» »

Tri mesece po hekerskem napadu nemški parlament še vedno ranljiv

Tri mesece po hekerskem napadu nemški parlament še vedno ranljiv

vir: Heise
Heise - Tri mesece po hekerskem napadu na nemški parlament, za katerega so Nemci obtožili Rusijo, incident še vedno ni saniran. Mesec dni po napadu je bil trojanec še vedno aktiven, njegova odstranitev pa sploh ni enostavna, ker se skriva tudi v firmwaru in drugod. Omenjala se je celo radikalna možnost, da bo treba zamenjati celoten računalniški sistem. Sedaj je vmes prišla grška kriza in računalniški sistem ostaja neočiščen in ranljiv.

Konec julija so nemške poslance obvestili, da bodo veliki postopek čiščenja in zamenjave sistema začeli danes, zaradi česar bodo do ponedeljka brez dostopa do službenega omrežja in elektronske pošte, kasneje pa bodo morali ponastaviti vsa gesla. Ker do konca avgusta v Nemčiji trajajo parlamentarne počitnice, poseg ne bi smel preveč ovirati delovanja parlamenta. Situacijo je zapletla grška kriza, saj v teh dneh poteka dogovarjanje o novem posojilu tej državi. Zaradi tega so se v nemškem parlamentu odločili, da za nedoločen čas preložijo vzdrževalna dela na sistemu. Prihodnji teden se utegne primeriti izredno zasedanje nemškega parlamenta, kjer bo treba potrjevati nov paket pomoči, zato si ne morejo privoščiti izpada parlakoma (internega komunikacijskega sistema). Nemški parlament tako do nadaljnjega ostaja ranljiv.

Kdo je trojanca v resnici poslal nad Nemce, ni jasno. Je pa Die Welt lepo opisal dogajanje, ki je vodilo do odkritja vdora. Začelo se je kot rutinska preiskava spama oziroma normalnega poizkusa vdora 8. maja letos, štiri dni pozneje pa so dobili informacijo, da sta dva računalnika stopila v stik z IP-naslovom v Vzhodni Evropi, od koder se širijo virus in trojanci. Šlo je za računalnika dveh poslancev - enega iz CDU-ja in enega iz Levice.

17 komentarjev

Glugy ::

Zanimivo da niti Nemci ne morejo tega tako hitro porihtat. Me prov zanima kaj bojo nardil da bodo zadevo popravil.

konspirator ::

Predlagam da vsak poslanec dobi kredo s tablico (ne ono na elektriko).

So medtem že ugotovili, kdo ima v oblasti IP-naslov v Vzhodni Evropi ? Ker vse skupaj bolj diši na nsa opracijo.
--

Jarno ::

Eh, stari dobri časi ROM-ov.
Posodobitev taka, da pač zamenjaš rom čip in voila (kjer je možno).
Ne razumem, zakaj se ne specializirajo na tovrstne rešitve, zdaj pa jim "custom firware" lepo najeda.

konspirator ::

Računaj da imajo trojance verjetno na vsej opremi - če se dovolj potrudiš delajo na routerjih, switchhi, tiskalnikih, skenerjih, tipkovnicah in seveda desktop/prenosnikih/telefonih.
--

Zgodovina sprememb…

Mr.B ::

Pač so fantje "ne plačali" za to da so obstali na Windows XP. Ali pa imajo prevelik ego...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

poweroff ::

sudo poweroff

Dr_M ::

Slaba sala.
Ce imas zadevo v firmwareu, ti tudi tist malware od linuxa nic ne pomaga.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

poweroff ::

Res je. Si pa vsaj varen pred EXE komerialnim malwareom. Drugače pa ne razumem, zakaj EU ne začne finančno podpirati Coreboot projekta... če se že gremo neko neodvisnost.
sudo poweroff

SeMiNeSanja ::

Coreboot bi bilo lažje očistiti, to se strinjam.
Se pa bojim, da bi ga bilo tudi lažje okužiti? Ne vem, kakšne varnostne mehanizme so vgradili vanj, da se to nebi moglo zgoditi.
Medtem ko je klasični BIOS napisan v ASM, je Coreboot v C-ju, pa še source je na voljo. Če potem zmanipuliraš payload..... noja, k sreči tega že lahko AV program preverja, če se ne motim? Hudir je samo to, da se na AV ne moreš zanesti, sploh ne, če si 'high value target', kot npr. Bundestag.

SleepyFE ::

SeMiNeSanja je izjavil:

Coreboot bi bilo lažje očistiti, to se strinjam.
Se pa bojim, da bi ga bilo tudi lažje okužiti? Ne vem, kakšne varnostne mehanizme so vgradili vanj, da se to nebi moglo zgoditi.
Medtem ko je klasični BIOS napisan v ASM, je Coreboot v C-ju, pa še source je na voljo. Če potem zmanipuliraš payload..... noja, k sreči tega že lahko AV program preverja, če se ne motim? Hudir je samo to, da se na AV ne moreš zanesti, sploh ne, če si 'high value target', kot npr. Bundestag.


Na novih sistemih je BIOS zamenjal UEFI, ki je prav tako spisan v C.

SeMiNeSanja ::

Nisem želel poudariti v čem je pisan - to samo po sebi še ne predstavlja posebno ranljivost. Bolj sem mislil na to, da je source na voljo, kar pri UEFI (vsaj mislim) ni. Skratka, lažje je naštudirati, kje bi se dalo kaj 'doštukat', pa da sistem ne začne kreširat zaradi tega. Ker imaš source, ga lepo prevedeš in nekako spraviš na žrtvino mašino. Kot sem rekel - ne vem, kakšne mehanizme so vgradili, da se to nebi moglo naresti.

Če nimaš izvorne kode UEFI, je vseeno malenkost težje kaj doštrikat, sploh če se nekje preverja še checksum. Ampak očitno tudi to ni poseben problem zmanipulirati...

Boš sam napisal programček, ki bo periodično delal checksum in ga primerjal s shranjeno vrednostjo, pa boš nazadnje ugotovil, da je malware celo tako brihten, da se še za checksum zlaže....?

Po svoje je treba pisce tega malware-a občudovati. Škoda edino, da svoje znanje in fantazijo tratijo na napačni strani legalnosti.

poweroff ::

SeMiNeSanja je izjavil:

Skratka, lažje je naštudirati, kje bi se dalo kaj 'doštukat', pa da sistem ne začne kreširat zaradi tega. Ker imaš source, ga lepo prevedeš in nekako spraviš na žrtvino mašino.
...
Boš sam napisal programček, ki bo periodično delal checksum in ga primerjal s shranjeno vrednostjo, pa boš nazadnje ugotovil, da je malware celo tako brihten, da se še za checksum zlaže....?

Valjda se zlaže. Tukaj je potem edina rešitev TPM oz. da greš še za en nivo nižje in preverjaš integriteto BIOS-a/UEFI-ja.

Intel ima neko zadevo, ki se ji reče Intel Boot Guard in počne točno to - preverja integriteto BIOS-a.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Intel ima neko zadevo, ki se ji reče Intel Boot Guard in počne točno to - preverja integriteto BIOS-a.

Ampak očitno znajo tudi to zaobiti?

konspirator ::

Samo Intel Boot Guard izključuje coreboot.
https://mjg59.dreamwidth.org/33981.html
--

HPME ::

Upam da bodo uporabili Linux.

noraguta ::

Ki je itak že default dopiran od nsa. Pustimo ostale ob strani. Najbol se clovek nasmehne ob selinux. Aproved by nsa.
Pust' ot pobyedy k pobyedye vyedyot!

poweroff ::

To lahko govori samo tak nevednež, kot so tisti, ki so trobezljali o NSA keyih v Windows registru.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Informacijski napad na avstrijsko zunanje ministrstvo

Oddelek: Novice / Varnost
64250 (3025) carota
»

Hekerji vdrli v računalniški sistem nemške vlade

Oddelek: Novice / Varnost
126647 (5507) BlaY0
»

Nemški parlament vendarle ukrotil okužbo s trojancem

Oddelek: Novice / Varnost
197839 (5959) Dr_M
»

So hekerji napadli nemški raketni sistem na turško-sirski meji?

Oddelek: Novice / Varnost
55742 (5249) vostok_1
»

Napad v Oslu: igre niso krive, spet stare debate o nadzoru interneta

Oddelek: Novice / NWO
4010728 (9319) vidz81

Več podobnih tem