The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • torMozilla werkt aan een update om een beveiligingsgat te dichten dat gebruikers van de Tor-browser zou kunnen ontmaskeren. De Tor-browser draait op een aangepaste versie van Firefox. De javascript-exploit zou in staat zijn om mac-adressen, hostnamen en ip-adressen te ontfutselen.

    Volgens een anonieme mededeling op de Tor-community wordt de javascript-exploit nu publiekelijk ingezet om gebruikers van de Tor-browser te ontmaskeren. "De werking is niet helemaal duidelijk, maar het krijgt toegang tot VirtualAlloc in kernel32.dll en gaat vanaf daar verder", stelt hij of zij. Het enige dat een slachtoffer hoeft te doen om getroffen te worden, is een geïnfecteerde webpagina bezoeken.

  • headphone spying malwareOnderzoekers van de Israëlische Ben-Gurion Universiteit hebben software ontwikkeld, waarmee zij in computers met Realtek-audiochips de uitvoerpoort als invoerpoort kunnen laten werken. Op die manier kunnen zij geluid opvangen met aangesloten koptelefoons.

    In hun onderzoek vermelden zij dat het al lang bekend is dat speakers als microfoon kunnen fungeren, doordat zij geluidsgolven omzetten in elektrische signalen. Dit alleen levert volgens de onderzoekers geen beveiligingsrisico op, omdat er doorgaans geen speaker aan een microfooningang wordt aangesloten. Om hun software, genaamd 'Speake(a)r', te laten werken, maken de onderzoekers gebruik van een functie die deel uitmaakt van de Intel HD Audio-specificatie. Die maakt het mogelijk om via software een nieuwe functie toe te wijzen aan een audioaansluiting van een pc, bijvoorbeeld van uitvoer naar invoer. Zij demonstreren dit aan de hand van Realtek-audiochips.

  • Netis logoNog altijd 13.000 routers van de Chinese fabrikant Netcore zijn via een twee jaar oude backdoor op internet benaderbaar. De routers, die buiten China onder de naam Netis worden aangeboden, hebben een udp-poort die op poort 53413 luistert en toegankelijk vanaf de wan-kant van de router is.

    Dit houdt in dat als de router in kwestie een ip-adres heeft dat van buiten toegankelijk is, wat bij de meeste gebruikers het geval zal zijn, een aanvaller van over het internet de backdoor kan benaderen. De backdoor wordt beveiligd via een "hardcoded" wachtwoord dat in de firmware van de routers is te vinden.

  • De bekende hacker Samy Kamkar heeft een nieuwe hacktool ontwikkeld waarmee het mogelijk is om http-cookies van een vergrendelde computer te stelen.Kamkar noemt zijn nieuwste creatie PoisonTap. Het is een Raspberry Pi Zero die een usb-ethernet-apparaat emuleert.

  • In dit artikel wordt het opzetten van een Reverse Shell payload op een USB Rubber Ducky besproken. 

    Een omgekeerde shell is een shell type, waarbij de geinfecteerde computer 'inbelt' naar de computer van een aanvaller. Hierbij luistert de aanvallende computer meestal op een specifieke poort. Wanneer de verbinding tot stand komt, is de aanvallende computer in staat om commando's op de computer van het slachtoffer uit te voeren. 

  • redalert2 VREen ontwikkelaar heeft een vr-versie van Command & Conquer: Red Alert 2 gemaakt. Het betreft een proof-of-concept waarbij de van oorsprong isometrisch gerenderde game met behulp van Unreal Engine 4 in 3d is nagemaakt.

    Ádám Horváth toont op YouTube hoe hij een level in de game speelt. Hij bestuurt het spel met de controllers van de HTC Vive, waarvan degene in zijn linkerhand in het spel wordt weergegeven als een tablet, waarop alle commando's en interface-elementen te vinden zijn.

  • ErasmusCriminelen hebben mogelijk adresgegevens van mogelijk 25.000 medewerkers en studenten van de Erasmus Universiteit in Rotterdam buitgemaakt. Ook informatie die mensen via webformulieren achterlieten is misschien in handen van de hackers.

    De universiteit constateerde de hack afgelopen zondag. Op de server waar de hackers via de site toegang toe kregen stonden geen wachtwoorden van medewerkers en studenten, alleen adresgegevens, meldt de woordvoerster van de universiteit tegen Tweakers. Via de webformulieren konden medewerkers en studenten bijvoorbeeld afspraken maken en zich op opleidingen en cursussen inschrijven. Ook die informatie is mogelijk ingezien. Onduidelijk is nog of de data daadwerkelijk weggesluisd is. Het onderzoek loopt nog.

  • dlink logoEigenaren van verschillende D-Link-routers zijn gewaarschuwd voor een ernstig beveiligingslek waardoor een aanvaller op afstand met rootrechten willekeurige code kan uitvoeren, zoals het installeren van malware. Een beveiligingsupdate om het probleem te verhelpen is nog niet voorhanden.

    Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit gaat het om een buffer-overflow bij het verwerken van speciaal geprepareerde soap-berichten tijdens het inloggen op de router. Een aanvaller kan hier op afstand en zonder geldige inloggegevens misbruik van maken. De kwetsbaarheid is aanwezig in D-Link DIR-routers met modelnummer: 818L(W), 822, 823, 868L, 880L, 885L, 890L en 895L.

  • openssl logoHet OpenSSL Project Team heeft een belangrijke beveiligingsupdate voor OpenSSL aangekondigd die donderdag 10 november zal verschijnen en meerdere beveiligingslekken verhelpt. De beveiligingslekken bevinden zich in versie 1.1.0. Minstens één van de kwetsbaarheden is als "high" geclassificeerd.

    OpenSSL laat niet weten wat aanvallers in dit geval kunnen doen, maar stelt dat voor kwetsbaarheden met deze classificatie er altijd een nieuwe versie wordt uitgebracht. OpenSSL-versies voor 1.1.0 zijn niet kwetsbaar. De update naar OpensSSL 1.1.0c zal donderdag 10 november tussen 13:00 uur en 17:00 uur verschijnen. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

    Bron: Security.nl

  • Onderzoekers hebben als proof-of-concept een worm ontwikkeld die zich van lamp naar lamp verspreidde. Ze demonstreerden een aanval met wardriving en warflying met een quadcopter om Philips Hue-lampen op grote afstand te infecteren.

    De onderzoekers van het Weizmann Institute of Science installeerden voor hun demonstratie drie Philips Hue-lampen op de eerste verdieping van hun faculteit, waarna ze deze vanaf zeventig meter afstand vanuit hun auto konden infecteren. Daarnaast gebruikten ze een DJI Inspire-quadcopter om vijf lampen op de derde verdieping van een gebouw de Morse-code voor sos te laten flikkeren. Ze starten hun aanval vanaf 350 meter om de fabrieksinstellingen bij de lampen te forceren, de volledige aanval lukte van kortere afstand.

  • barcodeHele bedrijfsprocessen zijn afhankelijk van streepjescodes, maar hackers kunnen die code misbruiken om op relatief eenvoudige wijze toegang te krijgen tot de achterliggende computersystemen. Met een code, genaamd Badbarcode, zijn hackers in staat om met barcode scanners en een gemanipuleerde streepjescode een shell-venster op een host-computer te openen en zo commando’s uit te voeren.
    De hack werd afgelopen week tijdens de PanSec 2015 conferentie in Tokyo gedemonstreerd. “Badbarcode kan het hostsysteem in principe elk commando laten uitvoeren”, waarschuwt een van de onderzoekers van het Tencent’s Xuanwu Lab op Threatpost.

  • chrome4android zerodayHackers hebben een nieuwe manier bedacht om je Android-smartphone te hacken en zo op afstand totale controle over het toestel te krijgen. Dit is onafhankelijk van de android versie, dit betekend dat ook de meest up-to-date versie van het Android besturingssysteem zijn kwetsbaar.

  • ransomwareOnderzoeker zijn erin geslaagd de Linux.Encoder-ransomware voor Linux te kraken, zodat slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. De ransomware werd vorige week door het anti-virusbedrijf Doctor Web aangekondigd. Destijds was onbekend hoe de ransomware zich verspreidde.

    Wel was bekend dat het voornamelijk webservers waren die werden geïnfecteerd. Nu meldt het Roemeense anti-virusbedrijf Bitdefender dat aanvallers een kwetsbaarheid in het populaire contentmanagementsysteem Magento gebruiken om toegang tot servers te krijgen. Vervolgens installeren ze de ransomware, die erg veel op Windows-ransomware lijkt. Net als Windows-gebaseerde ransomware versleutelt Linux.Encoder bestanden met AES. De symmetrische sleutel wordt dan versleuteld met een asymmetrisch encryptie algoritme (RSA).

  • vbulletinOp internet is een exploit voor een ernstig beveiligingslek in de populaire forumsoftware vBulletin verschenen, waardoor kwaadwillenden eenvoudig ongepatchte websites kunnen overnemen. Vorige week werd de website van vBulletin gehackt. Daarop volgde een wachtwoordreset voor 345.000 gebruikers.

  • cryptophp cmsDe CryptoPHP-malware had op het moment van ontdekken vorige week meer dan 23.000 sites besmet. Dat maakt het Nederlandse beveiligingsbedrijf FoxIT bekend. In Nederland zou het om iets meer dan 1000 besmette sites gaan.

    FoxIT kon achterhalen met welke ip-adressen CryptoPHP contact maakte via sinkholing, waarbij malware geen verbinding meer maakt met een command & control-server van de criminelen, maar met een zelf opgezette server. In totaal hebben 23.693 ip-adressen verbinding gemaakt met de sinkholes, maar dat aantal nam in de afgelopen dagen af tot 16.786 op maandag. Overigens ligt het werkelijke aantal besmette sites hoger, aangezien shared hostingservers met minimaal één besmette site met de sinkholes verbinding maakten. Het bedrijf werkte bij de analyse van de besmettingscijfers samen met Abuse.ch, Shadoserver en Spamhaus.

  • wordpress-securityEr is een update voor het extreem populaire contentmanagementsysteem (CMS) WordPress verschenen die meerdere lekken verhelpt. Zo zijn er drie cross-site scripting (XSS)-problemen verholpen waardoor een auteur of medewerker van een WordPress-site de volledige website kon overnemen.

    Ook is er een cross-site request forgery (XSRF)-probleem opgelost waardoor een gebruiker kon worden misleid om zijn wachtwoord te wijzigen. Daarnaast behoort ook een probleem tot het verleden waardoor het mogelijk was om een Denial of Service op de website te veroorzaken bij het controleren van wachtwoorden en is het niet meer mogelijk om een hash collision-aanval uit te voeren op de accounts van gebruikers die sinds 2008 niet meer waren ingelogd.

    WordPress 4.0.1 bevat verder verschillende beveiligingsverbeteringen tegen server-side

  • tor-logoBij 81,4 procent van de gebruikers van het anonieme Tor-netwerk is het originele ip-adres te achterhalen, stellen onderzoekers van de Columbia University.

    In het onderzoek (pdf), dat tussen 2008 en 2014 werd uitgevoerd, wordt gebruik gemaakt van een aangepaste Tor-server die werd gehost door Columbia University. 

    Door een herkenbaar patroon van dataverkeer te injecteren in het netwerk, en de data bij de ingang en de uitgang van het netwerk met elkaar te vergelijken, zou bij een groot deel van de Tor-gebruikers het ip-adres te achterhalen zijn. In het laboratorium werd er een slagingspercentage van 100 procent gehaald, maar in de praktijk lag dat aandeel op 81,4. 

  • smarttv2Vrijwel elke verkochte tv is tegenwoordig een slimme tv, ofwel een smart-tv. Dat betekent dat-ie op internet is aangesloten, dat je er apps op kunt draaien en dat je er content mee kunt streamen. Ook websites bezoeken is meestal mogelijk, hoewel dat niet altijd even makkelijk gaat. Tot zover niks bijzonders. Leuker wordt het als we smart-tv’s gaan hacken.

    Nou is het hacken van smart-tv’s niet iets wat we dagelijks doen, dus vroegen we een expert de hemd van het lijf. Tim Sevenants, specialist op het gebied van home automation via zijn bedrijf Smart Living, helpt ons een eindje op weg.

    Alle apparaten in onze woning kunnen we tegenwoordig met elkaar verbinden. Thermostaten, bewakingscamera’s, koelkasten, tv-toestellen… Alles heeft een netwerkaansluiting of maakt gebruik van de cloud. Van een vaste internetaansluiting zijn we ook al niet meer afhankelijk. Tesla biedt internet in z’n fancy elektrische auto’s en natuurlijk ook onze smartphone weet altijd raad. Bij mij begon het hacken van tv-toestellen met een aanschaf van een Samsung. Toen ik me in de specificaties ging verdiepen, stuitte ik op het SamyGO-project, waarbij gebruik wordt gemaakt van de op Linux draaiende processor in die tv’s. Op de site staat een database met daarin veel modellen Samsung-tv’s en de bijbehorende hackmogelijkheden.”

    Hoe breek je in op je smart-tv?

  • windowslogoAlle recente versies van Windows bevatten een ernstige bug in de ssl/tls-software, heeft Microsoft bekendgemaakt. De bug laat een aanvaller eigen code uitvoeren door geprepareerde pakketten naar een server te sturen.

    Servers die op Windows draaien zijn daarom het meest in gevaar voor de kwetsbaarheid, maar de kwetsbaarheid kan ook desktops en laptops treffen. Dat kan als ze software draaien die op een port luistert, bijvoorbeeld een ftp-server of de web-interface van een torrent-client.

  • malware 2Onderzoekers hebben een campagne ontdekt waarbij malware werd verspreid via de wifi-netwerken van hotels. De aanvallers hadden het daarbij op speciale hotelgasten voorzien. Op de portaalpagina van het hotel om verbinding met het wifi-netwerk te maken hadden de aanvallers een iframe verborgen. Dit iframe toonde een pop-up die zich voordeed als update voor populaire software, zoals Adobe Flash Player, Google Toolbar en Windows Messenger. In werkelijkheid ging het hier om malware.

    Volgens onderzoekers van anti-virusbedrijf Kaspersky Lab (PDF) is het meest interessante aan deze aanvalsmethode dat er alleen specifieke hotelgasten werden aangevallen.

  • Een Zweedse beveiligingsonderzoeker heeft een beveiligingslek in Mac OS X Yosemite ontdekt waardoor een lokale aanvaller rootrechten kan krijgen. De "rootpipe" kwetsbaarheid werd ontdekt door Emil Kvarnhammar, die het probleem op 14 oktober op YouTube demonstreerde. Daarnaast werd het lek ook door de Zweedse krant Aftonbladet uitgemeten. Normaliter moeten gebruikers bij het gebruik van het sudo-commando een wachtwoord opgeven om rootrechten te krijgen. De exploit van Kvarnhammar omzeilt deze vereiste.Details over de kwetsbaarheid wil de onderzoeker echter pas geven als Apple het probleem heeft gepatcht, wat waarschijnlijk in januari volgend jaar zal zijn.

  • jbossEen beveiligingslek in de JBoss Application Server wordt actief door aanvallers gebruikt om kwetsbare installaties over te nemen, zo waarschuwt beveiligingsbedrijf Imperva. Het bedrijf heeft na het openbaar worden van een exploit die misbruik van het lek maakt een toename van het aantal aanvallen gezien.

    JavaBeans Open Source Software Application Server (JBoss) werd eind vorig jaar tot WildFly omgedoopt. Het is een applicatieserver die door duizenden websites wordt gebruikt. In 2011 werd er een kwetsbaarheid gedemonstreerd die misbruik van een standaardconfiguratie in de JBoss-managementinterface maakt, om aanvullende functionaliteit aan de webserver toe te voegen.

    Zodra een aanvaller dit heeft gedaan kan hij een willekeurige applicatie installeren en volledige controle over de JBoss-infrastructuur krijgen én de sites die van de applicatieserver gebruik maken. In september werd er voor verschillende producten van HP die JBoss gebruiken en lek waren een CVE-nummer toegekend. HP heeft de kwetsbaarheid via een update opgelost.

    Kwetsbaar

    Er zijn echter nog veel meer fabrikanten die de kwetsbare software in hun eigen producten gebruiken, waaronder McAfee en Symantec. Begin oktober verscheen er een exploit die van het lek misbruik maakt. Sindsdien zag Imperva een toename van het aantal aanvallen. Inmiddels zouden meer dan 200 websites die op JBoss-servers draaien zijn gehackt. Het gaat onder andere om overheids- en universiteitssites.

    JBoss 7.1.1 is de laatste versie van de software, maar veel organisaties werken vanwege compatibiliteitsredenen nog steeds met JBoss 4.x en 5.x, omdat ze oude applicaties gebruiken die voor deze versies ontwikkeld zijn. Deze organisaties krijgen het advies om de instructies voor het beveiligen van hun JBoss-installaties op te volgen.

    Bron: Security.nl

  • androidVeel beveiligingslekken die op Android-smartphones aanwezig zijn worden door aanpassingen van de fabrikant veroorzaakt, zo hebben onderzoekers ontdekt. 60% van de lekken die onderzoekers op de onderzochte Android-smartphones aantroffen, waren door aanpassingen van de fabrikant geïntroduceerd.

    Hoewel Google de basis van het Android-platform ontwikkelt, wijzigen leveranciers zoals Samsung, Sony en HTC het platform om zo met hun hardware te integreren. Deze leveranciers voegen ook apps toe die ze zelf of hun partners hebben ontwikkeld.

    Onderzoekers van de North Carolina State University onderzochten 10 Android-smartphones, waarvan vijf nieuwe modellen met Android-versie 4.x en vijf modellen met Android-versie 2.x van Samsung, HTC, LG, Sony en Google. 80% van de apps die op deze modellen stonden waren door de fabrikant geïnstalleerd.

    Kwetsbaar

    "Alle tien apparaten waren alleen al door de vooraf geïnstalleerde apps kwetsbaar", zegt onderzoeker Xuxian Jiang. "De oudere versies hadden gemiddeld 22,4 lekken per toestel, terwijl nieuwere versies gemiddeld 18,4 lekken per toestel hadden. En de nieuwere versies waren niet altijd veiliger. Sommige recentere modellen waren zelfs minder veilig dan hun voorgangers." Van de tien onderzochte modellen had de Google Nexus 4 de minste lekken.

    Via de kwetsbaarheden was het mogelijk om zonder toestemming van de gebruiker audio op te nemen, telefoonnummers te bellen en de mogelijkheid om de gegevens van de gebruiker te wissen. Verder bleek dat 85% van de vooraf geïnstalleerde apps teveel rechten had. Het gaat dan om rechten die de app heeft, maar niet gebruikt. De onderzoekers zullen hun bevindingenmorgen tijdens een beveiligingsconferentie in Berlijn presenteren.

    distribution of vulnerabilities

    Telco's ontvangen 380 meldingen via meldpunt voor lekken Microsoft looft 100.000 dollar uit voor bijzondere exploits

    Bron: Security.nl

  • De internetverbinding van tienduizenden Nederlandse organisaties, waaronder overheidsinstellingen, zou af te tappen, te beïnvloeden, over te nemen of stil te leggen zijn door verkeerd geconfigureerde snmp-instellingen in routers en modems, stelt beveiligingsbedrijf ITSX.

    ITSX en moederbedrijf Madison Gurkha hebben meer dan de helft van ongeveer 48 miljoen ip-adressen in Nederland gescand op mogelijk kwetsbare snmp-instellingen. Dit protocol, dat al stamt uit 1988, kan worden gebruikt om statistieken op te vragen bij op een netwerk aangesloten apparaten en een klein aantal commando's uit te wisselen. Als het slordig geconfigureerd is, zijn er echter beveiligingsrisico's verbonden aan het inschakelen.

    Zo constateerde ITSX dat via meer dan 13.000 ip-adressen alle instellingen en wachtwoorden uit te lezen waren en bij 2294 de routers compleet over te nemen waren. Volgens Ralph Moonen, directeur van ITSX, is het werkelijke aantal kwetsbare organisaties twee keer zo groot, omdat slechts de helft van de Nederlandse IP-adressen is gescand.

    Moonen claimt tegenover de Volkskrant bedrijven van het internet af te kunnen gooien, pinbetalingen bij kassa's stil te kunnen leggen en antidiefstalpoortjes uit te kunnen schakelen. Zijn bedrijf heeft de belangrijkste organisaties, zoals banken en internetbedrijven, op het probleem gewezen, maar Moonen zegt niet iedereen te kunnen waarschuwen. "In totaal zijn het er zo veel, dat wij onmogelijk iedereen kunnen informeren." Ook het Nationaal Cyber Security Centrum is ingelicht.

    De beveiligingsrisico's van snmp zijn al lang bekend. Onder andere is het protocol kwetsbaar voor aanvallen waarbij gebruik wordt gemaakt van ip-spoofing. In 2004 werd versie 3 van snmp gestandaardiseerd en de wijzigingen bij deze versie waren vooral op beveiliging gericht, maar bij sommige apparaten wordt snmp v3 niet of slechts deels toegepast.

     

    snmp-aanval

     

    Bron: Tweakers.net

  • fuzzing
    Er is een nieuw probleem met de Apache HTTP webserver ontdekt, waardoor aanvallers toegang tot interne systemen kunnen krijgen. Het probleem ontstaat als er bepaalde instellingen niet goed zijn ingesteld. Het gaat om een variant van een probleem (CVE-2011-3368) dat eerder bij bepaalde mod_proxy/mod_rewrite configuraties werd ontdekt, en waarvoor Apache uiteindelijk een update uitbracht. Ook nu wordt er aan een patch gewerkt, zo laten de ontwikkelaars weten. 

    De variant werd ontdekt door Prutha Parikh van beveiligingsbedrijf Qualys. Tijdens een controle van de patch voor CVE-2011-3368, ontdekte ze dat het nog steeds mogelijk is om een exploit naar een volledig gepatchte Apache webserver te sturen. Parikh maakte een blogposting waarin ze twee voorbeelden geeft hoe een aanvaller via verkeerd ingestelde RewriteRule/ProxyPassMatch regels de beveiliging kan omzeilen. 

    Apache heeft nog geen patch uitgebracht, tot die tijd adviseert Parikh dan ook om de reverse proxy via deze manier in te stellen.

    bron: security.nl

  • sql-injectionDoor een lek in een beheersysteem zijn 2,3 miljoen persoonsgegevens toegankelijk. Bovendien zijn met één gelekt wachtwoord 160 websites van publieke omroepen en radiostations toegankelijk.

    De websites van onder andere QMusic, 3FM, Slam FM, KRO, Omroep.nl, BNN, diverse publieke radiozenders en RTV Noord-Holland zijn lek. Dat ontdekte de hacker 'BitBuster', die het meldde aan Webwereld.

    Ook de NTR maker van onder andere het Klokhuis, Sesamstraat, het Sinterklaasjournaal, Raymann is Laat, het Groot Dictee der Nederlandse taal, enzovoort. Ook bij BNN gaat het om sites behorend bij programma's als Spuiten en Slikken, Weg met BNN, de MaDiWoDoVrijdagshow en Patrick in Uruzgan.

    Lek cms
    Het gaat om een content management systeem (cms) ABC Manager van het bedrijf Angry Bytes, waarbij een oude versie gevoelig bleek voor SQL-injection. In de databases kwamen zowel leesbare als makkelijk te achterhalen wachtwoorden voor. Een van de beheerderswachtwoorden bleek voor alle sites te werken, waardoor het mogelijk is websites aan te passen.

    Het gaat om diverse tabellen met persoonsgegevens. Vaak naam, adres, e-mail, telefoonnummer. Soms om achtergelaten reacties, soms om gegevens voor dating. Bij Q Music gaat het niet alleen om de NAW-gegevens, maar ook om het bedrijf waarvoor mensen werken en de functie. Bij sommige programma's wordt ook een foto meegeleverd.

    Sommige tabellen bevatten de informatie van honderdduizenden mensen. Zo gaat het bij het Klokhuis om ruim 230.000 adressen, terwijl 3FM meer dan een half miljoen namen beheert.

    Klanten informeren
    Angry Bytes, het bedrijf dat de weboplossingen voor de verscheidene omroepen biedt, reageert geschrokken. Er is direct overleg gevoerd met klanten, online redactie-omgevingen afgesloten en lekken gedicht. Ook stelt het bedrijf nog in overleg te zijn om herhaling te voorkomen. "We zijn hier heel erg van geschrokken en kijken met onze klanten naar oplossingen om herhaling te voorkomen."

    Hacker BitBuster motiveert zijn actie als volgt: 
    "Ik hoop dat mensen, door mijn actie, gaan inzien dat het zo niet langer kan; er moet iets veranderen. Bedrijven moeten verantwoordelijk gehouden worden voor programmeerfouten en moeten worden gecontroleerd. Je kunt ze niet op hun blauwe ogen geloven en de vraag is of het uit onkunde of onwil is."

    Bron: Webwereld.nl 

  • backtrack5Recently I needed to setup a fake access point for a presentation, I fired up my Backtrack5 VM, Connected my Alfa AWUS036H USB adapter and started to configure the Fake AP.

    There are a lot of Tutorials and Scripts for setting up a Fake AP,  The “Gerix”  tool also have an option to auto set a Fake AP (for some reason this tool never worked for me).

    I started to setup my fake AP and had run into some trouble for a strange reason.

    I decided to put my experience here hopefully you’ll find it useful.

    Started by putting my Wlan interface in monitor mode

    root@Blackbox:~/fakeap#

    I noticed the following error: “Unknown error 132″
    Tried using airodump-ng to see what happens…

    root@Blackbox:~/fakeap#

    Got the same error.

    The solution was simply to unload the RTL8187 and Load the R8187 driver instead as follows:

    root@Blackbox:~/fakeap#

    Tried putting wlan In monitor mode again

    root@Blackbox:~/fakeap#

    Well, that fixed the problem

    root@Blackbox:~/fakeap#

    Now we can proceed to the fake ap setup process

  • buffer-overflowIn this post we'll discus some basics about buffer overflows also known as buffer overruns. So before we discus what is buffer overflow or buffer overrun is we will have a look on what exactly is buffer. Computer stores information in form of bits, for example if you want to store number 3 in computer's memory it will be stored in its binary form which is 11, as you can see 11 will require 2 bits to get stored in memory that indirectly means the number 3 will require 2 bits of computer memory or 2 bits of buffer. In simple words buffer is amount of memory allocated for particular variable or element.

    Now consider the name of space where number 3 is stored is ' x ' that means total capacity of ' x ' is 2 bits. It can easily store number 0,1,2,3 in it. Now suppose we want to replace 3 by 4 in allocated memory x. Number 4 can be denoted as 100 in binary which actually requires 3 bits for memory allocation and hence when you'll try to stuff 3 bits of information in 2 bits of memory space the program will end up giving error prone and unwanted output which is in other terms known as buffer overflow and the act of manipulating this unwanted output for benefit is known as buffer overflow attack.

    Lets take a funny example to explain above technical stuff in easy manner. Consider a person Rajan is capable of eating 10 apples and he eats 15. 10 apples can be considered as buffer capacity of Rajan and since he ate 15 apples Rajan will end up with unwanted output as indigestion and acidity.

    Buffer overflow problems are not easy to discover, even if they are discovered they aren't that easy to exploit even for a programmer with more than 6 to 10 years of experience in programming (unless his job was to write exploit as a programmer). Buffer overrun problems are found in web based applications like, web browsers, ftp browsers, web servers, IRC clients, network based applications etc where C, C++ or similar high level programing language is used which is capable of dynamic memory allocation. 

    To create an exploit for buffer overrun an attacker needs source code and output of program and in very few cases any one of them. It is practically impossible to create an buffer overflow exploit without above information and hence only experienced programmers are capable of building exploits since they are capable of understanding even complex pieces of source codes.

    I hope above basics is okay for now, in future post we will cover its types, how it works and how to code and write basic and advanced buffer overflow exploits, thanks for reading have a nice time.

    Source: nrupentheking.blogspot.com

  • pleisterMicrosoft heeft tijdens de patchcyclus van november vier lekken verholpen, waaronder één zo ernstig dat een aanvaller door het versturen van UDP-pakketten kwetsbare systemen kan overnemen. De belangrijkste update is Microsoft Security Bulletin MS11-083, voor een lek in TCP/IP, waardoor het uitvoeren van willekeurige code mogelijk is. Door het sturen van een continue stroom van speciaal geprepareerde UDP-pakketten naar een gesloten poort van een systeem, kan een aanvaller een integer overflow veroorzaken en het systeem vervolgens overnemen. 

    De kwetsbaarheid bevindt zich in Vista, Windows 7 en Server 2008 en is zowel een risico voor werkstations als servers. Het lek werd direct aan Microsoft gerapporteerd en er zijn ook nog geen aanwijzingen dat de kwetsbaarheid in het "wild" wordt misbruikt. Die kans acht Microsoft ook zeer klein. 

    Exploit
    "Hoewel het laatste scenario theoretisch tot het op afstand uitvoeren van code kan leiden, denken we dat dit lastig uit te voeren is, gezien het soort netwerkpakketten die bij de perimeter worden gefilterd en het kleine tijdvenster tussen de release en volgende toegang van de structuur, en het grote aantal pakketten dat nodig is om de aanval uit te voeren", zegt Ali Rahbar van het Microsoft Security Response Center. 

    Microsoft heeft het lek daarom een "Exploitability Index" van "2" toegekend. Dit betekent dat hackers exploitcode kunnen ontwikkelen, maar dat het waarschijnlijk tot "inconsistente resultaten" zal leiden. 

    Updates
    Verder werden deze maand ook lekken in Windows Mail en Windows Meeting, Active Directory en Windows Kernel-Mode Drivers verholpen. Opmerkelijk genoeg krijgt Windows XP deze maand minder updates te verwerken dan Vista en Windows 7. 

    Een update voor het onlangs onthulde lek in de Windows-kernel, waardoor het Duqu-virus zich verspreidt, is niet uitgekomen, maar dat had Microsoft al aangekondigd. In plaats daarvan kunnen gebruikers een fix downloaden. Het installeren van de nieuwste updates kan via Windows Update of de Automatische Update functie.

    Bron: Security.nl

  • appleApple heeft de bekende beveiligingsonderzoeker Charlie Miller uit het programma voor ontwikkelaars verbannen, omdat hij een beveiligingslek had ontdekt. Dat laat Miller zelf op Twitter weten. De Mac-hacker had een kwetsbaarheid in iOS ontdekt, het besturingssysteem voor de iPhone en iPad. Via het lek was het mogelijk om kwaadaardige apps in de Apple App Store te plaatsen, zonder dat Apple dit door had. 

     

    Om te bewijzen dat het uitvoeren van ongesigneerde code mogelijk was, plaatste Miller zijn demo app in de App Store. De applicatie toont real-time beursinformatie, maar staat ook in verbinding met een server waardoor Miller het programma opdrachten kan geven, waaronder het bekijken van het adresboek. De controles die Apple uitvoert voorkomen het uitvoeren van ongesigneerde code op de iPhone, maar Miller weet dit via het lek te omzeilen. 

    Miller is van plan om zijn ontdekking volgende week tijdens de SysCan conferentie in Taiwan te presenteren. "Nu heb je een programma in de App Store zoals Angry Birds dat nieuwe code op je telefoon kan uitvoeren die Apple nooit heeft kunnen controleren", aldus Miller. "Met deze bug kun je er niet meer zeker van zijn dat wat je van de App Store downloadt, zich ook netjes gedraagt."

  • hitcher

    Een relatief onbekende hacker die opereert onder het alias Hitcher heeft ruim veertig websites beklad, waaronder twaalf Belgische sites. De hacker, vermoedelijk afkomstig uit Pakistan, sympatiseert met de losvaste groepering Anonymous.

    In de statements die Hitcher op de gekraakte websites heeft achtergelaten, wordt geageerd tegen de Navo, de EU en de Amerikaanse strijdkrachten. Ook wordt het door Anonymous gebruikte masker getoond. waaronder twaalf Belgische sites. De hacker, vermoedelijk afkomstig uit Pakistan, sympatiseert met de losvaste groepering Anonymous.

    Onder de getroffen websites is een opvallend groot aantal Belgische websites, terwijl .nl-sites in de lijst ontbreken. Mogelijk zijn de twaalf getroffen Belgische sites slachtoffer van een dns-hack aangezien de domeinnamen verwijzen naar de dns-server van de firma Register.be.

    Het is niet de eerste keer dat Hitcher toeslaat. In augustus wist de vermoedelijk Pakistaanse hacker dertig Chinese overheidswebsites te kraken en in september claimde Hitcher ruim 140 websites te hebben defaced.

    Bron: Tweakers.net

  • email_account_hackOnderzoekers van beveiligingsbedrijf HP / TippingPoint DVLabs besteden hun vrije tijd op zoek naar publiekelijk geplaatste lijsten van gekraakte e-mailadressen. Ze hebben een programma's geschreven die diverse bronnen met gestolen gedumpte data (inclusief pastebin) scant. De collectie is inmiddels uitgegroeid tot 5.000.000 gecompromitteerde e-mail accounts, en groeit nog steeds!

    Als je nieuwsgierig bent om te zien of uw e-mailadres of gebruikersnaam ier tussen staat ga dan naar PwnedList.  

    De lijst is verre van compleet maar het is maar een kleine moeite om het even je e-mailadressen/gebruikersnaam te controleren. Het is gratis, en supersnel.

    Privacy 
    Ze slaan geen gestolen wachtwoorden op: De PwnedList databank bevat alleen publiekelijk geplaatste e-mailadressen en gebruikersnamen. De slechteriken kunnen stelen alle vijf miljoen platen in de PwnedList database en het zal niet overal krijgen ze.

    DV labs is ook uitermate bewust van het potentieel voor privacy problemen. Derhalve beloven zegeen input op te slaan en zal geen gebruik maken van het online ingevulde e-mail adres. Als je het echt niet vetrouwd kun altijd nog SHA-512 hash gecodeerd e-mailadres gebuiken.

  • skimmenBeginnende criminelen die zich met pinpasfraude willen bezighouden beschikken via een paar muisklikken over de benodigde apparatuur. Op het internet zijn tal van aanbieders en zelfs complete brochures te vinden die voorzetmondjes en magneetstriplezers aanprijzen. Het gaat dan met name om betaalautomaten die in de VS gebruikt worden, maar ook apparatuur voor Duitse automaten is eenvoudig te vinden. Het is zelfs mogelijk om op maat gemaakte skimapparatuur te bestellen.

    Eén van de aangeboden modellen is voorzien van een SMS-functie die de pincode en kaartgegevens naar een mobiele telefoon SMS't. Met de gebruikte batterij is het mogelijk om 1400 SMS'sjes te sturen. "We willen duidelijk maken dat we niet stilzitten en meer geavanceerde apparaten ontwikkelen", zo is in de brochure te lezen. Voor skimmers die de GSM-kit te duur vinden, is er ook een oplossing met USB flashgeheugen. Volgens de aanbieders gebruiken met name "beginnende gebruikers" deze goedkopere varianten. Die zijn voorzien van een "basic skimmer" en verborgen camera, die in een "discrete behuizing" is aangebracht. Voor de aangepaste pinpad is de "perfecte" verf gebruikt, die de juiste kleur, reflectie en bovenlaag heeft als die van de echte pinpad.  De apparaten zijn niet goedkoop. De meest eenvoudige skimapparatuur met USB flashgeheugen kost 3000 dollar, terwijl het GSM-model 4800 dollar kost. Dit verschilt ook weer per prijslijst, waar de goedkoopste varianten voor rond de 2000 dollar over de toonbank gaan. De kits worden wel geleverd instructie DVD, skimmer en aangepaste pinpad en een encryptiesleutel om de gedumpte informatie te ontsleutelen. De aanbieders van dit soort apparatuur, afkomstig uit Oost-Europa, de VS, Thailand en China, maken voornamelijk via YouTube en allerlei obscure websites reclame voor hun diensten, en zijn vaak via ICQ te bereiken.
  • Gaan we echt rekeningrijden? Minister Eurlings verdedigt zijn voorstel, voor- en tegenstanders komen aan het woord. Opvallend was het punt van kritiek van de Raad van State. Volgens de raad ademt het voorstel een 'sfeer van onfeilbaarheid van de techniek' die niet onmiddellijk wordt gedeeld. Wellicht dat de Raad van State enige analogie ziet met andere mega-ICT projecten, zoals de OV-chipkaart die initieel eveneens als onfeilbaar gepresenteerd werd en inmiddels storingsgevoelig en lek blijkt.

    Kan het kastje voor de kilometerheffing ook falen? Ik besloot tot een mini-beveiligingsonderzoekje. Vooropgesteld: ik heb zo'n kastje niet. Het is dus vooralsnog alleen een literatuuronderzoek. Enkele geïnteresseerde vakbroeders stonden mij hierbij belangeloos bij.

    Relevant is het wel, vind ik. Gezien de bedragen waar veel Nederlanders voor geplaatst worden (motief) en het feit dat iedereen straks toegang heeft tot een KMH-kastje (mogelijkheid), moet een beveiliger immers oppassen. De besparing kan voor een hacker leuk oplopen. In tegenstelling tot 'gewone' hackacties kun je in dit geval heel gemakkelijk je technische vaardigheden in geld omzetten. Ik rijd elke dag over de A2 bij Utrecht, met een waarschijnlijk tarief van zo'n 17 cent per kilometer.
  • Slechts 24 van de 100 meest bezochte HTTPS websites op het internet zijn beschermd tegen het lek in het SSL-protocol dat begin november werd onthuld. De kwetsbaarheid laat aanvallers via een man-in-the-middle aanval data aan beveiligde verbindingen toevoegen. Een onderzoeker demonstreerde onlangs hoe hij via het lek Twitter wachtwoorden kon stelen. Onder de Top 100 HTTPS websites bevinden zich verschillende banken en e-commerce bedrijven. Google is ook in de Top 100 vertegenwoordigd, maar heeft het probleem wel boven water. Van de 24 beveiligde websites zijn er 7 van Google. Zeven andere sites draaien Microsoft IIS 6.0, dat niet kwetsbaar zou zijn.

    PhoneFactor, dat het lek ontdekte, houdt inmiddels een lijst bij van vendors die het probleem hebben opgelost. In sommige gevallen heeft men renegotiation helemaal uitgeschakeld, terwijl anderen de oplossing van Eric Rescorla hebben toegepast, zo meldt Netcraft. De Luxemburgse beveiligingsonderzoeker Thierry Zoller maakte deze beschrijving die het lek in detail uitlegt.
  • chrome-logo1

    Vorige week heeft Googlede lancering van het Google Chrome operating system aangekondigd.  Opgeteld is Google Chrome OS niet meer dan een getransformeerde Google Chrome browser.  Chrome start (boottime) in 7 seconden op,  het gebruikt Google Docs om Microsoft Office te vervangen, en slaat al je data  in de cloud op.  Alhoewel het pas volgend jaar gelanceerd wordt, heeftl Google de source files al vrij gegeven.

    Download Chrome OS:
    Via Torrent
    | via GDGT | Installatie documentatie

    Download Chrome OS USB (windows)

  • iphonedeathNa verschillende onschuldige iPhone wormen, is er nu een zeer gevaarlijke variant gesignaleerd die het eerste iPhone botnet aan het bouwen is, zo laat XS4ALL aan Security.nl weten. "Na de 5 euro idioot, Ikee met Rick Astley en Intego's Privacy, doet deze worm echt nare dingen", zegt Security Officer Scott McIntyre. De worm kan gegevens stelen, maakt verbinding met zijn makers en geeft hen volledige controle over de telefoon. Wederom zijn het alleen gebruikers van een gejailbreakte iPhone of iPod Touch die risico lopen. In tegenstelling tot de voorgaande twee wormen en het kwaadaardige script, richt deze zich op een gigantische reeks IP-adressen, waaronder UPC, Optus in Australië, een Hongaarse en Portugese provider, T-Mobile en vele anderen.


    Vanwege de grote activiteit van de worm op het T-Mobile netwerk, ontdekte XS4ALL dat er nieuwe malware in omloop was. De worm probeert op gejailbreakte iPhones via SSH en met het standaard wachtwoord 'alpine' in te loggen. Zodra de worm binnen is, begint die zichzelf van de geïnfecteerde telefoon naar andere iPhones te verspreiden. De verspreiding gaat met name snel zodra slachtoffers thuiskomen en verbinding met het lokale draadloze netwerk maken. De worm kan dan veel sneller naar nieuwe IP-adressen zoeken, met als gevolg dat de batterij van de iPhone sneller leeg raakt.

    Besmette machines installeren verschillende packages en bestanden om ook de rest van de malware te laten werken. Daarnaast heeft de worm ook een functie om de SMS database naar een bestand te dumpen. Verder vervangt de worm startup scripts en start zelf twee nieuwe processen. Eén is de SSH worm, de ander een proces dat regelmatig voor nieuwe opdrachten met een gehackte server in Litouwen verbinding maakt. Zo kan de auteur van de worm aanvullende malware installeren. Verder worden gegevens over de geïnfecteerde iPhone naar deze server in Litouwen gestuurd. Om de gebruiker buiten te houden, wordt ook het root wachtwoord gewijzigd. Doordat de server in Litouwen staat, is het lastig om die snel uit de lucht te halen.

    TAN-codes
    Via het update proces is het mogelijk voor de auteur om specifieke iPhones bij te werken, aangezien de worm elke machine een uniek ID-nummer meegeeft. "Dat betekent dat als de aanvallers iets in je upload map zien wat ze leuk vinden, ze je andere commando's kunnen laten uitvoeren." Hoewel de worm in Nederland zeer actief is, lijkt die zich voornamelijk op Brazilië te richten. In sommige gevallen zoekt de malware in SMS-berichten naar bepaalde activatiecodes. McIntyre vermoedt dat het mogelijk om een soort TAN-codes gaat, die men voor internetbankieren gebruikt.

    De Security Officer heeft inmiddels een exemplaar naar de Finse virusbestrijder F-Secure gestuurd, die het als Ikee.B bestempelt. "Ik weet niet of het echt een variant van Ikee is of niet. Deze wijzigt niet alleen je lock scherm wat onschuldig is, dit is veel meer een iPhone botnet-maker." De worm komt ook niet overeen met Privacy.A, de malware die uit een Python script bestaat en data van aangevallen iPhones "opzuigt". "Deze doet dat niet, het is echt een worm die andere iPhones probeert te infecteren en terugbelt naar een HTTP-botnet controller." Het contact met de server in Litouwen gebeurt zonder enige encryptie. "Het versleutelen van gegevens via malware is lastig voor cybercriminelen." De malware, die al zo'n twee dagen actief is, kan de iPhone allerlei opdrachten laten uitvoeren.

    Jailbreaken
    Begin november werden tientallen en mogelijk honderden iPhones door een Hilversumse hacker, die McIntyre de "5 euro idioot" noemt, geïnfecteerd. De aanvaller wilde in eerste instantie 5 euro hebben, maar kwam daar later op terug. Ook de Ikee worm kwam breed in het nieuws, toch zijn er nog altijd gebruikers die het standaard wachtwoord niet hebben gewijzigd. Op de vraag of de nieuwe slachtoffers hun wachtwoord hadden moeten wijzigen, laat McIntyre weten dat deze mensen hun iPhone niet eens hadden moeten jailbreaken.

    Veel mensen weten niet waar ze mee bezig zijn en installeren onbekende software op een systeem waar hun persoonlijke en gevoelige informatie op staat, zo gaat hij verder. Hij vindt dat de makers van jailbreak software ervoor moeten zorgen dat gebruikers standaard het wachtwoord moeten wijzigen. Hoeveel iPhones al besmet zijn durft McIntyre niet precies te zeggen, maar duizend noemt hij een realistisch aantal.

    bron: security.nl

  • Een nieuw rapport wijst op de gevaren van het gebruik van publieke WiFi-netten op mobieltjes. Onder meer e-mailwachtwoorden kunnen op straat komen te liggen.

    Een onderzoeksteam van SMobile Systems heeft een rapport (PDF) uitgebracht over het kraken van de beveiliging op de iPhone 3GS, de Nokia N95, de HTC Tilt en Android-toestel T-Mobile G1. Dat deden de onderzoekers via zogeheten man-in-the-middle-aanvallen, waarbij de versleuteling van een SSL-certificaat werd gebroken.

    Bij een dergelijke aanval onderschept een hacker communicatie tussen twee systemen door data naar hem te laten doorsturen. De onderzoekers gebruikten hiervoor de programma's Arpspoof en SSLStrip. Door de SSL-encryptie te kraken met behulp van een laptop kregen ze toegang tot de gebruikersnaam en wachtwoord van het mailadres van de telefoongebruiker. Dat lukte op alle vier de geteste toestellen.

    Oppassen met mobiele WiFi
    Volgens SMobile Systems toont dit aan dat het gebruik van publieke WiFi-netwerken op telefoons erg risicovol kan zijn. De onderzoekers waarschuwen dat vertrouwelijke gegevens via zo'n netwerk beter moeten worden versleuteld dan nu gebeurt.

    Maar applicaties die data op smartphones kunnen versleutelen zijn schaars, aldus het rapport. Smartphones die door bedrijven worden gebruikt zouden met dezelfde beveiliging moeten worden uitgerust als desktop-pc's en laptops, adviseert SMobile Systems.

    SSL kraken
    De beveiligingsproblemen rond SSL-certificaten zijn al langer bekend. Dit voorjaar gaf de hacker die de nieuwe man-in-the-middle-aanval op SSL heeft ontworpen na de Black Hat-conferentie zijn exploittool vrij. Daardoor kan de omzeiling van SSL-beveiliging actief worden misbruikt.

    De hackmethode maakt misbruik van de overgang van versleutelde naar onversleutelde data, waardoor SSL-verkeer op die overgang onderschept kan worden.

    bron: webwereld

  • De Blackboard- en Sharepoint-tegenhanger voor scholen, Moodle, is lek. Het is kinderlijk eenvoudig om het admin-wachtwoord en dan alle gebruikersdata te stelen.

    Moodle is een open source-alternatief voor gesloten systemen als Sharepoint en Blackboard die veel worden gebruikt door scholen als online leeromgeving. In Nederland wordt Moodle onder andere gebruikt door de KLM, ABN-Amro, de EO, de Belastingdienst en het Centraal Bureau voor Statistiek.

    In totaal maakten in januari 2009 zo'n 653 Nederlandse scholen en bedrijven gebruik van de software, aldus Moodle-expert Hans de Zwart in een blogpost. In deze software blijkt nu een gapend gat te zitten. Het exploiteren ervan is kinderlijk eenvoudig, zo tipt een lezer van Webwereld die vaak werkt met de software.

    Via eigen backup
    Een docent kan een backup draaien van de hele Moodle-gebruikersdatabase en die dan openen in Excel. Probleem is dat er in de kolommen de gegevens gebruikersnaam en wachtwoord gewoon te vinden zijn. Dit geldt voor alle gebruikers, inclusief beheerders. De wachtwoorden zijn weliswaar versleuteld, maar met de zwakke MD5-encryptie. Dat is een verouderde vorm van encryptie die makkelijk te kraken is. MD5 is dan ook ongeschikt voor het versleutelen van deze gevoelige data.

    Blogger en Moodle-kenner 'Figaro' ontdekte het gat toen hij het developers-forum van Moodle aan het uitpluizen was. "Het is geen geheim dat Moodle de afgelopen jaren te kampen heeft gehad met een aantal zeer serieuze privacyproblemen. Maar geen van de vorige problemen komt ook maar in de buurt van dit Moodle beveiliging/privacy-lek dat ik een paar dagen geleden ontdekte."

    Geen patch
    Volgens de tipgever heeft het Moodle-ontwikkelteam het lek nog niet gerepareerd. Het is wel mogelijk om de backup-optie via een workaround uit te zetten. "Maar het betekent wel dat als iemand in het verleden een keer een backup heeft gemaakt, en die backup nog heeft, gewoon aan al die gegevens kan komen. En dat is voor de gebruiker gewoon heel slecht."

    Ed Botterweg, directeur van de enige Nederlandse Moodle-partner Stoas, wil graag benadrukken dat het gat alleen kan worden misbruikt door kwaadwillende werknemers. "We gaan er toch vanuit dat dit werknemers zijn van serieuze bedrijven die niet hun eigen bedrijf gaan benadelen door de backup te hacken." Desondanks is Stoas, dat Moodle host voor Nederlandse klanten, bezig met het uitschakelen van de backup-mogelijkheid bij alle klanten.

    Verder moet iedereen een nieuw wachtwoord aanmaken en worden ook de admin-accounts opnieuw ingesteld. Botterweg benadrukt ook dat "hackers van buitenaf het erg moeilijk" zullen hebben om bij deze informatie te komen. Hij wil graag voorkomen dat er "blinde paniek ontstaat".

    Workaround
    Stoas plaatst later een uitleg op de site waarin de beste oplossing wordt weergegeven om het gat snel te dichten. Dit is dan voor gebruikers die de open source-software zelf intern draaien. Wanneer er een daadwerkelijke patch komt van Moodle is nog niet bekend.

    bron: webwereld.nl

  • Twitter blijkt cybercriminelen allerlei mogelijkheden te geven om hun dubieuze activiteiten te ontplooien, want naast het gebruik van kwaadaardige Tweets, is ook de Twitter API erg in trek. Beveiligingsonderzoeker Denis Sinegubko ontdekte dat de API voor het genereren van de 30 populairste onderwerpen, wordt gebruikt voor het verbergen van kwaadaardige code die naar exploitsites linkt. Het script gebruikt de tweede letter van de meest populaire Twitter zoekopdracht van twee dagen eerder, om te bepalen naar welke exploitsite die een slachtoffer moet doorsturen. Daardoor hebben aanvallers één dag de tijd om de nieuwe domeinnaam te registreren die de volgende dag actief zal zijn. Aanvallers plaatsen de Twitter code vervolgens op gehackte websites.

  • Een berucht botnet dat voor ruim 4% van alle spam ter wereld verantwoordelijk is, is door een proactieve botnetjager binnen 24 uur ontmanteld. Normaliter onderzoekt beveiligingsbedrijf FireEye de werking van de verschillende botnets die actief zijn. In het geval van Mega-D / Ozdok besloot men tot actie over te gaan. En dat is een stuk lastiger dan alleen het vinden van de coördinaten en backup mechanismen van de command & controle server die het botnet beheert. "Voor het uit de lucht halen moet iemand het initiatief nemen en een gecombineerde poging doen met partijen zoals internet service providers, registrars, etc.", zegt onderzoeker Atif Mushtaq. "In plaats van een passieve rol, besloot FireEye dit keer om met deze groepen samen te werken." Met als gevolg dat alle grote command & controle servers van het botnet uit de lucht zijn gehaald. "Ongeacht het aantal mechanismen om op terug te vallen, als ze niet goed geïmplementeerd zijn, is het botnet kwetsbaar."

  • Maker Aki Mimoto wrote in to let us know about his exciting new Arduino/VR/Web app mashup. He's wired up his wife's bike on a stationary platform to an Arduino using a reed sensor. Using the sensor data from the bike, along with data from a head mounted display (HMD), Ari is able to accurately pinpoint his position within Google Street View. Additional data from the HMD allows Ari to look around at his surroundings for a true VR experience.

    Source: blog.makezine.com

  • Microsoft patchte dinsdag een zeer ernstig beveiligingslek in de Windows kernel en verwacht dat hackers binnen 30 dagen het lek zullen misbruiken, maar volgens experts is het een kwestie van dagen, zeker omdat proof-of-concept exploitcode al beschikbaar is. De kwetsbaarheid is zo aantrekkelijk omdat gebruikers alleen maar een gehackte of kwaadaardige website hoeven te bezoeken om besmet te raken. "We zien nog geen actieve exploits in het wild, maar we denken dat aanvallers hier in de toekomst veel aandacht aan zullen besteden", zegt Ben Greenbaum van Symantec. Volgens hem gaat er al proof-of-concept exploitcode rond.


    "Een exploit zal eerder vroeger dan later verschijnen", aldus Jason Miller van Shavlik Technologies. "Het doelwit is Internet Explorer en browsing is de nummer één aanvalsvector in de wereld op het moment." Beveiligingsexpert H.D. Moore, de man achter de onlangs overgenomen hackertool Metasploit, laat weten dat ook hij aan een exploit werkt. "Ik heb er bijna één klaar."

    Windows 7
    Via een geprepareerd Embedded OpenType (EOT) font, kunnen aanvallers willekeurige code uitvoeren. Het grote voordeel is dat EOT zowel compressie als encryptie kan gebruiken. Daardoor zullen de meeste virusscanners problemen met detectie hebben, als het al niet onmogelijk is, gaat Moore verder. "Exploits gaan voorbij elke verdediging die de gebruiker heeft." Aangezien het EOT bestand op kernelniveau wordt gerenderd, en niet door Internet Explorer zelf, biedt browser-gebaseerde defensie geen bescherming. "JavaScript is niet vereist voor een exploit."

    Windows 7 is volgens Microsoft niet kwetsbaar, maar dat geldt mogelijk niet voor de Release Candidate (RC), laat Andrew Storms van nCircle weten. "Windows 7 RC is waarschijnlijk kwetsbaar." Aangezien Microsoft geen updates voor deze versie uitbrengt, doen gebruikers er volgens hem verstandig aan om naar de release to manufacturing (RTM) te upgraden.
  • Firefox had in de eerste helft van dit jaar de meeste beveiligingslekken van alle browers, maar Apple's Safari nadert snel. Volgens webbeveiliger Cenzic waren browserlekken goed voor 8% van alle weblekken. Mozilla's Firefox is met 44% de meest kwetsbare browser, gevolgd door Apple's Safari, dat een aandeel van 35% veroverde. De plotselinge stijging van Safari wordt verklaard door het toegenomen aantal lekken in iPhone Safari. Internet Explorer komt met 15% op de derde plaats, terwijl Opera met 6% hekkensluiter is.
    web vulnerabilities q1 2009
    In totaal werden er 3100 lekken ontdekt, een tien procent stijging ten opzichte van de laatste twee kwartalen vorig jaar, toen de teller op 2835 bleef steken. Negentig procent van de kwetsbaarheden bevond zich in webapplicaties, 8% in webservers en 2% in browsers. Bij webapplicaties komen cross-site scripting (17%) en SQL-injectie (25%) het meest voor. Cenzic maakte ook nog een top 10 van de meest ernstige lekken in willekeurige volgorde.

    1. phpMyAdmin Configuration File PHP Code Injection Vulnerability - CVE-2009-1285
    2. SAP cFolders Cross Site Scripting And HTML Injection Vulnerabilities - Bugtraq ID – 34658
    3. Sun Java System Access Manager Cross-Domain Controller (CDC) Cross Site Scripting Vulnerability - CVE-2009-2268
    4. Citrix Web Interface Unspecified Cross-Site Scripting Vulnerability - Bugtraq ID – 34761
    5. Sun Java System Web Server Reverse Proxy Plug-in Cross-Site Scripting Vulnerability - CVE-2009-1934
    6. Apache Tomcat Form Authentication Existing/Non-Existing Username Enumeration Weakness - CVE-2009-0580
    7. phpMyAdmin 'setup.php' PHP Code Injection Vulnerability - CVE-2009-1151
    8. F5 Networks FirePass SSL VPN 'password' Field Cross-Site Scripting Vulnerability - CVE-2009-2119
    9. Multiple Symantec Products Log Viewer Multiple Script Injection Vulnerabilities - CVE-2009-1428
    10. IBM Tivoli Identity Manager Multiple Cross Site Scripting Vulnerabilities- Bugtraq ID – 35566
    bron: security.nl
  • Het beveiligingsbedrijf Electric Alchemy heeft gedemonstreerd dat het brute-force kraken van een PGP-sleutel relatief goedkoop kan gebeuren door de berekeningen op virtuele machines op Amazon EC2 uit te voeren. Een wachtwoord van negen karakters dat alleen letters en cijfers bevatten, kost bijvoorbeeld maar 1.600 dollar om te kraken.

    Het brute-force kraken van encryptiesleutels vereist heel wat computerkracht. De beste beveiliging is dan ook je wachtwoorden zo complex en lang mogelijk te maken, zodat het veel te lang duurt en veel te veel kost om het wachtwoord te kraken. Maar met de opgang van de cloud dalen die kosten drastisch: het is tegenwoordig vrij goedkoop om even een server op Amazon EC2 te draaien. Het beveiligingsbedrijf Electric Alchemy heeft gedemonstreerd dat men hiermee vrij goedkoop een sleutel kan kraken.

    Kraken op EC2
    Het bedrijf kreeg van een klant de vraag om enkele met PGP versleutelde ZIP-archieven te ontcijferen. Electric Alchemy koos voor de software ElcomSoft Distributed Password Recovery. Op een snelle dual core Windows 7-computer zou het kraken van een redelijk lang PGP-wachtwoord echter 2100 dagen duren. Daarom besloot het bedrijf om ElcomSoft op Amazon EC2 te draaien: tien virtuele computers die het wachtwoord tegelijk proberen te kraken zouden er 122 dagen over doen, en honderd virtuele computers 12 dagen. En dat tegen 0,30 dollar per uur voor een High CPU instance.

    Lang en complex wachtwoord
    Uiteindelijk heeft Electric Alchemy het gezochte wachtwoord nog niet gevonden, maar het bedrijf geeft wel een interessant inzicht in de kost van het kraken van sleutels. Zo kost een wachtwoord van twaalf kleine letters 1,5 miljoen dollar om op EC2 te kraken. Voor elf letters wordt dit 60.000 dollar en voor tien 2.300 dollar. Een wachtwoord van acht karakters met cijfers, kleine letters en hoofdletters en speciale tekens zoals !, @, #, % en $ zou zo'n 100.000 dollar kosten om te kraken. Het loont dus duidelijk om een lang en complex wachtwoord te kiezen.

    bron: techworld.nl

  • Epic Games heeft de Unreal Development Kit gratis ter beschikking gesteld. Met de kit kan iedereen nu met de Unreal Engine 3 aan de slag. Voorlopig ondersteunt de kit alleen pc-ontwikkeling, maar aan support voor consoles wordt gewerkt.

    Met de Unreal Development Kit biedt Epic een volledig platform aan onafhankelijke ontwikkelaars om te experimenteren met de Unreal Engine 3. De game-engine is een veelgebruikte engine in grote producties. Zo zijn onder andere Gears of War en het recente Fairytale Fights rond de engine opgebouwd. Met de development kit kunnen ontwikkelaars in spé of hobbyisten hun gang gaan en proeven van de 3d game-engine van Epic.

    Epic is verheugd en meent dat het ideaal is dat meer mensen nu hun creativiteit kunnen loslaten op de tools. Voormalig Tweakers.net-crewlid en gameontwikkelaar Sylvester Hesp is het hiermee eens. "ik juich dit soort initiatieven alleen maar toe. Het geeft studenten en aspirant gamedevelopers een manier om zich te concentreren op de kern van de zaak: het implementeren van hun game, en niet alle poespas eromheen."

    Volgens Hesp is het ook een mogelijkheid om commercieel voet aan de grond te krijgen: "Het is ook voor starters en onafhankelijke ontwikkelaars, die zich bijvoorbeeld nog geen middleware kunnen veroorloven, een goede manier om een prototype in elkaar te zetten en een deal te scoren bij een uitgever." Op het moment dat een game commercieel een rol gaat spelen, zijn er wel voorwaarden rond het gebruik van de Unreal Engine 3, zo stelt website Gamesindustry.biz.

    bron: tweakers.net

  • Na het gratis (IN)Secure Magazine is er nu weer een online blad voor IT-Security professionals verschenen. Security Acts verschijnt vier keer per jaar en omschrijft zich als een 'high-quality magazine' dat gratis is te downloaden. In de redactie zitten professor Dr. Sachar Paulus, Aaron Cohen, Manu Cohen en Markus Schumacher. De allereerste editie gaat onder andere over het uitvoeren van information security audits, security testing, web application security, practical application security, de wetenschap van veilige software, de problemen die AJAX veroorzaakt en application security fundamentals. Het laatste artikel is afkomstig van Joel Scambray, bekend van zijn boeken als “Hacking Exposed” en “Hacking Web Applications Exposed”.
  • Last week I mentioned that adding &fmt=18 to a Youtube URL, or &ap=%2526fmt%3D18 to the embed code URLs allows you to view and embed Youtube clips in nice looking 480x360 resolution, encoded with the H.264 codec. The result is a much better playback experience than the standard 320x240 sorenson encoded clips, but a post today on webmonkey gives us another tweak that can produce even better results for some videos.

    Above is an example of Collin Cunningham's brilliant LED investigation in high def.

    By changing that fmt variable to &fmt=22 or tacking on &ap=%2526fmt%3D22 to the embed URLs—that's right, turn it up twice past 11—Youtube will kick out compatible videos at a whopping 720p resolution.

  • Om veilig applicaties te gebruiken waarvan de bron onduidelijk is kan gebruikt gemaakt worden van virtuele omgevingen.

  • Achterdeuren openen?

  • Een groep hackers heeft een tool uitgebracht waarmee sitebeheerders hun website kunnen scannen op kwetsbaarheden, met behulp van zoekopdrachten binnen Google.


Copyright © 2017. All Rights Reserved.