Heet van de naald: Gegijzelde computers... NIEUWS

[h2o]

Ik heb intussen een Debian-kiosk draaien in een virtuele machine. Werkt prima i.c.m. firejail. Alleen de download directory is gedeeld. Wat je nu leest is getypt vanaf deze Debian-kiosk.
Het draait vlotjes op 768 MB met de LXDE desktop. Ik werk met Icedove (Thunderbird) en Palemoon.
Als er belangstelling voor is wil ik een en ander wel documenteren.

[partyrabbit]

Ik ken persoonlijk nog niemand in mijn omgeving die de pineut is. Jullie?

[Ron]

Ik ken persoonlijk nog niemand in mijn omgeving die de pineut is. Jullie?

Nope, maar in Nederland zitten (bijna) alle thuis gebruikers achter een router, en poort 445 forwarden is niet echt standaard, of default.......

[partyrabbit]

Het is toch mogelijk. Het is toch nog niet zo lang geleden dat iemand die ik ken gegijzeld was. Al is dat de enige die ik ken.

Vooral bedrijven met ouwe meuk dus?
Ik was wel benieuwd.  Omdat ik er inderdaad weinig van hoor.

[maasnet]

Opnieuw grootschalige malware uitbraak gedetecteerd.
Opnieuw is malware ontdekt die wordt verspreid met behulp van de kwetsbaarheden in Windows die ook door de Wannacry ransomware worden uitgebuit.
In dit geval gaat het om de malware Adylkuzz, die gericht is op het minen van cryptocurrency.
De malware is ontdekt door beveiligingsbedrijf Proofpoint, die stelt dat het nieuwe virus subtieler te werk gaat dan Wannacry.
Zo merken gebruikers in de praktijk niet dat hun systeem is besmet en werkt de malware op de achtergrond.
Adylkuzz zet rekenkracht van geïnfecteerde machines in om de cryptocurrency Monero te minen.
Monero is een tegenhanger van Bitcoin.
Gebruikers merken vooral dat hun machine langzamer wordt.
Honderdduizenden systemen besmet.
De kwaadaardige software is vermoedelijk al sinds 2 mei of zelfs 24 april actief. De aanval is echter nog steeds aan de gang.
Vermoedelijk zijn honderdduizenden systemen met de malware besmet.
Aangezien Adylkuzz dezelfde beveiligingsproblemen in Windows uitbuit als Wannacry kunnen gebruikers zich tegen de aanval wapenen door de Windows patch MS 17-010 te installeren.
Deze patch is in maart door Microsoft vrijgegeven.

Bron: https://dutchitchannel.nl/577502/nieuwe-malware-infecteert-honderdduizenden-machines.html

[Nero]

http://deredactie.be/cm/vrtnieuws/opinieblog/opinie/1.2982123

[Pjotr]

We kunnen het onderwerp van dit draadje wel veranderen in: "Kwaadaardige programmatuur voor Windows in omloop".....

Maar ja, wel een beetje saai, want wat is daar bijzonder aan? Dat is immers al 20 jaar aan de orde van de dag.

En wat hebben wij er überhaupt mee te maken? 

[rico70]

En wat hebben wij er überhaupt mee te maken? 

Meer dan je denkt
Je zal bv maar een ID kaart aan moeten vragen en de computer in de stadswinkel doet het niet. Of het PIN systeem ligt plat. Ook al gebruiken we zelf geen Windows, indirect hebben we er nog steeds mee te maken

[partyrabbit]

En wat hebben wij er überhaupt mee te maken? 

Ach Pjotr. Na jarenlang opgedrongen te zijn met dat soort gedonder is het ook wel eens lekker om bevestigd te krijgen dat je een keuze gemaakt hebt die wat rust biedt.
Die opluchtende constatering vind ik best een prettige bevestiging. 
En op verjaardagen vertelt toch ook iedereen blij hoe hij net 'aan dat ongeluk ontsnapt' is en zo.

En het is gelukkig niet zo dat er gezegd wordt dat win zelf één groot malware virus minder deugdelijke os is.

Even serieus.
Op zich is er denk ik niets mis met op de hoogte blijven van wat er in de ICT wereld speelt en dat eens over onze keuze te leggen.
Uit dit topic blijkt wel dat er toch nog wel wat onduidelijkheid bestaat omtrent linux en zijn veiligheidsaspecten. Nooit verkeerd om daar weer wat meer duidelijkheid in te krijgen denk ik.

[spievensterke]

Even serieus.
Op zich is er denk ik niets mis met op de hoogte blijven van wat er in de ICT wereld speelt en dat eens over onze keuze te leggen.
Uit dit topic blijkt wel dat er toch nog wel wat onduidelijkheid bestaat omtrent linux en zijn veiligheidsaspecten. Nooit verkeerd om daar weer wat meer duidelijkheid in te krijgen denk ik.

Mee eens, +1 

[swake]

Elk systeem is kwetsbaar ook Linux . Of jullie weten het niet , of jullie zijn het al vergeten dat het ubuntu forum ook gehackt werd , ook door nalatigheid wegens niet patchen .
https://insights.ubuntu.com/2016/07/15/notice-of-security-breach-on-ubuntu-forums/

[Bloom]

Je moet wel een onderscheid maken tussen php-scripts en Linux he. Als een kwetsbaarheid in een php-script van een webserver ongeoorloofde toegang biedt tot een Linux systeem, is dat geen kwetsbaarheid van Linux maar van dat php-script. Hetzelfde script kan ook op Unix, Solaris en Windows draaien en zorgt daar dan voor krek dezelfde kwetsbaarheid.

[swake]

Ik zal het anders citeren . Als men niet patcht als het nodig is dat elk systeem kwetsbaar is .
Ook Linux mint werd al eens gehackt en werd er een geïnfecteerd ISO bestand ge-upload .
http://baudrez.be/opgepast-linux-mint-cinnamon-64-bit-iso-van-20-februari-is-gehacked/

[Ron]

Ook Linux mint werd al eens gehackt

Nee, de webserver met WordPress CMS werd gehackt en daar werd een link naar de ISO aangepast naar een andere server.

[ZijneBalorigheid]

Gegroet Allen,

Dit topic ligt al meer dan een maand stil. Dat weerhoud mij er niet van om eens een hersenspinsel te poneren.
(zelf ben ik ook de laatste tijd even niet zo actief hier)

Gestel het overkomt je als windowsgebruiker dat je het slachtoffer wordt van ransomware. Dan kun je niet bij je bestanden want die zijn immers versleuteld.
Ik dacht aan het volgende: men neme een willekeurige iso van een willekeurige linux distro op usb. (je kunt vast bij buren of zo er wel eentje downloaden via waarschijnlijk windows maar dat zal op dat moment wel het minste zijn waar je je druk om maakt).
Men start de bios van de pc op. Men zet de eerste boot device op usb. Aangenomen dat de bestanden via linux wel toegankelijk zijn (?)
Men plukt via de opgestarte distro de bestanden van de pc. C schijf wissen, herinstallatie en opnieuw beginnen.

Zou dit werken of zie ik als semi-leek iets over het hoofd?
In dat geval denk ik dat je een aardig centje kan verdienen met "recover sticks" als je die voor een tientje of zo zou gaan verkopen met een mooi lulverhaal dr bij

[rico70]

Ja, je ziet over het hoofd dat de bestanden versleuteld zijn. Kopieren naar een andere PC heeft dus geen nut zolang je de decryptie sleutel niet hebt

[jvecht]

Ik lees elders dat die bestanden niet versleuteld zijn, maar gewist. Met gewist zijn er nog kansen met programma's als Testdisk etc, maar tegelijk wordt gemeld dat deze malware erg goed in elkaar zit. Dat zou je dan eens moeten uitproberen.

groet,

Just

[ZijneBalorigheid]

Het is hypothetisch Vecht, ik ga helemaal niets met malware proberen 

Inderdaad versleuteld. Mijn gedachtengang was dat er een soort versleuteling in windows zat die de toegang tot elk bestand blokkeert.
Die versleuteling is dus een op zichzelf staand iets dat zich in welk besturingssysteem dan ook zal voordoen.

[rico70]

De Windows Pro? / Enterprise? versies hebben bitlocker. Daarmee kan je zelf je bestanden versleutelen, (beetje) vergelijkbaar met een versleutelde home partitie op Linux. Worden je bestanden door een ander van buitenaf versleuteld zal je hun key nodig moeten hebben om je bestanden weer leesbaar te maken.

Wat betreft wissen. Ik heb in het verleden ook wel eens met testdisk gespeeld. Helaas zonder succes. Testdisk vind zo'n beetje alles, ook bestanden die jaren geleden gewist zijn, maar waarvan er nog resten op je USB stick staan. Op een grote HD zou ik er iig niet eens aan beginnen om te proberen bestanden te recoveren.

[partyrabbit]

Hypothetisch kun je versleuteld bestanden ook decrypten.

Bedrijven als Maersk kunnen goede mensen inhuren. Als het allemaal zo makkelijk was zouden zij niet zo lang stil liggen. Die schepen kosten kapitalen per uur per stuk, moet je na gaan wat al die lang stil liggende schepen bij elkaar wel niet aan schade kost. En dan nog alles er omheen (stilstaande vrachtwagens €300 per dag per stuk, etc.). Dit geintje kost vele vele miljoenen (als het niet snel in de miljarden duikt wereldwijd).

[MKe]

Hypothetisch kun je versleuteld bestanden ook encrypten.

Decrypten bedoel je denk ik  Da's heel hypothetisch. Hypothetisch kost het ook een paar honderd jaar rekentijd op de snelste computer om de sleutel te vinden. Of je moet willen wachten op de quantum computer

[partyrabbit]

Decrypten bedoel je denk ik

Klopt. Aangepast.

Hypothetisch kost het ook een paar honderd jaar rekentijd op de snelste computer om de sleutel te vinden. Of je moet willen wachten op de quantum computer

Dat ligt aan de moeilijkheidsgraad van de sleutel. Een simpele, of eentje die al in 'de lijsten' staat zal vrij snel gevonden zijn.
Vaker brute force proggies getest en die kunnen verbazend snel zijn.

[MKe]

Decrypten bedoel je denk ik

Klopt. Aangepast.

Hypothetisch kost het ook een paar honderd jaar rekentijd op de snelste computer om de sleutel te vinden. Of je moet willen wachten op de quantum computer

Dat ligt aan de moeilijkheidsgraad van de sleutel. Een simpele, of eentje die al in 'de lijsten' staat zal vrij snel gevonden zijn.
Vaker brute force proggies getest en die kunnen verbazend snel zijn.

Nee hoor, sleutels worden random aangemaakt. AES-256 is vrijwel onmogelijk met bruteforce te decrypten vanwege de grote hoeveelheid mogelijkheden. Als encryptie met brute force was te kraken dan lag de hele computer wereld al lang op zijn gat.

Of zoals op een website over VPN staat:

256-bit keys means 2256 or 1.1 x 1077 possible combinations. That's 115,​792,​089,​237,​316,​195,​423,​570,​985,​008,​687,​907,​853,​269,​984,​665,​640,​560,​000,​000,​000,​000,​000,​000,​000,​000 combinations! A brute-force attack on a 256-bit keyspace is simply infeasible, even if all the world's most powerful supercomputers ran for as long as the universe has existed so far, billions and billions of times over.

[partyrabbit]

Bedankt vor de duidelijke uitleg.

Maar weet jij dan hoe dat virus encrypt? Want ook daar zitten veel verschillen in, en voor zo'n virus zou een simpele al doeltreffend zijn.
Heeft iemand het al proberen te decrypten?

En in het verlengde hiervan is dat voor de eerste ransomware toch vrij snel een patch was die dan blijkbaar tich kon decrypten.

[MKe]

Het huidige virus gebruikt AES-128, dus de minder ingewikkelde broer van AES-256. Zal wel sneller te breken  zijn, maar we hebben het nog steeds over vele miljoenen jaren.
Het vervelende is dat randsom ware gebruik maakt van key pairs. Dit betekent dat je verschillende iets nodig hebt voor encryptie en decryptie. En de encryptie sleutel is niet te herleiden uit de encryptie sleutel.

Voor wannacry was er een methode om de verspreiding te stoppen, niet om te decrypten. Backup terug plaatsen was/is de enige oplossing.

Overigens kunnen dit soort algoritmes vaak wel gekraakt worden als een aanvaller zo dom is om sleutels te gebruiken die van elkaar zijn afgeleid. Dit is gemakkelijk te omzeilen door de encrypter door steeds een echte random sleutel te maken.
Voor AES-128 is de beste aanpak voor decryptie de "key-recover attack" (https://en.wikipedia.org/wiki/Key-recovery_attack, die iets van 4x sneller is dan een brute force. Dit kost echter nog steeds miljoenen jaren.