'Chinezen voeren cyberaanvallen uit op de VS'

Vrijdag 26 augustus 2005, 14:54 - De Koude Oorlog lijkt nog steeds voort te duren, althans op internet. Chinese hackers voeren een soort virtuele strijd met Amerikaanse autoriteiten.


Hackers blijken al twee tot drie jaar via Chinese netwerken in te breken op netwerken van het Amerikaanse ministerie van Defensie en andere instanties. Vier anonieme bronnen bevestigen dat tegenover de Washington Post. De hackers wisten ook binnen te dringen bij de ministeries van Binnenlandse Veiligheid en Energie.

Hoewel er volgens een officiële woordvoerder geen gevoelige staatsgeheimen zijn uitgelekt, gaat het wel om grote netwerkinbraken. De cyberinbraken worden door justitie onderzocht onder codenaam Titan Rain. De federale recherche FBI weigert commentaar te geven op de onderzoeken.

Over de achtergrond van de cyberaanvallen verschillen de meningen. Sommigen denken dat de Chinese overheid achter de hackersacties zit. Volgens één van de vier bronnen van de krant is het onduidelijk of het 'een campagne is van de Volksrepubliek China of dat het gewoon een stel hackers zijn'.
Klik Hier!

Het Amerikaanse ministerie van Defensie is heel vaak een doelwit van hackers. Het is 's werelds grootste instantie met in totaal ongeveer vijf miljoen computers. Vorig jaar werd het Pentagon maar liefst 79.000 keer aangevallen. Een jaar eerder waren dat nog 54.000 aanvallen. In totaal wisten hackers in 1300 gevallen toegang tot een computer binnen het Pentagon te krijgen.

De banden tussen de Verenigde Staten en China zijn de laatste tijd op gespannen voet komen te staan omdat Amerika bezorgd is over de militaire activiteiten van het Aziatische land.

Arrestaties mogelijke makers Zotob-worm

Amerikaans onderzoek werpt vruchten af



De Amerikaanse FBI heeft in samenwerking met Marokkaanse en Turkse autoriteiten twee mannen gearresteerd die worden verdacht van het maken en verspreiden van de computerwormen Mytob en Zotob.

In Marokko werd de 18-jarige Farid E. in hechtenis genomen, die zich van de online identiteit 'Diabl0' bediende. In Turkije werd de 21-jarige Atilla E. gearresteerd, bekend als 'Coder'.

Het hoofd van FBI's Cyber Division Louis Reigel stelt dat de geavanceerde techniek van tegenwoordig betekent dat 'cybercriminelen' maar weinig gereedschap nodig hebben om hun misdaad uit te voeren. "Met een paar toetsenbordaanslagen en een muisklik kan kwaadaardige code over wereldwijde netwerken worden verspreid met aanzienlijke schade, ook financieel."

De FBI zegt voor hun onderzoek gebruik te hebben gemaakt van diensten van onder meer Microsoft en virusbestrijders. "Dat deze zaak zo snel kon worden opgelost is het directe resultaat van deze effectieve samenwerking en bewijst wat we kunnen bereiken als we samenwerken", aldus Reigel.

Ook Microsoft is tevreden over de arrestaties. Topman en juridisch adviseur Brad Smith feliciteerde de Turkse, Marokkaanse en Amerikaanse autoriteiten. De arrestaties bewijzen ook volgens Smith de waarde van samenwerking. Smith: "De resultaten tonen aan dat cybercriminelen worden opgespoord, aangehouden en ter verantwoording worden geroepen voor hun daden."

De Mytob en Zotob-varianten haalden de afgelopen weken regelmatig - letterlijk - het nieuws, nadat slecht gepatchte computers van tv-stations CNN en ABC en krant The New York Times geïnfecteerd raakten. Een van de jongste incarnaties van Zotob had het voorzien op computer met Windows 2000 en kon onder bepaalde omstandigheden ook Windows XP-machines onklaar maken.

Bepaalde beveiligingsexperts vrezen de opkomst van een nieuwe 'virusoorlog', waarbij virusschrijvers strijden om het beheer van zoveel mogelijk geïnfecteerde machines. Ging het virussen vroeger vooral om schade en prestige, nu worden besmette computers ingezet voor uiteenlopende lucratieve klussen als spamverzending en afpersing van websites.

Het lijkt twijfelachtig dat de arrestaties van Farrid E. en Atilla E. toekomstige virusschrijvers langdurig zal afschrikken de volgende virushit te schrijven. De twee jonge programmeurs worden volgens lokale wetten gestraft, die in Marokko en Turkije op het gebied van computervredebreuk niet erg gedetailleerd zijn.

Eerdere voorbeelden van gestrafte virusschrijvers in Nederland (Kournikova) en Duitsland (Sasser) bewezen dat de straf meestal in geen verhouding staat tot de miljoenenschade die virussen wereldwijd aanrichten.

'Hackers verwikkeld in botnet-strijd'

Den Haag, 9.27 uur - Leveranciers van beveiligingssoftware zijn er van overtuigd dat hackers momenteel een 'bot battle' uitvechten om de controle over botnets. Dit zijn netwerken van geïnfecteerde systemen die gebruikt worden voor criminele internetactiviteiten.

Panda Software ziet als aanwijziging voor de bot battle dat drie groepen hackers afgelopen week elk een aanval hebben gelanceerd op machines die onder Windows 2000 draaien. Daarbij zijn Zotob.a, -b en –c aan elkaar gerelateerd en vechten zij tegen twee versies van IRCbot en een versie van Zotob en een versie van IRCbot. Alledrie hebben geheel eigen sourcecodes, stelt Panda.

Ook de Britse beveiliger MessageLabs stelt dat het er op lijkt dat diverse partijen strijden om de controle over botnets. Zij zouden zich vooral richten op thuis-pc's; dat zakelijke pc's daarbij ook geraakt worden is voor de hackers slechts bijzaak, volgens MessageLabs. MessageLabs heeft als aanwijzing dat Zotob.f ook code in zich heeft die rivaliserende bot-wormen uitschakelt, zoals Esbot.a, Zotob.b en –d.

Een jaar geleden vochten hackers al een vergelijkbare strijd uit met behulp van de Bagle- en Netsky-wormfamilies. (Tanja de Vrede)

'Maker van Zotob-worm afkomstig uit Turkije'

De maker van de Zotob-worm die op dit moment huishoudt, is afkomstig uit Turkije. Het gaat om virusschrijver Diabl0.


Dat denkt althans virusonderzoeker Alex Shipp van Messagelabs. "Onze onderzoekers hebben ontdekt dat deze worm contact maakt met een server die eerder is gebruikt voor wormen die zijn geschreven door Diabl0", aldus Shipp.

Bovendien is een deel van de code van de Zotob-worm gelijk aan die van eerdere creaties van Diabl0. Diabl0 wordt verantwoordelijk gehouden voor het Mytob-virus dat voor het eerst in maart opdook. Overigens was de Mytob-worm weer gedeeltelijk gebaseerd op het MyDoom-virus.

De verspreiding van de Zotob-worm begon op zondag. Sindsdien zijn er diverse varianten opgedoken. Volgens Computer Associates zijn er wereldwijd meer dan 250.000 systemen besmet.

Microsoft en Symantec bieden inmiddels gratis programma's aan die de Zotob-worm en de virusvarianten van besmette pc's verwijdert.

Wormvirus schakelt Windows 2000 uit

CNN en New York Times getroffen



Wereldwijd schakelen computers die draaien op Windows 2000 zichzelf zomaar uit. Volgens antivirusbedrijf Trend Micro zijn enkele wormvirussen mogelijk verantwoordelijk voor het probleem, waaronder Zotob, dat afgelopen weekend opdook, en nieuwe varianten van de Rbot-worm.

Deze wormvirussen misbruiken een beveiligingslek in de plug-and-play-functie van Windows 2000. Microsoft gaf vorige week een patch voor dit lek uit, als onderdeel van zijn maandelijkse update. Het bedrijf gaf het lek de hoogste waarschuwingsgraad mee: kritiek. Alleen computers die deze patch nog niet hebben geïnstalleerd, zijn kwetsbaar.


Trend Micro tracht te bepalen of het probleem tot één virusvariant is te herleiden, maar is daar nog niet in geslaagd. Ook Microsoft verricht onderzoek. Het bedrijf vermoedt dat de variant Worm_Rbot.CEQ de bron van alle problemen kan zijn. Het SANS Internet Storm Center, een organisatie die netwerkbedreigingen opspoort, houdt echter Zotob verantwoordelijk.

Welk virussen er nu precies verantwoordelijk is, het lijkt er in elk geval op dat ze het op specifieke organisaties gemunt hebben, en niet op computergebruikers in het algemeen. Zo werden tot nu toe nieuwszender CNN en de redactie van de New York Times getroffen.

De wormvirussen zijn van geïnfecteerde computers te verwijderen met behulp van speciale tools, die diverse antivirusbedrijven hiervoor ter beschikking stellen.

Met een bijdrage van Joris Evers, CNet

Computers kampen met nieuwe virusuitbraak

RIJSWIJK - Een nieuw computervirus dreigt op grote schaal uit te breken. Amerikaanse media, waaronder CNN en The New York Times, maakten dinsdagavond laat het eerst melding van computers die uitvielen en tragere internetverbindingen. Ook grote bedrijven als DaimlerChrylser, UPS en General Electric zouden er last van hebben.

Virusbestrijder McAfee gaf woensdag een viruswaarschuwing met "een zeer hoog risico" af. Dit komt zelden voor, aldus viruskenner M. van Oers van McAfee, die verwacht dat het virus ook een "groot probleem" in Europa gaat worden. Het Amerikaanse softwareconcern Microsoft heeft eveneens een waarschuwing doen uitgaan.

Het virus, dat verschillende namen heeft meegekregen, maakt gebruik van een lek in het besturingsprogramma Windows 2000 van Microsoft. Computers met Windows XP kunnen echter ook worden getroffen als niet de laatste software is geïnstalleerd, stelt van Oers.

De bedoeling van het virus is om virtuele netwerken van besmette computers op te zetten. Zo gauw het bestandje zich op een computer heeft geïnstalleerd, gaat het op zoek naar tientallen andere computers om verbinding mee te maken. Computergebruikers merken dit aan een tragere internetverbinding. Uiteindelijk willen de netwerken gegevens van computers ontfutselen en reclameuitingen op grote schaal verspreiden.

Van Oers verwacht vooralsnog niet dat het computervirus veel materiële schade oplevert. Hij roept computergebruikers op om de laatste software-updates van Microsoft te installeren, de firewall aan te zetten en antivirussoftware te vernieuwen.

Beveiliging tapgegevens bezorgt providers hoofdbrekens

Providers moeten sinds 1 juni voldoen aan het Besluit beveiliging gegevens aftappen telecommunicatie. Maar hoe?


Bij een kleine honderd Nederlandse internetaanbieders plofte deze week een brief van het Agentschap Telecom op de mat. Onder providers is het agentschap vooral bekend omdat het erop toeziet dat de netwerken van de aanbieders aftapbaar zijn. In de brief schrijft het Agentschap Telecom dat de instantie binnenkort ook gaat controleren of de providers wel zorgen dat de informatie van en over een tap goed is beveiligd.

Niet iedere werknemer van een internetaanbieder mag immers te weten komen dat Justitie net een verzoek heeft ingediend om een bepaalde klant af te tappen – laat staan dat iedereen te weten mag komen welke gebruiker er wordt afgetapt.

In het Besluit beveiliging gegevens aftappen telecommunicatie (BBGAT voor ingewijden) is vastgelegd aan welke eisen de providers moeten voldoen bij het beveiligen van dergelijke informatie. Zo moet de ruimte waar de tap plaatsvindt, 'deugdelijk fysiek beveiligd' zijn. Werknemers van de provider mogen alleen naar binnen als ze toestemming hebben. Bovendien moet achteraf duidelijk zijn welke personen de ruimte hebben betreden.

Volgens het Agentschap Telecom waren de aangeschreven providers al op de hoogte van het BBGAT. "De betreffende providers hebben we allemaal al eens bezocht. Tijdens die bezoeken hebben we al aangekondigd dat dit besluit er aan zat te komen. Via deze brief herinneren we hen daaraan", aldus Arjan Ribberink van het Agentschap Telecom.
Goed gedrag

Erik Bais van IS Interned Services voorziet echter grote problemen bij de uitvoering van het BBGAT. Zo moet personeel dat rechtstreeks te maken krijgt met tapverzoeken en het verstrekken van informatie, een geheimhoudingsverklaring ondertekenen en een verklaring van goed gedrag kunnen overleggen.

"Er zijn mensen die hier al zeven jaar werken, maar die nooit een verklaring van goed gedrag hebben hoeven in te leveren. Moeten we die dan nu ontslaan als ze dat niet doen? Het zijn wel de experts achter de schermen die het werk doen", aldus Bais.

"Ook de fysieke beveiliging en de geheimhouding worden een uitdaging", meent Bais. "Op het moment dat je voor het aftappen van een klant een doos in je datacenter installeert, dan zal het personeel dat daar binnenloopt dat zien."

Ribberink bestrijdt dat providers straks personeelsleden moeten ontslaan vanwege het BBGAT. "De mensen die niet door de screening heenkomen, mogen alleen niet betrokken zijn bij de tapgegevens. Verder kunnen ze natuurlijk gewoon bij de internetaanbieder blijven werken." Ribberink kan niet zeggen hoeveel mensen er bij een gemiddelde provider betrokken zijn bij de uitvoering van een taplast.
Adblock

Bais denkt dat vooral kleine providers in een lastig parket terecht kunnen komen. "Stel dat je een provider hebt waar twee mensen werken. Daarvan is er één ooit gepakt omdat hij dronken achter het stuur zat. Zo'n provider kan dan niet voldoen aan een taplast."
Cryptisch

Het Agentschap Telecom heeft een checklist (pdf) opgesteld waaraan providers moeten voldoen. "Het is vervolgens aan de provider hoe hij het beveiligingsplan vaststelt", zegt Ribberink.

Volgens Bais is er niet goed nagedacht over de praktische invulling. "Wat ze eigenlijk zeggen is: zoek het zelf maar uit. In de brief van het agentschap staat ook weinig over de zaken waarop ze gaan controleren. Het blijft allemaal vrij cryptisch."

"Het zou de overheid sieren als ze voorbeelden van een beveiligingsplan online zetten, zodat niet iedere provider het wiel opnieuw hoeft uit te vinden. Als het Agentschap Telecom de checklist aanvult met voorbeelden, zou dat al een stuk helpen."
Bewaarplicht

Veel problemen hadden volgens Bais voorkomen kunnen worden als de overheid van tevoren had overlegd met de internetaanbieders.

Als er een bewaarplicht komt voor internetaanbieders worden de problemen volgens Bais nog veel groter. "Het aftappen van abonnees vindt incidenteel plaats, maar bij de bewaarplicht moet je bijvoorbeeld voortdurend bijhouden wie er in een bepaalde ruimte is geweest."

Pc 1600 keer per dag doelwit krakers

EINDHOVEN/AMSTERDAM - Een willekeurige internetcomputer krijgt dagelijks zeker zestienhonderd keer te maken met een inbraakpoging. Gemiddeld komt dat neer op meer dan één per minuut, blijkt uit een test van de Nederlandse computerbeveiliger Madison Ghurka.

Het Eindhovense bedrijf liet in opdracht van technologietijdschrift De Ingenieur 48 dagen lang een lokcomputer (honeypot) draaien en registreerde 77.238 aanvallen. Daarvoor werden 13.607 IP-adressen gebruikt, waarvan 786 uit Nederland.

Oprichter en testleider H. van de Looy van Madison Ghurka toonde zich donderdag niet verrast door de hoge aantallen. "De verwachting was niet veel anders en de cijfers lijken redelijk constant."

Computercriminelen voeren dit soort geautomatiseerde aanvallen over het algemeen uit om controle te krijgen over zoveel mogelijk systemen (zombies). Computers zijn op die manier zowel bron als doelwit.

Kwaadwillenden misbruiken die macht om spam te versturen of aanvallen uit te voeren. Zombienetwerken lijken op dit moment de grootste bedreiging van de internetveiligheid, schreef het ministerie van Economische Zaken recent nog in een analyse over de toekomst van elektronische communicatie.

Afluistertechniek voor Skype ontwikkeld

Wie belt met wie?

Amerikaanse onderzoekers werken aan een nieuwe techniek om telefoongesprekken via het internet in de gaten te houden. De afluitertechniek is al met succes getest op Skype.

Onderzoekers van de George Mason Universiteit heben van de Amerikaanse regering een kwart miljoen euro subsidie ontvangen om de techniek verder te verfijnen. De voice-over-ip (voip) tracking software zal ingezet worden in de strijd tegen criminaliteit en terrorisme.

De techniek is specifiek bedoeld voor peer-to-peer voip-gesprekken die verlopen via een anonimyzing dienst, ook wel eens proxyservice genoemd. Momenteel kunnen twee Skype-gebruikers verhullen dat ze met elkaar praten door gebruik te maken van zo'n dienst.

De conversatie verloopt dan via speciale servers die de identiteit van de internetgebruikers onzichtbaar maakt. Dergelijke diensten worden ondermeer aangeboden door Anonymizer.com en FindNot.com.

Bij voip via peer-to-peernetwerken worden telefoongesprekken, net als ander dataverkeer over internet, in kleine pakketjes verstuurd. Op de computer van de gebelde worden die pakketjes weer in de juiste volgorde gezet.

Verloopt een gesprek via een anoniem netwerk, dan kan de politie weliswaar constateren dat twee verdachten hiervan gebruik maken, maar is het haast onmogelijk te bewijzen dat de verdachten met elkáár praten. Terroristen en criminelen die op die manier een gesprek voeren, kunnen hierdoor niet met elkaar in verband gebracht worden.

De technologie van de George Mason Universiteit geeft aan elk Skype-pakketje een uniek, niet te ontdekken watermerk mee. Op die manier wordt het mogelijk om de bestemming van een pakketje te weten te komen en twee verdachten met elkaar te linken, ook al verloopt het gesprek via een anoniem netwerk.

De techniek staat voorlopig nog in de kinderschoenen. Gesprekken moeten minstens 90 seconden duren en kan enkel de identiteit van de deelnemers aan een gesprek achterhalen. De onderzoekers benadrukken dat de inhoud van de gesprekken ongemoeid wordt gelaten. Met andere woorden: er wordt bekeken wie iets zegt, niet wát men zegt.

Anti-afluistermobieltjes steeds populairder

Den Haag, 9.18 uur - Steeds meer bedrijven en particulieren willen gebruik maken van anti-afluistermobieltjes. De toestellen zijn vooral in trek om spionage te voorkomen, bericht het Algemeen Dagblad vandaag.

Recherchebureaus, distributeurs en fabrikanten stellen in de krant dat sinds de zogenaamde Cryptophone, een mobieltje dat niet afgeluisterd kan worden, in 2003 op de Nederlandse markt kwam, de vraag alleen maar is toegenomen. Oliemaatschappijen, advocatenkantoren, accountants, handelsbedrijven, maar ook vishandelaren zijn voorbeelden van ondernemingen die interesse hebben getoond in het toestel. Greenpeace is één van de weinige organisaties die niet geheim houdt dat ze gebruik maakt van de anti-afluistertoestellen.

De Cryptophone bestaat uit ten minste twee mobiele telefoons, die alleen met elkáár kunnen communiceren. Het gesprek wordt versleuteld door software. Slechts op de 'eindpunten' is de spraak verstaanbaar.

Bij de introductie van het toestel in 2003 discussieerde de politiek over het al dan niet verbieden van het toestel. Minister Donner van Justitie besloot het gebruik toe te staan. Soortgelijke toestellen als de Cryptophone bestonden al langer, maar waren niet te krijgen voor particulieren en bedrijven. Vooral overheidsdiensten maakten al lange tijd gebruik van beveiligde telefoons. (Ester Schop)

Hacker steelt gegevens tienduizenden studenten

Den Haag, 8.38 uur - Een hacker heeft ingebroken in het computersysteem van de Sonoma State University in de Amerikaanse staat Californië. Hij heeft vertrouwelijke gegevens over zeker 61.000 studenten gestolen, zo maakte de universiteit gisteren bekend.

Onduidelijk is welke gegevens de hacker precies heeft gedownload. Op de server van de universiteit staan onder meer de namen en sofi-nummers van alle huidige en voormalige studenten opgeslagen. Die kunnen van nut zijn voor criminelen die fraude willen plegen door misbruik van andermans identiteit. (anp)

Microsoft wil hackers vaker ontmoeten

Microsoft onderzoekt of het de twee keer per jaar op zijn thuisbasis in Redmond een bijeenkomst voor hackers kan organiseren.


In maart werd de tweedaagse bijeenkomst Blue Hat al gehouden. De softwaremaker bekijkt nu of er in de herfst weer zo'n evenement kan plaatsvinden. Een specifieke datum is nog niet vastgesteld, aldus Stephen Toulouse, program manager bij Microsoft.

De Blue Hat is een verwijzing naar Black Hat, een hackersbijeenkomst die vorige week nog in Las Vegas werd gehouden. De kleur blauw in de naam Blue Hat verwijst naar de blauwe naambadges die Microsoft-werknemers tijdens het evenement dragen. Tijdens Blue Hat demonstreren hackers hoe bepaalde zwakheden in Microsoft-programma's zijn te misbruiken.