Netwerk NASA-laboratorium binnengedrongen dankzij slecht beveiligde Raspberry Pi

Criminelen hebben data gestolen van Mars-missies van NASA. Het Amerikaanse ruimtevaartagentschap meldt dat onbekenden via een Raspberry Pi het netwerk zijn binnengedrongen en data van missies hebben buitgemaakt.

De inbraak werd ontdekt in april 2018, stelt de inspecteur-generaal van NASA in een rapport. Dat gebeurde niet bij NASA zelf, maar bij het Jet Propulsion Laboratory, het ontwikkelaarscentrum van het California Institute of Technology dat door NASA wordt gefinancierd. JPL is de afdeling die de Mars-rovers van NASA ontwerpt en ontwikkelt. Het is niet duidelijk wie de aanvallers waren, maar NASA noemt het een 'advanced persistent threat', een aanduiding die normaal alleen voor staatshackers wordt gebruikt.

Criminelen wisten het netwerk van JPL binnen te dringen via een slecht beveiligde Raspberry Pi die aan het netwerk hing, maar niet via de officiële kanalen bij de systeembeheerders was aangemeld. Van daaruit wisten zij verder binnen te dringen in het netwerk. In totaal hadden ze zo zo'n tien maanden toegang zonder dat iemand hen opmerkte. Volgens het rapport van de inspecteur-generaal kregen de criminele hackers daar toegang toe door een gebruikersaccount over te nemen. In totaal wisten zij 23 bestanden te stelen van in totaal 500MB. Het is niet bekend wat voor bestanden dat waren.

In het rapport staat ook dat JPL zijn ict-beveiliging slecht op orde had. Zo was er geen permanente bemanning in het Security Operations Center, en had de instelling zijn netwerken niet goed gesegmenteerd waardoor het makkelijk was voor onbevoegden om door het hele netwerk te gaan. Bovendien zouden veel tickets voor systeembeheerders vaak lang openstaan, in sommige gevallen zelfs meer dan 180 dagen. Het is niet de eerste keer dat JPL wordt getroffen door een hack. In 2011 werd ruim 87 gigabyte aan data gestolen bij een digitale inbraak.

IT-banen

Reacties (88)

well0549 24 juni 2019 11:33

Hoe moeilijk is het om alle macid's regelmatig te controleren.........

pe0mot @well0549 • 24 juni 2019 11:52

Yep.
Wij scannen meerder keren per dag, naast DHCP logs voor nieuwe aanmedlingen.

kakanox @pe0mot • 24 juni 2019 14:07

Is het niet slimmer om met whitelisting te werken? Alleen een IP als je ook een "gewenst" MAC hebt?
Valt met spoofing natuurlijk wel omheen te klussen, maar dan is het moedwillig saboteren te noemen.

[Reactie gewijzigd door kakanox op 23 juli 2024 08:57]

hermanbrood @kakanox • 24 juni 2019 15:41

Ik denk dat het slimmer is om alles buiten je datacenter als onvertrouwd te verklaren en alleen een kale internetlijn te ontsluiten (en géén Epacity lijn of een andere rechtstreekse tunnel naar je datacenter, omdat dan je Raspberry Pi's er ook bij kunnen zonder verificatie).

Missiedata breng je uitsluitend onder in je datacenter, vanwaar het alleen met VPN met MultiFactor Authentication indirect te bereiken valt via stepping stone servers.

Op die manier hoef je geen lijstjes bij te houden van je lokale vestiging. Breekt iemand in op je wifi of Raspberry Pi? Veel succes, dan heb je internet en kun je sniffen tot je een ons weegt, maar je vangt niets.

Toegang nodig tot een systeem? VPN met MFA en gecontroleerde toegang per gebruikersrol. Ongeacht waar je bent. Always. En het systeem segmenteer je dan inderdaad weer in subsegmenten met elk hun eigen beveiligingslaag.

Verwijderd @hermanbrood • 24 juni 2019 17:35

Missiedata breng je uitsluitend onder in je datacenter, vanwaar het alleen met VPN met MultiFactor Authentication indirect te bereiken valt via stepping stone servers.

Dat is een mooi streven maar tevens zorg je er dan ook voor dat data zo goed als ontoegankelijk wordt. Gebruikers worden daarmee zwaar gehinderd in hun werk zeker als ze ook nog eens lokaal zaken moeten uitvoeren (niet ongewoon met complexe berekeningen of zwaar grafisch werk). Ik zie dit vaker gebeuren met VDI of terminal servers waarna gebruikers op allerlei manieren langs het systeem gaan werken (schaduw IT). We laten dit soort denkwijze juist steeds meer los omdat het een oplossing is die niet goed werkt in de praktijk.

Daarnaast moet dit hele platform onderhouden worden waar bakken met geld voor nodig is. Dat ze geen capaciteit hebben blijkt wel uit het artikel. Nasa loopt ieder jaar weer met een kleinere portemonnee dus de business case zal moeilijk te verkopen worden.

mjz2cool @pe0mot • 24 juni 2019 14:00

DHCP logs zijn ook nuttig, maar zo'n onbekend apparaat zou niet eens een DHCP request moeten kunnen doen. Elk nieuw apparaat zou gewoon een melding moeten triggeren bij de systeembeheerders.

well0549 @mjz2cool • 24 juni 2019 14:34

Yup

Soldaatje @well0549 • 24 juni 2019 14:05

Die kan je spoofen toch?

well0549 @Soldaatje • 24 juni 2019 14:35

Tenzij het echte macid dan weer probeert in te loggen. Die komt er dan niet in en heb je als beheerder alleen maar het apparaat op te sporen

pietos @well0549 • 24 juni 2019 22:03

Moeilijk omdat leveranciers ook pie’s leveren tegenwoordig. Zo is er een bepaald merk wat al zijn toiletten ervan heeft voorzien....

bartje 24 juni 2019 10:28

bij dit verhaal lijkt het er meer op dat die raspberry daar bewust voor dit doel is geplaatst.

Unsocial Pixel @bartje • 24 juni 2019 10:36

Idd, sys admins die niet op de hoogte zijn enzo doet dat wel vermoeden. Echter als je leest dat netwerk niet gesegmenteerd is, geen vaste aanstelling/bemanning op kritieke onderdelen, tickets die 180 dagen openstaan en dan al eerder gehackt geweest zijn kan het ook goed zijn dat het gewoon één grote baggerzooi is. Mag het niet hopen maarja we mogen ook niey hopen dat je zo makkelijk als met een rasp ergens binnenkomt...

psychodude @Unsocial Pixel • 24 juni 2019 10:59

Een sysadmin die niet op de hoogte is zegt natuurlijk zo gek veel nog niet. Indien ik op mijn werk een raspberry pi aan het netwerk hang, dan vermoed ik ook niet dat de sysadmins hier vanaf zullen weten.

In het verleden weleens een verbindingsprobleem gehad met wel een legitiem apparaat op het netwerk, stond er al jaren. Tot van de een op andere dag geen netwerkverbinding meer werd gemaakt. Bel je de ICT. Waren het tegengekomen, konden niet plaatsen wat voor een apparaat het was, stond kennelijk niet bij hun geregistreerd, dus hadden ze het eruit gegooid.

Daarna zijn ze even langs geweest, ook van hun een mooi stickertje erop geplakt en was het weer toegevoegd.

Kun je dit de sysadmins verwijten? Ik ben zelf geen sysadmin, maar het lijkt mij niet. In een klein bedrijf is het een en ander mogelijk nog wel overzichtelijk te houden. Maar zodra er duizenden apparaten op je netwerk aangesloten zijn, denk ik niet dat een willekeurige raspberry pi op zal vallen indien deze niet bij je aangemeld wordt.

sumac @psychodude • 24 juni 2019 11:23

Kun je dit de sysadmins verwijten? Ik ben zelf geen sysadmin, maar het lijkt mij niet. In een klein bedrijf is het een en ander mogelijk nog wel overzichtelijk te houden. Maar zodra er duizenden apparaten op je netwerk aangesloten zijn, denk ik niet dat een willekeurige raspberry pi op zal vallen indien deze niet bij je aangemeld wordt.

Ik denk dat ieder systeem in een soort checklist zou moeten staan, en dat ieder apparaat met regelmaat volautomatisch tegen die lijst gecontroleerd zou moeten worden. Hoe dat precies in z'n werk gaat moet je mij niet vragen, maar dat moet zeker kunnen. Nieuwe apparaten zouden aangemeld moeten worden, en zouden herkend en geblokkeerd moeten worden als ze niet aangemeld zijn. Als het een inside job is, met de intentie het netwerk te hacken, dan wordt het natuurlijk wat lastiger.

Freezerator @sumac • 24 juni 2019 11:38

NAC / Network Access Control. Elk apperaat wat niet in de ACL (Access Control List) staat blokkeer je of stuur je naar een apart vlan, welk natuurlijk weer beperkte rechten heeft.

bigbadbull @Freezerator • 24 juni 2019 12:23

iets met niet gesegmenteerd netwerk .....
en dan dhcp en boyd en veel test dingen, vooral dat laatste maakt het lastig.
het is gemakkelijk zeggen apart vlan, maar dan krijg je voor elk akkefietje testje weer een apart request om toegang tot die DB en die share en en en..
en ze verzuipen al in de tickets (180 dagen open)
sys admin z'n schuld ? theoretisch wel , maar als dat ook weer zo'n organisatie is waar een sysadmin een noodzakelijk kwaad is, dan is het toch echt meer een management probleem (as usual)

rob12424 @bigbadbull • 24 juni 2019 12:30

Maar die dingen werken toch met Mac/ip adress? Valt dat niet alsnog te claimen/spoofen?

bigbadbull @rob12424 • 24 juni 2019 12:54

klopt, maar dat was hier zelfs nog niet nodig.
Waarom zou je het risico nemen om een mac/ip te spoofen en een netwerk conflict alert te genereren, als elk device gewoon een ip krijgt van de dhcp ?

Niemand_Anders

Beveiliging

@bigbadbull • 25 juni 2019 02:58

Bij ons worden de IP ranges grotendeels bepaald aan de hand van het MAC address. De eerste 4 bytes worden toegekend aan fabrikanten en byte 5 en 6 bepalen het model. Alle modellen welke wij niet herkennen worden automatisch in de guest VLAN geplaatst. Guest vlans hebben alleen toegang tot internet en iedereen is geisoleerd (/30 subnet) Herkende apparaten hebben overigens maar beperkt toegang op het netwerk maar zitten wel op dezelfde subnets..

Voor serieuze toegang is een VPN account nodig. Mac range whitelisting is uiteraard geen waterdichte oplossing. Maar het werpt wel een extra drempel op. Uiteraard kun je met network spoofing na enkele dagen de network flow wel in kaart brengen en in combinatie met port mapping weet men dan wel met enige zekerheid een aantal apparaten te identificeren welke speciale rechten hebben..

Een andere methode op 'snel' op 'beveiligde' netwerken te komen is om de (bedraade) netwerk aansluiting van een printer te gebruiken. Deze moeten vaak vanaf meerdere afdelingen bereikbaar zijn en staan vaak dus in meerdere subnetten/vlans..

Ook hebben wij trip analyzers op het netwerk staan. Elke apparaat heeft na een verloopt van tijd patronen welke servers zijn benaderen. Onze trip analyzers reageren dus als een apparaat hier ineens vanaf wijkt. Het is niet correct als een printer ineens probeert toegang te krijgen tot machine via RDP (bluekeep).. Zo'n apparaat wordt direct geisoleerd van het interne netwerk en kan alleen nog via de gateway het internet bereiken..

pe0mot @sumac • 24 juni 2019 11:45

Of gewoon b.v. check-mk draaien.
Imeeltje als er een nieuw device wordt gevonden, vergelijk met de lijst van verwachte installaties.
Makkelijker kunnen we het niet maken.

Onbekende devices op je netwerk, foei!
Bekende devices monitoren op poorten, versies, gedrag, etc. Gewoon het ouderwetse beheerwerk.

[Reactie gewijzigd door pe0mot op 23 juli 2024 08:57]

mbbs1024 @sumac • 24 juni 2019 17:32

802.1x opzetten

Unsocial Pixel @psychodude • 24 juni 2019 11:17

Als je dingen als marsrovers en dergelijke ontwikkeld of uberhaupt met gevoelige data werkt dan zegt dit heel veel,, dit soort falen zoudden koppen voor moeten rollen.

Bitfreakie @psychodude • 24 juni 2019 11:43

Een sysadmin die niet op de hoogte is zegt natuurlijk zo gek veel nog niet. Indien ik op mijn werk een raspberry pi aan het netwerk hang, dan vermoed ik ook niet dat de sysadmins hier vanaf zullen weten.

Apparatuur die niet bij de sysadmins bekend is moet óf überhaupt niet op het netwerk kunnen komen óf in een VLAN terechtkomen waar ze bijvoorbeeld alleen internet op mogen (gasten-VLAN). Bij voorkeur optie 1.

Tokkes @psychodude • 24 juni 2019 12:48

Kun je dit de sysadmins verwijten?

Ja en nee. Ja, want: cybersecurity wordt alsmaar belangrijker en SysAdmins moeten pushen om zich tegen dit soort dingen te beveiligen. Nee, want: Veelal is er gewoon het budget niet om MAC-whitelisting te doen en een alarm te implementeren als er een onbekende NIC aan je netwerk komt te hangen. Er zijn ook switches die botweg gewoon de poort uitschakelen als je er wat onbekends aanhangt.

Maar die oplossingen bestaan wel degelijk! Hell, zelfs het 'consumentenprogrammatje' Glasswire kan je instellen dat die periodiek je netwerk afscant naar apparaten, bijvoorbeeld.

NET bij bedrijfsnetwerken van duizenden apparaten is het zaak alles goed bij te houden, en daar begin je mee als je nog klein genoeg bent (anders is het inderdaad niet meer te doen).

mjz2cool @Tokkes • 24 juni 2019 13:28

Zou het zoveel kosten om mac adressen te filteren en standaard te blokkeren? Dit kun je toch vrij eenvoudig doen met bijvoorbeeld een captive portal waar je met je account op in moet loggen (liefst met 2 factor login), dan hoeft systeembeheer niet elk nieuw mac adres toe te voegen. Daar kun je vervolgens ook een bevestigingsmail op sturen zodat de eigenaar van het account het ook kan zien als iemand anders zich aanmeld met zijn/haar account. Voor een bedrijf/overheidsinstantie als Nasa zal het toch betaalbaar moeten zijn?
Het zou kunnen dat ik het te rooskleurig zie hoor, dat wel.

Tokkes @mjz2cool • 24 juni 2019 13:40

MAC addressen zouden in he CMDB gelinkt moeten zijn aan hun assets en die database zou bepalend moeten zijn voor wat er op je netwerk kan.

dan heb je dus al een CMBD systeem nodig + de nodige implementaties/integraties met je network governance. Iemand moet ook al die assets en hun info invoeren in die CMDB. Met een captive portal kan je al wat afvangen maar veiliger is uberhaupt geen enkele communicatie toe te staan als het MAC adres niet wordt herkend en de poort uit te schakelen tot die manueel weer wordt ingeschakeld.

Thystan @psychodude • 24 juni 2019 13:05

Ik heb op genoeg plekken gewerkt waar elke verbinding (USB/Ethernet/etc.) direct alarm af liet gaan bij de IT.

mjz2cool @psychodude • 24 juni 2019 13:22

Het feit dat je dan zelf een apparaat aan het netwerk kunt hangen kan al een probleem zijn. Met een simpel mac filter voorkom je dat al grotendeels. Dat ze dit zo hebben kunnen doen bij Nasa doet al vermoeden dat zo'n filter niet gebruikt wordt. Bovendien kun je gemakkelijk een lijst van apparaten genereren van bekende of onbekende apparaten. Maar het begint al bij het standaard blokkeren van onbekende apparaten.

[Reactie gewijzigd door mjz2cool op 23 juli 2024 08:57]

leuk_he @Unsocial Pixel • 24 juni 2019 11:33

Sysadmin die niet reageren? Klinkt alsof een "slimme" manager dan zelf maar een pi heeft neergezet, omdat hij iets via sysadmin niet voor elkaar kon krijgen.

Unsocial Pixel @leuk_he • 24 juni 2019 11:43

Direct ontslaan dat soort managers, sysadmins die niet reageren,, soms zijn ze gewoon druk, of je moet als bedrijf maar een ticketing systeem aanbrengen oid,, eerste, tweede, derde lijn support ook intern aanbieden,,

Dit soort bedrijven moeten liever save then sorry zitten. Word er niet volgens de regels gewerkr dan ga je direct de oorzaak ervan uitzoeken, one strike is out,, simpel als dat.

Daarnaast: wat @Freezerator zegt

[Reactie gewijzigd door Unsocial Pixel op 23 juli 2024 08:57]

nobraininvolved @Unsocial Pixel • 24 juni 2019 12:59

waarom? er is 500 MB data gejat in 10 maanden.
Was het interessante data? Het netwerk kan ook gewoon 'risk based' beveiligd zijn. We weten niet wat er op het netwerk stond wat b.v. niet openbaar gemaakt zou mogen worden (misschien wel niets en wat maakt het dan uit?)
Dat het hele netwerk open staat door 1 apparaatje wat daar niet op aangesloten had mogen worden, vind ik wel het kwalijkst, maar goed...nogmaals; als de gegevens niet zo specifiek geheim ofzo zijn, dan hoeft er ook niet teveel aandacht naar security te gaan.

Unsocial Pixel @nobraininvolved • 24 juni 2019 13:08

1 ding geef ik je gelijk, we weten niet of het interesante data is,, desalnietemin ook al was het 10kb,, het kan net die kritieke 10kb zijn en net die 1pb aan garbage,,

mjz2cool @nobraininvolved • 24 juni 2019 13:37

Dat is een verkeerde denkwijze. Het feit dat die raspberry pi op het netwerk kon en bij die data kon komen moet al alarmbellen laten rinkelen, nog voor de verdere acties te bekijken. Het is niet interessant wat voor data het was, al was het een interne handleiding voor de koffieautomaat. Ze konden bij die data, dus waar hadden ze nog meer bij gekund? Wie zegt dat ze niet nog verder konden komen, als het verbinden met het netwerk al niet zo goed beveiligd is?

[Reactie gewijzigd door mjz2cool op 23 juli 2024 08:57]

nobraininvolved @mjz2cool • 24 juni 2019 13:54

ben ik met je eens. Het verbaasde mij nl het meest dat er zomaar een vreemd device aangehangen kon worden zonder dat dat opgemerkt werd.Hier (op mijn werk) kan ik niet eens een usb stick in mijn computer doen, laat staan een niet herkend device in het netwerk hangen...
Maar dan nog; er is 1 account overgenomen vlgns mij en 500 Mb aan data...dus mss had dat account ook maar beperkte toegang, of bevatte het hele netwerk geen belangrijke info..
Je wilt dit natuurlijk altijd voorkomen, dat staat buiten kijf.

YGDRASSIL

@mjz2cool • 24 juni 2019 18:25

Als ze 10 maanden toegang hadden valt de buit wel mee. Grappig dat ze slecht kunnen beveiligen maar wel precies weten waar hackers toegang tot hadden en welke data gecopieerd is.

mjz2cool @Unsocial Pixel • 24 juni 2019 13:31

Er is al een ticketing systeem aanwezig, maar als daar tickets van 180 dagen oud in staan gaat daar toch iets fout. Zo'n Raspberry Pi zou niet eens het netwerk op moeten kunnen zonder langs syteembeheer te gaan.

DragonChaser @Unsocial Pixel • 24 juni 2019 12:55

Lansweeper, bam, opgelost.. zucht.. of toch niet. Tickets die 180 dagen open staan is gewoon slecht management, niemand die admins op de vingers ticked of gewoon pure onbekwaamheid.

Voor de admins hier: https://www.lansweeper.com/

Nothing goes unseen!, tenminste ik reageer wel op elk nieuwe device die ons netwerk binnen rolt.
Voor gasten users/ prive mobieltjes aparte lijn, zoals het hoort.

NSG @bartje • 24 juni 2019 10:49

Lijkt wel een aflevering uit Mr.Robot.

Tenocticatl

@NSG • 24 juni 2019 11:08

Is dat niet letterlijk iets wat ze ergens in het eerste seizoen een keer doen?

jaspro @Tenocticatl • 24 juni 2019 11:17

Ja, dit hebben ze letterlijk in het eerste seizoen gedaan

sebastienbo @jaspro • 24 juni 2019 12:00

Netwerk binnengedrongen schrijven ze, maar het lijkt eerder gewoon verbonden. Ik zie niet wat er gedrongen was. Geen brute force of niets

kuurtjes @sebastienbo • 24 juni 2019 12:54

Het netwerk was duidelijk niet bedoeld om zomaar mee te kunnen verbinden.

Keerzijde

@Tenocticatl • 24 juni 2019 11:17

Nee, 2e seizoen dacht ik.
Dan plaatsen ze fysiek een wifi router op een tijdelijke FBI site om alle verkeer te kunnen onderscheppen.

kazz1980 @Tenocticatl • 24 juni 2019 11:48

Klopt, geplaatst in het climate control systeem bij E-corp. Maar ik gok dat het hier gaat om een raspberry Pi die medewerkers zelf geplaatst hebben. (hier op het werk staan ook vele raspberry pi's, voor aansturen verlichting (bij slagen/falen builds), als restro pi machines, of Spotify afspeel-machines... Overigens wel allemaal netjes via het gast-netwerk en dus niet geschikt om mee in te breken richting gevoelige data).

dakathefox @bartje • 24 juni 2019 10:33

Inderdaad, dat las ik ook zo'n beetje tussen de regels door. Lijkt me toch iets dat eenvoudig te voorkomen is.

5V1NA70G @bartje • 24 juni 2019 10:32

Ja of gewoon wat lui die daar willen retrogamen/mediaverslinden tijdens hun pauze of rustige momenten.

laptopleon @5V1NA70G • 24 juni 2019 10:39

Retrogamen kan zonder netwerk en mediaverslinden kan op zo’n beetje elk apparaat.

Jasper Janssen @laptopleon • 24 juni 2019 10:42

Maar dan kan je je nieuwe aanwinsten er niet heen FTPen.

Net als ieder ander mens zijn raketwetenschappers soms lui zijn en dan zetten ze een everything-default retropie aan het netwerk.

Tenocticatl

@Jasper Janssen • 24 juni 2019 11:07

Dat is iets wat dan wel direct de toorn van een sysadmin dient te wekken, lijkt mij.

caipirinha 24 juni 2019 10:50

Die raspberry is helemaal het probleem niet.
Dit soort belangrijke blauwdrukken hoort helemaal niet op een aan een netwerk verbonden computer te staan. Alles is namelijk te hacken en in een technische wetenschappelijke omgeving is het gewoon gebruikelijk eigen servers meetinstrumenten etc aan elkaar te hangen.

Verwijderd @caipirinha • 24 juni 2019 10:57

Dit soort belangrijke blauwdrukken hoort helemaal niet op een aan een netwerk verbonden computer te staan.

Hoe zie je dit voor je dat dit anders gaat dan?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:57]

arbraxas @Verwijderd • 24 juni 2019 11:03

Dat had internet moeten zijn gok ik.
Niet alles moet perse aan het internet gekoppeld zijn.

Atmosfeer @arbraxas • 24 juni 2019 11:10

Dat klopt in feite natuurlijk, maar je weet niet hoeveel mensen er over heel Amerika aan die dingen werken. Als de andere optie is dat het 10 langer duurt omdat iedereen telkens naar het NASA marslab moet reizen om eraan te kunnen werken dan kiest men denk ik toch ervoor om het aan het internet te hangen.

caipirinha @arbraxas • 24 juni 2019 11:19

Een geïsoleerd netwerk(segment) kan in principe geen kwaad voor low risk data maar voor dit soort zaken gebruik je fysieke encrypted media als je data wilt transporteren.
Dat vergt een omslag in denken bij vooral jonge medewerkers die alles connected willen doen. De oude garde was dit gewoon gewend 30 jaar geleden.

pe0mot @Verwijderd • 24 juni 2019 11:50

Eigen netwerk, R&D gescheiden van de echte productie, knutsel netwerk, wel toestaan maar goed afschermen.etc.

asing @Verwijderd • 24 juni 2019 12:35

Je bent duidelijk nooit bij een bedrijf geweest wat zijn data écht veilig wilde houden

. Ook in Nederland zijn er bedrijven waarbij bepaalde data tot Staatsgeheim is verklaard. Dan is er sprake van 2 fysiek gescheiden netwerken. Eentje als soort KA netwerk, en eentje met de kritieke data. Beide netwerken staat niet met elkaar in verbinding. Data transporteren tussen de twee is alleen onder toeziend oog.

DragonChaser @asing • 24 juni 2019 12:58

^ dat dus, zoals elk bedrijf het heeft waar ik ooit gewerkt heb..

sjhgvr 24 juni 2019 10:26

23 bestanden gestolen.. en hoeveel gecopiëerd?

SuperDre @sjhgvr • 24 juni 2019 13:48

500MB....

Kain_niaK @SuperDre • 25 juni 2019 09:48

500 MB aan plaatjes van aliens gespot op Mars. Het waren waarschijnlijk de aliens zelfs die hun plaatjes hebben teruggestolen. Tja, Mars heeft ook portretrecht.

[Reactie gewijzigd door Kain_niaK op 23 juli 2024 08:57]

mjz2cool @sjhgvr • 24 juni 2019 13:52

23 dus. Dat zullen ze in hun logs hebben gezien. Een hacker zal echt geen bestanden knippen, dat zou opvallen.

Kain_niaK @mjz2cool • 25 juni 2019 09:50

Dan is de data niet gestolen. Wanneer je iets steelt is het er niet meer.

mjz2cool @Kain_niaK • 25 juni 2019 11:43

Diefstal betekent dat je op onrechtmatige wijze andermans eigendom in bezit neemt. Daarmee zou je dus kunnen zeggen dat je aan het stelen bent als je illegaal data kopieert van een bedrijf.
Het klinkt ook beter en duidelijker om te zeggen dat data gestolen is dan wanneer je zegt dat er data is gekopieerd.

Kain_niaK @mjz2cool • 25 juni 2019 12:40

En als je iemand afluistert via de telefoon steel je zijn stem?

mjz2cool @Kain_niaK • 25 juni 2019 13:00

Nee, maar dat is te vergelijken met het inzien van data maar het niet kopiëren.

Cio 24 juni 2019 11:03

Was China niet heel druk bezig informatie te verzamelen over grondstoffen in de ruimte?

Dan kan je dit zien als ordinaire bedrijfsspionage, zoals Nederlanders ooit kaarten van de Afrikaanse kust bij Portugezen buitmaakte.

Edit: beetje achtergrond over China’s ruimtestrategie. Wellicht zijn ze geen directe opdrachtgever, maar wel potentiële afnemer van de buitgemaakte informatie.

Noord Korea heeft bijvoorbeeld wel de motivatie om bij NASA te gaan ‘rondsnuffelen’, heeft goede banden met China en voldoet zowel aan de eis van ‘advanced persistent threat’, als partij met voornamelijk economische motieven die niet vies is van ordinaire criminaliteit.

Edit2: Het lukt Security redacteur Tijs maar niet om een beetje duiding mee te geven nu ik het artikel herlees. Weer gewoon de officiële lezing van een overheidsinstantie zonder aanvullingen.

[Reactie gewijzigd door Cio op 23 juli 2024 08:57]

well0549 @Cio • 24 juni 2019 11:31

Ja China heeft dit absoluut zeker gedaan.
Want Trump...........

Cio @well0549 • 24 juni 2019 11:55

Als je me aan het lachen maakt verdien je een thematisch relevant bedankje: https://m.youtube.com/watch?v=_AUXpnB065o

DeComponeur

Internettoegang

24 juni 2019 11:19

De nadruk in het artikel (en door de NASA) wordt gelegd op criminele hackers.
Maar de kans dat het 'lolbroeken' of 'nieuwsgierige ouwehoeren' zijn lijkt me reëler. Uiteraard hebben ze dan ook iets crimineels gedaan, maar je fiets goed op slot zetten lijkt mij een eerste vereiste

bbob

Internettoegang

24 juni 2019 10:31

Gevalletje van de zwakste schakel.

Aardbol_23564 @bbob • 24 juni 2019 10:48

Er is wel wat meer aan de hand dan dit ""zwakste schakel", maar ik snap je punt.

bbob

Internettoegang

@Aardbol_23564 • 24 juni 2019 11:00

Klopt lees ook slecht netwerk beheer en dat soort zaken, ook zwakke schakel maar zo een klein apparaatje is dan uiteindelijk toch de zwakste schakel waardoor de rest ook misbruikt kan worden.

Verwijderd @bbob • 24 juni 2019 11:08

Nou ik weet het niet. Er staat: "JPL established a network gateway to allow external users and its partners, including foreign space agencies, contractors, and educational institutions, remote access to a shared environment for specific missions and data. However, JPL did not properly segregate individual partner environments to limit users only to those systems and applications for which they had approved access."

Ofwel: ze gaven login codes uit, waarbij de rechten veel en veel groter waren dan toegestaan. Misbruik dus al mogelijk by design.

Dat heeft imho niets met het kleine apparaatje te maken. Klinkt me toch een beetje in de oren als, laten we de PI maar de schuld geven, dan hoeven we het echte probleem niet aan te pakken. Hoe kan hardware als een PI veranmtwoordelijk zijn voor zoiets, en wat doet het formaat er toe

NLKornolio @Verwijderd • 24 juni 2019 13:05

Ofwel de acl/firewall was niet goed gemanaged op de rds server.
De PI was verder niet beveiligd/managed waardoor ze hier bv malware op konden zetten.

[Reactie gewijzigd door NLKornolio op 23 juli 2024 08:57]

LocK_Out 24 juni 2019 11:31

Dus iemand heeft voor de lol (zijn eigen ding) een persoonlijke rasp Pi aan een bedrijfsnetwerk gehangen? Een bedrijfsnetwerk waar "classified" documenten e.d. op staan??
Hier staat vast iets over, in diegene z'n arbeidsovereenkomst..

SunnieNL

@LocK_Out • 24 juni 2019 11:41

Niet alleen bij die persoon...
* Een beheerder had moeten scannen naar nieuwe devices op het netwerk, dat is met bepaalde tools makkelijk te doen.
* de belangrijke data had op een ander segment moeten staan. Liefst een waar je via remote machines in moet (citrix, VMWare, microsoft rdp, anders)
* het kantoor netwerk zou automatisch voor onbekende apparaten dicht moeten vallen naar buiten (en bij voorkeur ook naar binnen)

LocK_Out @SunnieNL • 24 juni 2019 11:43

Uiteraard, ik doelde echter meer op de specifieke persoon die de Raspberry aan het netwerk heeft gehangen.
Dat hier diverse zaken niet klopte is zacht uitgedrukt..

NLKornolio @LocK_Out • 24 juni 2019 13:07

De raspberry kan gewoon legetieme hardware zijn alleen moet je wel zorgen dat deze netwerk technische alleen bepaalde zaken mag bedienen.

[Reactie gewijzigd door NLKornolio op 23 juli 2024 08:57]

CivLord

@LocK_Out • 25 juni 2019 08:40

Dit is een bedrijf waar vooral über-tweakers werken; professionals, studenten, stagairs, etc.. Waar iedereen met zijn eigen laptop en smartphone op het netwerk zit en waarschijnlijk meer zelf-geknutselde Raspberrie-devices aan het netwerk hangen dan officiële apparatuur.
Een overheidsorganisatie waar in de projecten ettelijke miljarden omgaan, maar waarbij in de organisatie en faciliteiten zelf al jarenlang tot in het bot bezuinigd is.

Tiny 24 juni 2019 10:26

Je netwerk beschermen tegen ongeauthoriseerde apparatuur is toch geen Rocket Science?

Fireshade @Tiny • 24 juni 2019 10:41

geen Rocket Science

Precies, als het wel rocket science was, was het wel goed geregeld.

Compunologist 24 juni 2019 11:35

Zo was er geen permanente bemanning in het Security Operations Center

JPL currently staffs its SOC during regular business hours and maintains one analyst on call to respond to after-hours alerts

Heeft die analyst in 2018 nou zelf iets opgemerkt of is ie "after-hours" gebeld?

Op dit item kan niet meer gereageerd worden.

Netwerk NASA-laboratorium binnengedrongen dankzij slecht beveiligde Raspberry Pi

Lees meer

IT-banen

Reacties (88)

Sorteer op:

Weergave: