×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Dragonfly-groep dringt weer binnen op systemen energiesector Europa en VS'

Door , 68 reacties, submitter: AnonymousWP

Volgens beveiligingsonderzoekers van Symantec is de Dragonfly-groep na twee jaar afwezigheid weer actief en binnengedrongen in systemen van energiebedrijven in Europa en de Verenigde Staten. De groep zou de mogelijkheid hebben om systemen te saboteren.

De onderzoekers van Symantec schrijven dat zij er zeker van zijn dat de groep is binnengedrongen in systemen van energiebedrijven in Zwitserland, Turkije en de Verenigde Staten. De nieuwe operatie zou eind 2015 zijn begonnen en de activiteiten zijn dit jaar toegenomen. Er worden volgens de onderzoekers technieken en tools gebruikt die ook bij eerdere hacks op Europese energiebedrijven zijn ingezet, waaronder Trojan.Heriplor, een backdoor die door geen enkele andere groepering is gebruikt en niet op de zwarte markt beschikbaar is.

Volgens de beveiligingsonderzoekers maken de aanvallers screenshots op de systemen waar ze toegang tot hebben. Symantec merkt op dat daarbij in de bestandsnaam de betreffende machine, beschrijving, locatie en organisatie wordt genoemd. Ook wordt de string 'cntrl' gebruikt, wat er op zou kunnen wijzen dat de aanvallers controle hebben over het betreffende systeem.

In 2014 bracht Symantec naar buiten dat de Dragonfly-groep op grootschalige wijze toegang had tot scada-systemen van energiebedrijven in Europa en de VS. Symantec spreekt nu van Dragonfly 2.0 en stelt dat de groep de mogelijkheid heeft om desgewenst toe te slaan en systemen te saboteren. Mogelijk zouden de aanvallen van een aantal jaar geleden een verkenning zijn geweest. Wat de daadwerkelijke plannen zijn van de groep is niet duidelijk.

Om binnen te dringen bij de energiebedrijven wordt onder andere gebruikgemaakt van gerichte kwaadaardige e-mails en trojans. Volgens Symantec worden er e-mails gestuurd met zeer specifieke inhoud over de energiesector. De e-mails bevatten bijlagen en als die worden geopend wordt gepoogd om de toegangsgegevens tot het netwerk van de ontvanger te sturen naar een server buiten de organisatie.

Symantec zegt niet met zekerheid te kunnen achterhalen wie of wat er achter de Dragonfly-groep zit. Volgens het bedrijf is het duidelijk een geavanceerde groepering, die toegang heeft tot tools die waarschijnlijk op maat zijn gemaakt.

Door Julian Huijbregts

Nieuwsredacteur

06-09-2017 • 15:49

68 Linkedin Google+

Submitter: AnonymousWP

Reacties (68)

Wijzig sortering
Prachtige ontwikkeling dit! Laat er maar wat gebeuren!

Natuurlijk deze opmerking met een flinke berg cynisme, want ik verbaas mij nog steeds dat zulke vitale bedrijven voor de samenleving hun beveiliging blijkbaar niet op orde hebben. Overheden moeten ingrijpen en bij nalatigheid flinke boetes op moeten leggen.
Je moet wel kiezen: OF je geeft deze bedrijven de middelen om alles goed te regelen OF je laat de markt z'n werk doen en accepteert beschikbaarheid in combinatie met lagere prijzen.

We hebben om de een of andere reden voor dat laatste gekozen, dus de enige die hier schuld aan hebben is iedereen.
Boetes uitdelen omdat we voor een dubbeltje op de 1e rang willen zitten is niet echt eerlijk.
Ik ben geen voorstander van privatisering van bepaalde kritische onderdelen in de samenleving en nutsbedrijven zijjn er daar ťťn van.

Maar toch laten we kritische onderdelen in de samenleving aan het bedrijfsleven over, de overheid laat dit aan de markt over. Enige wat de overheid doet en kan doen is regels opstellen voor dit soort bedrijven om de continuiteit zoveel mogelijk te waarborgen.
Dubbeltje op de eerste rij? Gezien de uitkeringen aan bestuurder, managers en aandeelhouders is er blijkbaar voldoende geld wat beter geinvesteerd had kunnen worden, maarja, de bedrijven zijn er niet voor de liefdadigheid, alleen maar om geld te verdienen voor een select groepje mensen.
Bedrijven zijn er inderdaad niet voor liefdadigheid of zelfs het algemeen belang. Het zou mooi zijn als dat zo was, maar de werkelijkheid is anders.
Klopt, en daarom is privatisering van bepaalde onderdelen in de samenleving een slecht idee. Maar toch de toch al rijke 'elite' zag dat ook daar veel te verdienen viel, want iedereen heeft het nodig. Dus heeft men de politiek beinvloed om te privatiseren, zogenaamd naar amerikaans voorbeeld terwijl we daar goed kunnen zien hoe dat allemaal mis is gegaan ten behoeve van winst maken.
Grappige is dat je in sommige delen van europa juist een de-privatisering ziet.
Volgens mij zijn we het wel eens. :)

Maar die boetes zijn dus niet realistisch, je kunt een bedrijf niet straffen voor iets waar ze, per definitie, niet verantwoordelijk voor zijn.

[Reactie gewijzigd door Wellus op 7 september 2017 12:31]

Ja we zijn het grotendeels eens.

Hoe bedoel je dat je een bedrijf niet kan beboeten als ze ergens niet verantwoordelijk voor zijn? Een energiebedrijf vervult een zeer kritische rol in de samenleving dat je ze zeker wel verantwoordelijk kan stellen voor de continuiteit van hun dienstverlening, en dan ook beboeten, als de stroom door nalatigheid uitvalt. Juist moet je als overheid hier streng op toezien om te voorkomen dat men winst boven dienstverlening gaat stellen.
Een voorbeeld hierin zijn telecomproviders, bij een te lange storing door hun eigen schuld kan je als klant een schadevergoeding krijgen.
Oh, maar die regeling is er al jaren voor stroomstoringen hoor.
Maar dat is heel wat anders dan een boete.
Ow dat dacht ik al dat die regeling er ook al voor stroomstoringen was, maar ik wist het niet zeker en heb er niet naar gezocht ook. :)
Maar naast deze regeling vindt ik dat de overheid ook moet controleren of de onderbreking niet een gevolg is van nalatigheid aan de regels die de overheid dit soort kritische bedrijven oplegt. Als dat wel het geval is dan moet de overheid ook een boete opleggen, mede ook om het bedrijf te stimuleren dit niet nog een keer te laten gebeuren. Bovendien zou de overheid het bedrijf maatregelen op moeten kunnen leggen om dit te voorkomen.
Beveiliging zal helaas altijd achterlopen dus of het een kwestie van nalatigheid is, is nog maar de vraag.
Aan zero-days kan je niet doen, maar je kan wel andere maatregelen nemen om (te proberen) te voorkomen dat men zero-day kan toepassen. :)
Om binnen te dringen bij de energiebedrijven wordt onder andere gebruikgemaakt van gerichte kwaadaardige e-mails en trojans. Volgens Symantec worden er e-mails gestuurd met zeer specifieke inhoud over de energiesector. De e-mails bevatten bijlagen en als die worden geopend wordt gepoogd om de toegangsgegevens tot het netwerk van de ontvanger te sturen naar een server buiten de organisatie.
Zoals je leest zit er een stuk mens tussen, mensen moeten goed opletten van wie ze mailtjes krijgen en wat ze openen. Ook zou je kunnen voorkomen dat de programma's waarmee de bijlage geopend worden een connectie naar buiten kan maken. Als je de windows firewall, of een andere software firewall, goed instelt dan kan je voorkomen dat deze programma's een netwerkverbinding kan maken. De maatregelen gaan wel steeds verder en zal soms de gebruiksvriendelijkheid van het systeem aantasten, maar blijkbaar wordt dat steeds meer nodig, omdat de hacktechnieken steeds verder gaan, natuurlijk mede door alle tegenmaatregelen.
Ik meen mij te herinneren dat dit soort industriele apparaten overal op de wereld dezelfde login en wachtwoorden gebruiken. Hardcoded. Dan is het natuurlijk appeltje eitje..
Ja dat soort verhalen heb ik ook wel eens gelezen. Geeft goed aan dat er nog veel verbeterd moet worden en ik denk dat de overheid hierin hard moet optreden betreffende eisen voor de software voor dit soort systemen.
Ik vind overheden hier veel te laks in, zeker ook door gebrek aan kennis en informatie en kunde wat hier aan te doen. De overheid loopt achter de feiten aan, ondanks dat er op sommige fronten wel stappen worden gemaakt, maar dat gaat niet snel genoeg of voldoende genoeg, meestal weer door belangen en onkunde.
Vraagje kan het ook niet liggen aan de onkunde van IT mensen?
Je kan zeggen dat bedrijven nalatig zijn en geen geld willen uitgeven, maar met geld kan je geen goed it'er krijgen.

laten we het toejuichen dat bedrijven geen geld uitgeven aan beter beveiliging.
en aan de andere kan zitten bedrijven vast omdat hun personeel niks van bakt.
Natuurlijk kunnen ze wel vragen om meer loon dat kunnen ze wel goed...
Je kan een audit uit laten voeren. Bovendien lijkt mij een beetje besef van welke functie je als energiebedrijf in de samenleving vervult wel wenselijk en dat je daarvoor wel je ICT zaken goed op een rij moet hebben. Bovendien moet uitbraken uit het (recente) verleden nog wel even een eye-opener zijn geweest om nog eens even navraag bij je eigen ICT te doen of alles wel goed is en of er geen verbeteringen nodig zijn.
En als je geen goede ICT'er heb en dit weet dan lijkt mij dat je er ook iets aan kan doen.

Waarom toejuichen dat bedrijven geen geld aan betere beveiling uitgeven? Dat is juist een probleem als dat zo is! Als respecterend bedrijf zou je wel voldoende moeten investeren in een veilige omgeving, zowel in hardware en software als mensen.
Waarom toejuichen dat bedrijven geen geld aan betere beveiling uitgeven? Dat is juist een probleem als dat zo is! Als respecterend bedrijf zou je wel voldoende moeten investeren in een veilige omgeving, zowel in hardware en software als mensen.
je kan investeren maar als die mensen het niet kunnen dat houd het snel op.
je kan zeggen we moeten ons software aanpassen aan w10 maar als jou IT het niet kan dan gaat het niet.
nou kan je zeggen beter mensen aannemen maar zo gemakkelijk is het niet
1 mensen moeten de kennis hebben maar hebben het niet. (IT in nederland algemeen?)
2 geheim als in jij wilt niet dat japie over een jaar weg gaat met jou software.
Normaal kan je gewoon cursussen via het bedrijf regelen, dus ik zie het probleem niet als je mensen kennis missen. Bovendien zal je als bedrijf toch een keer moeten upgraden en je mensen bij moeten scholen. Als je dit allemaal als bedrijf niet wilt doen, dan moet je ook niet raar opkijken dat je geen mensen kan vinden die bij jouw bedrijf willen werken.
Pas als het schaap verdronken is dempt men de put, of er wordt een grote foei rond gezwaaid en back to business as usual.

Gezien ik onder de waterspiegel woon zou ik het wel prettig vinden als de waterschappen erg streng gecontroleerd worden.

De geen stroom kost ook mensen levens dus ook zodanig belangrijk dat er goed beveiligd moet worden (nu moeten we maar hopen dat er geen wc-eend it security controles uitvoeren)
Even een nuance toevoegen aan dit geheel. Ik werk zelf operationeel op een elektriciteits centrale en kan je zeggen: alles gaat via de mail en daar is niet onderuit te komen. Verder zijn bij ons besturingen van de centrale fysiek van het internet afgescheiden. Het netwerk kan zo verziekt zijn met virussen en malware maar de centrale merkt dat niets van en is zo niet over te nemen, zo ver ik weet is dit overal in Nederland zo, hoe dit op andere centrales gaat in bijvoorbeeld de VS kan ik niet zeggen maar hier zit het goed. Dus slaan op de producenten in het algemeen is wat kort door de bocht.
Zo'n 'air gap' is min of meer noodzakelijk, maar zeker geen verzekerde beveiliging.
Leakers die aan bijv. Stuxnet werkten, hebben verteld dat ze altijd moesten lachen om het idee dat dit veiligheid gaf.
Als het netwerk eromheen geÔnfecteerd is, is het slechts een kwestie van tijd voordat het afgesloten netwerk ook geÔnfecteerd is. Informatie terugsturen is natuurlijk wel weer een stuk moeilijker
Weet je zeker dat er geen enkele fysieke koppeling is? Misschien remote access voor Siemens, ABB, Mitsubishi of iets dergelijks? Daarnaast alle emissie/chemishe en overig metingen waarvan de overheid eist dat je die extern op slaat?
Ik ben zelf ook werkzaam in de energie sector en weet zeker dat er bij het gros van de centrales toch echt wel verbindingen zijn. Danwel via DMZ, tunnelers enz. Maar het is er wel...
Klopt maar wij verbreken die verbinding altijd weer en zonder onze toestemming komen ze er ook niet in, verder zijn het alleen een weergave van de metingen die naar buiten gaan maar de besturing absoluut niet, je hebt dus wel gelijk dat er een verbinding is.
Ik snap eigenlijk niet waarom je publiekelijk uitlegt hoe de systemen zijn beveiligd op jouw werk. Gaat niemand wat aan. Zo geef je buitenstaanders info over hoe de beveiliging in elkaar steekt.
Ik denk niet dat die nieuwe informatie is voor dit soort lui. Die zullen echt wel een mannetje hier en daar hebben werken die informatie doorgeeft over hoe de systemen aangesloten zijn en dergelijken.
Ik zeg niets hoor, alleen dat de fysieke verbinding nooit continu open staat verder heb in elk geval ik niets gezegd
Verder zijn bij ons besturingen van de centrale fysiek van het internet afgescheiden. Het netwerk kan zo verziekt zijn met virussen en malware maar de centrale merkt dat niets van en is zo niet over te nemen, zo ver ik weet is dit overal in Nederland zo, hoe dit op andere centrales gaat in bijvoorbeeld de VS kan ik niet zeggen maar hier zit het goed. Dus slaan op de producenten in het algemeen is wat kort door de bocht.
Airgappen is een goede stap maar kan nog steeds overbrugd worden, zie bv. Stuxnet.
Wat Vinno97 en Erasmo zeiden.

Vraagje: Ondanks de Airgap, is dat kritieke systeem dan helemaal bloot of wel / ook zwaar beveiligd softwarematig en hardwarematig? Of raakt het meteen tot op alle niveau's besmet als iemand er een usb stick in plugt of een medewerker (zonder kwade bedoelingen) voor het gemak een netwerkkabel ergens inprikt om de systemen te koppelen (want dat is toch veel handiger...) etc.

Niet aan het vissen (hoor niet bij dragonfly, I promiss ;-) maar gewoon nieuwsgierig naar hoe veilig men zich waant.
Tijd om de 'gewone' werknemer zijn mail te ontnemen.

Nog steeds geen idee hoe dit allemaal zo makkelijk gaat.. Zijn gebruikers dan echt zo "oeh oeh oeh mail met bijlage laat ik het meteen 8x openen"
Er zit ook wel een stukje social engineering achter. De "gewone" werknemer krijgt ogenschijnlijk een mailtje van een collega bij HR,van de baas of van een klant. Dat mailtje is uiteraard gespoofed, maar ziet er tegenwoordig exact hetzelfde uit als wat verwacht wordt. Dan is een klik zo gemaakt.
Het begint bijv al met sites als linkedin waar een heel profiel van mensen staat waar ze werken wat ze doen. In het profiel ook personen waarmee ze verbonden zijn. Eventuele groepen waar ze interesse in hebben.

Dat social engineeiring verhaal is dan een op maat gemaakt email met idd een blijlage over een specifiek onderwerp.

Dat kan van een collega zijn maar de vraag is of een goed emailsysteem die mail doorlaat als de mail van een andere ip adres komt dat niet namens het domein mag versturen.
In dat geval is dus de mailserver van de organisatie ťcht niet goed ingesteld. Alleen al op basis van een SPF record check kun je die mails al onderuit halen.
Dat werkt alleen als de "afzender" z'n netwerk goed geregeld heeft, de ontvanger (systeem) kan hier vrij weinig mee doen zonder dat.
Als het gaat om een mail uit de eigen organisatie zoals in het voorbeeld aangehaald dan is de afzender ook de ontvanger wat betreft het domein. Daarnaast kun je ook instellen dat mails die met domeinspoofing gebruik maken van de eigen domein sowieso tegen gehouden worden door de mails van dat domein alleen intern te laten routeren en van externe bron tegen te houden.
laatste die ik tegen kwam, had een onverwachte/ongeplande omweg bewandeld.

baas kreeg email binnen met trojan, had even niet opgelet en het door gestuurd naar financiŽle administratie.
financiŽle administratie dacht dat het van baas kwam, dus opende het mailtje+bijlage gewoon.

laat nu net de financiŽle administratie een pc en account hebben met iets meer rechten, anders werken die pakketten gewoon weg niet.
flink wat kwijt geraakt daar. :'(

naderhand kun je wel zeggen: was niet zo stom geweest en had het mailtje niet geopend, maar ja eigenlijk door de per ongelijke samenloop van omstandigheden had dit iedereen kunnen overkomen. ;)

[Reactie gewijzigd door migjes op 6 september 2017 16:06]

Daarom moet er een menselijke factor tussen. Die persoon op de financiŽle administratie kan ook gewoon 1 PC hebben voor mail en andere meuk. Het invoeren van belangrijke gegevens op een andere PC los van het internet.

Een energiecentrale moet ook een compleet geÔsoleerd digitaal systeem zijn.
Je kan een energiecentrale gok ik echt niet meer geisoleerd laten lopen, die moet samenwerken met de rest van het energienet anders gaan dingen grondig fout.
Want facturen komen allemaal per post binnen, worden dan gekopieerd en ingetypt in een dos boekhoudpakket? Zo werkt het al lang niet meer.
Al eens verdiept in stuxnet..., dat kon ook airgaps passeren.
Dus hoe geisoleerd wil je het maken.
Probleem is de E-mail ingang.
Een keer klikken en het bedrijf kan ten gronde gaan.
Of miljoenen/miljarden schade.

Veel meer mensen in de beveiliging, weg met die
rechtstreekse mails naar bazen en administratie.

Verzin maar wat anders. Iets met blockchains wat mij betreft.
Gooi zo'n mail eerst door allerhande dns-reverse-checks,
spamfilters, virusscanners, virtuele environments waar de
attachments worden uitgepakt.. kijk wat die attachments allemaal uitspoken.
Wat simpele heuristics misschien..
(als de attachment gewoon teveel code bevat: quarantaine).
en laat *beveiligings mensen* de uitkomsten daarvan beoordelen.

[Reactie gewijzigd door mistige op 6 september 2017 17:53]

Mijn laptop trekt zo veel extra taken niet... Office is nu al stroop (win7 32bit 2g ram).
Nee. Het probleem is gemakzucht en kostenbesparing.

IT security is een kostenpost, en moet dus Zo Goedkoop Mogelijk (c). Maar mensen willen wel plaatjes/files/links kunnen mailen naar collegas want dat werkt sneller. Simpelweg een restrictie op mail maken waarbij links uit de mails gefilterd worden, mail alleen in text-only formaat geaccepteerd wordt (geen formatting, HTML, plaatjes of andere active content) en waarbij attachments niet toegestaan worden, en je hebt mail als ingang voor problemen weggenomen. Maar dan gaat middle management janken omdat ze hun excel files met statistieken (met interne unsigned vbscriptjes omdat "dat knopje handig is") niet meer door kunnen mailen.
Denk dat je gelijk hebt. Achterliggend probleem is,
dat managers en gebruikers de macht hebben
om dat door te drukken.

Misschien dat alleen een wet kan hier nog tegen helpen,
die verplicht dat er een security manager boven de
"gewone" managers zit.

[gewijzigd om wat onnodige zaken te wissen]

[Reactie gewijzigd door mistige op 8 september 2017 13:40]

Nog steeds geen idee hoe dit allemaal zo makkelijk gaat.. Zijn gebruikers dan echt zo "oeh oeh oeh mail met bijlage laat ik het meteen 8x openen"
Ja, sterker nog, ik heb voorbeelden gezien waarbij zo'n mail het halve bedrijf rond gaat met de vraag of de collega de bijlage wel kan openen |:( 8)7
Helaas worden de aanvallen steeds beter en is zelfs applocker niet meer afdoende.

We blokkeren steeds meer extensies via de email, maar zelfs dan worden er gewoon linkjes verstuurd. Zelfs al ga je naar plain tekst email dan zijn sommige gebruikers in staat om linkjes te kopieeren in de browser.

Een goed beleid is dus niet alleen afdwingen maar ook voorlichten en Cursussen geven. De mens blijft toch de zwakste schakel in het geheel.
De voorbeelden die wij nu opt bedrijf krijgen bij de training ivm phising zijn echt wel heel sterk.
Vroeger waren ze heel duidelijk te onderscheiden maar de phising mails zijn wel heel goed geworden.

Hier wordt om dit beter aan te kaarten nu altijd aangegeven wanneer een mail van een extern email adres komt dmv een extensie.
Dit zorgt er al voor dat je wat oplettender bent.
Maar er is een hele generatie nog aan het werk, veelal op hoge posities, die nog steeds redelijk analfbateet zijn in het hele electronica gebeuren.
Er moet dus beter nagedacht worden over andere manieren want gewoon cursussen en voorlichten is toch niet genoeg.
Ja, wij hebben zo eens een phishing campagne gehad op het werk, wat achteraf een door de overheid georganiseerde test bleek te zijn, waarbij er 2 phishing mails verstuurd werden. De ene was vrij duidelijk, maar toch enigszins geloofwaardig (recente iPhone met deftige maar niet onmogelijke korting via samenaankoop) omdat hij zeer gericht was (mail leek van een overheidsinstantie te komen, zelfs de mail headers klopten, want verstuurd van wat leek de officiŽle server te zijn... alleen was het met vv ipv w, waar je snel over kijkt).
De andere was zeer professioneel opgezet, en wie op de link klikte kreeg een aanlogformulier voor zijn overheids-account, waarbij het e-mail adres al ingevuld was. Er zat ook een volledige geloofwaardig uitziende site achter, met een interessant, maar toch geloofwaardig aanbod. Ook hier met een domein dat speciaal opgezet was om op een officieel overheids-domein te lijken, tot en met het correcte adres van de domeinnaamhouder.

Ik wacht nog op de resultaten van de test }>
Helemaal mee eens! hoeveel % van de werknemers heeft nu contact met de buitenwereld echt nodig? Richt een digitale postkamer in met virtuele omgevingen en alles wat doorgestuurd moet worden als pure tekst bestandjes copy pasten naar het interne netwerk, geen links, geen macros etc etc
Het is niet meer rendabel om het allemaal telefonisch of per post te doen.
Je kan altijd nog faxen ;)
Lijkt me niet nodig.

Attachments en links die niet op een whitelist staan kun je simpelweg verwijderen of via een quarantaine systeem toegankelijk maken. In mijn ervaring gaat slechts een heel klein deel van de e-mail over een attachment of link.
Bedrijven kunnen niet meer zonder email. Maar je kan prima attachments bij binnenkomst scannen, en bij twijfel verwijderen.
Als een computer geen mail tegenhoudt, hoe gaat een gebruiker dat dan doen? 'Open geen attachments' is een rotsmoes om slechte security te verbergen. Stel dan een beleid in om geen attachments toe te staan, dat is een stuk effectiever.
1 maal klikken is voldoende...
Maar gelukkig is het niet zo dat een attachement van een mail een industriŽle installatie eventjes zal kunnen ontregelen. IndustriŽle software <> bvb windows/office/....
Veel industriŽle software die volledige productielijnen, machines,... sturen hebben zelfs geen PC nodig om te werken.
Gewoon alles lekker loskoppelen van het internet, ouderwets maar ook goed voor de werkgelegenheid.
En alles blijft dan ook draaien, niemand die ineens een linkje opent, nee ik geef toe lekker oldskool
Ja. dachten ze bij de kerncentrales in iran ook toen Stux daar binnen kwam. Die computers en besturingen zitten echt niet op internet aangesloten. maar is binnen gekomen via de usb van iemand, enz.
Natuurlijk, maar dat is wel een vrij extreem voorbeeld waarbij die faciliteit echt heel specifiek getarget werd door een organisatie die de mogelijkheid had daar heel veel tijd en resources in te steken. Dat is niet wat meestal de situatie is. Als het een echt high-profile doel betreft is het niet afdoende, maar voor veel in een categorie daaronder denk ik dat je veel problemen kan voorkomen.
Deze bedrijven worden ook specefiek getarget, hoe denk je anders dat ze zo vallen voor phishing, dat doen ze echt niet met een prins uit afrika die geld naar je wilt overmaken maar door zich voor te doen als iemand binnen het bedrijf of als een bekende klant.
Er is een verschil tussen speciek targetten op afstand en kunnen investeren in het recuteren van agents die van binnenuit met USB sticks systemen kunnen besmetten.
Dat is voorbij het punt, deze opmerking heb ik het over:
Natuurlijk, maar dat is wel een vrij extreem voorbeeld waarbij die faciliteit echt heel specifiek getarget werd door een organisatie die de mogelijkheid had daar heel veel tijd en resources in te steken.
Dat gebeurt nu ook, en met de schaal waarop het gebeurt kan je zeggen dat ze de resources makkelijk zouden kunnen krijgen. In theorie zouden ze heel het rijke westen plat kunnen leggen.
Maar dit artikel gaat juist over high-profile doelen die zeer specifiek getarget worden. Het loskoppelen van het internet zegt dus lang niet altijd dat het veilig is, juist voor dit soort systemen die bijv in de energiesector worden gebruikt.
Dat klopt. Maar de kreet "los koppelen van internet and all is well" is natuurliojk helemaal niet meer waar.
Laat het om te beginnen maar normaal worden dat op het werk alleen werk gerelateerde websites bereikbaar zijn en dat de rest gewoon geblokkeerd is.

Dan kun je sowieso al moeizaam op al die wazige websites terecht komen met alle gevolgen van dien.

Gewoon lekker aan het werk ipv het nieuws lezen etc en anders hebben de meeste mensen tegenwoordig wel een telefoon waarop ze in hun pauze dit soort andere websites kunnnen bezoeken.

[Reactie gewijzigd door Cowamundo op 6 september 2017 16:44]

Laat het om te beginnen maar normaal worden dat op het werk alleen werk gerelateerde websites bereikbaar zijn en dat de rest gewoon geblokkeerd is.
Oei, dan zal het aantal reacties op Tweakers wel fors verminderen.
Een kleine twee weken terug was er een geweldige documentaire over dit onderwerp. Namelijk https://www.vpro.nl/programmas/2doc/2017/zero-days.html
Dit ging over Stuxnet welke een cyberaanval deed op Iraanse nucleaire installatie. Mocht je hem niet gezien hebben dan is het een aanrader om eens te bekijken. Hij duurt een kleine 2 uur.

Wat het loskoppelen van het internet betreft, daar trok Stuxnet zich niet veel van aan. Men infecteerde gewoon de toeleveranciers die regelmatig firmware updates deden. Via een USB stick brachten die het naar binnen. Het virus kopieerde zich in de centrale van de USB stick naar de van internet losgekoppelde systeem en kon zo zijn doel bereiken.

Het virus kopieerde zich naar heel veel systeem in de wereld en ging daar specifiek op zoek naar een tweetal PLC id’s waarvan bekend was dat ze in die centrale gebruikt werden. In die PLC die een centrifuge aanstuurde werd de output opgenomen. Vervolgens werd het toerental omlaag gebracht waardoor de centrifuge uit balans kwam en ontplofte. Het mooie was dat de PLC de opgenomen gegevens bleeft terug sturen waardoor de controllers niet zagen wat er mis was. Ze dachten nog altijd dat de centrifuges op het goede toerental zaten en dat het probleem dus ergens anders moest liggen.

[Reactie gewijzigd door Sepio op 6 september 2017 17:02]

Om dit te kunnen is er al heel veel interne en diepgaande informatie nodig. Het is niet dat de eerste de beste operator, manager of directeur deze info zal weten, tť specifiek en gedetailleerd.

Het verkrijgen van deze info zal trouwens het moeilijkste geweest zijn aan stux omdat niet veel personen van deze specifieke info op de hoogte zijn. Maar eens deze beschikbaar is zal het maken van zo'n virus peanuts zijn als je wat van automatisering af weet. Op deze manier is het mogelijk om bijna elke installatie te hacken met interne vertrouwelijke info zoals IP-adressen en paswoorden.
Altijd opletten wanneer dit soort berichten naar buiten komen; begin fiscal year USA op d.d. publicatie van dit bericht.
Het artikel maakt niet duidelijk of dit bij leveranciers, producenten of distributeurs gebeurde.
Dat zo een systemen "vrij" aan het internet hangen.... Problemen zoeken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*