Cyber-ketju: verkkovakoilu,kännyköiden ja wlanien seuranta, hakkerointi, virukset, DoS etc

[kunnas]

Tietoturvayhtiöt löysivät uuden Irania vastaan tähdätyn viruksen

Tiistaina israelilainen tietoturvayhtiö Seculert ja venäläisyhtiö Kaspersky Lab ilmoittivat havainneensa Lähi-idässä uuden haittaohjelman, joka on ilmeisesti suunnattu etenkin Iraniin.

Virus on iskenyt muun muassa infrastruktuurista vastaaviin yrityksiin, finanssiyhtiöihin ja suurlähetystöihin. Valtaosa viruksen saastuttamista koneista sijaitsee juuri Iranissa. Seculertin ja Kasperskyn mukaan hyökkäys on alkanut vähintään kahdeksan kuukautta sitten, mutta ohjelman tekijästä ei ole tietoa.

Mahdi Trojan -nimellä kutsuttu virus voi kopioida koneilla olevia tiedostoja, valvoa sähköposti- ja pikaviestiliikennettä, tehdä ääninauhoituksia, kirjata näppäinpainalluksia ja ottaa ruutukaappauksia.

http://www.iltalehti.fi/ulkomaat/2012071715855821_ul.shtml

 

[ctg]

America’s cyberwar is already seeing collateral damage, and it’s hitting the country’s own billion-dollar companies. Oil giants Chevron say the Stuxnet computer virus made by the US to target Iran infected their systems as well.

California-based Chevron, a Fortune 500 company that’s among the biggest corporations in the world, admits this week that they discovered the Stuxnet worm on their systems back in 2010. Up until now, Chevron managed to make their finding a well-kept secret, and their disclosure published by the Wall Street Journal on Thursday marks the first time a US company has come clean about being infected by the virus intended for Iran’s nuclear enrichment program. http://fromthetrenchesworldreport.com/stuxnet-goes-out-of-control-chevron-infected-by-anti-iranian-virus-others-could-be-next/25486/

 

[ctg]

Two US power stations were infected by malware in the last quarter of 2012, according to a report by the US Department of Homeland Security's Industrial Control Systems Cyber Emergency Response Team (ICS-CERT).

USB flash drives packed with software nasties were blamed for a compromise of industrial control systems in both cases. Neither infected power plant was named.

http://www.theregister.co.uk/2013/01/16/us_power_plant_malware/

 

[OldSkool]

Näyttääpä tuo Rocra / Red October / Punainen Lokakuu -vakoiluohjelma olevan hyvin samanlainen ominaisuuskirjoltaan kuin Flame. Melko varmasti kuitenkin kirjoitettu eri maassa. IS Digi kirjoittaa mm että

Tällainen on uusi superhaittaohjelma: vie sähköpostin, ottaa kuvakaappauksia, varastaa jo poistetut tiedostot…
Ohjelma tutkii myös koneelle näkyvät verkkolevyasemat ja pc:hen kiinnitytetyt usb-muistit. Usb-muisteilta se yrittää palauttaa jo poistettuja tiedostoja. Ellei tiedostoja ole ylikirjoitettu, toimenpide ei ole vaikea. Ohjelma siirtää ”kiinnostavaksi luokitellut tiedostot” komentopalvelimelleen ja sitä kautta tekijälleen.
Ohjelma on kiinnostunut tiedostoista, joiden pääte on txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr tai acidssa.
Myös puhelimista varastetaan tiedot
Usb-muistien lisäksi Punainen lokakuu nuuskii tietokoneeseen kiinnitetyt iPhonet ja vanhemmat Windows Mobile -puhelimet. Jälkimmäiset se pyrkii myös saastuttamaan takaovella, jota käyttäen puhelimeen voi yrittää päästä myöhemmin käsiksi.
Ohjelmassa on oma moduulinsa myös Nokian puhelimia vastaan.

Varmistaakseen toimintansa tulevaisuudessakin, Punainen lokakuu asentaa uhrin koneelle useamman takaoven, joiden kautta pc:hen pääsee jatkossakin ulkopuolelta käsiksi, vaikka ohjelma saataisiin poistettua.

Ei vaadi internet-yhteyttä
Osa ohjelmiston moduuleista toimii, vaikka pc:ssä ei ole verkkoyhteyttä. Esimerkiksi usb-muistien tiedostot nuuskitaan ilman internet-yhteyttäkin. Varastettavat tiedostot tallennetaan tietokoneen levylle verkkoyhteyden palautumista odottamaan.
Ohjelma on levinnyt hyödyntäen vanhoja, etupäässä Microsoftin Office-ohjelmistoista ja Javasta löytyneitä tietoturva-aukkoja. Koneelle asennettuaan se on viettänyt ensin muutaman päivän hiljaiseloa, minkä jälkeen se on ottanut yhteyttä komentopalvelimeensa ja alkanut laajentaa itseään lataamalla varsinaisia vakoilumoduuleja.
Rocraan oli ohjelmoitu yli 60 komentopalvelimen osoitteet. Jos yksi lakkaa toimimasta, voi ohjelma lähettää varastamansa tiedot ja ladata uusia osia jotain toista palvelinta käyttäen.
Osa moduuleista on kertakäyttöisiä kirjastoja, jotka poistetaan, kun ne ovat tehneet työnsä. Osa puolestaan jää koneelle vaanimaan. Tällaisia ovat näppäinnauhuri ja puhelimista sekä usb-muisteilta tiedot varastavat ohjelmakomponentit.

Lähteet: Kasperskyn ensimmäinen ja toinen selvitys Securelist-palvelussa

 

[ctg]

In February 2011, the first submarine cable connecting the island nation of Cuba to the global internet (by way of Venezuela) landed on Siboney beach, Santiago de Cuba. In the two years since, the fate of the cable has been a mystery for Cuba observers. In the past week, our global monitoring system has picked up indications that this cable has finally been activated, although in a rather curious way, as we explain below.

In 2007, state-owned telecommunications companies from Cuba and Venezuela joined forces to build a submarine cable between the two Caribbean nations, linking Cuba directly to the global Internet and allowing it to end its reliance on satellite-based Internet services. At least that was the hope. The cable was named the "Alternativa Bolivariana para los Pueblos de nuestra América" or ALBA-1 for short.

Lue Lisää http://www.renesys.com/blog/2013/01/cuban-mystery-cable-activated.shtml

 

[OldSkool]

In February 2011, the first submarine cable connecting the island nation of Cuba to the global internet (by way of Venezuela) landed on Siboney beach, Santiago de Cuba. In the two years since, the fate of the cable has been a mystery for Cuba observers. In the past week, our global monitoring system has picked up indications that this cable has finally been activated, although in a rather curious way, as we explain below.

In 2007, state-owned telecommunications companies from Cuba and Venezuela joined forces to build a submarine cable between the two Caribbean nations, linking Cuba directly to the global Internet and allowing it to end its reliance on satellite-based Internet services. At least that was the hope. The cable was named the "Alternativa Bolivariana para los Pueblos de nuestra América" or ALBA-1 for short.

Lue Lisää http://www.renesys.com/blog/2013/01/cuban-mystery-cable-activated.shtml

Niin, siis uutisessa todettiin näyttävän siltä, että kaapelia pitkin kulkee data Kuubaan, mutta Kuubasta lähtevä tulee edelleen satelliiteilla. Ja vaikka internet-saatavuuden Kuubassa ei uskota tällä poistuvan, mielenkiintoinen ajallinen yhteensattuma (?) on se, että samaan aikaan Kuuba poisti matkustusviisumipakon.

 

[OldSkool]

Rocrasta vielä. Tietokone-lehden artikkelissa arvellaan Kasperskyä mukaillen että kyseessä olisi alamaailman operaatio, joka hankkii valtiotason tietoja ja myy eteenpäin.

Kyseessä on laaja vakoiluhanke, jossa on järjestelmällisesti varastettu valtiotason tietoa hallituksista, lähetystöistä, tutkimuslaitoksista, ase- ja avaruusteollisuudesta sekä eri alojen yrityksistä. Kaspersky löysi hankkeen viime vuoden lokakuussa. Asiaa on tutkittu siitä lähtien, ja taustalta on paljastunut laaja ja monimutkainen operaatio. Kaspersky kertoo havainneensa satoja Rocra-tartuntoja. Niistä jokainen sijaitsee jonkinlaisessa tärkeässä kohteessa, esimerkiksi hallitusten verkoissa tai diplomaattisissa organisaatioissa.

Vakoilu käynnissä Suomessakin
Hyökkäysten kohteet näyttävät olevan pääasiassa Venäjällä, muualla Itä-Euroopassa ja Aasiassa. Tartuntoja on kuitenkin muuallakin, esimerkiksi Yhdysvalloissa. Iskut ovat alkaneet jo vuonna 2007. Kasperskyn mukaan Red October -hanke on iskenyt myös Suomeen. Tarkempia tietoja asiasta ei kuitenkaan kerrota.

Valtio vai ”mustan pörssin” rikollisia?
Red October -operaation tarkoitus näyttää olevan valtiotason salaisuuksien ja geopoliittisen tiedon kerääminen. Kasperskyn mukaan tähän mennessä saadut tiedot eivät kytke operaatiota mihinkään valtioon. Kaksi asiaa kuitenkin tiedetään. Hankkeen vakoiluohjelmien hyökkäysten tekijät ovat kiinalaisia hakkereita. Toisaalta Rocra-haittaohjelman moduulien tekijät ovat venäjänkielisiä.

Kaspersky arvioi, että tämä voi viitata alamaailman operaatioon. Valtiotason salaisuuksille on ostajia, ja niistä voidaan maksaa suuria summia. Red October saattaa olla rikollishanke, jonka keräämiä tietoja myydään eniten maksaville ostajille, esimerkiksi valtioille. On toisaalta mahdollista, että jokin valtio olisi tilannut operaation rikollisilta.

 

[ctg]

Egypt's Naval forces claim they have captured three scuba divers who were trying to cut an undersea Internet cable in the Mediterranean. Col. Ahmed Mohammed Ali said in a statement that the divers were caught while “cutting the undersea cable” of Telecom Egypt. Internet services have been disrupted since March 22 in Egypt. From the article: "The statement was accompanied by a photo showing three young men, apparently Egyptian, staring up at the camera in what looks like an inflatable launch. It did not have further details on who they were or why they would have wanted to cut a cable."

http://www.washingtonpost.com/world/middle_east/egypt-naval-forces-capture-3-scuba-divers-trying-to-sabotage-undersea-internet-cable/2013/03/27/dd2975ec-9725-11e2-a976-7eb906f9ed9b_story.html

 

[ctg]

Anti-spam organisation Spamhaus has recovered from possibly the largest ‪DDoS‬ attack in history.

A massive 300Gbps was thrown against Spamhaus' website but the anti-spam organisation was able to recover from the attack and get its core services back up and running. CloudFlare, the content delivery firm hired by Spamhaus last week to guard against an earlier run of DDoS attacks, was also hit, forcing it into taking the highly unusual step of dropping London as a hub in its network - as a Twitter update by CloudFlare on Monday explained.

Our peering in London has been dropped due to a large attack. Modifying routes to avoid degradation. Affecting location: London, GB

Spamhaus supplies lists of IP addresses for servers and computers on the net linked to the distribution of spam. The blacklists supplied by the not-for-profit organisation are used by ISPs, large corporations and spam filtering vendors to block the worst sources of junk mail before other spam filtering measures are brought into play.

Spammers, of course, hate this practice so it's no big surprise that Spamhaus gets threatened, sued, and DDoSed regularly. Those affected by what they regard as incorrect listings also object about Spamhaus' alleged vigilante tactics.

The latest run of attacks began on 18 March with a 10Gbps packet flood that saturated Spamhaus' connection to the rest of the Internet and knocked its site offline. Spamhaus's blocklists are distributed via DNS and widely mirrored in order to ensure that it is resilient to attacks. The website, however, was unreachable and the blacklists weren't getting updated.

The largest source of attack traffic against Spamhaus came from DNS reflection, launched through Open DNS resolvers rather than directly via compromised networks. Spamhaus turned to CloudFlare for help and the content delivery firm was able to mitigate attacks that reached a peak of 75Gbps, as explained in a blog post here.

Things remained calm for a few days before kicking off again with even greater intensity - to the extent that collateral damage was seen against services such as Netflix, the New York Times reports.

Spamhaus' site remains available at the time of writing on Wednesday. Steve Linford, chief executive for Spamhaus, told the BBC that the scale of the attack was unprecedented.

"We've been under this cyber-attack for well over a week.But we're up - they haven't been able to knock us down. Our engineers are doing an immense job in keeping it up - this sort of attack would take down pretty much anything else," he said.
Turning up the volume of DDoS attacks

A blog post by CloudFlare, written last week before the latest run of attacks, explains the mechanism of the attack against Spamhaus and how it can be usde to amplify packet floods.

The basic technique of a DNS reflection attack is to send a request for a large DNS zone file with the source IP address spoofed to be the intended victim to a large number of open DNS resolvers. The resolvers then respond to the request, sending the large DNS zone answer to the intended victim. The attackers' requests themselves are only a fraction of the size of the responses, meaning the attacker can effectively amplify their attack to many times the size of the bandwidth resources they themselves control.

In the Spamhaus case, the attacker was sending requests for the DNS zone file for ripe.net to open DNS resolvers. The attacker spoofed the CloudFlare IPs we'd issued for Spamhaus as the source in their DNS requests. The open resolvers responded with DNS zone file, generating collectively approximately 75Gbps of attack traffic. The requests were likely approximately 36 bytes long (e.g. dig ANY ripe.net @X.X.X.X +edns=0 +bufsize=4096, where X.X.X.X is replaced with the IP address of an open DNS resolver) and the response was approximately 3,000 bytes, translating to a 100x amplification factor.

CloudFlare reckons 30,000 unique DNS resolvers have been involved in the attack against Spamhaus.

"Because the attacker used a DNS amplification, the attacker only needed to control a botnet or cluster of servers to generate 750Mbps - which is possible with a small sized botnet or a handful of AWS instances," it explains. ®

http://www.theregister.co.uk/2013/03/27/spamhaus_ddos_megaflood/

 

[koponen]

Internet-viestintä useimmissa muodoissaan on ilmeisen yksinkertaista lamauttaa lyhyeksi-keskipitkäksi aikaväliksi. Oman organisaation ja kotitalouden osalta voi jokainen miettiä mitä sitten kun viestinnän pääosa ei toimi.

 

[kelaasitä]

Internet-viestintä useimmissa muodoissaan on ilmeisen yksinkertaista lamauttaa lyhyeksi-keskipitkäksi aikaväliksi. Oman organisaation ja kotitalouden osalta voi jokainen miettiä mitä sitten kun viestinnän pääosa ei toimi.

Kerta se on niin yksinkertaista, niin itseäni ainakin kiinnostaisi kuulla, edes pääpiirteittiän, että miten se onnistuu. Internet on kuitenkin alkujaankin suunniteltu ydinsodan kestäväksi, joten en usko, että konventionaalisilla aseilla onnistutaan kovin helposti.

 

[koponen]

Ei Internetiä ole rakennettu ydinsodan kestäväksi. Darpan tutkimus toki pohjasi siihen ajattelumalliin, mutta kaupalliselta pohjalta rakennetut, yhteen liitetyt verkot ovat sen sadalla tavalla haavoittuvia, sovellustasolta fyysiselle tasolle asti.

Valtiollisen toimijan resurssein se on hyvinkin suoraviivainen operaatio - olettaen että vihollisuuksia ei tarvitse pitää salassa. Nykyinen häiveneppailu on suhteellisen tehotonta ja vaaratonta juuri tästä syystä.

Väitteiden todistamisen jätän lukuisten turvallisuusjulkaisujen huoleksi. Niitä piisaa kyllä, ja jopa valtiolliset julkaisut ja puheenvuorot Suomessakin kirjoittavat rivit joiden välikin on luettavissa.

Kaikkien viestintämuotojen ja -verkkojen torppaaminen onkin sitten jo huomattavasti vaativampi harjoitus. Valtakunnan sähköverkot sekoittamalla pääsee jo jonkin matkaa tavoitteeseen, muttei vallankaan perille asti.

 

[kelaasitä]

Ei Internetiä ole rakennettu ydinsodan kestäväksi. Darpan tutkimus toki pohjasi siihen ajattelumalliin, mutta kaupalliselta pohjalta rakennetut, yhteen liitetyt verkot ovat sen sadalla tavalla haavoittuvia, sovellustasolta fyysiselle tasolle asti.

Valtiollisen toimijan resurssein se on hyvinkin suoraviivainen operaatio - olettaen että vihollisuuksia ei tarvitse pitää salassa. Nykyinen häiveneppailu on suhteellisen tehotonta ja vaaratonta juuri tästä syystä.

Väitteiden todistamisen jätän lukuisten turvallisuusjulkaisujen huoleksi. Niitä piisaa kyllä, ja jopa valtiolliset julkaisut ja puheenvuorot Suomessakin kirjoittavat rivit joiden välikin on luettavissa.

Kaikkien viestintämuotojen ja -verkkojen torppaaminen onkin sitten jo huomattavasti vaativampi harjoitus. Valtakunnan sähköverkot sekoittamalla pääsee jo jonkin matkaa tavoitteeseen, muttei vallankaan perille asti.

No ainakaan kukaan ei ole vielä onnistunut, vaikka yrittäjiä lienee ollut ties kuinka monta, olet kyllä täysin oikeassa että valtiollinentoimija painisi ihan eri sarjassa.

Mutta tämäkään em. hyökkäys ei katkaissut internettiä edes sekuntiksi. Jos jaksat jotain tutkimusta kaivaa niin tutustuisin siihen mielelläni. Myös IPv6 käyttöönotto lähivuosina tulee varmaan poistamaan ainakin osittain koko liudan noita haavoittuvimpia asioita.

Myös jos joku valtiollinentoimija päättää lamauttaa Suomen internetin niin mikä estää meitä tekemästä samaa heille, samoin asein? Nähtäväksi jää vallitseeko cybermaailmassakin eräänlainen MAD joka estää laajamittaiset hyökkäykset verkossa, vaikka kriisi muuten eskaloituisikin. Myös jos he ovat kehittäneet jonkin vallankumouksellisen menetelmän niin veikkaan, että haluavat pitää sen salassa USA:lta ja Kiina:lta, eivätkä käyttäisi sitä tämmöistä lilliputtimaata vastaan.

 

[OldSkool]

No tämän uusimman "vahvistinhyökkäyksen" tausta ja toiminta on julkisuudessa nähtävillä esim täällä.

Cert-fi selittää, miten rikollisten käyttämä tekniikka toimii. Rikolliset etsivät ensin netistä suojaamattomia nimipalvelimia, jotka ovat avoimesti kenen tahansa käytettävissä.

Sitten niille lähetetään tekaistuja nettiosoitteiden kyselyjä. Ne on väärennetty niin, että kysely näyttääkin tulevan hyökkäyksen kohteelta. Niinpä nimipalvelin lähettää vastauksensa kyseiseen osoitteeseen.

Hyökkäyksen oveluus on siinä, että nimipalveluvastaukset ovat moninkertaisesti kyselypaketteja suurempia. Niinpä nimipalvelin muuttuu eräänlaiseksi ”vahvistimeksi”. Pienellä määrällä liikennettä saadaan aikaan paljon hyökkäyskuormaa kohteeseen.

Ei tuossa sen kummempaa ole, kuin että netti kaikkineen koostuu monesta komponentista ja aina jostakin löytyy virhe, joka ei ole ehkä ongelma komponentin itsensä kannalta ("entä sitten jos purkki vastailee jokaiseen nimipalvelukyselyyn, jotka on vieläpä väärennetystä lähteestä?"). Ne pienemmätkin virheet voi koostaa vakavaksi ongelmaksi kun niitä käytetään joukoittain.

 

[kelaasitä]

No tämän uusimman "vahvistinhyökkäyksen" tausta ja toiminta on julkisuudessa nähtävillä esim täällä.

Cert-fi selittää, miten rikollisten käyttämä tekniikka toimii. Rikolliset etsivät ensin netistä suojaamattomia nimipalvelimia, jotka ovat avoimesti kenen tahansa käytettävissä.

Sitten niille lähetetään tekaistuja nettiosoitteiden kyselyjä. Ne on väärennetty niin, että kysely näyttääkin tulevan hyökkäyksen kohteelta. Niinpä nimipalvelin lähettää vastauksensa kyseiseen osoitteeseen.

Hyökkäyksen oveluus on siinä, että nimipalveluvastaukset ovat moninkertaisesti kyselypaketteja suurempia. Niinpä nimipalvelin muuttuu eräänlaiseksi ”vahvistimeksi”. Pienellä määrällä liikennettä saadaan aikaan paljon hyökkäyskuormaa kohteeseen.

Ei tuossa sen kummempaa ole, kuin että netti kaikkineen koostuu monesta komponentista ja aina jostakin löytyy virhe, joka ei ole ehkä ongelma komponentin itsensä kannalta ("entä sitten jos purkki vastailee jokaiseen nimipalvelukyselyyn, jotka on vieläpä väärennetystä lähteestä?"). Ne pienemmätkin virheet voi koostaa vakavaksi ongelmaksi kun niitä käytetään joukoittain.

Joo, eivät silti saaneet tällä hyökkäyksellä edes yhtä palvelua kaadettua hetkeksikään ni vielä on vähän matkaa koko internetin lamauttamiseen.

 

[koponen]

Kovin erilaiseksi muuttuu kuva mahdollisesta hyökkäyksestä, jos ei lähde siitä että vain Internetiä pitkin kulkevat hyökkäyksen työvälineet ovat "sallittuja". Lisätään nyt vaikkapa kirves, ohjus ja kiristys niin verkkoja on alhaalla aika paljon.

 

[ctg]

"Emergency-service providers and other organizations are being targeted with TDoS (telephony denial of service) attacks, according to a security alert (PDF) from the Department of Homeland Security and the FBI, obtained by security expert Brian Krebs. TDoS attacks use high volumes of automated calls to tie up target phone systems, halting incoming and outgoing calls. Perpetrators are using the attacks to extort cash from target organizations, who receive a call from a representative from a purported payday loan company, who demands payment of $5,000 for an outstanding debt — usually speaking in an unspecified 'strong accent.'"

http://www.infoworld.com/t/cyber-crime/cyber-criminals-tying-emergency-phone-lines-through-tdos-attacks-215585

 

[ctg]

A hacker compromised a U.S. Army database that holds sensitive information about vulnerabilities in U.S. dams, according to a news report.

The U.S. Army Corps of Engineers’ National Inventory of Dams contains information about 79,000 dams throughout the country and tracks such information as the number of estimated deaths that could occur if a specific dam failed. It’s accessible to government employees who have accounts. Non-government users can query the database but cannot download data from it.

The breach began in January and was only uncovered in early April, according to the Free Beacon, a nonprofit online publication, which first published the news.

Pete Pierce, a spokesman for the Army Corps of Engineers, did not return a call from Wired but confirmed to the Free Beacon that the breach occurred.

“The U.S. Army Corps of Engineers is aware that access to the National Inventory of Dams (NID), to include sensitive fields of information not generally available to the public, was given to an unauthorized individual in January 2013 who was subsequently determined to not to have proper level of access for the information,” Pierce said in a statement to the publication. “[U.S. Army Corps of Engineers] immediately revoked this user’s access to the database upon learning that the individual was not, in fact, authorized full access to the NID.”

The Corps of Engineers announced on its website that account usernames and passwords had since changed “to be compliant with recent security policy changes.”

All users had been sent an e-mail notification to this effect, which apparently told them that their account username had been changed to their e-mail address and included the new password in plaintext that the Corps did not ask users to change.

“When logging into the site with your new password for the first time, it is highly recommended that you copy/paste your password from the email you received rather than manually typing the password,” the notice on the website reads.

Although the website provides links to reset the password if a user forgets it, the links were not working when Wired visited the site.

Unnamed U.S. officials told the Free Beacon that the breach was traced to “the Chinese government or military cyber warriors,” but offered no information to support the claim. Hackers can use proxy servers or hijacked computers to conduct a breach and make it look as if the source was a specific country or individual.

Michelle Van Cleave, a former senior adviser to the Executive Agent for Homeland Security and Department of Defense and a former consultant to the CIA, told the publication that the breach appeared to be part of an effort to collect “vulnerability and targeting data” for future cyber or military attacks, though she didn’t say how she came to this conclusion.

“In the wrong hands, the Army Corps of Engineers’ database could be a cyber attack roadmap for a hostile state or terrorist group to disrupt power grids or target dams in this country,” she told the publication.

http://www.wired.com/threatlevel/2013/05/hacker-breached-dam-database/

 

[OldSkool]

Vakoiluohjelmista on taasen uutisoitu lisää. Tai oikeastaan siitä, miten markkinataloudessa asia hoidetaan. MBNet kirjoittaa viitaten Maanpuolustuskorkeakoulun julkaisuun The Fog of Cyber Defence jossa F-Securen Mikko Hyyppönen kirjoittaa mm että

Hyökkäysten kysyntä kasvoi merkittävästi, kun nettiin alkoi ilmestyä ammattimaisia rikollisjengejä. He ostavat hyökkäystyökaluja netin alamaailman markkinoilta.
Hyppösen mukaan tilanne muuttui vielä enemmän vuonna 2010, kun Stuxnet-haittaohjelma löydettiin.
<snip>
Hyppönen arvioi, että Stuxnet käynnisti netin hyökkäystyökalujen ”kyberasevarustelun”. Samalla turva-aukkojen – erityisesti nollapäiväaukkojen – kysyntä kasvoi. Hyppönen kertoo, että eri puolille maailmaa on noussut yrityksiä, jotka etsivät ohjelmistojen turva-aukkoja. Kun niitä löytyy, turva-aukoista tehdään valmiita hyökkäyksiä, joita voidaan käyttää erilaisissa nettiaseissa. Näitä hyökkäyksiä myydään valtioille.
Tällaisia yrityksiä on esimerkiksi Yhdysvalloissa, Britanniassa, Saksassa, Ranskassa, Italiassa ja Aasian maissa.
<snip>
Monet hyökkäyksiä luovista yrityksistä esiintyvät ”tietoturvayrityksinä”. Todellisuudessa tilanne on toinen, sanoo Hyppönen. Yhtiöt etsivät turva-aukkoja, ja niiden tiedot pimitetään sovellusten valmistajilta – muutenhan yhtiöt korjaisivat aukot ja hyökkäykset menisivät hukkaan. Tällä tavalla nettiaseiden tekijät lisäävät internetin turvauhkia.

 

[ctg]

Today I joined a group of twenty computer scientists in issuing a report criticizing an FBI plan to require makers of secure communication tools to redesign their systems to make wiretapping easy. We argue that the plan would endanger the security of U.S. users and the competitiveness of U.S. companies, without making it much harder for criminals to evade wiretaps.

The FBI argues that the Net is “going dark”—that they are losing their ability to carry out valid wiretap warrants. In fact, this seems to be a golden age of surveillance—more collectable communications are available than ever before, including whole new categories of information such as detailed location tracking. Regardless, the FBI wants Congress to require that voice, video, and text communication tools be (re-)designed so that lawful wiretap orders can be executed quickly and silently.

https://freedom-to-tinker.com/blog/felten/calea-ii-risks-of-wiretap-modifications-to-endpoints/