G-Data: Microsoft signeerde driver met rootkit - update

Microsoft heeft een driver gesigneerd die een rootkit bleek te bevatten en verkeer naar een Chinees ip-adres doorstuurde. Dat meldt het Duitse bedrijf G-Data. Microsoft heeft de driver intussen als malware bestempeld in Windows Defender en is een onderzoek gestart.

Volgens malware-analist Karsten Hahn leidt de network filter rootkit-driver verkeer om naar een Chinees ip-adres. Een whois-query leerde dat dit adres toebehoort aan een Chinees bedrijf dat volgens het Amerikaanse ministerie van Defensie in verband kan worden gebracht met de Chinese Communistische Partij.

"De hoofdfunctionaliteit van de rootkit-driver is het omleiden van verkeer. Maar de driver kan zichzelf ook updaten", klinkt het bij Hahn. "We hebben dit probleem gemeld bij Microsoft die prompt de driver als malware heeft bestempeld in Windows Defender en een intern onderzoek is gestart naar hoe dit is kunnen gebeuren."

Update, dinsdag 12.35: Microsoft heeft het probleem erkend en meer details verstrekt.

Door Jay Stout

Redacteur

Feedback • 25-06-2021 20:1279

25-06-2021 • 20:12

79 Linkedin

Lees meer

Microsoft bevestigt dat het een rootkit-driver ondertekende Nieuws van 27 juni 2021
NCSC plaatst lijst met door Flubot-malware gebruikte domeinnamen op Github Nieuws van 25 juni 2021
Verdachten ransomwareaanval Uni Maastricht gearresteerd door Oekraïense politie Nieuws van 17 juni 2021
Nieuwe malware probeert via Windows-containers cloudomgevingen binnen te dringen Nieuws van 9 juni 2021
Microsoft meldt opnieuw cyberaanvallen door Russische SolarWinds-hackers Nieuws van 28 mei 2021
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Driver

Reacties (79)

-Moderatie-faq
-179072+142+25+30Ongemodereerd12
Wijzig sortering
Raymond Deen
25 juni 2021 20:18
Misschien werd het verkeer tijdens het moment van signen nog niet omgeleid?
Ik weet ook niet of er iets van een kwaliteitscontrole gedaan wordt door ms of dat het puur bedoeld is om aanpassingen aan de drivers tegen te gaan. Dat laatste lijkt me wel het meest voor de hand liggende, want er is zoveel hardware met bijhorende drivers beschikbaar; dat kan ms nooit allemaal zelf testen.
CAPSLOCK2000
@Raymond Deen26 juni 2021 13:44
Misschien werd het verkeer tijdens het moment van signen nog niet omgeleid?
Ik weet ook niet of er iets van een kwaliteitscontrole gedaan wordt door ms of dat het puur bedoeld is om aanpassingen aan de drivers tegen te gaan. Dat laatste lijkt me wel het meest voor de hand liggende, want er is zoveel hardware met bijhorende drivers beschikbaar; dat kan ms nooit allemaal zelf testen.
Er is een fundamentele stelling in de Informatica die het "halting problem" heet en die komt er op neer dat je werking van software nooit 100% zeker kan garanderen. Strict genomen zegt de stelling dat je nooit zeker weet of een programma ooit stopt, maar het komt ongeveer op hetzelfde neer. Populair gezegd kun je voor iedere controle die men kan bedenken om jouw software te controleren ook weer een uitzondering toevoegen aan je software om die controle te omzeilen.

Je moet nu natuurlijk niet de conclusie trekken dat alle controle zinloos is. Maar je moet er wel rekening mee houden dat ondanks alle controles er altijd iets door kan glippen.

In het algemeen weten we dat al lang, niks is perfect en overal worden fouten gemaakt, binnen en buiten de IT. In het algemeen is de oplossing dat je op geen enkel los onderdeel moet vetrouwen. Je maakt systemen veilig met overlappende lagen van beveiliging zodat ze elkaars zwakke punten afschermen. Net zoals je een kasteel beveiligd met een muur en een slotgracht en schildwachten en uitkijktorens en een ophaalbrug en een valhek en boogschutters, etc...

Dat denken ontbreekt nog steeds in IT. Ik vraag regelmatig hoe dingen beveiligd zijn. Op mijn vragen krijg vaak bij ieder punt 1 antwoord: "De database is beveiligd met een firewall". Ik vraag dan wat er gebeurt als de firewall uitvalt en daar hebben ze meestal geen antwoord op, dat vinden ze maar een beetje flauw.

Terwijl het echt niet moeilijk is om wat extra maatregelen te nemen, zoals "de database luistert niet naar het netwerk" of "de database-gebruikers zijn op IP beperkt en moeten een ssl-client-certificaat hebben" of "onze switches en routers hebben ACLs die fouten in de firewall opvatten".

Er zijn er ook wel die het heel goed doen hoor, maar er zijn er veel te veel die het niet echt snappen en "checklist IT" bedrijven. Ze denken niet structureel na over de situatie maar zien veiligheid als features die je wel of niet hebt.
Raymond Deen
@CAPSLOCK200026 juni 2021 20:44
Ben er van op de hoogte dat het wiskundig bewijzen van correctheid van je programmeertaal een onmogelijke klus is, maar dat bedoelde ik niet. Ze kunnen er wel een timer ingezet hebben die na een bepaalde datum pas ervoor zorgde dat er verkeer omgeleid wordt en op al dat soort fratsen kun je gewoon niet testen als ms zijnde. En ik vroeg me af of dat überhaupt wel gedaan werd door ms, of dat het certificaat puur en alleen voor anti-tampering is.
Daarnaast moet je, zeker als serieus bedrijf natuurlijk, elk compartiment van je netwerk infra gewoon beveiligen en ook elk compartiment elkaar niet zondermeer laten vertrouwen.
Waterfietser
@Raymond Deen26 juni 2021 22:47
Je moet wel meer; feit blijft dat daar geen mensen voor zijn, of geen budget voor is. Dat “alles moet goed beveiligd zijn” is vaak “alles moet het altijd doen” en “het kost al geld genoeg”…
Raymond Deen
@Waterfietser26 juni 2021 23:30
En de kosten van herstellen van een beveiligingslek, heb je die wel eens mee laten nemen in een kostenplaatje?
Afgezien van imago schade zijn de kosten van herstellen van bijvoorbeeld een ransomware aanval echt gigantisch; denk maar aan al die mensen die ineens hun werk niet kunnen doen, collega's en klanten of gebruikers. Als je dan nog bij een deel van je gegevens kan of oude data dan is er soms nog wel mee te werken, maar anders zitten die mensen gewoon betaald stil.
Het niet adequaat beveiligen van gegevens zou zelfs misschien wel aansprakelijkheid kunnen raken wanneer duidelijk wordt dat er bewust gekozen is voor mindere of afwezige beveiliging omwille van geld.
Een daarnaast is er natuurlijk nog gewoon wettelijke verplichting om op een bepaalde manier met bepaalde gegevens om te gaan...
Waterfietser
@Raymond Deen27 juni 2021 18:31
Ja inderdaad. Maersk heeft een slecht imago nu
akooijman
@CAPSLOCK200027 juni 2021 14:20
De correctheid van software kan op algoritme niveau in principe wel bewezen worden. Bij complexere software is het ondoenlijk, als je geen toegang tot de sourcecode hebt is het vrijwel onmogelijk (al zou je in theorie de boel moeten kunnen reverse engineered.)
Brousant
@CAPSLOCK200026 juni 2021 15:04
"Strict genomen zegt de stelling dat je nooit zeker weet of een programma ooit stopt, maar het komt ongeveer op hetzelfde neer"

Nou, er zijn toch heel wat programma's waarvan je dat wel zeker kunt weten. Wat denk je van het "hello world" voorbeeldprogramma van Kernighan en Ritchie.
Brousant
@maplebananas26 juni 2021 23:04
Lmao, ik hoop dat dit sarcasme is =/
Nee hoor.
Ik denk dat de uitspraak "strict genomen zegt de stelling dat je nooit zeker weet of een programma ooit stopt" niet klopt.
Die stelling was anders allang afgeserveerd.
maplebananas
@Brousant26 juni 2021 23:13
Ik kan het verkeerd hebben, maar het gaat natuurlijk om wat meer geavanceerde software. Een die bijvoorbeeld veel gebruiksscenario's kent en vaak verschillende authenticatiegroepen moet bedienen. Dan is het natuurlijk (vrijwel) onmogelijk om te garanderen dat het met 100% zekerheid in alle gevallen blijft werken en er geen complicaties kunnen ontstaan. Een simpel stukje code dat als voorbeeld dient is dan niet wat je als maatstaf wilt gebruiken in dit geval
Raymond Deen
@maplebananas26 juni 2021 23:33
Zelfs dit eenvoudige voorbeeld wiskundig correct bewijzen is al een hele klus.
Daarnaast kan er ook nog een fout in de compiler zitten of een bitje omvallen tijdens het compileren of uitvoeren en dan kun je ook al gaar zijn, ook al is de kans daarop bij dit voorbeeld wel erg klein.
Brousant
@maplebananas28 juni 2021 13:11
Ik kan het verkeerd hebben,
Ja, dat zou best kunnen.

Zie de reactie van @RemcoID hieronder. Die lijkt wel te weten waar de klepel hangt.

[Reactie gewijzigd door Brousant op 28 juni 2021 13:13]

RemcoID
@Brousant27 juni 2021 01:34
het halting problem houdt in dat er geen generieke oplossing is die voor elk software-programma kan bepalen of het stopt.

Video
E - man
25 juni 2021 21:52
Laat ze eerst maar eens uitzoeken of het echt door Microsoft gesigneerd is of dat iemand anders het gesigneerd heeft met een certificaat van Microsoft. In het eerste geval zijn ze alleen slordig geweest in het laatste geval is er een veel groter risico.
Donvermicelli
@E - man26 juni 2021 03:19
Laat ze eerst maar eens uitzoeken of het echt door Microsoft gesigneerd is of dat iemand anders het gesigneerd heeft met een certificaat van Microsoft. In het eerste geval zijn ze alleen slordig geweest in het laatste geval is er een veel groter risico.
Als iemand anders heeft kunnen signen met een certificaat van Microsoft dan ondermijnt dat ook wel het vertrouwen in dat certificaat in de toekomst.
ZwarteIJsvogel
@Donvermicelli26 juni 2021 08:21
Signen doe je niet met een certificaat maar met de private key die hoort bij de public key in het certificaat. Als iemand anders dan Microsoft die driver heeft gesigned, dan is de betreffende private key van Microsoft ofwel uitgelekt ofwel gereverseengineerd. Dat zou een ramp zijn: key en certificaat kunnen meteen in de bit bucket en Microsoft zou een enorme hersteloperatie moeten starten. Ik acht het overigens waarschijnlijker dat iemand die malafide driver door het signing proces van Microsoft heeft weten te loodsen (gezien ook de geldige counter signatures).

Ik ben zeer benieuwd naar de bevindingen van Microsoft. Gezien aard en ernst van de zaak zullen denk ik ook Amerikaanse veiligheidsdiensten (FBI, NSA) bij het onderzoek aanschuiven.
BlaDeKke
@E - man25 juni 2021 22:40
In het artikel lees ik dat ze dat aant onderzoeken zijn.
Tr1pke
@BlaDeKke26 juni 2021 07:38
Gelukkig heeft Microsoft deze forum met goede raad.
DrBackBeat
25 juni 2021 20:45
een Chinees ip-adres dat volgens de website WHOIS toebehoort aan een Chinees bedrijf dat volgens het Amerikaanse ministerie van Defensie in verband kan worden gebracht met de Chinese Communistische Partij.
Dus volgens een website (1) hoort het IP bij een bedrijf dat volgens US defensie (2) in verband (3) kan (4) worden gebracht met CCP.

Dat zijn 4 lagen van aannames of in ernst variërende connecties dat de driver in handen van de CCP is.

Nummer 3 vind ik nog het meest tergend en zie ik in zoveel nieuwsberichten terug. 'Er is een verband' 'hij/zij wordt in verband gebracht met', ik vind het zo weinig zeggen; voor hetzelfde geld heeft een stagiair een ironische sticker van CCP op z'n laptop geplakt...
field33P
@DrBackBeat25 juni 2021 20:59
Er zijn maar twee groepen die geïnteresseerd zijn in dit soort driver: cybercriminelen en inlichtingendiensten. Gezien dat het IP-adres indirect in verband gebracht kan worden met het Chinese leger is het vrij plausibel dat het groep nummertje twee is.
DrBackBeat
@field33P25 juni 2021 21:06
Ik beken dat ik niet diep in de materie zit hoor, maar omleiden van verkeer klinkt mij als iets wat je ook doet met bijvoorbeeld een VPN. Daarnaast vind ik het verband dus meer dan indirect klinken.

-edit- in plaats van alle -1's zou men ook een poging kunnen doen mij te verhelderen wat ik mis heb in mijn verhaal zoals @dasiro

[Reactie gewijzigd door DrBackBeat op 25 juni 2021 22:35]

M2M
@DrBackBeat25 juni 2021 22:22
maar als de chinesen echt een doel hadden, dan huurden ze toch via 6 tussenpersonen een servertje in A'dam? Autoforward aan en de driver komt gewoon door het certificatieprogramma?
dasiro
@M2M25 juni 2021 23:14
De Chinese overheidsdiensten zijn waarschijnlijk een pak geavanceerder dan de doorsnee Europese en kunnen dankzij hun great firewall of china binnenlands veel dingen testen die het buitenland nooit te zien zal krijgen, als ze het al op het publieke internet doen. Voor de gevoeligere operaties zullen ze dit soort broad-spectrum malware niet inzetten, want dit is gewoon veel te doorzichtig
janbaarda
@dasiro26 juni 2021 01:48
Je bedoelt dat deze actie niet belangrijk genoeg was om de "echte" spyware in te zetten...
Dus een aantal mogelijkheden:
  • het door de VS Defensie (?) aangeduide bedrijf is mogelijk onterecht in verband gebracht met en de info naar het IP-adres heeft een technische functie
  • de 'rootkit' is aangebracht door een aan MS gelieerde partij (VS Defensie misschien?) en was niet bedoeld om te worden ontdekt. Het "Chinese IP adres" was een decoy om verband met VS spionnen te voorkomen.
  • de Chinese inlichtingen diensten zijn ongelooflijk stom en we hebben daarvan niets te vrezen
Allemaal onzin natuurlijk. Het artikel is veel te vaag om ook maar iets te kunnen concluderen. Verder kan opgemerkt worden dat het steeds duidelijker wordt dat de BIOS-UEFI opzet niets heeft geholpen.
dasiro
@janbaarda26 juni 2021 11:59
Ik doel op het feit dat er nog andere landen zijn die spioneren of mogelijks zelfs gewoon een losse groep/lone wolf.

Het is trouwens niet omdat traffic naar jouw adres wordt gestuurd dat jij die info gevraagd hebt, ik veronderstel dat je zelf ooit ook al reclame in de bus hebt gehad en weggegooid zonder te lezen of als kind stinkbommen in iemands bus hebt gedropt om die te pesten.

Onzin is het allemaal niet, enkel speculatie over wat er allemaal mogelijk is. Spionage en contraspionage is een heel ingewikkeld spel waarbij je nooit alle info zal kennen/krijgen.

Geen idee trouwens waarvan je haalt dat UEFI daar tegen zou beschermen, want dit is waarschijnlijk geen bootkit
well0549
@dasiro26 juni 2021 13:55
Nee ik vond die rootkit conclusie ook wel snel gemaakt
dasiro
@DrBackBeat25 juni 2021 22:33
Voor een VPN ga je geen rootkit schrijven, daarvoor heb je hoogstens een virtuele netwerk-adapter voor nodig die alle traffic via een alternatief IP het web op stuurt zonder dat de bestemmeling weet waar jij als verzender zit. In dit geval wordt er geen belang gehecht aan het maskeren van de verzender, want je wil gewoon weten wat er verzonden wordt.
DrBackBeat
@dasiro25 juni 2021 22:34
Dit is een goede verduidelijking, dank voor deze info!
goarilla
@DrBackBeat25 juni 2021 22:42
Ja maar nu neem jij aan dat een VPN bemachtigen makkelijk is in China en dat dit bedrijf in die business zit of dat iemand geinfiltreerd is in dat bedrijf via een mogelijke VPN connectie van een medewerker om dan de infrastructuur van dat bedrijf te gebruiken voor self-updates, proxy settings, command & control en misschien zelfs als goot te gebruiken voor data exfiltratie. Dat is toch ook ... vergezocht.
cricque
@DrBackBeat26 juni 2021 07:10
Een bedrijf opstarten in China in bepaalde sectoren doe je niet zomaar, daar moet je een ok voor krijgen. En voor wat hoort wat
Paultje3181
@DrBackBeat26 juni 2021 10:15
Je vergeet natuurlijk ook nr 5... Dat China bad is...
Wellicht gesigneerd toen hij verwees van een site van de FBI en vervolgens geüpdate naar een site van de CCP? Typo?
ASS-Ware
25 juni 2021 20:16
En deelt Microsoft deze informatie ook met andere virusscan makers?
dasiro
@ASS-Ware25 juni 2021 22:26
virusdefinities zijn gewoon te downloaden voor iedereen die het wil en als je naar het artikel van gdata hebt gekeken (en weet waar je mee bezig bent), dan heb je alle info die je nodig hebt tot in het kleinste detail. Het enige waar we nog op zitten te wachten is een verklaring van Microsoft hoe dit is kunnen gebeuren.

Volgens de eerste regels lijk het dat een heuristic scan het gedrag ervan aangaf aan hun alert system en mogelijks hebben die van andere bedrijven het ook al opgepikt, maar was gdata gewoon de eerste die een volledige analyse naar buiten heeft gebracht.
poststamp
@ASS-Ware25 juni 2021 20:26
Gdata heeft het nieuws toch wereldkundig gemaakt, waarom moet MS de info dan nog een keer delen?
field33P
@scribly325 juni 2021 20:57
Certificate Revocation Lists zijn al een stokoud concept, die zijn zo gepusht. Daarnaast kan de checksum van de driver ook nog in de virusdefinities gegooid worden.
mrmrmr
@field33P26 juni 2021 09:07
Als Microsoft het gesigneerd heeft is het certificaat in gebruik. Certificate revocation/ocsp is geen optie, want dat werkt Windows niet meer.

Eenmaal binnen plaatst de aanvaller een eigen root certificaat.
bdbfz
@mrmrmr26 juni 2021 11:19
Als enkel het certificaat van deze driver ongeldig verklaard moet worden, is certificate revokation van dat ene certificaat wel genoeg. Als aanvallers de keys van het intermediate signing certificate van Microsoft gekraakt hebben, kan dat gerevoked worden, maar dan moeten alle legitieme drivers die daarmee gesigned waren wel opnieuw gesigned worden met een nieuw intermediate certificaat, want hun huidige cert chain is dan niet meer valid. Idem met het Microsoft root certificaat. Als de bijhorende keys compromised zijn, moet de hele boomstructuur opnieuw opgezet worden.
mrmrmr
@bdbfz26 juni 2021 15:58
Zie de lijst signers, het is gesigneerd door 3 Microsoft signers, 3 counter signers en er zijn 4 Microsoft certificaten betrokken.

Revocation treft niet één certificaat van deze "driver", het treft certificaten die Microsoft waarschijnlijk heeft gebruikt voor het signeren van een groot aantal bestanden in Windows. Je kunt dan niet alleen dit bestand blokkeren met certificate revocation (intrekken van certificaten), dat treft dan alles waarvoor certificaten zijn gebruikt. Een nachtmerrie scenario.
Het G Data artikel meldt niet precies wat de certificaten zijn, dus we kunnen de exacte impact niet controleren met deze informatie. Het zou veel praktischer zijn het bestand op een interne not-allowed lijst te plaatsen. Maar dat is niet afdoende veilig. Als de certificaten niet gelekt zijn, dan zou je nog wel alle verdachte bestanden op een not-allowed list kunnen plaatsen en nieuwe certificaten gaan gebruiken.

Het is niet zo waarschijnlijk dat de boosdoener Microsoft's certificaten heeft gekraakt als dat ze Microsoft hebben misleid in het certificatieproces.

[Reactie gewijzigd door mrmrmr op 26 juni 2021 16:16]

bdbfz
@mrmrmr26 juni 2021 18:59
Ik ging er inderdaad van uit dat voor driver signatures dezelfde revokation mogelijkheden bestaan als voor signing certificates. PKI levert die mogelijkheden aan, dus het zou vervelend zijn als Microsoft dat laatste niveau niet als certificate geīmplementeerd heeft.

Ik lees op een oudere Microsoft pagina https://docs.microsoft.co...s/install/release-signing dat een driver signature valid blijft zolang het Software Publisher Certificate geldig is. Daar wordt niet gesproken over per-driver revokation lists...
With time stamping, the signed driver package remains valid indefinitely until the Software Publisher Certificate signing certificate gets revoked for other reasons.
goarilla
@field33P25 juni 2021 22:25
Ik denk dat scribly3 ervan uitging van het scenario dat er geen communicatie tussen gdata/microsoft en andere AV partijen mogelijk was toen en dat hij ook het artikel niet echt gelezen heeft. De uiteenzettings is toch goed en (her)bruikbaar en voor de checksums zelf heeft er iemand inmiddels een google doc opgezet (https://docs.google.com/s...qj_q0/edit#gid=1028909258). Maar toch kak dat dit er door is geraakt en wel ... doet het idee weer jeuken om China met pfBlocker helemaal te blokken.
Ayporos
@field33P25 juni 2021 22:12
Dit idd..

Een virusscanner die dingen niet scant omdat ze door een derde partij gesigned zijn beschouw ik als een nutteloos programma. Níks hoor je te vertrouwen tenzij je het zelf geïnspecteerd hebt.

Zelfde idee met vuurwapens: "élk wapen is geladen" is het uitgangspunt, ook al geeft jou beste vriend jou net dat wapen en verteld ie jou dat het ongeladen is. Als jij het zelf niet hebt gezien/gecontroleerd, is het niet waar.
Wasp
@Ayporos26 juni 2021 08:55
Schrödinger’s gewehr.
GeeBee
@Wasp26 juni 2021 09:22
Dat is zowel geladen áls ongeladen als je het in handen krijgt en laadt of ontlaadt zichzelf zodra je het inspecteert?
bdbfz
@GeeBee26 juni 2021 11:23
Bij Schrödingers gedachtenexperiment verandert er niks aan het object bij inspectie. Het is alleen de status zoals gezien door de observator die verandert. Zolang er een niet-nul kans is op A en een niet-nul kans is op B, is de toestand voor de buitenstaander een superpositie (combinatie) van A en B. Ook al is de toestand van het object op dat moment al A xor B (hij koos de kat omdat het een voorbeeld is van een toestand A en een toestand B die mekaar op evidente manier uitsluiten).
bartje
25 juni 2021 22:21
Om welke driver gaat het hier? Heeft een hardware fabrikant deze uitgebracht en is deze per abuis gesigneerd? Dan wil ik weten welke fabrikant.
Of heeft iemand die geen fabrikant is zich weten voor te doen als fabrikant?
leuk_he
@bartje26 juni 2021 01:17
Het artikel geeft niet aan hoe ze aan de driver gekomen zijn. Wel dat er specifiek een netfilter file wordt aangemaakt.

Ook evt het ip dat je wil bijlen staat er, maar dat is zo veranderd door de updater.
Remie
25 juni 2021 20:15
Lekker dan, dit lijkt een grote fout van Microsoft. Voordat ik een oordeel hierover wil vellen ben ik benieuwd naar de verklaring van MS

Op dit moment roept dit artikel bij mij alleen maar vragen op. Hoe heeft het kunnen zijn dat deze malware gesigned heeft kunnen worden. Gebeurt dit enkel op gedrag wat op dát moment plaatsvindt of is het mensenwerk en heeft er iemand iets gemist?

Daar ben ik erg benieuwd naar.

[Reactie gewijzigd door Remie op 25 juni 2021 20:24]

Mic2000
@Remie25 juni 2021 20:20
Voordat ik een oordeel hierover wil vellen...
Lees je comment nogmaals... ;)

[Reactie gewijzigd door Mic2000 op 25 juni 2021 20:20]

Remie
@Mic200025 juni 2021 20:23
Fixed. Aangepast dat het op een fout lijkt
ToolBee
@Remie25 juni 2021 22:07
De signature kan ook vervalst zijn naturlijk. Als Iran het kan lukt het China ook wel. ;)

En om welke of wat voor driver hebben we het hier eigenlijk?

Wellicht een chinees stuk hardware dat, ook wellicht, gewoon bugs rapporteert?
latka
@ToolBee26 juni 2021 01:42
Aangezien het dit jaar nog gesigned is is het geen SHA-1 of MD5 geweest. Hash collisions op SHA-2 of beter zijn niet zo eenvoudig op dit moment. De kans dat iemand een fake signature heeft weten te maken met SHA-2 en de private-key van MS is kleiner dan de kans dat jij morgen de staatsloterij wint. En ik weet niet welk nieuwsitem je op doelt met Iran (please link) dus daar kan ik niet zoveel mee.
BlaDeKke
@ToolBee25 juni 2021 22:42
Mja, maar de hamvraag is hier niet over wat voor stukje hardware het gaat. Eerder hoe dit stukje software de handtekening van MS draagt.

Als die we die signature kunnen namaken en windows accepteert dit. Dan hebben we een groot probleem.
m_snel
@BlaDeKke26 juni 2021 19:05
Een filter driver hoeft helemaal geen hardware te hebben.
Blokker_1999
@Remie26 juni 2021 10:14
Gewoon door te stellen dat het een fout lijkt van MS vel je eigenlijk al een oordeel. De schuldige benoem je al tenzij ze met zeer overtuigend bewijs komen dat zij geen fout hebben gemaakt. Jouw oordeel ligt dus al klaar.
bapemania
@Mic200025 juni 2021 20:25
Je oordeelt al, misschien bedoel je dat je óók graag een onderbouwd oordeel wil kunnen geven.
SuperDre
26 juni 2021 02:06
Vind het maar een wazig/speculatief verhaal. Om wat voor driver gaat het en wat is de originele 'officiele' bedoeling dus van deze driver. Want als het een driver is die specifiek bedoelt is om internet traffic om te leiden, dan zie ik het probleem niet, is het een driver die officieel een hele andere bedoeling heeft, maar ook ondertussen verkeer omleidt, dan vind ik het weer een ander verhaal worden.
Enuh, hoeveel drivers leiden niet verkeer om naar een IP adres van een amerikaans bedrijf dat banden heeft met amerikaanse inlichtingen diensten, denk dat die er ook talloze zullen zijn, maar dat die dus niet als malware bestempelt worden.
n4m3l355
@SuperDre26 juni 2021 03:06
Wat is wazig/speculatief aan de findings van G-Data? Men constateerde dat data wordt geroute naar een Chinees staats bedrijf met behulp van een door MS gesigneerde rootkit en MS heeft prompt deze gepulled.

Dit is toch meer dan duidelijk?

Vervolgens jou tegen reactie, stukje whataboutism is totaal niet relevant?

[Reactie gewijzigd door n4m3l355 op 26 juni 2021 03:07]

SED
@n4m3l35526 juni 2021 10:51
Men constateerde dat data wordt geroute naar een Chinees staats bedrijf
Kijk en zo worden nieuwsberichten ingevuld en herplaatst.
Lees het artikel nog eens opnieuw en kijk vooral naar jouw interpretatie van "staatsbedrijf".
albatross
@n4m3l35526 juni 2021 21:23
Zou inderdaad toch wel prettiger zijn geweest als erbij was gezegd om wat voor data het ging, en welk type driver, etc. Zonder die kennis is het nogal lastig om de ernst van de 'breach' vast te stellen.
FalconerHG
26 juni 2021 09:52
Waarom maken we ons hier druk over? The app stores staan vol met apps die data overal heen sturen. En of dat een Chinees adres is, of iets in de VS maakt echt niets uit hoor. Er staat de criminelen niets in de weg om een fake BV een ander land op te zetten en daarmee servers te huren.

Ik verbaas me over de grote naiviteit soms hierover. Met name dat sommige mensen denken dat dit alleen met kleine apps kan gebeuren. De volgende Flappie Bird sensatie kan opgekocht worden door criminelen, en worden geupdate met allerlei nare software. Of wellicht maken ze zelf wel games.

Net als die VPN waar we ons allemaal veilig bij voelen. Blijf vooral denken dat de veiligheidsdiensten niet zelf achter (een aantal) grote VPN diensten zitten.

Hoef je allemaal geen complotdenker voor te zijn. Gewoon even nadenken.

Dat MS dit signeert komt nu toevallig naar buiten, maar het is waarschijnlijk schering en inslag.
kodak
@FalconerHG26 juni 2021 12:39
Bagatelliseren door niet naar de betekenis van signeren te willen kijken en er zelfs maar op los te speculeren lijkt me eerder onredelijk.
Als jij stelt dat het signeren vaak mis gaat dan mag je daar eerst wel eens wat bewijs voor leveren, anders lijk je loos lasterlijk negatief over anderen aan het doen omdat het je zelf beter uit komt om je eigen denken zogenaamd te onderbouwen.
Daarbij is het niet zomaar relevant dat er van alles met andere software kan gebeuren. Het gaat hier om de software die pas onder voorwaarden gesigneerd hoort te zijn, niet dat je ook anderr software kan gebruiken.
Dat je twijfels over het nut van signeren kan hebben als gebruikers er toch geen waarde aan hechten is ook niet zomaar relevant. Het signeren gaat er juist om welke waarde het wel heeft.
Daar kan je uiteraard twijfels over hebben als je geen idee hebt hoe die waarde tot stand komt. Maar dan vraag ik me eerder af waardoor dat komt. Is dat omdat je geen zin hebt om een ander te vertrouwen, omdat je nauwelijks moeite hebt gedaan om te achterhalen hoe de controles uitgevoerd worden, of omdat het bedrijf er niet heel duidelijk over is.
nutty
26 juni 2021 10:20
Hoe het ook heeft kunnen gebeuren,dat gaan wij niet weten.
comecme
26 juni 2021 10:53
Wat is een rootkit-driver?
BrammeS
@comecme27 juni 2021 09:28
Precies dat zat ik me dat ook af te vragen. Ik mis in dit artikel iets meer achtergrond informatie over de driver, wat het doet en hoe je er aan komt.
1 2

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.

Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee