Kritiek op rapport VS over Noord-Koreaanse ddos-aanvallen
Vorige week waarschuwden de FBI, het Amerikaanse ministerie van Homeland Security en het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) voor de "ddos-infrastructuur" van Noord-Korea waarmee het land allerlei aanvallen zou uitvoeren, maar securitybedrijf Arbor Networks heeft kritiek op het rapport.
Het rapport bevat namelijk honderden ip-adressen, maar een duidelijke context wordt niet gegeven. Zo is het onbekend of de ip-adressen in kwestie onderdeel van een command en controle-infrastructuur of een besmet systeem zijn. Het is ook onduidelijk in hoeverre de ip-adressen "onschuldige" reflectors/versterkers zijn die worden gebruikt om het aanvalsverkeer te versterken. Het gaat dan bijvoorbeeld om servers die het aanvalsverkeer ontvangen en een veelvoud daarvan naar het uiteindelijke doel doorsturen.
Arbor Networks beschikt over een grote hoeveelheid informatie over ddos-aanvallen. Van de 632 ip-adressen in het rapport hadden er 24 die in de dataset van het bedrijf voorkomen aan tenminste één aanval deelgenomen. Verder werden er 164 ddos-aanvallen gevonden waar ip-adressen uit het rapport aan hadden deelgenomen. Het securitybedrijf erkent dat de eigen gegevens van ongeveer een derde van al het internetverkeer afkomstig zijn en het daardoor geen compleet beeld heeft.
Toch is het bedrijf kritisch over het rapport. "Het rapport is vaag over de kwalificatie van de gegeven ip-adressen. Het is onduidelijk op genoemde ip-adressen in het rapport onderdeel van de command en control-infrasrtuctuur zijn, gewoon bots zijn of beide. Het is niet eens duidelijk dat sommige van de ip-adressen geen "onschuldige" reflectors zijn", zegt analist Kirk Soluk.
Door dit gebrek aan context is het volgen Soluk lastig voor beveiligingsexperts om iets met de data te doen. Een lijst met command en control-servers wordt door experts anders behandeld dan een lijst met bots. Organisaties die blindelings de opgegeven lijst met ip-adressen in hun beveiligingssystemen laden kunnen dan ook meer schade dan goeds aanrichten. "Dit kan het vertrouwen aantasten in tijden waarin het het meest nodig is," merkt Soluk op, die verder stelt dat kennis over en context net zo belangrijk zijn als het noemen van ip-adressen.
Ook Assange en Wikileaks zijn niet technisch bij de tijd genoeg om informatief van een en ander vertrouwensvol kond te doen. Je zult een heel team technici, security analysten en wetenschappers, zoals taalwetenschappers bijeen moeten brenge en dan nog, wat niet meer te vinden is.... Zelfs de analyses van de Google vertalingen zijn niet je dat. Denk je niet dat je sokkenmaat ook al niet in een Google algoritme gevangen is en of je lange of korte anklets draagt en last hebt van het elastiek...hoe lang draagt u bij minus 15 al thermische sokken?
Russische hackers als het zo uit komt, Noord-Koreanen, Mainland Chinezen, maar nooit komt het uit het land van de bold en de free? "Gleufde Gij Da?
AIS ontvangers hebben direct verbinding met het Internet. Shodannetje en later flink wat schade. Cyber attack?
link: https://www.fleetmon.com/vessels/acx-crystal_9360611_31903/
Weer een wie oh wie verhaal. Wie is er het meest bij gebaat?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
