Kaspersky vond NSA-malware via scan door eigen beveiligingssoftware op privé-pc

Kaspersky heeft de voorlopige resultaten van een eigen onderzoek gepubliceerd dat het was gestart na berichten in de media dat een NSA-medewerker via zijn software was gehackt. Het bedrijf stelt nu dat het via een scan op een privé-pc NSA-malware vond.

Kaspersky schrijft dat het een uitgebreid onderzoek van zijn telemetry logs heeft uitgevoerd, nadat media hadden bericht dat hackers via de beveiligingssoftware NSA-malware hadden gestolen van de thuiscomputer van een onderaannemer die werkzaam was bij de Amerikaanse veiligheidsdienst. Volgens de eerdere berichtgeving gebeurde dat in 2015, maar Kaspersky meldt nu dat het alleen op de hoogte is van een incident in 2014. Het onderzoek richtte zich op dit incident, waarbij bleek dat Kaspersky inderdaad NSA-malware had gedetecteerd op een Amerikaanse thuiscomputer.

Dat gebeurde bij een gebruiker die deelnam aan het Kaspersky Security Network, waarmee het bedrijf informatie verzamelt van zijn gebruikers om bijvoorbeeld nieuwe vormen van malware te detecteren. Daarnaast had de betreffende gebruiker het automatisch opsturen van nieuwe monsters ingeschakeld. Uit de logbestanden kon Kaspersky opmaken dat de gebruiker een keygen voor Microsoft Office had gedownload en deze uitvoerde terwijl hij de beveiligingssoftware had uitgeschakeld.

Het bleek dat de keygen een backdoor bevatte, doordat de Kaspersky-software later weer werd ingeschakeld en zo de malware detecteerde en blokkeerde. Vervolgens voerde de gebruiker verschillende scans van zijn systeem uit, waarbij de software nieuwe en onbekende NSA-malware ontdekte. Daaronder was een 7zip-archief dat in zijn geheel naar Kaspersky werd gestuurd voor analyse. Daarin zaten verschillende monsters en broncode van NSA-malware. Na een melding aan de ceo van Kaspersky, werd de malware van alle Kaspersky-systemen verwijderd. Daarna zouden geen andere incidenten hebben plaatsgevonden en is er geen indringer op de netwerken van Kaspersky gedetecteerd, los van het incident dat al bekend was.

Kaspersky maakte in 2015 bekend dat het een hackersgroep had gevonden die mogelijke banden had met de NSA, ook wel bekend als de Equation Group. De malware die het bedrijf detecteerde, schrijft het eveneens toe aan deze groep. De software van het Russische beveiligingsbedrijf is inmiddels niet meer in gebruik bij de Amerikaanse overheid uit angst dat de Russische overheid ermee zou spioneren. Grote Amerikaanse ketens als Best Buy zijn inmiddels ook met de verkoop gestopt. Kaspersky ontkent de beschuldigingen over hulp aan spionage.

IT-banen

Reacties (114)

jorntvdw 25 oktober 2017 15:21

Hier een reactie van iemand die bij Kaspersky werkt (nee niet in sales), om een paar dingen wat te verduidelijken.

Ergens in het Midden-Oosten is een computer die wij de magnet of threats noemen. Hier stonden gelijktijdig een aantal APTs naast elkaar te draaien. Op deze computer kwamen wij voor het eerst bestanden van de Equation Groep tegen. Vervolgens gaan we natuurlijk op onderzoek uit, want alle malware die op die computer staat is interessant

Wat we dan in veel gevallen doen is het maken van een (silent) signature, waarbij silents vaak gebruikt worden voor malware die we actief aan het onderzoeken zijn, of signatures die net gemaakt zijn en waarvan we zeker willen weten dat ze geen FPs opleveren. Voordeel van silents is ook dat je je erop kan abonneren. Dat werkt wel zo makkelijk.

In het geval van de Equation Groep kwamen we er al snel achter dat ze een specifieke implementatie van hun een encryptiealgoritme gebruikten om hun malware te packen. Wat er vervolgens gebeurde is dat er op een computer Equation malware gevonden werd, die voor ons onbekend was. Onze signatures gingen erop af. Wat er vervolgens gebeurt (als je de KSN aan hebt staan), dat het bestand naar ons wordt gestuurd en automatisch (we krijgen 300.000 malware samples per dag, dus met de hand is niet te doen) geanalyseerd wordt. Even voor de duidelijkheid, dit gebeurt alleen met bestanden waarvan de AV vermoedt dat deze dubieus zijn. Je vakantie foto's, scriptie, mp3's, torrents en al dat soort dingen zien we dus niet (tenzij de AV vermoedt dat het malware is).

Het dubieuze bestand bleek een 7z archive te zijn, met daarin informatie die niet voor ons bedoeld was. Om geen gezeik te krijgen, omdat we die info niet mogen hebben van de Amerikaanse Wet en omdat die informatie niet bijdraagt aan betere detectie (je kan met een compiler settings al een hoop doen, zoek maar eens op het verhaal van het duqu mysterie en welke compiler ze gebruikten), hebben we besloten het te verwijderen.

Wat vervolgens ook nog zagen is dat er op de bewuste computer een keygenerator stond die een backdoor bevatte. Niet handig als hij vol met Equation Group source code staat. Wat er gebeurd is in die tijd dat de eigenaar van de computer de AV heeft uitgezet, de keygenerator gedownload en gestart heeft, en uiteindelijk weer besloten heeft de AV aan te zetten is gissen. Maar daar hebben mensen hier vast wel een paar mooie ideeen over.

Ik hoop dat de boel wat duidelijker is geworden.....

[Reactie gewijzigd door jorntvdw op 25 juli 2024 05:36]

litebyte @jorntvdw • 25 oktober 2017 15:38

Zekers! Maar ook reuze interessant!

SoundByte @jorntvdw • 29 oktober 2017 00:21

Ik snap er helemaal niks van. De OP is ook zeer warrig geschreven.

Hackers gebruikten Kaspersky software, om bij een onderaannemer van NSA, NSA software te jatten van zijn computer?

Pffff..

Don_Paul 25 oktober 2017 18:01

Het artikel klopt inhoudelijk met de overige informatie die naar buiten is gekomen - dus in zoverre is het wel correct. Er is één punt waar ik wel een afwijking signaleer; er wordt een vage suggestie gewerkt dat het de Equation software via de backdoor van de keylogger van de PC gehengeld zou zijn.

De Israeli's (die via Duqu op het Kapersky-netwerk binnengedrongen zijn, maar liefst 4 Zero-days aan opgeofferd!) hebben daar live mee zitten kijken met een andere, onbekende, groep die daar ook rondstruinde. Het kan zijn dat die tweede groep de Equation software daar tegenkwam (als payload opgestuurd); er zijn ook geruchten dat ze echt gezien hebben dat de groep via de Kapersky suite zelf de spullen ophaalde. Wat wel vrij zeker is, is dat de Israeli hun vrienden van de NSA op de hoogte hebben gesteld, en zo kwam de bal aan het rollen.

Dus of het nu de keylogger was waarmee de spullen naar buiten gekomen zijn, of dat men via de Kapersky software ingebroken heeft, of dat men de Equation software vanuit de Kapersky servers heeft gehengeld - allemaal mogelijk, mijn gok zou op de laatste variant zijn.

Zeker is wel dat NSA het niet leuk vindt dat Kapersky zo agressief naar hun backdoors zoekt. Mogelijk is ook dat America Kapersky niet helemaal vertrouwd (want ze zouden hier van geweten kunnen hebben/in opdracht gehandeld hebben/...). Zeker is wel dat als zelfs America zeker weet dat Kapersky geen blaam treft (althans, niet bewust gehandeld/gelekt heeft) men er niet voor zal terugdeinzen om ze in een slecht daglicht te stellen...

We zullen er wel nooit achterkomen hoe het precies gegaan is. Kapersky heeft iig schade opgelopen (waren ook wat nalatig), en ze zullen daar best heroverwegen hoe agressief ze numet verzamelen van malware-data om moeten gaan. De NSA-medewerker is ontslagen, en er zullen best wel nieuwe interne richtlijnen opgesteld zijn. De NSA staat wederom wat voor paal. Het uitlekken van de Equation software zorgt er voor dat bad guys nieuwe tools in handen krijgen die ze op werking kunnen bestuderen, en dat NSA een sloot geld uitgeeft om een nieuwe suite te maken - netto schieten we daar niet veel me op dus.

jorntvdw @Don_Paul • 25 oktober 2017 18:54

Hi,

Een paar dingen. Voor zover wij weten en hebben kunnen nagaan is alleen Duqu2.0 op ons netwerk aangetroffen. Uiteraard hebben we gezocht naar andere APTs maar niet gevonden. Ik weet wat voor een moeite er is gestopt in het onderzoek naar het interne netwerk en de kans dat er nog iets is aangetroffen schat ik op nihil.

De enige die zeggen dat er twee APTs tegelijkertijd op het netwerk zaten zijn enkele media. Die ook zeiden dat het verhaal hierboven zich in 2015 afspeelde en niet in 2014. En die zeiden dat wij een Anti-DDOS oplossing hebben met hack-back mogelijkheid (hiervoor zouden wij het grootste 0day arsenaal ter wereld nodig hebben en dan nog is maar de vraag of dit technisch mogelijk is, ik denk van niet), etc. En die allemaal anonieme bronnen gebruiken (over de nadelen hiervan kan je een filmpje van joris luyendijk opzoeken bij een presentatie die hij gaf op de TU-Delft).

Kortom, het is lastig te geloven wat er nu waar is, vooral met het huidige politieke klimaat. Daarom is het maar goed dat we af en toe ook wat dingen kunnen ontkrachten via de media, of extra uitleg geven op fora zoals hier

[Reactie gewijzigd door jorntvdw op 25 juli 2024 05:36]

Don_Paul @jorntvdw • 25 oktober 2017 22:32

Dat is het grote probleem met dit soort zaken inderdaad. Partijen die weten wat er precies gebeurd is vertellen dit vaak niet, en hebben ook vaak goede redenen om dit te doen. Bovendien kan er achter alles wat vertelt wordt, door wie dan ook, een belang zitten - dus waarop baseer je wie je gelooft? En in alles zit een stuk vooringenomenheid en interpretatie... hoe meer geheime instanties betrokken worden, hoe mistiger het wordt. En daar zit je dan als commercieel bedrijf klem tussen NSA, Unit 8200, en de FSB die allemaal belangen hebben

Niets gevonden hebben sluit helaas niet uit dat er iets geweest is - wordt een beetje het probleem van het bewijs uit het ongereimde. En tja, het is ook niet uit te sluiten dat de Israeli een belang hadden om Kapersky/Rusland in een kwaad dagtlicht te stellen en dat zij degene zijn die de betreffende files gelekt hebben. Alles kan waar zijn.

Helaas baseren veel mensen hun oordelen op vooringenomenheid over de 'goede' en de 'slechte' partijen ; en zijn ze bereid vergezochte scenario's te geloven als het in hun straatje past. Ik raad iedereen aan de documentaire 'zero days' (dus niet de film!) eens te kijken om te zien hoe schimmig het er in de Intel wereld allemaal aan toe gaat. Mijn oordeel: good guys bestaan niet, dat zijn gewoon bad guys die toevallig aan jouw kant staan.

Tot nu toe pleit heel erg voor Kapersky dat ze hier heel behoorlijk open mee om gaan. Beste wat je kan doen om geloofwaardigheid terug te winnen.

Jerie

@jorntvdw • 25 oktober 2017 22:36

En die allemaal anonieme bronnen gebruiken (over de nadelen hiervan kan je een filmpje van joris luyendijk opzoeken bij een presentatie die hij gaf op de TU-Delft).

Deze?

https://www.youtube.com/watch?v=wlBdees5NbE

Goof2000 25 oktober 2017 12:30

Niemand die bedenkt dat die backdoor in de keygen er mogelijk voor heeft gezorgd dat NSA bestanden bij Equation Group zijn gekomen?

Ik vertrouw geen van beide partijen echt, maar de informatie die Kaspersky geeft is zoveel meer gedetailleerd dat ik hen het voordeel van de twijfel geef.
Daarnaast klopt het verhaal van de Amerikanen dus wel op het punt dat er via Kaspersky NSA broncode bij Kaspersky is gekomen, maar dat is de dommigheid van de gebruiker.
Logische gevolgtrekking is, dat het is lastig voor de NSA dat hun broncode bij Kaspersky ligt zodat deze gedetecteerd kan worden en daarvoor moet Kaspersky van de markt gedrukt worden.
Andere kant is, Kaspersky geeft zoveel details aan dat je afvraagt hoe ze na zoveel jaar nog deze details boven water kunnen halen. Of ze verzamelen wel heel erg veel of dit was zo interessant dat ze er maximaal aan gegevens over hebben gelogd en misschien ook wel meer dingen hebben laten opsturen dan ze zeggen.

Verwijderd @Goof2000 • 25 oktober 2017 12:37

als ze niet zoveel data doorgeven en iemand komt erachter dan worden ze beschuldigd dat ze data achterhouden. De data die ze hebben doorgegeven is opzich nog niet zoveel en zou iedereen terug moeten kunnen halen qua policy beleid

xorpd @Goof2000 • 25 oktober 2017 12:48

Gezien de codenamen en de grote hoeveelheid zerodays die buitgemaakt zijn toen The Shadow Brokers het netwerk van The Equation Group hackten, is deze laatste zeer waarschijnlijk een overheidsorganisatie.

Blokker_1999

Netwerk en systeembeheer
Kaspersky Lab
Security

@Goof2000 • 25 oktober 2017 13:34

Dat ze die details boven kunnen halen toont aan dat ze goed omspringen met de rapporten die na een incident worden opgesteld. Ik kan hier ook zonder problemen de documenten vanuit de vorige eeuw terugvinden of zelfs maar tickets. Tekst neemt niet veel plaats in, gooi het dan ook niet zomaar weg.

gamezfreak @Goof2000 • 25 oktober 2017 14:02

Ik heb nu Kaspersky Total Security voor de 3e keer verlengd en vind het nog steeds een van de beste AV's tot nu toe. Heb zelf tot nu geen virussen gehad en word altijd gewaarschuwd als ik een site bezoek, die mogelijke malware bevat.

Ik vraag mij dan ook wel af hoe de malware in de source code van Kaspersky is gedaan? Inside job of toch een mitm aanval? Tijdje geleden was ook een mitm aanval gelukt bij Teamviewer, waardoor er een versie online stond met een logger.

Maar goed, ik denk dat Kaspersky transparanter wil worden, om te bewijzen dat zij geen connectie hebben met de Russische overheid. Opzich vind ik dat belangrijk, dat een bedrijf transparant is op het gebied van producten, diensten en bedrijfsvoering.
Stel dat hun source code op internet wordt geplaatst, dan kan een kwaadwillende de code gebruiken om iemand te hacken oid, aangezien ze nu nog closed source zijn. Wie weet komt er toch een kaspersky community, waar devs en anderen de code kunnen optimaliseren en het nog veiliger kunnen maken.

TabCam @Goof2000 • 25 oktober 2017 14:02

Nou, dit lijkt mij wel een heel bijzonder geval dat je na jaren nog onthoud, niet je dertien in een dozijn virus. Het klinkt in ieder geval plausibel, dus als het verzonnen is hebben ze dat erg goed gedaan.

burne @Goof2000 • 25 oktober 2017 19:20

"Equation Group" is de naam van malware die waarschijnlijk door de NSA ontwikkeld is. Dat verandert het verhaal wel een beetje.

Verwijderd @Goof2000 • 25 oktober 2017 12:42

Het zal wel de standaard procedure zijn als je deelneemt aan dat Kaspersky Security Network.

CAPSLOCK2000

Security
Kaspersky Lab
Netwerk en systeembeheer

25 oktober 2017 12:41

Called it. Dit is exact het scenario dat ik al om schreef in CAPSLOCK2000 in 'nieuws: 'Israël waarschuwde VS dat Russische hackers via Kas... .

De NSA heeft het gewoon zelf verprutst en nu geven ze Kaspersky de schuld en proberen er en passant een voordeeltje uit te halen.

Voor mij is dit de bevestiging dat Kaspersky wel betrouwbaar is. Kaspersky heeft gewoon precies gedaan wat ze beloven: virussen en malware opsporen. Dat hun Amerikaanse collega's geen last hebben van dit "probleem" doet je vermoeden dat er daar geen eerlijk spel wordt gespeeld.

mphilipp @CAPSLOCK2000 • 25 oktober 2017 13:00

Hear hear. Dat riep ik dus ook al. Kaspersky heeft ook al (samen met Symantec dacht ik) Stuxnet ontdekt en aan de grote klok gehangen. Ik denk dat er een aantal types zijn binnen de NSA die ze liever zien gaan dan komen.

.oisyn Moderator Devschuur® @CAPSLOCK2000 • 25 oktober 2017 14:36

Op zich good call, maar nu vind ik dat je wel weer te hard van stapel loopt. Alleen maar omdat ze een situatie bevestigen die je eerder voorspeld had, impliceert natuurlijk niet dat het ook waar is

. Laten we wel wezen: áls Kaspersky idd kwaad in de zin heeft, zouden ze net go doed met deze verklaring komen. Ik vrees dat het gewoonweg weinig bewijst.

Even voor de goede orde, ik verdenk Kaspersky nergens van, ik weet het simpelweg gewoon niet.

[Reactie gewijzigd door .oisyn op 25 juli 2024 05:36]

Stoelpoot 25 oktober 2017 12:03

Dus Kaspersky scanners kunnen effectief overheidsmalware voor spionage detecteren en blokkeren? Sign me up!

sprankel @Stoelpoot • 25 oktober 2017 12:38

Dat is net de hele achterligende motivatie van de Amerikanen om Kaspersky zwart te maken.
Kaspersky zal nooit of te nimmer met de Amerikanen samenwerken om hun malware the witelisten en er is niets dat ze daar aan kunnen doen.

Tevens gebruikt Kaspersky hun KSN netwerk om onbekende malware op te sporen. De werkwijze doet wat denken aan aan een spamfilter. Zo word aan de hand van een cheksum gekeken hoe gekend deze is, als je een applicatie draait die niemand anders binnen het KSN ooit uitgevoerd heeft zal deze direct een zeer slechte score krijgen. Tevens zijn er parameters die de score verder doet dalen afhankelijk van hoe een applicatie zich gedraagd, bepaalde registers die geraadpleegd worden, ongewone bestandslocaties trachten te benaderen, etc. Afhankelijk van de score word er actie genomen waarbij het kan voorkomen dat een totaal onbekende malware geblokkeerd word en samples naar Kaspersky gestuurd worden voor analyse.

UIt gelekte documenten van 2008:

“Personal security products such as the Russian anti-virus software Kaspersky continue to pose a challenge to GCHQ’s CNE [Computer Network Exploitation] capability and SRE [software reverse engineering] is essential in order to be able to exploit such software and to prevent detection of our activities,”

De Amerikanen zien Kaspersky (samen met alle andere waar ze geen voet binnen hebben maar vooral Kapskersky blijkbaar) als een bedreiging voor hun 'activiteiten' en als een lastpak omdat ze niet kunnen dwingen mee te werken. Zie ook project CAMBERDADA, opmerkelijk is dat ze in Symentec en McAfee geen intresse lijken te hebben (ofwel de kans is groot dat zij samenwerken met de NSA)
Tot op heden hebben ze voor hun zwartmaak activiteiten (dat ze wel zouden meewerken met Rusland) nog geen enkel concreet bewijs op tafel kunnen leggen. Maar op Amerikaanse bodem is er wel bijna niemand meer die Kaspersky nog gebruikt.

klaw @Stoelpoot • 25 oktober 2017 13:21

Nu wil ik niet moeilijk doen maar Kaspersky zou ik ook niet teveel vertrouwen. De Russische overheid lijkt steeds meer invloed te hebben op Kaspersky.

codex @klaw • 25 oktober 2017 14:05

Dat blijkt waaruit. De veronderstelling dat Kaspersky beïnvloed wordt door de Russische overheid berust op beschuldigingen vanuit de VS. Die stelling zou ik graag onderbouwd willen zien, maar dit soort berichten lijken juist het tegendeel aan te tonen.

Qalo @codex • 25 oktober 2017 14:21

Sterker nog: ik verdenk de Yanks dat ze het zelf doen. Kaspersky = Russisch. Alles wat Russisch is = verdacht. Maar je kunt 'm ook uitleggen dat de methodes waarmee ze Kaspersky van beschuldigen ze eigenlijk zelf toepassen met Amerikaanse AV-programma's. Zoals de waard is vertrouwt men zijn gasten. Zoiets?

klaw @codex • 25 oktober 2017 17:01

(ook @Qalo)
Rusland is geen democratie en bedrijven zijn van de overheid of luisteren ernaar. Die dat niet doen vallen snel genoeg wel onder de invloed van het Kremlin of verhuizen/sluiten.
Nederland had/heeft een goede samenwerking met Rusland als het ging om het tegengaan van cybercriminaliteit. Opeens stopte was de contact persoon van de Nederlandse politie bij de Russische overheid/FSB verdwenen, Sergej Michajlov. Begin dit jaar is uitgelekt dat hij was opgepakt op verdenking van hoogverraad. Hij was opgepakt nadat Obama's reactie op de (vermoedelijke) Russische pogingen kwam. Tegelijkertijd is Ruslan Stojanov opgepakt, een specialist bij Kaspersky, ook voor hoogverraad. Het lijkt erop dat Rusland voorzichtig zijn cyber strategie verandert of aanscherpt. (Eerst nog wat voorzichtiger in afwachting van evt. "verbetering" met Trump)

PS: Ik vind Kaspersky's reactie verdacht rond de ransomware waar voornamelijk Oekraïne last van had. Kaspersky kwam snel met een reactie waar ze stelden dat het ergens anders vandaan kwam (niet) Rusland. Menig bedrijf en expert was het daar weer niet mee eens... (toen zij met info naar buiten kwamen). En zo zijn er wel meer dingen...

[Reactie gewijzigd door klaw op 25 juli 2024 05:36]

Verwijderd @klaw • 25 oktober 2017 13:55

Dan komt de vraag van welke overheid je meer problemen verwacht. Ik vermoed dat het de Russen alvast niks kan schelen welke Amerikaanse series ik illegaal download. Ik weet dat het ze wel iets kan schelen wat mijn werkgever uitvoert, maar dat zal voor de Amerikanen net zo goed gelden.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 05:36]

t link @Verwijderd • 26 oktober 2017 13:58

Ik heb vooralsnog relatief weinig te maken met rusland, ik ga er niet heen en hun land heeft minder culturele en politieke invloed over nederland dan amerika. Ik zit best vaak op schimmige plekken online en download ook dingen die verdachtmakend zijn, maar dan heb ik liever de russen die dat weten dan 'wereldheerser' amerika waarbij ik bij de grens gegarandeerd word gestopt voor een 'random' search en toegang moet geven tot al mijn apparaten.

.oisyn Moderator Devschuur® @klaw • 25 oktober 2017 14:56

Dus we moeten gewoon zowel Amerikaanse als Russische antimalware installeren. De Amerikaanse ontdekt Russische backdoors, en de Russische ontdekt Amerikaanse. Probleem opgelost

Verwijderd @.oisyn • 26 oktober 2017 14:11

Een oude wijsheid uit het MS-DOS tijdperk zegt dat 2 virusscanners tegelijk draaien vragen om problemen is.

FrankHe

@klaw • 25 oktober 2017 16:35

Of je nu door de kat of door de hond wordt gebeten maakt uiteindelijk niet zoveel uit. De vraag is wie de muis is en waar de olifant in de kamer staat. Helemaal zeker zullen we het natuurlijk nooit weten want er zal alles uit de kast worden gehaald om dit toe te dekken. Er is sprake van botsende belangen waarbij vanzelfsprekend de zwartepieten over en weer gaan tussen de Amerikanen en de Russen. De transparantie in het statement van Kaspersky maakt dat ik ze op dit moment het voordeel van de twijfel geef. Op naar het volgende incident. Ik ben benieuwd wie er dan naar wie gaat wijzen.

klaw @FrankHe • 25 oktober 2017 17:03

Kun je in plaats van een Russische antivirus of eentje uit de VS niet beter eentje nemen die uit geen van die landen komt? Of eentje waarvan je zeker weet dat die veilig is.

FrankHe

@klaw • 25 oktober 2017 17:49

Dat is inderdaad de vraag, wie vertrouw je het meest. Of anders gezegd, wie wantrouw je het minst?

t link @klaw • 26 oktober 2017 14:03

Als het al niet uit die landen komt is het land waar ze wel zitten sterk onder invloed van een van die landen. rusland kan nog wel omgaan met economische sancties, hetzelfde geld voor china al is hun anti virus gewoon minder goed, en america heeft volgens mij gewoon het meeste invloed over nederland dus dat zou gewoon de meest nadelige gevolgen voor me hebben als ik verkeerd in de smaak val. Als jij een land kan noemen wat te vertrouwen is dat niet gecrushed zou worden onder politieke druk die ook nog een degelijke virusscanner weet te produceren geef ik je gelijk, ik heb die nog niet gevonden.

[Reactie gewijzigd door t link op 25 juli 2024 05:36]

walkstyle @Stoelpoot • 25 oktober 2017 12:19

Wellicht dat de overheid daarom een hekel heeft aan Kaspersky , omdat ze die functie niet willen uitzetten

SoundByte @Stoelpoot • 29 oktober 2017 00:28

Ja dat snap ik ook niet. Hoe detecteer je dititale malware eigenlijk. Stel je schrijft dezelfde code maar haalt hier en daar wat punctuatie weg of schrijft de routine met wat omwegen. Dan is het niet meer detectable op dat moment?

Stoelpoot @SoundByte • 31 oktober 2017 09:21

(Bepaalde) Virusscanners houden constant in de gaten hoe en wat er met je bestanden gebeurd. Daarnaast bevatten ze een algoritme wat verdachte handelingen detecteert. Als ze een onbekend verdacht proces aantreffen wordt dat dieper geanalyseerd en eventueel in quarantaine gezet.

SkyStreaker 25 oktober 2017 11:45

Wat ik even net zo erg vindt is dat je verdorie voor de overheid werkt en dan NOG een keygen moet gaan willen gebruiken voor een office-pakket. Die pakketten zijn prima betaalbaar of leer dan om te gaan met een oplossing als OpenOffice!

[Reactie gewijzigd door SkyStreaker op 24 juli 2024 00:01]

Audiodude @SkyStreaker • 25 oktober 2017 12:22

Ik neem aan dat ze die keygen zelf hebben gefabriceerd om in te breken op systemen en backdoors te genereren. Of om hun eigen backdoor in te bouwen ipv de backdoor van de crackers/hackers.

.oisyn Moderator Devschuur® @SkyStreaker • 25 oktober 2017 14:54

(ook @burne)

Zijn we nu niet bepaalde dingen door elkaar aan het halen? Kaspersky heeft niet beweerd dat dit onderzoek was gericht op die ene PC van een NSA onderaannemer. Ze zeggen gewoon dat ze NSA malware hebben aangetroffen op een PC die die keygen gebruikte. Er is een ander bericht die zegt dat er gegevens zijn gestolen van de PC van een NSA onderaannemer, zogenaamd gebruikmakend van de Kaspersky software. Die twee zaken zijn niet per se aan elkaar gelinkt.

[Reactie gewijzigd door .oisyn op 25 juli 2024 05:36]

burne @.oisyn • 25 oktober 2017 19:16

(ook @burne)

Zijn we nu niet bepaalde dingen door elkaar aan het halen?

Nee. Het punt is juist dat deze zaken wel gelinkt zijn. Iemand download een keygenerator voor Office. Om het ding te kunnen draaien moet 'ie z'n virusscanner uitzetten. Hij heeft Kaspersky AV en is lid van KSN. (KSN-leden uploaden verdachte files voor analyse.) Na het genereren laat 'ie z'n PC scannen en Kaspersky AV vind verdachte bestanden en uploadt die. Bij de verdachte bestanden zit ook een 7-zip file met daarin niet alleen de Equation Group binaries maar ook sourcecode. Kaspersky analyseert dat, komt er achter wat ze hebben en besluiten het weg te gooien zonder het met anderen te delen.

Dat is het verhaal wat Kaspersky nu naar buiten brengt.

Het originele verhaal (van de Trump-regering..) was dat Kaspersky KSN misbruikt om massaal PC's van mensen te scannen, op zoek naar bijvoorbeeld source-code van geheime diensten, om die te delen met de Russische geheime dienst. Dat ontkent Kaspersky nu dus.

TheBlackbird @SkyStreaker • 25 oktober 2017 12:04

Het gaat in dit artikel over Kaspersky, spionage, NSA, ernstige vormen van hacking, malware, en jij wil het gebruik van een keygen daarmee gelijkstellen?

De dingen een beetje in perspectief zien mag.

SkyStreaker @TheBlackbird • 25 oktober 2017 12:05

Ja, eens, echter gelijkstellen probeer ik niet te doen. Maar geef toe, handig is het gewoon niet.

[Reactie gewijzigd door SkyStreaker op 25 juli 2024 05:36]

eric.1

@SkyStreaker • 25 oktober 2017 12:02

Er staat volgens mij nergens waarom die onderaannemer die keygen heeft gedownload. Wie weet was hij wel een test aan het doen?

SkyStreaker @eric.1 • 25 oktober 2017 12:06

Kan, maar als je een test doet, doe je dat in een offline PC of in een sandbox.

t link @eric.1 • 26 oktober 2017 14:11

het is wel enorm knullig om dan je test te doen op je pc waar je ook kaspersky draait en dan ook nog eens andere nsa tools hun broncode erop hebt staan, dan test je alleen dat individuele stukje software in een sandbox of op een appart apparaat die niet zomaar met het internet kunnen verbinden.

eric.1

@t link • 26 oktober 2017 14:17

Klopt, maar het zal niet de eerste noch de laatste keer zijn dat er iets "fout" gaat. Ik heb wel vaker gelezen dat er per ongeluk buiten de VM of Sandbox een sample was geladen en geactiveerd. Fouten gebeuren nu eenmaal - al hoeft dit natuurlijk niet daadwerkelijk zo te zijn in dit specifieke geval.

Ik kan mij nog steeds niet voorstellen dat een onderaannemer van de NSA serieus een keygen nodig had voor zijn office pakketje.

t link @eric.1 • 26 oktober 2017 15:10

Fouten kunnen gebeuren, maar het lijkt me toch verdomde makkelijk om te verkomen dat dat gebeurt, checken of het een vm is of niet voordat ie zichzelf laad en zo niet stoppen. dat is uiteindelijk ook waarvoor die functie is bedacht, om te voorkomen dat dingen of alleen in een VM gedraait kunnen worden of niet in een VM gedraait kunnen worden. uberhaupt kaspersky inschakelen nadat je een fout hebt gemaakt is alweer een fout opzig. ik zie zo al 3 lagen aan beveileging die ik vrij standaard zou vinden die dit soort lekken voorkomen. Het is onbegrijpelijk dat iemand nog niet zn hele systeem airgapped als ie perongeluk zn eigen malware uitgevoert heeft. laat staan dat die zijn antivirus weer aan zet en vervolgens er scans overheen gooit die broncodes van virussen vinden.

SoundByte @eric.1 • 29 oktober 2017 00:32

Tenzij de NSA wilde dat die broncode in handen van de Russen/Kaspersky kwam..... Seymour Burkhoff modus aan..

FrankHe

@SkyStreaker • 25 oktober 2017 16:48

Het erge is waarschijnlijk nog dat de keygen mogelijk helemaal niet Amerikaans of Russisch is. Misschien is de keygen wel van de Chinezen of van de Noord-Koreanen. Dan ligt de NSA broncode dus niet alleen bij Kaspersky maar wellicht ook in China of Noord-Korea. Als je het over een schurkenstaat hebt dan scoort Noord-Korea echt wel de allerhoogste punten. Die lui zijn werkelijk nietsontziend. Noord-Korea kan het totaal geen ene bal schelen dat de hele wereld naar de klote gaat. Was ik Israel nog vergeten te noemen? Die zitten waarschijnlijk in de boot van de Amerikanen. Voor China ben ik het minste bang omdat ze denk ik alleen bezig zijn met economisch gewin. China heeft voor mijn gevoel in mindere mate een politieke agenda. De Russen en Amerikanen daarentegen hebben naast economische ook politieke ambities. De Noord-Koreanen willen gewoon alles kapot maken en daarmee zijn ze de ergste van de club.

Kortom, weet iemand meer over de backdoor in die keygen?

PerAspera @FrankHe • 25 oktober 2017 17:25

Het is een digitale wapenwedloop tussen de groten der aarde; Ik denk niet dat we de illusie moeten hebben dat een supermacht zoals China hier niet aan mee zou doen. Het feit dat we er minder over horen is misschien eerder reden voor grotere zorgen.

Ik vraag me vooral af hoe europese AV software het doet tegenover een kaspersky op dit, redelijk cutting edge, terrein.

[Reactie gewijzigd door PerAspera op 25 juli 2024 05:36]

FrankHe

@PerAspera • 25 oktober 2017 17:54

Het is niet de vraag of de Chinezen meespelen, dat doen ze namelijk. De vraag is in hoeverre de Chinese inbreng schadelijk is. Voor mijn gevoel zijn ze voornamelijk bezig met economische spionage en in mindere mate met politieke zaken. Daarmee is China mogelijk minder gevaarlijk voor de gemiddelde burger.

SoundByte @FrankHe • 29 oktober 2017 00:38

VS en Israel zijn het grootste gevaar voor de wereld. Amerika is al 100 jaar continu actief met parrallel lopende conflicten en bemoeienis die zij zelf op de een of andere manier zijn gestart.

FrankHe

@SoundByte • 29 oktober 2017 09:05

Mijn reactie ging over de Chinezen en niet over de Amerikanen of Israeli. Heb je ook een mening over China?

Ik ben het helemaal met je eens dat de Amerikanen geen al te beste reputatie hebben wat betreft oorlogsvoering. Er zit een enorm verschil tussen hedendaagse Europese defensie en hedendaagse Amerikaanse defensie. Gechargeerd zou je kunnen stellen dat de Amerikanen vechten en de Europeanen doen aan wederopbouw. Daarom is het ook zo belangrijk om internationaal samen te werken.

We zijn de Amerikanen, Canadezen, Engelsen, Polen, Russen, etc. nog steeds erg dankbaar voor hun inzet tijdens de tweede wereldoorlog. Ze hebben bij elkaar uiteindelijk heel veel offers gebracht voor onze bevrijding. De Russen hebben ruim 20 miljoen slachtoffers gekend. De naoorlogse Marshallhulp was zeer genereus en absoluut noodzakelijk om Europa weer op de rails te krijgen. Daar plukken we nog dagelijks de vruchten van in de vorm van stevig verankerde welvaart. Even een geschiedenisfeitje, het waren overigens de Duitsers die beide oorlogen zijn gestart, niet de Amerikanen.

Van alle conflicten van de afgelopen decennia zijn de meesten aangegaan onder het mom van: "We grijpen in om het volk te redden in ...", vul een land in. Kortom vanwege humanitaire redenen. Veelal blijkt echter dat de aanleiding meer is ingegeven door economische interesses en in mindere mate om humanitaire redenen. Oliedollars boven mensenlevens zeg maar. Vandaar dat de reputatie van de Amerikanen op dit moment niet optimaal is. Misschien dat dit in de toekomst door Europese invloed wat kan verbeteren.

SoundByte @FrankHe • 29 oktober 2017 22:25

Het waren echter de Amerikanen die Hitler aan de macht hielpen. En de Joden zelf die Hitler het geld hebben gegeven. Rijke Joden hebben toen hun weg gekocht naar Israel toen Hitler geen geld meer had. Feiten. Het waren Joden die de conflicten destijds zijn gestart en nogsteeds. Simpele reden: ze wilden verdienen aan beide kanten vd oorlogen en de chaos. Dit deden ze al voor Napoleon. feit.

Olidollars klinkt aannemelijker maar er is ook een geopolitieke agenda. Een van depopulatie en singulaire wereldregering onder Anglosaksisch beheer. Je wilt het vast niet weten omdat Oliedollars wat makkelijker te slikken is. Maar Illuminati vechten om de wereldheerschappij. Die hebben zij al hier in het Westen. Waarom denk je dat VS zonder reden geld wapens levert aan Israel? De Russen zijn hun tegenstander.

FrankHe

@SoundByte • 30 oktober 2017 16:26

Over alles wat je vertelt kan ik weinig goede bronnen vinden. Met goede bronnen bedoel ik onderzoeksjournalistiek van het kaliber, Zembla, NRC, Volkskrant, Groene Amsterdammer. En internationale equivalenten zoals Der Spiegel en Le Monde. Sorry ik neem geen genoegen met bronnen van mindere kwaliteit.

SoundByte @FrankHe • 29 oktober 2017 00:35

VS doen al jaren samen met Zuid-Korea militaire oefeningen voor de kust van Noord-Korea. Met als doel NK aan te vallen. Snap je nu welliicht een beetje de sterke taal van Noord-Korea? Ze moeten wel!

FrankHe

@SoundByte • 29 oktober 2017 08:27

Je eindigt je betoog met: "Ze moeten wel", met een uitroepteken. Ik weet niet of je enig idee hebt wat voor een verschrikkelijk land Noord-Korea is? Ik vind je wel de koning in het dingen omdraaien. Het is Noord-Korea wat het grote gevaar is. Zuid-Korea weet niet precies hoe ze zich moeten verdedigen tegen hun "psychopatische" noordelijke broer. Vandaar dat de Zuid-Koreanen de hulp van de Amerikanen inroepen in de hoop sterker te staan in het geval Kim Jong Oen ineens de pijlen op zijn zuidelijke broer richt. Het is Noord-Korea die hoogstwaarschijnlijk achter een hele hoop randsomware aanvallen zit. Hoe weten we dat?
Omdat het overduidelijke doel van die specifieke randsomware niet is om geld te verdienen. Daarom zijn het niet de standaard criminelen. Het doel van de randsomware is om hele grote economische schade aan te richten. Samen met nog veel meer bewijs komt het uit bij Noord-Korea. Dus de volgende keer dat jouw eigen computer in de kreukels ligt door het volgende geavanceerde virus dan zijn het hoogstwaarschijnlijk de Noord-Koreanen. Niet de Amerikanen, Israelis of de Russen. Onthoudt dat even voordat je de acties van Noord-Korea probeert goed te praten.

SoundByte @FrankHe • 29 oktober 2017 22:26

Spoel je brein eens met zeep en bekijk alles nogeens. Objectief.

VS fuckt niet met landen die kernwapens bezitten. Waarom denk je dat die pikmeten tussen beide landen is? Geen van beide landen durven. Als je VS niet op afstand houdt vallen ze je land binnen met een kutsmoes. Heb jij ook kunnen zien. Syrie is de meest recente. Helemaal weg, plat, vernietigd. Zoveel doden, zoveel ellende. Joodse banken verdienen eraan over de lijken van Westerse soldaten. Europa kampt met oa. een vluchtelingencrisis.

Bekijk alles nogeens. Objectief.

En bestudeer Vietnam eens. Dat begon ook met een tweedeling. Weet je nog?

Wie stak daarchter. Was het allemaal toeval? Nee, dat waren de Joden en Amerikanen.

[Reactie gewijzigd door SoundByte op 25 juli 2024 05:36]

burne @SkyStreaker • 25 oktober 2017 12:49

[..] voor de overheid werkt [..]

Deze meneer werkte niet zomaar voor 'de overheid' maar voor de Amerikaanse geheime dienst en hij had toegang tot de source-code van NSA malware en hij had het soort positie dat 'ie blijkbaar dingen mee naar huis mocht nemen.

En gezien de resultaten is dat een te grote verantwoordelijkheid voor 'm geweest.

SoundByte @burne • 29 oktober 2017 00:36

Mwa, een onderaannemer. Een extern bedrijf in dienst genomen door NSA dus. Een kluns. Of was het opzet ?

Seymour Burkhoff modus nogsteeds aan.

Atlantis1995 25 oktober 2017 12:21

Wat wordt hiermee bedoeld?
"(...)Na een melding aan de ceo van Kaspersky, werd de malware van alle Kaspersky-systemen verwijderd.(...)"

M.a.w. omdat het NSA malware is wordt de malware niet aangemerkt als malware voor de gebruikers/klanten? Hoe is de policy (in de praktijk) bij andere antivirus leveranciers.

blorf @Atlantis1995 • 25 oktober 2017 13:10

Wat mij niet zou verbazen is dat ze daarmee het 'bewijs' voor NSA-malware mee vernietigd hebben zodat het bestaan ervan aantonen niet meer kan.

Wat is er nou aan malware gevonden, waarom zou dat bij de NSA wegkomen en waar kunnen we dat zien? Of moeten we het maar gewoon blind geloven?

[Reactie gewijzigd door blorf op 25 juli 2024 05:36]

SoundByte @blorf • 29 oktober 2017 00:41

Ik denk dat laatste, Kaspersky zegt zelf, omdat we dat eigenlijk niet mogen hebben......

Zou jij zulke code zomaar weggooien

Pinkys Brain @Atlantis1995 • 25 oktober 2017 12:58

Geen idee, maar het was geen actieve malware en er zit nog steeds copyright op. De eerste kopie is force majeure, maar er mee aan de gang gaan zou problemen op kunnen leveren.

[Reactie gewijzigd door Pinkys Brain op 25 juli 2024 05:36]

batjes

Security

@Pinkys Brain • 25 oktober 2017 13:40

Dus als je copyright op malware hebt, mag een AV bedrijf hier niets mee doen?

Pinkys Brain @batjes • 25 oktober 2017 14:34

Of het feitelijk malware is hangt af van de toepassing. Als er inbreuk is gepleegd op je pc gaat een rechter niet zeggen dat je de malware niet mag kopiëren en doorgeven aan een beveilingsbedrijf.

Als er "beveiligingsresearch" op je pc staat van je baas, dan wel. Zoals ik zei zal de eerste kopie in dit geval wel als force majeure worden gezien, maar niet als ze er gebruik van maken (iets in geheugen laden is al kopiëren).

Verwijderd @Pinkys Brain • 25 oktober 2017 13:57

Ik zie de NSA al auteursrecht claimen op malware in een rechtszaal.

morskisrle 25 oktober 2017 13:21

Als Amerika uit alle macht schreeuwt dat Russische software niet veilig is dan mag je aannemen dat het juist dit soort dingen tegenhoudt. Kaspersky is natuurlijk blij met de gratis reclame.

lutser @morskisrle • 25 oktober 2017 14:00

Waarom verwijderde Kaspersky dan de NSA malware?

PerAspera @lutser • 25 oktober 2017 17:28

Giswerk: Waarschijnlijk haalt kaspersky het meeste omzet uit reguliere AV software verkopen. Dan kun je beter niet geblacklist worden door een van de grootste afzetmarkten voor AV software (de VS). Dus dan maar braaf zijn...

Damien65535 25 oktober 2017 11:43

Tja, wie geloof je in zo'n geval, enerzijds heeft Kaspersky al vrij vroeg aangegeven de amerikaanse overheid volledige inzage te willen geven in zijn broncode, op zich kun je je afvragen of een bedrijf dat meewerkt aan spionage daarvoor open zou staan.

mijn gevoel vanuit de onderbuik zegt van niet, en dat als ze er iets mee van doen hadden Kaspersky weliswaar had ontkend maar verder ook niet bereid had geweest enig bewijs aan te leveren.

Betreft de amerikaanse overheid lijkt het erop dat zij het idee hadden dat Kaspersky meewerkte aan russische spionage en op dat idee hebben geacteerd, doch enig bewijs vanuit de amerikaanse overheid daarvoor is altijd uitgebleven.

Mijn Gut feeling is dan ook dat de amerikaanse overheid zijn stappen heeft gezet vanuit de gedachte ''better safe than sorry'' in plaats van op basis van feiten.

Al zullen wij het allicht nooit zeker weten

gbh @Damien65535 • 25 oktober 2017 11:48

Die inzage in de broncode lost niets op:

Code review is absolutely meaningless. All Russian intelligence need is an access to KSN, Kaspersky's data lake which is a treasure trove of data. Even open sourcing the entire product won't reveal or even help with revealing that.

https://twitter.com/0xAmit/status/922444817061367810

Anonymoussaurus

Security

@gbh • 25 oktober 2017 11:51

Wel als je het op een wat uitgebreidere manier toelaat, met extra controles. Zie ook deze reactie: Verwijderd in 'nieuws: Kaspersky gaat derde partijen inzage in broncode geven'

Damien65535 @gbh • 25 oktober 2017 12:03

Daar was ik niet bekend mee, de data die daaruit gehaald kan worden zal inderdaad vele malen nuttiger zijn dan de broncode:

If you agree to participate in the Kaspersky Security Network service, the application will automatically send the following data to Kaspersky Lab servers:

Checksums of processed files;
Information concerning URLs to identify their reputation (personal data, for example, registration information, is not sent);
Statistics to increase protection against spam (for example, scanned messages IP addresses and checksums, pictures and attachments checksums);
Information about your computer hardware and software;
The actual time spent checking the object by the Software’s components.

Ik ga er van uit dat Kaspersky al deze data encrypted naar de eigen server's stuurt waardoor uitlezen van de data voor de overheid ook betrekkelijk lastig zal zijn, en controle op wat verstuurd wordt dus ook vrijwel onmogelijk is, dat vormt dan natuurlijk wel enige rechtvaardiging voor het besluit.

Al vraag ik me dan nog wel af of de amerikaanse overheid/NSA concrete aanwijzingen had dat Kaspersky meewerkte aan spionagepraktijken, of dat zij simpelweg hebben geacteerd op basis van het feit dat het een Russisch bedrijf betreft.

Ik vraag me sowieso af of niet alle bedrijven die antivirus software ontwikkelen tegenwoordig de engine gedeeltelijk cloud based hebben, en zoja zou dat natuurlijk reden zijn om vrijwel ieder antivirusproduct te wantrouwen

gbh @Damien65535 • 25 oktober 2017 12:11

Kaspersky is daar wel bekend mee en in die zin is inzage in de broncode niets meer dan een rookgordijn en dat is an sich al veelzeggend.

Pinkys Brain @gbh • 25 oktober 2017 13:03

Kaspersky heeft een privacy beleid, de NSA niet. Als ze daar standaard toegang tot geven kunnen ze wel ophouden.

Qalo @Damien65535 • 25 oktober 2017 14:27

Mijn Gut feeling is dan ook dat de amerikaanse overheid zijn stappen heeft gezet vanuit de gedachte ''better safe than sorry'' in plaats van op basis van feiten.

En ik denk dat de Amerikanen zelf methodes toepassen als waar ze Kaspersky en de Russische overheid van beschuldigen. Dat wantrouwen komt ergens vandaan. Zoals ik elders al eerder schreef: "Zoals de waard is vertrouwt men zijn gasten".

We moeten zogenaamd alles wat Russisch is wantrouwen, maar ik vertrouw de Amerikanen inmiddels nog vele malen minder. Ze hebben de wereld in het verleden al vaker voorgelogen. De geschiedenis heeft ons wat dát betreft al genoeg geleerd.

Ik moet ineens denken aan DIT en DIT.

[Reactie gewijzigd door Qalo op 25 juli 2024 05:36]

ManReadyForWar @Damien65535 • 25 oktober 2017 23:58

Ik snap dan bijvoorbeeld niet dat Norton of mcaffee die NSA software nooit gedetecteerd hebben. Vanuit dat oogpunt is Kaspersky een prima virus scanner.

Radiant @ManReadyForWar • 26 oktober 2017 11:35

Daar is een logische verklaring voor: op die computer draaide alleen Kaspersky, niet Norton of McAfee.

ManReadyForWar @Radiant • 26 oktober 2017 20:23

Waar ik meer op doel is dat de Amerikaanse anti virus bedrijven misschien ook wel beïnvloed worden door de in dit geval Amerikaanse overheid. Net zo als dat in het artikel wordt geschreven dat de Russische overheid wellicht invloed heeft op Kaspersky.
Verder, ja tuurlijk ik ben het eens met je logische verklaring.

Armin

Netwerk en systeembeheer
Security

@Damien65535 • 25 oktober 2017 19:13

Betreft de amerikaanse overheid lijkt het erop dat zij het idee hadden dat Kaspersky meewerkte aan russische spionage en op dat idee hebben geacteerd, doch enig bewijs vanuit de amerikaanse overheid daarvoor is altijd uitgebleven.

De beschuldiging aan het adres van Kaspersky was tweeledig:

1) Dat Kaspersky bepaalde queries uitvoerde, en niet enkel gewone scans.
2) Dat Kaspersky de telemetry gegevens (die men inderdaad openlijk verzameld hetgeen ook in hun privacy overeenkomst staat) deelde met de Russische geheime diensten - al dan niet bewust of onbewust omdat de Russische geheime diensten bij Kaspersky geinfiltreerd zijn.

Er is inderdaad geen bewijs geleverd door de Amerikanen, maar de reactie van Kaspersky gaat ook weer niet echt in op deze twee concrete beschuldigingen. Men stelt enkel "The archive was not shared with any third parties."

Dus ja, het mysterie blijft bestaan.

jorntvdw @Armin • 25 oktober 2017 19:32

1) Voor zover wij hebben kunnen nagaan niet (we zijn nog steeds bezig btw). Trouwens, het is technisch niet mogelijk om bepaalde queries uit te voeren. Het product is geen "Google". Het enige wat je kan doen is signatures maken. Een signature die naar documenten zoekt met daarin "Secret" of "Top Secret" zou veels te veel hits opleveren die we niet kunnen analyseren. En (zie punt 2)
2) Voor zover we hebben kunnen nagaan zijn ze niet bij ons op het netwerk geweest. En nee, we delen ook niet zulke informatie met hen. Sterker nog, we hebben zelfs geen contact met die lui (alleen met degene die verantwoordelijk zijn voor cybercrime).

Jerie

@jorntvdw • 25 oktober 2017 22:47

Dit is wat jij als medewerker weet. Jij weet niet zeker of de Russische geheime dienst een XKeyscore achtig iets er op los kan laten. Jij weet ook niet zeker of de Russische geheime dienst geoorloofd danwel ongeoorloofd toegang heeft tot het Kaspersky netwerk. Bijna niemand weet dat niet zeker. Je kunt bepaalde signalen opvangen, maar dat is het dan ook.

Dat gezegd hebbende denk ik inmiddels wel te weten welk spelletje de NSA speelt. De NSA heeft een of meer voor zichzelf gegronde reden(en) om Kaspersky financieel te beschadigen. Maar ook dat kan ik niet zeker weten.

xorpd @Verwijderd • 25 oktober 2017 12:37

Er is m.i. niets mis met het detecteren van NSA malware. Kaspersky zal vast niet de enige zijn met die know how in Rusland. Ook is niet bekend of The Shadow Brokers inderdaad de FSB is.

Verwijderd @xorpd • 25 oktober 2017 12:40

Die NSA malware is dus ter analyse opgestuurd. Dan vertrouw ik Kaspersky meer dan Amerikaanse anti virus software, die die rommel waarschijnlijk whitelisten.

litebyte @Verwijderd • 25 oktober 2017 15:44

Dat is al heel lang bekend, sterker nog dat is een verplichting voor veel softwarebedrijven om zwakheden in te bouwen. De Vault7 bestanden geeft daar ook meer duidelijkheid over.

[Reactie gewijzigd door litebyte op 25 juli 2024 05:36]

Armin

Netwerk en systeembeheer
Security

@litebyte • 25 oktober 2017 19:02

Dat is al heel lang bekend, sterker nog dat is een verplichting voor veel softwarebedrijven om zwakheden in te bouwen

Bron? Ik weet van niets, en bij mijn weten hebben ook de Snowden onthullingen dit niet aangetoond.

Maar ik leer graag bij, als je bronnen hebt?

litebyte @Armin • 25 oktober 2017 20:34

Vault7 documenten - wikileaks.

Ook de Guardian heeft er een paar jaar geleden verschillende artikelen aan besteed, evenals verschillende andere 'trusted' massamedia.

Ah, ik heb eentje al weer gevonden:
https://www.theguardian.c...encryption-codes-security

[Reactie gewijzigd door litebyte op 25 juli 2024 05:36]

Armin

Netwerk en systeembeheer
Security

@litebyte • 25 oktober 2017 20:56

Geen van die onthullingen ondersteunt jouw stelling.

Er is een verschil tussen het proberen te breken van encryptie en zoeken naare kwetsbaarheden (waar en logisch) en - wat jij suggereerde - het verplichten bedrijven kwetsbaarheden te maken (onbewezen).

litebyte @Armin • 25 oktober 2017 22:07

Nee, u heeft de link/ berichtgevingen niet goed (willen) (ge)lezen. Er staat dat de NSA tech bedrijven onder druk zet om zwakheden in te bouwen.

Dat is ook gebeurd. Van bedrijven die encryptie technieken ontwierpen tot aan beschermingssoftware zoals anti-virus ontwikkelaars.

De VS heeft zelfs 'geheime' investeringsbedrijven die zich inkopen bij tech bedrijven of tech bedrijven financiert, om daarmee druk uit te kunnen oefenen bij de ontwikkeling van software en andere technieken. (is allemaal te vinden in goed onderbouwde artikelen.)

U moet het wel willen vinden.

[Reactie gewijzigd door litebyte op 25 juli 2024 05:36]

Armin

Netwerk en systeembeheer
Security

@litebyte • 25 oktober 2017 22:38

Dat is ook gebeurd. Van bedrijven die encryptie technieken ontwierpen tot aan beschermingssoftware zoals anti-virus ontwikkelaars.

Anders dan die private-public key truc in dat een random algorithme, is er nog geen enkele backdoor gevonden. En ook die is niet met medewerking van de bedrijven ingebouwd, en die ene backdoor was nota bene door het Microsoft security team ontdekt vrijwel direct na publciatie van de standaard.

Als je namelijk kijkt naar wat de claim is van jou en de smeuige introductie, en wat er in de gepubliceerde documenten staat is er een belangrijk verschil. Er is géén enkel bewijs van bewuste inbouw van backdoors. Let namelijk op de term "covertly influence" zoals de Guardian stelt. Dat is niet 'samenwerken met' zoals jij suggereerd. Daar is namelijk nogmaals nihil bewijs voor.

litebyte @Armin • 25 oktober 2017 23:14

U denkt toch werkelijk niet dat zwart op wit staat welke bedrijven de CIA/NSA onder druk zet om en hoe mee te werken aan hun smerigeheden m.b.t. de technologie industrie?

Als er al wat op 'papier' vrij komt is het via sites als wikileaks. en er is helemaal niets smeuigs aan, het is ranzig.
en af en toe van slachtoffers (inclusief bedrijven) die het lef hadden om zich niet in te laten palmen/onder druk te laten zetten.

http://www.businessinside...ernational=true&r=US&IR=T
https://www.washingtonpos...dicated-by-snowden-leaks/
https://www.tomsguide.com...-coercion,news-17517.html
http://foreignpolicy.com/...-enable-nsa-surveillance/
https://www.salon.com/201...y_and_the_security_state/
https://www.huffingtonpos...-companies_n_4999378.html
https://www.engadget.com/...s-mass-surveillance-orde/
https://www.thedailybeast...get-a-warrant-or-get-lost

Armin

Netwerk en systeembeheer
Security

@litebyte • 25 oktober 2017 23:22

U denkt toch werkelijk niet dat zwart op wit staat welke bedrijven de CIA/NSA onder druk zet om en hoe mee te werken aan hun smerigeheden m.b.t. de technologie industrie?

Nee, maar als het op zo'n grote schaal voorkomt, zou ik inmiddel wel een grote lijst van ontdekkingen verwacht hebben. Ik wacht echter nog steeds ...

Ook geen medewerkers die aan de media lekken. Wel talloze andere lekken bij en over de NSA, CIA, etc maar vreemd genoeg helemaal niets op dit gebied.

Oh, en geen van je links verwijst naar wat ik vroeg: een bewuste medewerking aan het inbouwen van backdoors. Daar is nul bewijs voor. Simpelweg omdat het gewoon niet voorkomt (anders van wellicht een geisoleerd geval wat we nog moeten ontdekken).

(Overigens je schijnt ook het verschil tussen backdoors en meewerken aan FISA courts te snappen. Alle Nederlandse grote tech bedrijven werken ook mee aan het Nederlandse equivalent van FISA courts.)

litebyte @Armin • 25 oktober 2017 23:33

Natuurlijk is daart 0 bewijs voor, u wilt het niet zien he? Dat 'tastbare' bewijs krijgt u en ik nooit te zien laat staan dat zelfs al is er bewijs voor zal worden toegegeven (zie de wikileaks onthullingen)

Feit is (zie links hierboven) dat tech companies actief in de VS moeten meewerken om de NSA/CIA imzicht en/of toegang te geven middels allerlei manieren tot persoonlijke data, wereldwijd.

[Reactie gewijzigd door litebyte op 25 juli 2024 05:36]

Verwijderd @xorpd • 25 oktober 2017 12:57

The Shadow Brokers zijn de NSA zelf.

xorpd @Verwijderd • 25 oktober 2017 13:07

Ben je niet in de war met The Equation Group?

jpfx @Verwijderd • 25 oktober 2017 12:48

Hm... beetje tegenstrijdig deze opmerking.

De NSA zal liever NIET hebben dat Kaspersky zijn Malware detecteert, wat dan weer verklaart waarom ze liever niet hebben dat Kasperksy op Amerikaanse computers draait, want best mogelijk dat de NSA middels de Malware de eigen burgers/instanties in de gaten wenst te houden.

Daarnaast zal de NSA het heel erg fijn vinden als hun Malware op systemen van de FSB terecht komt. Alleen dien natuurlijk het liefst zonder dat de FSB dat weet.

Dark Angel 58 @jpfx • 25 oktober 2017 13:52

Hm... beetje tegenstrijdig deze opmerking.

De NSA zal liever NIET hebben dat Kaspersky zijn Malware detecteert, wat dan weer verklaart waarom ze liever niet hebben dat Kasperksy op Amerikaanse computers draait, want best mogelijk dat de NSA middels de Malware de eigen burgers/instanties in de gaten wenst te houden.

Ja dat is de bedoeling van de Amerikaanse geheime diensten die achter het verbod zitten. Verbod op Kaspersky software is gewoon onzin.

litebyte @Dark Angel 58 • 25 oktober 2017 22:31

Er kan eigenlijk wel geconcludeerd worden dat een bedrijf als Kaspersky zich niet aan de 'spelregels' houdt van de NSA. en wie dat niet doet wordt gestraft.

Voor mij persoonlijk een reden om de komende vele jaren Kaspersky te blijven gebruiken.

bartje 25 oktober 2017 12:10

Dus omdat kaspersky goede antivirus maakt die de backdoor van de NSA herkent worden ze zwart gemaakt door de amerikaanse overheid?

Ook vind ik de claim over het stelen van malware lelijk er is alleen een bestand automatisch opgestuurd om te analyseren.

Op dit item kan niet meer gereageerd worden.

Kaspersky vond NSA-malware via scan door eigen beveiligingssoftware op privé-pc

Lees meer

IT-banen

Reacties (114)

Sorteer op:

Weergave: