VS: miljoenen computers kwetsbaar door zerodays die ex-directeur verkocht
Zeroday-exploits die een voormalige directeur van een Amerikaans defensiebedrijf stal en verkocht aan een handelaar gaven toegang tot miljoenen computers, aldus de Amerikaanse openbaar aanklager. De exploits hadden volgens de aanklacht wereldwijd voor allerlei doeleinden kunnen worden gebruikt, van ransomware en fraude tot diefstal en spionage.
Met de verkoop van de gestolen exploits aan een Russische reseller zou de 39-jarige Australische verdachte 1,3 miljoen dollar hebben verdiend. De verkochte exploits en informatie hadden een waarde van 35 miljoen dollar, aldus de aanklager. De reseller waar de exploits aan werden verkocht zou allerlei klanten hebben, waaronder de Russische overheid, liet de aanklager eerder weten.
Eind vorig jaar bekende de directeur dat hij van 2022 tot en met 2025 zijn toegang tot het netwerk van het defensiebedrijf gebruikte om de exploits te stelen en daarna te verkopen. In totaal zouden er acht "cyber exploit components" zijn verkocht aan de reseller. Voor welke kwetsbaarheden deze exploits waren bedoeld is niet bekendgemaakt. Wel stelde de aanklager dat ze exclusief waren bedoeld voor de Amerikaanse overheid en geselecteerde bondgenoten.
"De exploits die de gedaagde verkocht. waaronder zeroday-exploits, zijn zeer krachtig en hadden de Russische handelaar en diens klanten toegang tot miljoenen computers en apparaten wereldwijd kunnen geven, waaronder in de Verenigde Staten", aldus de aanklager in een nieuw document (pdf). De verdachte wordt waarschijnlijk eind deze maand veroordeeld. De aanklager heeft een gevangenisstraf van negen jaar geëist, het betalen van een schadevergoeding van 35 miljoen dollar en een boete van 250.000 dollar.
In een brief stelt de verdachte zijn acties te betreuren en schrijft dat die het gevolg waren van 'een ongelukkige periode van buitengewoon slecht beoordelingsvermogen, verergerd door ernstige werkstress en uitputting, die bijdroegen aan roekeloos, schadelijk en vooral verkeerd gedrag' (pdf).
Die hebben/hadden vijf ogen.
Ik denk dat dat uberhaupt niet illegaal is.
Maar goed - overheden mogen ook tanks en raketten kopen en verkopen.
Die hebben/hadden vijf ogen.
Een gewone burger uit de UK, AU of de andere paar ogen zal in de VS echt geen staatsgeheimen (cq de security clearance ervoor) krijgen .
Alleen hier kreeg hij er zicht op in Australie in een Australisch bedrijf.
Mission accompished!
Maar ik droom hardop. Het fixen van bugs loont niet. Het enige wat boeit is de interface van de maand en de nutteloze funties die uiteraard steeds op een andere plaats zitten omdat dit nou eenmaal de laatste mode is. Helaas. Wat ik wil is wel zoooo enorm ver verwijderd van enige realiteit: dat dit stopt.
Ik SNAK naar tijden toen software nog gewoon werkte en getest werd voordat het op de markt losgelaten werd. Nu is het "ok als het compiled. We horen wel waar het fout gaat".
Wij als users hebben de macht. Maar als wij "als grote geheel" er niks mee doen, lachen die dikkoppen met zijden stopdassen zich een breuk. Waarom verkwanselen we onze macht toch zo?
Als wij stemmen met de portemonee, benen of principes, is dat zo gedaan! Maar toch vinden we Stockholm een geweldige stad. WTF man! Waarom is iedereen zo willoos? Wat is er gebeurd met het opstandige volkje dat zich niet in de tang laat pakken?
Gooi je zak chips weg, cancel je Netflix account en kom van de bank los!
DOE WAT!
Maar goed exploits kunnen ook door de verkeerde partij worden gebruikt...
Techniek is goed/verkeerd blind.
Het enige juiste is de fouten laten fixen....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
