image

"IP-adressen onvoldoende bewijs tegen Noord-Korea"

maandag 22 december 2014, 15:48 door Redactie, 7 reacties

Het bewijs dat de Verenigde Staten tegen Noord-Korea hebben als het gaat om de hack van Sony is zwak, zo stelt een beveiligingsexpert die de bij de aanval gebruikte IP-adressen analyseerde. Vorige week stelde de FBI in een officiële verklaring dat het Aziatische land verantwoordelijk was voor de inbraak op het netwerk van Sony Pictures Entertainment, de diefstal van allerlei gegevens en sabotage van duizenden computers.

De FBI is echter voorzichtig in de gekozen woorden, stelt blogger en beveiligingsexpert "krypt3ia". Hij ziet in de woordkeuze dat de opsporingsdienst het niet zeker weet. In eerste instantie werd de aanval namelijk niet door de FBI aan Noord-Korea gekoppeld, terwijl nu wordt gezegd dat het land wel de dader is. "Iets wat mensen als mij helemaal gek maakt", merkt hij op. De expert besloot daarom naar de IP-adressen te kijken die door de malware werd gebruikt en stelde zich daarbij de vraag of het om resources gaat die alleen door Noord-Korea kunnen worden gebruikt of gebruikt zijn.

De IP-adressen die de aanvallers gebruikten zijn afkomstig uit Thailand, Polen, Italië, Bolivia, Singapore, Cyprus en de Verenigde Staten. Het gaat onder andere om proxies en servers die door iedereen kunnen worden gebruikt. Voor één van de servers vond Krypt3ia de inloggegevens op een Chinees forum. De IP-adressen bleken verder regelmatig voor andere cybercrime-activiteiten te worden gebruikt, zoals het versturen van spam en aansturen van besmette computers.

"Als dit alle IP-adressen zijn die de VS als bewijs gebruiken dat Noord-Korea deze aanval heeft uitgevoerd, dan denk ik dat het zwak bewijs is", aldus de expert. De meeste van deze systemen zijn namelijk bekende gecompromitteerde machines die voor allerlei cybercrime-doeleinden zijn ingezet. Ook zouden veel van dit soort gekaapte servers door aanvallers onderling met elkaar worden gedeeld.

Bewijs

Dat Noord-Korea in het verleden zulke tactieken heeft gebruikt is volgens de expert indirect bewijs dat ontoelaatbaar voor de rechter is. Obama kondigde echter aan dat de VS gepaste maatregelen tegen Noord-Korea zullen nemen. De expert vraagt zich dan ook af of de VS hun theoretische respons op indirect bewijs baseren, waarbij hij de verwijzing naar de zogenaamde massavernietigingswapens in Irak maakt. Verder is het volgens de expert de vraag of er vanwege een inbraak bij een enkel entertainmentbedrijf uit Hollywood op staatsniveau moet worden ingegrepen. "Als ik naar Twitter en het nieuws kijk zie ik alleen marketing, hype en onterechte toekenning... en het zal tot onze gezamenlijke ondergang leiden", besluit de blogger.

Reacties (7)
22-12-2014, 17:30 door Anoniem
Bij een hack van deze omvang, denk je vooraf ook al na over de sporen die je gaat nalaten. En dan is een spoor dat leidt naar bijvoorbeeld Noord Korea of Iran wel een goede afleidingsmanoeuvre, hele volksstammen die direct toehappen en met beschuldigende vingertjes gaan wijzen. En ondertussen bloedt het onderzoek dood en ziet men de echte sporen over het hoofd.

Een ip adres zegt zo extreem weinig en is zo eenvoudig te misbruiken, raar dat er toch nog zoveel tijd aan wordt besteed.
22-12-2014, 17:33 door Anoniem
"zwak" "voorzichtig" "niet zeker weet" "andere cybercrime-activiteiten" "als" "zwak" "de meeste zouden" "indirect bewijs" "theoretische respons" "zogenaamde" Waar gaat dit stuk eigenlijk over? Vijf alinea's met de vrije interpretatie van de opinie van één of andere blogger annex expert? Snap niet helemaal de nieuwswaarde van zoiets...
22-12-2014, 18:38 door spatieman
maar voor de NASA was een IP adres wel voldoende.
22-12-2014, 20:08 door Briolet
Toch heeft de NASA meestal wel een goede kijk op de dingen door hun 'verheven' positie. (-:
23-12-2014, 00:37 door [Account Verwijderd]

De meeste van deze systemen zijn namelijk bekende gecompromitteerde machines die voor allerlei cybercrime-doeleinden zijn ingezet

ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?
23-12-2014, 08:33 door PietdeVries
Door NedFox:
ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?

Omdat die machines niet staan op een plaats waar jij wat over te zeggen hebt... Hier in Nederland zou die server na verloop van tijd wel worden verwijderd, maar een datacenter in Rusland, of een bullet-proof hoster... Dat deze servers bestaan is toch om exact dezelfde reden dat TPB en andere torrent-sites steeds weer opkomen?
23-12-2014, 13:23 door Anoniem
Door NedFox:

De meeste van deze systemen zijn namelijk bekende gecompromitteerde machines die voor allerlei cybercrime-doeleinden zijn ingezet

ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?
Ik vermoed dat dat exact dezelfde reden betreft als waarom Vupen een legale onderneming is; centjes!

Daarnaast is het huidige gebrek aan repressie wel de reden dat deze bots statisch zijn, en dus makkelijk buiten de deur te houden blijven.
Zodra je zulke machines gaat "uitschakelen," maak je het probleem veel dynamischer, en dus gevaarlijker.
Dat laatste beschouw ik overigens niet als oorzaak, maar als "mooi meegenomen" aan het feit dat Ivo, Fred en Ronald nog altijd weinig tot niets te vertellen hebben over het ICT-beleid in het buitenland.
En daar zouden we best blij mee mogen zijn, stel je voor dat een systeem als Digi-D wereldwijd wordt ingevoerd, de fraude zou niet meer te overzien zijn!


Door PietdeVries:
Door NedFox:
ik begrijp echt niet waarom zulke machines niet uitgeschakeld worden.. Of is het omdat het een rijke bron van informatie is ?

Omdat die machines niet staan op een plaats waar jij wat over te zeggen hebt... Hier in Nederland zou die server na verloop van tijd wel worden verwijderd, maar een datacenter in Rusland, of een bullet-proof hoster... Dat deze servers bestaan is toch om exact dezelfde reden dat TPB en andere torrent-sites steeds weer opkomen?
Volgens mij zie je het verschil niet tussen criminele organisaties, en moraalridders die kunst als gemeengoed beschouwen.
Die discussie lijkt me ook helemaal niet relevant trouwens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.