met zich meebrengt ben ik helemaal mee eens. Maar dat het iets te maken heeft met open source dat is de omgekeerde wereld. Van de volwassen open source projecten is keer op keer bewezen dat patches voor kwetsbaarheden sneller beschikbaar komen, dat de code kwaliteit hoger ligt, en dat de kans op achterdeurtjes vele malen kleiner is.

Dus als de programmeur een goede softwareselectie maakt, dan komt hij op open source code uit.
tja, dat is de keerzijde als ze alles zo opblazen en dramatiseren in het nieuws
zo krijg je massa's kiddies die denken "wahaha vet dat kan ik ook ezpz"

vroeger kwamen we op het idee van horen en spelen
nu is het de orde van de dag allemaal
lijkt me vanzelfsprekend dat je nog meer mensen zo nog meer op ideeŽn brengt
Ja en?

Vroeger kon je door het autoexec.bat bestand aan te passen leuke meldingen krijgen bij het starten van de computer.
Daar hoefde je echt geen ICT voor te bestuderen.

Decennia later blijkt dat een eenieder zonder al te veel kennis een PC kan binnendringen met een groot verschil,
in het verleden was internet minder gemeengoed en stonden er veel minder persoonlijke data op een PC .
no offense maar wat is dat nou voor een waardeloze vergelijking en argument

denk je dat er toen geen programmeurs waren?
dat er toen geen mailboxen en servers gehacked werden?
en daar naast
denk je dat social engineering en rotzooi vermommmen als iets anders modern is?
waar en wanneer denk je dat de term "trojaans paard" vandaan kwam?
ftp servers voll gecrackte of gehackte softwaren hadden we toen ook etc.

door het internet en nieuws zijn de zaken alleen geaccellereerd en gemakkelijker te vinden
en met die exposure krijg je weer meer geÔnteresseerden
dat is het punt die ik maakte
een simpelere uiting van het zelfde principe en punt is
monkey see monkey do

het is in elk geval in wezen niets echt nieuws nee

[Reactie gewijzigd door 500749 op 22 april 2015 18:07]

De AIVD heeft vastgesteld dat clouddiensten doelwit zijn van digitale spionage en dat buitenlandse inlichtingendiensten investeren in hun relatie met clouddiensten.

En de nederlandse inlichtingendiensten doen daar niet aan mee. Zij zijn de lievertjes van de klas natuurlijk.
Ja dat was het eerste wat me opviel. Wat een hypocrieten zeg. Ze hebben vaak genoeg toegegeven dat ze wel degelijk helpen met het bespioneren van Nederlandse burgers. En wat was ook alweer het land met de meeste telefoon taps? 8)7
AIVD is een inlichtingendienst die meer loyaliteit naar de VS heeft dan aan het eigen land. Keer op keer komen er misstanden aan het licht en dan moet een minister in de 2de kamer zich in alle bochten wringen om het goed te praten.
Of ze hebben het geld er niet voor.
Cybercrime wordt elke dag steeds groter omdat het de snelste manier is om geld te sluizen en accounts van anderen te achterhalen en om niet te vergeten bedrijfsgeheimen.
Hmm, een PDF rechtstreeks van "onze" AIVD downloaden... Lijkt me niet slim om dat zonder sandbox te openen.

-

[Reactie gewijzigd door Mocro_Pimpģ op 24 april 2015 22:35]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True