Fox-IT: Microsoft is onbetrouwbare partner
Door nalatigheid en het vooropstellen van de eigen belangen, heeft Microsoft bij het offline halen van verschillende Zeus-botnets meer kwaad dan goed gedaan, aldus het Nederlandse beveiligingsbedrijf Fox-IT. Op 26 maart kondigde Microsoft Operatie b71 aan, waarbij er zelfs een spannende video van een inval bij een hostingprovider werd gemaakt.
Het is echter onwaarschijnlijk dat hierop interessante informatie wordt aangetroffen, aldus hoofdbeveiligingsexpert Michael Sandee in deze kritische analyse van de operatie. "De criminelen weten dat deze systemen vroeger of later offline worden gehaald en onderzocht", merkt Sandee op. Een van de botnets was binnen 24 uur weer op een nieuwe Command & Control-server operationeel.
Domeinnamen
Microsoft nam tevens tal van domeinnamen in beslag, die door beveiligingsbedrijven geregistreerd waren om informatie over besmette machines te verzamelen. Providers en andere organisaties kunnen deze informatie gebruiken om te zien of besmette computers van klanten en abonnees verbinding met de domeinen in kwestie maken. Daardoor missen deze bedrijven nu een deel van hun inlichtingen, aangezien de ten onrechte in beslag genomen domeinnamen nog steeds niet zijn vrijgegeven.
De softwaregigant rapporteerde dat het de in beslag genomen domeinnamen naar eigen servers laat wijzen, maar dat het daarbij geen gegevens van besmette machines opvangt. Fox-IT ontdekte dat die bewering niet klopt en Microsoft wel degelijk gevoelige informatie van slachtoffers kan ontvangen.
Samenwerking
Sandee hekelt ook de informatie die Microsoft in een aantal documenten vermeldt. Het gaat hier om gegevens over de vermoedelijke botnetbeheerders. Deze informatie was volledig identiek aan de informatie die Fox-IT op een besloten mailinglist had gepubliceerd. De mailinglist stelt dat informatie alleen met toestemming van de auteur gedeeld mag worden. Daarbij zou de Microsoft-medewerker die de informatie van Fox-IT verwerkte ook nog eens door kennisgebrek de fout zijn ingegaan.
"Dit voelt als een grote klap voor ons", stelt Sandee. "We doen veel moeite om dit soort informatie te verkrijgen, terwijl een zakelijke reus als Microsoft deze informatie voor hun eigen marketing- en PR-doeleinden gebruikt, zonder de personen te benaderen die de informatie hebben geleverd." Volgens Sandee ondermijnt Microsoft op deze manier de samenwerking en het delen van informatie tussen beveiligingsbedrijven.
Onbetrouwbaar
De acties van Microsoft zijn dan ook schadelijker voor de security-gemeenschap dan voor de cybercriminelen die Microsoft wilde bestrijden, zo merkt de beveiligingsexpert op. "Iedereen in de industrie weet tenminste nu dat Microsoft een onbetrouwbare partner is, die grote moeite doet om degenen met wie het samenwerkt te verraden en geen verantwoording voor de eigen fouten te nemen", gaat Sandee verder.
"Het toont dat Microsoft alleen in het beschermen van de eigen belangen is geinteresseerd." Eerder vergat Microsoft bij het oprollen van een ander botnet ook al een partner te bedanken.
Verstokte Linux huggers kunnen het gewoon niet hebben dat Microsoft lekker bezig is de laatste tijd
zum kotzen!
Het is niet alleen Fox-IT die kritiek heeft. De kritiek wordt gedeeld door een aantal andere security experts.
Ik zou het bijna graag met je eens willen zijn, maar helaas ben ik alweer aan het twijfelen:
http://technet.microsoft.com/nl-nl/security/bulletin/ms12-027
Inderdaad zum kotzen.
Er worden nogal makkelijke aannames gedaan door Fox-IT hier.
Sandee hekelt ook de informatie die Microsoft in een aantal documenten vermeldt. Het gaat hier om gegevens over de vermoedelijke botnetbeheerders. Deze informatie was volledig identiek aan de informatie die Fox-IT op een besloten mailinglist had gepubliceerd
Oh, dus alleen maar omdat de informatie identiek was, moet het van die besloten mailinglist zijn gekomen?
Fox-IT heeft die informatie toch ook ergens vandaan gesprokkeld, waarom zou een miljardenbedrijf als Microsoft (met ongetwijfeld een enorme beveiligings en intelligence afdeling) die informatie niet op een andere manier hebben kunnen verkregen?
Of hier:
Microsoft zegt dus dat ze geen gevoelige gegevens van besmette machines opvangen. Dat wil nog niet zeggen dat het kan of niet. Natuurlijk kán dat. Fox-IT zegt gelijk dat de bewering niet klopt?? MS beweert alleen maar het niet te zullen doen....wie zegt dat ze dat wel gedaan hebben dan?
Ja, er zijn fouten gemaakt, en het had misschien beter gekund.
Maar Microsoft is wel zo'n beetje de enige grote partij die daadwerkelijk in de tegenaanval gaat en actie onderneemt.
Iedere 'security-expert' zou ook moeten dat het daar vaak aan schort in het security vlak; er wordt ontzettend veel gepraat en gedacht en mooie plannen opgesteld en weet ik niet wat, maar dat uiteindelijk goed om te zetten naar de operatie gebeurt bijna nergens.
just my 2 cents
Verstokte Linux huggers kunnen het gewoon niet hebben dat Microsoft lekker bezig is de laatste tijd
Door zonder overleg of samenwerking met een grote community die uit zowel particuliere bedrijven als uit overheidsinstellingen, wereldwijd, bestaat dit botnet op te rollen en alles naar zichzelf te trekken, zijn een boel lopende onderzoeken zwaar gefrustreerd en is er een vertrouwensprobleem ontstaan. Het is ongetwijfeld met de beste bedoelingen gedaan en de publiciteit was "leuk om dat ook in het nieuws te brengen", maar het is gewoon een domme stunt geweest waar beter over nagedacht had kunnen worden.
Nu jij weer.
Verstokte Linux huggers kunnen het gewoon niet hebben dat Microsoft lekker bezig is de laatste tijd
zum kotzen!
Dus Fox-IT zin Linux huggers ?
Op zich zou ik dit bijna als een compliment beschouwen maar vanwaar deze aanname ?
Ik ken de betreffende lijst niet, maar als die kleinschalig is, door security professionals bevolkt wordt, en vertrouwelijkheid is afgesproken verwacht je inderdaad niet dat een deelnemer informatie van die lijst ongevraagd in publicaties gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
