Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties

Het Nederlandse Fox-IT heeft een methode ontdekt om de Quantum Insert-hackmethode van de Amerikaanse geheime dienst NSA te detecteren. Met die hack brak de inlichtingendienst binnen bij de Belgische provider Belgacom.

Met Quantum Insert manipuleert de NSA een reguliere website, waardoor gebruikers van die site malware op hun computer krijgen. Bij Belgacom zou dat gegaan zijn om een besmette versie van LinkedIn. Fox-IT heeft Belgacom bijgestaan in het onderzoek naar de hack en kon zo een detectie verzinnen voor deze geavanceerde hack.

Het blijkt dat de besmette site twee tcp-packets met dezelfde sequence meesturen naar de gebruiker. Omdat de contentlengte van de 'besmette' payload op 0 staat, zorgt dat ervoor dat browsers de legitieme payload van de site negeren en alleen de besmette payload accepteren.

Door tcp-packets met dezelfde sequence te vergelijken, is te zien of het om een hackpoging van de NSA gaat. Soms sturen servers twee tcp-packets met dezelfde sequence, maar dan is de inhoud zo goed als gelijk. Zodra die verschilt, is het duidelijk dat het gaat om een aanval.

Diverse programma's kunnen Quantum Insert daardoor detecteren. Suricata kan het out-of-the-box, Snort kan het met een patch die Fox-IT op GitHub heeft gezet.

Fox-IT: Quantum Insert-detectie

Moderatie-faq Wijzig weergave

Reacties (73)

Fox-it vertrouw ik niet als het gaat om het detecteren van NSA activiteiten.

In een interview in de volkskrant staat het volgende: Gevraagd waarom hij het bestaan van Regin niet naar buiten had gebracht, zei Prins dat hij 'andere operaties van NSA/GCHQ in die landen niet had willen verstoren.

http://www.volkskrant.nl/...nage-voortduren~a3811339/

Een onderzoeker die loyaal is aan NSA daar heb je niet zoveel aan.
Ze hebben het onderzoek toch gedaan bij Belgacom? En de malware daar weggehaald? Nogal een kortzichtige opmerking...
kortzichtig ? nou dat valt wel mee.
Fox-IT verkocht hun tools aan regimes als Iran en Egypte.
Erg foute club met meerdere gezichten.
Heb je daar een bron voor?
Hier is in ieder geval wat leesvoer over de dubieuze activiteiten van Fox-IT: http://www.puscii.nl/blog...ng-kids-these-days?page=1
Heel interessant, dank! Wat een schobbejakken, nu denk ik heel anders over Fox-It.

Goh, wat toevallig dat die pagina net down is... ik kon hem wel nog lezen in Google's cache. En een link naar een ander artikel vanaf die pagina is ook onbereikbaar: http://wordpress.metro.cx...paces-fox-it-and-ohm2013/
Welke "clubs" zijn niet fout dan? Of je het nou aan Iran verkoopt of aan de UK/USA, het zijn allemaal even grote klootzakken wat dat betreft.
Wat heeft dat te maken met mijn reactie?
Ze moesten niet bij Belgacom zelf zijn maar vooral de dochter is geviseerd. BICS ( Belgacom Internation Carrier Services) die een van de grote spelers is op de wereldmarkt voor voice, ze leveren spraakdiensten aan 700 operatoren wereldwijd, dat intereseert de NSA natuurlijk.

http://nl.wikipedia.org/wiki/Belgacom_ICS
Nee het ging gewoon specifiek om BelgiŰ, Brussel je weet wel EU parlement, navo partners, han dig om al dat verkeer te kunnen afluisteren. Laten die nu vooral met Belgacom werken.
En toeval wil nu dat de EU en NAVO mensen vooral BICS gebruiken.
Is er eigenlijk een manier om compleet onder de radar van NSA te blijven?
ben niet echt expert op het gebied van "cybersecurity"

[Reactie gewijzigd door twancoable op 22 april 2015 20:36]

Ik kan maar 1 manier bedenken: postduiven of encryptie gebruiken waarbij je de sleutels persoonlijk met iemand (buiten internet/telefoon om) hebt afgesproken.

In de praktijk is het antwoord op je vraag dus eigenlijk: nee. VPN, https e.d. helpen inmiddels waarschijnlijk al niet zo veel meer. Maar dat is mijn inschatting...
Sterke en juist ge´mplementeerde encryptie is onkraakbaar, ook voor de NSA. De moeilijkheid ligt hem in het feit dat het voor ons nagenoeg onmogelijk is te bepalen welke technologieŰn (nog?) niet door hen ge´nfiltreerd zijn.
Ik ga ervan uit dat een gezonde en doordachte gegevensbeveiliging in 99% van de gevallen voldoende is.
Er speelt immers nog een context. Onder de radar blijven bij wat? Het kan onverstandig zijn om een oorlogsvoertuig te gebruiken om een pakje af te leveren. Om maar te zeggen dat overdreven beveiliging misschien juist de aandacht wekt.
Omdat de NSA wellicht grotendeels geautomatiseerde controles voert, is wellicht de gemakkelijkste manier om 'onder de radar' te blijven, gewoon verdwijnen in de massa. Een gewone auto heeft immers minder kans op extra controles dan een tank. Hoewel de NSA wellicht heel wat data verzamelt over Jan-met-de-pet, denk ik niet dat ze daar echt veel aan hebben. De analyse moet immers ook wat opleveren.
Als de doelstelling is om ervoor te zorgen dat NSA niks van je te weten komt, ben je wellicht te laat, tenzij je bereid bent om professioneel te verdwijnen (zoals in de films). En reken maar dat zo'n verdwijning, ook digitaal, opvalt.
De NSA kraakt (meestal) geen encryptie, maar maakt gebruik van "bypasses", mazen in de wet en (zelf gevonden) exploits in protocollen en software.

Encryptie is dus maar voor een klein deel relevant om je te beschermen tegen de NSA...

En "niet opvallen" voor de NSA is per definitie onmogelijk: het hele idee van het NSA-sleepnet is dat ze iedereen kunnen monitoren. De criteria voor wel en niet opvallen of wel en niet interessant zijn voor NSA zijn daarbij totaal onbekend.

[Reactie gewijzigd door GeoBeo op 23 april 2015 16:25]

Sorry maar als je echt denkt dat "gezonde en doordachte gegevensbeveiliging" in 99% van de tijd voldoende is om de NSA buiten te houden heb je het volgens mij niet helemaal begrepen.

Als de NSA ergens echt bij wil ga er maar gerust vanuit dat het ze uiteindelijk lukt.
Niet om ze buiten te houden. Dat was ook niet de vraag. De vraag was hoe blijf ik onder de radar... hoe val ik niet op. Als je alles in het werk gaat stellen om 'de NSA buiten te houden' val je wellicht juist op.
Overigens ben ik er wÚl van overtuigd dat je data tegen de NSA kan beschermen mits gezonde en doordachte gegevensbeveiliging. Dan gaat het om specifieke data (een set bestanden of een bepaalde communicatie), en dus niet het hele doen en laten van een persoon.
In 99% van de gevallen ben jij wellicht niet interssant genoeg om alle moeite van de wereld te doen om dit of dat over je te weten te komen en volstaat het dus goede beveiliging te hebben (waar ook de NSA behoorlijke moeite mee heeft)

[Reactie gewijzigd door the_stickie op 23 april 2015 13:33]

Als de NSA op je netwerk zit helpt geen enkele encryptie, en ook de postduif is dan ontbruikbaar als hij digitale media meeneemt. Je moet dus je netwerk- en computerbeveiliging perfect op orde hebben.
postduiven zijn te onderscheppen...
Er is meer dan alleen het IT aspect; ik denk eerlijk gezegd dat je geen schijn van kans hebt. Waarschijnlijk ben je als Amerikaans staatsburger nog het moeilijkste doelwit, omdat ze dan aan allerlei regels moeten voldoen, maar dan is het nog steeds de vraag of ze zich daar wel aan houden (het is natuurlijk heel eenvoudig om een bepaalde mogelijkheid geheim te houden (daar zijn ze nl. heel goed in)).

Als een dergelijke organisatie geen beperkingen heeft anders dan die opgelegd worden door het doelwit dan is er belachelijk veel mogelijk met hun budgetten.

Vergelijk het een beetje met oorlog voeren met de VS; zij komen aanzetten met hypersonic missiles en waar kom jij mee aanzetten? Juist ja.

Kortom, er wordt gewoon gehakt van je gemaakt. Beantwoord dit je vraag een beetje?

Om het een klein beetje te relativeren: de NSA heeft geen eigen chip foundry meer. Er zitten dus grenzen aan het budget en de kunde. Als je als eigenaar van die foundry een aantal aanpassingen zou doen aan die machines, dan zou je 'root' kunnen krijgen bij de NSA, maar aangezien dit landverraad zou zijn en nogal slecht voor de aandeelkoers is dit waarschijnlijk niet echt een populaire actie (nog afgezien van de complexiteit van een dergelijke aanval (deze aanval bestaat pas een paar jaar)).
Mja. Een foundry heb je niet echt nodig om zelf hardware te maken, inclusief chips. Fpga’s zijn tegenwoordig retesnel en veel flexibeler dan een custom asic. Het hebben van een eigen fabriek, sluit ook niet uit dat een (externe)fabrikant zou kunnen helpen de NSA te tacklen. Het helpt wel voor de geimhouding van eigen snode plannen.
Als je confrontatie aangaat met de NSA, ga je de confrontatie aan met een overheidsbudget... gehaktmolen ;)
In China gaan wonen en door de Chinese overheid gemaakt Linux distro gaan draaien. Die hebben waarschijnlijk wel van de eerste tot de laatste line ge-audit voor NSA trucjes.

Niet dat ik dat zou aanraden.

Obscure apps gebruiken enz. heeft waarschijnlihk nog het meeste effect, hoewel niet veel.
In een minder extreme maatregel zou je ongebruikelijke software op ongebruikelijke hardware kunnen draaien. De NSA heeft geen onbekerkte budgetten en kan niet alle hard- en software van achterdeurtjes voorzien. Als je dan ook nog de bekende privacyvergieten als Google, Facebook, Amazon mijdt... dan kan het wel eens zo zijn dat iemand bij de NSA knarsentandend moet constateren dat ze over die persoon uit Nederland opvallend weinig gegevens kunnen vergaren.
Ik weet niet wat erger is: NSA of Chinese overheid.
Ik stem op degene die github DDoS'd.
Ja, door alle technologie te dumpen en geen gebruik meer te maken van internet. Dan maak je ze het nagenoeg onmogelijk om je te volgen. (Vanuit Amerika dan, dan sturen ze een mannetje hierheen ;) )
In mijn ogen is het zo dat als de NSA jou specifiek willen volgen dat ze dat toch wel kunnen.
Dat is nu net geen oplossing: Iedereen moet toch communiceren. Als iemand geen internet dan zijn ouderwetse middelen als een klassieke telefoontap en het onderscheppen van post nog altijd mogelijk.
Misschien is wickr.com iets voor je.
een pc zelf bouwen en installeren, nooit op internet aansluiten. mocht er dan iets van spy-ware in windows zitten dan kunnen ze er toch niet bij.

ow ja, ook niet een usb of anders gegevens dragend aansluiten. :+ wie weet wat daarmee binnen komt met de tech van tegenwoordig.
Een goede reden om ook voor niet-privacygevoelige websites https te gebruiken.
Heeft LinkedIn geen https? Of was dat toen tijdens de hack nog niet ge´mplementeerd?
Ik hoop alleszins dat https dit oplost.
Https lost dit op tot het niveau dat je een van de volgende hacks moet hebben:
- Mogelijkheid certificaten bij de client toe te voegen.
- Mogelijkheid prive-deel van certificaat van server te halen.
- Mogelijkheid om een bestaande root-CA certificaten te gebruiken om een 2e set certificaten te maken.

Daarnaast een volledig MitM aanval, waar veel uitgebreidere netwerktoegang voor nodig is en veel meer processorpower.

Aka een veel lastiger en vooral duurdere actie.
Ja, want de NSA zal vast geen intermediate CA certificate van bijvoorbeeld Verisign, Equifax of Comodo hebben. RapidSSL en GeoTrust zijn enkele intermediate CA providers. Deze partijen hebben geen 'root' CA certificaat in jouw browser*. Maar gebruiken een certificaat welke als parent een van de root certificaten heeft. Officieel moet een CA de authenticiteit van de aanvraagde partij controlen, maar dit is tegenwoordig vooral een administratieve afhandeling. Vandaar dat men ook met EV-SSL certificaten is gekomen, welke een sterkere screening zou hebben.

De NSA had samen met hun Britse collega's taps op verschillende VS-EU netwerk verbindinen. Daarmee is een MitM attack eigenlijk heel erg simpel. En net zoals Iran via DigiNotar 'uitgegeven' google.com certificaten gmail kon onderscheppen, zo kan de NSA op die manier ook eenvoudig jouw communicatie onderscheppen. En er zullen weinig browser fabrikanten zijn welke de 'ballen' hebben om Verisign, Equifax of comodo op de blacklist te zetten. Het zal mij niet verbazen als deze drie partijen gezamenlijk direct of indirect (via 'trusted' partners) meer 60% van de SSL certificaten wereldwijd heeft ondertekend.

Voor bedrijfsnetwerken wordt dergelijke software al ingezet bij gateways/proxies om te controleren of een url wel bezocht mag worden. Bij dat soort netwerken wordt meestal via group policies een eigen 'ca' certificate in de trusted lijst opgenomen zodat men on-the-fly certificaten kan aanmaken en de gateway een tap-punt heeft. De gateway onderschept de HTTPS request (via het IP weet je welk domein (reverse IP records) bezocht wordt) en zet de gateway een tweede verbinding op met de server welke jij eigenlijk wou bezoeken en zullen in principe alle requests 1-op-1 doorsturen.

Vergeet ook niet dat Belgacom ook de telefonie voor de EU/EC verzorgt..

edit: *) GeoTrust heeft sinds enkele jaren een eigen root CA certificaat. Certificaten uitgegeven voor 2011 zijn nog wel gechained met het Equifax root certificaat.

[Reactie gewijzigd door Niemand_Anders op 23 april 2015 05:23]

Natuurlijk heeft de NSA die, en veel andere partijen ook, maar MitM is lastig op 'lokale' verbindingen en redelijk duur omdat je veel meer power nodig hebt om 1 verbinding te onderbreken en te bewerken dan dat er nodig is er heel veel 'passief' te manipuleren met de in het nieuwsbericht omschreven aanval.

Kost meer budget, dus wordt minder toegepast.
Geld is het enige wat nog boeit, dus als er alleen encryped verkeer is wat allemaal via MitM afgetapt moet worden is:
a: De kans dat 'het publiek' erachter komt door fouten van browsers etc veel groter.
b: Het is belachelijk veel duurder, ipv een flinke raid die data wegschijft heb je opeens een computercluster nodig formaat datacenter.
c: Het is niet op 'afstand' te doen zonder op te vallen (door op een switch/router binnen te dringen).
Als je initieel de verbinding maakt via HTTP, dan ben je gewoon kwetsbaar, ook al volgt er vanuit LinkedIn daarna een redirect naar HTTPS, dan is het kwaad al geschied. En zelfs met HTTPS ben je niet 100% veilig.
Initieel met HTTP is HTST voor bedacht.
Is een HTTP header met daarin 'voor de komende xxx tijd (bijv 20+ jaar) alleen contact opnemen via HTTPS.
Je browser onthoudt dat dan.

Is een lapmiddel, want de eerste verbinding blijft HTTP, maar de volgende keren zou je browser geen http moeten proberen.
En het is afhankelijk van de tijdinstelling van de browser omdat HTST een timeout waarde heeft. Controle over een NTP server of NTP verkeer kan de tijd van de browser be´nvloeden en een HTTP request afdwingen.
Je mag toch wel hopen dat wanneer iemand dan NTP spooft met "Het is nu 20 jaar later dan je dacht, wat heb jij een belabberde realtime clock in die PC", dat de NTP-client danwel die bron stilletjes negeert en de clock laat was 'ie is, ofwel met een melding komt, "Goh, wist je dat het al 2035 was? Ik ook niet. Zullen we de clock aanpassen?"
En zelfs met HTTPS ben je niet 100% veilig.
dat ben je nooit, zelfs de meest paranoia organisatie ter wereld, de NSA zelf niet, dat heeft snowden wel bewezen :P het is maar hoe kwetsbaar je je wilt opstellen en waar je je niets van wil aan trekken.
Is het dan ook bekend waarom de NSA het nodig vond om in Belgacom binnen te dringen?
Waarschijnlijk omdat Belgacom een niet onbelangrijke rol speelt in het internationaal telefoonverkeer (in het bijzonder in het midden-oosten). De details over Belgacom's internationale rol hebben ten tijde van het ontdekken van de hack vrij uitgebreid in de media gestaan, dus als je geinteresseerd zou zijn in de details, dan kan Google je wel helpen. ;-)
het was te doen om een onderdeel van belgacom die wereldwijd diensten verleent aan andere carriers (bics). Door bij belgacom in te breken kregen ze waarschijnlijk toegang tot alle netwerken van die klanten.


Hier meer info

http://www.pcworld.com/ar...carrier-services-arm.html
Lijkt mij om al het verkeer in Brussel te onderscheppen. Dan heb je dus de Europese Unie en de NAVO al te pakken.
Gewoon, meer data is beter. Dus zoveel mogelijk overal binnendringen is de beste optie. Belgacom is gewoon n=1.
Denk niet dat de NSA random Pietjes-bloemenwinkel.nl aanvalt en dan toevallig ook Belgacom maar even doet, daar zit wel wat logica in. In dit geval bics, een onderdeel van Belgacom wat zo'n 700 clienten heeft waardoor je extreem veel bereik hebt als geheime dienst.
Belgacom zelf was daarmee niet erg belangrijk, maar had blijkbaar zo via hun netwerk toegang tot bics.
De link staat in het artikel
aftapsoftware op systemen van Belgacom-medewerkers hebben geplaatst
Geweldig, maar ...

Dat zal de NSA Fox IT waarschijnlijk niet in dank afnemen.
Wij moet het de NSA wel in dank afnemen? Ik vind het een vreemde redenatie!
Wat vind je precies vreemd aan mijn redenatie?

Ik vind zeker niet dat we het de NSA wel in dank moeten afnemen, maar daar deed ik in mijn bovenstaande post geen uitspraak over.
Waarom vindt de VS het gerechtvaardigd om bondgenoten te bespioneren?
Omdat zij de superieure economische grootmacht zijn en dat zo willen houden.

Uit de Snowden files blijkt dat ze uranium over de hele wereld tracken. Waar het uit de mijn komt in Congo en vervolgens wie het probeert te verkopen.
De VS controleert gans de wereld en hun belangen staan voorop.
De VS controleert gans de wereld en hun belangen staan voorop.
Maar ze zeggen dat ze de wereld willen verbeteren 8)7
Ze willen de wereld verbeteren voor hen. ;)

En eigenlijk maar logisch ook hÚ. De rest is gewoon te dom om er niks aan te doen. Nederlanders hebben ook liever dat het goed gaat in Nederland dan het goed gaat in RoemeniŰ; en de Roemenen zullen daar anders over denken.
Economische spionage wordt door alle overheden gedaan. Ik mag hopen dat de AIVD dit ook bij de VS doet en actief probeert in te breken bij alle Amerikaanse bedrijven die iets interessants doen.

Als ze dit niet doen, dan vraag ik me eigenlijk af waarom we ze nog hebben. "Terrorisme" gebeurt nu toch niet elke dag en al zou het een keer per dag gebeuren, dan is het nog steeds de vraag of dit economisch wel opweegt tegen de kosten.

De kosten/baten analyse komt gewoon niet uit als het enige doel van de AIVD terrorismebestrijding en "veiligheid" in het algemeen zou moeten zijn. (Deze berekening kun je zelf ook heel eenvoudig doen met kennis uit openbare bronnen.)
Dus jij denkt werkelijk dat "al zou het een keer per dag gebeuren", als er elke dag een aanslag in Nederland wordt gepleegd dit geen zwaar negatieve gevolgen heeft voor onze vrijwel gehele economie? Dan ben ik wel benieuwd op welke openbare bronnen jij deze uitspraken baseert.
Hoe denk je dat er beleid wordt gemaakt?
Triest dat we in een tijd leven waar de overheden die ons zouden moeten beschermen onze privacy aanvallen met malware, en dat de "hackers" die overheden demoniseren daar fixes voor moeten verzinnen. De omgekeerde wereld.
Triest dat we in een tijd leven waar de overheden die ons zouden moeten beschermen onze privacy aanvallen met malware, en dat de "hackers" die overheden demoniseren daar fixes voor moeten verzinnen. De omgekeerde wereld.
Dat is van aller tijden, overheden beschermen niet vooral de burgers maar vooral de economisch/politieke "zeg maar hapklare brokjes" ideologie, die voor de desbetreffende regio het meest acceptabel is.

En ja daar bedoel ik mee dat politici het eigenbelang vooropstellen.
Laat ze lekker gaan, als ze hierdoor ook maar 1 terrorist pakken die het voorzien had op ons land vind ik het best.

Als we allemaal zo bang zijn om onze privacy gooi je pc weg gooi je telefoon weg stop je geld in een sok vermijd alles waar je gegevens achterlaat.

Parano´de gedoe allemaal.
Wat moet ik me voorstellen bij een "passive sensor tipshooter"? (filmpje) Een gehackte switch/router?
Edit: hier kan je de info vinden.

[Reactie gewijzigd door lampstoelkast op 22 april 2015 19:43]

Gehacked, fysieke toegang tot een datalijn, of toegang via officiele weg zonder toestemming tot die switch/router.
hoelang duurt het voordat nsa hier om heen (al?) kan?
Daar omheen kunnen vereist een stuk uitgebreidere toegang tot een systeem.

Pakketten live aftappen en pakketten injecteren is bijna altijd mogelijk op standaard netwerkapparatuur.
Pakketjes laten verdwijnen vereist real-time analyse van alle pakketten, dat is al snel veel te zwaar om 'even' op de bestaande hardware erbij te doen zonder dat de snelheid ver omlaag gaat.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True