image

FireEye: precisie-aanvallen mogelijk dankzij analytics

dinsdag 17 november 2015, 14:28 door Redactie, 12 reacties

Webanalytics worden mogelijk ingezet om informatie te verzamelen over internetters om vervolgens heel doelgericht aanvallen op die bezoekers te kunnen loslaten. Dergelijke praktijken om informatie in te winnen, zouden zelfs worden gesponsord door bepaalde overheden. Dat beweert beveiligingsbedrijf FireEye in het rapport 'Pinpointing targets'.

WITCHCOVEN

Volgens FireEye wordt er informatie over het gedrag van bezoekers verzameld via meer dan 100 websites die gehackt en gemanipuleerd zouden zijn. Wie een dergelijke site bezoekt, wordt ongemerkt doorgestuurd naar een tweede site waar het script WITCHCOVEN in verwerkt is.

Dit script verzamelt gedetailleerde informatie van de computer van de gebruiker en installeert een 'supercookie' om de bezoeker te volgen. De informatie van de computer wordt volgens FireEye gebruikt om op een later tijdstip heel doelgericht exploits te kunnen gebruiken, die werken op die specifieke configuratie en software van de gebruiker.

Reacties (12)
17-11-2015, 14:52 door Anoniem
Waarom worden er hier met enige regelmaat artikelen besteedt aan onderwerpen waarvan de bron (een rapport) achter een paywall zit en waaruit achteraf blijkt dat de geheimzinnigheid eromheen bepaald niet ten goede kwam aan de kwaliteit van het rapport omdat het vooral een excuus is van de marketingafdeling?

Heeft iemand het rapport wel gedownload en gelezen?
Gaat het om een standaardlink die je ontvangt?
Deel hem svp opdat we het artikel en de waarde van het nieuws inhoudelijk kunnen beoordelen, nu komt het niet verder dan "commercieel bedrijf beweert dat" en eigenlijk gewoon verkapte reclame is in de vorm van gratis naamsvermelding/publiciteit.
17-11-2015, 15:18 door [Account Verwijderd]
[Verwijderd]
17-11-2015, 15:57 door Anoniem
Waarom worden er hier met enige regelmaat artikelen besteedt aan onderwerpen waarvan de bron (een rapport) achter een paywall zit en waaruit achteraf blijkt dat de geheimzinnigheid eromheen bepaald niet ten goede kwam aan de kwaliteit van het rapport omdat het vooral een excuus is van de marketingafdeling?

Ten eerste zit het document niet achter een paywall, en ten tweede is het gewoon een verdomd interessant en relevant rapport. Het zou eerder raar zijn indien men op Security.nl *geen* aandacht hieraan besteed. Een topic om te zeuren dat Security.nl aandacht besteeds aan een rapport over IT Security, het moet niet gekker worden.

Heeft iemand het rapport wel gedownload en gelezen? Gaat het om een standaardlink die je ontvangt?

Zucht. Neem de moeite om het rapport zelf te downloaden en te lezen, en verveel ons niet met dit gezeur zou ik zeggen. De vraag of jij wel/geen formulier wil invullen om het rapport te downloaden, dat is voor lezers hier volstrekt oninteressant.

Deel hem svp opdat we het artikel en de waarde van het nieuws inhoudelijk kunnen beoordelen, nu komt het niet verder dan "commercieel bedrijf beweert dat" en eigenlijk gewoon verkapte reclame is in de vorm van gratis naamsvermelding/publiciteit.

Omdat jij het formulier niet wenst in te vullen, ga je hier klagen, en vervolgens anderen vragen om dit voor je te doen, om zodoende aan het rapport te komen ? Ik zou zeggen, doe het zelf, lees het rapport, en beoordeel het rapport vervolgens op waarde zou ik zeggen.

Wellicht kan je daarna met een reactie komen welke wel interessant is voor je medegebruikers op dit forum.
17-11-2015, 16:41 door Anoniem
https://www2.fireeye.com/rs/848-DID-242/images/rpt-witchcoven.pdf
17-11-2015, 16:50 door Anoniem
Google is your "friend", hier de link van het rapport zonder je gegevens achter te hoeven laten (that is bij FireEye tenminste): https://www2.fireeye.com/rs/848-DID-242/images/rpt-witchcoven.pdf
17-11-2015, 18:25 door Anoniem
15:57 door Anoniem:
..
Ten eerste zit
https://en.wikipedia.org/wiki/Paywall
..?
Zucht.
...
Omdat
https://onzetaal.nl/taaladvies/advies/veel-geschreeuw-en-weinig-wol
Wellicht kan je daarna met een reactie komen welke wel interessant is voor je medegebruikers op dit forum.
http://www.woorden.org/spreekwoord.php?woord=Goed%20voorbeeld%20doet%20goed%20volgen.

1641 Dank
1650 With a little help from IxQDuckStart
... Reading, lezende...
18-11-2015, 08:45 door Anoniem
Is zo'n "super cookie" persistent of wordt hij ook gewoon verwijderd als je je cache leegt?
18-11-2015, 14:37 door Anoniem
15:57
Wellicht kan je daarna met een reactie komen welke wel interessant is voor je medegebruikers op dit forum.

Omdat het zo inhoudelijk stil blijft een niet geplaatste reactie alsnog.
Of het interessant is mag je zelf bepalen, het geeft in ieder geval wat meer aanzet tot inhoudelijke discussie (hoop ik dan maar).

Opgelet, vangen!
Daar komt het knuppeltje ....


Precisie door de mand vallen

1) Als verwacht vind ik het inderdaad een slap rapport dat vooral leunt op één ontdekking en daaromheen vooral heel veel geheimzinnigdoenerij, nogal selectieve conclusies en behoorlijk grote open maar wederom selectieve deuren als het gaat om preventie.

Een lang uitgerekt rapport (waar vooral de afdeling vormgeving erg zijn best op heeft gedaan dat visueel op te leuken en qua pagina's te rekken maar niet begrijpt dat een lichtgrijs font op een witte ondergrond slecht leesbaar is) rondom de ontdekking van een script op honderd geheim gehouden websites.

Inderdaad zouden diplomaten en industrieel belangrijke mensen zich ervan bewust dienen te zijn dat ze niet alleen commercieel getrackt worden maar wellicht ook door concurrenten en spionage diensten.
De manieren zijn bekend en dat spannend doen eromheen (de benaming alleen al WitchCoven, vergelijk het maar met de spanningdoenerij in de film "The Blair Witch Project") is een beetje koddig.

Check maar wat je browser standaard weggeeft op sites als die van
browserleaks.org en wat voor (reusachtige) berg aan mogelijkheden je hebt aan scripts om allerlei extra eigenschappen van een browser of systeem te detecteren.
Wat dat betreft wordt er waarschijnlijk nog niet eens half gebruik gemaakt van de mogelijkheden die voorhanden zijn.

2) Op het ronduit hypocriete en schunnige af is om een zo eenzijdige suggestieve conclusie neer te leggen bij Rusland als je dat tenminste vergelijkt met de infectie-wereldkaart (meer informatie krijgen we niet) die wordt gepresenteerd op pagina 17.
Zullen we er een quiz van maken?

Welke landen, buiten Rusland, blijven opmerkelijk genoeg ook helemaal buiten schot?
Voorzetje,
- Fire-Eye-Verenigde Staten
- Hacking-Team-Italië
- ....
- .... ?

Merkwaardig eenduidige possibilitywhodunnit conclusie om rusland als enige moeglijke suspect aan te duiden niet?

3) Dan, met node in het rapport gemist, of heb ik eroverheen gelezen?
Waar gaan die verzamelde gegevens dan naartoe over de lijn?
Stond dat niet in het heksenscriptje?

4) Het geheel aan feiten doet inderdaad denken aan een opzet van het één of andere aanvaller die gewoon simpel en doeltreffend netjes haar huiswerk heeft gedaan en gebruik maakt van voor de hand liggende bekende technieken en bekende bugs in overbekende software componenten.

Een firma die op dat vlak excelleerde (misbruik van bekende wegen, en er leiden er nogal wat naar ..) was bijvoorbeeld Hacking Team.
Deze firma verkocht haar software over de hele wereld aan ongeveer elke overheid met belangstelling en heeft na de recente Hack zojuist geheel vernieuwde software op de markt gebracht.

Misschien kijken we hier wel naar het resultaat van een verzameling trackende overheden met ieder hun eigen doelen op basis van de nieuwe software van Firma x of y.

4) De waarde die overblijft zit hem in het advies.

Individuals and organizations can take steps such as blocking script execution or using third-party cookies,
We kennen allemaal onderhand wel het handjevol extensies waarmee je dat eenvoudig binnen je browser kunt bereiken.

enabling privacy-enhanced browsing, or using anonymization services (such as the TOR browser) to help mask their identity. However, these measures may be burdensome to implement and, while blocking potentially malicious activity, may also prevent legitimate site content from loading.
Te enthousiast doen over Tor 'mag natuurlijk niet'.
Omdat het gratis is en zo effectief en ook nog zo eenvoudig te installeren is en eenvoudig in gebruik is?

Afhankelijk van de wijze waarop je het standaard meegeleverde NoScript al dan niet met behulp van de builtin service (!) in de vorm van een slider instelt, zul je zien dat die sites over het algemeen wèl laden!
Maar er zitten op het web inderdaad hardnekkige luie sysadmins tussen die zonodig alle tor exit-nodes blacklisten omdat ze (vermoedelijk) te belazerd zijn naar de eventuele mogelijkheden te kijken die ze hebben om daar genuanceerder mee om te gaan en naar de aanwezige opties binnen die externe 'services' als bijvoorbeeld Cloudflare bieden.

Van alle mogelijke maatregelen kan gesteld worden dat gebruik van Torbrowser al deze hobbels met gemak neemt.
Persistente cookie? Vernieuw je identity met een druk op de knop en weg is het supercookie, weg is de historie, weg is dat ip adres, weg is,.. weg (behalve die privacy natuurlijk).

Klopt dus niet erg, die mitsen en maren die genoemd worden suggestief leugentje van FireEye om eigen ... belang bestwil?

5) Conclusie die ik eraan overhoudt na lezing : 'Hallo, opgelet! Wij hebben een bewijs gevonden dat U kan worden getrackt in het kader van commerciële, politieke, culturele spionage!'

Die hoek kennen we al een beetje, hebben we allemaal hier al wel besproken en verkend: Treft de standaard best practices maatregelen en nog wat meer aan gratis beschikbare tools.

Heb je die benut, dan kan je naar de commerciële oplossingen kijken, heb je budget zat laat je het één ander direct voor je organiseren door een ander.

6) Zij sprongetje als afsluiting; misschien kan er een keer een battle worden georganiseerd tussen de diverse vormgevingsafdelingen die de illustraties verzorgen bij dit soort security rapporten.
Een categorie vormgevers op zich.
Kaspersky scoort wat mij betreft regelmatig hoog op de vormgevings en humor ladder.


* https://en.wikipedia.org/wiki/The_Blair_Witch_Project
Vooral heel veel slimme virale marketing vooraf en spannend doen om niets.
Dat was 1999, er is niet veel veranderd zo te zien.
18-11-2015, 14:38 door Anoniem
Een echte kenner begrijpt welke positie FireEye als bedrijf, ja er mag ook geld verdient worden, in de markt heeft.
Op hun website zijn ook veel (allemaal gratis) documenten te downloaden zonder informatie achter te laten; doe er je voordeel mee!
18-11-2015, 14:43 door Anoniem
Correctie op (nu) nog niet geplaaste reactie: browserleaks.org moet https://www.browserleaks.com zijn.
18-11-2015, 16:11 door Anoniem
Door Anoniem: Waarom worden er hier met enige regelmaat artikelen besteedt aan onderwerpen waarvan de bron (een rapport) achter een paywall zit en waaruit achteraf blijkt dat de geheimzinnigheid eromheen bepaald niet ten goede kwam aan de kwaliteit van het rapport omdat het vooral een excuus is van de marketingafdeling?

Heeft iemand het rapport wel gedownload en gelezen?
Gaat het om een standaardlink die je ontvangt?
Deel hem svp opdat we het artikel en de waarde van het nieuws inhoudelijk kunnen beoordelen, nu komt het niet verder dan "commercieel bedrijf beweert dat" en eigenlijk gewoon verkapte reclame is in de vorm van gratis naamsvermelding/publiciteit.

Zucht. Het is allemaal gewoon verzamelingenleer. Maar dat wordt kennelijk slecht onderwezen heden ten daags.
Shut up if you do not know how it works zeggenze wel eens. Erg van toepassing op deze reactie.
18-11-2015, 16:53 door Anoniem
Door Anoniem:
15:57
Wellicht kan je daarna met een reactie komen welke wel interessant is voor je medegebruikers op dit forum.

Omdat het zo inhoudelijk stil blijft een niet geplaatste reactie alsnog.
Of het interessant is mag je zelf bepalen, het geeft in ieder geval wat meer aanzet tot inhoudelijke discussie (hoop ik dan maar).

Opgelet, vangen!
Daar komt het knuppeltje ....


Precisie door de mand vallen

1) Als verwacht vind ik het inderdaad een slap rapport dat vooral leunt op één ontdekking en daaromheen vooral heel veel geheimzinnigdoenerij, nogal selectieve conclusies en behoorlijk grote open maar wederom selectieve deuren als het gaat om preventie.

Een lang uitgerekt rapport (waar vooral de afdeling vormgeving erg zijn best op heeft gedaan dat visueel op te leuken en qua pagina's te rekken maar niet begrijpt dat een lichtgrijs font op een witte ondergrond slecht leesbaar is) rondom de ontdekking van een script op honderd geheim gehouden websites.

Inderdaad zouden diplomaten en industrieel belangrijke mensen zich ervan bewust dienen te zijn dat ze niet alleen commercieel getrackt worden maar wellicht ook door concurrenten en spionage diensten.
De manieren zijn bekend en dat spannend doen eromheen (de benaming alleen al WitchCoven, vergelijk het maar met de spanningdoenerij in de film "The Blair Witch Project") is een beetje koddig.


Ben het met je eens dat hier meer om een marketingverhaal gaat. Echter, het achterliggende probleem is significant. Het gaat hier om de eerste stap van geraffineerde spionage door waarschijnlijk de "Turla" actoren. Ze zullen geduldig wachten op een interessant doelwit en die dan bestoken met een 0day. Voor researchers is het zeer moeilijk om te achterhalen wat er precies gebeurt omdat de Turla bende alleen in zeldzame gevallen hun geinjecteerde scripts gebruiken voor infectie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.