image

Ernstig lek in Noord-Koreaanse Linuxdistro Red Star ontdekt

zaterdag 3 december 2016, 08:22 door Redactie, 9 reacties

Een groep hackers heeft een ernstig beveiligingslek in de Noord-Koreaanse Linuxdistributie Red Star OS ontdekt waardoor het mogelijk is om gebruikers van het besturingssysteem op afstand aan te vallen. Alleen het openen van een hyperlink door de gebruiker is voldoende om malware te installeren.

Dat meldt Hacker House, een team van hackers. In het verleden zijn er al vaker kwetsbaarheden in Red Star OS ontdekt. Het nu ontdekte beveiligingsprobleem bevindt zich in de standaard meegeleverde browser genaamd Naenara, wat "Mijn land" in het Koreaans betekent. Naenara is op een zeer oude Firefoxversie gebaseerd. De browser blijkt niet goed om te gaan met uri-argumenten in een hyperlink. Via een speciaal geprepareerde hyperlink op een webpagina kan een aanvaller willekeurige commando's op het systeem uitvoeren, zoals het installeren van malware, als de link door de gebruiker wordt geopend. In onderstaande video wordt de aanval gedemonstreerd.

Image

Reacties (9)
03-12-2016, 09:54 door Anoniem
Geen verrasing in een wereld waar ook de president van de VS backdoors wil in sofrware. In autoritair geregeerde landen zoals Noord Korea, China, en Rusland gebeurt dat gewoon zonder publieke discussie.
03-12-2016, 11:53 door Anoniem
Door Anoniem: Geen verrasing in een wereld waar ook de president van de VS backdoors wil in sofrware. In autoritair geregeerde landen zoals Noord Korea, China, en Rusland gebeurt dat gewoon zonder publieke discussie.

Hoe weten we dat het niet overal in de wereld gebeurd? Sterker nog, er komen al steeds meer geluiden naar buiten dat er ook backdoors in o.a. Amerikaanse chips in zitten gebakken en dan is er niks meer tegen te doen.

Maak je geen illusies, voor de overheidsdiensten blijft niets meer gehaim.
03-12-2016, 13:29 door [Account Verwijderd] - Bijgewerkt: 03-12-2016, 13:30
[Verwijderd]
03-12-2016, 14:08 door Joep Lunaar
Door Rinjani: Dit doet me denken aan de kansloze Limux aanpak: alles willen controleren en daarom niet met een out-of-the-box Linux distributie gaan werken. Welnee: liever een eigen versie bakken en vervolgens in de problemen komen omdat zoiets ook (goed) bijgehouden moet worden.

Deze "eigen" distributie is gebaseerd op een Ubuntu LTS, oorspronkelijk 10.10, vervolgens op 12.04 LTS enz. De basis is dus van zeer behoorlijk en volwassen niveau en de eigenheid zit 'm vooral in de toegesneden configuratie en keuze van in de distributie opgenomen software.

De problemen waarmee is geschermd om tegen dit project te ageren waren vaak van het type verdachtmaking en zondebok en in de regel niet onderbouwd. Alle grote organisaties hebben problemen met hun IT en in dit geval waren problemen vooral te wijten aan gebrek aan personeel en ook tegenwerking door leveranciers van gesloten software die hun silo (=> vendor lock-in) willen beschermen. In Nederland heeft Heerenveen uiteindelijk bakzeil moeten halen door de onwil van bedrijven als Centrix, Pink enz. De integratie van hun systemen met OpenOffice i.p.v. MS Office zou niet kunnen of heel duur zijn.

Dat een dergelijk groot project als Limux er in is geslaagd de migratie binnen de geplande tijdspanne en kosten af te ronden is iets waar een gemeente als Amsterdam met haar MS omgevingen van zou dromen !
03-12-2016, 15:04 door karma4
Door Joep Lunaar:
Door Rinjani: Dit doet me denken aan de kansloze Limux aanpak: alles willen controleren en daarom niet met een out-of-the-box Linux distributie gaan werken. Welnee: liever een eigen versie bakken en vervolgens in de problemen komen omdat zoiets ook (goed) bijgehouden moet worden.

Deze "eigen" distributie is gebaseerd op een Ubuntu LTS, oorspronkelijk 10.10, vervolgens op 12.04 LTS enz. De basis is dus van zeer behoorlijk en volwassen niveau en de eigenheid zit 'm vooral in de toegesneden configuratie en keuze van in de distributie opgenomen software.
...
Dat een dergelijk groot project als Limux er in is geslaagd de migratie binnen de geplande tijdspanne en kosten af te ronden is iets waar een gemeente als Amsterdam met haar MS omgevingen van zou dromen !
Met je eens over de Limux keuze Ubuntu. Echter ook daar zit in de serveromgeving SAP Oracle waar men in de vaart der volkeren macro-s moest aansluiten (Wollmux). Dat deel is onderschat. Dat ze de kosten in de hand gehouden hebben wil niet zeggen dat de kwaliteit die beloofd is, is geleverd. Dat is het andere wat niet goed zit. In Asterdam is en de kostenbewaking en de kwaliteit een issue.
De keus bij elk bedrijf is tegenwoordig om de softwareontwikkeling buiten de deur te doen. Dan heb je het met een eigen desktop zeer zwaar. Bij limux was nooit het doel alle windows machines te vervangen ze wisten dat dat niet haalbaar is.
Het ging ze meer om de standaardwerkplekken.

In Nederland is gekozen voor open standaarden zoals http://gemmaonline.nl/index.php/StUF_Berichtenstandaard Zoiets heeft niets met office of de desktop te maken. Dat is wel waar alle Gemeentes mee stuk lopen als afhankelijkheid met een beperkt aantal leveranciers. http://www.centric.eu/NL/Default/Nieuws/Nieuwsitem/gemeente-heerenveen-operationeel-met-key2burgerzaken. Wat zegt Heerenveen zelf
https://www.heerenveen.nl/fileadmin/website/actueel/A1_Themabegroting_2017.pdf
"Begin 2015 is een risicoanalyse op de ICT functie uitgevoerd. De belangrijkste ICT risico’s zijn in kaart gebracht en er zijn maatregelen vastgesteld om de kans op het optreden van het risico te beperken.
Een voorbeeld hierbij is een onvoldoende informatiebeveiliging en daarmee een risico op continuïteit van de informatievoorziening en de gemeentelijke dienstverlening. Naast informatiebeveiliging was er sprake van onvoldoende uitvoering van het ICT beleid van de gemeente Heerenveen. Ook op dit onderdeel meerdere maatregelen afgesproken. Inmiddels hebben we de eerste maatregelen uitgevoerd en ronden we dit in 2017 verder af waarmee we de risico’s voor ICT mitigeren."
ICT en security is echt wel iets meer dan politieke voorkeuren met een OS op de desktop.
03-12-2016, 15:07 door [Account Verwijderd] - Bijgewerkt: 03-12-2016, 15:08
[Verwijderd]
03-12-2016, 15:10 door [Account Verwijderd] - Bijgewerkt: 03-12-2016, 15:10
[Verwijderd]
03-12-2016, 15:47 door karma4 - Bijgewerkt: 03-12-2016, 15:47
Door Rinjani:
Door karma4: ICT en security is echt wel iets meer dan politieke voorkeuren met een OS op de desktop.

Er moet natuurlijk door allerlei partijen geld aan worden verdiend dus het loont aan alle kanten om de zaken onnodig ingewikkeld te maken.
Mag ik blij sprongetje maken. Iets waar we het eens over zin.
Kiss is een mooi principe.
03-12-2016, 20:21 door Anoniem
mailto ..

What the heck, lmfao
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.