"IP-adressen onvoldoende bewijs tegen Noord-Korea"
Het bewijs dat de Verenigde Staten tegen Noord-Korea hebben als het gaat om de hack van Sony is zwak, zo stelt een beveiligingsexpert die de bij de aanval gebruikte IP-adressen analyseerde. Vorige week stelde de FBI in een officiële verklaring dat het Aziatische land verantwoordelijk was voor de inbraak op het netwerk van Sony Pictures Entertainment, de diefstal van allerlei gegevens en sabotage van duizenden computers.
De FBI is echter voorzichtig in de gekozen woorden, stelt blogger en beveiligingsexpert "krypt3ia". Hij ziet in de woordkeuze dat de opsporingsdienst het niet zeker weet. In eerste instantie werd de aanval namelijk niet door de FBI aan Noord-Korea gekoppeld, terwijl nu wordt gezegd dat het land wel de dader is. "Iets wat mensen als mij helemaal gek maakt", merkt hij op. De expert besloot daarom naar de IP-adressen te kijken die door de malware werd gebruikt en stelde zich daarbij de vraag of het om resources gaat die alleen door Noord-Korea kunnen worden gebruikt of gebruikt zijn.
De IP-adressen die de aanvallers gebruikten zijn afkomstig uit Thailand, Polen, Italië, Bolivia, Singapore, Cyprus en de Verenigde Staten. Het gaat onder andere om proxies en servers die door iedereen kunnen worden gebruikt. Voor één van de servers vond Krypt3ia de inloggegevens op een Chinees forum. De IP-adressen bleken verder regelmatig voor andere cybercrime-activiteiten te worden gebruikt, zoals het versturen van spam en aansturen van besmette computers.
"Als dit alle IP-adressen zijn die de VS als bewijs gebruiken dat Noord-Korea deze aanval heeft uitgevoerd, dan denk ik dat het zwak bewijs is", aldus de expert. De meeste van deze systemen zijn namelijk bekende gecompromitteerde machines die voor allerlei cybercrime-doeleinden zijn ingezet. Ook zouden veel van dit soort gekaapte servers door aanvallers onderling met elkaar worden gedeeld.
Bewijs
Dat Noord-Korea in het verleden zulke tactieken heeft gebruikt is volgens de expert indirect bewijs dat ontoelaatbaar voor de rechter is. Obama kondigde echter aan dat de VS gepaste maatregelen tegen Noord-Korea zullen nemen. De expert vraagt zich dan ook af of de VS hun theoretische respons op indirect bewijs baseren, waarbij hij de verwijzing naar de zogenaamde massavernietigingswapens in Irak maakt. Verder is het volgens de expert de vraag of er vanwege een inbraak bij een enkel entertainmentbedrijf uit Hollywood op staatsniveau moet worden ingegrepen. "Als ik naar Twitter en het nieuws kijk zie ik alleen marketing, hype en onterechte toekenning... en het zal tot onze gezamenlijke ondergang leiden", besluit de blogger.
Een ip adres zegt zo extreem weinig en is zo eenvoudig te misbruiken, raar dat er toch nog zoveel tijd aan wordt besteed.
De meeste van deze systemen zijn namelijk bekende gecompromitteerde machines die voor allerlei cybercrime-doeleinden zijn ingezet
ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?
ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?
Omdat die machines niet staan op een plaats waar jij wat over te zeggen hebt... Hier in Nederland zou die server na verloop van tijd wel worden verwijderd, maar een datacenter in Rusland, of een bullet-proof hoster... Dat deze servers bestaan is toch om exact dezelfde reden dat TPB en andere torrent-sites steeds weer opkomen?
De meeste van deze systemen zijn namelijk bekende gecompromitteerde machines die voor allerlei cybercrime-doeleinden zijn ingezet
ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?
Daarnaast is het huidige gebrek aan repressie wel de reden dat deze bots statisch zijn, en dus makkelijk buiten de deur te houden blijven.
Zodra je zulke machines gaat "uitschakelen," maak je het probleem veel dynamischer, en dus gevaarlijker.
Dat laatste beschouw ik overigens niet als oorzaak, maar als "mooi meegenomen" aan het feit dat Ivo, Fred en Ronald nog altijd weinig tot niets te vertellen hebben over het ICT-beleid in het buitenland.
En daar zouden we best blij mee mogen zijn, stel je voor dat een systeem als Digi-D wereldwijd wordt ingevoerd, de fraude zou niet meer te overzien zijn!
ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?
Omdat die machines niet staan op een plaats waar jij wat over te zeggen hebt... Hier in Nederland zou die server na verloop van tijd wel worden verwijderd, maar een datacenter in Rusland, of een bullet-proof hoster... Dat deze servers bestaan is toch om exact dezelfde reden dat TPB en andere torrent-sites steeds weer opkomen?
Die discussie lijkt me ook helemaal niet relevant trouwens.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
