Nieuws
image

"China niet achter aanvallen met Chinees IP-adres"

donderdag 12 april 2012, 11:09 door Redactie, 5 reacties

Aanvallen die naar een Chinees IP-adres worden herleid zijn niet geavanceerd en al helemaal niet het werk van de Chinese overheid. Dat beweert Gunter Ollmann van beveiligingsbedrijf Damballa. Vaak klagen gehackte overheidsinstanties en bedrijven dat de cyberaanvallen waarmee ze te maken hebben, van Chinese IP-adressen afkomstig zijn. Zodra Chinese IP-adressen worden genoemd denken mensen meteen aan door de Chinese overheid gesponsorde aanvallen, merkt Ollmann op.

"Als je een firewall beheert of de logbestanden van een IPS inspecteert, kan het je niet ontgaan dat er gigantisch veel aanvallen continu tegen je organisatie worden uitgevoerd afkomstig van apparaten die in China gehost worden. Een behoorlijk deel van die aanvallen zouden als "geavanceerd" worden geclassificeerd, wat betekent dat zolang ze geavanceerder zijn dan de detectietechnologie die je gebruikt, ze geavanceerd genoeg zijn om het werk gedaan te krijgen."

China
Veel systeembeheerders, security professionals en bedrijven denken dat het hier om Advanced Persistent Threats (APT) gaat, waar ook overheidsinstanties en defensiebedrijven voor huiveren, gaat Ollmann verder. Er is volgens de beveiligingsexpert een eenvoudige manier om te controleren of het ook een APT betreft. "Als je in je logs ziet dat de bron van een Chinees IP-adres afkomstig is, is het bijna zeker niet het geval."

Ollmann stelt dat veel van het kwaadaardige verkeer dat vanuit China afkomstig is, niet van criminelen hoeft te zijn die zich daar bevinden. Het kan ook gaan om criminelen die via proxies hun aanval vanaf Chinese computers uitvoeren. Zeker in het geval van cyberspionage zal een land geen IP-adres gebruiken dat naar het eigen land is te traceren, aldus de expert.

Reacties (5)
12-04-2012, 11:35 door Anoniem
Gunter vergeet voor het gemak even dat zijn redenatie net zo makkelijk onderuit te trekken valt als met het gemak waarmee hij zogenaamd bewijs levert. Zijn redenatie is dat wanneer je een aanval doet je jezelf zal proberen te verbergen, dus wanneer je denkt dat het verkeer uit China komt zal het niet van een Chinese aanvaller zijn. Alleen hoef je je helemaal niet te verbergen als je niets te vrezen hebt. En laat dat nu hier het geval zijn: een aanvaller die werkelijk uit China een aanval doet heeft zeer grote kans daar geen negatieve gevolgen van te ondervinden. Daarmee blijft ook nog steeds overeind staan dat aanvallen vanaf Chinese ip-blokken een APT zijn - het is voor buitenlandse aanvallers erg aantrekkelijk om zich daarnaast ook voor te doen als Chinese aanvaller.

Het irronische is dat veel westerse landen om een wit voetje te halen Chinese en andere buitenlandse studenten hun land binnen halen om hier een hoge opleiding te volgen bij onze zogenaamd uitmuntende universiteiten en hogescholen - om ze vervolgens vrolijk los te laten in onze core bedrijven met geavanceerde technologie. En dan staan we ons vooral druk te maken om cyberaanvallen terwijl het trojaanse paard feitelijk al jaren binnen zit. In China lachen ze zich krom om onze westerse handel met hun.
12-04-2012, 12:17 door SirDice
Hij heeft ergens wel een punt. De meeste inbrekers breken ook niet in in hun eigen buurt.

Verder denk ik dat het gehalte ongepatchte systemen in China vrij hoog is. Het zou dan dus makkelijker moeten zijn om daar wat systemen over te nemen. Die worden vervolgens gebruikt als 'springplank' om de werkelijke bron te verbergen.
12-04-2012, 13:28 door Anoniem
Elk land dat ideologische vijanden denkt te bespeuren maakt zich schuldig aan spionage, ook Nederland. Ook Nederland heeft een geheime dienst en die mag zich ook in het buitenland bewegen. Dat ze daar ook spionagewerk verrichten daar twijfel ik niet aan, ook niet dat ze dat ook op het internet spionagewerk doen en het betreft niet alleen het dreigende terrorisme. Er zijn landgenoten van wie bekend is dat zij op een 'zwarte lijst' van de eigen overheid stonden en Nederland is maar een klein land. De USA is militair een grootmacht die overal vijanden ziet, niet alleen op Cuba, maar tegenwoordig ook onder islamitische landen. De USA maakt ook gebruik van het internet én van de hulp van Microsoft en van Google wanneer het Pentagon dat uitkomt. Wij hebben het hier over politieke spionage en niet over criminele. Wat het Chinese onderwijs betreft moet men zich niet vergissen over het niveau, ook niet bij de informatica. Dat blijkt ook uit periodieke internationale competities waar studenten van Chinese universiteiten hoog eindigen. De uitwisseling van studenten gebeurt wederzijds en is toe te juichen.
12-04-2012, 13:38 door Bitwiper
Door SirDice: Verder denk ik dat het gehalte ongepatchte systemen in China vrij hoog is.
Niet alleen dat, er zijn veel trojans met Chinezen als doelgroep in omloop. Bovendien zijn er veel computers in China. Alles bij elkaar is het aantal gecompromitteerde PC's groot (ook te zien aan de hoeveelheid spam verzonden via Chinese zombie PC's).

De stelling is echter krom:
door Gunter Ollmann, uit http://blog.damballa.com/?p=1596: If what you’re observing in your own logs shows the source as being from a Chinese IP address it almost certainly isn’t.
(door Redactie correct vertaald in "Als je in je logs ziet dat de bron van een Chinees IP-adres afkomstig is, is het bijna zeker niet het geval").

IP-spoofing is beperkt mogelijk bij UDP en ICMP verkeer, bij TCP zullen aanvallers een verbinding willen opzetten en moeten dus antwoordpakketjes kunnen ontvangen. M.a.w. als het afzenderadres dat jij in jouw logfiles ziet een Chinees adres is, dan komen die pakketjes normaal gesproken echt wel uit China.

Wat Gunter Ollman kennelijk probeert aan te geven is dat, in de meeste gevallen, de initiator van de aanval niet in de buurt van de betreffende PC te vinden zal zijn.

Die conclusie zou ik niet willen trekken. De initiator kan best iemand elders in China zijn. Een inbreker zou juist wel in z'n buurt kunnen inbreken juist omdat mensen er vanuit gaan dat hij dat niet zal doen. Ik heb wel eens horen zeggen dat de kans op een bekeuring voor een verkeersovertreding het kleinst is in de buurt van een politiebureau (de agenten zijn net op pad of aan koffie toe). Kortom, tenzij het om een sukkel gaat (ook mogelijk!) kun je bij TCP aanvallen nauwelijks iets met een IP-adres, anders dan statistieken bijhouden en/of de ISP erop wijzen dat achter dat IP adres een PC zit die zich niet correct gedraagt. Zo'n aanval of spamverzending melden bij een Aziatische ISP is (in mijn ervaring) nagenoeg zinloos.
12-04-2012, 14:52 door regenpijp
"China niet achter aanvallen met Chinees IP-adres"

Onzin. Een land met 1.3 miljard inwoners zal redelijk wat cybercriminelen hebben (over hoeveel ga ik geen schatting maken) en die gebruiken niet allemaal buitenlandse IP-adressen. Proxy servers in China zullen ook gewoon massaal gebruikt worden en waarom als 'Westerse' cybercrimineel kiezen voor een IP-adres in China als de politieke controle in landen als Rusland en Oekraine ook niet al te best is, wat ook kan leiden tot een dekmantel, alsof de aanval door 'Oostblokkers' is uitgevoerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure