'Duits parlement krijgt malware al maand niet verwijderd'

De Duitse Bondsdag kampt na vier weken nog altijd met de gevolgen van een aanval op zijn netwerk en krijgt malware zoals Trojaanse paarden niet verwijderd. Dat claimt Der Spiegel. Mogelijk moeten systemen niet alleen van nieuwe software, maar ook van andere hardware voorzien worden.

Bundestag De Trojaanse paarden zouden een maand na de ontdekking van de aanval op het netwerk van het Duitse parlement nog altijd actief zijn, zeggen meerdere bronnen tegen Der Spiegel. In parlementskringen zou al van 'totalschaden' gesproken worden en mogelijk is een volledige herinstallatie niet voldoende maar moet ook hardware vernieuwd worden om echt van alle malwaresporen verlost te worden.

Een deel van het verkeer van het parlement zou al via het netwerk van de regering omgeleid worden. Dat netwerk zou beter beveiligd zijn. Donderdag gaat een speciale commissie van de Bondsdag beslissen hoe het 'Parlakom'-netwerk weer opgebouwd kan worden. Dan moet ook de beslissing vallen of spionage-experts van de overheid ingeschakeld worden voor verder onderzoek en bescherming. Dat ligt politiek gevoelig in Duitsland: sommige partijen maken er bezwaar tegen om toegang tot hun systemen te geven.

Eerder lieten bronnen van Der Spiegel weten dat er indicaties zijn dat Russische hackers achter de aanval zitten. Onduidelijk is nog of systemen met gevoelige informatie zijn getroffen.

IT-banen

Reacties (86)

Verwijderd 10 juni 2015 19:40

Hardware vervangen? Wat is dat voor onzin? Laatst wel wat gelezen over BIOS exploits, maar dan moet er fysiek mee geknoeid zijn. Ik zou zeggen een grote wipe, alles loskoppelen en stap voor stap weer configureren op een apart LAN. Los van de trojaanse paarden en malware is een proxy voor het parlement wel netjes.

Als ze nou netjes een firewall inrichten en daarop het verkeer monitoren, is er toch niets aan de hand? Of huur iemand in die alle mails en het verkeer gaat controleren, misschien goedkoper dan alles vervangen.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:30]

robvanwijk

Netwerk en systeembeheer

@Verwijderd • 10 juni 2015 21:21

Hardware vervangen? Wat is dat voor onzin? Laatst wel wat gelezen over BIOS exploits, maar dan moet er fysiek mee geknoeid zijn.

Geen onzin, bittere noodzaak. In theorie heb je natuurlijk gelijk, maar helaas hebben criminelen de vervelende gewoonte om zich niet aan de regeltjes te houden...

Pak een computer, waar niemand fysieke toegang tot gehad heeft, maar wel malware op heeft gestaan.
Flash (voor de zekerheid) een schone bios erin.
Controleer (voor nog meer zekerheid) via de TPM-chip de bios, antwoord: "schoon".

Begrijp ik goed dat jij vindt de parlementariërs hun vertrouwelijke gegevens weer aan deze machine toe kunnen vertrouwen? Want dat is helaas niet zo... Kijk maar eens naar deze demonstratie: https://www.youtube.com/watch?v=ts3zH7wvYRs (de hele presentatie duurt een uur; als je in twee minuutjes alleen de demo wilt bekijken, spoel door naar 41:00) van een bios rootkit die zichzelf kan verbergen én een reflash overleeft.

[Reactie gewijzigd door robvanwijk op 27 juli 2024 20:30]

Verwijderd @robvanwijk • 10 juni 2015 21:32

Ja en nee. De TPM chip was inderdaad uit te lezen een tijd geleden. Dan is het de vraag, hardware vervangen hiervoor? Alsnog zeg ik nee. Het lijkt mij bijzonder sterk dat jij in de gebruikersomgeving toestaat dat de BIOS bijgewerkt mag worden?

Quote:
"The method is wicked-hard, involving removal of the chip’s case and top layer, then tapping into a data bus to get at unencrypted data. The chip still has some tricks up its sleeve and includes firmware traps that keep a look out for this type of attack, shutting down if it’s detected."

Black Hat verteld meestal veel over de mogelijkheden en wat er eventueel kan, nog niet eens met zekerheid en het is in dit geval omslachtig. De exploit werkt inmiddels niet meer zo makkelijk in 8.1, nog even los hiervan de vraag of ze Windows 8 enTPM gebruiken en of de gebruikers uitvoerbare rechten hadden voor executables etc.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:30]

robvanwijk

Netwerk en systeembeheer

@Verwijderd • 10 juni 2015 22:00

Ja en nee. De TPM chip was inderdaad uit te lezen een tijd geleden. Dan is het de vraag, hardware vervangen hiervoor? Alsnog zeg ik nee. Het lijkt mij bijzonder sterk dat jij in de gebruikersomgeving toestaat dat de BIOS bijgewerkt mag worden?

Ik heb geen idee wat je bedoelt met "De TPM chip was uit te lezen"...!? Ik heb het over het gebruiken van de TPM (de "Trusted Platform Module") om, via de PCRs, te controleren of er niet met de inhoud van de bios is gerommeld (en, zodra je eenmaal de bios vertrouwt, vanaf daar een "chain of trust" te bouwen naar het OS).
En nee, natuurlijk mag de bios niet geflashed worden... maar we weten allemaal dat flash programmaatjes, net zoals zo ongeveer alle andere code, bugs bevat. Een belangrijk onderdeel van het probleem is dat je, zodra je eenmaal een backdoor het bios in gekregen hebt, het niet meer uitmaakt of de bug daarna gefixed wordt; die backdoor blijft lekker zitten... behalve op een nieuw systeem, dat al sinds de fabriek de nieuwste versie heeft, waar geen (bekende...) bugs inzitten.

Quote:
"The method is wicked-hard, involving removal of the chip’s case and top layer, then tapping into a data bus to get at unencrypted data. The chip still has some tricks up its sleeve and includes firmware traps that keep a look out for this type of attack, shutting down if it’s detected."

Waar komt die quote vandaan? Het klinkt alsof het gaat over het openmaken van een chip en iets (de sleutels??) eruit halen. Dat zijn heel indrukwekkende kunstjes... maar ze vereisen fysieke toegang, zijn destructief en duren lang (niet iets wat iemand zomaar over het hoofd ziet).
De methode waar ik naar linkte werkt ook remote (beter gezegd: software-only; je moet wel malware opgestart krijgen), is niet-destructief en heeft alleen één reboot nodig, dat moet wel lukken zonder dat er alarmbellen afgaan.

Black Hat verteld meestal veel over de mogelijkheden en wat er eventueel kan, nog niet eens met zekerheid en het is in dit geval omslachtig. De exploit werkt inmiddels niet meer zo makkelijk in 8.1, nog even los hiervan de vraag of ze Windows 8 enTPM gebruiken en of de gebruikers uitvoerbare rechten hadden voor executables etc.

Heb je überhaupt gekeken naar de presentatie die ik linkte? Het is geen theoretische mogelijkheid, ze toonden een werkende demonstratie!

De exploit zat in het tooltje dat het bios flasht; je OS upgraden heeft daar geen enkele invloed op.

Het is helemaal niet de vraag of ze TPM gebruikten; een groot deel van de reden waarom ze de presentatie hielden was nou juist precies om aan te tonen dat ze om de TPM heen kunnen werken.

En ja, ze moesten inderdaad een programmaatje draaien, maar in de context van dit artikel (waar malware een maand lang over het hele netwerk rondrent) denk ik dat de daders zich daar niet bepaald door tegen laten houden...

[Reactie gewijzigd door robvanwijk op 27 juli 2024 20:30]

Verwijderd @robvanwijk • 10 juni 2015 22:12

Nogmaals, het is heel omslachtig. Google eens even rond op de TPM exploit. Het is gebakken lucht. Wil je hierin iets voor elkaar krijgen, dan is het nu vrijwel onmogelijk. De tekst is de methode om de cryptografie uit te kunnen lezen (Black Hat 2010). Ik kan jou ook een executable sturen om je BIOS bij te werken met een mooie flashtool erin. Kan jij die zomaar draaien met een useraccount?

Ik bedoel meer, het is allemaal groter gemaakt dan dat het is...

De gebruikers moeten de tooltjes wel kunnen openen of het virus moet wel de rechten hebben om een TPM Chip uit te lezen. Eventueel met UEFI is het ook mogelijk. Bronnen/Videos met allerlei demo's met installaties/adminrechten etc. zal waarschijnlijk ( hoop ik echt

) niet zo geconfigureerd zijn op de omgeving.

- Geen BIOS wachtwoorden
- Geen Bitlocker
- Adminrechten zijn toegewezen
- UEFI Toegang moet mogelijk zijn

En zo kunnen we wel even doorgaan.
Als het echt om Trojaanse Paarden gaat, tja dan is het al helemaal een ander verhaal.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:30]

koelpasta @Verwijderd • 11 juni 2015 02:04

De tekst is de methode om de cryptografie uit te kunnen lezen (Black Hat 2010).

Eeh,. das dus informatie van 5 jaar geleden. Alsof er na die tijd geen nieuwe exploits zijn gevonden.

Verwijderd @koelpasta • 11 juni 2015 07:03

Dat klopt, er is een nieuwe manier, bijvoorbeeld die van Rob. Bekijk mijn reactie daarop eens. Het kan niet zomaar op een netwerk toegepast worden.

De aanval die Rob bedoelt, is gericht op het flashen van de BIOS met daarin een exploit. De gebruikers daar hebben echt geen rechten om dat uit te voeren, als dit normaal is ingericht

koelpasta @Verwijderd • 11 juni 2015 08:18

Dan maak jij onterecht de aanname dat alles 'normaal' is ingericht.
Zeer slecht argument.
Je maakt ook het argument dat omdat jij geen exploit kent er ook geen kan zijn geweest.
En ook dat is een zeer slecht argument.
Het hele idee van bijvoorbeeld een 0-day kwetsbaarheid is dat ie relatief 'vers' en onbekend is.

Weet je uberhaupt wel welke OSen er gedraait werden in die omgeving? Lijkt me namelijk cruciaal voordat je kan roepen dat er geen exploit bestaat of dat rechten gehonoreerd worden.

Verwijderd @koelpasta • 11 juni 2015 11:16

Nee, niet mee eens. Het gaat om Trojan Horses, geen 0-day exploits. Er komen nu allemaal termen voorbij los van het huidige probleem die ze bekend hebben gemaakt.

Ik weet niet wat voor operating systems ze hebben draaien aan de gebruikerskant, zelf denk ik gewoon Windows, dat is een aanname.

De spyware is bekend, dus het heeft niets te maken met 0-day kwetsbaarheden. Ze krijgen het gewoon op een of andere manier niet weg.

koelpasta @Verwijderd • 11 juni 2015 15:53

Nee, niet mee eens. Het gaat om Trojan Horses, geen 0-day exploits.

Dat zijn twee losse dingen. Een trojaans paard kan prima 0days bevatten om zich mee te nestelen en/of voort te planten.

De spyware is bekend,

Lijkt me sterk want dan hadden ze er geen maand over gedaan. Tenzij het erg nasty is en bijvoorbeeld onbekende 0-days gebruikt om in leven te blijven.

robvanwijk

Netwerk en systeembeheer

@Verwijderd • 12 juni 2015 13:35

De aanval die Rob bedoelt, is gericht op het flashen van de BIOS met daarin een exploit. De gebruikers daar hebben echt geen rechten om dat uit te voeren, als dit normaal is ingericht

... EN als er geen fouten in de beveiliging zitten!
Maar dat is echt een ontzettend krom argument: de malware is kennelijk de computer binnengekomen (dus dan moet er ergens al een gat in de beveiliging zijn geweest), maar dat maakt niet uit, want de BIOS is beveiligd (en om de een of andere reden is die beveiliging waterdicht)...!?

Je zou een punt hebben als de write-pin op de BIOS-chip fysiek geblokkeerd is (bijvoorbeeld via een jumper op het moederbord). Als dat soort moederborden überhaupt al bestaan, dan betwijfel ik of ze veel gebruikt worden; dolle pret voor de IT-afdeling als er een BIOS update uitgerold moet worden...

robvanwijk

Netwerk en systeembeheer

@Verwijderd • 10 juni 2015 22:26

Nogmaals, het is heel omslachtig.

Het schrijven van de code (om het nog maar niet over het debuggen ervan te hebben), ja, da's veel en lastig werk. (Zou erg zijn als het makkelijk was!) Maar zodra je het eenmaal aan de praat hebt is het daadwerkelijk installeren op de computer(s) van je slachtoffer een eenvoudig en snel klusje, waar je alleen code execution rechten voor nodig hebt. Ik ben met je eens dat dat niet genoeg zou moeten zijn, maar ja, c'est la vie...

Ik heb overigens steeds meer het idee dat jij aan een andere aanval denkt dan degene waar ik het over heb en dat we daarom langs elkaar heen praten.

koelpasta @Verwijderd • 11 juni 2015 08:31

Kan jij die zomaar draaien met een useraccount?

Ja, er zijn meerdere manieren voor meerdere versies van windows om zooi met geescaleerde rechten te draaien.

narotic @Verwijderd • 10 juni 2015 19:49

Als je erover nadenkt dan is het zo gek nog niet hoor. Er kan met het BIOS of UEFI geknoeid zijn, maar ook met de firmware van de HDD/SSD of de firmware van vrijwel elke kaart (bijv. NIC). Ook USB is niet veilig. Wat voor apparatuur hou je dan nog over?

Voorbeelden te vinden met 2 minuten Google:
NIC: http://theinvisiblethings...network-cards-or-why.html
UEFI: http://www.decryptedtech....through-the-windows-8-api
HDD: http://arstechnica.com/in...ate-a-pervasive-backdoor/
USB: http://www.infoworld.com/...-hackers-wont-use-it.html

Tenzij ik me vergis heeft geen van deze voorbeelden fysieke toegang tot de computer nodig.

[Reactie gewijzigd door narotic op 27 juli 2024 20:30]

Verwijderd @narotic • 10 juni 2015 20:28

Er is altijd een mogelijkheid dat er misbruik van software gemaakt kan worden. Magician van Samsung misschien in de toekomst of in dit geval de software van WD. Het virus kan zich nestelen in de softwarepakketten en hierdoor de controller aansturen. Voor USB is er altijd fysiek een actie nodig voor zover ik kon vinden.

De "hacks" gaan altijd in combinatie met lokale hardware of aanpassingen, indien de gebruiker daar rechten voor heeft. Als het gaat om een netwerk, lijkt mij dit voorbeeld niet helemaal van toepassing. Ze zullen waarschijnlijk Windows gebruiken, waardoor je minder snel toegang hebt tot de root van de werkstations. Als ze Windows 8 gebruiken inclusief Secure Boot, dan is het linkje al niet meer van belang.

Gek is het niet! Ben ik met je eens

Verwijderd @Verwijderd • 10 juni 2015 21:07

Low level exploits. Iemand die het parlement aan wil vallen heeft echtwel knowledge en expertise daarvoor.

Verwijderd @Verwijderd • 10 juni 2015 21:19

Waarschijnlijk een schoonmaker die 's avonds elke keer even een paar schijven cloned en vervangt door eigen exemplaren met exploit zodat het netwerk constant vervuilt raakt

joepurlings @Verwijderd • 11 juni 2015 11:56

Tja... daarvoor hadden ze toch ooit van die via de BIOS bediende slotjes in de kast?

koelpasta @Verwijderd • 11 juni 2015 08:35

Magician van Samsung misschien in de toekomst of in dit geval de software van WD. Het virus kan zich nestelen in de softwarepakketten en hierdoor de controller aansturen.

Waarom zo omslachtig er vauitgaan dat die software aanwezig is?
Je kan toch veel beter de desbetreffende routines uit de tools slopen en integreren in de malware? De kernel toegang kun je zelf via een exploit regelen.

De "hacks" gaan altijd in combinatie met lokale hardware of aanpassingen, indien de gebruiker daar rechten voor heeft.

Aannames die je volgens mij niet kunt staven omdat je de specifieke situatie daar niet kent.

mad_max234 @narotic • 10 juni 2015 22:13

Kwestie van bios rom verifiëren tegenover de originele rom, elke rom programmer kan dat.

Edit/
Bedenk me ineens dat er al heel lang geen vervangbare roms chipjs meer gebruikt worden, geen programmer nodig.

Rom uitlezen en hex/binary vergelijken met die van de originele rom.

[Reactie gewijzigd door mad_max234 op 27 juli 2024 20:30]

narotic @mad_max234 • 10 juni 2015 22:16

Uiteraard kun je de ROM van elk apparaat fysiek uitlezen en controlleren. Maar het is vrijwel zeker een stuk goedkoper en sneller om gewoon alle apparaten te vervangen.

hardwareaddict @narotic • 11 juni 2015 21:36

Die zijn ook in no time weer totaal platgehackt door paar duizend inlichtingendiensten en dienstjes want er valt heel veel te halen.

Ze proberen het gewoon. En dan zijn de JPMorgans en andere commerciele inlichtingendiensten nog de simpele visjes in de vijver

Met zo'n enorm grote buit in het vooruitzicht krijg je dit natuurlijk nooit veilig met massahardware. Het laat wel zien hoe ontzettend lek de goedkope hardware is die in de winkel ligt en die we allemaal gebruiken.

laptopleon @narotic • 12 juni 2015 00:53

Het hoeft de ROM niet te zijn maar hoe het ook werkt: Je zou denken dat ook het controleren/verhelpen te automatiseren is. Het ligt er aan om hoeveel computers het gaat, maar alles vervangen loopt ook al snel in de papieren.

Maar daarmee is het probleem niet opgelost, want niets weerhoud de hackers ervan de nieuwe hardware weer even snel te besmetten.

Het lijkt me daarom, dat men hoe dan ook uit moet pluizen hoe die exploit werkt. Dat blijkt flink lastig te zijn, maar het is niet anders.

Zelfs als iets is wat als 'extra hardware' zit ingebakken vanuit de fabriek of leverancier, wil je dat eerst uitzoeken, zodat je kan voorkomen dat dat weer gebeurt.

(edit: spelfout)

[Reactie gewijzigd door laptopleon op 27 juli 2024 20:30]

narotic @laptopleon • 12 juni 2015 01:08

Je zou denken dat ook het controleren/verhelpen te automatiseren is.

Het probleem is dat de firmware zelf vaak verantwoordelijk is voor het uitlezen van de firmware, zodat je de image die je via programma's uitleest natuurlijk niet kunt vertrouwen. Het enige alternatief is dan om de ROM te verwijderen en hardwarematig uit te lezen... en dit voor elk apparaat afzonderlijk.

Voor systeembeheerders werd het altijd aanbevolen om na een hack niet slechts de infectie proberen te verwijderen, maar het hele systeem opnieuw op te zetten omdat het niet meer te vertrouwen valt (rootkits e.d.). Het lijkt er inmiddels op dat als je een slachtoffer bent van staats (gesponsorde) hackers, dat je dan ook alle hardware mag vervangen vanwege dezelfde reden.

laptopleon @narotic • 12 juni 2015 01:47

Akkoord (dat de firmware niet te vertrouwen is qua uitlezen van zichzelf) …maar normaals: Hoe weet je dan, dat een nieuwe computer niet weer precies dezelfde (staats-gesponsorde) geïnfecteerde ROM bevat?

Dat weet je niet. Dat kun je nooit zeker weten zonder controle.

Stuk voor stuk de ROM verwijderen en hardwarematig uitlezen zal best onhandig zijn, maar hoe weet je anders zeker wat er in de ROM staat?

fevenhuis @narotic • 10 juni 2015 21:02

Ik denk eerder dat ze doelen op het hele Windows 8 & TPM 2.0 verhaal.

CAPSLOCK2000

Netwerk en systeembeheer

@Verwijderd • 10 juni 2015 19:52

Hardware vervangen? Wat is dat voor onzin? Laatst wel wat gelezen over BIOS exploits, maar dan moet er fysiek mee geknoeid zijn.

Er is veel meer mogelijk dan alleen de BIOS. Tegenwoordig heeft zo'n beetje ieder stuk hardware firmware die te updaten is. Aanvallers kunnen dat ook doen en daar hun rommel in verstoppen. Ook de tijd dat een BIOS alleen te vervangen was als je fysieke toegang had is voorbij. Moderne systemen zijn vanuit het OS te flashen.
Zie voor een voorbeeld dit artikel over hoe de NSA de firmware van een HD heeft aangepast om malware te verbergen: http://www.wired.com/2015/02/nsa-firmware-hacking/

Verwijderd @CAPSLOCK2000 • 10 juni 2015 20:00

Het zou kunnen als er bepaalde software wordt meegeleverd om de HDD's of SSD's aan te sturen, ze zouden dan misbruik kunnen maken van die applicatie om alles te regelen vanuit de controller. Dit zou goed geregeld moeten zijn met een SAN, zeker als het een parlement betreft.

Los hiervan zie ik veel USB exploits langskomen, nergens kan ik een bron vinden van softwarematige aanvallen of lekken die dit kunnen overnemen. (vanuit windows)

@trommelrem Dit is niet meegeleverd en kwam door een aanval, zie artikel.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:30]

narotic @Verwijderd • 10 juni 2015 22:14

Software als Magician of WD software is helemaal niet nodig, ze hoeven immers alleen de communicatie om de firmware te overschrijven te repliceren.

Wat betreft USB zou ik je aanraden naar BadUSB te kijken (of de BlackHat slides). BadUSB is een proof of concept voor een aantal USB sticks, maar er is geen enkele reden om aan te nemen waarom hetzelfde ook niet met andere USB apparaten zou werken. Sterker nog, een van gevaren die de slides aangehaald wordt is dat een USB apparaat hergeprogrammeerd kan worden om zich als een ander type voor te doen (bijv. een toetsenbord of een netwerkkaart). Dat geeft dus bijvoorbeeld mogelijkheden om het BIOS binnen te komen tijdens booten of om netwerkinstellingen aan te passen.

In het kort komt het er simpelweg op neer dat elk apparaat wat een firmware bevat dat overschreven kan worden mogelijk besmet is. Firmware files zouden met assymetrische encryptie versleuteld en geverificieerd kunnen worden, maar dat is nog geen gemeengoed en in de praktijk worden ook dat soort beveiligingen vroeg of laat omzeild.

Het grote probleem met geinfecteerde firmware is dat de enige betrouwbare opsporingsmethode is om de ROM via hardware uit te lezen. Als je zoveel moeite moet doen om de veiligheid van elk apparaat vast te stellen, dan is het waarschijnlijk een stuk goedkoper om gewoon alles te vervangen.

Verwijderd @narotic • 10 juni 2015 22:18

Ik wil hier liever niet verder op in gaan, maar toch nog even het volgende.

BadUSB is outdated voor de nieuwe hardware. En er is fysiek toegang nodig om een exploit op een USB (firmware) te plaatsen. Eerst moet je die firmware erop krijgen, dan in de pc stoppen of zien dat deze verbonden kan worden met het netwerk. Dan heb je alsnog niets, want het is lokaal. Dan heb je een USB als keyboard! Whoehoe! Leuke hobby, maar dit is niet zoveel. Wel een leuk voorbeeld van een exploit.

-- Firmware --
De hardware moet wel firmware vanuit windows of andere systemen ondersteunen. Als dit netwerkapparatuur is, dan is dit verhaal al voorbij. Als er lokaal een WD draait, met ondersteuning en firmware, dan is het theoretisch mogelijk dat het uitgelezen kan worden, als je dan ook weer adminrechten hebt...

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:30]

hardwareaddict @Verwijderd • 11 juni 2015 21:39

Nee je hebt geen fysieke toegang nodig tot hardware. Als zo'n parlementarier met zijn mobieltje of laptopje of stickje ergens rondloopt en gaat zitten in de trein ofzo ,dan hoeft er alleen een vertegenwoordiger met een sterke scanner dichtbij te gaan staan en het is VOOR ELKAAR.

Er zijn werkelijk talloze manieren om iets voor elkaar te krijgen. Met goedkope hardware die in de winkel ligt krijg je een groot target als parlementariers niet beveiligd. Werkelijk en lettterlijk alle wapens worden ingezet om die te hacken, want de target is te belangrijk.

Bepaalde landen zijn bereid letterlijk hele divisies te sturen om die te hacken.

Trommelrem @Verwijderd • 10 juni 2015 19:51

Dergelijke malware komt niet binnen via e-mail, maar wordt gewoon geleverd door bedrijven. De malware zit vaak al vast in de hardware zelf. Het zijn niet simpele desktops die geinfecteerd zijn en het is niet een simpel consumentennetwerkje. Misschien gaat het zelfs zo ver dat Huawei Chinese Staatsmalware heeft gesoldeerd op de routers.

Over enkele jaren is het niet meer degene met het grootste leger die de meeste macht heeft. Dan is het degene die de meeste malware verspreidt. China is een kanshebber. Noord Korea maakt de minste kans met slechts 1024 IP adressen

Maar ook in consumentensituaties kan het gebeuren dat je door malware je hardware moet vervangen. Wat zou jij doen als blijkt dat de TPM malware bevat? Dan heb je niet veel keus dan alle hardware vervangen.

[Reactie gewijzigd door Trommelrem op 27 juli 2024 20:30]

Sissors @Verwijderd • 10 juni 2015 19:52

Waarom moet er fysiek geknoeid zijn voor BIOS exploits? Genoeg kan je gewoon vanuit je OS flashen. Lekker makkelijk, maar heeft ook nadelen. En zo zijn er ook weleens exploits bekend geworden geloof ik waarbij het zich in de firmware van je HDD kan nestelen.

Als dit inderdaad gerichte hacks zijn, dan kan je ervan uitgaan dat het heel stuk geavanceerder is dan je random trojan die je CC gegevens wil vinden: Daar is het vooral met zo min mogelijk moeite zoveel mogelijk systemen besmetten. Hier is dan het doel om onafhankelijk van hoe moeilijk het is, een aantal specifieke systemen te besmetten, en dus kan er veel meer moeite in worden gestoken om het 'goed' te doen.

En misschien heb je wel helemaal gelijk dat het in dit geval onzin is, maar ik zou het zelf niet zo stellig zeggen dat het sowieso onzin is.

Gaming247 @Verwijderd • 10 juni 2015 19:53

Je kan veel chips in je computeren gewoon flashen vanuit het besturingssysteem. Bovendien, de kans dat onwetende mensen met besmette usb sitcks rond lopen, waarvan de malware zich nestelt in de usb controller acht ik ook reëel.

H!GHGuY @Verwijderd • 10 juni 2015 19:53

Dan moet je toch echt wel dringend verder lezen. Je hoeft echt geen fysieke toegang hebben om hardware permanent in geinfecteerde toestand te krijgen.

Als je een SSD aan een raspberry pi-like device hangt is de kans reëel dat de SSD drive de component is met de krachtigere CPU... En die SSD moet ook ergens firmware kwijt.
De hoeveelheid code in je UEFI/BIOS zit is ook niet te onderschatten en dan hebben we het ook nog niet over boot PROMs van PCI(e) devices en andere. Ook USB devices zijn in veel gevallen permanent te infecteren.

Er zijn al tal van voorbeelden en proof of concepts gepasseerd.

valvy @Verwijderd • 10 juni 2015 19:57

Misschien zijn er wel werknemers die foute USB stickjes meenemen. Dat telkens weer opnieuw het systeem besmet. Dan moet je ook weer hardware vervangen. (Afdekken werkt ook niet altijd)

Het kan ook aan oude hardware zitten. Computers dat draait op Windows xp. Om dit in een (relatief) veilige vm te zetten heb je krachtige hardware nodig.

Uiteindelijk is het parlement ook doelwit van geheime diensten en crackers. En zal het een onbegonnen taak zijn voor de ICT afdeling zijn om het te beschermen. Computers die specifiek voor zulke extremen zijn gebouwd is misschien de oplossing.

Verwijderd @Verwijderd • 11 juni 2015 06:52

Het kan wel hoor, hardware infection: https://blog.kaspersky.com/equation-hdd-malware/

Verwijderd @Verwijderd • 11 juni 2015 09:07

Malware kan zich ook nestelen door gebruik van een USB stick of andere hardware die in de computer is gestoken. Mail is lang niet de enige boosdoener.

Bovendien lijkt er hier sprake te zijn van kruisbesmetting, iedere keer dan een systeem 'clean' is wordt het automatisch weer besmet. Blijkbaar is de bron lastig te vinden of op een hele slimme manier geïmplementeerd.

Soms lijkt een probleem als buitenstaander eenvoudig op te lossen, maar het zijn heus geen domme jongens en meisjes die dit soort problemen aan moeten pakken.

Verwijderd @Verwijderd • 11 juni 2015 09:56

Hardware vervangen? Wat is dat voor onzin? Laatst wel wat gelezen over BIOS exploits, maar dan moet er fysiek mee geknoeid zijn. Ik zou zeggen een grote wipe, alles loskoppelen en stap voor stap weer configureren op een apart LAN. Los van de trojaanse paarden en malware is een proxy voor het parlement wel netjes.

Als ze nou netjes een firewall inrichten en daarop het verkeer monitoren, is er toch niets aan de hand? Of huur iemand in die alle mails en het verkeer gaat controleren, misschien goedkoper dan alles vervangen.

Mee eens. Daarnaast: als de oorzaak niet gevonden wordt en als de echte fix voor dit probleem niet gevonden wordt, dan blijft hetzelfde risico weer bestaan voor de nieuw aan te schaffen hardware. Stel dat de oorzaak een groepje Russische hackers blijkt te zijn. Die zullen in hun broek plassen van het lachen als ze horen dat er nieuwe hardware gaat komen. En als die hardware er is gaan ze hetzelfde geintje weer uithalen.

EvilItSelf @Verwijderd • 11 juni 2015 10:18

Sommige stukjes hardware hebben tegenwoordig ook een klein beetje flash geheugen aan boord. Dat kan aangesproken en beschreven worden als de juiste instructies tegen die hardware worden verteld. Normal gesproken zou software daar niet bij moeten mogen kunnen, maar gezien het om malware gaat, zijn de makers erachter erop gebrand om langs die beveiliging te gaan.

kaaas @Verwijderd • 11 juni 2015 12:36

Buiten de bios hacks zijn er tegenwoordig al meerdere hardwarematige hacks die erg ernstig zijn en nog niet goed te bestrijden..
Bijv badusb kun je toepassen op alles waar een usb hub in zit bijv mobo en scherm.
Hdd controllers hacks, sprite_tm gaf hier al een voorbeeld van en ik zag laats weer een proof of concept.

Megamind @Verwijderd • 10 juni 2015 19:45

Ik denk dat ze in Duitsland heus wel weten wat ze doen.

Misschien bedoelen ze met hardware gewoon de HDD's.

seapip @Megamind • 10 juni 2015 19:47

Kwestie van de firmware van de hdd's herstellen indien er mee geknoeid is(kan me dat niet echt voorstellen) en de hdd's formateren of zelfs wipen.

Verwijderd @Megamind • 10 juni 2015 19:48

Dat blijkt uit dit artikel inderdaad. De manier van handelen toont aan dat ze kwalitatief goed omgaan met de privacy en informatiegevoeligheid. Ik heb mijn twijfels bij de handelingen die worden verricht. HDD's vervangen zou met een goed team niet nodig moeten zijn.

Ze kunnen het virus ook op locatie hebben geplaatst, dan is er een mogelijkheid dat het wel in de BIOS of HDD controller zit. Fysieke toegang is dan wel vereist, daar ga ik niet vanuit in eerste instantie.

koelpasta @Verwijderd • 11 juni 2015 09:20

HDD's vervangen zou met een goed team niet nodig moeten zijn.

En een team dat goed genoeg is voor deze klus zou wel eens duurder kunnen zijn dan alles vervangen.

Hunter! 10 juni 2015 19:38

Hoelang zal het duren dat een bank in nederland voor langere tijd offline gaat. het is de ene na de andere die last heeft. Of ben ik dan te negatief?

[Reactie gewijzigd door Hunter! op 27 juli 2024 20:30]

Verwijderd @Hunter! • 10 juni 2015 19:44

Ja, een bank hecht namelijk wél waarde aan hun veiligheid (of dat nu direct is of vanwege het feit dat ze geld willen beschermen) en zijn niet incompetent.

SuperDre @Verwijderd • 10 juni 2015 21:26

uhh, ik denk dat je dan behoorlijk naief bent als je denkt dat een bank niet incompetent is... Als ze dat namelijk niet waren dan hadden we lang niet zoveel storingen EN hadden we al lang realtime overboekingen.....

Verwijderd @SuperDre • 11 juni 2015 00:37

Het feit dat er storingen zijn en we geen realtime overboekingen hebben is dankzij de veiligheid. Als alles gewoon door draait terwijl er met de systemen gerommeld wordt is dit veel erger.

SuperDre @Verwijderd • 11 juni 2015 10:09

uhh, nee het feit dat er nog geen realtime overboekingen zijn is niet dankzij veiligheid, maar dankzij de zeer verouderde systemen en voorschriften..

Azerion @SuperDre • 11 juni 2015 10:22

Realtime overboekingen duren niet lang meer, er is momenteel bij EBA (Grootste Europese clearing house) een project gaande om realtime boekingen te verwerken (Source: https://www.ibsintelligen...t-payments-infrastructure)

De verouderde systemen van de banken hebben hier niets mee te maken, het probleem zit hem bij de clearing houses welke de betalingen in batches afhandelen in plaats van real time, dit is met de overstap naar SEPA niet beter geworden voor de Nederlandse markt, EBA hanteert namelijk andere batch tijden dan Equens deed.

Daarnaast zal een bank niet snel gehackt worden, er gaat enorm veel capaciteit en geld in het beveiligen van het geld, omdat dit hun enige bestaansrecht is(Geld beveiligen) een hack bij een bank zal gebeuren, het is vrijwel onmogelijk om 100% beveiliging te bieden(Banken werden vroeger fysiek ook overvallen), maar ga er maar van uit dat jij als particulier schadeloos zal worden gesteld door de bank.

[Reactie gewijzigd door Azerion op 27 juli 2024 20:30]

H!GHGuY 10 juni 2015 19:41

Dit lijkt gewoon een krimi van de bovenste plank:
spionage experts installeren malware op netwerk parlement om daarna gratis en voor niks volledige toegang te krijgen.

Reality always beats fiction...

Atomsk @H!GHGuY • 10 juni 2015 19:49

Dus je noemt je verzinsels maar "reality" en dan wordt het automatisch waar? Dit is borrelpraat en alu-hoedjes gezemel, tenzij je bewijs hebt, maar dat zal wel niet...

H!GHGuY @Atomsk • 10 juni 2015 19:50

En jij beschuldigt mij van een jump-to-conclusions sprongetje?

Edgarz @H!GHGuY • 10 juni 2015 21:04

...of de Russen, Koreanen, IS, Iran, IJsland, Scientology,...
Op deze manier kun je van alles insinueren.

hardwareaddict @Edgarz • 11 juni 2015 21:43

Kans is groot dat die 't allemaal geprobeerd hebben bij 't Duits parlement en dat in elk geval 3 van de opgesomden meelezen met elk woord wat de parlementiers intikken zij het op de laptop zij het mobiel - met uitzondering van de commissie stiekem als die vergadert.

Verwijderd 10 juni 2015 21:13

Dan moet ook de beslissing vallen of spionage-experts van de overheid ingeschakeld worden voor verder onderzoek en bescherming. Dat ligt politiek gevoelig in Duitsland: sommige partijen maken er bezwaar tegen om toegang tot hun systemen te geven.

Het parlement vertrouwt de regering niet? Maar wel lekker door blijven rommelen met malware terwijl vreemde mogendheden/criminele elementen meekijken. Dat vind ik nou weer een hele rare gang van zaken. Verder is een paar honderd computers weggooien ook weer niet zo duur, met 500 euro max per stuk ben je er wel met die desktops die vaak op kantoren staan. Dat lijkt me een stuk goedkoper dan een blik adviseurs opentrekken die honderden euro's per uur vragen en vervolgens een maand bezig zijn.

j-phone 10 juni 2015 21:40

Al een maand bezig, dat is wel erg lang.

Ik neem aan dat het parlement wel een uitwijk locatie heeft die gebruikt kan worden terwijl het productie netwerk weer opgebouwd wordt. Aan de andere kant wordt een uitwijk locatie opgebouwd met backups, en als die systemen ook geinfecteerd zijn dan is er echt een probleem daar.

Edit: even reageren nog op de mensen die vinden dat de ict afdeling daar wel erg slecht is.

Normaal gesproken gaat het bij een overheid bij het afsluiten van contracten met toeleveranciers niet alleen om het product maar ook om continuïteit. Hier worden vaak zeer kostbare sla's voor afgesloten om de dagelijkse productie zoveel mogelijk ongestoord door te laten gaan.

Binnen de maand die in het bericht gesteld wordt zijn er dus al consultants van leveranciers langs gekomen om, minimaal, een inschatting te maken van de problemen die op hun vakgebied (hetzij software pakketten, hetzij hardware) spelen. Dat is toch een behoorlijke bak kennis die het kennelijk niet opgelost krijgen.

[Reactie gewijzigd door j-phone op 27 juli 2024 20:30]

Verwijderd 10 juni 2015 19:53

er indicaties zijn dat Russische hackers achter de aanval zitten.

Strontziek wordt ik van al die kritiekloze kranten en andere media in het Westen. Een paar grappenmakers in de US hebben besloten dat we een nieuwe koude oorlog moeten voeren tegen de Russen. Dat is vast goed voor het militair-industrieel-complex (ze motten toch hun tanks kunnen verkopen, of niet dan). En het is vast goed voor de nieuwe Amerikaanse schalie-gas industrie. Die is mooi de lul, nadat Saudie-Arabie de olie-prijs heeft gehalveerd. Maar als de yanks ons nu zo ver krijgen dat we geen gas meer van Rusland kopen, dan kopen we misschien wel extra duur schalie-gas bij hen.

Twee jaar geleden waar het nog gewoon de chinezen die zogenaamd overal achter zaten. Toen dronken onze Prins Pils gewoon nog een biertje met Putin. Alsof ze de beste vrienden waren. En dat waren ze ook, twee jaar geleden.

Laat je niet gek maken door de media.

andreetje @Verwijderd • 10 juni 2015 20:13

Mee eens. Met dialoog was er veel meer bereikt, en dan waren de Russissche burgers en Nederlandse exporteurs niet zwaar de klos.
Volgens mij had ons kabinet reeds 1 week na de start van de boycot spijt. Ze waren in elk geval verbaasd dat Rusland de import van Nederlandse artikelen stop zette... onze naïevelingen...

Edgarz @andreetje • 10 juni 2015 21:10

Voor het voeren van een dialoog heb je minstens een wederpartij nodig. En als die er niet is heb je een monoloog... lekker effectief.

Je moet maar eens het interview in Vrij Nederland lezen met voormalig Minister Timmermans, oud ambassadeur in Moskou. Dan weet je hoe de Russen omgaan met dialogen ihkv machtspolitiek. Succes met je dialoog.
http://www.vn.nl/Archief/...mmermans-en-de-Russen.htm

andreetje @Edgarz • 10 juni 2015 22:08

Ik zou ook niet met Frans Timmermans praten.

Edit:
N.a.v. jou link met de emotionele speech die van Timmermans plots een groot staatsman maakte: een paar dagen later verklootte hij het met zijn domme opmerking over een zuurstofmasker.

http://www.volkskrant.nl/...t-moeten-zeggen~a3764931/

[Reactie gewijzigd door andreetje op 27 juli 2024 20:30]

zacht 10 juni 2015 19:49

Zo, dat is wat anders dan datgene wat de handige buurjongen even oplost.
Ik snap overigens dat ze bij een beetje rest sporen besluiten geen risico te nemen en bij een herinstallatie meteen de hardware te vervangen, die zal immers sowieso eens in de zoveel tijd vervangen moeten worden.
Ik ben wel benieuwd naar de achtergrond, spionage, chantage, of wie weet wel een complot van hardwareleveranciers

Klaus F. 10 juni 2015 19:50

Als het zo door gaat geloof ik steeds meer dat er een volledig afgekoppeld en aan de poort gecontroleerde setup zal gaan komen voor dergelijke essentiële netwerken.
Call me crazy...

Niet dat dat infecties zal voorkomen overigens...
(edit, laatste zin bij nader inzien)

[Reactie gewijzigd door Klaus F. op 27 juli 2024 20:30]

ColdRain 10 juni 2015 22:17

Mij lijkt het dat bijna iedereen los over het echte probleem heen leest:

Dat ligt politiek gevoelig in Duitsland: sommige partijen maken er bezwaar tegen om toegang tot hun systemen te geven.

Hoe wil je systemen cleanen als diegene die dat kan er geen admin-level toegang toe krijgt? In Vlaanderen zijn er amper een handvol politieke mandatarissen die iets dergelijks projectmatig zouden kunnen aanpakken, die weten wat er moet gebeuren, op welke schaal en wie je daarvoor moet inschakelen. Dat zal in Duitsland (én Nederland) niet veel anders zijn.

JanHus 11 juni 2015 08:13

http://www.malwaretech.co...re-rootkit-surviving.html

Op dit item kan niet meer gereageerd worden.

'Duits parlement krijgt malware al maand niet verwijderd'

Lees meer

IT-banen

Reacties (86)

Sorteer op:

Weergave: