'Chinese hackers hadden mogelijk maandenlang toegang tot afluisternetwerken VS'

Een Chinese hackersgroepering had maandenlang toegang tot de netwerken van verschillende Amerikaanse internetproviders, schrijft The Wall Street Journal. Volgens de krant konden ze hiermee mogelijk systemen binnendringen die de overheid gebruikt voor afluisterverzoeken.

Hackers die gelieerd zijn de Chinese overheid hadden mogelijk maandenlang toegang tot de netwerken die internetproviders gebruiken om te voldoen aan wettige afluisterverzoeken van de Amerikaanse federale overheid. Dat schrijft The Wall Street Journal op basis van anonieme bronnen. Onder meer providers Verizon, AT&T en Lumen Technologies zouden zijn gehackt door deze groep, die ook wel Salt Typhoon wordt genoemd. Naast Amerikaanse providers zou een 'klein aantal' isp's van andere landen doelwit zijn geweest van de cyberaanvallen van de hackersgroep, maar daar gaat het artikel niet verder op in.

Volgens de Amerikaanse wet moeten telecommunicatie- en internetproviders autoriteiten toestaan om communicatiedata te onderscheppen, als ze daarvoor goedkeuring krijgen van de rechtbank. Via de vermoedelijk gehackte systemen zouden de providers kunnen voldoen aan deze afluisterverzoeken. Volgens The Wall Street Journal is het onduidelijk of het hier alleen gaat om netwerken die door de Amerikaanse overheid worden gebruikt, of dat soortgelijke surveillancesystemen van buitenlandse overheden mogelijk ook deel uitmaken van de hack.

De krant schrijft dat de precieze omvang van de hack momenteel nog wordt onderzocht. Zo is het niet duidelijk of Salt Typhoon gevoelige gegevens heeft ingezien of buitgemaakt. Wel zou de Amerikaanse overheid deze aanval volgens een ingewijde 'historisch significant en zorgwekkend' vinden. De hack is nog door geen van de betrokken partijen bevestigd.

Door Kevin Krikhaar

Redacteur

05-10-2024 • 11:20

80

Submitter: Tacoos

Reacties (80)

80
69
30
2
0
12
Wijzig sortering
Weer een voorbeeld waarom e2e encryptie zo belangrijk. Dan maakt het afluisteren geen dr*l meer uit.
En desondanks wilt Europa graag “chatcontrole”.

En mainstreammedia zoals nu.nl verwoorden weerstand alsof het iets slechts is, want de kinderen.

Titel: “ Nederland blijft omstreden EU-wet tegen online kindermisbruik blokkeren”
Bron: https://www.nu.nl/tech/63...ermisbruik-blokkeren.html

Wat kan er misgaan?

[Reactie gewijzigd door Mushroomician op 5 oktober 2024 13:05]

En desondanks wilt Europa graag “chatcontrole”.
Heel Europa? Als je het gelekte interne dokument leest, zie je dat vooral Poetin's marionet Orban dit hard pushed.

Hij had bij gelijkdenkend PVV ondersteuning verwacht, maar gelukkig niet gekregen. Kijk je wat de andere landen erover zeggen, dan lees je diplomatieke welwillendheid, maar ontzettend veel beren op de weg. Kortom, geen kans.

Maar Orban en Poetin hebben wel ermee bereikt dat het vertrouwen in de overheid en de EU afgenomen is. Win-Win voorstel geweest.

Edit: vergeten bron toe te voegen.

Document standpunten met TLDR.

https://netzpolitik.org/2...04_St%C3%A4V_AStV-2_CSA-R

[Reactie gewijzigd door EektheMan op 6 oktober 2024 14:35]

Als je het gelekte interne dokument leest, zie je dat vooral Poetin's marionet Orban dit hard pushed.
Het is vooral de europese commissie die dit hard pushed. En iedereen die op dat moment voorzitter is doet dan zijn best om de commissie te helpen.
Hiervoor deed België daar hard in mee.

Dat de EC steeds met dubieuze voorstellen komt die de privacy van burgers schenden komt echt niet door Orban en Poetin. Dat is echt iets dat ze zelf doen.
"For the children", "Terrorisme" en "Witwassen", deze argumenten zijn helemaal uitgehold.

Natuurlijk kan niemand daar tegen die argumenten zijn, maar er zouden wel eens wat meetbare prognoses aan gekoppeld mogen worden.
Daarmee kunnen maatregelen/wetten na verloop van tijd getoetst worden op hun effectiviteit.
"For the children", "Terrorisme" en "Witwassen", deze argumenten zijn helemaal uitgehold.
Zeg dat er niets aan uitgehold is, dan zijn de personen die werkelijk de genoemde criminele activiteiten bezigen, door zulke buitenlandse staatshackers ook nog eens chantabel, met alle risico's vandien.
Voordat de overheid de nodige opsporingswetten invoert, moet de overheid wel heel zeker zijn dat elke schakel optimaal beveiligd is, dus ook de ISP. De overheid kan zich niet verschuilen achter het argument dat dit uitsluitend de verantwoording van de ISP is.
Overheid en ICT-beveiliging? Wie had zich laatst ook alweer laten hacken waardoor allerlei persoonsgegevens en persoonlijke gegevens van het volledige personeelsbestand gestolen zonder problemen gestolen konden worden door een “buitenlandse mogendheid”?

Laat me niet lachen! Als deze wet erdoor komt gooi ik mijn telefoon in de schredder! Niet omdat ik “iets te verbergen heb” maar omdat je nooit weet welke doelen aan de lijst worden toegevoegd. Straks is het 2040 en zet de EU dit in om mensen met een andere politieke mening (hetzij links, hetzij rechts) op te sporen onder het mom van extremisme, nog los van hoe extreem die meningen daadwerkelijk zijn.
Ja en nee. Dat de persoonsgegeven op straat lagen (eindelijk meer politie op straat), kwam in dit geval door een menselijke fout. En dat kan ook in het bedrijfsleven: De mens blijft de zwakke schakel.
Maar als er wetten worden aangenomen, dan mag je toch verwachten dat de burgers beschermd zijn, fysiek en digitaal. Dat is het minste wat je van een overheid mag verwachten. Je kaart het probleem aan van een betrouwbare overheid. Ik denk dat de overheid nog nooit betrouwbaar is geweest, maar vroeger had je ontzag voor gezagsdragers.
2040. Dat is echt een "Ver van m'n bedshow". Nog ruim 15 jaar en hoe het er met deze internationale spanningen uitziet mogen we blij zijn als we het allemaal halen. Wegens mijn leeftijd geldt dit dubbelop. :P
Haha nou laten we hopen dat we 2040 nog halen, het zij je gegund :p je hebt wel gelijk, dat is inderdaad wel een ver van je bed show maar als er nu een wet wordt ingesteld waarmee overheden je communicatie kunnen inzien dan is dat t.z.t. een heel welkom stukje informatie voor ze. Mijn probleem is dus a) privacy; b) retentie met alle mogelijke gevolgen van dien en c) zulke databases worden wel héél aantrekkelijke prooien voor hacks. Het hoeft niet eens je eigen overheid te zijn die verkeerde dingen met je data doet: als China bijv. weet dat ik kritische of negatieve houding t.o.v. het Chinese regime heb en ik moet daar een keer zijn (zakenreis of whatever) hebben ze des te meer reden om je daar beter in de gaten te houden.

Neen, dank. Deze wet is een catastrophe in wording.
Telefoon in de shredder. Volgens mij zijn we het punt gepasseerd dat dat helpt. Er is zoveel data beschikbaar en ontsluitbaar. We kunnen beter proberen daarvoor oplossingen te bedenken. Ik ken ze niet maar ze zijn wel nodig. Misschien zoals Trump doet: glasharde ontkenning van feiten en eigen realiteit creëren?
En wet toetsing op hun effectiviteit, is nig nooit gebeurd. Want dan wordt het argument gebruikt dat ze dat niet 123 kunnen meten.
Dit soort acties, of laats de hack bij de politie geeft juist aan dat de 'overheid' in zijn geheel niet veilig met gegevens om kan gaan. Het is dus zaak datt bedrijven en mensen het zelf doen. Dus encryptie gebruiken. Een misdadiger zal toch met eigen systemen, of code taal werken. Dus laten we niet denken dat we ze kunnen vangen met afluisteren.
Weer een voorbeeld waarom e2e encryptie zo belangrijk. Dan maakt het afluisteren geen dr*l meer uit.
Encryptie is geen wondermiddel. Metadata (wie communiceert met wie, wanneer, waar en hoe vaak) is vaak belangrijker dan de inhoud. Encryptie lost dat probleem niet op.
Je hebt gelijk, maar metadata wekt wel de nieuwsgierigheid op wat er uiteindelijk besproken is. :)
Je kan (een deel van de) meta data in veel gevallen ook gewoon versleutelen.
Ik heb het artikel op nu.nl gelezen en het is gewoon een feitelijk verhaal/verslag zonder waardeoordeel.

Waar gat het volgens jou
precies mis? Had de verslaggever er zijn opinie bij moeten schrijven?
De titel is subjectief.
De titel bevat geen emotie of waardeoordeel dus ik snap niet waarom de titel subjectief zou zijn. Het is nog steeds een (noodzakelijkerwijs erg korte maar feitelijke) samenvatting van wat de Commissie heeft gezegd.

Misschien is het je eigen emotie die het subjectief maakt?
Titel: “ Nederland blijft omstreden EU-wet tegen online kindermisbruik blokkeren”
En erger nog, de titel is misleidend, want Nederland blokkeert helemaal niks!

Nederland onthoud zich van stemming, wat inhoud dat we met de wind meewaaien en het voorstel zomaar aangenomen man worden - juist door het gebrek aan "nee" stemmers.

Nederland zou gewoon een keiharde 'nee' moeten stemmen ipv een onthouding.
Het zou me verbazen als Nederland nee zou stemmen, het is immers goede vriendjes met diverse buitenlandse inlichtingendiensten, en helpt hen ook wel eens met het afluisteren.
onthouden van stemmen is een nette manier van nee zeggen zonder dat je wilt reageren waarom nee. Het is een heel politiek antwoord.

Dit leer je als je in een vereniging zit met allemaal begin bejaarde geleerden van een buurtvereniging. Ging een wereld voor me open. Overigens veel te politiek allemaal.

En verder semi-on-topic:
Verder eens met dat de mensen vaak de zwakste schakel zijn. Metadata kun je al genoeg mee om social engineering te doen. Dat is vaak effectiever en bijna alle opzichten. Hacken is meer interessant als je of heel snel knaken wilt verdienen, of echt een lange adem hebt. En dan nog gaan ze vaak gepaard met phishing.

Ik ben zelf vrij alert op dit soort dingen, maar ik verbaas me hoe goed die acties zijn nu. Ik sta er totaal niet van te kijken dat ze nog net zo effectief zijn.

Het beste wat je kan doen, is eigenlijk gewoon zorgen dat je niets over internet doet. Ook radiogolven zijn niet veilig, maar omdat ze al weer veel directer zijn op korte afstanden is het al weer een extra drempel. Maar alles heeft voor en nadelen. En als je het goed wilt doen, dan moet je serieus veel tijd besteden eraan. Als simpele burger is dat een aardige taak als je er een beetje verstand van hebt,…

Ik blijf het vervelender vinden dat bedrijven van alles met jou data doen, en dat te pas en te onpas ergens heen gaat. Veel zaken snappen dit niet echt (ik claim het zelf ook niet, overigens). Je bent vooral overgelaten aan de andere partij/mensen die jou data hebben.

Ook security/privacy is erg aan context onderheven. Een deur op slot doen is altijd goed, maar geen garantie. Als ze je geld willen aftroggelen bellen ze aan met een babbeltruc. Als ze je sierraden willen hebben, breken ze in, door deur of raam, als je belangrijk bent, dan zijn er nog meer interessante dingen; afluisteren bijvoorbeeld. Facebook Messenger anyone? “ik praatte over (insert merk) en ineens zie ik ze als reclame online overal”.

Ik kan even doorgaan. Veelal relatief ‘onschuldig’, maar niets minder creepy. Lidmaatschap bij een politieke organisatie? kerk/geloof/groepering in deze tijd?… wellicht doe je het zelf niet, maar wordt je getagged door iemand anders.

Sorry, hoog tin-foil gehalte wellicht, maar iedere jan-*** heeft beschikking tot alle tools.

Ik slaap er niet slechter door overigens,
maar de onzorgvuldigheid en onkunde gepaard met snelheid en groei die we willen bewerkstelligen baart me wel zorgen. Ik ben er wel wat conservatiever in geworden.

Beetje epistel geworden zo, :x.
Weer een voorbeeld waarom e2e encryptie zo belangrijk. Dan maakt het afluisteren geen dr*l meer uit.
What about "harvest now, decrypt later"?
Dat is altijd het argument, een of andere dooddoener die elke vorm van discussie omtrent het onderwerp direct de kop indrukt. Steeds weer de zelfde Red Herring dat gebruikt wordt door mensen om hun onnozele wil door te drukken. Deze populaire vorm van discussies de grond in boren is een bedreiging voor ons allemaal.
De ironie druipt er van af. Zelf alles willen monitoren en dan blijkt een ongewenste ook te snuffelen. Wel efficient vanaf een willekeurige computer "ergens" op de wereld.

Weinig verbazingwekkend. Stel mij voor dat telco x een poort open zet naar hun systeem, username+password o.i.d. Dat moeten ze van de wet. Vervolgens boeit het telco x niets meer, ze zijn niet meer juridisch aansprakelijk. Ze hebben geen idee wie van wel agency erin zoekt. Vermoed dat ze dat ook niet willen uitzoeken..

Dit is net zoiets als dat TSA sleutel debacle. Binnen een paar jaar kon "iedereen" de sleutels kopen waarmee elk TSA slot is te openen. Waardoor je net zo goed geen TSA slot kunt gebruiken als reiziger.

Het zou heel goed kunnen dat telco's in andere landen dezelfde monitoring hard- en software gebruiken voor hun eigen overheden. Wie weet met admin/admin als default inlog :D
Ik lees vooral dat je niet echt op de hoogte bent.
Dit soort systemen heeft ieder (westers) land, hoe denk jij dat een Taghi getapt wordt na toestemming van een officier van Justitie?
wat je suggereert klopt voor geen meter. er zit ongelooflijk veel auditing in deze systemen en ze staan ook niet open
Komt dit door Chinese hardware of is het meer een software ding?
zal wel hun eigen "made in the USA" stuff zijn, want daar zijn ze al jarenlang achterdochtig, wat het ironisch genoeg nog extra pijnlijk maakt.
NLse inlichtingendiensten (en politieke partijen die bijv de sleepwet steunde) mogen zich ook weleens achter de oren krabben van wat er mis kan gaan in dit soort scenario's. :|
Het is inderdaad maar een kwestie van tijd tot een achterdeur tegen jezelf gebruikt wordt.
Idd waarom moet ons regering dat doen?
Dat chinese dat bij ons doen kan ik nog begrijpen maar verder?
Belangrijk is om te bedenken dat een sleepwet nog verder gaat dan wat in VS aan de orde is: Daar gaat het over door de rechter goedgekeurde info inwinnen.
Heeft dit te maken met dat botnet wat 2 weken werd geidentificeerd? Hier zaten nl erg veel routers tussen..
https://www.ic3.gov/Media/News/2024/240918.pdf
een 'klein aantal' isp's van andere landen
want als je tot amper 5 ISP's in andere landen toegang hebt is dat niet zo erg, totdat die landen toevallig het VK, Frankrijk, Duitsland, Japan en Australië zijn :o
Dus een backdoor van de overheid kan misbruikt worden, had ik nooit verwacht :|
Helemaal geen "backdoor". Vrijwel overal in de wereld zijn ISP's verplicht om overheden 'mee te laten kijken' in het internetverkeer van hun klanten. Dat is algemeen bekend, en voor veel mensen de reden om VPN's of versleuteling te gebruiken.
Ah, dus je argument is dat het een deur is in plaats van een achterdeurtje? Is dat minder erg, en waarom dan?
Omdat iedereen weet dat zijn ISP kan meekijken.
De essentie van een backdoor is juist dat je dat niet weet.
Dat staat er niet.

Er staat er is een netwerk binnengedrongen waar ook de afluisterapparartuur voor ISPs aan hangt.
Dit soort systemen hebben we in NL/Europa ook hoor, bv tapinstallaties.
Dat is nogsteeds toegang tot een eigen backdoor hoor. Vreemd dat je dat niet ziet. Als ik toegang heb tot tapinstallaties heb ik ook toegang tot de (back)door die deze tap installaties toegang geven tot het communicatie medium.
gelieerd zijn de Chinese overheid
sucks if it ain't your own government using the government backdoor :+
Weer een overwinning voor osint.
Jouw reactie geeft het vermoeden dat je niet weet wat osint is.
De afluisteraar wordt afgeluisterd.
Ergens vind ik dit wel komisch.
Volgens de Amerikaanse wet moeten telecommunicatie- en internetproviders autoriteiten toestaan om communicatiedata te onderscheppen, als ze daarvoor goedkeuring krijgen van de rechtbank. Via de vermoedelijk gehackte systemen zouden de providers kunnen voldoen aan deze afluisterverzoeken.
Kan dat ook nog als een klant een VPN gebruikt?
Met het gebruik van aanvullende data zoals: meta, account, transacties.

Kortom. Dit wil je niet.

Op dit item kan niet meer gereageerd worden.