Nieuws
image

Onderzoekers: Unix-backdoor belangrijk onderdeel NSA-toolkit

woensdag 14 september 2016, 15:57 door Redactie, 15 reacties

In de verzameling malware, exploits en andere programma's die van de Amerikaanse inlichtingendienst NSA afkomstig zijn en onlangs op internet verschenen maakt een Unix-backdoor een belangrijk onderdeel uit. Dat zeggen onderzoekers van het Amerikaanse beveiligingsbedrijf Vectra.

Een persoon of groep die zichzelf Shadow Brokers noemt publiceerde halverwege augustus de tools van een spionagegroep genaamd Equation Group. Uit documenten van klokkenluider Edward Snowden blijkt dat het hier om malware en tools van de NSA gaat. Er werden verschillende exploits in de datadump aangetroffen, waaronder één voor een onbekende kwetsbaarheid in de netwerkapparatuur van Cisco. De ontdekking genereerde veel aandacht in de media.

Eén van de tools die ook in de verzameling werd gevonden maar nauwelijks aandacht kreeg is een Unix-backdoor genaamd NOPEN. "NOPEN wordt meerdere keren in de documentatie genoemd en lijkt de hoeksteen van hun infrastructuur. Het is zowel belangrijk als een backdoor in een aangevallen netwerk als een tool die voor een meerlaags terugbelnetwerk kan worden gebruikt", aldus onderzoeker Nick Beauchesne.

Eenmaal actief op een systeem maakt NOPEN het voor de NSA mogelijk om via een versleutelde tunnel met het systeem te communiceren, net als andere remote administration tools (rats) mogelijk maken. NOPEN beschikt echter ook over rootkit-eigenschappen, de mogelijkheid om rechten te verhogen en andere zaken. Toch is het mogelijk om de backdoor op te sporen. Het gedrag en uiteindelijke doel zijn namelijk nog steeds hetzelfde als die bij andere rats, zo stelt de onderzoeker.

Reacties (15)
14-09-2016, 16:14 door [Account Verwijderd]
[Verwijderd]
14-09-2016, 16:28 door Anoniem
Wie heeft een MD5 Hash van NOPEN toevallig?
14-09-2016, 16:29 door Anoniem
Zit dit in de kernel, of in SELinux? En hoe kan dit geblokkeerd/verwijderd worden?
14-09-2016, 16:53 door Anoniem
Door Anoniem: Zit dit in de kernel, of in SELinux? En hoe kan dit geblokkeerd/verwijderd worden?
Nou ik zal je 1 ding vertellen: als ik ooit dit aantref in mijn Linux systeem, komt er gewoon een clean-install en wordt de oude distributie finaal van de HD gewist.
14-09-2016, 16:55 door Anoniem
Vroegaah was SELinux een losse toevoeging aan de kernel, sinds jaren al onderdeel van de kernel maar wel eentje die door de NSA geschreven is. Moet de community niet eens heeeeel zorvuldig naar die code gaan kijken/auditten?
14-09-2016, 17:24 door Anoniem
Door Anoniem:
Door Anoniem: Zit dit in de kernel, of in SELinux? En hoe kan dit geblokkeerd/verwijderd worden?
Nou ik zal je 1 ding vertellen: als ik ooit dit aantref in mijn Linux systeem, komt er gewoon een clean-install en wordt de oude distributie finaal van de HD gewist.

Best kans dat ook de firmware van de hardware is aangepast dus zou het hele systeem de prullenbak in schuiven.
14-09-2016, 17:40 door Anoniem
Door Anoniem: Vroegaah was SELinux een losse toevoeging aan de kernel, sinds jaren al onderdeel van de kernel maar wel eentje die door de NSA geschreven is. Moet de community niet eens heeeeel zorvuldig naar die code gaan kijken/auditten?

Voor die vraag heb ik een jaar geleden een forumban gekregen, maar blijkt dus nu niet zo'n gek idee te zijn.
14-09-2016, 18:25 door Anoniem
Door Anoniem:
Door Anoniem: Vroegaah was SELinux een losse toevoeging aan de kernel, sinds jaren al onderdeel van de kernel maar wel eentje die door de NSA geschreven is. Moet de community niet eens heeeeel zorvuldig naar die code gaan kijken/auditten?

Voor die vraag heb ik een jaar geleden een forumban gekregen, maar blijkt dus nu niet zo'n gek idee te zijn.

Ik heb SELinux NOOIT vertrouwd, ik snap dat dat nu makkelijk praten is maar 10 jaar geleden keek men heel anders naar security/privacy/spionage.
14-09-2016, 20:57 door Anoniem
Door Anoniem:
Door Anoniem: Zit dit in de kernel, of in SELinux? En hoe kan dit geblokkeerd/verwijderd worden?
Nou ik zal je 1 ding vertellen: als ik ooit dit aantref in mijn Linux systeem, komt er gewoon een clean-install en wordt de oude distributie finaal van de HD gewist.
En de nieuwe distributie bevat af fabriek al de backdoor.
14-09-2016, 22:54 door Army
Door Anoniem:
Door Anoniem:
Door Anoniem: Vroegaah was SELinux een losse toevoeging aan de kernel, sinds jaren al onderdeel van de kernel maar wel eentje die door de NSA geschreven is. Moet de community niet eens heeeeel zorvuldig naar die code gaan kijken/auditten?

Voor die vraag heb ik een jaar geleden een forumban gekregen, maar blijkt dus nu niet zo'n gek idee te zijn.

Ik heb SELinux NOOIT vertrouwd, ik snap dat dat nu makkelijk praten is maar 10 jaar geleden keek men heel anders naar security/privacy/spionage.
NSA heeft al meerdere malen toegegeven dat het vrijgeven van SELinux een foute beslissing was. Niet omdat slecht is, maar omdat het te goed werkt als het correct gebruikt wordt. De volgende stap is eigenlijk om geheel over te stappen op DBUS ipv traditionele IPC, want daarmee komt Linux eigenlijk langzaam op het niveau van wat GNU met Hurd voor ogen had qua sandboxing van processen. Het wordt dan ook langzaam interessant als Flatpak mainstream wordt en de sandboxing daadwerkelijk voor enduser applicaties laagdrempeliger wordt.
15-09-2016, 09:00 door Anoniem
Door Anoniem:
Door Anoniem: Zit dit in de kernel, of in SELinux? En hoe kan dit geblokkeerd/verwijderd worden?
Nou ik zal je 1 ding vertellen: als ik ooit dit aantref in mijn Linux systeem, komt er gewoon een clean-install en wordt de oude distributie finaal van de HD gewist.

Ik denk dat, als jij deze detecteertop een systeem onder jouw beheerd, dat je je eerst andere zorgen moet maken. Waarom zou de NSA namelijk geïnteresseerd zijn in de jou?
15-09-2016, 10:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Zit dit in de kernel, of in SELinux? En hoe kan dit geblokkeerd/verwijderd worden?
Nou ik zal je 1 ding vertellen: als ik ooit dit aantref in mijn Linux systeem, komt er gewoon een clean-install en wordt de oude distributie finaal van de HD gewist.

Ik denk dat, als jij deze detecteertop een systeem onder jouw beheerd, dat je je eerst andere zorgen moet maken. Waarom zou de NSA namelijk geïnteresseerd zijn in de jou?

http://www.theregister.co.uk/2014/07/03/nsa_xkeyscore_stasi_scandal/
15-09-2016, 11:20 door Anoniem
K ben wel benieuwd of Klai Linux nog geschikt is nu deze backdoor vrij is gekomen.
16-09-2016, 01:46 door Anoniem
Door Anoniem: Vroegaah was SELinux een losse toevoeging aan de kernel, sinds jaren al onderdeel van de kernel maar wel eentje die door de NSA geschreven is. Moet de community niet eens heeeeel zorvuldig naar die code gaan kijken/auditten?
Die zelfde kernel kan je zelf compilen dus alles uitzetten van SELinux en dan bv AppArmor gebruiken of wat anders.
Ze mogen eerder Systemd auditen zeker nu dat het eigenlijk alles opeet gaat dit nog een hele klus worden om dit te auditen.
19-09-2016, 15:52 door Anoniem
Door Anoniem: Vroegaah was SELinux een losse toevoeging aan de kernel, sinds jaren al onderdeel van de kernel maar wel eentje die door de NSA geschreven is. Moet de community niet eens heeeeel zorvuldig naar die code gaan kijken/auditten?
Waarom zou de NSA dan aan Linus Torvalds gevraagd hebben een backdoor in te bouwen?
Non est Logica sub pontio pilato.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search