'FBI waarschuwde voor buitenlandse aanvallen op verkiezingswebsites VS'

Yahoo News heeft een waarschuwing van de FBI in handen gekregen waarin de dienst waarschuwt voor buitenlandse aanvallen op verkiezingswebsites. Uit bronnen zou blijken dat het bericht refereert aan inbraken op verkiezingsdatabases van de staten Arizona en Illinois.

De waarschuwing van de FBI is al op 18 augustus uitgestuurd, maar was alleen bedoeld voor mensen die direct afhankelijk zijn van de informatie. Het bericht heeft daarom een 'need to know'-aanduiding. In het document zegt de overheidsdienst dat onbekenden eind juni de website van de verkiezingscommissie zijn binnengedrongen door middel van een sql-aanval. Yahoo News heeft door gesprekken met bronnen kunnen achterhalen dat het daarbij ging om de verkiezingsdatabases van Arizona en Illinois. Bij de laatste staat hebben onbekenden gegevens van 200.000 kiezers weten buit te maken.

Uit de waarschuwing komt naar voren dat de aanvallers verschillende ip-adressen gebruikten. Van de in totaal acht ip-adressen kwam er één voor in beide incidenten, waardoor deze mogelijk in verband met elkaar staan. Rich Barger, cio van beveiligingsbedrijf ThreatConnect, meldt ook aan Yahoo News dat een van de adressen 'eerder op een Russisch forum voor internetcriminelen is opgedoken'. Ook de combinatie van gebruikte tools, waaronder Acutenix en DirBuster, zouden eerder bij andere Russische internetaanvallen zijn gebruikt.

De FBI heeft niet gereageerd op aanvullende vragen van Yahoo News. Tegenover een medewerkers van de verkiezingscommissie van Illinois zou de dienst echter bevestigd hebben dat het om buitenlandse aanvallers zou gaan, zonder een land te noemen. De dienst onderzoekt een mogelijke link met de hack op de DNC. Er zouden echter nog geen conclusies zijn getrokken, waardoor de mogelijkheid bestaat dat het gaat om internetcriminelen die uit zijn op persoonsgegevens. In 2015 zijn eerder gegevens van 191 miljoen Amerikaanse kiezers uitgelekt door een configuratiefout.

IT-banen

Reacties (40)

steff85 29 augustus 2016 15:28

Valt me op dat in het Yahoo document de 'tegenstander' nogal systematisch (alle 4 keren) gekoppeld wordt. Yahoo zal wel weten wat het beste bij hun publiek scoort:
"...potentially by Russian state-sponsored hackers"
"...surfaced before in Russian criminal underground hacker forums"
"...methods used in other suspected Russian state-sponsored cyberattacks"
"...perpetrated by Russian government hackers"

Rex @steff85 • 29 augustus 2016 16:23

Dat is ook precies wat ik meteen dacht. Wie zegt niet dat het binnenlandse aanvallen kunnen zijn? Als ik een Amerikaan zou zijn en ik zou willen inbreken op zulke belangrijke databases, dan denk je toch niet dat ik vanuit mijn zolderkamer met mijn Verizon/Comcast IP rechstreeks die databases ga aanvallen!?

Eerst zou ik zorgen voor 10-20 proxies, en zou ik alles daar bovenop via Tor routen, en dan als laatste proxy zou ik een "vijand van de USA" nemen en dan kom je meteen uit op Rusland. (Je kunt moeilijk aan een Cubaanse/Noord-Koreaanse IP komen.)

Nystran @Rex • 29 augustus 2016 19:33

SQL aanval... oeh, dan zou zelfs Swaziland erachter kunnen zitten.

Want in de handen van een buitenlandse mogendheid zijn de persoonsgegevens van 200.000 kiezers meer waard dan op de zwarte markt?

</sarcasm>

David.S @steff85 • 30 augustus 2016 15:13

Iets wat mij al eerder opgevallen is. Alles momenteel aan Rusland is slecht en ze zijn zowat weer het "Rode Gevaar". Althans, zo komen de berichten over. Echter komen er nooit harde feiten op tafel. Altijd uitdrukkingen als "het vermoeden bestaat dat" of "potentieel". Neemt niet weg dat in enkele gevallen het daadwerkelijk een juist vermoeden is, maar deze anti-Rusland propaganda begint wel te vervelen.

Verwijderd @David.S • 30 augustus 2016 19:01

Ik denk dat een boel mensen niet weten wat er in de wereld speelt. Rusland krijgt te veel het voordeel van de twijfel. Ga maar eens wat lezen over wat Rusland doet met de Baltische staten. Of hoe ze troepen samentrekken bij de Oostgrens van Oekraïne. Of hoe ze akkefietjes ensceneren bij de grens van Krim en Oekraïne.

Ja, Rusland is een misselijke schurkenstaat geleid door een ex KGB agent met een heel kleine piemel. Hij stak een dolk in de rug van Oekraïne en Jan Roos, die achterlijke debiel, maakt daarvan een anti-EU rel. En op dat succes gaat ie nu de politiek in.

Hmpf. Blijf lekker onwetend.

David.S @Verwijderd • 31 augustus 2016 09:36

En jij weet natuurlijk precies wat er gaande is gezien jij hier in Nederland woont. Mooi voor je dat jij zo alwetend bent en je mening direct klaar hebt liggen!

Dat wat jij allemaal roept doet mij vrij weinig eerlijk gezegd. Ten eerste is dat, omdat jij kennelijk erg beïnvloed bent door de media. Probeer eens te kijken naar wat alternatieve media, of gewoon naar de feiten. Om maar even in te gaan op een van jouw punten... "Of hoe ze troepen samentrekken bij de Oostgrens van Oekraïne." Je weet dat Amerika al jaren loopt te pushen en te kijken hoe ver ze kunnen gaan hé? Basissen steeds dichter bij de grenzen van Rusland bouwen, militaire oefeningen aan de grens etc. etc. Kortom, provocatie. Zodra Russische troepen, nog steeds op eigen grondgebied, de grens actiever gaan bewaken ziet men dit opeens als een daad van agressie.
Ten tweede vanwege jouw manier van uitdrukken en totale onkunde om jouw persoonlijke gevoelens richting Rusland in elk geval te verbergen. Misschien zou je een stuk serieuzer overkomen als jij niet totaal irrelevante dingen er bij gaat betrekken. Ik geloof niet dat zijn werkverleden veel te maken heeft met dat wat wij aan het bespreken zijn en al helemaal delen van zijn lichaam.

Ik zou zeggen bezoek het land eens, je zult versteld staan van de onwaarheden die gesproken worden over het land. Ik kan het weten, zelfs als "onwetende", ik kwam er namelijk eerder elk jaar.

Verwijderd @David.S • 31 augustus 2016 19:24

Misschien zou je een keer naar Oekraïne kunnen gaan en wat 'googlen 'zoals dat heet over wat er gebeurt. En geen aannames doen, alsof ik alleen het NOS journaal kijk. Ik ben geen 12 meer hoor.

Volgens mij mag je als land een basis bouwen op je eigen soevereine grond. En als Rusland dat alarmerend vind, moet ze niet huilie huilie agressie agressie doen. De invloedssfeer van Rusland strekt zich niet uit tot over haar eigen landsgrenzen.

De Russische mentaliteit is zwak. Men heeft daar overduidelijk een vijandsbeeld nodig om zich goed te voelen en de NAVO is natuurlijk de makkelijk te verkopen boosdoener. We handelden met dat land. En wat doen ze? In plaats van gewoon onderdeel te zijn van de wereld, vallen ze andere landen aan.

Ik denk dat Erdogan het van Poetin afkijkt. En wat doen wij? We staan er als debielen naar te kijken. In plaats van snoeihard die Russen voor het blok te zetten, gaan we een paar miljardairs wat sancties opleggen en wat export belemmeren.

Als we niets doen, dan valt Oekraïne. En Georgië. En misschien de Baltische Staten. Voor veel Nederlanders is oorlog een illusie, iets dat onmogelijk kan bestaan. Je kent ze wel, met hun te lange geruite korte broekjes met een GSM in de ene hand en de andere hand om de pik en een verdwaasde blik op het gezicht als je ze aanspreekt. Een generatie die duidelijk iets te weinig lijdt.

Verwijderd @steff85 • 30 augustus 2016 10:32

Op straat slaat iemand je in het gezicht. Wat doe jij? Je kijkt om je heen en slaat de eerste beste andere terug die jouw niet sloeg.

Het kan immers niet die ene zijn die het deed?

Samenzwering boven alles!

steff85 @Verwijderd • 30 augustus 2016 14:45

Mijn kritiek beperkt zich tot het storen aan de gekleurde (demoniserende) wijze waarop de Yahoo-auteur rapporteert.

Ik wijs verder geen andere schuldige aan of iets, terwijl je mij juist daar op afrekent.

netfast 29 augustus 2016 14:44

"waaronder Acutenix en DirBuster"
Gok dat er Acunetix bedoeld wordt?

En alsof dat een Russian only software pakket is... Come on!
Hoe doorzichtig moet het worden? Framen is wel erg makkelijk zo...

Van de Acunetix website:
"Acunetix is a privately held company with its offices in Malta and the UK. It is a Microsoft Certified Partner."

Klinkt niet echt russisch. Hell, ik heb het zelf ook gebruikt...

.oisyn Moderator Devschuur® @netfast • 29 augustus 2016 14:59

Dat staat er ook niet he:

Ook de combinatie van gebruikte tools, waaronder Acutenix en DirBuster, zouden eerder bij andere Russische internetaanvallen zijn gebruikt.

Oftewel, de combinatie van bepaalde softwarepakketten wordt vaak aangetroffen bij Russische hackers. Dat impliceert geenszins dat die softwarepakketten Russisch zouden zijn.

Cornelisjuh @netfast • 29 augustus 2016 14:52

Amen. Let ook op de leaks van George Soros' Open Foundation waar duidelijk naar voren komt dat Rusland de grote bad guy moet worden/zijn. En laat George Soros nu een grote sponsor van de DNC zijn.

DRaakje 29 augustus 2016 14:44

Nog een reden waarom ik voor het stemmen met een rood potlood ben...

PolarBear @DRaakje • 29 augustus 2016 15:47

Het gaat niet om stemmen maar om het registeren van jezelf als kiezer. In veel (alle?) Amerikaanse Staten moet je je registeren om te kunnen stemmen. Dat heeft te maken dat men daar geen (betrouwbare) burgelijke stand kent.

mugenmarco 29 augustus 2016 14:45

Dit lijkt mij bewust gedaan. Mocht meneer Trump de verkiezingen gaan winnen dan kan Obama etc alsnog zeggen dat het vals spel is.

Edit: dit lijkt mij geen -1 waard, waarom geven jullie mij alsnog een -1?

[Reactie gewijzigd door mugenmarco op 23 juli 2024 01:21]

TheRealProcyon @mugenmarco • 29 augustus 2016 14:59

Trump geeft trouwens aan dat er oneerlijk gespeeld wordt door de Democrats/Democraten oftewel hij geeft aan amper of niet te kunnen winnen.

w00t00w @TheRealProcyon • 29 augustus 2016 17:31

Dat is de Calimero-eierdop die elke populist te allen tijde bij zich draagt: als je niet kunt winnen, dan ligt dat uiteraard niet aan de volstrekt onrealistische, simplistische beloften, keiharde leugens en schofferende uitspraken die je zelf uitkraamt, het ligt altijd aan 'hullie'. Bijkomend voordeel is dat de aanhang (vaak van het type 'Democratie werkt alleen als de uitslag in mijn straatje past, anders is het per definitie vuil spel, list en bedrog') ook meteen een stok heeft om mee te slaan...

Benne @TheRealProcyon • 29 augustus 2016 16:42

Er wordt ook oneerlijk gespeeld door de Democraten, vraag maar aan Bernie en zijn stemmers.

bigbadbull @TheRealProcyon • 29 augustus 2016 17:09

Alsof Trump eerlijk zou spelen.
Het is en blijft politiek, dat zegt genoeg.

supersnathan94 29 augustus 2016 15:18

In het document zegt de overheidsdienst dat onbekenden eind juni de website van de verkiezingscommissie zijn binnengedrongen door middel van een sql-aanval.

Euhm. What? Hebben we nou helemaal niets geleerd van Little Bobby Tables?

SQL-injection/aanval is toch ongeveer wel de meest basic methode die zo simpel is af te vangen dat het bijna onmogelijk is om dat te verkloten. Input sanitizing is stap 1 die je doet. Hoeveel mensen ken je bijvoorbeeld met een ';' of '*' in hun naam? Ik geen 1 hoor.

Had een tijd terug ook een bedrijf wat Javscript parsing niet had afgevangen in het zoekveld. Stelletje #%*#.

batjes

Security

@supersnathan94 • 29 augustus 2016 16:07

Dit, gewoon alle SQL calls laten afhandelen d.m.v. functies en zorgen dat je nooit via gebruikers input op wat voor een manier dan ook SQL queries kan beinvloeden (alle userinputs hoe dan ook opvangen). Dan hoef je je niet eens zorgen te maken dat mensen via 1 of andere sql-injectie bij je database kunnen komen.

Het is verdorie 2016, ik heb dit dik 10 jaar geleden al geleerd en ik ben slechts een hobby dev....

supersnathan94 @batjes • 29 augustus 2016 16:18

In het tijdperk van Microservices vind ik het überhaupt al raar dat een SQL server kennelijk direct aan het internet hangt. Daar bouw je toch netjes een REST API omheen die alle input die hij krijgt sanitized? Dan hoef je al niet eens meer front-end sanitizing te doen per sé (wel aan te raden uiteraard). Daarnaast natuurlijk een check met precompiled SQL statements zodat je nooit andere velden op kan vragen dan de velden die jij hebt gedefineerd en als de response klaar is voor verzending eerst nog even kijken of field K, T en Z niet voorkomen in de response vanaf de SQL server.

Volgens het FBI raport stond dit in de logs:

GET /status.aspx DLIDNumber=1';DROP TABLE sqlmapoutput

hoe komt dit in vredesnaam door je sanitizing heen? Alles met DROP TABLE zou onmiddelijk een shutdown van de gehele request moeten veroorzaken.

The FBI recommends all states take the following precautions to their state Board of Election databases:
 Search logs for commands often passed during SQL injection: SELECT, INSERT, UNION, CREATE, DECLARE, CAST, EXEC, and DELETE, ‘, %27, --

:facepalm: Een dergelijk belangrijke sites filtered deze woorden er toch direct uit bij de bron?

mrdemc @supersnathan94 • 29 augustus 2016 16:34

Het is volgens mij niet per definitie gezegd dat de betreffende actie daadwerkelijk gelukt / uitgevoerd is. Alleen dat deze in de logs naar voren kwam. Dat dit gelogd werd is natuurlijk goed, maar nog steeds kan deze actie gefilterd zijn

supersnathan94 @mrdemc • 29 augustus 2016 16:50

In late June 2016, an unknown actor scanned a state's Board of Election website for vulnerabilities using Acunetix, and after identifying a Structured Query Language (SQL) injection (SQLi) vulnerability, used SQLmap to target the state website.

Dit stukje alleen al geeft genoeg info over of het gelukt is of niet. Ze waren per definitie vatbaar voor SQLi. Dat is zeer slecht.

Ik ontwikkel wel eens "slechte" apps waarbij de WHERe Clause rechtstreeks via de URL wordt ingegeven, maar daar kan je geen nested SQL statement mee uitvoeren omdat iedere vorm van SQL selectors gefiltered wordt in de achterliggende REST service en de user heeft in principe alleen toegang tot SELECT. En Ja de root user heeft nog het standaard password, maar de config pagina hangt achter een .htacces bestand zodat er alleen lokaal toegang is als die machine daadwerkelijk ook zelf in wil loggen. extern gaat dat al niet eens.

mrdemc @supersnathan94 • 29 augustus 2016 19:43

Ik zou niet alleen vertrouwen op een htaccess

Maar je hebt gelijk. Heel slecht dat dit mogelijk is inderdaad.

supersnathan94 @mrdemc • 29 augustus 2016 19:49

Uiteraard is .htacces alleen niet voldoende. Echter hangt phpmyadmin niet achter de standaard poort, maar een niet geforwarde poort (=block in firewall) op een lokale machine.

Iig weet het frontend niet waar en of er een database is. Kan dus net zo goed lijken alsof die niet bestaat.

batjes

Security

@supersnathan94 • 29 augustus 2016 16:41

Proffesioneel heb je daar inderdaad een backend voor.

Zelf op mijn hobby projecten komt geen enkele bit die naar de client gestuurd wordt, of van client naar host direct in aanraking met de code zelf. Zelfs de JS, plaatjes en CSS worden virtueel geserveerd(alhoewel dit wat overhead veroorzaakt). Alles gaat via een router, waar het al op elk binnenkomt request filtert op ;, * en meer.

Sowieso dat de website user op de SQL server rechten heeft voor DROP TABLE... In een productie omgeving geef je SQL enkel de rechten die het nodig heeft, en DROP table hoort daar niet thuis (daar heb je eventueel een maintenance service voor)

Tweekzor 29 augustus 2016 14:38

Nee hoor, waarom zou het vooraf doorgeven van je politieke standpunt een slecht idee zijn? De overheid heeft toch het aller beste met ons voor. Laten we ook maar meteen digitaal stemmen introduceren, lekker makkelijk en zo...

Keer op keer bewijzen ze weer waarom je als consument voorzichtig moet zijn met het doorgeven van gevoelige data en toch blijven ze verbaasd reageren als je aangeeft hier geen behoefte aan te hebben.

[Reactie gewijzigd door Tweekzor op 23 juli 2024 01:21]

proatjeboksem 29 augustus 2016 15:05

Wat ik me dan afvraag: wat voor informatie staat er op die websites & databases en wat kan een hacker er mee? Zijn dat geregistreerde stemmers? Kunnen die stemmers benaderd worden ( & geintimideerd oid)

Ik las iets over sql-injection, maar ik neem aan dat ze niet bijvoorbeeld delete from candidates where code = trumpd kunnen doen en zodoende de verkiezingen saboteren? Of uitslagen beinvloeden en zorgen dat Clinton 399.000 van de 20.000 stemmen krijgt oid.

P1nGu1n

29 augustus 2016 14:39

Uit de waarschuwing komt naar voren dat de aanvallers verschillende ip-mailadressen gebruikten.

Wat zijn 'ip-mailadressen'? Kon er op Google ook niks over vinden.

Edit:
Of is het een typo?

[Reactie gewijzigd door P1nGu1n op 23 juli 2024 01:21]

massareal @P1nGu1n • 29 augustus 2016 14:41

127.0.0.1@gmail.com

darknessblade 29 augustus 2016 14:41

het lijkt er op dat iemand niet wil dat donald trump wint

mrdemc @darknessblade • 29 augustus 2016 14:48

Wie wil dat wel dan?

Nu kijk ik trouwens in het document waarnaar gelinkt wordt en staat er bij 1 ip-adres het tekstje " (new, per FBI)". Wat zou dat betekenen?

Ik heb ook even een whois gedaan op de IP's. Bijna allemaal zijn ze van King-servers gevestigd in London, UK. Behalve de laatste twee. Ik herkende de 89.xxx reeks al (heeft Ziggo ook) als een NL ip, en die is inderdaad vanuit Eemshaven van LiteServer Tilburg. De laatste is ook weer van een in de UK gevestigd bedrijf (Schotland) genaamd Fortunix. Al is de beheerder een persoon met een oost-europese achternaam en heeft het bedrijf een nederlands domeinnaam (fortunix-networks.nl) in de whois staan.

Maar behalve die ene oost-europeesachtige naam is er op de adressen en tools (zie bericht van netfast in 'nieuws: 'FBI waarschuwde voor buitenlandse aanvallen op verkiezin...) niets russisch aan.

[Reactie gewijzigd door mrdemc op 23 juli 2024 01:21]

Verwijderd @mrdemc • 29 augustus 2016 17:53

"Ik herkende de 89.xxx reeks al (heeft Ziggo ook) als een NL ip, "

Zo werk het tegenwoordig niet meer. Landen krijgen geen range meer toegewezen. I.v.m. opraken v.d. ipv4 IP-adressen. In de praktijk klopt het overigens nog redelijk maar dit gaat met de tijd veranderen.

TheRealProcyon @mrdemc • 29 augustus 2016 14:59

Dat die nieuw is voor de FBI

Benne @mrdemc • 29 augustus 2016 16:43

Alles is beter dan Hillary..ook Trump.