Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

De omvangrijke malwarebesmetting waar het netwerk van het Duitse parlement afgelopen zomer mee kampte, vond zijn oorsprong in een mail die afkomstig leek van de Verenigde Naties. Ook andere internationale organisaties kregen deze mail.

BundestagDe mail die voor de besmetting zorgde had als onderwerp 'Ukraine conflict with Russia leaves economy in ruins' en leek afkomstig van een adres met un.org als domeinnaam. In de mail zat een link naar een 'UN News Bulletin', maar in werkelijkheid verwees deze naar een pagina met malware. De mail zit nog steeds in postvakken van computers van het parlement, ondanks een grote schoonmaakactie, schrijft de Süddeutsche Zeitung. De pagina waar de malware op staat of stond is wel geblokkeerd.

De krant meldt ook dat meerdere internationale organisaties de mail kregen, al is niet bekend welke en ook niet of dat tot infecties heeft geleid. Een medewerker van de Duitse inlichtingendienst liet een onderzoekscommissie in Duitsland de nieuwe details afgelopen week weten. Het netwerk van de Bondsdag werd in de zomer door een omvangrijke aanval lamgelegd en beheerders kregen de besmetting niet onder controle. Ook na maanden onderzoek is er nog veel onduidelijk over de aanval.

Moderatie-faq Wijzig weergave

Reacties (17)

Ik vraag mij echter toch af of de security niet hoog genoeg staat. Voor hetzelfde geval hebben diegenen achter de malware nu gevoelige informatie waarmee zij kunnen dreigen.

Tegenwoordig weet je het maar ook nooit met al die e-mails waarvan het oorspronkelijke adres wordt gebruikt om jou te misleiden. Zo is het zelfs mogelijk om een e-mail adres van één van je contacten te gebruiken om vervolgens de malware door te sturen zonder dat je dat doorhebt.
Hoe wil je de security nog verhogen? Mail gaan verbieden? Het maakt niet uit hoe goed je beveiliging is, de zwakste schakel kan je niet elimineren. Die zwakste schakel is nog altijd de eindgebruiker.

En tuurlijk kan je de beveiliging nog sterk gaan verhogen, maar dan ga je diezelfde eindgebruiker ook zo dwars gaan zitten dat die zijn/haar werk niet meer goed kan doen en ga je niets dan klachten krijgen.
In zijn algemeenheid mag de eindgebruiker dan de zwakste schakel zijn, maar dit klinkt mij toch als een geval waar voornamelijk de techniek tekort geschoten is. Het enige dat je de gebruikers kan verwijten is dat ze op een link geklikt hebben waarvan ze hadden kunnen zien dat die niet te vertrouwen was. Het is echter twijfelachtig of de link inderdaad als dusdanig te herkennen was, de VN bestaat uit een groot aantal organisaties die gebruik maken van tal van domeinen die niet altijd even herkenbaar zijn. Ecosoc.com is bijvoorbeeld van een domain trader (linkje staat naar Ecosoc zelf) terwijl een ogenschijnlijk vreemd domain als unssr.unlb.org dan wel weer een echt VN domain is.

Of de security verhoogd kan worden is een vraag die je niet kan beantwoorden zonder te weten hoe die nu geregeld is. Het kan zijn dat de systemen niet volledig gepatched waren maar een hacker met voldoende middelen kan tegenwoordig ook probleemloos aan een echte zero day exploit komen. Malware en virusscanners hecht ik verder helemaal weinig waarde aan, leuk voor het standaard werk maar vrijwel zeker nutteloos bij gerichte aanvallen zoals deze.

Whitelisten van executables kan in bepaalde gevallen misschien nog helpen maar eist relatief veel inspanning en zal zeker de eerste tijd de gebruikers nog wel eens dwarszitten. Een maatregel als het whitelisten van URLs blijkt in de praktijk eigenlijk niet te handhaven, zeker niet voor een organisatie waar mensen zelf onderzoek moeten doen en ook in staat moeten zijn controversiële websites te bezoeken.
Misschien kunnen ze een interne sandbox software gebruiken waarbij runtime executables geen "gescheiden" data laden/opslaan (gewoon in een sandbox werken) totdat de gebruiker hier expliciet voor kiest. Ik denk dat eindgebruikers dit wel met open armen zullen verwelkomen (alleen als het gebruiksvriendelijk is).

Als de software intern is, kun je er dus ook moeilijker een sandbox bypass exploit voor maken. Zo voorkom je zulke zero-day scenario's (voor wanneer de anti-virus het nog niet detecteert).

Dan kun je de beperkende/vertragende toestanden die je met real-time heuristics, no-scripting regels, etc. krijgt ook best wel voorkomen lijkt mij.

Al met al denk ik dat het probleem fundamenteel ligt bij de algemene manier waarop wij zelf met software omgaan en dat dit softwarematig beter gemaakt kan worden voor de eindgebruiker.

[Reactie gewijzigd door TryOG op 14 september 2015 10:04]

Ik vraag mij echter toch af of de security niet hoog genoeg staat. Voor hetzelfde geval hebben diegenen achter de malware nu gevoelige informatie waarmee zij kunnen dreigen.
Enkel het netwerk van het parlament was gekraakt, niet van de overheid. Zaken die het parlament behandeld zijn in beginsel altijd openbaar (behalve commissie-stiekem-dingen).

De onafhankelijkheid van het parlament is in Duitsland zo belangrijk dat zij alles zelf onderhoud: een eigen politie, een eigen IT-infra, etc. De vraag is dan hoe men met berichten van de regering over de eigen beveiliging omgaat. Duitsers zijn soms heel erg koppig...
Ik vraag mij echter toch af of de security niet hoog genoeg staat.
Nee, het is duidelijk niet goed genoeg maar de vraag is hoe het beter moet. We weten domweg niet hoe we (efficient) veilige computersystemen moeten maken, zeker niet als die ook nog gebruikersvriendelijk moeten zijn.

Je kan je afvragen of de IT niet te hard is gegaan. We weten allemaal wat de voordelen zijn, ik ben absoluut niet tegen IT, maar je kan je afvragen of we niet te veel risico nemen.

De stand van zaken in de IT doet me denken aan de bouwkunsten van de Romijnen. De Romijnen bouwden flats van soms wel 10 verdiepingen hoog maar ze misten het bouwkundig inzicht om dat echt goed te doen. Een constructie op de computer doorrekenen was er natuurlijk niet bij, het was vooral een kwestie van ervaring en grote veiligheidsmarges. Als je er maar genoeg geld en moeite tegen aan gooit kun je een Colosseum bouwen dat 2000 jaar later nog staat.

Helaas werden die flats vooral voor de armen gebouwd. Die hadden geen geld voor ervaren architecten en grote veiligheidsmarges. Mensen hebben een woning nodig en een gevaarlijke maar goedkope woning is beter dan geen woning.

De IT heeft daar wel wat trekjes van. Iedereen heeft tegenwoordig een computer nodig en als bedrijf moet je bijna een website hebben. Geen enkele bakker kan echter miljoenen euro's betalen om een écht goede website te laten ontwikkelen. Daarom koopt iedereen maar de software die ze wel kunnen betalen, ook al zit die vol gaten. Problemen worden over het algemeen niet opgelost door slimmer te bouwen maar door nog meer beton en bakstenen te gebruiken.

Eigenlijk zouden we pas op de plaats maken en 25 jaar lang al onze energie steken in het verbeteren van onze ontwikkelmethodes en het vervangen van alle rotte funderingen die we de afgelopen 50 jaar hebben gelegd. Maar ja, zo werkt het natuurlijk niet.


PS. De Romijnen hadden wel degelijk een hoop kennis van bouwkunde, ze konden bv meesterlijk goed koepels bouwen, maar ze misten de modellen en berekeningen om van te voren uit te rekenen of een constructie veilig is.

[Reactie gewijzigd door CAPSLOCK2000 op 13 september 2015 14:56]

De mail zit nog steeds in postvakken van computers van het parlement, ondanks een grote schoonmaakactie, schrijft de Süddeutsche Zeitung.
Hoe moeilijk is het om met een regular expression alle berichten in alle mailboxen af te gaan? Maak een (voor de gebruiker niet toegankelijke) backup van het bericht en verwijder het daarna. Zo kunnen gebruikers een lijstje krijgen met mail die verwijderd is, met de mogelijkheid om contact met support op te nemen indien een bericht onterecht is verwijderd. Tevens hoeven admins zo niet handmatig door mailboxen te snuffelen.

[Reactie gewijzigd door The Zep Man op 13 september 2015 09:26]

Er zijn ook mailprogramma's die de mail gewoon downloaden en lokaal opslaan (en soms archiveren). Op de server is de mail dan wel verwijderd, maar bij de eindgebruiker is deze mail nog gewoon beschikbaar.
Lijkt op een 0-day exploit? Of waren de machines niet gepatched?

Hoe werkt het eigenlijk? Hebben de leden hun eigen machine en loggen ze in via webmail? Of wordt deze uitgegeven en beheerd door een administrator? Dat links uberhaupt worden toegestaan vind ik wel apart. Bij deze functie zou je zeggen dat links niet zijn toegestaan.

Ben ook wel benieuwd hoe het verkrijgen van de mailadressen is gekomen. Of zou er een distributielijst zijn die makkelijk tegokken was 'parlement.de@un.org' b.v.
hoe ga jij voorkomen dat links niet zijn toegestaan? Binnen de kortste keren vinden de gebruikers dan toch weer manieren om links naar elkaar door te sturen. Ook heel leuk als je informatie van externen krijgt en je de links waar zij naar verwijzen voor extra informatie niet eens kunt terugvinden in je mail.
De mail zit nog steeds in postvakken van computers van het parlement, ondanks een grote schoonmaakactie, schrijft de Süddeutsche Zeitung.
Bijzonder, heeft men er dan niet voor gekozen om de mail centraal te verwijderen uit de datastores van de mailservers of is er iets anders aan de hand en ontvangt men de mail nog steeds / is er een spambot actief?
Misschien is het beter dat ze het personeel wat bijscholen over zulke gevaren ipv peperdure telefoons te kopen met "speciale beveiliging en encryptie" en weet ik wat nog allemaal.
Werken met een whitelist, alleen whitelisted sites mogen door op het netwerk... Dan hou je heel veel ellende buiten de deur.

[Reactie gewijzigd door kritischelezer op 13 september 2015 18:19]

Kerel, als ze nou een waarschuwings pop-up krijgen wanneer er een e-mail in een link zit en de content wordt gefilterd scheelt dat ook weer een hack.
Of gewoon alleen tekst gebaseerde email toestaan, dus geen html of andere vormen van opmaak maar gewoon plain tekst. Dan is ook alles direct zichtbaar voor de ontvanger. Je gaat dan wel weer terug in de tijd maar zolang de gebruikers overal op klikken en scanners niet alles kunnen vinden moet je toch wat.

Maar goed, dan begint gelijk het management waarschijnlijk te zeuren dat de icoontjes in hun handtekening het niet meer doen. Ik denk ook niet dat er organisaties zullen zijn die zullen terug gaan naar alleen 'platte tekst' in de email, die schok is gewoon te groot.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True