Onderzoekers vinden backdoor in updates van bedrijf dat NotPetya verspreidde

Beveiligingsbedrijf ESET heeft een analyse gepubliceerd van de MeDoc-software, die volgens verschillende organisaties werd gebruikt om de NotPetya-malware te verspreiden. In verschillende updates troffen zij backdoors aan. Het bedrijf achter de software ontkent verantwoordelijk te zijn.

ESET meldt dat verschillende MeDoc-updates een dll-bestand met een backdoor bevatten. Het is niet duidelijk hoe deze zijn aangebracht, maar volgens het bedrijf kan dit niet zonder toegang te hebben gehad tot de broncode. Updates met een achterdeur zouden op 14 april, 15 mei en 22 juni zijn verspreid, waarbij die laatste update vijf dagen voor de internetaanval van vorige week dinsdag plaatsvond. Niet alle updates waren van een backdoor voorzien, waaronder een zevental updates tussen 17 mei en 21 juni.

Het beveiligingsbedrijf legt uit dat elk bedrijf in Oekraïne een 'edrpou'-nummer heeft, dat wordt gebruikt voor registratie. Doordat de malware deze nummers verzamelt, kunnen de aanvallers zien welke organisaties zij hebben geïnfecteerd. Niet alleen het nummer werd verzameld, maar ook proxy- en e-mailconfiguraties, inclusief wachtwoorden en gebruikersnamen. Deze worden naar het Windows-register weggeschreven.

Communicatie met de c2-server verliep volgens ESET via de controle voor een nieuwe update en niet via een extern kanaal, waarbij de kwaadaardige code de verzamelde informatie doorstuurt in een cookie. Hoewel er geen diepgaande analyse van de server heeft plaatsgevonden, merkte ESET in zijn vorige analyse op dat ook daar een backdoor aanwezig was. Daaruit leidt het bedrijf af dat de aanvallers mogelijk controle hadden over de server en zo onderscheid konden maken tussen normaal verkeer en verkeer van geïnfecteerde systemen.

De backdoor kon meer dan alleen de eerder genoemde informatie verzamelen. Zo is het mogelijk om een blob te ontvangen en deze te ontsleutelen, waarna verschillende acties uitgevoerd kunnen worden. Bijvoorbeeld het ophalen van een bepaald bestand of het uitvoeren van een bepaald commando of payload. Daarnaast is er een functie die autopayload heet. Deze zou gebruikt zijn om de NotPetya-malware uit te voeren. Volgens ESET blijft er nog wel een aantal vragen over, bijvoorbeeld hoe lang de backdoor precies in gebruik was.

eset backdoor mogelijkheden De mogelijkheden van de backdoor, volgens ESET

Het bedrijf achter de MeDoc-software, dat door onder meer ESET en Microsoft onder dezelfde naam is aangeduid, maar volgens Reuters Intellect Systems heet, ontkent tegenover Reuters iets te maken te hebben met de verspreiding van de malware. Het persbureau sprak met de directeur en zijn dochter, die het bedrijf runnen. Zij zouden hun eigen software onderzocht hebben en tot de conclusie zijn gekomen dat er geen sprake van kwaadaardige code is. Volgens Reuters is de boekhoudsoftware in Oekraïne zeer populair en wordt deze gebruikt bij tachtig procent van de Oekraïense bedrijven.

Het hoofd van de internetdivisie van de Oekraïense politie zei maandag tegen Associated Press dat het bedrijf wist dat zijn dienst onveilig was, maar geen stappen ondernam. Tegen Reuters zei het politiehoofd dat als dit wordt bevestigd, er een aanklacht zal worden ingediend.

IT-banen

Reacties (59)

mocean 4 juli 2017 15:49

"informatie doorstuurt in een cookie", dat lijkt me onzin. Je kan data opslaan in een cookie (maar dat zou een web-browser achtige werking impliceren) en verzenden met een request. Maar 'in een cookie sturen' is geen IT proces dat bestaat

Tweekzor @mocean • 4 juli 2017 15:56

Heb je ooit met een Man-in-the-Middle proxy zoals Burp gewerkt? Cookies zijn gewoon leesbare tekst in de HTTP header. Deze kunnen dus door software worden aangepast en verstuurd zoals te zien in het screenshot in het artikel van ESET: https://www.welivesecurit...ploads/2017/07/image5.png

De rode regels zijn de HTTP requests van de client software. In het tweede request zie je de regel staan:
"Cookie: EDRPOU=11112222;; un=Admin"
Het is dus, zoals ook aangetoond in het bron-artikel, zeker mogelijk om data via cookies te versturen.

koelpasta @mocean • 4 juli 2017 16:24

Maar 'in een cookie sturen' is geen IT proces dat bestaat

Wordt anders wel in o.a. deze RFC uitgebreid gespecificeert...

Tazzy @mocean • 4 juli 2017 15:58

Update binnen snorren met Wget & Cookie kan?

Wim-Bart @Tazzy • 4 juli 2017 16:18

Ja, dat is mogelijk. Zo schedule ik bijvoorbeeld een Akiba Backup op mijn remote Joomla servers, met het cookie wat ik krijg doe ik niks bijzonders, maar WGet haalt het cookie op en verwerkt het.

Anonymoussaurus

Security

@mocean • 4 juli 2017 15:51

Ik weet niet hoe jij het exact bedoelt, maar volgens mij bedoelen ze hier dat de informatie en metadata tijdelijk in een cookie wordt opgeslagen. Waarschijnlijk om detectie te bemoeilijken. Zin klopt inderdaad niet echt, maar gaat uiteindelijk om het idee.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 16:10]

P1nGu1n

@mocean • 4 juli 2017 15:56

Het is toch helder wat bedoeld wordt? Data gestopt in een cookie, cookie meegezonden met een request naar de server.

FlyingDutchMen @mocean • 4 juli 2017 15:51

Maar 'in een cookie sturen' is geen IT proces dat bestaat

Dit is inderdaad geen proces maar wel mogelijk. Al ben ik het wel met je eens dat dit zeer twijfelachtig klinkt.

tweaknico @mocean • 6 juli 2017 11:44

Het is precies daarvoor dat "cookies" gemaakt zijn. Out-of-Band data communicatie tussen client en server.
(In band data is het content deel van een Request/Response)

[Reactie gewijzigd door tweaknico op 22 juli 2024 16:10]

CAPSLOCK2000

Security
Netwerk en systeembeheer

4 juli 2017 16:41

Ik stel me af en toe toch de vraag of dit alles het werk is van één partij of dat er verschillende aanvallers betrokken zijn. Ik houd het best voor mogelijk dat de ene partij daar lekker aan het hacken was en backdoors installeerde, tot er een tweede partij langs kwam die het gat zag en er een "bom" in heeft gegooid.

Mijn persoonlijk theorie is dat NotPetya en WannaCry zijn gepubliceerd omdat het gat bekend was geworden en de wereld was begonnen met patchen. Als er nog langer was gewacht dan hadden nog meer organisaties het gat gedicht. Daarom hebben WannaCry en NotPetya nogal wat rafelrandjes. De software was eigenlijk nog niet klaar maar men moest onmiddellijk publiceren om niet de hele investering te verliezen. Beter iets dan niets.
Ik weet niet of het oorspronkelijek doel was om geld te verdienen of om chaos te stichten, of nog iets anders; ik denk dat die virussen er het beste van hebben gemaakt met de mogelijkheden die ze op dat moment hadden.

Basszje @CAPSLOCK2000 • 4 juli 2017 16:54

Hoeft natuurlijk niet dezelfde partij te zijn. De exploit ligt op straat en waarom zou je zelf iets gaan schrijven als je het gewoon van het net kan plukken bij wijs van spreken en dan aanpassen.

Er zijn genoeg redenen om aan te nemen dat NotPetya niet bedoeld was als ransomware omdat de encryptie niet echt teruggedraaid kon worden. BBC heeft daar trouwens wel een interessant artikel over - http://www.bbc.com/future...r-attack-crippled-ukraine

CAPSLOCK2000

Security
Netwerk en systeembeheer

@Basszje • 4 juli 2017 16:58

Deze virussen komen opeens uit nadat MS het gat al heeft gepatched. Als ik het voor het kiezen had dan had ik wel een ander gat gekozen, er zit nog genoeg lekkers in die dump.

Ik denk dus dat deze partijen het gat zelf hebben gevonden (of gekocht), maar dat hun hand geforceerd werd toen het gat publiekelijk bekend werd. Toen hebben ze er maar het beste van moeten maken voor die exploit helemaal waardeloos werd.

Basszje @CAPSLOCK2000 • 4 juli 2017 17:05

Eerlijk gezegd denk ik dat je de update-mores bij dergelijke grote bedrijven een beetje overschat

Als je kijkt naar wat er in Oekraine zwaar getroffen is zijn dat ook geen instanties die bekend staan om hun doeltreffendheid en kwaliteit van organisatie ( ziekenhuizen, oschad-bank, pumb, overheid ).

Vorig jaar is er ook al een electriciteitscentrale neergehaald in Ivano Frankivsk regio, dus het is niet bepaald het eerste incident.

TheBlackbird @CAPSLOCK2000 • 4 juli 2017 17:57

Er wordt een backdoor in een systeem ingebouwd, wat specialistenwerk is met een specifiek doel. Vervolgens wordt deze backdoor gebruikt om 'ransomware' te verspreiden die specifieke logistieke infrastructuur in het vizier neemt, voornamelijk in Oekraïne. Na analyse blijkt dat decryptie zelfs niet mogelijk was doordat het inputveld voor de decryptiesleutel niet overweg kon met de speciale karakters van een decryptiesleutel. Een virus dat gemaakt werd om schade aan te richten dus, geen ransomware.

Het kan nog alle kanten op - de realiteit kan complex zijn - maar met alle info die momenteel beschikbaar is vind ik het zeer aannemelijk dat dit een door de Russische overheid georganiseerde/gesteunde aanval is. Of een false flag operatie van een land dat er belang bij heeft dat Rusland in een slecht daglicht komt te staan (ten koste van Oekraïne). Beetje een rare false flag zou dat zijn, maar ok, het kan.

Dit past perfect in de strategie die Rusland al enige jaren gebruikt: vals nieuws verspreiden, verkiezingen proberen beïnvloeden, black operations die nadien ontkend kunnen worden en cyberaanvallen die nooit echt teruggetraceerd kunnen worden. Alles behalve rechstreeks militair ingrijpen, wat een te grote kost zou zijn op internationaal politiek niveau.

[Reactie gewijzigd door TheBlackbird op 22 juli 2024 16:10]

Slurpgeit @CAPSLOCK2000 • 4 juli 2017 19:02

Bij nader onderzoek is gebleken dat deze malware eigenlijk exclusief via de ME.Doc updates is gedistribuëerd, dus het wel of niet installeren van een Windows patch had je niet geholpen. Die exploit werd gewoon meegeleverd voor wat extra slagkracht na infectie.

tweaknico @CAPSLOCK2000 • 6 juli 2017 11:46

Voor antwoord op die vragen moet je in ieder geval op de servers zelf gaan kijken (en aanpalende systemen) of daar (nog) mogelijke sporen van bestaan.

CMD-Snake @Verwijderd • 4 juli 2017 17:00

Waarom zouden de Russen hun diplomate verbonden riskeren voor een hack van bijna niets vergelijken met hun eigen vermogen -.-

De Russen riskeren hun diplomatieke betrekking wel eens vaker de laatste tijd met cyber aanvallen.

De relatie tussen Rusland en Oekraïne is verre van goed en het conflict rondom de Krim en de diverse separatistische partijen daar suddert nog altijd voort. Daar valt weinig te verliezen. Gezien hoeveel gebruikers MeDoc heeft in Oekraïne is dit een perfecte manier om een groot bereik te hebben indien je economische schade wil aanrichten. Besmettingen in het buitenland zijn dan bijzaak. Wat regels code kunnen een land inmiddels meer schade toebrengen dan alle separatisten op een hoop gegooid.

The Third Man @Verwijderd • 4 juli 2017 16:44

De Russen steunen het Assad-regime met millitairen en materieel en dan ga je moord en brand schreeuwen over de Amerikaanse rol ter plaatse? Beetje kortzichtig lijkt me.

Verwijderd @The Third Man • 5 juli 2017 13:19

@Lekkere Kwal

Maar wie begon er voordat de Russen begonnen? De Amerikanen! Ik weet nog heel goed de beelden op tv en ik ben zeker niet van gisteren.

Maar het blijft maar doorgaan als ze met ze alle niet stoppen en elkaar maar blijven wreken.

The Third Man @Verwijderd • 5 juli 2017 15:06

Begonnen de Amerikanen? Ik denk toch echt dat Assad begon met het bloedig neerslaan van demonstraties in 2011. Het Syrische regime heeft meer burgerslachtoffers op z'n naam staan dan elke andere buitenlandse legermacht. En wat heeft IS zitten doen in de tussentijd? En wat maakt het uit wie er begon? Praat dat wat goed?

Wat heeft in godesnaam voor nut om dan specifiek naar de Amerikanen te gaan wijzen? Je bent misschien niet van gisteren maar je lijkt niet bij je volle verstand te zijn...

[Reactie gewijzigd door The Third Man op 22 juli 2024 16:10]

Verwijderd @The Third Man • 5 juli 2017 15:50

Begonnen de Amerikanen? Ik denk toch echt dat Assad begon met het bloedig neerslaan van demonstraties in 2011. Het Syrische regime heeft meer burgerslachtoffers op z'n naam staan dan elke andere buitenlandse legermacht. En wat heeft IS zitten doen in de tussentijd? En wat maakt het uit wie er begon? Praat dat wat goed?

Wat heeft in godesnaam voor nut om dan specifiek naar de Amerikanen te gaan wijzen? Je bent misschien niet van gisteren maar je lijkt niet bij je volle verstand te zijn...

Ik stop met discussieren.

The Third Man @Verwijderd • 5 juli 2017 15:56

Lijkt me een puik plan.

tweaknico @Verwijderd • 6 juli 2017 11:57

Als je iemand de schuld wil geven, kijk dan naar de 1e wereld oorlog en de verdeling met liniaal en potlood tussen GB, FR...
Daar licht de wortel in veel conflicten.

Verwijderd @tweaknico • 7 juli 2017 10:24

Wat hebben GB en FR met Iraq te maken? Wat hebben ze gedaan dan?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:10]

tweaknico @Verwijderd • 7 juli 2017 13:37

Na de 1e wereld oorlog hebben GB en FR het midden oosten onderling verdeeld en met wat linealen grenzen in de zandbak getekend.

De huidige grenzen in het Midden oosten zijn voornamelijk door die 2 landen bepaald.
(Na de ondergang van het Ottomaanse rijk).

Door die grenzen werden stammen / volkeren verdeeld over meerdere landen, dan wel verschillende geloofs groepen samen in een land gestopt. Dat was geen probleem zolang de koloniale heersers nog de baas waren, maar na onafhankelijkheid werd het een gebied zonder samenhang waar enkele dictators het uiteindelijk voor het zeggen hebben gekregen.. (mogelijk hebben Kuwait, Jordanie, Quatar) een leiding gekregen die redelijk goed voor de meeste mensen in een land uitpakte, maar in de andere landen lijkt / is dat minder goed gelukt.

Verwijderd @tweaknico • 7 juli 2017 14:25

Oh dat bedoelde je, ik wist alleen van GB. Had nog niet iets gehoord of gezien van FR.

Wel apart dat er zo maar met linealen in ander mans "land" wordt getekend.

Zou je maar gebeuren als de Israeliers en de Arabieren lijnen begonnen te trekken in Europa en Amerika lol.

tweaknico @Verwijderd • 10 juli 2017 12:38

Heel gebruikelijk in de politiek... Wel eens van het verdrag van Jalta gehoord?
min of meer de verdeling van Europa in Oost en West.. niets nieuws dus.

Israel is ook onstaan uit een dwalende Engelse politiek die opeens geconronteerd werd met een stuk land dat ze aan twee partijen beloofd hadden (Palestijnen als toenmalige bewoners, en veel Holocaust slachtoffers als bevolking die ergens heen moest)...

Verwijderd @Verwijderd • 4 juli 2017 18:08

De Russen krijgen tegenwoordig bijna overal de schuld van terwijl de Amerikanen met een glimlach Syrische en Irakeze burgers aan het afslachten zijn.

De opmerking over Irak en Syria laat ik voor je eigen rekening, maar als de slachtoffers van dit soort grote hacks vrijwel altijd vijanden van Putin zijn en Putin zelf in de interviews met Stone het niet wil ontkennen, welke conclusies wil jij dan trekken?

Het blijft opvallend dat werkelijk elke onderzoeker, security firma's, andere veiligheidsdiensten, regeringen, onderzoekspers etc etc denk dat Rusland hier met een dikke vinger in zit maar dat tweakers het corrupte regime van Putin blijven steunen omdat 'de US ook slecht zijn'.

Basszje @Verwijderd • 4 juli 2017 16:52

Want een digitale aanval op een land waar tegenwoordig de Russiche overheid toegeeft oorlog te voeren aan het is heeft zeer zeker niets te maken met Rusland

Er is vast ook geen inmenging te vinden in het land, en liquidaties van Putin-critici gebeurt er ook nooit.

Verwijderd @Basszje • 4 juli 2017 17:04

Het westen is op zijn minst even slecht.
De wereld is niet zo zwart-wit als jij denkt, net zo goed dat onze media ook niet onafhankelijk is.

Basszje @Verwijderd • 4 juli 2017 17:08

Ik stel nergens dat de wereld zwart-wit is. Dat laat ik aan mensen over die met Jij-bakken aankomen als 'Amerika is ook niet goed, dus Rusland moet wel beter zijn' .

Als de VS een land zouden binnenvallen, een deel annexeren ( Mexico ofzo ) en daarna is er opeens een cyberaanval, dan zou men ook stellen dat de VS daar wel eens mee bezig geweest zou kunnen zijn. Ik geloof niet dat bij Stuxnet de vingers richting Rusland gingen bijvoorbeeld.

Als je verder geen verschil zit tussen 'onze media' (aaah MSM) en de pure proganda die Rusland uitbraakt wens ik je veel plezier bij RT. In het westen wordt er nog wel eens wat aardigs (en kritisch) geschreven ( niet overal ) en bovendien blijf je dan meestal ook nog in leven.

Verwijderd @Verwijderd • 4 juli 2017 18:53

Wat is dat toch voor rare trend tegenwoordig op Tweakers dat Rusland bij al dit soort onderwerpen verdedigd wordt. Vandeweek het bericht dat Telegram veel moet afstaan aan Rusland wordt zo'n beetje genegeerd. Iets vergelijkbaars in een westers land zou voor minstens 500 reacties hebben gezorgd.

De lange arm van Poetin???

blissard @Verwijderd • 4 juli 2017 19:52

Ik denk ook dat het anti-Amerikaanse sentiment erg speelt. Als je dat mengt met een soort nep-relativisme dan kun je het gevoel krijgen dat alles net zo erg is en alleen Rusland de schuld krijgt. Dan kun je vanuit dat sentiment vervolgens moordende dictators gaan verdedigen.

stresstak @blissard • 4 juli 2017 20:43

Ik denk ook dat het anti-Amerikaanse sentiment erg speelt.

En ook dat is dubieus. Ze zijn mn vrienden niet meteen en ik wil er niet vrijwillig heen, maar als het er op aan komt verwacht ik meer hulp van Amerika dan van Poetin, Erdogan, Assad en nog zo wat dictators en hun trawanten. Tevens vind ik het vreemd dat velen wel Poetin en soortgenoten verdedigen, maar vermoedelijk wel lekker in het Vrije westen wonen.

tweaknico @Verwijderd • 6 juli 2017 13:52

Rusland doet het niet veel anders dan de USA of EU ... ze lopen alleen nog wat achter met een minder geoliede marketing. Denk aan PATRIOT act etc. In de USA is dit jaren eerder beter verkocht.
Het Telegram voorbeeld gaat bv. over Data over Russen die buiten Rusland beschikbaar zou kunnen zijn....

Om (R)overheden te controleren moet er een evenwicht zijn tussen wederzijds rechten en plichten en de aanpassingen en toezicht erop. (macht)
Bij controle hoort dan ook controle op communicatie of het is voor iedereen of voor niemand behalve te deelnemende partijen in een conversatie. Dat pleit dus voor VOLLEDIG afschaffen van encryptie (ook door overheden) of iedereen een goede methode.

Verwijderd 4 juli 2017 15:41

Dus eigenlijk was dit een zeer uitgebreid geplande en voorbereide aanval. Ondanks dat het niet wenselijk is moet ik toch toegeven dat dit best goed gepland is geweest.

Edit:

Jeetje wat een rare zin....

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:10]

CMD-Snake 4 juli 2017 16:53

Het persbureau sprak met de directeur en zijn dochter, die het bedrijf runnen. Zij zouden hun eigen software onderzocht hebben en tot de conclusie zijn gekomen dat er geen sprake van kwaadaardige code is. Volgens Reuters is de boekhoudsoftware in Oekraïne zeer populair en wordt deze gebruikt bij tachtig procent van de Oekraïense bedrijven.

Hun pakket hoeft nog geen kwaadaardige code zelf te bevatten. De beveiliging was slecht op orde en zo was hun pakket een prima middel om de malware te verspreiden. Gezien de enorme aantallen gebruikers in Oekraïne is het een aantrekkelijk doelwit, zeker als het gaat om zoveel mogelijk economische schade aan te richten.

ToolBee 4 juli 2017 15:52

Geeft niet, is ook een rare zaak. Als "de russen" dat bedrijf als dekmantel hebben gebruikt, dan is deze nu weg. Mijn zorgen gaan nu naar welke andere bedrijven er onder "controle van de russen" zijn, om full scale "cyberwarfare" te faciliteren.
Dit was een testrun, kan niet anders.

bbob

Netwerk en systeembeheer

@ToolBee • 4 juli 2017 15:57

Als westers bedrijf moet je nu dus goed kijken waar je je software koopt. Goedkoop kan dan wel eens duurkoop zijn.

Dennisdn @bbob • 4 juli 2017 17:39

Nou ben ik helemaal niet thuis in de software-wereld. Maar heb in familie een aangetrouwd softwarebedrijf wat veel klopwerk laat doen in Rusland. Dat omdat daar veel goede lui zitten die voor weinig veel doen.
Als complotdenker heb ik hem wel eens gevraagd of Rusland niet eng is. Hij gaf aan dat bijzonder veel softwarebedrijven daar werk uitbesteden.

[Reactie gewijzigd door Dennisdn op 22 juli 2024 16:10]

Verwijderd @Dennisdn • 4 juli 2017 18:51

En in Nederland of Duitsland kan je geen dubieuze code in laten bouwen? Als er maar genoeg wordt betaald is iedereen te koop.

blissard @Verwijderd • 4 juli 2017 19:48

Dat wordt vaak gezegd, maar is volgens mij niet waar. Er zijn mensen met principes die bepaalde dingen niet doen voor geld.
Onder druk van andere zaken (verbanning, geweld op de persoon of de familie, etc) gaan mensen veel verder. Laat dat nu in bepaalde landen veel vaker voorkomen dan in Nederland.

MrMonkE @blissard • 4 juli 2017 21:21

Vlak ook het aantal niet nederlandse ICT'rs in nederland niet uit.
Zitten ook heel veel russen bij, goeie IT'rs over het algemeen.

Ik wil maar zeggen.. als ik de Russische overheid was dan stuurde ik tussen die duizenden IT'rs een paar IT'rs met minder goede bedoelingen naar hier om zich bij bedrijven te embedden. Een DBA'r op de juiste plek is dan goud waard.

CivLord

@blissard • 5 juli 2017 08:40

Druk hoeft niet. Dat kan op termijn averechts werken, wanneer de druk te groot wordt.

In landen als Rusland is bij voor dit soort werk het loon vaak net hoog genoeg om niet te creperen, maar te laag om redelijk te kunnen leven. Bied iemand aan om zijn loon te verdubbelen (kost je nog vrijwel niets) voor bepaalde wederdiensten en velen voelen zich vrijwel genoodzaakt om op dat bod in te gaan. (Een echt goede coder op een goede plek, maar met principes bied je aan om zijn loon te verdrievoudigen.)
Eenmaal gewend aan voldoende geld om redelijk van te leven is op termijn de angst om terug te vallen naar een situatie naar net kunnen overleven vele malen groter dan wat je kunt bereiken met continue dwang onder bedreiging met geweld of andere consequenties.
Door voortdurende stress en angst raak je op een gegeven moment afgestompt en dan wil je zo'n beetje alles doen om daar vanaf te komen. Geld is verslavend, helemaal wanneer het het verschil is tussen met je gezin creperen op water en brood en boterhammenworst op brood en af en toe een worst bij je wittekool met aardappelen.

tweaknico @CivLord • 6 juli 2017 11:54

Daarnaast is het al veel makkelijker om malware ergens in te bouwen als "Je er een Vreemde" mee pakt.
Om het wat dichterbij te halen, ik denk dat er best wat PVV aanhangers zijn die vinden dat software die door moslims gebruikt wordt voorzien mag worden van backdoors....
Of de politie die digitale boeven gaat vangen, wie kan er op tegen zijn....

Ik weet niet of ze blij zijn met het besef dat als dat makkelijk kan dat dan ook iemand anders makkelijk de door hun gebruikte software kan voorzien van backdoors.

Soms is angst voor persoonlijk leef helemaal geen motief, en ook geld niet. Wraakgevoelens, vreemdelingen angst (haat) of sterk oneens zijn met leiderschap maar de kooi waar dat leiderschap je in gevangen houdt kun je niet verlaten zullen ook een belangrijke drijfveren zijn.

bbob

Netwerk en systeembeheer

@Dennisdn • 4 juli 2017 20:35

Dat hoor ik ook veel met verschil dat er hier in Nederland dan 1 of 2 zitten die de boel aansturen, de rest uitbesteden maar de teruggekomen code controleren. Kans op achterdeurtjes vanuit daar is dan kleiner. Laat je zonder controle alles daar doen is dat een ander verhaal.

CivLord

@Dennisdn • 5 juli 2017 08:25

Wanneer je zelf de kennis hebt om dat 'klopwerk' te controleren 9en dat ook echt doet) hoeft het geen probleem te zijn.

Brothar @bbob • 4 juli 2017 16:07

Als softwarebedrijf, moet je nu dus je ontwikkelaars goed op veilgheidsaspecten screenen ...

FlyingDutchMen @Brothar • 4 juli 2017 16:14

En goed nadenken over het beveiligen van je software. Het hoeft natuurlijk niet dat ze de sourcecode hebben gekregen. Als je je dll's niet goed beveiligt is het echt een eitje om dit weer terug te laten zetten naar code. Daarna is het een kwestie van de code aanpassen en weer terug compilen naar een dll....

eborn @FlyingDutchMen • 4 juli 2017 16:32

Vervolgens moet je nog steeds die code op de auto-update server van het bedrijf krijgen.

Basszje @eborn • 4 juli 2017 16:56

Het zou mij dan weer niets verbazen als dergelijke bedrijven bijvoorbeeld hun code repo's en updaters gewoon op dezelfde server hebben draaien. En die wellicht niet tijdig bijgewerkt. Waarom zou je moeilijk doen met dekmantels?

Dergelijke hacks komen ook voor met bv open source projecten. Daarom staat er altijd een checksum van de software en bij voorkeur op een andere plek dan de update zelf.

Verwijderd @FlyingDutchMen • 4 juli 2017 18:02

En goed nadenken over het beveiligen van je software.

Maar als je kwaadwillende ontwikkelaars hebt dan is het vrijwel onmogelijk je daartegen te wapenen. Je moet dan een tweede ontwikkelteam hebben om alle code de hele tijd na te lopen (en zelfs dan is het niet moeilijk om kwaadaardige code te verbergen).

De opmerking van Brothar dat je de ontwikkelaars dus moet screenen voor je ze aanneemt is juist. Ga er maar aanstaan....

Blokker_1999

Malware
Netwerk en systeembeheer
Security

@Brothar • 4 juli 2017 16:48

Geld dat niet voor vele mensen in de IT? Waarom enkel de ontwikkelaars en niet de systeembeheerders die toegang hebben tot je hele infrastructuur? Je support die aan alle shares en apps aankan, je softwareleveranciers wiens software je installeerd, de ISP die je verbind met het internet, ...

Brothar @Blokker_1999 • 4 juli 2017 17:24

Ja. Maar hier ging het, zo begreep ik, om gemanipuleerde software.
En ja, dat hoeft niet alleen door de ontwikkelaar "in huis" te gebeuren.

Ik heb het al eens eerder gezegd, wij, de Nederlandse industie, dienstverlening, en wetenschap, missen een "veiligheidsdenken". Dat hoeft niet zo strikt te zijn als in oorlogstijd (alhoewel ...), maar wel een stukje die kant op, een bewustzijn, alertheid, en rekening houden met de mogelijkheid dat. In plaats van de naïviteit van "niet nodig".

M.M @Brothar • 4 juli 2017 18:06

Het is nog erger: het is je gezond verstand buitenspel laten zetten door de uitkomst van een rekenmachine.

Verwijderd @Brothar • 4 juli 2017 18:51

Ja, maar hoe stel je je dat voor in de praktijk? Een beetje organisatie gaat immers alleen met ontwikkelaars laten infiltreren zonder "verleden".

Wat je wel zou kunnen doen is mensen die Snowden heten bij voorbaat afwijzen. Je weet maar nooit....

tweaknico @Brothar • 6 juli 2017 11:55

Als je dat nu pas doet ben je denk ik 30 jaar te laat.....

catfish @bbob • 4 juli 2017 16:06

Als Russisch bedrijf ook hoor. Of denk je dat westerse landen dit niet zouden durven?

Op dit item kan niet meer gereageerd worden.

Onderzoekers vinden backdoor in updates van bedrijf dat NotPetya verspreidde

Lees meer

IT-banen

Reacties (59)

Sorteer op:

Weergave: