Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 103 reacties

Een groep tieners die opereert onder de naam 'Crackas With Attitude', claimt toegang te hebben gehad tot het AOL-e-mailaccount van CIA-directeur John Brennan. In het privéaccount zou gevoelige informatie staan, die Brennan zelf heeft geforward vanuit zijn CIA-mailbox.

Tegenover verschillende Amerikaanse media doen de tieners hun verhaal. New York Post schrijft dat het een aantal telefoongesprekken heeft gehad met een van de leden, 'Cracka', die op Twitter actief is en daar een aantal gecensureerde screenshots heeft gepubliceerd. De tiener zegt onderdeel uit te maken van de groep 'Crackas With Attitude', het daarbij horende Twitteraccount is opgeschort. Onder andere via het Nederlandse Leaseweb zou toegang tot het mailaccount zijn verkregen, waarschijnlijk via een proxy.

Gevoelige informatie in de AOL-mailbox van CIA-directeur John Brennan zou door hem zelf geforward zijn vanaf zijn CIA-account. Tussen de mails en bijlagen zou onder andere het 47 pagina's tellende document staan dat Brennan in moest vullen om top-secret security clearance te krijgen. Ook claimen de tieners een lijst te hebben met Social Security-nummers en persoonlijke informatie van meer dan een dozijn werknemers van Amerikaanse inlichtingendiensten. In totaal zou het gaan om veertig e-mails met bijlagen, Cracka claimt op Twitter de bestanden naar het los-vaste internetcollectief Anonymous te hebben gestuurd.

Op Wired is te lezen hoe de tieners gehandeld hebben. Een van de leden, die zegt 'niet ouder dan twintig jaar' te zijn, vertelt dat hij zich heeft voorgedaan als een Verizon-medewerker om vier cijfers van Brennans rekeningnummer te achterhalen. Die informatie zou geholpen hebben het wachtwoord van het AOL-account te kunnen resetten.

Ook Vice sprak met een van de leden van de groep, die zichzelf 'Cubed' noemt en zegt een vijftienjarige scholier te zijn. Cubed zegt Cracka van school te kennen en claimt dat CWA uit zes leden bestaat. Volgens Cubed zou er telefonisch contact geweest zijn tussen de tieners en Brennan. "Hij was bang, maar probeerde geen angst te tonen", claimt de jongen. De CIA-topman zou aangeboden hebben om geld te betalen, waarop zij antwoordden: "Vijf biljoen dollar", hem uitlachten en vertelden om 'te stoppen met bombarderen en Palestina te bevrijden'.

De CIA zegt in een statement 'op de hoogte te zijn van de verhalen' en 'de zaak doorgegeven te hebben aan de daartoe bevoegde autoriteiten'.

Crackers With AttitudeCrackers With Attitude

Screenshots geplaatst op Twitter door 'Cracka'. Een van de afbeeldingen toont een lijst met inlogpogingen op het AOL-account van Brennan. Veel daarvan zijn afkomstig uit Nederland en Duitsland, al zegt dat weinig als er gebruik is gemaakt van proxy's.

Moderatie-faq Wijzig weergave

Reacties (103)

Wauw. Jongens... Ze geven in het stukje tekst zó veel informatie weg, dat ze misschien niet te achterhalen zijn via het IP-adres of iets anders waarmee ze het AOL-account gehackt hebben, maar de rest van de informatie.. :/
Op Wired is te lezen hoe de tieners gehandeld hebben. Een van de leden, die zegt 'niet ouder dan twintig jaar' te zijn, vertelt dat hij zich heeft voorgedaan als een Verizon-medewerker om vier getallen van Brennan's rekeningnummer te achterhalen. Die informatie zou geholpen hebben het wachtwoord van het AOL-account te kunnen resetten.

Ook Vice sprak met een van de leden van de groep, die zichzelf 'Cubed' noemt en zegt een vijftienjarige scholier te zijn. Cubed zegt Cracka van school te kennen en claimt dat CWA uit zes leden bestaat. Volgens Cubed zou er telefonisch contact geweest zijn tussen de tieners en Brennan. "Hij was bang, maar probeerde geen angst te tonen," claimt de jongen. De CIA-topman zou aangeboden hebben om geld te betalen, waarop zij antwoordden: "Vijf biljoen dollar", hem uitlachten en vertelden om 'te stoppen met bombarderen en Palestina te bevrijden'.
Ik vraag me dan ook serieus af of:
- Dit niet ontzettende blaaskakerij is van een stel pubers;
- Of er daadwerkelijk e.e.a. naar Anonymous is gestuurd, lijkt me toch dat Anonymous deze data checkt en eventueel hierover een Tweet naar buiten stuurt;
- Ze zouden met Brennan gebeld hebben, ook zou een van de knapen zich hebben voorgedaan als een Verizon-medewerker, voor beide zaken heb je een telefoonnummer nodig. Ik ben niet heel bekend met manieren om 'volledig anoniem' te bellen, maar dit lijkt me te achterhalen;
- De informatie die door Vice genoemd wordt zou al voldoende moeten zijn (denk ik) om in het land (als het om de VS gaat) meerdere groepen tieners te 'localiseren', waarna verder ge-finetuned kan worden om ze te achterhalen;
- Tot slot de opmerking over het stoppen met bombarderen en Palestina bevrijden, ook dit is genoeg informatie om weer specifieker mee te zoeken.

Wachten blijft op een verklaring van de CIA omtrent dit gebeuren, dan wel op een nieuwsbericht waarin de knapen zijn opgepakt. Tot nu toe lijkt het me meer blaaskakerij dan wat anders, maar ik ben nieuwsgierig naar informatie (via Anonymous bijv.) naar buiten komt!
Er is hoegenaamd niets te beginnen met die informatie...
Je kan gewoon anoniem een gsm toestel met een prepaid sim kopen (burner), quasi niet achterhaalbaar zeker als die nog een paar keer doorverkocht is
De meeste mensen vinden de situatie in Palestina niet bepaald leuk
Er zijn redelijk veel scholieren die 5 andere scholieren kennen...

Het kan nog altijd zijn dat er niets van aan is (hoewel de reactie van de CIA er toch op wijst dat ze het serieus nemen), maar er is helemaal niets identificerend aan deze informatie.
Je kan gewoon anoniem een gsm toestel met een prepaid sim kopen (burner), quasi niet achterhaalbaar zeker als die nog een paar keer doorverkocht is

Klopt/klopt niet.

Doordat een telefoon mee gaat met je en er vaak een andere telefoon bij is, is het spoor te tracken. Je moet een enorme discipline hebben om de telefoon alleen aan te zetten wanneer je deze wil gebruiken op een andere plek dan waar je normaal bent en altijd de accu eruit hebben.

Ook 1 telefoontje met een ander kan al genoeg opleveren door social gram/profiel die er is van elk persoon.

Ook kan de positie van het bellen en registraties in die buur op dat tijdstip al veel opleveren.
Ik ga er natuurlijk wel van uit dat mensen die zich hiermee bezig houden wel verstandig genoeg te zijn om dat toestel slechts 1 keer te gebruiken en dan weg te gooien. Die zullen ook wel eens een aflevering van een moderne crime show gezien hebben om dat te beseffen.
Het valt idd wel goed te doen, maar je moet wel eerst alles van te voren 100% uitdenken en exact zo uitvoeren want het zoekgebied verkleinen is zo gebeurt.

- Je moet de telefoon + sim ergens gekocht hebben, dus dat is al een geografische aanwijzing waar iemand zich zo ongeveer zou kunnen bevinden.
- Elke telefoon die aanstaat wordt getracked, dus als je hem binnen dezelfde regio aanzet als waar je hem gekocht hebt dan is het een bevestiging van die regio.
- Het lijkt mij een aannemelijk kans dat elk telefoontje (ook privé) van de CIA-directeur opgenomen wordt, als dat zo is dan kan er dus spraakanalyse over de opname gaan voor verdere pinpointing van de regio.

Natuurlijk kan je net als op tv eerst een vluchtje naar Rusland kopen, daar een burnerphone kopen, dan een vluchtje naar India maken en daar je telefoon testen en dan naar Argentinie doorvliegen om vanuit daar te gaan bellen.
Maar de kans dat een 20-jarige dit doet lijkt me onder de nul te zitten, oftewel de stad is waarschijnlijk te pinpointen, dan is het maar net de vraag of er goed op het achtergrondgeluid is gelet (bijv voorbijrijdende trein om 08:29 zijn geen 1000 plekken waar dat is) of dat daar de pinpointing verder kan gaan.
En dan zit je al op een laag niveau en dan kan je dus verder gaan zoeken naar de leeftijden etc.
Het leven is geen kazige Haag Hollywood film..
En daarom verwacht ik ook dat die gasten zo opgepakt zullen worden.

Het traceren van een telefoontje is standaard werk voor een beetje opsporingsdienst.
En het daadwerkelijk ontwijken van die opsporing vereist best wat voorbereiding en denkwerk.
Met een getraceerd telefoontje ben je natuurlijk helemaal *niets*. Het is de persoon achter die telefoon die je moet hebben.
* Je koopt de telefoon of sim anoniem online, betaalt cash of laat hem opsturen naar een postbus.
* Er is sprake van één keer bellen. Als ze dat vanuit een grote stad doen, is er nauwelijks informatie om de gebruiker te identificeren.
* De spraakanalyse zal evenveel kunnen zeggen over de locatie dan het telefoonsignaal. "OK Team, ze zitten ergens in Manhattan, dus het was iemand van de 10 miljoen mensen die daar ergens geweest zijn die dag!".

Als deze personen een béétje nagedacht hebben, is het vrij goed doenbaar om dat ene telefoontje anoniem te houden. Als ze hem vaker gebeld hebben, wordt het natuurlijk makkelijker om ze te vinden. Maar als hier tientallen mensen allerlei manieren kunnen bedenken waarop de tieners makkelijk te vinden zouden kunnen zijn; konden die tieners dat ook wel bedenken hoor. Jullie zijn heus niet zoveel slimmer, no offence.
Maar als hier tientallen mensen allerlei manieren kunnen bedenken waarop de tieners makkelijk te vinden zouden kunnen zijn; konden die tieners dat ook wel bedenken hoor. Jullie zijn heus niet zoveel slimmer, no offence.
Het gaat niet zozeer om slimheid, het gaat om het consequent goed uit kunnen plannen en uitvoeren.

1x testen of het toestel werkt is zo gebeurd.
Online met cc betalen is zo gebeurd.
Bij de winkel op de hoek met cash betalen (waar ze je dus kennen) is zo gebeurd.

1 foutje is zo snel gemaakt. En ik vermoed niet dat ze wekenlang dit telefoontje voorbereid hebben, ik vermoed eerder dat ze dit in 2 dagen opgezet hebben.
En die manieren die mensen hier allemaal bedenken om hun op te sporen, zijn op enkele minuten bedacht. Dus als zij er twee dagen over gedaan hebben, hebben ze er al meer tijd in gestoken :)
De vliegreisjes verhogen de pakkans juist, omdat je dan vatbaar bent voor end to end time attacks. Een anoniemer transportmiddel verdient de voorkeur.
De geschiedenis leert ons anders ;)
Dit soort hackergroepjes doen een paar simpele DDoS aanvallen of zoals nu op 1 specifiek persoon de mailbox, scheppen er over op en worden dan gepakt...
Is het niet door de tracerings mogelijkheden van o.a. de CIA dan zal er een van de leden een foutje gemaakt hebben of zelfs samenwerken met de overheidsdiensten.
Beetje een show als white collar ed. Ze laten op prime time tv shows echtere informatie zien dan 5 jaar geleden. Je kan daar nu meer van leren dan toen.
Hij heeft het over burn phones, 1 x gebruiken dan weggooien..
En wie moet nou op zijn donder krijgen? Een CIA directeur welke niet in staat is om zijn zaakjes op orde te hebben. Of de tieners welke maar weer eens aantonen dat het makkelijker is dan wat over het algemeen wordt aangenomen.
Of de tieners welke maar weer eens aantonen dat het makkelijker is dan wat over het algemeen wordt aangenomen.
Wat is er exact makkelijker dan over het algemeen aangenomen wordt?

Het is niet alsof er doelgericht ingebroken is bij de CIA, het was gewoon een toevalstreffer dat er 40 emails aangetroffen zijn.
Je hebt het over EXACT en lees dan nog eens je fantasie verhaal hierboven. Reden waarom ik juist op jouw reactie reageer.
Mijn punt is dat juist een CIA directeur zijn zaakjes op orde dient te hebben. De SLORDIGHEID waarmee ook professioneel bewuste mensen met hun data omgaan zou de kern van berichtgeving moeten zijn. Nu wordt er gereageerd op kids welke de rommel tegenkomen en hier dan uitgebreid melding van maken.
Hoezo 'of'? Je kan toch allebei aanpakken. Gesteld dat dit verhaal überhaupt waar is trouwens.
- Tot slot de opmerking over het stoppen met bombarderen en Palestina bevrijden, ook dit is genoeg informatie om weer specifieker mee te zoeken.
Ik denk dat onder jongeren zodanig leeft, dat je daar weinig specifieks uit kan halen.
Ik vraag me dan ook serieus af of:
- Dit niet ontzettende blaaskakerij is van een stel pubers
...
Dat is het ook, oke het was een account van een CIA directeur, maar even een wachtwoord/veiligheidsvraag raden of een beetje social engineren (over het algemeen is dat jezelf voordoen als iemand die toegang heeft bij een telefonische helpdesk om zo een nieuwe login te krijgen) is echt geen moeite, even googlen en je vind zo duizenden tutorials voor ieder stapje.

Scriptkiddies heten zulke mensen, jonge kids die 'voor de lol' een beetje voor de hand liggende 'hacks' (kuch) proberen, best gevaarlijk als ze toegang tot dit soort materialen krijgen, maar over het algemeen zijn ze vooral veel geschreeuw en weinig actie, zullen even op de vingertjes worden getikt maar zal verder waarschijnlijk weinig van komen, behalve dat de beste CIA meneer de wind van voren zal krijgen voor het doorsturen van CIA mail naar een slecht beveiligd AOL accountje.

[Reactie gewijzigd door olivierh op 20 oktober 2015 15:32]

Ik vraag me dan ook serieus af of:
- Dit niet ontzettende blaaskakerij is van een stel pubers;
- Of er daadwerkelijk e.e.a. naar Anonymous is gestuurd, lijkt me toch dat Anonymous deze data checkt en eventueel hierover een Tweet naar buiten stuurt;
Anonymous heeft hier niks mee te maken?
Lees het artikel nog eens ;).
Ook claimen de tieners een lijst te hebben met Social Security-nummers en persoonlijke informatie van meer dan een dozijn werknemers van Amerikaanse inlichtingendiensten. In totaal zou het gaan om veertig e-mails met bijlagen, Cracka claimt op Twitter de bestanden naar het los-vaste internetcollectief Anonymous te hebben gestuurd.
Daarnaast:
We sent @GroupAnon documents confirming we actually do have documents from his email. I guess Mr Brennan broke the law! :O
https://twitter.com/phphax/status/656308417838108672

Beetje jammer dat dit een 'Anonymous' twitter account is dat al sinds 2013 niet meer getweet heeft.. Dus hoe actief het is en of het de 'echte/officiele' Anonymous is..
Zie hier het Twitter-account van '@GroupAnon': https://twitter.com/GroupAnon.

Zo zijn er als je zoekt op 'Anonymous' zat accounts op Twitter die de naam delen, zie: https://twitter.com/searc...ault&q=anonymous&src=typd.
Uiteraard zijn geen van deze kanalen geverifieerd. Je weet wel waarom ;).

[Reactie gewijzigd door Vickiieee op 20 oktober 2015 13:05]

Lees het artikel nog eens ;).

[...]
Daar heb ik straal overheen gelezen :X
Beetje jammer dat dit een 'Anonymous' twitter account is dat al sinds 2013 niet meer getweet heeft.. Dus hoe actief het is en of het de 'echte/officiele' Anonymous is..
Zie hier het Twitter-account van '@GroupAnon': https://twitter.com/GroupAnon.
Laatste tweet is van.. 8 uur geleden? Als je op de standaardview kijkt zie je bij Twitter eerst de Pinned Tweets. Daaronder dan weer de meest populaire tweets. Als je gewoon alle tweets in omgekeerd chronologische volgorde wilt zien moet je even op "Tweets & Replies" drukken.
Zo zijn er als je zoekt op 'Anonymous' zat accounts op Twitter die de naam delen, zie: https://twitter.com/searc...ault&q=anonymous&src=typd.
Uiteraard zijn geen van deze kanalen geverifieerd. Je weet wel waarom ;).
Nouja, naar elk van deze kanalen een bericht sturen is net zo zinnig als naar @GroupAnon. Dat is ook een beetje waar ik heen wilde met mijn originele post (hoewel ik überhaupt over de verwijzing naar Anon heen had gelezen). Ik vind het altijd een beetje jammer dat Anonymous er bij dit soort dingen aan de haren bij getrokken wordt.
Wauw, die vastgepinde Tweets.. Kan je na gaan hoe actief ik op Twitter ben.. Ik heb naar die vastgepinde Tweet gekeken, de laatste tweet is inderdaad 8u oud.

Naja, Anonymous strijd geloof ik ook voor openheid van regeringen en dergelijke, in dat geval kan ik het wel begrijpen. Hoewel ze misschien beter Edward Snowden of Wikileaks aan de Twittermouw hadden kunnen trekken ;).
Naja, Anonymous strijd geloof ik ook voor openheid van regeringen en dergelijke, in dat geval kan ik het wel begrijpen. Hoewel ze misschien beter Edward Snowden of Wikileaks aan de Twittermouw hadden kunnen trekken ;)
Maar 'Anonymous' is niks. Het is gewoon een naam die je jezelf aanmeet op het moment dat je dat uitkomt. Die gasten kunnen helemaal niks met die informatie.
idd. anonymous zijn tegenwoordig zoals ik het noem clowns, ze doen wel is wat goeds, maar voor de rest niks.

en als je een beetje in anon thuis zou zijn, twitter je het niet naar ze maar ga je op de IRC zitten en link je het door, al zijn ze daar nog wel is happig op feds.
Anonymous zijn altijd al clowns geweest. Het is best een leuk idee hoor, zo'n collectief zonder leiding waarvan iedereen en niemand lid is, maar het is nooit meer geweest dan een paar gasten die wat liepen te 'hacken' en elkaar kenden van 4chan.

Die gasten met die Twitter-account hebben net zo veel (of weinig) recht om zichzelf Anonymous te noemen als wij dat hier hebben. Je bent onderdeel van Anonymous op het moment dat je zegt dat je dat bent. Dat geeft het niet zo ontzettend veel waarde, maar het is ook een beetje het idee erachter.
Ik vermoed dat de meeste Anonymous hackers momenteel of in de bak zitten of door een veiligheidsdienst in dienst zijn genomen.
Als je je voordoet als een Verizon-medewerker om aan een password-reset te komen, dan kun je dat echt geen hacking meer noemen.

Dan is het gewoon social engineering, ook wel bekend als oplichting.
Social engineering de oudste vorm van hacking. We maken onderscheid tussen de twee omdat bij een een van de twee geen daadwerkelijke interactie met iets anders dan mensen en de bekende user interface nodig is. Maar uiteindelijk vereist het wel en goede kennis van zo wel de interface als de processen binnen de bedrijven en de sociale vaardigheden om mensen dingen te ontfutselen zonder dat ze zelf door hebben dat ze te veel informatie verstrekken.

Uiteindelijk is het doel van beide het zelfde ongeautoriseerde toegang krijgen door misbruik te maken van gaten in het systeem. Of dat nu gaten in de implementatie van een protocol zijn of gaten in de manier waarop een helpdesk omgaat met data bijvoorbeeld dat maakt niet uit. Het is en blijft nog steeds exact het zelfde. Veel hackers van de oude stempel zullen je vertellen dat beide hacks minimaal net zo indrukwekkend zijn.

Hoe dan ook een CIA directeur die een AOL account gebruikt... Zeker als meneer dan ook nog eens geheime documenten in die mailbox opslaat dat is simpel weg niet te verkopen. Immers zijn organisatie specialiseert zich in stiekem en geheim. Je zou dan ook mogen verwachten dat zo'n directeur mannetje beter zou weten dan een publieke mail server te gebruiken voor geheime informatie.
Wat mij betreft is het dan ook onmiddellijk op non-actief hangende het onderzoek, en als blijkt dat hij inderdaad geheime informatie naar een AOL account heeft gestuurd of laten sturen hem en de afzender onmiddellijk ontslaan net als een ieder die van zijn adres emails met geheime informatie ontvangen hebben en dit niet gemeld hebben. Immers al deze mensen hebben gefaald hun taak voldoende uit te voeren, en kunnen duidelijk niet vertrouwd worden met geheime informatie.
Social engineering de oudste vorm van hacking. We maken onderscheid tussen de twee omdat bij een een van de twee geen daadwerkelijke interactie met iets anders dan mensen en de bekende user interface nodig is.
Je kan de advocatuur en het zoeken van mazen in de wet natuurlijk ook "legal hacking" noemen, maar dat is ook de terminologie verdraaien.

Het nieuwswaardige op een tech nieuwssite is dat er vernuftig gebruik gemaakt is van technologie om iets nieuwswaardigs te doen. Dat is hier niet het geval, de aanvalsvector is gewoon puur iemand voor het lapje houden.

Ik kan ook de smartcard of laptop van iemand stelen en daarmee zijn account overnemen. Maakt het dat een nieuwswaardig artikel op een technologie-site, omdat ik toevallig een stuk techniek heb gepikt, en geen fiets?
Hangt er vanaf wiens laptop het is. Als het die van de baas van de FBI is: ja, dan is het nieuwswaardig, want als dat je lukt, dan ging het blijkbaar te makkelijk.
Sinds wanneer is een fiets geen stuk techniek meer? Moet in techniek altijd elektronica zitten?

Deels ben ik het eens dat het misschien niet op een techsite hoort. Maar zelf vind ik het toch wel leuk om te lezen. Waarom? Omdat ik nu weet dat het blijkbaar erg eenvoudig is AOL mail accounts te komen. Het maakt me niet per se uit of ze daar nou een firewall voor hebben moeten ' hacken' of via social engineering aan afdoende gegevens komen. Het gaat er mij vooral om dat beveiliging online belangrijk is. En dat dat dus ook geldt voor de manier waarop. Je kunt je accounts niet beveiligen met zaken waar een ander op een bepaalde manier achter kan komen.
Bijvoorbeeld de laatste cijfers van je rekening nummer. Ik maak me al jaren druk over beveiliging. Zeker in combinatie met social media tegenwoordig waarmee zo veel gegevens zomaar online worden gezet. Dit bericht bevestigd mijn zorgen.
Dan is het gewoon social engineering, ook wel bekend als oplichting identiteitsfraude.
Social engineering is niet per se oplichting. Je doet je wel anders voor dan dat je bent, wat onder identiteitsfraude wordt verstaan. ;)
[...]
Social engineering is niet per se oplichting. Je doet je wel anders voor dan dat je bent, wat onder identiteitsfraude wordt verstaan. ;)
In allebei de gevallen is het IMO niet heel nieuwswaardig voor een technieuws-site zoals Tweakers.

Als ik over het toetsenbord van mijn baas meekijk of de zaak op zou bellen als "IT-support-medewerker" waardoor iemand een wachtwoord prijs geeft, dan is daar weinig bijzonders aan.

Het enige bijzondere is dat het nu om de directeur van de CIA zou gaan, die misschien een hoge boom is, maar politiek echt niet zo veel invloed heeft. Dat is alleen zo in spionagefilms.
Dat de CIA-baas vergelijkbare fouten heeft gemaakt rond geheimhouding en e-mailverkeer als Hillary is zeer nieuwswaardig. Als bovendien daadwerkelijk staatsgeheimen zijn buitgemaakt, is dat op zich ook nieuwswaardig. Het gaat niet om het verkrijgen van de toegang, maar om de nonchalante wijze waarop de CIA blijkbaar omgaat met staatsgeheimen.

Bedenk daarbij dat Snowden meerdere keren is aangevallen omdat buitenlandse mogendheden in staat zouden zijn om de staatsgeheimen die hij meenam te bemachtigen omdat hij ze niet goed zou beveiligen. Telkens weer blijkt dat onzin: juist de NSA en de CIA en de minister van buitenlandse zaken blijken gegevens te lekken of de beveiliging niet op orde te hebben. Ook in die zin is dit belangrijk nieuws.
Wie weet doet men dat lekken wel bewust, zien we heir ook al te vaak. Maar overal zie je vooral dat het het management of de leiding is die de blunders maakt en de egals naar eigen hand zet.
Dat gebeurt zeker, maar in dit geval lijkt me dat niet. Dit is een ernstige blamage voor Brennan. Vooral dat zijn persoonlijke vragenlijst voor het krijgen van clearance op straat ligt lijkt me een drama.

Tenzij natuurlijk iemand bij de CIA wist dat die gegevens toch al waren uitgelekt en dat ze daar pas wat aan konden doen als ze eerst via een andere bron uit zouden lekken. Maar dat lijkt me veel te diep voor de CIA.
Het heeft zeker wel nieuws waarde dat een partij als de CIA nog zo slecht op hun eigen medewerkers/mails let.
Maar toch dom dat een CIA CEO hier in trapt. Jij zou toch ook nooit je gegeven zo afgeven.

Ben benieuwd hoelang het duurt voordat deze jongens of meisjes :-) gepakt worden.
Wie zegt dat hijzelf die gegevens heeft afgegeven? In het artikel van Wired staat dat ze zich voordeden als een Verizon techneut en vervolgens al deze info van een Verizon callcenter medewerker los peuterde.

[Reactie gewijzigd door Roko op 20 oktober 2015 12:18]

Hij heeft zijn gegevens afgegeven door documenten naar zijn privé @AOL-adres te sturen. Ik vermoed dat er heel wat protocollen zijn bij de CIA die expliciet verbieden van interne documenten te versturen naar mailservers zoals die van AOL die bekend staan om makkelijke doelwitten voor scriptkiddies te zijn. En de CIA zal ook vast wel weten dat als de veiligheidsdiensten van de VS makkelijk toegang hebben tot zo'n mails, de veiligheidsdiensten van pakweg China of Rusland dat ook hebben.

Als hij dus effectief geheime documenten naar zo'n adres verstuurde is hij volslagen incompetent en zou dezelfde behandeling moeten ondergaan als de VS nu Snowden wil aandoen.
Het zou me niet verbazen als hij dit gedaan heeft om het op zn ipadje oid te lezen waar geen cia mail op kan ivm security protocollen. Dan doen gebruikers dit hoe 'dom' dit ook is.
Als directeur van de CIA moet je toch snappen dat je nooit staatsgeheimen of andere gevoelige informatie moet doorsturen naar een account waarop je geen controle hebt over de veiligheid. Zelfs als de fout bij Verizon lag, dan nog was het fout van de directeur om zijn data toe te vertrouwen aan een organisatie die zijn zaakjes niet goed op orde heeft.

Als jij je fiets laat stelen omdat je hem vergeten was op slot te zetten, dan is dat gewoon een domme fout. Als de hoofd bewaking van de tweede kamer zijn sleutels 's nachts in zijn dashboardkastje laat liggen, is dat onvergeeflijk.
vooral na het debacel/fiasco van mevrouw clinton..... dat kan dit echt niet meer
Ik eerder wanneer hijzelf wordt ontslagen, als dit waar blijkt te zijn, toch?

Was een reactie op: hhoekstra. Ging weer erg snel (refresh instellingen).

[Reactie gewijzigd door Kosh66 op 20 oktober 2015 14:11]

Dat is dan ook precies de reden dat het woord 'hacker' precies nul keer voorkomt in het artikel ;)
Maar in het bron artikel wel: "Teen says he hacked CIA director’s AOL account"
CIA director gehackt door tieners, klinkt natuurlijk veel lekkerder in de media. ;)

De meeste directeuren hebben geen verstand van ICT, of dat nu iemand van CIA is of niet.
Als directeur hoe je ook geen verstand daarvan te hebben, daar heb je medewerkers voor die je daarover uitleg geven.

Wat je wel moet afvragen is waarom gaat er geen alarm af als een cia medewerker, ook al is het een directeur mail zou forwarden naar zijn prive email adres.
Na snwoden moeten alle alarmbellen afgaan als dat zo zou zijn.

Als dit verhaal klopt is het mailsysteem dus zo lek als een mandje als je op die manier documenten die vertrouwelijk zijn zo per email kan versturen naar niet beveiligde accounts.
Waarschijnlijk moet het mogelijk zijn om gewoon mailtjes naar externe mailboxen te versturen, als je dat blokkeert heeft een mail ook weinig zin.

Als je iets wilt beveiligen moet je de content beveiligen en niet de applicaties waar dit in gestuurd wordt.

Mijn ervaring is dat veel organisaties het heel lastig vinden om selectief om te gaan content dat gene wat je wilt beveiligen en dat gene niet. Dus dan wordt het alles beveiligen wat weer ten koste gaat van flexibiliteit en er toch omwegen worden gevonden.


Zo makkelijk is het helaas niet zolang een mens erachter zit.
We hebben het hier over de cia, usb sticks in je computer niet mogelijk, na snowden willen we dat niet meer.
Niet zo maar naar iedere mailadres kunnen versturen lijkt me voor een organisatie als de cia niet meer dan normaal.
We hebben het hier over een organisatie die als doel heeft informatie te vergaren en dat vooral, heel erg geheim moet houden.

Attachements versturen zou daar niet zo 1 2 3 mogelijk moeten zijn zeker niet aan een niet goedgekeurd beveiligd emailadres, hetgeen een privéadres niet is.
Tsja, sensatie he, zo gaat dat, helemaal in Amerika.
Het zegt echter wel genoeg dat een password reset met 4 cijfers van het rekeninnummer niet echt een schoolvoorbeeld is van de CIA-baas.

Op die manier vraag ik me af of die 'toppers' daar in de hierachie niet meer dan politieke poppetjes zijn met 0,0 kennis van security. Maar alleen blabla kunnen uitkramen.

Mensen die dit soort functies bekleden moeten zich schamen voor dit soort zaken. Het is toch uit den boze dat je dit soort lijstjes en gegevens (i) naar je privé adres stuurt (ii) je password of password reset credentials zo makkelijk laat achterhalen door 1 telefoontje te plegen.

[Reactie gewijzigd door Squishie op 20 oktober 2015 12:17]

Of ze wanen zich in een schijnveiligheid. Verder is het ook typisch sociaal gedrag: gevoelige gegevens wil je graag voor jezelf houden en sla je dit ook prive op.
dan kun je dat echt geen hacking meer noemen.
Dan is het gewoon social engineering, ook wel bekend als oplichting.
Social engineering is een vorm van hacken.
En je kunt mensen oplichten zonder ook maar 1 persoon te hebben gesproken.
Ik weet niet of je bekend bent met hackers, maar hacken is 50/50 Social Engineering. Om even een voorbeeld te noemen uit het dagelijks leven; Het maken van een linkje via waar men zichzelf infecteert is één ding, iemand op dat linkje te laten klikken, is de echte uitdaging. Dat doe je door iemand privé te 'kennen', waardoor jouw informatie door de ontvanger wordt gezien als betrouwbaar (genoeg). Dat kan door iemand te laten geloven dat je Microsoft bent en belt vanwege een probleem met een computer, maar ook door informatie boven water te halen waardoor instanties denken dat jij die persoon bent.

Is het hacken, zwart-wit genomen? Als je jezelf ontwikkelt op het gebied van hacking, dan krijg je cases te verwerken die meer zijn dan alleen maar een hash uit een zip file trekken. Ik ben overigens zelf geen hacker, maar ik heb kennissen die zich daar mee bezig houden en de diepgang was me tot dan zelf ook ontgaan.

Kortom, hacken is het oplossen van een probleem, waarbij het probleem is 'hoe breek ik in, in andermans spulletjes'. Ik vind juist dat het getuigt van intelligentie als je dan out of the box denkt.
Dat heet dus gewoon "social engineering". Wordt vaak in combinatie met hacken gedaan... Dus op zich een beetje van alles...
Dan is het gewoon social engineering, ook wel bekend als oplichting.
Oplichting is een fenomeen waar misbruik wordt gemaakt. Ik lees nergens dat die jongens misbruik hebben gemaakt van de data die ze in de mailbox hebben gevonden. Ze hebben data bemachtigd, maar die data is toch niet misbruikt?
Ik lees nergens dat die jongens misbruik hebben gemaakt van de data die ze in de mailbox hebben gevonden. Ze hebben data bemachtigd, maar die data is toch niet misbruikt?
Volgens mij hebben ze geprobeerd deze man te chanteren en hebben toen dat niet lukte vertrouwelijke documenten doorgestuurd naar een andere organisatie, wat bijna neerkomt op openbare publicatie. Veel meer misbruik kun je niet maken van data.

En dit is alleen nog maar het misbruik van de data. Dan hebben we het nog niet gehad over het voordoen als iemand anders, het inbreken in de mailbox en ik weet niet hoeveel meer strafbare feiten ze nog hebben gepleegd.

Deze 'thrill seekers' hadden beter naar Pamplona kunnen gaan om voor een stier uit te rennen.
Beetje frappant dat zo'n groepje tieners zo rustig kan blijven bij een telefoon gesprek met de CIA..
Zou toch eerder zeggen dat hun bang zijn dan de directeur van de CIA.. Ook lijkt het me niet echt logisch dat ze zo'n rare claim maken voor geld. 5 biljoen? Uitlachen? Volgens mij rommelt hun verhaal aan alle kanten.
Ik kan me wel inbeelden dat de directeur van de CIA behoorlijk bang wordt als hij betrapt wordt op het versturen van geheime documenten naar een AOL adres ja... Als zoiets uitkomt verliest hij niet alleen z'n job maar beland hij meer dan waarschijnlijk in de gevangenis of één of andere Guantanamo...
De claim van 5 biljoen is ook maar gewoon om hem uit te lachen in plaats van echt geld proberen te krijgen.
Dat klopt inderdaad, maar vind je het zelf ook niet echt vreemd dat ze niet eens rekening mee houden dat ze makkelijk te traceren zijn. Ze telefoneren met hem, stemherkenning, GPS en noem maar op. De CIA komt hier wel makkelijk achter (neem ik aan met al die technologie daar..). En dan hebben ze wel een zwaar probleem, ik denk dat ze geen rekening houden met de consequenties van hun acties.
Ik vermoed nu niet dat die mensen zo dom zijn om gewoon met hun eigen telefoon te bellen... Een anonieme telefoon, stemvervormingsapp erop en bellen vanaf een drukke locatie zonder camera's die niet echt in de buurt ligt van hun woongebied. Of via één of andere vage Russische VOIP provider ofzo. Er zijn genoeg manieren om quasi ontraceerbaar één keer contact met iemand op te nemen.
Klopt inderdaad, maar ik denk niet echt (mijn mening) dat hun daar de benodigde kwaliteiten/materialen voor hebben, vooral niet als ze zichzelf al wat dom aangeven in het bericht, over dat ze scholieren zijn etc. en waar ze elkaar van kennen, lijkt me niet echt een actie voor slimmere mensen, maar dat is mijn mening :+
Daar moet je nu niet bepaald slim voor zijn. Jij, en vele anderen, wisten zoiets toch ook? Je moet maar één aflevering van één of andere CSI-achtige serie gezien te hebben om te weten dat zo'n dingen gebruikt worden...
Dat deel van het verhaal is wel heel bijzonder. Ik mis eigenlijk nog dat er stond "4 the lulz" of zoiets. Ergens denk ik ook niet meteen dat het hoofd van de CIA bang wordt van een paar tieners, wat ze ook doen. Of deze jongens vertellen sterke verhalen of iemand wil een enkeltje naar Guantánamo. Ik vrees dat we alleen nooit zullen weten hoe het werkelijk zit.
Dat denk ik inderdaad ook, want ja. Kom op zeg, de directeur van de CIA word bang van een groepje tienertjes (waaronder een 15-jarige!!).. Ik denk eerlijk gezegd dat ze iets van grootheidswaanzin hebben ofzo.. Dit kan toch echt niet.. Net wat je zegt, misschien willen ze wel een enkeltje naar Guantánamo. Waarschijnlijk komt de waarheid toch niet boven water.
het zijn kinderen, wat weten die nu van hoe ze iemand deftig moeten afpersen :+
Lijkt me dat ze dat misschien eerst gaan proberen bij iemand met een lagere status dan meteen een van de hoogste gaan pakken.. Dan zijn ze toch niet echt zo slim vind ik.
Punt is denk vooral dat er gevoelige info door een directeur van de CIA wordt doorgesluisd richting een prive email adres. Klein gokje, maar denk dat dat tegen alle protocollen ingaat die er zijn.
Verder is er weinig aan de hand.
Inderdaad. Overigens lijkt het mij vrij onhandig om een directeur van de CIA op deze manier in z'n hemd te zetten, kan mij zo voorstellen dat je tot het einde der tijden op lijstjes blijft staan van de inlichtingendiensten.
Dat is een 2e.
Sowieso een twitter account hebben en zulke dingen lopen spuien. Lijkt me niet echt een moeilijke om dan ip-adressen etc. te achterhalen waarvandaan die gebruikt is.
Betwijfel eerlijk gezegd of ze zo slim zijn om daar openbare verbindingen voor te gebruiken.

Als het ze puur om de info ging en het aan doorsturen de kaak stellen hadden ze het ook anoniem kunnen dumpen op tig verschillende sites.
Nu is het eerder een grote roep om aandacht zonder over de consequenties na te denken.
Als jij eraan kan denken om zoiets niet via de eigen verbinding te doen, zullen zij dat vast ook wel doen...
Maar in de tussentijd wel bellen naar die directeur en makkelijk te herleiden info in de media delen? Trek eerlijk gezegd dan wel een beetje hun nadenk niveau in twijfel.

Maar goed. Wie weet zijn ze wel zo wakker geweest en moet er iets meer moeite gedaan worden om op bewakingsbeelden te zoeken naar die 2 tot 6 tieners tussen de 15 en 20. Die op specifieke gelogde tijden steeds aanwezig geweest zijn op de openbare locatie vanwaar ingelogd is
En uiteraard hebben ze voor elke handeling een uniek nooit eerder gebruikt aparaat benut.
Er is géén makkelijk te herleiden info te vinden nochtans...
Er zijn ontelbaar veel plaatsen waar iemand anoniem het internet op kan. Van onbeveiligde WiFi routers tot allerlei winkels zonder camera die gratis WiFi aanbieden. En dan is er nog zoiets als TOR....
Zit ook maar een beetje veel te chargeren :p

Als ze inderdaad de moeite hebben genomen om niet traceerbaar te zijn dan zal het een lastig iets worden.
Maar van de andere kant weet ik niet hoe goed ze alle informatie die legaal verzameld wordt uit kunnen filteren. En daarnaast zal er nog steeds zat info illegaal of via omwegen verzameld worden.

Is dan denk eerder een geval van hoeveel tijd en moeite ze erin willen steken. Als ze ze echt willen vinden moet het denk ik wel mogelijk zijn.
Dat viel mij ook op. Wanneer Clinton het doet is iedereen in rep en roer, maar wanneer de CIA (die nog grotere staatsgeheimen zal hebben gezien de CIA niet voor alles verantwoording hoeft af te leggen) ligt de nadruk op de tieners :S
Je weet hoe dat gaat met protocollen. Na een tijdje zondigt iedereen zich eraan, tot het eens fout loopt. Dan staat er iemand op met zijn vingertje in de lucht en die verwijst naar de protocollen.
Moment... hier klopt geen ene zak van.
Ten eerste: "crackas with attitude", klinkt me net als "niggas with attitude" wat volgens mij een gang is uit de westkust (lees: LA) van de VS. het is precies wat je denkt: dat soort gasten die die straten best wel onveilig maken.
Ten tweede: 5 biljoen dollar willen hebben.... leer toch eens afpersen... ik had als ik zo'n wannabe hackertje was 3 miljoen gevraagd, dat klinkt tenminste nog reeël.
Ten derde: dat free palestina BS geeft me een vermoeden dat hier een meer politieke reden achter zit.
Ten vierde: deze mensen lijken me niet Amerikaans, meer - you guessed it - uit Palestina en geimmigreerd naar de VS.
Ten vijfde: waarom altijd leaseweb? er zijn genoeg goedkopere hosts...
Ten zesde: ik denk dat deze mensen wannabe hackers zijn - vandaar het social engineeren en niet perse systemem proberen te cracken - die graag mee willen doen met de "grote jongens".

Hierbij mijn bevindingen.
(...)
Ten tweede: 5 biljoen dollar willen hebben.... leer toch eens afpersen... ik had als ik zo'n wannabe hackertje was 3 miljoen gevraagd, dat klinkt tenminste nog reeël.
(...)
Er happert iets met je sarcasme detector. Misschien nieuwe firmware installeren?
Sjonge jonge, ze zeggen 5 biljoen en lachen hem uit, denk je dan echt dat dat een serieus voorstel is? :)
Lekker slim om de directeur van de CIA tegen je in het harnas te jagen.
Die komt er vast niet achter wie jullie zijn, zeker niet nadat je hem gebelt hebt.
Gezien die staatsgeheimen op een prive mailadres heeft staan bij een commerciele partij heeft die wel andere zaken aan het hoofd dan een voorbeeld maken van enkele tieners. Helemaal op de manier hoe ze zijn binnengedrongen.

Edit: Ze zullen dit eerder in de doofpot proberen te stoppen.

[Reactie gewijzigd door NightFox89 op 20 oktober 2015 12:18]

Hun identiteiten zullen inmiddels wel bekend zijn. Een mailbox bekijken kan nog wel wat anoniem gebeuren, maar een telefoongesprek is wat moeilijker. Ze hebben zelf de technologie in huis om een stemanalyse uit te voeren. Als je de baas uitdaagt, verklaar je de oorlog in dit geval. Het enige probleem zal zijn, dat het geen burgers van Amerika zijn, want die zouden niet vragen om Palistina te bevrijden.
Een telefoongesprek dat niet opgenomen is, lijkt me moeilijk te analyseren... En om nu de stem van elke scholier te gaan vergelijken met die stem (als ze al niet vervormd was) lijkt me een nutteloze onderneming.
En er zijn overal meer dan genoeg mensen die het voor Palestina willen opnemen, ook in de VS...
Als ze deze jongens niet kunnen vatten, dan moeten we ons nog geen zorgen maken dat Amerikaanse geheime dienst ons (zogezegd) afluistert en vanalles over ons opslaat. Want dat zou dan niet kloppen.
Ze kunnen alles afluisteren dat zonder veel beveiliging via het internet verstuurd wordt. Het kleinste kind kan tegenwoordig al heel wat privacy-beschermende software gebruiken...
Irrelevant aan dit artikel, maar waarom blijft Leaseweb altijd opduiken bij dit soort zaken en is het nooit TransIP ofzo? Heeft Leaseweb minder controle op persoonsgegevens ofzo? Of is dit een stukje confirmation bias van mijn kant?
Heb wel verhalen gehoord dat een paar van dit soort hacks vanaf waveride.at komen, aangezien die goedkoop zijn omdat ze geen support bieden, daarom ook minder controle.
kan ook net zo goed niet waar zijn, maar goed.
Het valt mij inderdaad ook op hoe vaak Leaseweb bij inbeslagnames, malware, etc. de hoster is.
Tja, het is niet echt handig om dit bij de CIA-directeur te doen, je zal nu altijd wel op de NSA-lijst blijven staan wanneer de groep gepakt wordt.

[Reactie gewijzigd door nickurt op 20 oktober 2015 12:19]

Tot nu toe heb ik bij bedrijven gewerkt, waarbij je een account van de zaak kreeg.
daarbij geen enkele noodzaak had om uberhaupt te forwarden.

en het is natuurlijk ook logisch dat je dit soort dingen niet forward naar je eigen prive account.
vooral niet als het om CIA documenten gaat.
dat zon Directeur dan niet weet, of niks om geeft. ik weet zeker dat het daar verboden is voor werknemers.

als iemand het maar bij de CIA zou doen en ze komen er achter lig je er uit, maar een Directeur die bij nog gevoeliger documenten kan, die doet het zelf. ongeloofelijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True