image

Via post verstuurde usb-stick was beveiligingstest

woensdag 24 december 2014, 09:27 door Redactie, 7 reacties

Een usb-stick met malware die onlangs via de post naar een bedrijf uit Alblasserdam werd gestuurd was geen aanval maar een beveiligingstest. Volgens de meegestuurde brief zou de usb-stick in kwestie in de bus zijn gevonden. De "vindster" van de datadrager stelde dat ze thuis had gekeken om te zien van wie die was en bij het bedrijf in Alblasserdam uitkwam.

De usb-stick zou een c.v. en een document met wachtwoorden bevatten, maar in werkelijkheid stond er malware op. Het ging om bestanden die als .pdf of .JPG werden weergegeven, maar op .exe eindigden. De brief met usb-stick was geadresseerd aan de HR-afdeling van het bedrijf. De NOS meldt nu dat het om een penetratietest van Hoffmann Bedrijfsrecherche ging, hoewel het bedrijf dit zelf niet meteen toegeeft.

"Het zou heel goed kunnen dat die stick van ons afkomstig is", zegt Richard Franken, directeur van Hoffmann. "Ik zeg geen ja of nee, omdat we nooit iets zeggen over een actie bij een specifieke klant." De opdrachtgever van de test bij het bedrijf uit Alblasserdam was niet aanwezig toen de usb-stick werd bezorgd. Zijn collega's wisten van niets en schakelden daarom de politie in.

Reacties (7)
24-12-2014, 11:20 door Anoniem
Nou, die medewerkers zijn in ieder geval voor de 'bewustzijn-training' met vlag en wimpel geslaagd ;)
24-12-2014, 12:23 door Anoniem
Maar men had toch daadwerkelijk malware gevonden op die stick ?
Lijkt me sterk dat je voor een test echte malware gebruikt.
Wachtwoorden achterhalen zal vast niet mogen, ook niet voor een test.
24-12-2014, 13:40 door mcb
Door Anoniem 12:23: Maar men had toch daadwerkelijk malware gevonden op die stick ?
Lijkt me sterk dat je voor een test echte malware gebruikt.
Wachtwoorden achterhalen zal vast niet mogen, ook niet voor een test.

De "vindster" van de datadrager stelde dat ze thuis had gekeken om te zien van wie die was en bij het bedrijf in Alblasserdam uitkwam.
Misschien was haar pc wel besmet, en daarna de stick ook.
24-12-2014, 13:59 door Anoniem
Zoals je in het NOS artikel kunt lezen ging het om een tooltje die niet anders doet dan verbinding maken met een server van de aanvaller om te bevestigen dat de USB stick is gebruikt. Geen echte malware dus.
24-12-2014, 15:04 door Anoniem
Dat was hier toch al gemeld? Of was dat ergens anders? Ik heb het in ieder geval al wel gelezen.
24-12-2014, 15:11 door Briolet - Bijgewerkt: 24-12-2014, 15:20
Door Anoniem: … Geen echte malware dus.

In bovenstaand artikel staat heel stellig:

maar in werkelijkheid stond er malware op.

Als het hier zonder voorbehoudt vermeld wordt moet je daar toch vanuit gaan en niet eerst allerlei linken doorworstelen om er achter te komen dat de redactie het fout heeft.

Edit:
Ik heb de nos link nu gelezen maar met jouw bewering van

ging het om een tooltje die niet anders doet dan verbinding maken met een server van de aanvaller om te bevestigen

lees je heel veel meer dan er staat. Er staat alleen dat er verbinding met een externe server gemaakt wordt. Niet dat deze verbinding onschuldig van aard was.
Het onschuldige karakter zou uit het onderzoek zou uit het NOS onderzoek blijken, maar de tegenpartij wil niet bevestigen dat zij er mee te maken hebben en de nos geeft geen bewijzen. Dus wat je ook gelooft, het blijven alleen aannames van wat je waarschijnlijk acht.
24-12-2014, 16:22 door Anoniem
NOS gaat natuurlijk niet zomaar een naam roepen als ze daar niet vrij zeker van zijn. Heck, ze doen zelfs aan wederhoor, want ze hebben immers gebeld met Hoffmann. En die ontkennen dan ook niet niet deze methode te gebruiken. Ze willen alleen niks loslaten over deze klant. Maar het feit dat het een klant is (dat ontkennen ze ook niet) bevestigd eigenlijk wel genoeg. Ze verkopen immers geen kartonnen dozen maar awareness-trainingen...

Je verhaal over de externe server en dat niks duidelijk is is natuurlijk gewoon een zwakke uitleg. De kans is groot en aannemelijk dat juist aan de hand van die externe server en/of de inhoud van de data men heeft kunnen concluderen dat dit een vooropgezet plan was van deze partij. Een phone-home programmaatje dat een uitgaande verbinding doet naar http://pentestclub/klantA is natuurlijk vrij makkelijk gemaakt, komt vrijwel door elke firewall heen, en geeft de beheerder van de site direct duidelijkheid over de bezoekende partij en dus een geslaagde test.

Maar je hebt gelijk, inhoudelijk kun je niks zeggen over de techniek achter deze 'aanval'. Maar het lijkt me sterk dat de klant toestemming geeft voor het opzettelijk slopen van dingen. Net als dat je bij een reguliere pentest niet alle bestanden van een server die je geroot hebt naar /dev/null stuurt (omdat het kan). En net als je niet een baksteen door de ruit op het kantoor gooit om een PC te pikken om zo aan te tonen dat je informatiebeveiliging niet deugd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.