image

Fox-IT: Microsoft is onbetrouwbare partner

donderdag 12 april 2012, 12:40 door Redactie, 9 reacties

Door nalatigheid en het vooropstellen van de eigen belangen, heeft Microsoft bij het offline halen van verschillende Zeus-botnets meer kwaad dan goed gedaan, aldus het Nederlandse beveiligingsbedrijf Fox-IT. Op 26 maart kondigde Microsoft Operatie b71 aan, waarbij er zelfs een spannende video van een inval bij een hostingprovider werd gemaakt.

Het is echter onwaarschijnlijk dat hierop interessante informatie wordt aangetroffen, aldus hoofdbeveiligingsexpert Michael Sandee in deze kritische analyse van de operatie. "De criminelen weten dat deze systemen vroeger of later offline worden gehaald en onderzocht", merkt Sandee op. Een van de botnets was binnen 24 uur weer op een nieuwe Command & Control-server operationeel.

Domeinnamen
Microsoft nam tevens tal van domeinnamen in beslag, die door beveiligingsbedrijven geregistreerd waren om informatie over besmette machines te verzamelen. Providers en andere organisaties kunnen deze informatie gebruiken om te zien of besmette computers van klanten en abonnees verbinding met de domeinen in kwestie maken. Daardoor missen deze bedrijven nu een deel van hun inlichtingen, aangezien de ten onrechte in beslag genomen domeinnamen nog steeds niet zijn vrijgegeven.

De softwaregigant rapporteerde dat het de in beslag genomen domeinnamen naar eigen servers laat wijzen, maar dat het daarbij geen gegevens van besmette machines opvangt. Fox-IT ontdekte dat die bewering niet klopt en Microsoft wel degelijk gevoelige informatie van slachtoffers kan ontvangen.

Samenwerking
Sandee hekelt ook de informatie die Microsoft in een aantal documenten vermeldt. Het gaat hier om gegevens over de vermoedelijke botnetbeheerders. Deze informatie was volledig identiek aan de informatie die Fox-IT op een besloten mailinglist had gepubliceerd. De mailinglist stelt dat informatie alleen met toestemming van de auteur gedeeld mag worden. Daarbij zou de Microsoft-medewerker die de informatie van Fox-IT verwerkte ook nog eens door kennisgebrek de fout zijn ingegaan.

"Dit voelt als een grote klap voor ons", stelt Sandee. "We doen veel moeite om dit soort informatie te verkrijgen, terwijl een zakelijke reus als Microsoft deze informatie voor hun eigen marketing- en PR-doeleinden gebruikt, zonder de personen te benaderen die de informatie hebben geleverd." Volgens Sandee ondermijnt Microsoft op deze manier de samenwerking en het delen van informatie tussen beveiligingsbedrijven.

Onbetrouwbaar
De acties van Microsoft zijn dan ook schadelijker voor de security-gemeenschap dan voor de cybercriminelen die Microsoft wilde bestrijden, zo merkt de beveiligingsexpert op. "Iedereen in de industrie weet tenminste nu dat Microsoft een onbetrouwbare partner is, die grote moeite doet om degenen met wie het samenwerkt te verraden en geen verantwoording voor de eigen fouten te nemen", gaat Sandee verder.

"Het toont dat Microsoft alleen in het beschermen van de eigen belangen is geinteresseerd." Eerder vergat Microsoft bij het oprollen van een ander botnet ook al een partner te bedanken.

Reacties (9)
12-04-2012, 14:32 door Riviera
Beetje jezelf ophemelen en een ouderwets potje Microsoft bashen....
Verstokte Linux huggers kunnen het gewoon niet hebben dat Microsoft lekker bezig is de laatste tijd

zum kotzen!
12-04-2012, 14:48 door SirDice
Sandee hekelt ook de informatie die Microsoft in een aantal documenten vermeldt. Het gaat hier om gegevens over de vermoedelijke botnetbeheerders. Deze informatie was volledig identiek aan de informatie die Fox-IT op een besloten mailinglist had gepubliceerd. De mailinglist stelt dat informatie alleen met toestemming van de auteur gedeeld mag worden.
Is het niet een klein beetje naïef om te denken dat die informatie niet wordt doorgestuurd?
12-04-2012, 14:48 door User2048
Microsoft is helemaal niet lekker bezig. Ze hebben grote fouten gemaakt bij deze actie, waardoor het oprollen is mislukt en de daders vrijuit gaan. Ook is het opsporingswerk van vele anderen teniet gedaan. Daarnaast hebben ze informatie die in vertrouwen is gedeeld publiek gemaakt.

Het is niet alleen Fox-IT die kritiek heeft. De kritiek wordt gedeeld door een aantal andere security experts.
12-04-2012, 15:35 door dutchfish
Beste meneer Riviera,

Ik zou het bijna graag met je eens willen zijn, maar helaas ben ik alweer aan het twijfelen:
http://technet.microsoft.com/nl-nl/security/bulletin/ms12-027

Inderdaad zum kotzen.
12-04-2012, 15:50 door Riviera
Ik vind dit soort berichten gewoon nogal makkelijk proberen te scoren.

Er worden nogal makkelijke aannames gedaan door Fox-IT hier.


Sandee hekelt ook de informatie die Microsoft in een aantal documenten vermeldt. Het gaat hier om gegevens over de vermoedelijke botnetbeheerders. Deze informatie was volledig identiek aan de informatie die Fox-IT op een besloten mailinglist had gepubliceerd

Oh, dus alleen maar omdat de informatie identiek was, moet het van die besloten mailinglist zijn gekomen?
Fox-IT heeft die informatie toch ook ergens vandaan gesprokkeld, waarom zou een miljardenbedrijf als Microsoft (met ongetwijfeld een enorme beveiligings en intelligence afdeling) die informatie niet op een andere manier hebben kunnen verkregen?

Of hier:

De softwaregigant rapporteerde dat het de in beslag genomen domeinnamen naar eigen servers laat wijzen, maar dat het daarbij geen gegevens van besmette machines opvangt. Fox-IT ontdekte dat die bewering niet klopt en Microsoft wel degelijk gevoelige informatie van slachtoffers kan ontvangen.

Microsoft zegt dus dat ze geen gevoelige gegevens van besmette machines opvangen. Dat wil nog niet zeggen dat het kan of niet. Natuurlijk kán dat. Fox-IT zegt gelijk dat de bewering niet klopt?? MS beweert alleen maar het niet te zullen doen....wie zegt dat ze dat wel gedaan hebben dan?

Ja, er zijn fouten gemaakt, en het had misschien beter gekund.
Maar Microsoft is wel zo'n beetje de enige grote partij die daadwerkelijk in de tegenaanval gaat en actie onderneemt.

Iedere 'security-expert' zou ook moeten dat het daar vaak aan schort in het security vlak; er wordt ontzettend veel gepraat en gedacht en mooie plannen opgesteld en weet ik niet wat, maar dat uiteindelijk goed om te zetten naar de operatie gebeurt bijna nergens.

just my 2 cents
12-04-2012, 20:53 door WhizzMan
Door Riviera: Beetje jezelf ophemelen en een ouderwets potje Microsoft bashen....
Verstokte Linux huggers kunnen het gewoon niet hebben dat Microsoft lekker bezig is de laatste tijd
Ik zie hier geen argumenten van jou dat MicroSoft hier onterecht kritiek krijgt. Ook zie ik nergens iets over Linux in het artikel staan. Zou je tenminste de moeite willen nemen om je gebral met steekhoudende argumenten te onderbouwen als je het ergens niet mee eens bent? MicroSoft heeft hier een aantal dingen gedaan die (achteraf) beter hadden gekund. Zoveel staat echt wel vast. Of dat met opzet is gedaan of niet is lastig te bewijzen, maar gezien de hoeveelheid publiciteit die MicroSoft er aan geeft, ligt dat wel ontzettend voor de hand.

Door zonder overleg of samenwerking met een grote community die uit zowel particuliere bedrijven als uit overheidsinstellingen, wereldwijd, bestaat dit botnet op te rollen en alles naar zichzelf te trekken, zijn een boel lopende onderzoeken zwaar gefrustreerd en is er een vertrouwensprobleem ontstaan. Het is ongetwijfeld met de beste bedoelingen gedaan en de publiciteit was "leuk om dat ook in het nieuws te brengen", maar het is gewoon een domme stunt geweest waar beter over nagedacht had kunnen worden.

Nu jij weer.
12-04-2012, 22:43 door Anoniem
Door Riviera: Beetje jezelf ophemelen en een ouderwets potje Microsoft bashen....
Verstokte Linux huggers kunnen het gewoon niet hebben dat Microsoft lekker bezig is de laatste tijd

zum kotzen!

Dus Fox-IT zin Linux huggers ?
Op zich zou ik dit bijna als een compliment beschouwen maar vanwaar deze aanname ?
13-04-2012, 12:29 door Anoniem
Alle personen als Riviera die op de payroll staan van bedrijven als Microsoft verraden zich op een gegeven moment...
13-04-2012, 19:58 door Anoniem
Door SirDice:
Sandee hekelt ook de informatie die Microsoft in een aantal documenten vermeldt. Het gaat hier om gegevens over de vermoedelijke botnetbeheerders. Deze informatie was volledig identiek aan de informatie die Fox-IT op een besloten mailinglist had gepubliceerd. De mailinglist stelt dat informatie alleen met toestemming van de auteur gedeeld mag worden.
Is het niet een klein beetje naïef om te denken dat die informatie niet wordt doorgestuurd?

Ik ken de betreffende lijst niet, maar als die kleinschalig is, door security professionals bevolkt wordt, en vertrouwelijkheid is afgesproken verwacht je inderdaad niet dat een deelnemer informatie van die lijst ongevraagd in publicaties gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.