Cyber-ketju: verkkovakoilu,kännyköiden ja wlanien seuranta, hakkerointi, virukset, DoS etc


https://yle.fi/uutiset/3-10440924
Kohu väitetyn Kiinan harjoittaman mikrosiruvakoilun ympärillä kiihtyy: Kiinalaiset tekno-osakkeet sukeltavat
Yhdysvaltojen ja Kiinan viranomaiset eivät ole toistaiseksi kommentoineet uutistoimisto Bloombergin uutisessa esitettyjä väitteitä Kiinan Yhdysvaltoihin kohdistamasta vakoilusta.
Kiina pelaa peliä ihan omassa ulottuvuudessaan.
 
Viimeksi muokattu:

ctg

Ylipäällikkö
Amazon ja Supermicro kieltävät asian:
Amazonille on ongelma koska he käyttävät supermicron komponentteja valtiolliselle menevässä raudassa. Totta kait he hyökkäävät artikkelia vastaan koska se aiheuttaa heille ongelmia. Mitä jos heidän kuplansa räjähtää ja kukaan ei halua ostaa heiltä pilvipalveluita? Supermicro toisaalta on kärsimässä koska rauta tulee heiltä ja he yrittävät kieltää koko asia, koska bisnes kärsii ja he ovat etusijalle menettämässä määräävän aseman valtiollisten raudoissa.

Jenkit tiesi tästä kolme vuotta ennenkuin tämä räjähti käsiin bloombergin artikkelin kautta.

The registerin artikkeli asiasta. Kuten yleensä, paras näistä kaikista. https://www.theregister.co.uk/2018/10/04/supermicro_bloomberg/?page=2
 
Viimeksi muokattu:

ctg

Ylipäällikkö
Four alleged Russian agents have been expelled from the Netherlands after they attempted to hack the chemical weapons watchdog probing the Novichok poisonings in Salisbury, England, and the chemical attack case in Douma, Syria.

According to the Dutch Ministry of Defence on Thursday, the four Russians arrived at Schiphol Airport on April 13 while traveling on diplomatic passports, hired a car, and drove to a Marriott hotel in the Hague. This is next door to the offices of the Organisation for the Prohibition of Chemical Weapons – an intergovernmental team that enforces the Chemical Weapons Convention, the one that tries to eradicate the world of chemical weapons.

The quartet’s rental car was found to be full of hacking tools, including a laptop, mobile phones, and Wi-Fi panel antenna. The kit, designed to snoop on Wi-Fi signals, was found on the rear shelf of the car, concealed under a jacket, and was working when cops seized the gear. The Dutch believe the kit was used in an attempt to steal sensitive information such as user login details over the air from the OPCW wireless network, journalists attending a Dutch press conference were told today.

“The cyber operation targeting the OPCW is unacceptable,” said Defence Minister Ank Bijleveld in a statement. "Our exposure of this Russian operation is intended as an unambiguous message that the Russian Federation must refrain from such actions.
https://www.theregister.co.uk/2018/10/04/gru_opcw_hack_bust/

The alleged interrupted wardriving was, we're told, launched after spear-phishing attacks thrown at chemical weapons watchdog failed to bear fruit. The deported men were apparently working for the Russian military intelligence agency GRU, more specifically a group codenamed Sandworm, which attempted to remotely hack the OPCW and the UK government's top-secret research laboratory Porton Down after having a pop at the Brits' Foreign Office computer network in March. UK authorities assisted in the Dutch cops' investigation.

One of the seized laptops was also active in Brazil, Switzerland, and Malaysia. Investigators reckon the kit was used in Malaysia to spy on the investigation into the Malaysia Airlines Flight 17 killings, in which a civilian airplane was shot down by a Russian-made missile over eastern Ukraine in 2014. The laptop was present in a Malaysian hotel where crash investigators were based.

“We had previously informed the Dutch House of Representatives of the Russian Federation’s interest in the MH17 investigation,” said the director of the Defence Intelligence and Security Service, Major General Onno Eichelsheim.

"As we stated earlier, manipulation and influencing are among the potential threats to the MH17 investigation. All of the organisations involved in the criminal investigation into the MH17 crash are aware of the digital threats that they face and have taken appropriate measures to address these threats.”

The head of Russia’s Foreign Affairs Committee Konstantin Kosachev denied the allegations in a statement on his Facebook page. He accused NATO states of making up claims about Russia as part of a propaganda campaign, and said Russians would not "swallow these provocations." ®
 

ctg

Ylipäällikkö
According to Bloomberg Businessweek, spies in China managed to insert chips into computer systems that would allow external control of those systems. Specialized servers purchased by Amazon, Apple, and others around 2015 and manufactured in China by San Jose–based Super Micro were reportedly at issue, as may have been systems built for the U.S. military.

Amazon, Apple, the Chinese government, and Super Micro deny the incident ever happened. And some experts find it hard to believe a top-flight company like Apple could have initially missed something like this in their quality assurance process. However, other experts are convinced by Bloomberg’s reporting and the nature of the attack. One of those is Mark M. Tehranipoor, director of the Florida Institute for Cybersecurity Research (FICS). In fact, this is just the kind of attack his institute has been developing the technology to detect and counter.
https://spectrum.ieee.org/riskfacto...ve-spotted-the-secret-chinese-chip-in-seconds

The institute’s semiautomated system “could have identified this part in a matter of seconds to minutes,” says Tehranipoor, an IEEE Fellow. The system uses optical scans, microscopy, X-ray tomography, and artificial intelligence to compare a printed circuit board and its chips and components with the intended design.

It starts by taking high-resolution images of the front and back side of the circuit board, he explains. Machine learning and AI algorithms go through the images, tracing the interconnects and identifying the components. Then an X-ray tomography imager goes deeper, revealing interconnects and components buried within the circuit board. (According to Bloomberg, later versions of the attack involved burying the offending chip instead of having it sit on the surface.) That process takes a series of 2D images and automatically stitches them together to produce a layer-by-layer analysis that maps the interconnects and the chips and components they connect. The systems in question in the Bloomberg story probably had a dozen layers, Tehranipoor estimates.

All this information is then compared to the original designs to determine if something has been added, subtracted, or altered by the manufacturer.

Nearly all of the process is automated, and Tehranipoor’s group is working on completely removing the need for a human in the system. In addition, they are working on ways to identify much more subtle attacks. For example, an attacker could potentially alter the physical values of capacitors and resistors on the board or subtly change the dimensions of interconnects, making them susceptible to system-crippling electromigration.

So why isn’t this system in widespread use? After all, much of it has been available since 2014. (Tehranipoor even described some in his 2017 article for IEEE Spectrum about the dangers of cloned chips.) “Sometimes a technology is ready, but it’s not used by companies because an attack hasn’t been seen to be real,” Tehranipoor says. This attack might be enough to change that perception, he says.

Even so, “this isn’t the attack that keeps me up at night,” says Tehranipoor. “As sophisticated as it was…those attackers could have done a lot more and been much more difficult to detect.”
 
Mitenkäs tarkastetaan ettei johonkin alihankkijan piiriin ole integroitu mitään ylimääräistä?
 
Vastaanottovaiheessa tutkimus ylläolevalla laitteistolla, joko satamassa taikka vastaanottavassa päässä.
Tarkoitin itse piiriin en piirilevylle. Eli jos jotain muistia tms. on doupattu jollain vastaavalla ominaisuudella kuin tuo riisinjyvä piirilevyllä.
 

ctg

Ylipäällikkö
Eli jos jotain muistia tms. on doupattu jollain vastaavalla ominaisuudella kuin tuo riisinjyvä piirilevyllä.
Muistit saa aina tyhjättyä taikka yliajettua. Joku BIOS kikkailu on toki mahdollinen, kuten on nähty historiassa. En muista siihen suoraa referenssiä, muuta kuin että kyseessä oli silloinkin Kiina. Sitä ennen joutuu menemään aika pitkälle takaisinpäin ennenkuin tulee raudan kanssa vääntämisti. En kuitenkaan tarkoita sitä etteikö raudan kanssa väännettä koko ajan, mutta tässä tapauksessa takaportin ujuttamista esim biosin alle. On tuhat kertaa helpompi tehdä joko verkkohyökkäys taikka yrittää päästä fyysisesti kohteen sisälle.

Tästä hommasta on yksi askel ylöspäin missä teoreettisesti malicious bob voi ujuttaa takaportin suoraan piirille. Tuo on kuitenkin niin vaikea teko että on helpompi jättää välistä kuin yrittää oikeasti. Tästähän naapuri kärähti ilmatorjuntaohjusten kanssa.
 

ctg

Ylipäällikkö
Britain's National Cyber Security Center – part of spying nerve-center GCHQ – kicked off the weekend by saying: “We are aware of the media reports but at this stage have no reason to doubt the detailed assessments made by AWS [Amazon Web Services] and Apple. The NCSC engages confidentially with security researchers and urges anybody with credible intelligence about these reports to contact us.”

Then on Saturday, Uncle Sam's Department of Homeland Security concurred in no uncertain terms:

Like our partners in the UK, the National Cyber Security Centre, at this time we have no reason to doubt the statements from the companies named in the story. Information and communications technology supply chain security is core to DHS’s cybersecurity mission and we are committed to the security and integrity of the technology on which Americans and others around the world increasingly rely.

If that was a shot, then here's a chaser: Reuters reporting that Apple and the FBI's top lawyers having no idea what Bloomberg was on about:

Apple’s recently retired general counsel, Bruce Sewell, told Reuters he called the FBI’s then-general counsel James Baker last year after being told by Bloomberg of an open investigation into Super Micro Computer Inc, a hardware maker whose products Bloomberg said were implanted with malicious Chinese chips.
“I got on the phone with him personally and said, ‘Do you know anything about this?,” Sewell said of his conversation with Baker. “He said, ‘I’ve never heard of this, but give me 24 hours to make sure.’ He called me back 24 hours later and said ‘Nobody here knows what this story is about.’”

Infosec pros have also started criticizing Bloomberg for the lack of hard data and technical information to support the story, beyond its 17 anonymous sources. One particularly annoying thing is that the graphics used in the blockbuster article – depicting the spy chip and its placement on the board – look to be purely illustrative, making it difficult to verify the claims or even check if a server motherboard has one of Beijing's bugs.

Top software vulnerability hunter Tavis Ormandy, of Google's Project Zero, summed up the difficulty of believing anonymous sources versus on-the-record denials: “We can't prove [the spy chip] doesn't exist any more than we can prove sasquatch doesn't exist. This is starting to feel like chemtrail territory.”

On the one hand, you have Bloomberg, which has rigorous and extremely high editorial standards: article errors requiring corrections can be career-ending. It is bonkers to think it would have screwed up a story this huge.

On the other hand, we have unusually direct denials from tech companies – the kind that if found to be lies would fall foul of securities fraud laws – and now government officials supporting those rebuttals. If tech giants and governments had spent a little less energy spinning their way out of sticky situations in the past, their statements could be taken a little more seriously.

Ultimately, at least more people are now aware of supply chain security, an area that deserves extra scrutiny.
https://www.theregister.co.uk/2018/10/08/super_micro_us_uk_intelligence/
 

Ozero

Alikersantti
Nyt löytyi häijy haittaohjelma, siihen ei pure windowsin uudelleenasennus eikä kiintolevyn vaihto.

Tutkijat ovat löytäneet tiettävästi ensimmäiset todisteet hyökkäyksestä niin sanotun uefi-haittaohjelman avulla, muun muassa Ars Technica kertoo. Uefi tulee sanoista Unified Extensible Firmware Interface ja tarkoittaa tietokoneen ytimessä olevaa laiteohjelmistoa.

Tietoturvayhtiö Esetin mukaan laiteohjelmistoon on isketty haittaohjelmalla, jolle on annettu nimeksi LoJax. Hyökkäystapa on tiedetty ennenkin, mutta Esetin mukaan nyt on paljastunut tapaus, jossa tällä tavalla todella hyökättiin joihinkin valtion organisaatioihin Balkanilla sekä Keski- ja Itä-Euroopassa.

LoJax vaikuttaa rakentuvan varkauksien estoon tarkoitetun kaupallisen LoJack-ohjelmiston päälle. Ainakin yhdessä tapauksessa hyökkäys onnistui. Havaituissa tapauksissa kohdekoneet oli jo valmiiksi saastutettu takaovella jatkohyökkäysten mahdollistamiseksi.

Uefi-haittaohjelmat ovat viheliäisiä havaittavia ja poistettavia. Ne selviävät esimerkiksi Windowsin uudelleenasennuksesta ja kiintolevyn vaihdosta. Tietokoneen puhdistamiseen vaaditaan laiteohjelmiston niin kutsuttua flashaamista, eli saastuneen version korvaamista puhtaalla. Toinen vaihtoehto on vaihtaa tietokoneen emolevy. Laiteohjelmistoihin rakennetut suojaukset voisivat kuitenkin jo tällä hetkellä monessa tapauksessa estää tällaiset hyökkäykset.

Esetin mukaan LoJaxin takana näyttää olevan Venäjän hallituksen alaiseksi epäilty Sednit-ryhmä, joka tunnetaan myös nimillä APT28, Strontium, Sofacy ja Fancy Bear. Samaa ryhmää on aiemmin syytetty muun muassa hyökkäyksestä Yhdysvaltain demokraattiseen puolueeseen vuoden 2016 presidentinvaalien alla.
 

ctg

Ylipäällikkö
Many U.S. weapons have “mission-critical cyber vulnerabilities,” including some currently under development and some whose flaws were first identified years ago, according to a new report from the Government Accountability Office, or GAO.

In an investigation that began in July 2017 and concluded this month, GAO testers discovered some shocking security problems. In many cases, the weapons and systems still used default passwords. In others, unauthorized access could be obtained with “relatively simple tools”; in one case, it took nine seconds.

The testers also looked for previously reported vulnerabilities. In one instance, only one in 20 had been fixed.

The problems that the testers found weren’t small ones. In some cases, scanning the weapon caused it to shut down. In another, the test had to be halted for safety concerns.
https://www.defenseone.com/technolo...yber-vulnerabilities-gao/151878/?oref=d-river

https://www.gao.gov/products/GAO-19-128
 
Viimeksi muokattu:

ctg

Ylipäällikkö
Five days after Bloomberg stunned the world with still-unconfirmed allegations that Chinese spies embedded data-sniffing chips in hardware used by Apple, Amazon, and dozens of other companies, the news organization is doubling down. Bloomberg is now reporting that a different factory-seeded manipulation from the previously described one was discovered in August inside the network of a major US telecommunications company.

Bloomberg didn't name the company, citing a non-disclosure agreement between the unnamed telecom and the security firm it hired to scan its data centers. AT&T, Sprint and T-Mobile all told Ars they weren't the telecom mentioned in the Bloomberg post. Verizon and CenturyLink also denied finding backdoored Supermicro hardware in their datacenters, Motherboard reported.

Tuesday’s report cites documents, analysis, and other evidence provided by Yossi Appleboum, who is co-CEO of a hardware security firm called Sepio Systems. Bloomberg said that, while Sepio was scanning servers belonging to the unnamed telecom, the firm detected unusual communications from a server designed by Supermicro. Supermicro, according to last week’s Bloomberg report, is the hardware manufacturer whose motherboards were modified in the factory to include a tiny microchip that caused attached servers to come under the control of a previously unreported division of China’s People’s Liberation Army. Supermicro told Bloomberg it had no knowledge of the implant, marking the second time the hardware maker has denied knowing anything about the reported manipulations.

The Supermicro backdoor reported Tuesday was also the result of malicious hardware secretly implanted during its manufacture. But this time, the addition was made to the ethernet connector of the server used by the telecom company.

While the hardware manipulation reported Tuesday is different from the one described last week, Bloomberg said they shared key characteristics, namely that they were both designed to “give attackers invisible access to data on a computer network in which the server is installed.” What’s more, “the alterations were found to have been made at the factory as the motherboard was being produced by a Supermicro subcontractor in China.”
https://arstechnica.com/gadgets/201...rmicro-hardware-infiltrated-major-us-telecom/
 
https://yle.fi/uutiset/3-10442069

Kiina vie verkkovalvontakoneistoaan Afrikkaan digitaalista silkkitietä pitkin

Googlen entinen toimitusjohtaja Eric Schmidt ennustaa, että Kiinan vaikutusvallan kasvun jakaa internetin kahtia.

Kenian pääkaupungissa Nairobissa yhteensä 1 800 valvontakameraa seuraa kaupunkilaisten elämää. Julkisten ja yksityisten valvontakameroiden verkosto syöttää jatkuvasti tarkkalaatuista kuvaa julkisiin pilvipalveluihin. Kuvavirtaa analysoi kasvot tunnistava tekoäly.
Kiinalainen verkkolaitejätti Huawei rakentaa ympäri maailmaa älykaupunkeja, jotka huokuvat orwellilaista dystopiaa. Nairobin kaltaisia "turvakaupunkeja" on jo satakunta ja lisää on luvassa.
Huawei markkinoi älykaupunki-järjestelmäänsä turvallisuudella. Nairobissa rikollisuus lähes puolittui, kun valvontajärjestelmä otettiin käyttöön.
Rikollisuuden torjunnan lisäksi älykaupungeissa teknologiaa käytetään esimerkiksi veden säästämiseen. Joissakin kaupungeissa bussimatkan voi maksaa kasvojentunnistuksen avulla.
Järjestelmää voidaan myös käyttää kansalaisten valvontaan ja poliittisten vastajien hiljentämiseen.

Kiina rakentaa verkkoa Afrikkaan
Huawein turvakaupunki-projektit ovat osa Kiinan voimakasta pyrkimystä levittää teknologista osaamistaan maailmalle, etenkin Lähi-itään ja Afrikkaan. Tämä pyrkimys on muotoiltu hankkeeksi, jota kutsutaan Kiinassa digitaaliseksi silkkitieksi.
Kolme vuotta sitten Kiina käynnisti "Vyöhyke ja tie" -hankkeen (Belt and Road Initiative, BRI), jonka tarkoituksena on massiivisten infraprojektien kautta luoda maailmankauppaa palveleva logistiikkaverkosto Kiinasta maailmalle. Digitaalisen infrastruktuurin osalta Kiina linjasi tavoitteekseen edistää rajoja ylittävien verkkoyhteyksien rakentamista ja parantaa kansainvälisiä tietoliikenneyhteyksiä.
Silkkitie-hankkeen nimissä kiinalainen telejätti ZTE rakentaa mobiiliverkkoa Etiopiassa ja vetää valokuitukaapelia Afganistanissa. Muita työmaita löytyy Nigeriasta, Laosista, Sri Lankasta, Sudanista ja Turkista.
Huawei puolestaan on luvannut tehdä yli miljardin dollarin investoinnit parantaakseen internet-yhteyksiä Kamerunissa, Keniassa, Zimbabwessa, Togossa ja Nigerissä.
Ugandassa Kiina tarjoaa hallinnolle teknistä apua sosiaalisen median valvonnassa tai "kyberrikollisuutta vastaan taistelemisessa", kuten asia virallisesti muotoillaan.
Kiinalaisten kehittämä kasvojentunnistusmenetelmä on käytössä Zimbabwen lentokentillä ja rajanylityspaikoilla.

Xi Jinpingin kybervisio
Kiinan digitaalinen silkkitie on mediassa jäänyt maan BRI-projektien varjoon. Hanke on kuitenkin monella tavalla mullistavampi kuin rautatieverkoston tai satamien rakentaminen. Digitaalista silkkitietä pitkin Kiina pystyy levittämään verkkostrategiaansa, jossa internet on valjastettu tukemaan hallintoa.
Kiinan internet-strategian keskiössä on valtion itsemääräämisoikeus. Presidentti Xi Jinping on jo usean vuoden ajan puhunut kyber-suvereniteetin puolesta. Siinä ydinajatus on, että valtio hallitsee internetiä rajojensa sisäpuolella samalla tavalla kuin vaikkapa ilmatilaansa. Koska tietoliikennekaapelit kulkevat fyysisesti valtion rajojen sisäpuolella, valtiolla on oikeus kontrolloida siellä kulkevaa tietoliikennettä.
Tunnetuin esimerkki Kiinan kontrollista on palomuuri, joka estää kiinalaisten pääsyn sivustoille tai sovelluksiin, joihin hallinto ei halua heidän pääsevän. Kiinan palomuurin ympärille on noussut myös muita tapoja valvoa kansalaisia.
Viime vuoden kesäkuussa Kiinassa astui voimaan uusi kyberturvallisuuslaki, joka kiristää entisestään hallinnon otetta verkosta. Jo ennen lakia sananvapauden tilaa mittaava Freedom House -järjestö rankkasi Kiinan pahimmaksi internet-vapauksien polkijaksi. Nyt tilanne on vielä huonompi.
Perinteisen sensuroinnin lisäksi kyberturvallisuuslaki rajoittaa anonymiteettiä verkossa. Se velvoittaa yritykset tarkkailemaan ja raportoimaan poikkeuksista verkkoliikenteessä. Yritysten on myös tarjottavat teknistä tukea viranomaisille, joilla on "suureen turvallisuusuhkaan" vedotessa oikeus katkaista verkkoliikenne kokonaan.

Tietoliikenteen salausmenetelmät vaativat Kiinan hallinnon hyväksynnän ja kriittiseksi luokiteltujen verkkoinfrastruktuurien hallinnoijien täytyy paljastaa ohjelmistojensa lähdekoodit viranomaisille. Nämä määräyksen vaarantavat yhtiöiden immateriaaliset tekijänoikeudet, mutta vaihtoehtoja on vähän.
Kaikki verkossa liikkuva tieto on säilytettävä Kiinassa sijaitsevilla palvelimilla ja jos tietoja aikoo siirtää rajojen ulkopuolelle, pitää tähän olla lupa.
Lain ensimmäiset ennakkotapaukset saatiin jo muutamassa kuukaudessa, kun viranomaiset määräsivät teknologiayhtiöille Tencent, Baidu ja Sina muutaman kymmenentuhannen euron sakot kiellettyjen sisältöjen jakamisesta. Viranomaisten mukaan yhtiöiden palvelimet sisälsivät valeuutisia ja pornografiaa.

Verkkovalvonnasta vientituote
Tästä verkkokontrollista Kiina on tehnyt vientituotteen, josta useissa vähemmän demokraattisissa maissa ollaan kiinnostuneita.
Useat maat ovat seuranneet Kiinan esimerkkiä ja kiristäneet verkkovalvontalakejaan. Tansaniassa viranomaisilla on lupa estää pääsy sisältöihin, jotka aiheuttavat "mielipahaa". Nigeria vaatii kansalaistensa datan säilyttämistä maan rajojen sisällä. Etiopia, Sudan ja Egypti suodattavat aggressiivisesti verkkosisältöjä.
Venäjä on muovannut Kiinan mallia muistuttavan käytännön, jossa hallinto tunkeilee verkossa ja vaatii datan säilyttämistä maan rajojen sisällä. Vietnam on säätänyt Kiinan kyberturvallisuuslakia muistuttavia lakeja.
Parantuneita tietoliikenneyhteyksiä pitkin näyttävät ensimmäisenä kulkevan Kiinan autoritäärinen hallintomalli ja kyberkontrollit.
Kiinan teknologisen kehityksen asiantuntija Adam Segal amerikkalaisesta Council on Foreign Relations -ajatuspajasta katsoo, että Kiina auttaa mielellään maita, jotka haluavat kopioida sen mallin. Kiina ei kuitenkaan vaadi tätä.
– Kiinalaiset näkevät digitaalisen silkkitien mahdollisuuta vaikuttaa internetistä käytävään keskusteluun. Maat, jotka hyväksyvät avustuksen ja käyttävät kiinalaisia verkkotuotteita, omaksuvat todennäköisemmin myös kiinalaisen näkökannan internetiin, Segal toteaa.

Kiina haluaa valmistajasta suunnittelijaksi
Kiina on vuosikymmeniä toiminut teknologiayhtiöiden tehtaana. Tämä näkyy siinä, että vaikka Kiina on noussut maailman talousmahdiksi, arvoketjussa se ei ole lähelläkään huippua.
– Voitot keskittyvät yhä länteen, huomauttaa Kiinan talouspolitiikan tutkija Markus Holmgren.
Tähän Kiina haluaa muutoksen. Valmistajan rooliin kyllästynyt maa on kasvattanut tutkimus- ja tuotekehitystään noin 20 prosentilla vuosittain kahdenkymmenen vuoden ajan. Viime vuonna Kiina käytti arvioilta 279 miljardia dollaria tutkimus- ja tuotekehitykseen. Se on noin viidennes koko maailman käyttämästä rahasummasta.
Tutkimustyöhön panostamisella on kaksi tärkeää syytä. Ensinnäkin Kiina haluaa vähentää riippuvuuttaan ulkomaalaisesta teknologiasta ja toiseksi se haluaa päästä mukaan määrittämään, mihin suuntaan globaalia internetiä kehitettään.
Adam Segal arvioi, että Kiina on jo nyt Yhdysvaltojen kanssa pääroolissa internetin muovaamisessa.
– On vaikeaa ennustaa, mitä uudet teknogiat uudistavat ja mistä ne tulevat. Mutta kun katson kunnianhimoa ja kykyjä, niin tällä hetkellä Kiina on ykkönen, Segal sanoo.

Jakautuuko Internet kahtia?
Internet on pitkään ollut amerikkalainen projekti. Yhdysvaltain puolustusministeriön hankkeesta kasvaneeseen verkkoon on tänä päivänä yhdistetty kymmeniä miljardeja laitteita.
Länsimaissa Kiinan vaikutusvallan kasvun pelätään tekevän internetistä vähemmän globaalin ja vähemmän avoimen. Useat tahot puhuvat internetin pirstaloitumisesta. Viimeisimpänä hakukoneyhtiö Googlen entinen toimitusjohtaja Eric Schmidt, joka viime kuussa ennusti internetin jakautuvan kahteen osaan: Amerikan johtamaan osaan ja Kiinan johtamaan osaan.
Ajatuspaja CFR:n asiantuntija Adam Segal huomauttaa, että internet on jo nyt pirstaloitunut. Jo pelkästään eri kielet ja kulttuurit aiheuttavat pirstaloitumista verkossa. Harva suomalainen käy kiinalaisilla verkkosivuilla ja harva kiinalainen suomalaisilla.
Teknologinen pirstaloituminen on kuitenkin kiihtymässä, Segal myöntää. Sitä ruokkii Kiinan ja lännen välinen epäluottamus toisiaan kohtaan.
Teknologiayrityksille tämä aiheuttaa vaikeuksia, kun markkinat eriytyvät ja kansallinen alkuperä alkaa painaa yhä enemmän vaakakupissa. Segal ennustaa, että yritysten on tulevaisuudessa luotava kaksi tuotetta: toinen Kiinan ja toinen maailman markkinoille. Näin toimii esimerkiksi yhteisöpalvelu LinkedIn, joka sensuroi sisältöjä Kiinassa.
Kahdeksan vuotta sitten Kiinasta vetäytynyt Google on puolestaan kaikessa hiljaisuudessa kehittänyt sensuroitua hakukoneeta Kiinan markkinoille. Projekti Sudenkorennoksi nimetty hanke herätti paljastuessaan paheksuntaa länsimaissa.
Mitä tämä kaikki sitten tarkoittaa tavallisen internet-käyttäjän kannalta?
– Luulen, että näemme monia internet-verkkoja, jotka näyttäytyvät tavalliselle käyttäjälle yhtenä ja samana. Voit yhä lähettää sähköpostin ystävällesi Kiinaan. Viesti voidaan lukea, mutta se menee silti perille, Segal sanoo.
 

ctg

Ylipäällikkö
A newly discovered spy gang is eschewing boutique attack tools to instead use publicly available exploits against unpatched systems.

Known as Gallmaker, the cyber-espionage group is said to be targeting the embassies of an unnamed eastern European country and military defense installations in the Middle East. According to researchers at Symantec today, the crew has been operating since December of last year, relying entirely on code scraped from the public internet. We're told the gang are "likely" to be backed by an unnamed government.

"This group eschews custom malware and uses living off the land (LotL) tactics and publicly available hack tools to carry out activities that bear all the hallmarks of a cyber espionage campaign," Symantec claimed.

"The most interesting aspect of Gallmaker’s approach is that the group doesn’t use malware in its operations. Rather, the attack activity we observed is carried out exclusively using LotL tactics and publicly available hack tools."

According to Symantec, the group feeds booby-trapped Microsoft Office documents to victims via email. These files, when opened, launch PowerShell scripts via Redmond's much decried Dynamic Data Exchange (DDE) protocol. These scripts then open up connections to a remote control server, and from there, the attackers hope to siphon data from the infected machines and, in some cases, delete files to cover their tracks.

Note that these scripts exploit vulnerabilities in DDE that Microsoft patched in 2017 – so if you're up to date with your software, or better, turned off DDE support, you're all good for now. It's possible that the code could run anyway, even if you're patched, but only if a user or admin overrides the fix. In short, don't enable DDE, and don't allow users to reenable it.

Because the group appears to be targeting a specific country's embassies and a set of defense targets in the Middle East, Symantec believes the operation to be state-sponsored espionage.

"Gallmaker’s activity has been quite consistent since we started tracking it," Symantec said.

"The group has carried out attacks most months since December 2017. Its activity subsequently increased in the second quarter of 2018, with a particular spike in April 2018."

While the group is not using custom attack tools purpose built malware, researchers say that Gallmaker is in its own way a highly sophisticated operation.

By relying on publicly available tools, the group makes itself harder to detect in the wild and difficult to distinguish from "regular" cybercrime activity or even legitimate data traffic. Symantec said it only caught on to the group after noticing the suspicious PowerShell commands used to communicate with the control servers.

Researchers have been warning about the lowered barrier of entry for online espionage. Countries that were not thought to have the resources for sophisticated attacks have been able to repurpose other countries' tools or use public malware and leaked exploits for their own ends. ®
https://www.theregister.co.uk/2018/10/10/gallmaker_hacking_group/

Underground hacker forums in China and Russia are as different as each country's regular shopping bazaars, according to research from Recorded Future.


Both Russian and Chinese forums host a wide variety of international content. Russian forums rarely if ever feature data dumps from Russian firms. By contrast, data dumps and malware sourced from Chinese firms are usually only found on Chinese forums.


Chinese speakers are internationalists that are often active on Chinese, English and Russian forums. Perhaps unsurprisingly, because of the difficulties in learning the Chinese language, few if any native Russian or English speakers use Chinese forums.


Access to hacker forums within China is getting steadily more difficult because of sustained efforts to restrict Tor and VPN services. This is pushing Chinese hackers towards foreign forums, Recorded Future said. The result of this migration is that data and malware once unique to Chinese forums is more easily available internationally.


Recorded Future's research is based on a comparative analysis of underground markets and forums tailored to Russian and Chinese audiences over the past year. The researchers uncovered differences in the content hosted, as well as forum organisation and conduct.


Russian hacker forums tend to be more geared towards sales of illicit goods whereas their Chinese counterparts place more of an emphasis on building a community. By contrast there's little room for socialising on Russian-language forums.


Hacker bazaars in both China and Russia sell goods and services for regional users, although this is far more prevalent on Chinese forums.


Hacktivism began in China following politically sensitive international events and this kind of activity has continued even after the collapse of the original patriotic hacking groups
https://www.theregister.co.uk/2018/10/10/russia_china_hacker_forum_comparison/
 

Sardaukar

Ylipäällikkö
Lahjoittaja
En ollut ihan varma minne tästä kirjoittaisi, mutta pistetään tänne.

Redditissä oli mielenkiintoinen ja pitkä kuvaus Suomessa työskentelevän tietoturva-asiantuntijan kirjoittamana siitä, miten hän löysi tietoturva-aukon toisen suomalaisen yrityksen maksuliikenneohjelmistosta ja mitä siitä seurasi. Itse ketju löytyy tätä kautta, mutta se on todella pitkä ja tekninen joten voi olla vähän hankalalukuinen:

https://www.reddit.com/r/Suomi/comments/9opm9g
Vaikka henkilöiden ja yritysten nimiä ei mainita, enkä niitä ehkä itsekään halua kirjoittaa auki, on selvää että tapaus missä tuossa viitataan on tämä. Myös kirjoittajan nimi selviää tuosta jutusta: https://www.tivi.fi/Kaikki_uutiset/...ssa-yha-haavoittuvuus-basware-kiistaa-3326880

Tuossa on paljon mielenkiintoista, esim. se miten virastot vähättelivät ongelmaa ja yrittivät lakaista sen maton alle sekä miten heikoissa kantimissa suomalaisten pankkien tietoturva on, mutta kiinnostavin juttu oli se, mitä kirjoittaja kertoo työnantajansa entisestä toimitusjohtajasta, jotka selviävät hyvin nopeasti Googleamalla, mikä on referoitu linkin kommentissa:

Fluffiebunnie

87 points· 1 day ago· edited 1 day ago
Tarina antaa aika kylmää kyytiä työnantajastaan, SSH Communications Security Oyj:stä, ja sen entisestä toimitusjohtajastaan, Harri Koposesta:
Seems that the Vendor situation is more-or-less stalled, but he's got some good news. He's been doing a lot of work with a foreign government, and there is a "client" he has been working with that is VERY interested in "repeatable self-contained proof-of-concept code demonstrating exploits for each of the flaws in %money%". This "client" apparently is offering my employer a LOT of money, and because of this, this is now to be my TOP priority! I am to do NOTHING else until I have provided the complete code for exploiting %money% as a self-contained application with source code to him.
Myös Viestintäviraston toiminta vaikuttaa juuri niin luokattomalta kuin siltä voi odottaa.
(%money% viittaa siis tässä tuossa Tivin linkissä mainittuun tuotteeseen)

Tämä mainittu (tietoturvayhtiön!) toimitusjohtaja siis kirjoittajan mukaan halusi myydä silloin julkaisemattoman haavoittuvuuden, jota käyttämällä voitaisiin siirtää potentiaalisesti miljardin euron edestä rahaa suomalaisten yritysten tileiltä heidän sitä huomaamatta, vieraan valtion edustajille! Jokainen voi varmaan arvata mistä valtiosta voisi olla kyse. Aivan käsittämätön juttu, saa nähdä tajuaako media nostaa tätä esiin. Tai viranomaiset, muutamakin pykälä saattaisi tuossa tuolla kyseeseen.
 
Viimeksi muokattu:
Top