'Broncode van 3 grote av-makers waarschijnlijk gestolen door Russische hackers'

Een Russische hackergroep biedt mogelijk de broncode van drie verschillende grote Amerikaanse antivirusbedrijven te koop aan, samen met toegang tot hun netwerken. Dat claimt cybersecuritybedrijf Advanced Intelligence. Het is niet bekend om welke bedrijven het gaat.

Volgens AdvIntel biedt de groep, genaamd Fxmps, de broncode en toegang sinds maart op het darkweb te koop aan voor meer dan 300.000 dollar. In totaal zou het gaan om 30 terabyte aan data. De security-onderzoekers stellen dat ze veel vertrouwen hebben in de echtheid van het aanbod. Dit mede omdat de groep in de afgelopen zes maanden niets van zich heeft laten horen en de verkoper claimt dat er zes maanden aan deze operatie is gewerkt.

Ook zijn de experts van AdvIntel overtuigd van het track record aan verkopen van Fxmps, waarmee ze bijna een miljoen dollar winst zouden hebben gemaakt. De groep heeft volgens AdvIntel een specialisme in het inbreken bij zwaarbeveiligde overheden en bedrijven en het verkopen van de daar behaalde buit. Ze zouden sinds 2017 actief zijn.

De hackers zouden binnen zijn gekomen via extern toegankelijke Remote Desktop-verbindingen en open Active Directories. Advanced Intel raadt dan ook aan om deze niet van buitenaf toegankelijk te maken en om de broncode binnen dergelijke bedrijven air gapped op te slaan.

Door Mark Hendrikman

Redacteur

Feedback • 12-05-2019 13:09
118 • submitter: achondar

12-05-2019 • 13:09

118 Linkedin

Submitter: achondar

Lees meer

'Conti-ransomwarebende splitst zich op en stopt met Conti-naam' Nieuws van 20 mei 2022
Broncode Samsung SmartThings en andere gevoelige data was toegankelijk Nieuws van 8 mei 2019
Microsoft wil data verkiezingen beschermen met opensourceplatform Nieuws van 6 mei 2019
Criminele hackers persen Duits it-bedrijf af dat voor Oracle en Airbus werkt Nieuws van 30 april 2019
Assen stuurde gebiedsontzeggingsdata van 530 mensen naar verkeerd adres Nieuws van 30 april 2019
Docker meldt dat gegevens van 190.000 Hub-gebruikers mogelijk zijn gestolen Nieuws van 28 april 2019
Onderzoeker vindt zero-daykwetsbaarheid in Internet Explorer 11 Nieuws van 15 april 2019
Meer producten en artikelen
Networking en security Hack Hackers Rusland

Reacties (118)

-Moderatie-faq
118
108
65
2
0
16
Wijzig sortering
Bor
12 mei 2019 13:33
De vermoedelijk gebruikte aanvalsvectoren als RDP en Active Directory rechtstreeks aan het internet klinken bijna ongeloofwaardig, zeker in dit vakgebied. Ik ben benieuwd of het alleen gaat om broncode of ook informatie over klanten etc.
Further legitimizing the claim, says AdvIntel, is the fact that the hacking group has been dark for the last several months, indicating the crew was working on something big.
Sinds wanneer is dat een indicatie? Het kan net zo goed betekenen dat er in de tussentijd niets is gebeurd.

[Reactie gewijzigd door Bor op 12 mei 2019 13:37]

Urk
@Bor13 mei 2019 10:17
Wat ik me altijd afvraag: AzureAD hangt toch ook direct aan 't internet? ;)
napel25
@Urk13 mei 2019 12:54
Wanneer je dat soort software aan het internet hangt, gaat het er dus vooral om hoe je er mee om gaat. Microsoft heeft hier waarschijnlijk veel mensen aan zitten qua opzet en monitoren. Dan is het risico in de hand te houden. Wanneer je iets alleen installeert en er verder niet meer naar kijkt, is het risico veel groter.
blinchik
@Urk13 mei 2019 16:32
Ik weet niet hoe het is opgezet, ik ben al een wat oudere admin en ben dan ook nog van het interne safezone, dmz, wan principe.

Men zou in principe, technisch gezien toch, een AzureAD kunnen opzetten in een intern netwerk bij Microsoft, VPN daar naartoe en dan zo authentificatie.

Ik weet niet hoe AzureAD werkt, maar ik vrees dat het inderdaad gewoon rechtstreeks aan de WAN hangt, zoals vele projectjes tegenwoordig waar opeens interne netwerken niet meer nodig zijn, en daar krijg ik toch ook wel een beetje kippevel van.
uiltje
@Bor12 mei 2019 17:04
Ik moet je denk ik teleurstellen. Ook bij dit soort bedrijven heb je vaak mensen die thuis willen werken, een directie die niet geïnteresseerd is in het vakgebied, een grote hoeveelheid externe ontwikkelaars en ga zo maar door.

Dat betekend niet *automatisch* dat bedrijven onveilig zijn - het hangt er maar net van af hoe de bedrijfscultuur is en wie er werkt - maar de kans erop wordt wel vergroot. Dus dit is voor mij niet heel erg verbazingwekkend - als het inderdaad het geval is. Momenteel is het slechts een mogelijkheid.

[Reactie gewijzigd door uiltje op 12 mei 2019 17:06]

Mellow Jack
@uiltje12 mei 2019 19:11
Je WAP publiekelijk beschikbaar maken is iets anders dan je AD.

Benieuwd wat het echt was
Rob Coops
@Bor13 mei 2019 13:46
Gebaseerd op hun werk in het verleden lijkt het niet onwaarschijnlijk dat men inderdaad 6 maanden heeft gewerkt aan de inbraken. AdvIntel lijkt overtuigt van hun kunnen en gelooft dan ook dat deze stille periode het resultaat is geweest van een flinke hoeveelheid werk die men heeft moeten verzetten om zo veel data te bemachtigen en naar buiten te smokkelen.

Dat er in ieder bedrijf boven de paar honderd mensen altijd wel iemand is die beveiliging niet begrijpt maar wel net aan goed genoeg is om een tutorial te volgen en zo doende van huist uit te werken. Of om bijvoorbeeld even snel een AD neer te zetten in een achteraf kantoor in een land waar het hoofdkantoor vrij weinig interactie mee heeft is ook absoluut niet uit te sluiten.

Het grote probleem is niet dat de security teams binnen deze bedrijven hun werk niet verstaan nog hoeft het zo te zijn dat top geen interesse heeft in het vakgebied. Het kan heel goed zijn dat er mensen zijn met net even te veel rechten en te weinig kennis van zaken om te beseffen wat het risico is van hun handelen. Uiteindelijk is het security team een groepje van 5 a 10 mensen die een paar honderd andere mensen moeten beschermen, in een extreem complexe omgeving terwijl de meeste mensen amper weten wat een security team doet laat staan hoe zijn hen kunnen helpen het netwerk en dus het bedrijf te beschermen.

Toen ik bij een grote investeringsbank aan de slag gin was ik stom verbaasd om te zien hoe extreem slecht de beveiliging was. Ik heb voor heel veel minder geld verplaatsende bedrijven gewerkt waar de beveiliging heel erg veel beter was. Je zou verwachten dat een bedrijf dat miljarden verwerkt de beveiliging goed op orde heeft maar niets is minder waar, en dat ligt echt niet aan het security team maar voornamelijk aan de mensen die er werken en even snel iets moeten oplossen etc.. Een opzettelijk omzeilen van een security regel is dan ook eigenlijk meteen het einde van je loopbaan in ieder geval voor een paar jaar. En toch gebeurt het vaak simpel weg zonder te realiseren dat bijvoorbeeld even snel die AD optuigen zonder dat je het aan security meld want project moet snel af en ik stond er helemaal niet bij stil dat...

Vergeet niet dat een aanval als deze vrij snel gaat. Ieder bedrijf zal zien dat men met regelmaat portscans krijgt die op zoek zijn naar open AD's en zo. Een security team dat niet weet van die open AD zal dan ook niet heel erg bezorgt zijn om zo'n scan. En dus lukt het de aanvallers om binnen te komen. Dan is het heel voorzichtig het netwerk in kaart brengen uitvinden welke systemen er met welke andere systemen communiceren en hoe je dus kunt voorkomen dat het netwerk verkeer dat je ongetwijfeld zal genereren opvalt.
powerboat
12 mei 2019 13:17
Beetje domme actie van security / av bedrijven om RDP en AD verbindingen naar buiten open te zetten :X (althans als het zo gebeurt is)

[Reactie gewijzigd door powerboat op 12 mei 2019 13:17]

SunnieNL
@powerboat12 mei 2019 13:45
Rdp naar binnen is het probleem niet. Dan kan mijn van thuis uit toch werken.
Security van die verbindingen is wel het probleem. Die was blijkbaar niet goed afgedicht met MFA etc.
En security daarna was blijkbaar ook niet best geregeld.
Earry
@SunnieNL12 mei 2019 17:18
Er is bijna geen enkel bedrijf dat RDP rechtstreeks naar het internet open zal zetten. Hier wordt normaliter een remote desktop gateway voor gebruikt. Zonder die gateway kom je niet binnen. Als ze rechtstreeks RDP open hadden staan, dan is dit een grote faal.
dycell
@Earry12 mei 2019 18:52
Er zijn zat organisaties die RDP rechtstreeks op internet open zetten.. zo weet ik dat tot een paar jaar geleden RDP open stond bij een groot aantal scholen. Dat jij dit niet ziet wil niet zeggen dat dit niet zo is. Daarnaast hebben wij in NL de beveiliging nog redelijk. Reken er maar niet op dat dit zo is in andere landen...
Tokkes
@Earry13 mei 2019 00:00
Als ze rechtstreeks RDP open hadden staan, dan is dit een grote faal.
Dit gebeurd vaker dan je denkt. Je moet zo op AWS of GCP of Azure voor de gein maar eens een VM opgooien met public IP, 3389 in de security groups openzetten en je logs in de gaten houden. Duurt nog geen 20 minuten eer de eerste bot zich komt melden om proberen binnen te geraken (en dan waarschijnlijk scriptje/programmatje plaatsen om command/control dingen te doen).

Het feit dat er actief naar gescand wordt vertelt mij dat de kans dat er echt vatbare servers te vinden zijn groot genoeg is.

[Reactie gewijzigd door Tokkes op 13 mei 2019 00:01]

Earry
@Tokkes14 mei 2019 08:42
Klopt, dit zijn wel veelal hobbyisten in mijn ogen. Zeker aangezien op zowel AWS (Inspector), Azure (Security Center) daar gewoon een alert op geven.

Natuurlijk zul je vulnerable machines vinden maar dat mag je mijns inziens niet verwachten bij een security (AV) bedrijf noch bij enig ander bedrijf dat serieus is over cloud devices die aan het internet gekoppeld zijn.
Powermage
@Earry13 mei 2019 08:08
Want een RDS GW kan je niet bruteforcen gelukkig....
looc
@SunnieNL12 mei 2019 14:00
Op zich is het geen probleem, nee. Maar je zou net zo goed ook een VPN kunnen gebruiken en RDP niet van buitenaf beschikbaar maken.
SunnieNL
@looc12 mei 2019 14:05
Tja dan komen ze wel binnen via de vpn als ze daar net zo goed met de security omgaan als met rdp.
Vpn is nog gevaarlijker trouwens, omdat ze dan rechtstreeks op je netwerk uit komen met een directe verbinding
Keypunchie
@SunnieNL12 mei 2019 14:16
Nou, een VPN wordt centraal beheerd, terwijl als je “gewoon” RDP toelaat, dan is je security plots decentraal. Ook draait op die desktop een browsersessie en hebben vaak gebruikers de rechten om software te installeren, terwijl op de VPN dat niet zo is (dus lastiger om als je lokale hack hebt, die verder te exploiteren) Daarnaast kun je via VPN het netwerk makkelijker segmenteren.

Ik hoop overigens in mijn werktijd best wat slechte security practices gezien, maar RDP en AD plat aan het net nog nooit, bij enig serieus IT-bedrijf.

(Sterker nog, vaak zou ik zeggen dat netwerk-beveiliging te veel focus heeft en simpel patch management en auditing veel te weinig)

Ik vind het een onwaarschijnlijk verhaal voor een security-bedrijf.

[Reactie gewijzigd door Keypunchie op 12 mei 2019 14:18]

Glashelder
@Keypunchie12 mei 2019 20:37
Nou, een VPN wordt centraal beheerd, terwijl als je “gewoon” RDP toelaat, dan is je security plots decentraal.
Kan je dit eens toelichten?

RDP toegang kan gewoon centraal geregeld worden? Of bedoel je iets anders?
Keypunchie
@Glashelder12 mei 2019 21:50
Als je op je firewall inkomend rdp verkeer toelaat en iedereen zijn eigen desktop-sessie toestaat, zijn al die nodes plotseling onderdeel van de attack surface.

Zo zal een hacker wat minder makkelijk een extra account op je beheerde VPN-server aanmaken. Op een laptop die een medewerker laat slingeren is het al een stuk makkelijker voor een kwaadwilllende om een accountje op toe te voegen.
trisje
@Keypunchie12 mei 2019 23:36
Dit kan niet eens. Of je zou alles een plublic adres moeten geven.zonder firewall.
Maar ja ze zullen het zeker gaan proberen. Maar dat doen ze ook al als alles dicht is. kijk maar eens naar de logs van een firewall
De aanvallen stoppen nooit.
Lampiz
@Keypunchie12 mei 2019 23:02
Maar als ze creds hebben buitgemaakt is lateral moven vaak makkelijk(er) vanuit VPN, omdat je daarmee in het bedrijfsnetwerk komt. Vaak is aan de voorkant (internet=> intern) security goed voor elkaar en vanaf je VPN SN's naar intern weer minder strict.
KennieNL
@SunnieNL12 mei 2019 14:20
Kunt ook gewoon alleen RDP op je VPN open zetten... hoeft niet per definitie alles naar je netwerk open te zetten ;)
MrFax
@SunnieNL12 mei 2019 18:30
VPN kan ook een tussenpersoon zijn van de RDP zonder een directe verbinding naar de servers.
johnkeates
@SunnieNL12 mei 2019 17:27
RDP naar binnen is het probleem wel. Dat protocol en de implementaties van MS kennen zo veel pre-auth RCE's dat je toch echt wel onder een steen geleefd moet hebben om dat nog zonder tunnel beschikbaar te stellen.
DigitalExorcist
@powerboat12 mei 2019 13:32
*Naar binnen open te zetten ;-)
powerboat
@DigitalExorcist12 mei 2019 13:38
O ja .. Het is zondag! :+
IStealYourGun
@powerboat12 mei 2019 15:07
Op zich geen probleem, mits de rest van je omgeving goed is opgezet. Multi-factor authentication, Network segmentation, Role-based access control, VPN, ... Allemaal technologieën die de veiligheid van je infrastructuur verhogen, maar niet altijd makkelijk aanvaard worden door de business. Bij een AV/Security bedrijf zou dit echter geen probleem mogen zijn.
trisje
@powerboat12 mei 2019 21:10
Nounou vertel dan is warom het dan gevaarlijlt is.?
Is azure dan ook gevaarlijk en lek ?
RDP open hebben is op zich niet gevaarlijk je moet immers nog steeds inloggen.
Maar je kan er natuuelijk een muurtje tussen zetten door een proxy bv.met en website.

[Reactie gewijzigd door trisje op 12 mei 2019 21:24]

Iblies
@powerboat12 mei 2019 14:09
Is niet zo vreemd met die “pakketten” van tegenwoordig. Het zijn gedrochten geworden van enkele 100den MB groot geworden die onafhankelijk niet meer functioneren.

Je hebt een scala aan ontwikkelaars nodig die onderhouden en alles aan elkaar vast blijven plakken zodat het blijft functioneren. En de kans dat je x-aantal ontwikkelaars met bepaalde kwaliteiten hebt in dezelfde omgeving en/of bereid zijn naar een bepaalde locatie te verhuizen is nihil.

De methode lijkt mij simpelweg stupid, helemaal als je weet dat het om AV bedrijven gaat,
maar ga er maar van uit dat veel meer bedrijven op een soortgelijke manier werken en/of ergens een laptop/desktop (thuis) wordt gebruikt waar van gewerkt wordt waar die ook open staat.
Sissors
@Iblies12 mei 2019 14:24
Is honderden MBs tegenwoordig dan groot? Mijn Android toetsenbord is al bijna 200MB. Een toetsenbord...

Buienradar is ruim 100MB, en RyanAir, wacht echt niks is behalve een schil rond hun website, is meer dan 150MB. Dan vind ik paar honderd MB op een desktop voor een antivirus service niet schrikbarend.
gjmi
@Sissors12 mei 2019 15:11
Ik vind het allemaal schrikbarend groot, waarom heb je zoveel ruimte nodig?
Veel GUI data voor icoontjes en plaatjes zeker, want als de code van simpele apps zoveel nodig heeft, maak ik me serieus ernstig zorgen.
RAAF12
@gjmi12 mei 2019 15:55
Omdat je niet in machinecode een prog kan maken. Programmeurs werken in een computertaal die grote files maken.
Ik deed weleens wat in die richting maar commands als SET, CLC ,CDA, SEP, BRK, is wat lastiger te begrijpen. Dat neemt weinig plaats in. Moet natuurlijk wel passen voor de betreffende hardware.....
gjmi
@RAAF1212 mei 2019 16:35
Ik ben al 35+ jaar aan het programmeren. Van hobby tot werk. Daarom verbaast mij het. Maar ik maak vooral software zonder GUI.
En je kunt zeker wel in machine code een prog maken, dat word ook nog gedaan. Of handig is, of dat je beter een bepaalde taal kunt gebruiken, hangt er van af.
Xerxes249
@gjmi12 mei 2019 22:13
Toetsenbord-app kan prima in 10 mb, heb je veel custom icons etc dan is 20mb prima te halen. Het probleem is dat veel apps cross platforms zijn of tientallen kant en klare frameworks (3x facebook, 5x google etc) in hun apps embedden wat de totale grote flink opblaast.
Tokkes
@Xerxes24913 mei 2019 00:03
Bijvoorbeeld GBoard heeft ook nog GIF support, Swype ondersteuning, onmiddelijk zoeken naar wat je net hebt getyped, ... - ben er vrij zeker van dat de woordenboeken voor verschillende talen ook bij in de APK zitten.

Dan kom je al snel aan grote aantallen.
gjmi
@Tokkes13 mei 2019 08:02
Alles wat je typed of swiped gaat naar servers. Zoeken gaat op servers. Dat is een reden dat ik zulke software niet gebruik.
TIGER79
@Sissors12 mei 2019 15:15
De gehele installatie wel maar dat komt omdat daarbij ook alle coaches en appdats zit. Als je die leegt wordt het beduidend kleiner allemaal. En ietsje trager natuurlijk zonder cache maar dat merk je nauwelijks. En een toetsenbord "leert" van je typt dus minder nauwkeurig met voorspellen enzo bij het legen van de cache.
Hoe dan ook apps groeien letterlijk mettertijd en dienkun je gewoon een hele deftige afslankkuur geven
psychicist
@Sissors13 mei 2019 00:25
De Ryanair app is wel wat meer dan een schil om de website. Daar zit ook een Couchbase Mobile database in die gesynchroniseerd wordt met de backend. Dat hebben de ontwikkelaars van Ryanair me zelf verteld op het hoofdkantoor in Dublin.

De apps zijn allemaal wel heel groot aan het worden. Ik moet eens uitzoeken of dat ligt aan Android zelf of aan slecht programmeerwerk van de appontwikkelaars.
jurroen
@Sissors12 mei 2019 23:45
https://en.wikipedia.org/wiki/.kkrieger

96K!
Eagle0
12 mei 2019 14:00
Van ClamAV is de broncode gewoon beschikbaar en dit was nooit een probleem. Als het lekken van broncode van commerciële antivirus pakketten wel een probleem voor de veiligheid is denk ik dat deze bedrijven heel wat uit te leggen hebben.
i-chat
@Eagle012 mei 2019 14:27
Van ClamAV is de broncode gewoon beschikbaar en dit was nooit een probleem.
dat klopt, clamAV is dan ook lang geen fatsoenlijk AV pakket, het heeft geen ThreadScense technieken, scanned niet on-access en On-mem. en biedt overall maar weinig bescherming, ... kortom: leuk om door mailboxjes door te lopen om daar de exploits en virussen uit te filteren. maar zeker geen bescherming voor een actieve desktop.
Als het lekken van broncode van commerciële antivirus pakketten wel een probleem voor de veiligheid is denk ik dat deze bedrijven heel wat uit te leggen hebben.
ik zie liever uitleg over hoe jij denkt dat je een volledige anti-mallware oplossing kunt bieden waar geen work-arounds voor mogelijk zijn zodra alle berekeningen en workflows bekend zijn.
Freeaqingme
@i-chat12 mei 2019 15:21
clamAV is dan ook lang geen fatsoenlijk AV pakket, het heeft geen ThreadScense technieken
Wat bedoel je met 'ThreadScense'? Als ik hier op zoek vind ik niet zo veel.
MN-Power
@Freeaqingme12 mei 2019 15:40
Ik denk eerder ThreatSense. 😅
!nFerNo
@MN-Power12 mei 2019 18:30
Uit mijn ervaring werkt al die "vooruitdenkende" tech ook voor geen meter. Daar hecht ik dus zeker geen waarde aan.
Bor
@Eagle012 mei 2019 14:26
Het heeft misschien niet zo zeer alleen te maken met de veiligheid maar ook met het beschermen van eigen techniek. De concurrentie op AV gebied is moordend waarbij een tiende procent betere detectie een groot verschil kan maken.

Er zit meer dan alleen de broncode in de breach data wat niet verwonderlijk is gezien het om 30TB aan data lijkt te gaan.
The folders seem to contain information about the company’s development documentation, artificial intelligence model, web security software, and antivirus software base code.
Extra pijnlijk kan het worden wanneer er tussen de data ook samples van bijvoorbeeld bedrijven zitten waarbij men het niet kan uitsluiten dat er soms geheime / gevoelige informatie gedeeld moet worden.
foxgamer2019
12 mei 2019 13:14
Opzicht jammer dat er geen namen worden genoemd, puur speculatie maar met grote namen denk ik aan een Norton/Symantec of McAfee, maar je weet nooit want iemand verstaat onder groot.

[Reactie gewijzigd door foxgamer2019 op 12 mei 2019 13:45]

Mic2000
@foxgamer201912 mei 2019 13:31
Was de CEO van symantec (Norton) niet laatst 'plotseling' opgestapt?

nieuws: Symantec-ceo stapt plotseling op en bedrijf geeft winstwaarschuwing af

[Reactie gewijzigd door Mic2000 op 12 mei 2019 14:37]

foxgamer2019
@Mic200012 mei 2019 13:51
Er staat wel een reden bij en opzicht lijkt het wel valide. Tevens wordt de code volgens het bericht al sinds maart gedeeld.

Het is echt afwachten of/wanneer iets over naar buiten komt.
ADR3
@foxgamer201912 mei 2019 14:32
*"op zich", opzicht is iets anders :)
HoeZoWie
@foxgamer201913 mei 2019 14:01
Ik denk dat Kaspersky een goede kanshebber is. Zij gebruiken ook active directory, en hun source code wordt gedeeld op Windows CIFS shares, benaderbaar via de security van hun AD.
Gezien het feit, beschreven staat:
De hackers zouden binnen zijn gekomen via extern toegankelijke Remote Desktop-verbindingen en open Active Directories.
Bor
12 mei 2019 13:39
Hoe betrouwbaar is AdvIntel als bron? Het is de enige bron die ik overal aangehaald zie worden. De website ken ik niet, lijkt een blog en de enige post die er nu staat gaat over dit vermoedelijke voorval.
ShellGhost
@Bor12 mei 2019 14:00
Geen idee. Iedereen pakt het wel over van hun, maar hoe betrouwbaar moet blijken. Of dat het een Bloombergje blijkt...
SuBBaSS
@ShellGhost12 mei 2019 14:21
Een WaPo'tje mag je het ook gewoon noemen hoor! ;)

Maar inderdaad, shady bericht (met gelukkig de kop tussen aanhalingstekens: rinkelrinkel).
Een 'Boutique Security Firm' (whatever the F that may be, ze zeggen het zelf op hun site) uit de VS komt vanuit het niets met zo'n nieuwtje dat gretig overgenomen wordt.

Maar nu, moeten we weer extra bang worden voor de Russen? Die bewuste anti-viruspakketten niet meer vertrouwen?
ro8in
@Bor12 mei 2019 15:03
Inderdaad wie is AdvIntel? Ik heb er nog nooit van gehoord en een beetje googlen word je ook niet veel wijzer van.
dez11de
@Bor13 mei 2019 08:13
Google lijkt niks te kennen van ouder dan 6 dagen.
CAPSLOCK2000
12 mei 2019 21:41
Twee opmerkingen.

Ten eerste laat dat screenshot geen broncode zien, het ziet er uit als gedisassembleerde code. Dat betekent nog niet dat ze de broncode ook hebben.

Ten tweede vind ik 300.000 eigenlijk helemaal niet zo veel voor zo veel belangrijke data. Is het een exclusief aanbod of kan iedereen een kopietje kopen?

[Reactie gewijzigd door CAPSLOCK2000 op 12 mei 2019 21:43]

Beatz
@CAPSLOCK200012 mei 2019 22:52
Het eerste weet ik niet....het tweede is eigenlijk wel een prima bedrag en zal om kopietjes gaan...want exclusief zal een heel ander bedrag worden als het een broncode is van de 3 grote spelers...
dez11de
@CAPSLOCK200013 mei 2019 08:04
Wat vindt je belangrijk aan de de data?

Anti-virus software is niet echt technisch uitdagende sofware. Er zijn meer opensource anti-virus pakketten.
CAPSLOCK2000
@dez11de13 mei 2019 10:31
Wat vindt je belangrijk aan de de data?

Anti-virus software is niet echt technisch uitdagende sofware. Er zijn meer opensource anti-virus pakketten.
Voor een aanvaller is het leuk om precies te weten hoe de verdediging werkt, dan kun je er om heen werken.
dez11de
@CAPSLOCK200013 mei 2019 10:40
Ik denk dat dat wel meevalt, virusscanners maken gewoon gebruik van de daartoe bestemde windows api.
CAPSLOCK2000
@dez11de13 mei 2019 10:55
Misschien overschat ik virusscanners, al had ik daar toch al niet zo'n hoge pet van op, maar volgens mij zit dat soort software vol met handigheidjes om direct of indirect te bepalen of er iets mis is met een systeem. Daarvoor gebruiken ze onder andere een grote database met kenmerken en patronen. In algemene termen weten we wel hoe het werkt, maar de kleine details maken het mogelijk om op een Ocean's 11-achtige manier tussen de beveiliging door te sluipen.
StGermain
12 mei 2019 18:08
Hopelijk wordt het update mechanisme niet misbruikt als aanvalsvector.
Orion64
12 mei 2019 13:16
Dat wordt een leuke, nieuwe cyberoorlog. Virussen die eerst de virusscanner aanvallen/uitschakelen en daarna vrolijk hun gang gaan.
Travelan
@Orion6412 mei 2019 13:23
Dat is wat de meeste moderne virussen al enkele jaren doen :-)
Orion64
@Travelan12 mei 2019 13:27
@windoos8 en @Travelan :
Duidelijk. Maar met de broncode zelf zal het vast wat makkelijker en vooral sneller gaan om kwetsbaarheden te exploiten dan met reverse engineering.
NLsandman
@Orion6412 mei 2019 14:46
Als ik zie hoe snel game hacks uitkomen doormiddel van reverse engineering dan vraag ik mij
wel eens af of een broncode nog nodig is.
Neem Dice met hun frostbite engine, delen van hun code is encrypted en de keys komen van de game servers, ze bouwen booby traps in die een melding doorsturen zodra bepaalde code wordt aangepast en daar weten ze met reverse engineering nog achter te komen binnen enkele dagen.
SuperDre
@Orion6412 mei 2019 16:16
Decompilen van de applicaties levert net zo'n goede code op als rechtstreeks als je weet waar je mee bezig bent. Soms zelfs nog makkelijker omdat je de daadwerkelijke 'code' hebt, namelijk die door de compiler gegenereerd is. Men doet hier net alsof sourcecode beschikbaar de heilige graal is, ja,voor van die scriptkiddie hackers misschien, maar voor die gaat zelfs de sourcecode vaak boven hun pet omdat ze niets kunnen als er geen tutorial voor is.
windoos8
@Orion6412 mei 2019 13:23
daar is echt weinig nieuw aan.. gebeurde jaren geleden al...
ResetElonex
@Orion6412 mei 2019 14:38
Hehe, dan merk je dat je besmet bent doordat je PC sneller werkt ;-)
DelinQ
12 mei 2019 14:26
Voor geïnteresseerden hieronder een rapport met grootste AV aanbieders obv marktaandeel
https://www.statista.com/...dors-for-windows-systems/

Amerikaanse AVS bedrijven in het bovenstaande lijstje:
2. McAfee
3. Malwarebytes
8. Symantec
9. WebRoot
10. Cylance

Verder niet genoemde Amerikaanse based AVS:
CheckPoint
Comodo
Fortinet
Microsoft
Immunet / Cisco

Edit: Toevoeging Amerikaanse AV bedrijven

[Reactie gewijzigd door DelinQ op 12 mei 2019 18:33]

Fred_Perry
@DelinQ12 mei 2019 19:05
Checkpoint is Israelisch.
Daarnaast verwonder ik me dat TrendMicro niet in de lijst staat. Ook geen kleine speler lijkt me.
DelinQ
@Fred_Perry12 mei 2019 19:14
(Van origine is/was) Checkpoint inderdaad Israelisch, daar Checkpoint (ook) US listed is heb ik deze meegenomen
boyette
@Fred_Perry14 mei 2019 08:30
Inderdaad.. terwijl Trendmicro dus zelfs 1 van de 3 is waarover in het artikel wordt gesproken...
CriticalHit_NL
@DelinQ12 mei 2019 15:15
Het gaat om Amerikaanse AV bedrijven, dus niet alle AV bedrijven.
boyette
@CriticalHit_NL14 mei 2019 08:32
nou.. TrendMicro is wel 1 van de 3 .. als dat gaan amerikaans bedrijf is.. dan moet het artikel aangepast worden.. want daar gaat het juist over
stewie
12 mei 2019 13:15
Hier wordt de wereld alleen maar veiliger door ;)
Iblies
@stewie12 mei 2019 14:21
Zelf denk ik dat ook.

Less is more. En dat geld voor alle software-ontwikkelaars in de keten.
Eigen code onder de loep nemen en zoveel mogelijk legacy-code verwijderen. Hoe minder rommel er is hoe overzichtelijker het gaat worden waardoor hopelijk oneigenlijke functies worden tegengegaan.

Daarnaast nemen hopelijk grotere bedrijven en ook overheden meer verantwoordelijkheid door oa meer white-hackers in te schakelen. Er is veel te veel vertrouwen in de OS-ontwikkelaars en AV-bedrijven terwijl een ieder die meer verstand heeft van de materie weet dat het een wassen neus is.
MS heeft vb patch-tuesday,
dan heb je dus een tekortkoming die er al langer is, maar bedrijven voeren die niet altijd direct door omdat dat weer problemen in een netwerk kan brengen. Ondertussen moet men vertrouwen op de AV waarvan al langer bekend is dat ze die kunnen omzeilen, maar waarvan nu vaststaat dat de broncode ook weg is bij verschillende partijen ....
SuperDre
@Iblies12 mei 2019 16:13
Maarja, omdat de broncode beschikbaar is maakt het het er niet makkelijker op, aangezien in principe de broncode tijd beschikbaar is dmv decompilen. Dus echt veel meer nut heeft het niet. En nieuwere code betekent bijblange na niet betere/veiligere code, dat is zo'n kul.
Iblies
@SuperDre12 mei 2019 16:46
Daarom spreek ik over de keten.

Ipv dat bedrijven en overheden vertrouwen op OS en AV,
nemen ze hopelijk zelf meer maatregelen.
Zowel OS-makers, AV en programmeurs zullen ondertussen ook moeten nadenken hoe hun programmas beter en veiliger kan draaien om het risico te minimaliseren.
In een ideale wereld zou je eigenlijk geen AV moeten hebben.
OCU-Macs
@Iblies12 mei 2019 22:23
Die ideale wereld hadden we ooit, toen code en data zelfs op CPU niveau gescheiden waren (de Harvard architectuur). Echter men wilde meer ‘gemak’, en mede hierdoor werd de doos van Pandora geopend.
stewie
@SuperDre12 mei 2019 19:25
Is Linux/Freebsd (etc) onveiliger dan Windows of MacOS? Dacht het niet.
SuperDre
@stewie12 mei 2019 19:33
Nee, maar andersom ook niet.
MrMonkE
@SuperDre13 mei 2019 09:34
Het hangt ook een beetje af van de PEBCAK factor van de gebruikers.
Maar al doende leert men.
stewie
@SuperDre13 mei 2019 12:22
Nou MacOS wil je echt niet gebruiken als server totaal onveilig, zelfs Apple gebruikt het niet eens (Dat zegt ook wat)
Apple gebruikt al jaren open-source wat niet darwin is & gebruikt zelfs Windows, Azure, Amazon cloud etc. (En Microsoft gebruikt zelf ook Linux voor hun cloud)

Dus ja waarom zouden ze dat doen als het niet beter is dan hun eigen shit? (Je kent het verhaal van eat your own dog food?)

[Reactie gewijzigd door stewie op 13 mei 2019 12:22]

1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee