Mest omfattende datainnbrudd i Norge noensinne

[Cuneax]

Tidenes største cracker-angrep mot norsk industri.

 

Mest omfattende datainnbrudd i Norge noensinne

[007CD]

Den nye hacking tendensen og sikkerhetsbrudd typen som foregår nå er den vi så imot RSA.

RSA driver med sikker innlogging ala disse små tingene som gir oss koder for innlogging i nettbank osv, men det som var spesielt var at RSA var IKKE hovedmålet.

 

Hackerne brøt seg inn i 2 servere som de deretter koblet sammen for å fungere som proxyer for å så bryte seg inn hos RSA og blant annet stikke av med kildekoden bak deres dongler, alt man trenger for å knekke disse kort og greit.

Når innbruddet var over, så krasjet de og overskrev all data på de 2 serverene de hadde brukt som proxyer.

Deretter begynte de å jobbe imot sitt virkelige mål som var Lockheed Martin som brukte dongler fra RSA.

Denne typen hopping er en ny trend for hacking, i tillegg til "Spearphising" hvor de bruker informasjon om offeret for å se troverdig ut, her har man sett blant annet eposter som under sproing ble sporet tilbake til en troverdig epost server (Selskapets egen support epost tjeneste.) som hadde blitt knekket tidligere.

[theck1]

Den nye hacking tendensen og sikkerhetsbrudd typen som foregår nå er den vi så imot RSA.

RSA driver med sikker innlogging ala disse små tingene som gir oss koder for innlogging i nettbank osv, men det som var spesielt var at RSA var IKKE hovedmålet.

 

Hackerne brøt seg inn i 2 servere som de deretter koblet sammen for å fungere som proxyer for å så bryte seg inn hos RSA og blant annet stikke av med kildekoden bak deres dongler, alt man trenger for å knekke disse kort og greit.

Når innbruddet var over, så krasjet de og overskrev all data på de 2 serverene de hadde brukt som proxyer.

Deretter begynte de å jobbe imot sitt virkelige mål som var Lockheed Martin som brukte dongler fra RSA.

Denne typen hopping er en ny trend for hacking, i tillegg til "Spearphising" hvor de bruker informasjon om offeret for å se troverdig ut, her har man sett blant annet eposter som under sproing ble sporet tilbake til en troverdig epost server (Selskapets egen support epost tjeneste.) som hadde blitt knekket tidligere.

 

Nettopp slik type informasjon som burde vært i artikkelen istedenfor det overfladiske greiene...! Savner virkelig litt mer info og dyptgående beskrivelser på hw artiklene, veldig mye overfladiske greier med latterlige titler (dette må du kjøpe, denne skal du ha).

[Torpedo_Peter]

Angrepene ble utført mens de norske bedriftene holdt på med større kontraktforhandlinger, og involverte bruk av spesielle e-poster med virus. Disse infiserte e-postene ble sendt til utvalgte ansatte i selskapene

"Download these free smileys!"

[Nator]

007CD sitt innlegg var mer interessant enn noen artikler jeg har lest på HW.no de siste par ukene...

[jakols]

007CD sitt innlegg var mer interessant enn noen artikler jeg har lest på HW.no de siste par ukene...

 

Helt enig...

Hva Sjedde med de mer utdypende artiklene hær inne? Føler at hele HW har blitt mer og mer lik IT-avisen (no offence) men en form for "IT-Se og Hør"

[Gjest Slettet-Pqy3rC]

Vel, hw.no skal iallefall ha ros for bruken av tittuleringen "Cracker" istedenfor "Hacker" som pressen ofte finner mer salgbart i slike sammenhenger.

 

Det er forøvrig ganske lenge siden hw.no endret fokus fra innhold til omsetning. Journalister skal vel vokte seg for artikler som koster mer tid å lage enn hva antall klikk gir tilbake.

Endret 22. november 2011 av Slettet-Pqy3rC

[turbojomar]

Her har det vært ninjaer på ferde så da er det egentlig bare å gi opp. Tipper det er japanere, men det er alltids en mulig at det er en luskende ninja fra Kommandør treholts tropp.

[Kamikaze-Kanin]

Flott innledd 007CD!

 

Jeg må si, jeg ble faktisk glad over å se at endelig er det noen som faktisk bruker riktig definisjon i en artikkel!

 

Hacker + Media = Cracker

 

Virkelig for mange som fail'er på den der...

[soulless]

Denne typen hopping er en ny trend for hacking, i tillegg til "Spearphising" hvor de bruker informasjon om offeret for å se troverdig ut, her har man sett blant annet eposter som under sproing ble sporet tilbake til en troverdig epost server (Selskapets egen support epost tjeneste.) som hadde blitt knekket tidligere.

 

Har vært borte i noen av disse sakene som nevnes i artikkelen, og av hva jeg har sett så er ikke normen nødvendigvis like sofistikert som det du her beskriver (selv om det finnes grupper som virkelig gjør hjemmeleksen).

 

En vanligere approach er å gjøre litt research ifm. med et prosjekt om hvem som er med, deretter oppretter man f.eks en gmail konto hvor man navngir seg som en person innen prosjektet og har med en relativt enkel tekst i mailen (Please review the memo from our last meeting concerning project X) med en phishing lenke som man sprer så til hele prosjektgruppen, hvor det er en relativt stor sjans for at i alle fall en enkeltperson klikker på lenken og dermed infiseres.

 

Slike angrep er enkle og billige å utføre, har en veldig lav risiko og en potensielt høy avkastning.

 

Selve pakken med kode kan være en enkel exploit, eller det kan være noe man koker sammen i Zeus (som for øvrig noen har lekket kildekoden på, har drevet å knotet med dette i BackTrack en stund nå).

[007CD]

Har flere eksempler på det som jeg har nevnt ovenfor hvor de hopper og bryter seg inn hos en "Underleverandør" for å nå noe større på skalaen.

Enda en trend er skumlere, de bryter seg inn men skjuler innbruddet og ligger der og eskalerer sine rettigheter slik at de plutselig slår til med admin rettigheter, mens de brøt seg inn som en vanlig bruker for eksempel.

 

De har også satt mål som for eksempel administrasjonsverktøy som store nettsider bruker.

[asicman]

Tenk når hackere får lastet ned hele DLD registeret, da kan de hente ut informasjon om alle og sette i gang med utpressing og målrettetde angrep når man vet hvilken elektroniske tjenester alle bruker. DLD er Guds gave til hackerene. Myndighetene klarer nok å velge en inkompetent underleverandør til å drifte DLD registeret.

[Gjest Slettet-Pqy3rC]

DLD er bare et pålegg om informasjonslagring. Det er altså hver enkelt leverandør som blir pålagt å holde på egne data, ikke et sentralisert register med alle data.

 

Sjansen for at noe glipper vil jeg anta å være rimelig høy, kanskje høyere enn om registeret ble sentralisert.

Endret 22. november 2011 av Slettet-Pqy3rC

[asicman]

Ja, men når myndighetene skal overvåke eller etterforske så regner jeg med at de vil kopiere store datamengder lokalt siden de ofte ikke helt vet hva de leter etter.

 

Alternativt er det at de får passord og må lære seg hvordan de søker på systemene til de respektive ISP'er osv. Dette er vel hakket verre å la myndighene vase rundt med passord eller bakdør til alle landets ISP'er og kommunikasjonssentra.

Endret 22. november 2011 av asicman

[soulless]

Har flere eksempler på det som jeg har nevnt ovenfor hvor de hopper og bryter seg inn hos en "Underleverandør" for å nå noe større på skalaen.

Enda en trend er skumlere, de bryter seg inn men skjuler innbruddet og ligger der og eskalerer sine rettigheter slik at de plutselig slår til med admin rettigheter, mens de brøt seg inn som en vanlig bruker for eksempel.

 

De har også satt mål som for eksempel administrasjonsverktøy som store nettsider bruker.

 

Joda, kjenner til det, men det er nok ikke normen slik jeg har opplevd det.

 

En av de mer tidkrevende og utspekulerte forsøkene jeg har vært borte i var dog en sak hvor angriperen benyttet seg av en nattevakt (it support) for å innlede et vennskapelig forhold over telefonen (spurte om en drøss ms office spørsmål og andre enkle administrative saker), og deretter etter ca. en måneds tid med telefoner 2-3 ganger uken, ringte og ba veldig beskjedent om en liste over klienter som hun trengte og som var forretningskritisk (og som ikke hun ville leder skulle finne ut av at hun hadde slettet ved en feil).

 

Slikt noe er det vanskelig å beskytte seg mot, i motsetning til malware og annet snacks..