Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ransomware versleutelde politiecamerasystemen in Amerikaanse hoofdstad

Door , 46 reacties

Een malware-infectie met ransomware zorgde er tussen 12 en 15 januari voor dat een groot deel van de politiecamerasystemen van de Amerikaanse stad Washington D.C. versleuteld werd. Het ging om de systemen die voor de opslag van de camerabeelden verantwoordelijk zijn.

CctvGemeentefunctionarissen lieten aan The Washington Post weten dat 123 van de in totaal 187 systemen geïnfecteerd waren, wat neerkomt op ongeveer 65 procent. Hierdoor was het niet mogelijk om camerabeelden op te nemen in de week voor de inauguratie van de Amerikaanse president Donald Trump. Volgens een woordvoerder was de openbare veiligheid niet in gevaar door het incident en had het geen gevolgen voor lopende onderzoeken. Het is onduidelijk wie verantwoordelijk is voor de infectie, al schrijft de krant dat het ging om een afpersingspoging.

Onbekend is welke soort ransomware is gebruikt. De krant schrijft alleen dat het gaat om twee varianten. Medewerkers van de gemeente waren in staat om de infectie op te schonen door een hernieuwde installatie van de systemen. Er zou geen losgeld zijn betaald voor decryptie. De malware was alleen aanwezig op de systemen die de opslag verzorgen voor publieke camera's en is niet in andere systemen binnengedrongen. Sommige ransomwarevarianten gaan actief op zoek naar netwerkschijven om zich verder te verspreiden.

Ransomware leidde al eerder tot problemen in een Amerikaanse stad, toen criminelen de systemen van de vervoersbedrijven van San Francisco met de HDDCryptor-variant besmetten. Zij eisten toen 100 bitcoin voor decryptie, wat op dat moment neerkwam op ongeveer 68.500 euro. Als gevolg van de versleutelde systemen konden reizigers tijdelijk gratis het openbaar vervoer gebruiken.

Reacties (46)

Wijzig sortering
Openbare veiligheid was niet in gevaar... nee, maar als er wel wat was gebeurd hadden ze de auto of ander vervoersmiddel niet kunnen tracken.
En opgelost door de systemen opnieuw te installeren houdt waarschijnlijk in dat ze alle data die was opgeslagen gewoon hebben gewist, waardoor ze nog steeds met een gat zitten in de beelden.
Inderdaad. En als de openbare veiligheid niet is gevaar was zonder die camera's te kunnen gebruiken, waarom hangen ze er dan uberhaupt? Hoe weten ze zeker dat er niets gebeurt is, wat alleen op die camera's zou staan?

Gewoon een default statement als er iets aan de knikker is.
Waarschijnlijk zullen ze de oude (geencrypteerde) data niet gewist hebben, maar eerst gekopieerd. Als het dan achteraf nodig blijkt, kunnen ze alsnog proberen de encryptie te kraken... (of ze zijn er al mee bezig...)
lezen:
Hierdoor was het niet mogelijk om camerabeelden op te nemen
wat er niet is, kan ook niet verloren gaan
Lijkt me zeer sterk, volgens mij hebben ze de data gewoon gewist en fresh install... ik vermoed camerabeelden niet actief worden gebruikt, maar eerder na een incident...
Het lijkt me sterk dat het zomaar gewist is. Je mag de mogelijkheid van een gerichte actie niet uitsluiten - camera's onklaar maken en vervolgens op bepaalde plekken acties uitvoeren die je niet opgenomen wilt hebben. Als je een grote aanslag plant, dan heeft dit weinig zin, maar voor een kleine gerichte en onopvallende actie kan het heel effectief zijn.
Lijkt me wel raar, dat camera's in New York ook zien wat er in Washington DC op staat gebeurt....
Iets teveel Hollywood? Gezien de acties van de NSA met het opslaan van data denk ik niet dat die versleutelde data zomaar gewist wordt, omdat dat toevallig gemakkelijker en goedkoper is. Opslag kost niks meer trouwens, en die kosten doen er niet toe gelet op het hele plaatje. En ik denk niet dat je bij de FBI wegkomt met het argument Hollywood-scenario.
Natuurlijk is er een effect op de openbare veiligheid. Er is echter geen accuut effect.
Aan de camera's zelf was niets te zien, dus wie iets kwaads in de zin had keek wel uit omdat in het oog van de camera te doen. De camerabeelden konden realtime gewoon bekeken worden. Terugkijken van opgeslagen beelden gaat niet meer, dus het gevaar zit voornamelijk in een probleem met opsporing achteraf.
Door de opslag om te leiden naar andere systemen blijft de last beperkt. Indien nodig kunnen ze achteraf kunnen ze altijd nog bepalen wat ze met de gegijzelde data doen.
Stel dat dit een gerichte actie van Rusland was, stil uitgevoerd en zo gedaan dat je niks ziet als je naar de beelden zit te kijken. En ook als het wel zichtbaar is, maar als je gericht moet kijken en op het juiste moment. Het is niet mogelijk al die camera's altijd 100% te monitoren. Stel dat er naderhand blijkt dat er toch iets gebeurd is, en wil je de beelden terug zien, of gezichtsherkenning toepassen, dan is dit een heel effectief middel gebleken.
Klinkt misschien als een bekend filmscenario maar wanneer dit soort toegang op die servers mogelijk is wie zegt dan dat er bijvoorbeeld niet tijdens een incident oude beelden teruggezet kunnen worden.
Zo voorkom je mooi dat je op beeld verschijnt wanneer men naar een bewerkte kopie van een uurtje geleden zit te kijken.
Gewoon een default statement als er iets aan de knikker is.
Nb: Precies hetzelfde zie je in Nederland als er weer eens een grote brand is: 'Er is/was geen gevaar voor de volksgezondheid...' (maar wel ramen en deuren gesloten moeten houden)... |:(

[Reactie gewijzigd door kimborntobewild op 30 januari 2017 13:27]

Voor je eigen veiligheid...en denk aan de kinderen!

Wat dit betreft, onmogelijk.

Er zijn eigenlijk twee opties.

1: De amerikanen zijn zo slim (en bang (voor de kids)) dat tijdens een inauguratie het volstrekt, onmogelijk is dat een groot deel van een camera netwerk door hacking plat gaat. De amerikanen nemen doorgaans geen enkel soort van risico als het olm hun president gaat. Het is de best beveiligde mens op Aarde, of tenminste bijna.

2: We hebben een nogal naïef idee dat beveiliging van zo'n evenement op orde is. Dat veel geld en goed opgeleide competente beveiligers en allerhande personeel geen fouten maken. Dat Ze de beste IT'ers hebben etc.

Ga je voor 1, dan heb je een samenzwering of een niet als zodanig erkende hack aanval van een ander land/groep.

Ga je voor 2 dan is dat al even erg. Dat betekent dat er aangerommeld wordt op het hoogste niveau en dat hoe competent men ook is, ICT gewoon een lekwerk is, zoals ik altijd zeg.

Er is nog een derde optie, de combinatie van 1 en 2.

En wat dat dan betekend voor de betrouwbaarheid van de sociale omgeving...
Het gaat hier om de Network Video Recorders (NVR's) die video-beelden voor gebruik achteraf opslaan. CCTV's hebben twee belangrijke functies: Live politietoezicht, voor de veiligheid, en opnames, als bewijs in rechtzaken achteraf. Het is die tweede functie die dus problematisch zou zijn, indien er een aanslag geweest zou zijn.
Van de data hadden ze waarschijnlijk een back-up. Alleen het heeft 3 dagen gekost om alle servers opnieuw te installeren. En in die tijd konden er geen nieuwe opnamen worden gemaakt.
Het gaat hier alleen om de servers, niet de camera systemen zelf. Omdat ik geen aannames ga maken wat hier exact is gebeurd, maar wel verstand heb van zaken wat een gepaste oplossing is:

- De beelden op de server zijn los gekoppeld van de camera's, waardoor een andere server opslag als vervangende mogelijkheid word geboden
- De vaste camera's die niet kunnen opnemen worden direct in spoed opdracht vervangen voor mobiele camera's met 4G verbinding
- Ondertussen worden de beelden van de geïnfecteerde server decrypted
- De backup server (er zijn er altijd meerdere) van de afgelopen 24 uur word veilig gesteld

Daarom word de uitspraak gedaan 'dat de veiligheid niet in geding is gekomen'. Een mooie uitspraak, ik geef het toe. Maar dit is hoe het hoor te gaan en daarom kan ik uit eigen ervaring concluderen dat zij in dit geval de waarheid spreken.
Nou ja, ik neem aan dat die dingen hun data wel door sturen naar een of andere server. En als er ransomware op stond, is een apparaat toch niet functioneel, dus konden er geen beelden worden verwijderd. Die waren immers helemaal niet gemaakt.

Niet goed gelezen

[Reactie gewijzigd door Stoelpoot op 30 januari 2017 10:41]

Aannames?
De servers waarden juist getroffen. Niet de camera's. Lees de intro.
Oh ja, dat klopt. Had daar overheen gelezen, en kwam bij de conclusie van de camera's zelf uit omdat er stond dat er niet kon worden opgenomen.
Openbare veiligheid was niet in gevaar... nee, maar als er wel wat was gebeurd hadden ze de auto of ander vervoersmiddel niet kunnen tracken.
En opgelost door de systemen opnieuw te installeren houdt waarschijnlijk in dat ze alle data die was opgeslagen gewoon hebben gewist, waardoor ze nog steeds met een gat zitten in de beelden.
Ik vond het ook een grote uitspraak.
Dit soort zaken komt pas achteraf in beeld ( pun intended )
Als er een melding is van moord / inbraak, gaat men pas later achter de camerabeelden aan ( moet eerst bekend zijn dat ze er eventueel zouden zijn )
De week voor de inauguratie is amper 3 weken terug, dus de backlash ( er zijn wél beelden kwijt ) komt pas over een paar weken.
Van mij mogen ze die gasten dat zoiets schrijven extreem zwaar financieel straffen
Besmetting zal wel gebeurd zijn door één of andere onvoorzichtige werknemer en z'n usb stick.
Die ransomware die dan merkt dat hij met speciale file's te maken heeft en die dan gaat versleutelen.
Op den duur zijn veel virussen/ransomware 'hun eigen leven gaan leiden'.
of heeft de maker van die software code, niet echt meer ene idee wat z'n programma versleuteld. Zolang het geld maar blijft binnenstromen.
Aannames en nog eens aannames. Ja dat kan, maar "dat zal wel gebeurt zijn..." dat is natuurlijk gewoon onzin om zomaar aan te nemen.
Besmetting kan ook via een netwerk. En er zijn genoeg voorbeelden van specifieke code, aanvallen op specifieke doelen en hardware.
Exact. Regel 1 in troubleshooting: Aannames zijn verboden. ;)
Regel 2 Indien er toch genoeg feiten bekend zijn, zie dan regel 1. ;)
Regel 3, mocht je aanamens te kort komen, laat de service managers langskomen terwijl je druk bezig bent het probleem op te lossen.
Aannames en nog eens aannames. Ja dat kan, maar "dat zal wel gebeurt zijn..." dat is natuurlijk gewoon onzin om zomaar aan te nemen.
Een paar mensen doen aannames, de volgende ziet dat als feit en hoppa, nepnieuws is geboren. ! :+
[...]

Een paar mensen doen aannames, de volgende ziet dat als feit en hoppa, nepnieuws is geboren. ! :+
Er bestaat geen nepnieuws, dat heet tegenwoordig "Alternatieve feiten" ;)
Nog leuker vond ik het bericht dat hotelgasten in hun kamers waren opgesloten omdat ransomware de computer had geinfecteerd die de deuren bestuurde!
Al is dat een onjuist bericht (?), want vanuit een andere bron bleek juist dat ze niet opgesloten waren:
"We were hacked, but nobody was locked in or out," said the hotel's Managing Director Christopher Brandstaetter. "For one day we were not able to make new keycards."

"Since the locking system must work even in the event of power failure, the guests in the hotel almost did not notice the incident," the manager also added. "We simply could not issue new keycards because the computers were encrypted."
https://www.bleepingcompu...system-at-austrian-hotel/
Zomaar even benieuwd: Zou je - zeker met de wat gammele betrouwbaarheid van TOR waar ik hier en daar over lees - niet gewoon kunnen achterhalen vanaf welk IP de aanvallers contact maken om de boel te unlocken?
Tja ransomeware is de enige mallware/spyware/virus waar ik toch wel voor vrees. Verder maak ik met er geen zorgen om en is alles wel detecteerbaar en verwijderbaar.

Het gaat dan ook veel verder dan simpelweg even adds serveren of keyloggen of spam versturen.
Je kan gewoon echt geld of je data kwijtraken...
Geeft je toch te denken dat ongeautoriseerde software gewoon toegang heeft tot alle camerabeelden in zo'n belangrijke stad. Zo'n spelletje als Watchdog is helemaal niet zo ver gezocht.
Oplossen door herinstallatie, top!
Leuk script voor een "bankjob" film. Of iets in die orde. Misschien een compare doen van alle standaard footage en een spelletje zoek de 10 verschillen. Een mooi begin van een spannende serie zou het ook kunnen zijn. (net als de subway, gratis reizen jaja, maar wat is er nog meer "aangepast"?)
HBO aaaaand Action!
how?

misschien dat ik het niet goed begrepen heb met iot / cameraatjes; die krengen bleken toch kwetsbaar vanwege default/ongewijzigde wachtwoorden? waardoor men relatief eenvoudig kon inloggen, authorisatie wijzigen en voila; your system is my system :+
Er zit een verschil voor de thuis camera, en een compleet digitaal bewakings systeem.
Bij een compleet digitaal bewakings systeem heb je een losse opslag server die de streams van alle camera's ontvangt en meestal de camera's nog bestuurd.
De camera's zelf zijn meestal ook iets beter dan de thuiscamera wat betreft waterdichtheid en dergelijk.
De opslag/controle server is meestal een windows systeem. Had het helemaal niet hoeven zijn, maar meestal is dat een voldongen feit.
Mooie reden dus om dat soort spul in een eigen netwerk te zetten.
Bij mij staat beveiligings apparatuur van derden altijd op een eigen netwerk, juist vanwege dit soort grapjes. Ik weet welke gaten ik maak, ik weet niet welke gaten leverancier xyz maakt.
Het is maar net zoals je het netwerk uitdenkt en configureert. De opnamens worden (meeste gevallen) op grote storages nodes opgeslagen en gerepliceerd tussen elkaar om dataverlies te voorkomen. Hiervoor wordt voornamelijk Unix voor gebruikt en voor het bekijken van de videobeelden maakt het echt niet uit met welk OS er wordt gebruikt. Beide omgevingen moeten gescheiden van elkaar zijn.

Wil niet teveel aannames maken, maar ook Unix kan getroffen worden door Cryptoware en het kan zo maar net zijn dat een IT-er niet zorgvuldig te werk ging en de storage servers besmette.
Er zit een verschil voor de thuis camera, en een compleet digitaal bewakings systeem.
Ik sla mijn videobeelden op een nas en extern (d.m.v. replicatie naar een andere NAS) op. Zo speciaal is het niet, alleen ik hoef niet aan de vele ISO's voldoen en heb geen terabytes aan opslag.
Het is maar net zoals je het netwerk uitdenkt en configureert.
Ik ga uit van bestaande COTS "professioneel" systeem. Niet wat jij en ik zouden doen. Ik kan me niet herinneren dat ik ooit een COTS "professioneel" systeem hebt gezien (behalve vanuit de SoHo nas gepusht, maar dus niet uit de beveiligingswereld...) die draait op een niet zelf geleverd systeem dat geen windows is. Zelf geleverde systemen zijn voor zover ik weet ook altijd windows systemen.

Uit eigen ervaring weet ik dat het redelijk simpel is om camera systemen vanaf linux te beheren, maar in het geval van een politie apparaat denk ik dat de openbare aanbesteding de leverantie op bestaande unix systemen zowiezo tegen gaat.
maar in het geval van een politie apparaat denk ik dat de openbare aanbesteding de leverantie op bestaande unix systemen zowiezo tegen gaat.
Tja, het is inderdaad jammer om te zien.
Ik ga uit van bestaande COTS "professioneel" systeem. Niet wat jij en ik zouden doen. Ik kan me niet herinneren dat ik ooit een COTS "professioneel" systeem hebt gezien (behalve vanuit de SoHo nas gepusht, maar dus niet uit de beveiligingswereld...) die draait op een niet zelf geleverd systeem dat geen windows is
Heel leuk dat je "professional" aanhaalt, maar als je met terabytes werkt zijn er maar paar oplossingen om de data op te slaan. Alle grote bedrijven maken hierbij gebruik van Unix systemen en bv. Objectstorage als middel om schaalbaar data op te slaan. Zelfs Microsoft maakt hier gebruik bij hun diensten.

[Reactie gewijzigd door vali op 30 januari 2017 13:01]

"Zelfs Microsoft maakt hier gebruik bij hun diensten." Er zit een groot verschil in "het ding dat de data daadwerkelijk opgeslagen heeft staan" en "het ding dat de camera's aanstuurt en de beelden toont".

Die eerste kan van alles zijn, en veel van die dedicated appliances / apparaten draaien inderdaad een *nix of *bsd-variant, maar die andere kom ik zelf eigenlijk vooral op Windows tegen. De terugspeelsoftware sowieso, want de werkstations van de meeste bedrijven draaien nu eenmaal Windows, maar de serversoftware over het algemeen ook.

Wat natuurlijk niet wil zeggen dat ze er niet zijn, en/of dat er geen grote bedrijven zijn die er gebruik van maken :)
Dit zijn geen iot camera's en die zijn ook niet besmet. In de intro notabene staat dat de computers verantwoordelijk voor de opslag besmet waren.
Misschien iemand die met metersgrote borden met QR-codes langsliep... Wie weet.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*