Cyber-ketju: verkkovakoilu,kännyköiden ja wlanien seuranta, hakkerointi, virukset, DoS etc

[ctg]

Pitäisi ottaa suomessakin käyttöön. Varsinkin viranomaispuolella.

"Someone who fails every single phishing campaign in the world should not be holding a TS SCI [top secret, sensitive compartmentalized information—the highest level of security clearance] with the federal government," stated Beckman. "You have clearly demonstrated that you are not responsible enough to responsibly handle that information."

Beckman runs his own phishing tests, and those who fall for the fake phishing emails (by clicking on the enclosed link and entering usernames and passwords) are required to take Internet security training classes. And while the test e-mails he uses are clearly coming from outside of DHS and "to any security practitioner, they're blatant," Beckman said that there are some employees, including senior officials, who continually fall for them. Beckman suggested this is because "there are no repercussions to bad behavior... there’s no punitive damage, so to speak."

http://arstechnica.com/security/201...d-pull-clearance-of-feds-who-fail-phish-test/

 

[Tetra]

http://www.wsj.com/articles/cyber-sleuths-track-hacker-to-chinas-military-1443042030?mod=e2fb

Cyber Sleuths Track Hacker to China’s Military
The story of a Chinese military staffer’s alleged involvement in hacking provides a detailed look into Beijing’s sprawling state-controlled cyberespionage machinery

 

[krd]

Valkoisen talon (OPM) tietomurto koskettikin laajempaa ryhmää:
"Valkoisen talon henkilöstöhallinnan virasto OPM kertoi lisää ikäviä uutisia valtavasta tietomurrostaan.
Office of Personnel Managementin (OPM) kokemaa tietomurtoa on luonnehdittu historiallisen pahaksi jo ennen kuin uusimmat tiedot julkaistiin. Murto koskettaa 21,5 miljoonaa ihmistä ja voi vahingoittaa Yhdysvaltain tiedustelua ulkomailla. Myös sormenjälkitietoja varastettiin. Nyt OPM kertoi, että aiemmin arvioidun 1,1 miljoonan hengen sijaan sormenjäljet vietiinjopa 5,6 miljoonalta hengeltä. Tietomurron koko uhriluku pysyy kuitenkin 21,5 miljoonassa.
OPM kertoi hiljattain, että kenellekään uhreista ei ole vielä tiedotettu tapahtuneesta. Ilmoitusten lähettämisen piti alkaa syyskuun aikana, mutta vielä niin ei ole tapahtunut.
Yhdysvallat on syyttänyt Kiinaa julkisesti OPM-murrosta.
– Pitää tavallaan kunnioittaa kiinalaisia siitä, mitä he tekivät, tiedustelujohtaja James Clapper sanoi kesäkuussa.
Kohde myös poikkeaa siitä kaupallisesta vakoilusta, jota Kiina Yhdysvaltojen mielestä harjoittaa. NSA:n ja CIA:n entinen johtaja Michael Hayden sanoi kesäkuussa, että OPM-virasto oli "oikeutettu ulkomaisen tiedustelun kohde".
Valkoisen talon mukaan OPM-viraston ilmoitus ei liity Kiinan presidentin valtiovierailuun Yhdysvalloissa tällä viikolla."
http://www.digitoday.fi/tietoturva/...6-miljoonan-sormenjaljet-vietiin/201512414/66
Nytkö viraston henkilöstö voidaankin sitten tunnistaa Kiinassa ihan sormenjäljistä?

 

[ctg]

THERE WAS A SIMPLE AIM at the heart of the top-secret program: Record the website browsing habits of “every visible user on the Internet.”


Before long, billions of digital records about ordinary people’s online activities were being stored every day. Among them were details cataloging visits to porn, social media and news websites, search engines, chat forums, and blogs.

The mass surveillance operation — code-named KARMA POLICE — was launched by British spies about seven years ago without any public debate or scrutiny. It was just one part of a giant global Internet spying apparatus built by the United Kingdom’s electronic eavesdropping agency, Government Communications Headquarters, or GCHQ.

The revelations about the scope of the British agency’s surveillance are contained in documents obtained by The Intercept from National Security Agency whistleblower Edward Snowden. Previous reports based on the leaked files have exposed how GCHQ taps into Internet cables to monitor communications on a vast scale, but many details about what happens to the data after it has been vacuumed up have remained unclear.

https://theintercept.com/2015/09/25/gchq-radio-porn-spies-track-web-users-online-identities/

 

[Tetra]

MAANPUOLUSTUSKORKEAKOULU
TAKTIIKAN LAITOS
JULKAISUSARJA 2:

KYBERTAISTELU 2020 TUIJA KUUSISTO (TOIM.)

https://www.doria.fi/bitstream/handle/10024/103034/Kybertaistelu2020(net).pdf?sequence=2

 

[Fremen]

En tieda kuuluuko tahan ketjuun mutta Hommaforum on ollut tanaan koko paivan nurin ja MVlehti raportoi joutuneensa 3 kertaa laajan DDoS-hyokkayksen kohteeksi, ja on ollut nurin 3*45min paivan mittaan. Liittynee jotenkin eiliseen...? Tassa on sitten vasemmisto-suvaitsevaisten kannanotto sananvapauteen nyky-Suomessa.

 

[ctg]

En tieda kuuluuko tahan ketjuun mutta Hommaforum on ollut tanaan koko paivan nurin ja MVlehti raportoi joutuneensa 3 kertaa laajan DDoS-hyokkayksen kohteeksi, ja on ollut nurin 3*45min paivan mittaan.

Tutkisin sisältäpäin, ja samalla tutkisin että mistä dDoS on tullut peräisin, sillä voi olla että joku maahanmuuttaja on ollut yhteydessä syyrian hakkeripiireihin. Hommafoorumin kaatuminen vaikuttaa kotimaiselta tapaukselta, ja MVlehti mamujen "tilatulta" kostolta. Kolme kertaa nelkytviisiminuuttia on tarkoituksella tehty. Ei muuta kuin rikosilmoitusta eteenpäin.

 

[ctg]

An accomplished Iran-based attack group known as "Cleaver" has created a network of at least 25 well-developed LinkedIn profiles to assist a social engineering campaign hitting targets across the Middle East.

The group is alleged to have formed in the wake of the Stuxnet attacks against Tehran's Natanz Uranium enrichment plant.

A report by security outfit Cylance found Cleaver obtained a "shocking amount" of access within the "deepest" sections of victim networks at big ticket defence, telco, and utility sectors.

In one case it gained access to security gates at airports in what was said to have potentially allowed attackers to traffic passengers.

White hat researchers tie the group to Iran based on the local IT infrastructure it uses in its attacks.

The latest findings reveal Cleaver has developed a LinkedIn social engineering network which consists of six so-called leader profiles that sport more than 500 profile connections.

Dell's CounterThreat Unit says the fake profiles claim individuals are employees at companies including defence contractor Northrop Grumman, US tech firm TeleDyne, Malaysia's RHB Bank, and South Korean holding firm Doosan.

There is no suggestion of involvement in the scheme by any named individual or organisation.

Support profiles have been established that serve as connection fodder for leaders.

http://www.theregister.co.uk/2015/10/08/iran_fake_linkedin_network/

 

[ctg]

Researchers from Trend Micro report a new attack on fully-patched versions of Adobe Flash. The attacks originate from an espionage campaign run by the group known as Pawn Storm, and seem to target only government agencies. "Ministries of Foreign Affairs have become a particular focus of interest for Pawn Storm recently. Aside from malware attacks, fake Outlook Web Access (OWA) servers were also set up for various ministries. These are used for simple, but extremely effective, credential phishing attacks. One Ministry of Foreign Affairs got its DNS settings for incoming mail compromised. This means that Pawn Storm has been intercepting incoming e-mail to this organization for an extended period of time in 2015."

http://arstechnica.com/security/2015/10/new-zero-day-exploit-hits-fully-patched-adobe-flash/

 

[ctg]

An internet mischief maker has built a USB stick that delivers dangerous 220-volt shocks to PCs, destroying them in the process.

The USB Killer is the second iteration of a laptop-wrecking device crafted by a Linux and infosec techie nicknamed Dark Purple. The first version of the PC-zapping hardware emerged in March, and pumped 110 volts of anarchic fun across motherboards.

"The device performs only one function: the destruction of computers," the Purple one wrote in a Russian-language blog post this month.

"But let's not limit it to computers. The device is able to incapacitate almost any equipment with a USB host interface. The main feature of the new version of the device is the doubled output voltage, which is 220 volts (strictly speaking, minus 220)."

The USB zapper looks like any conventional USB stick.

The Russian tinkerer says it uses a voltage converter that charges capacitors to 220V when plugged into a machine, drawing the power needed to do this from its victim. The stored energy is sent back through the USB interface, and the process is repeated until the computer drops dead.

It's a more sophisticated Etherkiller, but for USB.

The booby-trapped USB could fry smartphones that support USB OTG mode, plus TVs, routers, and other equipment, Purple says. If the circuitry is not designed to take a large amount of juice, it will fail. Typically, USB interfaces deal with five volts and up to 500mA for USB 2.0 and 900mA for USB 3.0 in current.

http://www.theregister.co.uk/2015/10/14/sneaky_220v_usb_fries_laptops/

Pitäisiköhän itärintamalle oleville sotilaille pistää mieleen että "löytynyt" USB tikku ei välttämättä sisällä mitään muuta kuin pahuuksia. Toisaalta, näitä sopisi ruveta viljelemään naapurin kaduille koska jengi ihan tosissaan työntää löytyneitä tikkuja koneisiinsa ties mikä mielessä.

 

[ctg]

 

[ctg]

The US Army has gaping holes in its information security infrastructure and operates an environment of vulnerability reporting fear, according to current and former members of the department's cyber wing.

Captain Michael Weigand and Captain Rock Stevens make the comments in an academic piece on the Cyber Defense Review, a joint project between the Army Cyber Institute and the US Marine Corps Forces Cyberspace Command.

In it they say most of the Army's systems are underpinned by information technology but are exposed by an absence of centralised patch management and full bug remediation oversight, along with a "ban" on penetration testing.

They call for various changes including the introduction of bug bounties.

Vulture South understands similar informal calls for a bug bounty have been made within information security types in Australia's Department of Defence.

The US Army men say internal staff who find vulnerabilities have no incentive to report bugs they find and face no repercussions for keeping silent, which amounts to a "do nothing" culture.

Moreover Defence vulnerability researchers work in an atmosphere "fraught with danger and much trepidation" where disclosure is weighed against risk of "reprisal".

Those risks could include revocation of security clearances, loss of access to IT systems, and "punitive action" under the Uniform Code of Military Justice which they describe as "viable outcomes" for those who "casually stumble" on bugs.

"The most unfortunate outcome is that service members who become aware of vulnerabilities feel helpless to positively affect the situation. Meanwhile, those who wish to do harm to our nation are free from such worries," the duo say. Here's some of their findings:

Additionally, no US Government program exists that permits active security assessments of networks or software solutions using custom tools or techniques. Most importantly, the Army does not have a single entity that tracks discovered issues from initial report through the remediation process to ensure vulnerability resolution in a timely manner.

Most of the Army’s critical systems are underpinned by networked software — from tanks and missile launchers to battle command and communication systems. The Army does not have one central location for responsibly disclosing software vulnerabilities across all of its systems. Without a means to report vulnerabilities in Army software or networks, vulnerabilities go unreported and leave our information systems exposed to adversarial attacks.

They propose platforms to enable service people to report bugs free of risk of retribution, and say penetration tests should be promoted as vulnerability scans are inadequate.

If a bug bounty is too hard, external programs should be sought such as the Zero Day Initiative or Bug Crowd.

Patches should be applied according to strict guidelines and timeframes, with verification made after to ensure systems are protected

Some parts of their proposed Army Vulnerability Response Program could be implemented immediately, while many others would require policy, oversight, and infrastructure changes

http://www.theregister.co.uk/2015/10/27/army_bug_bounties/

 

[ctg]

Powerful malware with speculative National Security Agency (NSA) links has infected the private laptop of Germany's secretary of state in the Federal Chancellery, according to reports by national news digger Der Spiegel.

The Regin-derived malware in question is thought to be a plugin dubbed Qwerty, used in the NSA's WarriorPride framework.

That connection is based on Snowden documents and deep technical analysis that also shows Regin bears links to the infamous Stuxnet malware and spin-offs Flame and Duqu, as well as the long-running and truly advanced Equation hacking group which has operated for some 15 years and infected hundreds of targets.

The current Chancellery chief is Peter Altmaier, who has held office since 2013. The Chancellery is charged with assisting the German Chancellor, presently Mrs Angela Merkel.

Der Spiegel does not specify who was in the seat when the attacks occurred but says the compromise was discovered in 2014.

Germany's federal prosecutor's office is investigating the attacks but has not provided a timeline for the probe.

News of the alleged infection comes after the country's former Attorney General Harald Range dropped a probe into the alleged tapping of Chancellor Merkel's mobile phone revealed in October 2013.

Merkel was also thought to be the first of multiple German Government officials to be compromised by Russian-based actors who used her computer to spread a trojan thought to have ultimately infected some 20,000 systems.

http://www.theregister.co.uk/2015/10/27/malware_menaces_merkels_minion_says_spiegel/

 

[ctg]

VORACIOUS DATA CONSUMER the US National Security Agency (NSA) is concerned that some national states, but not the United ones, are taking hacking and surveillance too far and are close to crossing a line.

The NSA invited the BBC into its offices and presented its deputy director for questioning. Richard Ledgett had a lot to say, and told the Beeb that attacks are getting worse and that this is a bad thing.

Ledgett is concerned about state-sponsored shenanigans, which is ironic since the rest of the world is concerned about US-sponsored swoop-and-store-data grabs. Anyway, he reckons that anything that connects to the internet is in the threat sphere.

"If you are connected to the internet, you are vulnerable to determined nation-state attackers," he said.

We kind of knew that thanks to a chap called Edward Snowden. Funnily enough, he was on Ledgett's mind too and he said that countries had reacted to the leaks from the whistleblower by changing their tactics. This has long been a concern of the US and its agencies.

"We've seen in the high hundreds of targets who have said: 'Hey, we are vulnerable to these sorts of detection techniques and we need to change the way that we do that,' and a number of them have," he added, along with a warning that hacking is easy these days.

"The barrier to entry is going down, and as everybody in the world becomes more connected with computers and information systems the vulnerabilities are going up."

We cannot argue with that. All kinds of outfits and individuals have been attacked or e-assaulted recently, and we have seen fingers pointed at Russia - not to mention China - about direct attacks on the US political system.

We should add that the NSA has not assumed that China is back to its old tricks after a public coming to terms with each other. He did not rule out the possibility of a new Chinese takeaway, though.

"The jury is still out," he said. "In any big organisation when guidance is sent down sometimes it takes a while to get to the working level."

http://www.theinquirer.net/inquirer...ncy-is-concerned-about-state-sponsored-spying

 

[Tetra]

"US National Security Agency (NSA) is concerned that some national states, but not the United ones, are taking hacking and surveillance too far and are close to crossing a line."

Tässä kohtaa tuli mieleen, että onko tämä The Onionista.

 

[ctg]

Tässä kohtaa tuli mieleen, että onko tämä The Onionista.

Ei ole. Jokainen on tietoinen "nakkisuojista" ja "elä ajattele" kulttuurista palvelus aikanaan. Sitä samaa voi havaita niin yksityisissä firmoissa kuin julkisissa laitoksissa, joten ei minulle on ole mikään yllätys, että "Do Nothing" kulttuuri voi hyvin jenkkilän armeijassa. Toisaalta tuo "Do Nothing" voi olla myös NSAn käskystä järjestetty, notta ei vaikeuteta omia asioita liiaksi. Mutta huomaa toki, että tuo samainen kulttuuri sotii hakkereita vastaan, koska heidän syvin olemus on pyrkiä parantamaan asioita kuin aiheuttaa harmia.

 

[ctg]

Ongelma tämän kohdalla on, että se myös sopii Elektroniseen Sodankäyntiin vaikka suurin harmi tulee tästä internetin käyttäjälle.

So, the Russians are at it again, snooping around the undersea communications cables that connect the continents. These fiber optic cables carry 99 percent of all transoceanic digital communication—phone calls, emails, web pages, you name it. They’re the reason you can Skype your colleague in Sydney or text with your friend in Mumbai. They’re essential infrastructure for the global economy. It’s no wonder, as The New York Times reported this week, that US military officials are not at all comfortable with Russian subs and spy ships “aggressively operating” in their vicinity.

http://www.wired.com/2015/10/undersea-cable-maps/

 

[krd]

Cyber-joukot piiloon:
"Suomen ensimmäiset kybervarusmiehet ovat aloittaneet palveluksensa suunniteltua aikaisemmin. Alun perin koulutus piti käynnistää vuodenvaihteen jälkeen, mutta sitä aikaistettiin pääesikunnan päätöksellä.
– Halusimme aloittaa jo nyt syksyllä, koska saavutimme tarvittavan valmiuden ja vaatimukset täyttäneitä hakijoita oli tarpeeksi, koulutuspäällikkö, eversti Hannu Hyppönen pääesikunnasta toteaa.
Erityistehtävään valitut varusmiehet palvelevat Puolustusvoimien Johtamisjärjestelmäkeskuksessa (PVJJK) Jyväskylässä. Hyppösen mukaan puolustusvoimat etenee varusmiesten kyberkoulutuksessa ”nopeasti ja mahdollisuuksia hyödyntäen”.
Vaikuttiko vallitseva turvallisuustilanne kyberkoulutuksen aikaistamiseen?
– Kyberkykyjä kehitetään vastaamaan nimenomaan turvallisuustilanteeseen, Hyppönen vastaa.
Koulutettavia on alkuun kymmenkunta, ja joukkoa laajennetaan erityistehtävähaun avulla tarpeen mukaan. Kyberkoulutusta saatetaan laajentaa myöhemmin muuallekin Suomeen, joskin alkuvaiheessa koulutuksesta vastaa PVJJK.
– Jatkossa kyberkoulutukseen valitaan vuosittain kymmenen tai kymmeniä varusmiehiä, Hyppönen kertoo.

Pilottikohde Jyväskylässä
Jyväskylässä kybervarusmiesten palveluspaikkana toimii PVJJK:n kyberosasto, joka vastaa puolustusvoimien verkkojen ja järjestelmien suojaamisesta kyberuhkia vastaan.
Puolustusvoimat ei kerro kybervarusmiesten tarkkaa määrää, koska ”henkilöstön määrä ja sen osaaminen ovat keskeinen osa kybersuorituskykyä”. Erityistehtävissä palvelevat eivät myöskään saa esiintyä mediassa tunnistettuna.
Kybervarusmiehet valittiin viime kesänä hakemusten perusteella. Varusmiehet aloittivat erityistehtävässä peruskoulutuskauden jälkeen.
– Kaikki pilottikoulutukseen valitut kuuluvat miehistöön ja he palvelevat 8,5 kuukautta, kertoo PVJJK:n kyberosaston päällikkö, insinöörimajuri Anssi Kärkkäinen.
Kybervarusmiesten tehtäviin kuuluu muun muassa tietoturvatestausta, ohjelmointia, kyberharjoitusympäristön kehitys- ja ylläpitotehtäviä, tiedonkeruuta ajankohtaisista kyberasioista sekä alan koulutusmateriaalin tuottamista.
Varusmiehet pääsevät myös ”hakkeroimaan” puolustusvoimien järjestelmiä vastaan.
– Käytännössä he testaavat suojausmekanismejamme tunkeutumalla järjestelmiimme. Jotta osaa puolustautua, pitää tietää, miten hyökätään, Kärkkäinen valottaa.

Varusmiehillä insinööritaustaa
Pätevimmät varusmiehet kyberpalveluksen pilottiryhmään seulottiin haastattelujen ja pääsykokeen avulla. Kybervarusmiehillä on insinööritaustaa.
– Koulutuksen lisäksi arvostamme alan harrastuneisuutta sekä osaamista. Eduksi luemme myös laajan ymmärryksen tietoturvatekniikoista sekä osaamisen päätelaitteiden ja palvelinten teknisistä ratkaisuista.
Kärkkäisen mukaan kyberpalvelukseen tarvitaan ja valitaan myös varusmiehiä, jotka käyvät ensin joko aliupseeri- tai reserviupseerikoulun.
Kybererityistehtävään hakeneista noin kolmasosa todettiin soveltuvaksi kybertehtäviin. Hakijoista teetettiin turvallisuusselvitys.
– Tarkoitus on, että haemme uusia kybervarusmiehiä joka saapumiserässä eli kaksi kertaa vuodessa. Heidät sijoitetaan poikkeusolojen kyberpuolustustehtäviin.
Kybervarusmiehet majoittuvat Ilmasotakoulussa ja käyvät päivittäin ”töissä” PVJJK:n kyberosastolla.
Puolustusvoimat on kiinnostunut rekrytoimaan kybervarusmiehiä töihin palveluksen jälkeen.
– Myös alan yrityksissä voi aueta työpaikkoja helpommin varusmiehille, jotka ovat suorittaneet meillä kyberturvallisuuteen liittyviä tehtäviä."
http://www.ksml.fi/uutiset/kotimaa/...2161115?pwbi=0b42f61d6621c125477766b7eb3fe45c

 

[ctg]

Toivottavasti insinörtti pohja ei ole rajoite sillä kyvyt omaavat eivät välttämättä halua mennä koulun penkille puurnaamaan helvetin pitkäksi aikaa.

 

[BlackFox]

Helsingin t2 infosec -tapahtumassa esiteltiin perjantaina menetelmä hyökätä nopeita lte-verkkoja vastaan.

Tutkimuspaperiin osallistui Aalto-yliopisto yhdessä Helsingin yliopiston, Berliinin teknillisen yliopiston ja Telekom Innovation Laboratoriesin kanssa. Tutkijoiden mukaan kyseessä on ensimmäinen julkisesti esitelty käytännöllinen hyökkäys lte-verkkojen yhteyskäytäntöjä vastaan.

Kyseessä on niin sanottu Stingray-laite, jollaiset ovat olleet pitkään valtiollisten virastojen käytössä mobiilin tietoliikenteen häiritsemiseksi ja ihmisten seuraamiseksi puhelinten kautta,Motherboard taustoittaa. Laitteet teeskentelevät olevansa tukiasema ja nappaavat puhelinten tunnistekoodeja, seuraavat puhelinten sijaintia ja jopa kaappaavat puheluja ja tekstiviestejä.

Motherboardin mukaan tutkijoiden Stingray toimii samaan tapaan, mutta nojaa puhelimeen asennettuihin sovelluksiin. Esimerkiksi Facebookin tapauksessa on mahdollista lähettää uhrin Facebook-tilille viestejä ilman, että siitä tuli tälle ilmoitusta. Laite pystyy myös sulkemaan puhelimen kokonaan ulos verkosta.

Stingrayt ovat toimineet esimerkiksi 3G- ja 2G-verkoissa, mutta lte kasvaa kovaa vauhtia, eivätkä seurantaa harjoittavat valtiolliset tahot varmasti tahdo jäädä kehityksestä jälkeen.

Kenties huolestuttavinta on, miten halvalla ja yksinkertaisella teknologialla tutkijat oman Stingraynsa rakensivat. Se koostuu vaatimattomasta kannettavasta, jossa ajetaan Ubuntua, noin tuhannen euron radiolaitteesta ja joistakin avoimen koodin ohjelmistoista.

Lte-verkkojen tietoturva huolestuttaa laajemminkin sen jälkeen, kun Yhdysvaltain tietoturvaviranomainenvaroitti haavoittuvuuksista lte-verkkojen eri toteutuksissa. Viranomaisen mukaan ne mahdollistavat aiemmin mahdottomat hyökkäykset, ja etenkin Android-puhelinten uskotaan olevan uhattuina.