Via post verstuurde usb-stick was beveiligingstest
Een usb-stick met malware die onlangs via de post naar een bedrijf uit Alblasserdam werd gestuurd was geen aanval maar een beveiligingstest. Volgens de meegestuurde brief zou de usb-stick in kwestie in de bus zijn gevonden. De "vindster" van de datadrager stelde dat ze thuis had gekeken om te zien van wie die was en bij het bedrijf in Alblasserdam uitkwam.
De usb-stick zou een c.v. en een document met wachtwoorden bevatten, maar in werkelijkheid stond er malware op. Het ging om bestanden die als .pdf of .JPG werden weergegeven, maar op .exe eindigden. De brief met usb-stick was geadresseerd aan de HR-afdeling van het bedrijf. De NOS meldt nu dat het om een penetratietest van Hoffmann Bedrijfsrecherche ging, hoewel het bedrijf dit zelf niet meteen toegeeft.
"Het zou heel goed kunnen dat die stick van ons afkomstig is", zegt Richard Franken, directeur van Hoffmann. "Ik zeg geen ja of nee, omdat we nooit iets zeggen over een actie bij een specifieke klant." De opdrachtgever van de test bij het bedrijf uit Alblasserdam was niet aanwezig toen de usb-stick werd bezorgd. Zijn collega's wisten van niets en schakelden daarom de politie in.
Lijkt me sterk dat je voor een test echte malware gebruikt.
Wachtwoorden achterhalen zal vast niet mogen, ook niet voor een test.
Lijkt me sterk dat je voor een test echte malware gebruikt.
Wachtwoorden achterhalen zal vast niet mogen, ook niet voor een test.
In bovenstaand artikel staat heel stellig:
Als het hier zonder voorbehoudt vermeld wordt moet je daar toch vanuit gaan en niet eerst allerlei linken doorworstelen om er achter te komen dat de redactie het fout heeft.
Edit:
Ik heb de nos link nu gelezen maar met jouw bewering van
lees je heel veel meer dan er staat. Er staat alleen dat er verbinding met een externe server gemaakt wordt. Niet dat deze verbinding onschuldig van aard was.
Het onschuldige karakter zou uit het onderzoek zou uit het NOS onderzoek blijken, maar de tegenpartij wil niet bevestigen dat zij er mee te maken hebben en de nos geeft geen bewijzen. Dus wat je ook gelooft, het blijven alleen aannames van wat je waarschijnlijk acht.
Je verhaal over de externe server en dat niks duidelijk is is natuurlijk gewoon een zwakke uitleg. De kans is groot en aannemelijk dat juist aan de hand van die externe server en/of de inhoud van de data men heeft kunnen concluderen dat dit een vooropgezet plan was van deze partij. Een phone-home programmaatje dat een uitgaande verbinding doet naar http://pentestclub/klantA is natuurlijk vrij makkelijk gemaakt, komt vrijwel door elke firewall heen, en geeft de beheerder van de site direct duidelijkheid over de bezoekende partij en dus een geslaagde test.
Maar je hebt gelijk, inhoudelijk kun je niks zeggen over de techniek achter deze 'aanval'. Maar het lijkt me sterk dat de klant toestemming geeft voor het opzettelijk slopen van dingen. Net als dat je bij een reguliere pentest niet alle bestanden van een server die je geroot hebt naar /dev/null stuurt (omdat het kan). En net als je niet een baksteen door de ruit op het kantoor gooit om een PC te pikken om zo aan te tonen dat je informatiebeveiliging niet deugd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
