Microsoft bevestigt dat WannaCry NSA-exploit gebruikt
Microsoft heeft in een blogposting voor het eerst gesteld dat de WannaCry-ransomware die sinds vrijdag rondgaat gebruikmaakt van een exploit die door de Amerikaanse geheime dienst NSA is ontwikkeld en daar vervolgens werd gestolen. De softwaregigant laat weten dat de update al twee maanden beschikbaar was en dat systemen die de update geïnstalleerd hadden veilig zijn. Toch zijn er nog veel computers ongepatcht.
"Deze aanval demonstreert dat cybersecurity een gedeelde verantwoordelijkheid is tussen techbedrijven en klanten. Het feit dat zoveel computers twee maanden na het verschijnen van een patch kwetsbaar blijven onderstreept dit aspect", zegt Microsofts Brad Smith. "Nu cybercriminelen steeds geraffineerder worden is er gewoon geen manier voor klanten om zich tegen dreigingen te beschermen tenzij ze hun systemen updaten."
De aanval laat volgens Smith ook zien dat het verzamelen van kwetsbaarheden door overheden een groeiend probleem is. "We hebben op WikiLeaks kwetsbaarheden gezien die door de CIA waren verzameld en nu deze kwetsbaarheid die bij de NSA werd gestolen heeft klanten wereldwijd geraakt. Herhaaldelijk zijn exploits in handen van overheden in het publieke domein terechtgekomen en hebben voor grootschalige schade veroorzaakt."
Eerder was dit al het geval bij de Stuxnetworm. Deze door de NSA ontwikkelde malware maakte gebruik van meerdere kwetsbaarheden. Na de ontdekking van de worm werd één van de gebruikte kwetsbaarheden op grote schaal door cybercriminelen ingezet. Volgens Smith moeten overheden de aanval met de WannaCry-ransomware dan ook als een "wake-up call" zien. "Ze moeten een andere aanpak volgen en in cyberspace dezelfde regels volgen die voor wapens in de fysieke wereld gelden", merkt Smith op.
Microsoft vindt dat overheden rekening met de schade aan burgers moet houden die met het verzamelen van deze kwetsbaarheden en het gebruik van deze exploits samenhangt. Eerder riep de softwaregigant dan ook op tot een digitale Geneefse Conventie, zodat overheden worden verplicht om kwetsbaarheden aan leveranciers te melden, in plaats van ze te verzamelen en te gebruiken.
En laat ik ze maar geen "sukkels" noemen, want de politie uitschelden om ze wakker te schudden mag vast niet.
Mijn visie:
Exploit gebruiken = exploit bekend maken.
En we maken nu iets mee van wat cybercriminelen er vervolgens mee zouden kunnen doen.
voor USA geldt het volgende script:
Koop Colt 1911 .45 ACP;
Schiet door je harde schijf;
Klaag Colt aan;
Je wist niet dat het niet kon zonder dataloss... ;)
<einde>
'Hoewel de Nederlandse overheid digitale veiligheid beschouwt als prioriteit, wordt er nog te weinig in geïnvesteerd. Dat is de conclusie van een onderzoek door het Amerikaanse Potomac Institute for Policy Studies.
Het onderzoek werd uitgevoerd in opdracht van de Nationale Coördinator Terrorisme en Veiligheid'
Maar niemand die de NSA de schuld geeft die dit alles gefaciliteerd heeft. De vinger wordt gewezen naar de criminelen. Bij de Russen wordt altijd direct verwezen naar Putin.
Maar dachten ze er mee weg te kunnen komen, hadden ze het vast niet nagelaten, hoor. Daar niet van. Maar ja de Rus staat niet voor Koningsbergen, de NATO daarentegen recentelijk wel.
Niets van M$ is nog te vertrouwen. Het is zelf een grote backdoor, altijd al geweest trouwens, maar nog niet algemeen bekend bij de domgehouden massa. Het dubbele extensie probleem. Het zou nu eindelijk worden opgelost maar eh... we wachten er nog op. Microsoft is een programma dat uit de aard van de opbouw (line scripting) nooit zo aan het Internet gehangen had mogen worden en sinds dos is er nog niets wezenlijk anders. Zelfde met javascript, dat had in 1995 ook nooit mogen ontsnappen naar Internet. Windows, een droom OS voor AV boeren en lui die leven van voortdurende dreigingen. Het houdt namelijk nooit op - patch - update - maak definities, verwijder false positives in een eindeloze sequence. Dank u Redmond, dank....
hhhhhhaaaaahahaha
Wat denk je van de cloud, gemeente (overheden) en alle bovengenoemde gebruiken dit al in meer of mindere mate gebruiken. Cloud ! je hebt geen idee waar je gegevens zijn, waarlangs ze er naar toe gaan en wie inzage hebben in die gegevens. Dus ja ook de Amerikaanse overheid, etc etc.
Wees dus niet bang, ze weten al alles van je..............
Een betere discussie is over het wel of niet openbaar maken van een gevaarlijk lek, voordat het gedicht is.
In dit geval heeft WikiLeaks het nu gebruikte lek in de openbaarheid gebracht, nog voordat Microsoft überhaupt van het lek wist. Hier is het dus vooral WikiLeaks die onverantwoord gehandeld heeft en mede aansprakelijk te stellen is voor de schade.
Maar NSA had het al met Microsoft moeten delen, twee handen op ene buik, dan kon het latere lekken naar derden in de kiem gesmoord worden of niet plaats vinden. Alle gevaarlijke cyberwar tools moeten met de makers van de originele software worden gedeeld. Als het M$ is met M$, is het Google met Google.
NSA heeft a priori oneigenlijk en onverantwoordelijk gehandeld, maar die plaatsen zich boven de wet. Daar zit de crux van het probleem. Zij vormen in stilte een gevaar voor de Internet gemeenschap. De Amerikaanse overheid beschouwt haar burgers allemaal als mogelijke vijanden en de rest van de wereldgemeenschap eveneens. Moeten we ze daarom dan hun gang maar laten gaan en de mensheid niet duidelijk maken met wat voor cloak en dagger spelletjes ze al decennia bezig zijn ten koste van heel veel slachtoffers.
Kan me voorstellen als je zelf deel uitmaakt van zo'n soort geheime security club van lieden, die zich boven elke wet verheven voelen en geloven in de nobele leugens van de elitaire aanstuurders, dat je daar in dat geval geheel anders over denkt. Maar wie het zwaard trekt, zal er door vergaan. Daar zijn bewijzen genoeg van uit de historie.
Een betere discussie is over het wel of niet openbaar maken van een gevaarlijk lek, voordat het gedicht is.
In dit geval heeft WikiLeaks het nu gebruikte lek in de openbaarheid gebracht, nog voordat Microsoft überhaupt van het lek wist. Hier is het dus vooral WikiLeaks die onverantwoord gehandeld heeft en mede aansprakelijk te stellen is voor de schade.
Jammer dat Microsoft ze niet op hun credits pagina vermeldt ;-)
Als je wilt zwarte pieten begin dan aan het begin van de keten, daar waar het probleen is gecreëerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
