Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

10-03-2017, 17:24 door [Account Verwijderd], 10 reacties
Laatst bijgewerkt: 11-03-2017, 00:43
[Verwijderd]
Reacties (10)
10-03-2017, 18:42 door Anoniem
Allemaal conspiratie verhalen zonder grond, voor het merendeel dan. Zo zou je ook evenzeer kunnen verdedigen bijvoorbeeld dat bepaalde nog niet gedetecteerde backdoors via allerlei updates van software en browsers bij voorbeeld worden verspreid, maar dat wordt dan weer ontkracht door andere bevindingen. En sommige dingen is fudd, bijvoorbeeld dat AV de eigen te detecteren malware ontwerpt. Er zijn er die het ondanks alle ontkrachtingen van hun standpunt blijven herhalen en geloven.

Ik denk eerlijk door mijn eigen ondervindingen van de afgelopen jaren (duizenden stukken sourcecode gescant op duizenden websites) dat het in stand houden van de a priori onveilige infrastructuur al voldoende voorwaarden schept om op allerlei manieren dit gestelde doel te bereiken.

Het onttrekt zich gedeeltelijk aan het oog maar het is anderszins goed te volgen. Onzichtbare tracking gaat op allerlei niveau's en in alle netwerklagen constant door. Met wie delen de grote spelers al hun eindgebruikerdata? In hoeverre liggen de grote Amerikaanse en westerse tech-bedrijven in bed met de drie letter diensten van de westerse wereld en niet-westerse companen?

Er is allerlei onveilige soep code te bouwen via onveilig PHP, via inline javascripting, via niet goed uitgevoerde input-output validatie, door bulk-hosters en CDN's bijvoorbeeld clouddiensten, die niet exact die e2e encryptie leveren die ze beloven.
Manipulatie van verkeersstromen. Rogue dit en dat, niet betrouwbare autonome systemen. Doe eens wat simpele analyses op de XSS sources and sinks via een DOM XSS scanner, kijk eens welke code verouderd, af te serveren, zelfs door ontwikkelaars compleet verlaten, etc. is.

En de grootste bedreigende factor in het geheel is de steeds dommer wordende zwakste schakel in het geheel, de wezens die we hier zien rondlopen met een romp, twee armen, benen en een hoofd en steeds afnemende hoeveelheid inzicht.
PEBKAC is de grootste bedreiging, niet de CIA, het Nationale Surveillance Agentschap etc.

Je kan zeggen wat je wil, maar "The Ever Surprising Donald" heeft alles wel in een bewustmakende stroomversnelling gebracht. Als we hem ergens hulde voor moeten brengen, is dat het brengen van verheldering bij de grote massa via twitters en tweets door de controversen zijn mensen tenminste gaan nadenken. President Trump als katalysator van veiligheidsbesef.

Kijk eens waar het lekt via Cloudbleed, Heartbleed, DROWn, waar naamservers en andere servers te luid de configuratie verraden, wat een IP nmap scannetje al ontdekken laat, een asp net scannetje en hackers en crackers trekken nog wat meer na dan de doorsnee third party security error hunter.

Kijk eens wat er op servers naast het normaal gevondene allemaal staat, doe eens een Intellitamper scan? Kijk eens wat er allemaal aan iOt en devices in de basis aan onveiligheid rondzwerft?

Hoe krijg je het in vredesnaam weer een klein pietsje veiliger en nog erger wat van de hele infrastructuur globaal genomen kan je nog vertrouwen, misschien niet eens de eigen data die je ingeeft. Misschien werd de encryptie wel vanaf de zwakste kant eerst geconfigureerd.

Volgens mij is het hele Internet 1 hele grote lek-machine. Niet meer en niet minder en dat in het belang van de 1% absolute heersende machthebbers tegen de rest van alle sheeple (een nieuwe samentrekking van dewoorden people & sheep).

Ga er niet van wakker liggen. Het is de wereld waarin we leven en de beweging werd al van de jaren tachtig der vorige eeuw ingezet. Het wordt nu alleen maar drastischer. De Mad Max filmwereld is ons voorland, coming near a theater near you in 2017.

luntrus
10-03-2017, 19:45 door Anoniem
Dit was een leak van hacking tools welke werden ingezet op computers van individuele mensen of groepen mensen.
Dit is een separaat team van andere teams, bijv. teams die samenwerken met software leveranciers die backdoors hebben geplaatst.

Dus nee, het bewijst geen afwezigheid van backdoors, het bewijst van het bestaan af van (zeroday) exploits, gekocht of ontwikkelt door de CIA.
10-03-2017, 20:24 door Anoniem
Als je denkt dat in alle devices een backdoor zit, waarom zit je dan nog op het internet? ;-)
10-03-2017, 21:22 door Anoniem
Door Joey van Hummel: Een algemeen geaccepteerde theorie onder ons (en elders) is dat de NSA/CIA backdoors in laten bouwen door grote fabrikanten, zoals Apple, Microsoft, Google, etc.

De onthullingen van Wikileaks omtrent het grote aantal exploits voor deze fabrikanten, doet mij vermoeden dat er geen backdoors in hun software zit. Namelijk; waarom zou men exploits nodig hebben voor systemen met backdoors?

Aan de andere kant; als de massa denkt dat er een backdoor is, welke betere manier om die theorieën te ontkrachten dan de schijn te geven exploits nodig te hebben? Is Vault 7 een PR-stunt?

Ook schijnen de exploits vooral voor oudere systemen te zijn. Wellicht zitten er enkel backdoors in modernere software?Allemaal aluhoed-denken natuurlijk, maar ik ben benieuwd naar jullie inzichten.

Schijnen en vermoeden

Fabrikanten schijnen beweerd te hebben dat.
Duik zelf in de documenten om te kijken of het klopt dat 'vooral' oudere systemen getarget werden.

Verder is het helemaal geen algemeen geaccepteerde theorie dat fabrikanten allemaal backdoors hebben ingebouwd, dat maak jij ervan.
Alles ten dienste van een ontsporende discussies gebaseerd op vermoedens en geruchten?
Als je een eigen waarheid wil creëren is daar altijd naar toe te redeneren.

Lang leve de schijnende vermoedens en de omkeerlogica?
10-03-2017, 23:11 door Anoniem
Dus we komen waarschijnlijk nooit achter het 'ware' scenario', als dat al niet altoos verborgen blijft.
In hoeverre is het lek en degene die lekte te vertrouwen? Wij weten het niet.

Wat gaat men doen aan damage control? Hoe gaat men het ontkrachten, omdraaien, verdoezelen, welke actie zet men in om de aandacht weer op iets anders te gaan richten. Want bepaalde krachten zitten kennelijk in zwaar weer.

Als we geleerd hebben en ik denk dat we zoiets niet snel genoeg in ons leven kunnen leren, namelijk de onbetwistbare waarheid dat er niets maar dan ook niets toevallig gebeurt in deze wereld. Wat is dan de agenda achter deze lekken?

Vooralsnog is net het als anoniem van 21:22 terecht opmerkt alleen maar pure speculatie en interpretaties van speculaties.
11-03-2017, 00:41 door [Account Verwijderd]
[Verwijderd]
11-03-2017, 01:07 door Anoniem
Ja die backdoors zitten er.
Die zijn zelfs verplicht ! Wettelijk !

Vault7 komt ook met de rol van overheden binnenkort . dan komt de volgende rel maar helaas na de verkiezingen . .
11-03-2017, 01:36 door johanw
Hoe dacht je dat een backdoor eruit ziet? Een speciaal inlogaccount met user cia, password cia? Een echte backdoor zal er in de praktijk uitzien als iets dat je ook per ongeluk fout had kunnen doen, zoals een onvolledige inputvalidatie of (bij encryptiesystemen erg populair want moeilijk te vinden, zelfs voor specialisten) een gammele random generator.
11-03-2017, 13:12 door Anoniem

Door Anoniem:
Door Joey van Hummel: Een algemeen geaccepteerde theorie onder ons (en elders) is dat de NSA/CIA backdoors in laten bouwen door grote fabrikanten, zoals Apple, Microsoft, Google, etc.

De onthullingen van Wikileaks omtrent het grote aantal exploits voor deze fabrikanten, doet mij vermoeden dat er geen backdoors in hun software zit. Namelijk; waarom zou men exploits nodig hebben voor systemen met backdoors?

Aan de andere kant; als de massa denkt dat er een backdoor is, welke betere manier om die theorieën te ontkrachten dan de schijn te geven exploits nodig te hebben? Is Vault 7 een PR-stunt?

Ook schijnen de exploits vooral voor oudere systemen te zijn. Wellicht zitten er enkel backdoors in modernere software?Allemaal aluhoed-denken natuurlijk, maar ik ben benieuwd naar jullie inzichten.

Schijnen en vermoeden

Fabrikanten schijnen beweerd te hebben dat.
Duik zelf in de documenten om te kijken of het klopt dat 'vooral' oudere systemen getarget werden.

Verder is het helemaal geen algemeen geaccepteerde theorie dat fabrikanten allemaal backdoors hebben ingebouwd, dat maak jij ervan.
Alles ten dienste van een ontsporende discussies gebaseerd op vermoedens en geruchten?
Als je een eigen waarheid wil creëren is daar altijd naar toe te redeneren.

Lang leve de schijnende vermoedens en de omkeerlogica?

Zie ook hierboven. Ik heb een en ander verkeerd verwoord inderdaad, maar niet met opzet. Dat maak jij er van. ;-)
Ik heb mijn originele post licht aangepast. Ik moet me inderdaad nog meer verdiepen in de daadwerkelijke exploits, maar wilde vooral nakijken of mijn gedachte klopte: als de NSA / CIA backdoors hebben, hebben ze dan nog exploits nodig voor diezelfde systemen?
Het is niet mijn bedoeling om een eigen waarheid te creëren, juist het tegenovergestelde: ik heb een gedachte en wil kijken wat anderen denken en weten.
Excuses dat dit niet duidelijk was, maar zullen we het wel beschaafd houden?

Beschaving begint alleen al met juist citeren en geen informatie weglaten.
Als je al begint met een suggestiever gemaakt verhaal zal het de discussie daarnaa alleen maar opzwepen.
Zeker online.
En je had de informatie in eerste hand beschikbaar.

Microsoft: Oudere Windows-versies doelwit CIA-hacktools
https://www.security.nl/posting/506911/Microsoft%3A+Oudere+Windows-versies+doelwit+CIA-hacktools

Daarnaast is de reactie tekst beschaafd opgesteld en snijdt zelfs na je aanpassingen nog steeds hout.
Het blijft suggestief.

Verkeerde instart van een discussie die je bij het aantal reacties en zelfs na kleine aanpassing van je tekst nu moeilijk nog tot iets fatsoenlijks kan breien.
Als er advertenties naast hadden gestaan, had het direct in de categorie clickbait kunnen vallen.

Meer waarde hebben dit soort rellerige postings niet.
11-03-2017, 13:41 door Anoniem
Ja of de encryptie "op zijn kop" aanbieden (geconfigureerd van zwak cypher eerst naar sterk later), wie checkt het en dan zijn er al weer heel wat 'vogelvoer' geworden voor die drie letter dienst met Europese uitvalbasis in Frankfurt. Er zijn vele van zulke shortcuts ingebouwd, geloof mij maar!

Als we dus alles wat bekend is gaan evalueren wordt het stemmen op de Piratenpartij toch wel belangrijk, lijkt me.

Dan moet deze partij in de leiding toch wel ook in de aansturing computer veiligheidseidsexperts aantrekken (meekrijgen) om werkelijk wat verschil te kunnen maken en in debatten de onnozelaars en ondanks het geroeptoeter der andere partijen ieder juist voor te lichten waar de gemiddelde denkfouten zitten.

M.i. een kansloze missie, want daar zijn politiekers doorgaans te arrogant en geborneerd voor en eigen fouten toegeven is wel het laatste wat je van politici van heden ten dage kan verwachten. Vroeger was er nog iets van eergevoel te bekennen en nam men consequenties van eigen daden hoog op. Nu is een schaamlap soms nog te veel gevraagd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.