Verschillende beveiligingsexperts hekelen het verhaal van de New York Times over Chinese hackers die toegang tot de systemen van de krant wisten te krijgen en vervolgens de wachtwoorden van alle werknemers buitmaakten. Veel details ontbreken in het verhaal, maar de aanvallers wisten voor het eerst rond 13 september toegang tot het netwerk te krijgen en installeerden malware, waaronder backdoors.
Slechts één van de malware-exemplaren werd door de gebruikte virusscanners van Symantec gedetecteerd. Uiteindelijk werden de wachtwoorden van 53 werknemers bemachtigd en werd er zelfgemaakte software gebruikt om e-mails en documenten van de server van de New York Times te stelen, zegt Jeffrey Carr.
Die gaat daarmee in tegen een verklaring van de krant zelf, die beweerde dat de hackers geen gevoelige gegevens hadden buitgemaakt. Volgens Carr is het hele artikel alleen een bevestiging van de New York Times dat het hackers op het netwerk heeft aangetroffen, wat eigenlijk geen nieuws is.
Daarnaast wordt China als dader aangewezen, maar zou dat de standaard verdachte zijn van het beveiligingsbedrijf dat het onderzoek bij de krant uitvoerde. Als laatste kritiekpunt zegt de krant dat er geen klantgegevens zijn gestolen, waarmee het impliceert dat het niet aansprakelijk voor een rechtszaak is.
Carr neemt een aantal argumenten op de korrel, zoals de vermelding dat de aanvallers een 'Chinese werkdag' aanhielden. De aanvallen hadden namelijk van over de gehele wereld kunnen komen. En zelfs als de Chinese overheid betrokken was, zou het niet zo stom zijn om de eigen inlichtingendienst vanuit de eigen kantoren de aanvallen uit te laten voeren, gaat Carr verder.
Daarnaast zou de New York Times, dat de Aziatische politiek en economie volgt, voor veel meer landen dan alleen China een interessant doelwit zijn.
Rainbow
Carr krijgt bijval van Robert Graham, die vindt dat het artikel in de krant eigenlijk niets vertelt en geen inhoud heeft. Daarnaast valt Graham ook de experts aan die de krant raadpleegde. Zo wordt er geschreven over het gebruik van rainbow tables om wachtwoordhashes op te zoeken.
Volgens Graham zijn rainbow tabellen zinloos bij dit soort aanvallen. "Als ik een penetratietest op een bedrijf uitvoer en de hash van de domeincontroller dump, gebruik ik geen rainbow tabellen." De reden is tamelijk eenvoudig, laat de expert weten. "Rainbow tabellen kunnen alleen korte wachtwoorden aan en alleen één wachtwoord op een gegeven moment kraken."
De meeste bedrijven hebben een wachtwoordbeleid dat tenminste 8 letters en 'complexe' wachtwoorden vereist met tenminste één hoofdletter, een getal of vreemd teken. "Dit betekent dat bijna alle rainbow tabellen onbruikbaar zijn."
Graham stelt dat als de door de New York Times aangehaalde 'experts' nog steeds in de dreiging van rainbow tabellen geloven, het geen echte experts zijn. "Het is geen verhaal gebaseerd op grondige analyse door experts, maar een verhaal dat alle standaard clichés herhaalt."
Deze posting is gelocked. Reageren is niet meer mogelijk.