image

WikiLeaks onthult CIA-malware voor Linux-systemen

zondag 2 juli 2017, 09:46 door Redactie, 31 reacties

De CIA heeft malware ontwikkeld om verkeer van Linux-systemen te onderscheppen, zo blijkt uit een nieuwe onthulling van klokkenluiderssite WikiLeaks. De malware wordt OutlawCountry genoemd en zorgt ervoor dat al het uitgaande verkeer van het besmette Linux-systeem naar de CIA wordt gestuurd.

De malware bestaat uit een kernelmodule die een verborgen netfilter-tabel op het Linux-systeem aanmaakt. Het is daarbij mogelijk voor de CIA-operator om regels aan te maken die voorrang op bestaande netfilter/iptables-regels krijgen en voor gebruikers en zelfs systeembeheerders verborgen zijn. Hoe de malware precies wordt geïnstalleerd laat de documentatie van OutlawCountry niet weten. Volgens WikiLeaks zal een CIA-operator hiervoor van beschikbare CIA-exploits en -backdoors gebruik moeten maken om de kernelmodule op het systeem te krijgen.

Reacties (31)
02-07-2017, 09:50 door Anoniem
Je zal dit maar in Tails weten te krijgen... dan is iedere "anonieme" gebruiker de sjaak.
02-07-2017, 10:19 door Anoniem
Door Anoniem: Je zal dit maar in Tails weten te krijgen... dan is iedere "anonieme" gebruiker de sjaak.

ik denk dat als je met een andere machine een wireshark start oid, vrij vlug ziet of zoiets gebeurt. efin, monitoring van eigen inbound en outbound verkeer kan geen kwaad :). of misschien een bsd firewall die over een bridge gaat over laag 2 tussen jou en de buitenwereld? genoeg lagen te verzinnen om dit detecteerbaar te maken.
02-07-2017, 10:22 door Mariandel 2017
Door Anoniem: Je zal dit maar in Tails weten te krijgen... dan is iedere "anonieme" gebruiker de sjaak.

Oplossing: Niet Anoniem reageren??

Anoniem reageren is in feite niet transparant. Als u ingelogd bent, hoe Anoniem bent u zelf dan nog?
02-07-2017, 10:30 door Anoniem
Hou het simpel:

Alles wat met de computer (aangesloten op het internet) wordt gedaan en alles waartoe de computer toegang heeft is door anderen te zien en te manipuleren.

Dit geldt voor ieder OS ondanks updates en (virus)scans.
Updates en (virus)scans kunnen een hoop (ver)hinderen maar kunnen ook de oorzaak zijn.
Of, wanneer en hoe vaak het gebeurd is moeilijk in te schatten, misschien nooit, misschien vandaag nog.

Conclusie:

Gebruik de computer naar believen maar houd rekening met het bovenstaande.
02-07-2017, 10:40 door [Account Verwijderd]
[Verwijderd]
02-07-2017, 11:33 door [Account Verwijderd]
Naar aanleiding van dit bericht denk ik het volgende:

Zwakheden in operating systems kunnen alleen door derden ten nadele van de gebruiker geëxploiteerd worden als deze systemen online zijn.
(noot: Fysieke toegankelijk voor/door kwaadwillenden laat ik buiten beschouwing)

waar/niet waar ?

Twee verschillende operating systems afwisselend gebruiken verminderd het risico gemeten in tijdsduur/blootstelling om gecompromiteerd te worden door SpyWare/Malware.

waar/niet waar ?

Oorsprong van deze gedachtengang:
Momenteel draai ik sinds 14 dagen naast Windows 8.1 op de ene PC, op een wat oudere maar weinig gebruikte XP machine Xubuntu 16.04

off-topic >
De belangrijkste reden om hiertoe over te gaan was om zonder tijdverlies een direct alternatief klaar hebben als W8.1 het om wat voor reden dan ook laat afweten. Het omgedraaide kan natuurlijk ook het geval zijn.
< end off-topic
02-07-2017, 12:32 door [Account Verwijderd] - Bijgewerkt: 02-07-2017, 13:00
[Verwijderd]
02-07-2017, 12:38 door Anoniem
Hoe komt zoiets in de Linux kernel? Lijkt mij dat het niet in de standaard kernel zit, hier is toch controle op door Linus en zijn team?
02-07-2017, 13:15 door karma4
Door Aha: Naar aanleiding van dit bericht denk ik het volgende:

Zwakheden in operating systems kunnen alleen door derden ten nadele van de gebruiker geëxploiteerd worden als deze systemen online zijn.
(noot: Fysieke toegankelijk voor/door kwaadwillenden laat ik buiten beschouwing)

waar/niet waar ?
Fysieke toegang sluit lokaal netwerk usb CD even ombouwen etc uit. Dat is een verstandige aanname.
Met on-line bedoel je vermoedelijk via internet verbonden en daarmee direct van buiten benaderdbaar.
Ik ga voor:
- "waar" voor de meest omgevingen. Het nut / doel (kosten/baten risico) is voor de meeste toepassingen voldoende
Het algemene concept via een DMZ met firewalls is op deze leest gebaseerd
- "niet waar" voor de meer geavanceerde en gevoeligere omgevingen. Via een tussenstap met een wel verbonden apparaat wordt de stap overbrugd. Gebrek aan: netwerkscheiding, functiescheiding beheerd/gebruik, applicatiescheiding (code - SQL injection)
Niets is zwart/wit.


Twee verschillende operating systems afwisselend gebruiken verminderd het risico gemeten in tijdsduur/blootstelling om gecompromiteerd te worden door SpyWare/Malware.

waar/niet waar ?

Ik ga voor:
- "niet waar"
Je data is het probleem niet het OS zet je de data open en bloot beschikbaar voor een odbc (denk aan mongo-db) dan ligt
alles open en bloot terwijl je OS niets ziet. Hetgeen waar je aan werkt staat op 1 systeem, die gaat plat en dan? t
Je ziet het ook met DR systemen dat gaat niet goed als het nodig is omdat de meest idiote zaken vergeten zijn op het moment supreme. Ooit het verhaal geheel dubbel uitgevoerd DR systeem maar het netwerk was 2 meter verder buiten het eigen deel op 1 punt bij elkaar gekoppeld. Tja 1 keer daar een foutje en alles ligt er nog uit.
- "waar"
Het is het paradigma in de besturing van kritische systemen om een en nader dubbel op meerdere manieren uit te voeren. In de luchtvaart meerdere systemen die op een andere manier iets meten. Het gaat juist goed fout als men volledige op de automaat gaat en dat er dan iets anders dan normaal gebeurt. Blijkt er bijvoorbeeld alsnog maar 1 systeem leidend te zijn en die faalt. Niets is zwart/wit.
02-07-2017, 13:19 door karma4 - Bijgewerkt: 02-07-2017, 13:23
Door Neb Poorten: ....
Dan moet je twee besturingssystemen kiezen die gelijkwaardig zijn vanuit het perspectief 'gevoeligheid voor malware'. Als je systemen kiest waarvan de ene heel vatbaar is voor malware en de andere niet dan kan je beter exclusief de bijna niet vatbare gebruiken...
Je vergeet het doel/impact. Neem nu dat britste vliegdekschip, het maakt even niet wat ze nu opleveren als schip. Het doel waarmee het ingezet wordt de F35 die komen de eerste 5-10 jaar nog niet. Wat problemen bij de F35 oa met software maar ook de beloofd technische eigenschappen (vtol). Kan je beter kijken of hetgeen je 15 jaar geleden bedacht hebt en wat nu af is wel conform de toen opgemaakte specs werkt.

Het topic van het artikel is Linux malware denk je dat de CIA dat niet zal gebruiken?
02-07-2017, 13:55 door [Account Verwijderd]
[Verwijderd]
02-07-2017, 14:36 door Anoniem
@redactie. Met dank! Heb dankzij de documentatie een Firewall Rule ingesteld.
02-07-2017, 14:52 door Anoniem
Door Anoniem: @redactie. Met dank! Heb dankzij de documentatie een Firewall Rule ingesteld.
En jij niet bedankt om die rule achterwege te houden....
02-07-2017, 15:14 door Joep Lunaar
Door Anoniem: Hoe komt zoiets in de Linux kernel? Lijkt mij dat het niet in de standaard kernel zit, hier is toch controle op door Linus en zijn team?

Misverstand: deze code maakt geen deel uit van de mainline Linux kernel en is een daarbuiten ontwikkeld, het betreft een kernel module die apart geladen moet worden. Dat is nog niet zo eenvoudig omdat voor het laden van kernel module behalve toegang ook root privileges benodigd zijn en de module moet ook nog eens passen.

Dat laatste houdt in dat de module tegen de zelfde kernelversie als de kernel op het aangevallen systeem gecompileerd moet zijn en dat luistert behoorlijk nauw, zeker als je iets in de netwerk stack doet omdat de layout van de skbuf (representatie van een packet in het geheugen) behoorlijk kan variëren.
02-07-2017, 15:19 door Anoniem
Door Anoniem: @redactie. Met dank! Heb dankzij de documentatie een Firewall Rule ingesteld.

Wat heb je precies gedaan en waar helpt dat tegen?
02-07-2017, 15:47 door Anoniem
Deze "lieverdjes" hebben overal dus hun zogeheten "veiligheidscode" kunnen toevoegen in de eerste plaats aan 'propriety' code (Windows en Google Chrome en Android) (soms onder gag-order, soms met volledige medewerking van Big Corp.) en nu dus ook linux gecompromitteerd en wat er nog niet is gevonden en gelekt.

Dit soort van "lieverdjes" zitten ook onder ons op diverse plaatsen in Europa (Frankfurt, Muenchen, Belgrado en hebben zoveel in de naoorlogse geschiedenis op hun geweten (denk aan de LSD experimenten in Frankrijk van na de oorlog en andere ongein waar Bill Clinton destijds openbare excuses voor aanbood) dat de honden er letterlijk geen brood van lusten. Ze hebben gezorgd dat onze privacy en een groot deel van onze vrijheden niet meer bestaan.

Nu richten ze hun pijlen erop om het hele digitale theater naar hun hand te zetten ten behoeve van een totalitaire surveillance staat, die er komt en in zekere zin al is, het zijn een soort van corporationele nazi's die hen aansturen, want CIA is destijds opgezet na de oorlog met hulp van mannetjes als Gehlen en ander fraais wat men uit Duitsland na de oorlog importeerde, via NRD deed de andere kant dat ook. Denk ook aan zaken als Gladio, P2 loge en ander fraais.

Maakt niet uit of we door de hond of de kat gebeten worden, gebeten wordt u toch. Net als iemand zegt in de draad, hou er rekening mee dat uw internetverkeer afgeluisterd wordt, zeker als u uzelf tracht te beschermen (tor en tails) en deel niets met het interrnet dat u niet in het openbaar wenst te delen met anderen.

Verder graag een dikke vinger richting deze low-life figuren, waar ze ook vandaan mogen komen en waar ze ook actief mogen zijn.. Het karma dat jullie opbouwen komt op je eigen hersens terug, karma is a bitch, like the postman it always rings home, guys, ook als je denkt dat er alleen dat bestaat dat je met je vijf zindtuigen kan waarnemen en je je voor de rest nergens druk over hoeft te maken.Je komt een keer aan de beurt.
02-07-2017, 15:57 door [Account Verwijderd] - Bijgewerkt: 02-07-2017, 15:58
*** CIA BLIJFT TUIG *** NET ALS DE IS *** ZE ZIJN DE HELE DAG BEZIG MET ROTTIGHEID ***
02-07-2017, 16:33 door karma4
Door N.N.:
Ik weet niet waar je deze info vandaan haalt maar ik durf glashard te zeggen dat er geen hout van klopt. F-35 heeft idd wat kleine issues gehad met software en dat had niet eens iets te maken gehad met de operationele (lees: inzetbaarheid) zaken van het vliegtuig maar eerder met onderlinge communicatie tussen vliegtuig en onderhoudssysteem. Verder: F-35 komt sneller naar Nederland dan jij schrijft. En de F-35 in real life is dezelfde F-35 op de tekentafel.
http://www.businessinsider.com/here-are-all-the-problems-with-the-f-35-that-the-pentagon-found-in-a-2014-report-2015-3?international=true&r=US&IR=T " worst deficiencies were found in the Block 2B's navigation and accuracy software aspects. These software problems slowed weapons integration and flight-testing, and with it the entire aircraft's development.
Block 2B also encountered issues with weapon delivery accuracy. The software still had trouble in the use of radar, passive sensors, friend-or-foe identification, and electro-optical targeting."
Als je het als sportvliegtuigj ter vermaak ziet is het niet essentieel je hebt het hier echter over wat het hoort te doen.
https://www.f35.com/in-depth/detail/how-it-works-and-f-35b-ski-jump-takeoff delivery planned 2020.
https://www.defensie.nl/onderwerpen/f-35-naar-nederland de eenvoudige en goedkoopste komen voor NL in 2019
https://nl.wikipedia.org/wiki/Joint_Strike_Fighter-programma
02-07-2017, 17:34 door Anoniem
Outlawcountry? OUTLAWcountry?
Je probeert je privacy een beetje te bewaren op internet en je bent al een OUTLAW?
Dat is volgens mij de omgekeerde wereld.

Dat enkelen misbruik maken van hun privacy kan ik niet helpen.
Dat gebeurt op andere manieren ook wel.
Zoals sommige idiote mensen die wapens en vuurwerkbommen in hun huis of schuurtje bewaren. Vooral in de vs.
(o nee, daar mag het, want de wapenindustrie vaart daar wel bij. Een aantal scholen en bioscopen daarentegen niet...)

Of willen ze nu ook overal alle schuurtjes en huizen vrij binnen kunnen wandelen en een slot op de deur verbieden?
02-07-2017, 20:08 door Anoniem
Maar ga dan zelf ook eens aan de slag en test het uit in een test omgeving als deze online en in je browser:
https://npm.runkit.com/evil-dns
Lees tevens: https://www.npmjs.com/package/evil-dns (een inherent gevaar voor linux omgevingen)

Dit zou verplicht leesvoer moeten zijn voor de linux adepten, die nu geconfronteerd zijn met toch een en andere kwetsbaarheid via CIA-spooks en companen.
02-07-2017, 21:02 door [Account Verwijderd]
[Verwijderd]
02-07-2017, 22:44 door ph-cofi
Door Neb Poorten:
Volgens WikiLeaks zal een CIA-operator hiervoor van beschikbare CIA-exploits en -backdoors gebruik moeten maken om de kernelmodule op het systeem te krijgen. The Linux Foundation heeft al treffend gereageerd:

https://www.theinquirer.net/inquirer/news/3006036/apple-microsoft-and-samsung-respond-to-wikileaks-cia-hacking-revelations.

Hoe treffend is die reactie? Ik heb commerciële tekst gelezen, maar geen "fixed", of denk ik te simpel?
02-07-2017, 22:48 door [Account Verwijderd]
[Verwijderd]
02-07-2017, 22:55 door [Account Verwijderd] - Bijgewerkt: 02-07-2017, 22:59
[Verwijderd]
02-07-2017, 23:10 door Anoniem
Door Anoniem: Je zal dit maar in Tails weten te krijgen... dan is iedere "anonieme" gebruiker de sjaak.

Je zal er maar de wereld mee kunnen platleggen, dan is elke inwoner van de aarde de sjaak!!

Maar gelukkig is dat een irrrele veronderstelling.
Geld ook voor Tails, Tails kan je van een niet her-beschrijfbnare DVD draaien.

Besmetting gaat dus bepaald niet zomaar even lukken, netzoals de wereld platleggen, doe je ook niet ff.
Veronderstelling van iets dus.
03-07-2017, 06:29 door karma4
[Verwijderd door moderator]
03-07-2017, 08:55 door [Account Verwijderd] - Bijgewerkt: 03-07-2017, 08:56
[Verwijderd door moderator]
03-07-2017, 09:57 door Anoniem
Dus, al je apparaten niet rechtstreeks aan internet hangen maar via een proxy laten lopen?
03-07-2017, 10:40 door Anoniem
Ook met linux gaat er genoeg mis. Ik zal niet zeggen bij de fanboys en tevens degenen die weten wat ze doen als Neb Poorten of karma4, maar gezien wat ik aanhaalde over evil DNS en de duizenden nog kwetsbare systemen, nou huh?. Wie vergeet het updaten en patchen weleens, waar gaat het vooral met naamservers en certificaten mis?

NSA speelt geen schaak, maar eerder go, zoveel mogelijk via kleine zetjes binnen een infrastructuur compromitteren. Niet het sterke aanvallen, maar juist het zwakke in de infrastructuur, zorgen dat de tegenstander steeds dommer wordt, zodat men op steeds minder verzet hoeft te rekenen (manipulatie via educatie en misinformatie).
En de slimmerikjes zijn dus de Outlaws in hun ogen, de dommertjes hoeft men niet meer in de gaten te houden dan al gebeurt.

HTTPS anywhere en everywhere. Zie jij wat er op de non-public cloud gebeurt en wat er gecompromitterd en gemonitord wordt als men hele CDNs "in de zak" heeft of onder gag order mee moeten werken. Akamai daar ga je,
ik hoor en niets over, Tapsterk en de commissie stiekem werken mee.

Wat doet een app die als 55.229.30.210 in wil loggen. Ik kan het niet meer achterhalen. Developer gevlogen, abuse gaat door. Ik weet wel een oplossing samen met Peter Kleissner, die zijn stad Wenen en land moest ontvluchten omdat hij te slim was, dus sinkholen deze hele bende. Daar horen ze thuis in de bottomless pit of digital oblivion.

lauferek
03-07-2017, 19:20 door Anoniem
Door Anoniem: Maar ga dan zelf ook eens aan de slag en test het uit in een test omgeving als deze online en in je browser:
https://npm.runkit.com/evil-dns
Lees tevens: https://www.npmjs.com/package/evil-dns (een inherent gevaar voor linux omgevingen)

Dit zou verplicht leesvoer moeten zijn voor de linux adepten, die nu geconfronteerd zijn met toch een en andere kwetsbaarheid via CIA-spooks en companen.

kun je iets duidelijker zijn? Wat is je punt dat er een rouge DNS zou kunnen bestaan die (misschien gezien de systemd bug van afgelopen week) een nasty dns response terug kan sturen? btw een rouge DNS is net zo 'nasty' voor elk ander systeem waarvan je wilt 'googlen' hoor.
03-07-2017, 19:40 door Anoniem
Dat narigheid bestaat voor Microsoft en ook voor linux: 956 bytes lang op Linux & 1025 bytes op Windows.

Nietaldestemin zijn er ladingen linux, die kunnen profiteren van Kali linux sniffing en dat geldt tevens voor Win7 bijvoorbeeld, waar India een mono-cultuur aan heeft.

Rogue is rogue inderdaad en het maakt niet uit, goed toegegeven = platform onafhankelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.