The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • php mailerEen beveiligingsupdate die deze week verscheen voor een ernstig beveiligingslek in PHPMailer blijkt niet afdoende te zijn, waardoor nog steeds miljoenen websites risico lopen. PHPMailer is een programma dat e-mailfunctionaliteit aan websites toevoegt, bijvoorbeeld voor het achterlaten van feedback.

    Volgens de ontwikkelaars heeft de software naar schatting 9 miljoen gebruikers. Onder andere WordPress, Drupal, SugarCRM en Joomla maken er gebruik van, zo meldt het Nationaal Cyber Security Center (NCSC). Deze week verscheen er een beveiligingsupdate voor een kwetsbaarheid (CVE-2016-10033) waardoor een aanvaller op afstand code met de rechten van de webserver kon uitvoeren. De update, met versienummer 5.2.18, blijkt het probleem echter niet volledig te verhelpen, meldt beveiligingsonderzoeker Dawid Golunski. Hij ontdekte ook het lek en de mogelijkheid om de update te omzeilen.

  • Netgear WNR2000Netgear heeft beveiligingsupdates uitgebracht voor een ernstig beveiligingslek in 11 type routers dat op 9 december bekend werd gemaakt. Via de kwetsbaarheid kan een aanvaller op afstand de router overnemen als een gebruiker een kwaadaardige pagina opent.

    In eerste instantie werd gemeld dat het probleem alleen in de R7000- en R6400-routers aanwezig was. Later bleken veel meer modellen kwetsbaar te zijn. Inmiddels heeft Netgear ook een model van deze lijst verwijderd. Het gaat om de D7000. Netgear had eerst nog gezegd dat dit model wel kwetsbaar was, maar dat blijkt na testen toch niet zo te zijn. De afgelopen dagen verscheen voor alle elf kwetsbare routers al een betaversie van de firmware die het probleem oplost.

  • Netgear WNR2000Een beveiligingsonderzoeker heeft een ernstig beveiligingslek in de Netgear WNR2000-router onthuld waardoor aanvallers in het ergste geval het apparaat via het internet kunnen overnemen en een beveiligingsupdate is nog niet beschikbaar. De WNR2000-router werd ook in Nederland verkocht.

    Een kwetsbaarheid in de router maakt het mogelijk voor een aanvaller op het lokale netwerk (lan) om het beheerderswachtwoord te achterhalen. Ook is het mogelijk om op afstand allerlei instellingen aan te passen. Als 'beheer op afstand' is ingeschakeld is het ook mogelijk om de kwetsbaarheid via internet aan te vallen. Onderzoeker Pedro Ribeiro ontdekte via de zoekmachine Shodan 10.000 routers waar "remote administration" staat ingeschakeld.

  • ransomwareKaspersky Lab heeft een tool uitgebracht waarmee bestanden die vergrendeld zijn door ransomware CryptXXX v3 zijn te ontsleutelen. De geavanceerde ransomware werd sinds mei verspreid en tot dusver was er geen volledige decryptie mogelijk.

    Het beveiligingsbedrijf heeft de decryptiemethode toegevoegd aan zijn Rannoh Decryptor-software, die gebruikers kunnen downloaden op NoMoreRansom.org. Kaspersky Lab wist eerdere versies van CryptXXX ook al te kraken en bracht destijds vrij snel software uit waarmee gebruikers de ransomware te lijf konden te gaan.

  • dnschanger router malwareEen paar dagen geleden berichtten we over een nieuwe exploit kit, genaamd Stegano. Deze verstopt kwaadaardige code in de pixels van banner advertenties nieuwssites.
    Nu, hebben onderzoekers ontdekt dat aanvallers zich richten op online gebruikers via een exploit kit genaamd DNSChanger.Deze wordt verspreid via advertenties met kwaadaardige code in plaatjes.
    Als je DNSChanger bekend voorkomt klopt dat. Dezelfde malware heeft in 2012 miljoenen computers wereldwijd besmet.

  • yahoo hackDe database met daarin gegevens van meer dan een miljard accounts, die in 2013 werd buitgemaakt bij Yahoo, is volgens een beveiligingsexpert drie keer verkocht voor 300.000 dollar. Twee kopers zouden bekende spammers zijn en de derde is mogelijk een inlichtingendienst.

    Andrew Komarov, chief intelligence officier van het beveiligingsbedrijf InfoArmor, zegt in een interview met Bloomberg dat de accountdatabase op het dark web word verkocht door een groepering die hij Group E noemt. Komarov stelt dat hij de database in augustus in handen kreeg toen er een transactie plaatsvond. Volgens de beveiligingsexpert werd de database verkocht als een set van inloggegevens van 'meer dan vijfhonderd miljoen, tot een miljard gebruikers'.

  • netgear r7000

    Netgear heeft een tijdelijke patch uitgebracht voor routermodellen met een kwetsbaarheid die een aanvaller willekeurige code laat uitvoeren. Het bedrijf raadt gebruikers echter aan om te wachten op de stabiele versies van de patches.

    De tijdelijke bètapatches zijn beschikbaar voor de R6400-, R7000- en R8000-modellen, aldus Netgear. Het schrijft dat sommige stabiele patches in de loop van dinsdag moeten uitkomen. Die zullen aan de ondersteuningspagina toegevoegd worden. Daarnaast meldt het bedrijf dat het lek in totaal acht routermodellen treft, namelijk de R6250, R6700, R7100LG, R7300 en R7900 naast de al genoemde modellen. Netgear stelt dat de mogelijkheid bestaat dat meer routers getroffen zijn.

  • netgear r7000Het Amerikaanse Cert van de Carnegie Mellon-universiteit waarschuwt dat R7000- en R6400-routers van Netgear een ernstig beveiligingslek bevatten. Hierdoor kan een aanvaller op afstand willekeurige code als root uitvoeren.

    Volgens de organisatie is er inmiddels een exploit voor de kwetsbaarheid beschikbaar, waardoor gebruikers risico lopen. Het advies is dan ook om de routers niet te gebruiken tot er een patch beschikbaar is. Vooralsnog lijkt deze niet door Netgear uitgebracht te zijn. ZDNet schrijft dat een woordvoerder van het bedrijf nog niet op vragen heeft gereageerd. Het Amerikaanse Cert meldt verder dat het lek te misbruiken is door een slachtoffer een kwaadaardige site te laten bezoeken. Een aanval is ook via het lokale netwerk mogelijk.

  • stegano exploit kit malware hackingOnderzoekers van beveiligingsbedrijf ESET laten weten dat zij een exploitkit hebben ontdekt die zij de naam 'Stegano' hebben gegeven, omdat het maatregelen neemt om zichzelf te verbergen. Het verspreidt malware door pixels in advertentiebanners.

    De kwaadaardige advertenties zijn sinds oktober vooral aanwezig op nieuwswebsites, aldus de onderzoekers. Het gaat om banners voor de producten 'Broxu', een tool om schermafbeeldingen te maken, en 'Browser Defence', dat de browser van gebruikers moet beschermen. De exploitkit zou sinds 2014 al actief zijn. Destijds richtte deze zich voornamelijk op Nederlandse gebruikers. Daarna verlegden de criminelen erachter hun aandacht naar Tsjechië, gevolgd door bijvoorbeeld het VK, Spanje en Italië. De omvang van de exploitkit zou te vergelijken zijn met andere grote varianten, waaronder Angler en Neutrino. De banners zijn aanwezig op sites die door miljoenen gebruikers worden bezocht, aldus het bedrijf.

  • wifi symboolDe malware die onlangs nog voor problemen bij Deutsche Telekom en verschillende Britse internetproviders zorgde blijkt routers niet alleen te infecteren, maar ook het wifi-wachtwoord te stelen. Dat meldt Andrew Tierney van het Britse beveiligingsbedrijf Pen Test Partners in een blogposting.

    De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Vervolgens wordt de malware geladen die de besmette router naar andere kwetsbare routers laat zoeken. Pen Test Partners heeft een honeypot draaien en zag onlangs een aanval waarbij werd geprobeerd om niet alleen het apparaat te besmetten, maar ook het wifi-wachtwoord te stelen.

  • windows10Nieuwe Windows 10-computers beschikken over ingebouwde schijfversleuteling die standaard staat ingeschakeld als gebruikers met hun Microsoft-account inloggen, maar in dit geval wordt de herstelsleutel om de schijf te ontsleutelen in de cloud bewaard. Daarvoor waarschuwt The Intercept.

    "De gouden standaard in schijfversleuteling is end-to-end-encryptie, waar alleen de gebruiker zijn schijf kan ontsleutelen. Dit is wat de meeste bedrijven gebruiken en het lijkt goed te werken", zegt Matthew Green, cryptografieprofessor aan de Johns Hopkins Universiteit. "Er zijn zeker gevallen waarbij het handig is om een back-up van je sleutel of wachtwoord te hebben. In die gevallen kun je ervoor kiezen om een bedrijf de informatie te laten bewaren. Maar het overhandigen van je sleutels aan een bedrijf als Microsoft verandert de beveiligingseigenschappen van een schijfversleutelingssysteem."

  • Kabel Deutschland routerDe Duitse ontwikkelaar Alexander Graf vond wachtwoorden in het geheugen van zijn eigen router. Deze gaven toegang tot het onderhoudsnetwerk van Vodafone-dochter Kabel Deutschland. Daarmee kon hij ongehinderd rondkijken op de routers van 2,8 miljoen Duitsers.

    Alexander Graf ontdekte de kwetsbaarheid toen hij in zijn eigen router op zoek was naar de inloggegevens voor zijn voip-toegang, die hij wilde gebruiken om zijn eigen hardware aan te sluiten. Hij trof een verstopte netwerkverbinding met de naam wan0 aan, die deel van het onderhoudsnetwerk van de Duitse aanbieder bleek te zijn. Via dit netwerk kon hij zich via telnet en later via ssh toegang verschaffen tot de routers van 2,8 miljoen andere gebruikers. De toegangswachtwoorden van deze routers waren deels in plaintext opgeslagen in het geheugen van zijn eigen router. Deze waren voor alle apparaten gelijk.

  • encrytptieOnderzoekers hebben een aanval gedemonstreerd waarmee het mogelijk is om het encryptiewachtwoord van versleutelde Linuxsystemen in handen te krijgen. De aanval vereist wel dat de aanvaller fysieke toegang tot het systeem heeft. In dit geval kan er code worden toegevoegd om het wachtwoord te onderscheppen.

    In 2009 demonstreerde onderzoekster Joanna Rutkowska de Evil Maid-aanval, waarbij een aanvaller met fysieke toegang het encryptiewachtwoord van met TrueCrypt-versleutelde systemen kon achterhalen. Dergelijke aanvallen kunnen volgens onderzoekers van beveiligingsbedrijf Gotham Digital Science op elk besturingssysteem worden uitgevoerd. Onderzoekers van het bedrijf besloten voor hun onderzoek naar de Linux Unified Key Setup (LUKS) te kijken, de schijfversleuteling voor Linux. Ze hebben hun aanval omgedoopt tot 'EvilAbigail', waarbij Abigail een Amerikaanse term voor bediende is.

  • joomla logoDe makers van het contentmanagementsysteem Joomla hebben een beveiligingsupdate uitgebracht die een kritieke kwetsbaarheid in de software verhelpt waardoor een aanvaller kwetsbare websites kan overnemen. Beheerders krijgen dan ook het advies om de update direct te installeren.

    Vorige week verscheen er ook een update voor Joomla, toen voor een kwetsbaarheid die actief werd aangevallen. De oorzaak van deze kwetsbaarheid blijkt een bug in PHP zelf te zijn. PHP had deze kwetsbaarheid zelf al in september van dit jaar gepatcht via PHP 5.4.45, 5.5.29, 5.6.13 en PHP 7. Joomla-websites die op een kwetsbare versie van PHP draaiden konden via de kwetsbaarheid worden aangevallen.

  • jupinerJuniper, een maker van netwerkapparatuur, laat weten dat het 'ongeautoriseerde code' heeft ontdekt in zijn ScreenOS-software. Deze maakte het voor een aanvaller mogelijk om op afstand beheerderstoegang te verkrijgen op bepaalde apparaten en om vpn-verkeer te ontsleutelen.

    Juniper meldt dat de kwetsbaarheden aan het licht zijn gekomen tijdens een interne code review van de ScreenOS-software, deze wordt gebruikt in NetScreen-apparaten die dienstdoen als firewall en vpn-verbindingen mogelijk maken. Het probleem wordt veroorzaakt door code waarvan het bedrijf niet kan aangeven waar deze vandaan komt. Dit is opmerkelijk, omdat deze code dus door een derde partij kan zijn toegevoegd aan de software. Onder andere de site CIO meldt dat het incident de sporen vertoont van een actie van een overheid.

  • backspaceEr is een kwetsbaarheid in de Linux-bootloader Grub2 ontdekt waardoor een aanvaller met fysieke toegang tot een systeem zonder wachtwoord kan inloggen. Grub2 is de bootloader die de meeste Linuxsystemen gebruiken. Het nu ontdekte lek is aanwezig in versie 1.98 (uit 2009) tot versie 2.02 (2015).

    Een aanvaller die van de kwetsbaarheid gebruik weet te maken kan zonder geldige gebruikersnaam of wachtwoord inloggen, informatie stelen of een Denial of Service veroorzaken, aldus de advisory.

  • kerberosEen beveiligingsonderzoeker schrijft dat Kerberos, het authenticatieprotocol van Windows, vatbaar is voor een aanval waarbij een kwaadwillende gebruiker onder andere zichzelf beheerdersprivileges toe kan kennen en nieuwe gebruikers aan kan maken. Het lek zou niet te dichten zijn.

    Het Kerberos-protocol maakt het mogelijk gebruikers op een netwerk te au­then­ti­ceren zonder dat daarbij wachtwoorden verstuurd worden. Er wordt daarbij gebruikgemaakt van een key distribution center, dat zorgt voor de nodige sleutels. Het is de onderzoeker van het Dfir-Blog gelukt om het wachtwoord van een account genaamd 'krbtgt' te gebruiken om een geheime sleutel aan te maken. Dit account wordt standaard aangemaakt en wordt door Microsoft aangemerkt als een 'service account'.

  • joomla exploit payloadHet contentmanagementsysteem Joomla is kwetsbaar voor remote code execution. Gebruikers van versies 1.5 tot 3.4.5 wordt aangeraden om een update uit te voeren. Er wordt door aanvallers al gebruikgemaakt van de kwetsbaarheid.

    Het beveiligingslek in de populaire contentmanagementsoftware werd opgemerkt door beveiligingsbedrijf Sucuri. Sites die van de software gebruikmaken kunnen door een aanvaller worden gebruikt om verkeer naar willekeurige sites om te leiden of kwaadaardige code uit te voeren. Het opensourceproject achter Joomla heeft het lek gedicht in versie 3.4.6, deze is via een update beschikbaar.

  • Linksys logo (27 pix)Linksys-routers van de serie EA6100 tot EA6300 zijn kwetsbaar door meerdere cgi-scripts. Deze scripts zijn te gebruiken door een ongeautoriseerde aanvaller, waardoor deze toegang kan krijgen tot het beheerderswachtwoord van het apparaat.

    The Register meldt dat de kwetsbaarheden zijn gevonden door het bedrijfKoreLogic, dat een rapport over de bevindingen heeft gepubliceerd. Onder andere bootloader_info.cgi, sysinfo.cgi, ezwifi_cfg.cgi en qos_info.cgi kunnen gebruikt worden om de instellingen van de routers aan te passen. Hiermee kon bijvoorbeeld het beheerderswachtwoord achterhaald worden.

  • nsaDe NSA beschikt over een speciale afdeling die vpn-verbindingen hackt. De geheime dienst voertman in the middle-aanvallen uit waarbij communicatie wordt ontsleuteld. Ook ssh- en https-verbindingen worden soms met succes gekraakt. Dat blijkt uit nieuwe gelekte documenten.

    De NSA-afdeling kraakt onder meer verbindingen over het zogeheten point-to-point-tunneling-protocol zonder al te veel moeite. Dat maakten journalisten Laura Poitras en Jacob Appelbaum in samenwerking met Der Spiegel bekend op de CCC-beveiligingsconferentie in Hamburg, op basis van documenten van klokkenluider Edward Snowden. Appelbaum is ook verantwoordelijk voor het Tor-project, dat gebruikers relatief anoniem gebruik laat maken van internet.

  • private surfing smallElke moderne browser heeft een speciale instelling waarmee de browser niets bewaart tijdens het internetten. Dit is handig als je je mail controleert op de computer van iemand anders, maar ook als je iemand anders laat internetten op jouw computer.


    Stap 1: Privé-modus

    Surf je in privé-modus, dan worden er geen sporen van je browse-sessie opgeslagen in de geschiedenis van je browser. De privé-modus is erg handig als je even op de computer van iemand anders werkt.

  • appleEind december zal een onderzoeker laten zien hoe het mogelijk is om op een Apple Macbook een bootkit te installeren die het opnieuw installeren van het besturingssysteem en het vervangen van de harde schijf kan overleven. De bootkit kan via iemand die fysiek toegang tot de laptop worden geïnstalleerd. Hiervoor wordt de extern toegankelijke Thunderbolt-poort gebruikt. Zodra de bootkit actief is kan die zich viraal verspreiden door andere Thunderbolt-apparaten te infecteren.

  • malware1Cybercriminelen hebben dit jaar voornamelijk lekken in Adobe Flash Player, Microsoft Internet Explorer en Silverlight gebruikt om internetgebruikers met malware te infecteren. Dat blijkt uit een analyse van het Japanse anti-virusbedrijf Trend Micro, dat acht verschillende exploitkits analyseerde.

    De exploitkits bevatten exploits die misbruik van lekken maken die niet door internetgebruikers zijn gepatcht. Op een gehackte pagina plaatsen de aanvallers een iframe of JavaScript dat bezoekers, zonder dat ze het doorhebben, naar een pagina stuurt waarop de exploits actief zijn. Exploits voor vier lekken zijn daarbij de grote favoriet, namelijk: Silverlight (CVE-2013-0074), Adobe Flash Player (CVE-2014-0515), Adobe Flash Player (CVE-2014-0569) en Internet Explorer (CVE-2014-2551).

  • clockOnderzoekers van Google hebbenkritieke lekken in het Network Time Protocol (NTP) ontdekt waardoor aanvallers op systemen die van NTP gebruik maken code kunnen uitvoeren. NTP is een protocol waarmee systemen de tijd voor verschillende diensten en applicaties kunnen synchroniseren.

    Het wordt onder andere op grote schaal binnen industriële systemen gebruikt. Neel Mehta en Stephen Roettger van het Google Security Team ontdekten verschillende kwetsbaarheden in het protocol.

  • pineappleBeing 3 months since the last major firmware release we are excited to present to you today a major milestone in the project. This firmware could have easily been 3 separate releases, so prepare for some awesome changes.

    On the usability side you'll notice that the WIFi Pineapple's Web Interface is now responsive and beautiful on mobile devices. Not just a cosmetic change, you'll notice a new help system is built-in providing answers to common questions for features such as PineAP, Networking and Configuration.

  • RouterNaar schatting meer dan 12 miljoen routers van onder andere D-Link, Huawei, TP-Link, ZTE en Zyxel zijn aan te vallen door in een http-pakketje een aangepast cookiebestand te sturen. De aanvalsmethode kan een hacker volledige toegang geven tot de admin-interface.

    De bug, die Misfortune Cookie is genoemd, is ontdekt door onderzoekers van Check Point Software. De weeffout is te vinden in RomPager, een embedded webserver die in miljoenen routers en gateways is te vinden. Door een aangepast cookie in een http-pakketje naar een kwetsbaar apparaat te sturen, ontstaat een geheugenfout. Hierdoor worden admin-rechten gegeven aan elke sessie, waardoor een aanvaller een router of gateway eenvoudig kan herconfigureren.

  • wordpress-securityOp meer dan 100.000 WordPress-sites hebben onderzoekers kwaadaardige code aangetroffen die bezoekers met malware probeert te infecteren. De code wordt van het Russische domein SoakSoak geladen. Google zou inmiddels meer dan 11.000 besmette websites op een blacklist hebben gezet.

    Bezoekers die Firefox of Chrome gebruiken krijgen bij het bezoeken van deze WordPress-websites een waarschuwing dat de site malware bevat. Volgens beveiligingsbedrijf Sucuri is het aantal getroffen websites veel groter en zou het om meer dan 100.000 WordPress-installaties gaan. Ook op het forum van WordPress klagen tal van gebruikers over SoakSoak op hun website.

  • CIO

    Resources related to information security, including news and opinion and more on software and application flaws and fixes, data breaches, the inside threat the latest hacker attacks.

    TechRepublic – Security

    TechRepublic helps IT decision-makers identify technologies and strategies to empower workers and streamline business processes. Their security section dives into the latest threats surrounding cyber security.

    US Cert

    US-CERT’s mission is to improve the nation’s cybersecurity posture, coordinate cyber information sharing, and proactively manage cyber risks.

    Wired’s Threat Level

    Privacy, crime, and online security are the topics that carry the headlines here. You’ll find everything from opinionated pieces, to the latest threat alerts.

    Zero Day from ZDNet

    Staying on top of the latest in software/hardware security research, vulnerabilities, threats and computer attacks. The Zero Day blog on ZDNet is a must for anyone keeping track of the industry.

    CERIAS Security Blog

  • Tor-And-Raspberry-PiTor is een netwerkprotocol waarbij internetverkeer geanonimiseerd wordt. Je netwerkverkeer volgt steeds een ander willekeurig pad, waardoor het lastig is om dit af te luisteren. We leggen uit hoe je van je Raspberry Pi een Tor-router maakt, zodat je met elk apparaat via Tor kunt internetten.

    01 Benodigdheden

    Als je Tor wilt gebruiken, moet je het normaal op elke computer en elk mobiel apparaat configureren waarop je via Tor wilt surfen. Wil je op verschillende apparaten anoniem surfen, dan is dat dus nogal omslachtig. Daarom gebruiken we hier een andere aanpak. We maken van een Raspberry Pi een draadloos toegangspunt en laten onze apparaten met het toegangspunt verbinden. Daarna draaien we Tor op de Pi, zodat elk apparaat dat via het toegangspunt surft, automatisch op het Tor-netwerk zit. Het enige wat we extra nodig hebben vergeleken met de vorige workshops, is een usb-wifi-adapter.

  • rfidchip-hackEen Oostenrijkse onderzoeker is er in geslaagd om, door een rfid-chip te herprogrammeren, binnen te komen in Weense appartementencomplexen. In 43 procent van de gevallen kwam hij succesvol binnen met behulp van de skipas.Het gekraakte 'Begeh'-systeem werd volgens de onderzoeker vorig jaar in 9000 appartementencomplexen in Wenen gebruikt en inmiddels zouden de 10.000 installaties al zijn gepasseerd. Ook wordt het systeem uitgebreidt naar andere steden in Oostenrijk. Het systeem gebruikt rfid-chips om bewoners van appartementencomplexen te authenticeren, evenals onder meer postbodes en de hulp- en opsporingsdiensten. De chips blijken echter nauwelijks beveiligd, zo legde beveiligingsonderzoeker Adrian Dabrowski uit tijdens de CCC-beveiligingsconferentie in Hamburg.

    Dabrowski wist de inhoud van de kaart te klonen door een rfid-scanner per post naar zichzelf te versturen. Doordat de postbode die het pakket bezorgde een Begeh-pas gebruikte om zijn appartementencomplex te betreden, kon hij de inhoud van de pas met de scanner in het pakket op afstand kopiëren. "Iedereen kan een kopie van een kaart krijgen zonder dat gebruiker van de pas het doorheeft", aldus Dabrowski. Bovendien kost een hack weinig: "Het hacken van het systeem kost minder dan 20 euro." Overigens is een eventuele inbreker daarna waarschijnlijk nog niet binnen bij de bewoner zelf; daarvoor is waarschijnlijk nog een extra sleutel vereist.

  • A few weeks ago Joshua Wright did a SANS webcast on Exploiting Modern Wireless Networks. For a long time WiFi attacks have focused on either cracking WEP, or brute forcing a WPA shared key. Josh goes over some of the new attack vectors against wireless and how you can use them in a penetration test.

    My favorite slide had to do with that obscure “Free Public WiFi” SSID that we see all over the place. I see these all the time at airports, but also at hotels and other commonly utilized public wifi areas. Apparently this is the default name for ad-hoc networks that are created by Windows XP SP2. Obviously this gets us excited ( MS 08-067). If they are running an XP SP2 box, we can probably assume that the machine is not frequently administered, and most likely not patched. Here are the simple steps that Josh Wright provided in order to exploit this machine:

    • Connect to the adhoc network
    # iwconfig wlan1 essid "Free Public WiFi" mode adhoc
    • Use tcpdump to find the IP (bolded IP below) of the XP box hosting the ad hoc network. Note: the hosting box will be broadcasting NetBIOS packets to help configure associated clients.
    # tcpdump -ni wlan1 -s0 -nt
    IP 169.254.131.118.138 > 169.254.255.255.138: NBT UDP PACKET(138)
    • Configure your IP (for the reverse shell to shovel back to)
  • java-securityHet afgelopen jaar was Java de meest aangevallen software op internet, zo blijkt uit cijfers van het Russische anti-virusbedrijf Kaspersky Lab. 90,5% van alle exploits die de virusbestrijder in 2013 waarnam waren tegen de browserplug-in van Oracle's Java gericht.

    De exploits maken misbruik van verschillende kwetsbaarheden in de software. Zodra een gebruiker met een kwetsbare Java-versie een gehackte of kwaadaardige website bezoekt, wordt er malware op de computer geïnstalleerd.

  • Social_engineer_toolkitDe Sociaal - Engineer Toolkit (SET ) is gemaakt en geschreven door de oprichter van TrustedSec. Het is een opensource -  op Python gebaseerd - gereedschap gericht op penetratie testen rond sociaal -Engineering . SET is gepresenteerd op grootschalige conferenties, waaronder Blackhat , DerbyCon , Defcon , en ShmooCon . Met meer dan twee miljoen downloads , is SET de standaard voor social engineering penetratie tests en is de defacto standaard binnen de security gemeenschap .

    De Sociaal Engineer Toolkit wordt vooral gebruikt om geavanceerde technologische aanvallen te testen. SET is opgenomen in de nieuwste versie van Back Track.  Het kan ook worden gedownload via GitHub met het volgende commando:
    git clone https://github.com/trustedsec/social-engineer-toolkit/ ingesteld. 
    Download

  • botnetCybercriminelen die honderdduizenden systemen in Nederland en Duitsland konden aansturen via het Pobelka-botnet, waren niet alleen inlogdata aan het inzamelen, maar ook informatie over de structuur van interne netwerken. Deze informatie kan ingezet worden voor vervolgaanvallen.

    Dat concluderen SurfRight en Digital Investigation in een onderzoek naar het Citadel-malwareplatform en het Pobelka-botnet dat gebruik maakt van Citadel. Aanleiding voor de research naar de schadelijke software was een malware-aanval via de website van De Telegraaf. De onderzoekers kwamen al snel uit op een command-and-control-server die verder is onderzocht. Daaruit bleek dat het Pobelka-botnet meer dan 264.000 zombies telde die vooral in Nederland en Duitsland waren te vinden. Niet alleen computers van bedrijven waren veelal onopgemerkt besmet geraakt, maar ook veel overheidssystemen.

    Uit een analyse van gestolen data bleek dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen. Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.

    Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.

    De Citadel-malware, een compleet malwareplatform dat voor enkele duizenden dollar op de zwarte markt te koop is en van professionele support voorzien kan worden, blijkt vernuftig in elkaar te steken. De malware kan zich goed verstoppen voor vrijwel alle gangbare antivirussoftware en het weet zich in alle bekende browsers te nestelen. Dat cybercriminelen met het op Citadel gebaseerde Pobelka-botnet zo gericht, ongemerkt en op grote schaal in Nederland konden opereren, is volgens de onderzoekers dan ook te danken aan de geraffineerde en professionele wijze waarop de Citadel-malware is opgebouwd.

    bron: tweakers.net

  • Van de 300 miljoen Android-toestellen zijn er 1 miljoen met malware geïnfecteerd, aldus Amerikaanse onderzoekers. Dan Guido, CEO van Trail of Bits en onderzoeker Mike Arpaia lanceerden het Mobile Exploit Intelligence Project, waarbij ze mobiele malware onderzochten. Het onderzoek liep van december 2011 tot maart 2012. In totaal werden zo'n 100 aanvalscampagnes ontdekt. 

    Deze 100 aanvallen werden uitgevoerd door 81 unieke malware-exemplaren. Van deze 81 exemplaren probeerden er slechts 16 root-rechten te krijgen en het toestel volledig over te nemen. "Het verhogen van rechten is de eenvoudigste route voor aanvallers om je gegevens te stelen', laat Guido tegenover BizTechMagazine weten. "En het helpt dat alle code om dat te doen zo goed als gratis kunnen krijgen." 

    Exploits
    Alle aanvallen die de onderzoekers in het wild tegenkwamen gebruikten slechts drie unieke exploits om de kwaadaardige app meer rechten te geven, en alle drie zijn door één enkele auteur gedocumenteerd. 

    Het aantal malware-exemplaren lijkt klein in verhouding met die van andere platformen, zoals Windows. Volgens Guido moet het echter anders worden gezien. "Ons onderzoek heeft aangetoond dat van de 300 miljoen Android-toestellen die er zijn, er op ongeveer een miljoen malware is aangetroffen. Dat is een behoorlijk aantal." 

    Veel Android-toestellen gebruiken nog de oudere Gingerbread-versie van het Android-platform, die al sinds 9 februari 2011 bestaat.

    android malware

    Bron: Security.nl

  • lock_openEen Russisch softwarebedrijf heeft een nieuwe tool gepresenteerd om versleutelde harde schijven toch te kunnen uitlezen. De Elcomsoft Forensic Disk Decryptorbiedt toegang tot informatie op schijven die met BitLocker, PGP en TrueCrypt versleuteld zijn. Naast het uitvoeren van allerlei brute-force aanvallen is de voornaamste methode voor het achterhalen van de encryptiesleutels het uitlezen van geheugendumps. 

    "De voornaamste en enige zwakte van versleutelde containers is de menselijke factor. Naast zwakke wachtwoorden, moeten versleutelde volumes worden aangekoppeld voor de gebruiker om toegang tot de versleutelde gegevens te hebben. Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven", zegt Vladimir Katalov op het Elcomsoft-blog. 

    Dump
    Volgens het softwarebedrijf zijn de sleutels via geheugendumps te achterhalen. Voor het maken van deze dumps zijn verschillende forensische tools beschikbaar, maar zou ook een FireWire-aanval zijn te gebruiken in het geval de computer is uitgeschakeld. De Disk Decryptor kan namelijk de encryptiesleutels ook uit het hibernation-bestand halen. 

    "Het is belangrijk dat versleutelde volumes zijn aangekoppeld op het moment de geheugendump wordt verkregen of de computer in slaapstand gaat, anders worden de encryptiesleutels vernietigd en kan de inhoud van de versleutelde volumes niet zonder het originele wachtwoord worden ontsleuteld. 

    Snelheid
    Is de geheugendump succesvol, dan kan de Disk Decryptor de versleutelde schijf als een schijfletter op het systeem van de onderzoeker aankoppelen. Daardoor kunnen allerlei andere forensische tools er snel en eenvoudig toegang toe krijgen. 

    "Dit lijkt misschien niet veilig, en mag door bepaald beleid niet worden toegestaan, maar soms is snelheid en gemak alles", stelt Katalov. De Disk Decryptor kost omgerekend 225 euro.

     

    Bron: security.nl

  • Printer_hackBERLIJN – Door het printen met een aangepast bestand is het mogelijk printers te hacken en daarmee bedrijven af te luisteren. Een oplossing is nog niet voorhanden.

    Dat blijkt uit studie door beveiligingsonderzoeker Andrei Costin, die zijn werk presenteerde op de hackerconferentie 28C3 in Berlijn.

    Tijdens zijn lezing demonstreerde hij een aanval op printers van Xerox waarop hij in staat is programmatuur te installeren.

    Dat is mogelijk door een zwakheid in het systeem bij het afdrukken. Door een manipulatie op een bestand uit te voeren kon Costin het installeren van programmatuur in werking zetten.

    Overnemen
    Omdat de printers aangesloten zitten op netwerken kunnen zij meer functies uitvoeren.

    “In feite is dit een computer”, zegt de onderzoeker. Daardoor wordt het bijvoorbeeld mogelijk om af te luisteren wat er precies geprint wordt, verdere aanvallen op het netwerk uit te voeren of het netwerk te tappen.

    Bijkomend probleem is dat veel bedrijfsmatige printers inmiddels ook beschikken over een harde schijf waarop meer software kan worden opgeslagen.

    Uit onderzoek blijkt ook dat tienduizenden van deze printers op internet zijn aangesloten. De aanval kan daardoor niet alleen binnen een bedrijf worden uitgevoerd, maar ook via internet. Een opkomend aanvalsscenario is het kraken van printers via draadloze netwerkmodules die vaak met het apparaat worden meegeleverd.

  • java-securityVoor de meeste gebruikers is Java overbodig en omdat er veel veiligheidsproblemen zijn doet de gemiddelde gebruiker er verstandig aan de software te deleten.

    Volgens beveiligingsbedrijf F-Secure is Java onveilig en intussen bijna overbodig. Vanwege het grote aantal gaten in de software doen de meeste gebruikers er verstandig aan het van hun systeem te verwijderen. In een blog waarschuwt Mikko Hypponen, het hoofd van de onderzoeksafdeling, dat exploits in Java een groot risico vormen voor de veiligheid van de gebruiker.

    BlackHole als voorbeeld
    Als voorbeeld haalt Hyponen het beheerspaneel aan van exploitkit BlackHole. Daarin is te zien dat een Java-lek met de naam 'Rhino' verantwoordelijk is voor 83 procent van de geslaagde aanvallen met die kit. Volgens F-Secure worden Java-lekken nu standaard ingebouwd in vrijwel alle veelgebruikte exploitkits.

    Hypponen roept gebruikers die de Java-software echt nodig hebben op altijd te checken of ze de laatste versie van de software hebben en de plugin uit de standaardbrowser te verwijderen. "Als u Java echt nodig hebt voor een specifieke webapplicatie, zorg dan dat u de plugin uit de browser haalt die u dagelijks gebruikt. Gebruik de webapplicatie die Java nodig heeft voortaan in een andere browser", schrijft Hypponen op het blog.

    Pluim voor Chrome
    Complimenten heeft F-Secure voor Chrome. Google's browser is volgens Hypponen het beste in het afweren van aanvallen. "De meeste Java-exploits werken niet in Chrome en de browser gebruikt geen Adobe Reader-plugin om PDF's te renderen." Volgens Hypponen is dit goed nieuws, omdat Chrome steeds meer marktaandeel aan het winnen is.

    Steeds meer kritiek
    Er komt steeds meer kritiek op de Java-software. Recent nog stopte Ubuntu-maker Canonical met de distributie van Sun Java naar het besturingssysteem. De software zal zelfs op afstand worden gedeactiveerd en verwijderd. Microsoft waarschuwde eind november ook al voor Java-aanvallen. Volgens het bedrijf mikt 50 procent van alle malware op gaten in Java. Firefox-maker Mozilla zette de Java-techniek in september ook al op het strafbankje vanwege onveiligheid.

    Bron: Webwereld.nl

  • abnamroIn de eerste helft van dit jaar wisten cybercriminelen bij Nederlandse internetgebruikers 11,2 miljoen euro van online bankrekeningen te plunderen. De meeste van deze aanvallen vonden via phishing plaats, aldus de Nederlandse Vereniging van Banken (NVB). Toch waren er ook gevallen waarbij malware werd ingezet. Onderzoekster Sasha-Helena van den Heetkamp ontdekte onlangs een variant van de SpyEye Trojan op één van haar machines.

    Ze besloot de website van haar bank, de ABN AMRO, te bezoeken. "Tot mijn grote verrassing was de poging om mijn gegevens te kapen erg goed gedaan. Zelfs voor een ervaren beveiligingsonderzoeker als ik, was het lastig om te zien wat er gebeurde." Het Trojaanse paard injecteerde stukjes code in de browser. Als ze naar https://www.abnamro.nl ging, wat een beveiligde verbinding is, werd er code op de bankpagina geïnjecteerd.

    Java
    De geïnjecteerde code viel op door een venster met een voortgangsbalk. Vervolgens stuurde de malware een request naar een domein, om daar de gekaapte rekeningnummer en twee-factor authenticatiecodes naar toe sturen. "Dit soort aanvallen zijn zeer ernstig, dus heb ik het bij de ABN AMRO gemeld." 

    Hoe de machine besmet raakte weet Van den Heetkamp niet zeker, maar ze vermoedt een drive-by download-aanval op een ongepatcht Java-lek. Onlangs werd bekend dat SpyEye zich inderdaad via een recent Java-lek verspreidt. "De virusscanner detecteerde het niet. Het enige programma dat de infectie kon vinden was ComboFix."

    abnamro-rootkit

    Bron: security.nl


  • ov-chipkaart.nlOp een weblog zou nieuwe software zijn verschenen om binnen tien seconden de OV-chipkaart te kraken, zonder dat hier externe apparatuur voor nodig is. Volgens het op Google gehoste "OVchipkaarthacken" blog, met als slogan "Hack binnen 10 seconden uw OV zonder externe apparatuur!", is het in zes stappen mogelijk om met de kaart te frauderen. Hierbij wordt op de kaart aangegeven op welk station men is ingecheckt, iets wat volgens het blog niet door een conducteur is te detecteren. 

    Het lijkt hier om een nieuwe versie van het programma te gaan waarmee IT-journalist Brenno de Winter begin dit jaar de kwetsbaarheden van de OV-chipkaart aantoonde. Hij besloot de software toen niet openbaar te maken. Uiteindelijk verscheen de "OVstation" applicatie toch op Torrentsite de The Pirate Bay

    Oekraïne
    Het bericht op het weblog is gisteren verschenen. Het aangeboden bestand dateert echter van 25 oktober. Toen werd het namelijk voor het eerst door iemand op VirusTotal op malware gecontroleerd. Geen één van de 42 gebruikte virusscanners zegt dat er kwaadaardige code in aanwezig is. Het is echter onduidelijk door wie de software gemaakt is. 

    Het bestand wordt op een Oekraïens IP-adres gehost. In de meegeleverd tekst staat "Dit programma kan bij een dump van een OV-chipkaart de gegevens van de laatste check-in aanpassen. Hiermee kunt u dus thuis inchecken zonder dat er saldo van uw kaart wordt afgeschreven."

    bron: security.nl

  • windows7This is a new exploit for bypassing windows 7 admin security which requires no CDs or other third party tools. I don't know if its been patched or not, but I'm sure that it 100% works.

    1. Press the power button to turn on your computer. 
    2. While your on the screen with the animated Microsoft logo press and hold the power button until it turns off. 
    3. Press the power button to turn on again. 
    4. You should now see the option to launch Start Up Repair. Select the option and press enter. 
    5. Run Startup Repair. 
    6. You should see a blue bar that moves across the screen repeatedly. Above it should be messages that say "searching for problems" or something. 
    7. The message should change to "Attempting repairs" within a few minutes. 
    8. Leave the computer running. This message should be there for 10-40 minutes depending on your computer. 
    9. After 10-40mins a message should pop up that says "start up repair could not fix the problem". Click the arrow next to "show problem details". 
    10. Scroll to the bottom and click the link to the .txt file. 
    11. Notepad should open up with the file. 
    12. In notepad click File->Open. 
    13. You can now use the file browser to perform the sethc.exe hack. 
    14. Go to C:\Windows\system32 and find sethc.exe and rename it to random.exe or something. 
    15. Copy the cmd.exe and rename the copied file to sethc.exe
    16. Restart the computer and at the login screen press the "shift" key 5 times in quick succession.
    17. Type in the cmd window "control userpasswords2" without the quotation marks. 
    18. You can now make a new admin account and login with it or make your account an admin.
  • appleDe besturingssystemen van Apple worden volgend jaar een belangrijk doelwit voor hackers, meent McAfee. Vooral het valse gevoel van veiligheid zou de gebruikers kwetsbaar maken.

    Beveiligingsbedrijf McAfee meent dat de besturingssystemen van Apple volgend jaar een belangrijk doelwit worden voor kwaadwillenden. McAfee stelt dat in haar jaarlijkse ‘Threat Predictions’ rapport. Dat document bevat voorspellingen voor het komende jaar, gebaseerd op de gegevens die het bedrijf in de loop de jaren heeft verzameld.

    Smartphones en tablets

    Afgaande op trends in 2010, waarbij McAfee zowel naar de manier van aanvallen als het aantal aanvallen keek, maakt het beveiligingsbedrijf voorspellingen voor de belangrijkste bedreigingen in 2011. McAfee noemt daarbij aanvallen op sociale netwerken en misbruik van data van geolocatiediensten als belangrijke doelwitten.

    Nog belangrijker worden aanvallen op smartphones en tablets, meent McAfee. Daar komt volgens het bedrijf de nieuwe rol van Apple als belangrijk doel voor malware al aan het licht. Apple is namelijk één van de marktleiders in die branche.

    Mac OS X is geen niche meer

    Ook Mac OS X wordt volgens McAfee een belangrijk doelwit voor hackers. Dat komt volgens het beveiligingsbedrijf vooral omdat Mac OS X het stadium van nicheplatform voorbij is. Het besturingssysteem wordt nu door veel bedrijven en particulieren gebruikt en groeit nog steeds.

    Ook de overtuiging van veel Mac-gebruikers dat zij geen beveiligingssoftware op hun computer nodig hebben zou kunnen leiden tot meer aanvallen. Het gebrek aan beveiliging maakt het platform volgens McAfee namelijk extra kwetsbaar.

    Volgens McAfee is het platform overigens nooit zo veilig geweest als veel gebruikers dachten. De interesse onder hackers was echter klein omdat het door weinig mensen gebruikt werd.

    'Mac OS X-gebruikers zijn eenvoudig doelwit'

    De groei van het platform, gecombineerd met de aankomende app store voor Mac OS X Snow Leopard en Lion geeft kwaadwillenden reden om zich wel op dat besturingssysteem te gaan richten. Zo meent McAfee.

    Het bedrijf stelt dat Mac OS X nog steeds maar een fractie van de gebruikers heeft ten opzichte van het aantal mogelijke slachtoffers op Windows. Het valse gevoel van veiligheid en weinig kennis van eventuele bedreigingen zou gebruikers van dat eerste besturingssysteem echter een eenvoudiger doelwit maken.

    Persoonlijke gegevens in verkeerde handen

    “McAfee zag het afgelopen jaar malware van toenemende complexiteit voor Mac OS X”, legt het bedrijf in het rapport uit. “We verwachten dat dit in 2011 nog verder toe zal nemen.

    De populariteit van iPads en iPhones in het bedrijfsleven en de gemakkelijke overdraagbaarheid van kwaadaardige programma’s tussen die apparaten kunnen bovendien een risico vormen voor veel gebruikers.”

    Het beveiligingsbedrijf denkt dat er door malware voor smartphones en tablets voor veel (persoonlijke) gegevens in verkeerde handen zullen komen.

    bron: webwereld.nl

  • Om virusschrijvers toch hun nieuwste creaties met allerlei virusscanners te laten testen zonder dat die uiteindelijk bij anti-virusbedrijven terechtkomen, zijn er nu ook online scandiensten voor cybercriminelen. Het is al lange tijd bekend dat malware auteurs anti-virus software gebruiken om te controleren dat hun maaksels niet meteen gedetecteerd worden. VirusTotal en Jotti zijn bekende websites waar verdachte bestanden door tientallen virusscanners gratis zijn te laten scannen. Het probleem voor cybercriminelen is dat anti-virusbedrijven de verdachten bestanden ook toegezonden krijgen.

    Reden voor twee nieuw online scandiensten om gebruikers te garanderen dat hun creaties met niemand gedeeld worden. Bij AV-Check.com, dat zich nog in de bètafase bevindt, kan men voor 0,70 eurocent een bestand laten controleren. Voor "grootgebruikers" is er een onbeperkt abonnement van 28 euro per maand. AV-Check gebruikt 22 virusscanners met maximale heuristieke instellingen. Voor de toekomst wil men de malware ook door anti-spyware pakketten en firewalls laten controleren. Ook het testen van de malware in een virtual machine staat in de planning

    Exploits
    Net als AV-Check is ook Virtest.com een Russisch initiatief dat gebruikers garandeert dat er niks naar anti-virusbedrijven wordt toegestuurd. Deze scandienst gaat echter nog een stap verder, aangezien het ook mogelijk is om exploit packs te testen. Dit soort toolkits worden vaak op gehackte website verborgen om bezoekers vervolgens via drive-by downloads te infecteren. Door te testen weten cybercriminelen zeker dat virusscanners hun exploit niet herkennen. Virtest.com gebruikt 26 scanners en rekent ook 0,70 eurocent per scan en 28 euro voor onbeperkt gebruik. Afrekenen kan alleen via Webmoney en Fethard. "Diensten die bij de online schaduw economie erg populair lijken te zijn", aldus Brian Krebs.
  • Hacker Albert Gonzalez, ook bekend als 'Soupnazi', geeft toe dat hij de netwerken van Heartland Payment Systems, 7-Eleven en Hannaford heeft gekraakt. Hij oogstte miljoenen creditcards.

    Voorheen bekende Gonzalez al creditcardgegevens gestolen te hebben van een groot aantal detailhandels. De nieuwe bekentenis voegt nu weer drie bedrijven aan het immer groeiende lijstje toe. De rechtszaak is de grootste in de geschiedenis van de VS als het aankomt op het stelen van creditcard-data. In totaal werden gegevens van meer dan 40 miljoen kaarten gestolen, mogelijk veel meer.

    Gonzalez gaf op 29 december toe betrokken te zijn geweest bij een samenzwering om de computernetwerken van verwerker van betalings verkeer Heartland Payment Systems, de 7-Eleven (vergelijkbaar met de Albert Heijn To Go) en de supermarktketen Hannaford Brothers te kraken. Ook gaf hij toe dat de hacks leidden tot het stelen van data van tientalen miljoenen credit en debit kaarten, aldus Eweek.

    Eerdere veroordelingen

    Eerder dit jaar bekende Gonzalez al verantwoordelijk te zijn voor het hacken van systemen van grote detailhandelaren zoals TJX, BJ's Wholesale CLub, OfficeMax, Boston Market, Barnes & Noble en Sports Authority. Daar hoort volgens de Amerikaanse Justitie ook restaurantketen Dave & Buster's bij.

    Gonzalez heeft een deal gesloten met de openbaar aanklager. Door te bekennen zal hij geen straf krijgen die hoger ligt dan 25 jaar. Als tegenprestatie heeft hij beloofd niet te streven naar een straf onder de 17 jaar. Door zijn vorige veroordelingen moet Gonzalez minimaal 15 en maximaal 25 jaar de cel in. Die straffen lopen tegelijkertijd en niet op elkaar volgend.

    Daarnaast krijgt de maker van de malware waarmee Gonzalez de gegevens ontvreemde een gevangenisstraf van twee jaar. De 25-jarige Stephen Watt moet ook een boete van 171,5 miljoen dollar betalen. Watt maakte een 'sniffer programma' waarmee de bendeleden data van het netwerk van TJX konden monitoren en stelen. Hij bekende in 2008 al schuld voor het plegen van verschillende cybercriminele daden. De software engineer van Morgan Stanley is de eerste die werd veroordeeld.

    SQL-injectie

    Gonzalez en 10 anderen werden een jaar geleden beschuldigd van de grootschalige creditcardhack. Gonzalez zou ingebroken hebben door met een laptop op zoek te gaan naar onbeschermde wifi-netwerken, om vervolgens talloze accountnummers weg te sluizen. Met de nummers werden tientallen miljoen dollars aan frauduleuze transacties gedaan. Gonzalez gebruikt online het avatar 'soupnazi', naar een karakter uit Seinfeld. Hij bewoog zich ook online onder de namen 'segvec' en 'j4guar17',

    Bij de hack bij onder meer Heartland werd naar alle waarschijnlijkheid kwaadaardige SQL-code geïnjecteerd in databases. Vervolgens hebben Gonzalez en zijn handlangers malware geïnstalleerd die realtime gegevens naar buiten sluizen, zonder dat de securitysoftware van de getroffen bedrijven dit in de gaten had.

    bron: webwereld.nl

  • metasploitframeworkMisbruik van het recent ontdekte zero-day beveiligingslek in Microsoft's Internet Information Services (IIS) is een stuk eenvoudiger geworden, nu de exploit aan de Metasploit hackertoolkit is toegevoegd. Via het lek kunnen aanvallers malware op kwetsbare servers plaatsen en vervolgens uitvoeren. Volgens Microsoft is er niets aan de hand, want uit onderzoek blijkt dat IIS-servers in een niet-standaard, onveilige configuratie moet draaien om kwetsbaar te zijn. H.D. Moore, maker van Metasploit, maakt daar bij het uitleggen van de exploit echter geen melding van.
  • De encryptie van gsm-telefoonverkeer is nog verder gekraakt. Hackers kunnen de kanalen tussen toestel en zendmast volgen en dan gesprekken afluisteren.

    RFID-hacker Karsten Nohl onthult de praktische uitwerking van de gsm-encryptiekraak op de security-conferentie CCC, die deze week plaatsvindt in Berlijn. De 64-bit encryptie die wereldwijd in gebruik is voor gsm-verkeer ligt al jaren onder vuur en is reeds grotendeels gekraakt. De beveiliging van mobiele telefoons is nu geheel blootgelegd.

    Kraaktabel vrijgegeven

    Nohl onthult een codetabel van zo'n 2 terabyte waarmee de encryptiesleutels in de praktijk zijn te kraken. Die tabel is al opgedoken op internet. Het algoritme voor het wisselen van kanaal tussen toestel en zendmast is gekraakt, waardoor een kraker de datastroom van een gesprek kan volgen en dan kraken.

    Daarvoor is slechts een paar duizend euro aan standaardhardware nodig om de kraak vlot uit te voeren. Dat zijn dan multicore-processors bijgestaan door krachtige videochips (gpu's) van Nvidia of AMD (Ati) die parallelle berekeningen kunnen uitvoeren. Realtime kraken en afluisteren vereist zo'n 30.000 dollar aan apparatuur, aldus de security-onderzoeker.

    Tot voor kort was de gsm-kraakmethode niet publiekelijk bekend, en was er voor vele tienduizenden euro's aan apparatuur nodig. Volgens Nohl valt het kraken van de gsm-encryptie nu in enkele uren te doen, in plaats van in weken. Hij verwacht dat de kraaktijd binnenkort wordt teruggebracht naar minuten. Hij roept telecombedrijven op de antieke encryptiestandaard A5/1 voor gsm te laten varen.

    'Overdreven'

    Het is nog maar de vraag of telefoonfabrikanten en mobiele operators daar gehoor aan geven. Branchevereniging de GSM Association, die ook over de gsm-encryptie gaat, laat aan de New York Times weten dat Nohl de zaak overdrijft. Woordvoerster Claire Cranton stelt dat de kraak theoretisch mogelijk is, maar in de praktijk onwaarschijnlijk. Toch onderzoekt de GSM Association de kwestie wel.

    Cranton sust ook met de mededeling dat Nohl bezig is met illegale activiteiten, in ieder geval volgens wetgeving in de Verenigde Staten en Groot-Brittannië. De kraker ontkent dit, maar waarschuwt wel dat gebruik van zijn methode onder bepaalde omstandigheden illegaal kan zijn. Hij vertelt PC World nog dat de eerdere gsm-kraak van collega-onderzoekers David Hulton en Steve Muller nooit geheel is uitgewerkt. Zij claimden begin 2008 al te kunnen wat Nohl nu demonstreert.

  • iis7Een zero-day beveiligingslek in Microsoft's Internet Information Services (IIS) laat aanvallers malware op kwetsbare servers plaatsen en uitvoeren, een patch is nog altijd niet beschikbaar. Het probleem wordt veroorzaakt door het verwerken van bestanden met meerdere extensies, die door het ";" karakter gescheiden zijn, zoals "malicious.asp;.jpg". Hierdoor kan de aanvaller de extensie bescherming en beperkingen omzeilen en uiteindelijk een uitvoerbaar bestand op de server neerzetten en uitvoeren. De kwetsbaarheid is aanwezig in Microsoft IIS 6.0 en eerder en mogelijk ook IIS 7.0, hoewel de onderzoeker dit niet getest heeft. Servers met IIS 7.5 lopen geen risico.

    "Stel je voor dat een website alleen JPG bestanden als avatar van een gebruiker accepteert. En de gebruiker uploadt zijn avatar op de server. Een aanvaller probeert nu avatar.asp;jpg te uploaden. De webapplicatie beschouwt dit als een JPG bestand. Dus dit bestand heeft toestemming om naar de server geupload te worden. Maar wanneer de aanvaller het bestand probeert te openen, beschouwt IIS dit als een ASP bestand en probeert het uit te voeren", zegt Soroush Dalili die het lek ontdekte.

    Oplossing
    Opmerkelijk genoeg werd het lek al in april 2008 ontdekt, maar nu pas bekendgemaakt. Waarom Dalili zolang heeft gewacht laat hij niet weten. Hij omschrijft het lek als ernstig en vanwege het grote aantal kwetsbare servers wil de onderzoeker geen proof-of-concept exploit geven. Tijdens een meting in 2008 zou 70% van de "secure file uploaders" via deze aanval te omzeilen zijn.

    In afwachting op een update kunnen webdevelopers willekeurige strings als bestandsnaam gebruiken en de webapplicatie de extensie in laten stellen. "Accepteer nooit de input van de gebruiker als bestandsnaam." Een andere oplossing is het alleen accepteren van alfanumerieke strings als bestandsnaam en extensie. Webmasters moeten de "execute" permissie van de upload directories uitschakelen.

    Bron: Security.nl
  • Vooral Amerikaanse gebruikers die gisteravond nog online kerstcadeautjes wilden kopen, stootten hun neus. Kwaadwillenden bleken het DNS-systeem overbelast te hebben door middel van een DDoS-aanval, zo meldt website CNet.
    piraat

    De distributed denial of service (DDoS) aanval zorgde ervoor dat populaire websites zoals Amazonen Wal-Mart niet te bereiken waren. De gebruikers gingen daarop massaal op onderzoek en ze probeerden via Google te achterhalen wat er mis was. Die zoekmachine kreeg daarmee ook een dikke belasting voor zijn kiezen, met een zeer trage response als resultaat.

    De aanval begon woensdagmiddag lokale tijd aan de westkust van de Verenigde Staten. Volgens de firma Neustar, die in de VS een deel van de DNS-diensten voor zijn rekening neemt, kreeg de ene na de andere alarmmelding door. Door snel in te grijpen wist men het probleem in te perken tot ruwweg het noordelijk deel van de staat Californië.

    Eerder dit jaar werd het DNS-systeem, dat zorgt voor de vertaling van in tekst geschreven webadressen naar een IP-nummer, ook al aangevallen. Volgens de deskundigen was die aanval een stuk zwaarder. Ook toen was online boekwinkel Amazon een van de getroffenen.

    bron: automatiseringsgids.nl

  • US-drone101Het Amerikaanse leger gaat de videobeelden die drones en gevechtsvliegtuigen naar grondtroepen sturen versleutelen, nadat vorige week bekend werd dat die eenvoudig zijn op te vangen. Irakese rebellen zouden via de 26 dollar kostende SkyGrabber software niet alleen met automatische drones zoals de Raven en Predator mee kunnen kijken, maar ook met de meeste andere gevechtsvliegtuigen. Het onderscheppen van de beelden zou al sinds halverwege 2008 plaatsvinden. Kolonel Gregory Gonzalez, projectmanager onbemande vliegtuigen, laat weten dat encryptie op de lijst staat, maar dit ook een kwestie van beschikbaar budget is. "Dit is niet de eerste keer dat we over de potentiële dreiging tegen videobeelden horen. De dreigingen verschijnen continu en het Ministerie van Defensie heeft enige risico's genomen", aldus Gonzalez. Hij zou het afgelopen jaar al zijn gewaarschuwd om het probleem op te lossen.

    Naast de SkyGrabber software beschikken de rebellen ook over high-tech methoden om videobeelden te kapen. Tijdens een inval bij een Sjiitische militie trof men geavanceerd elektronisch wapentuig aan. Volgens één functionaris heeft het meekijken door de rebellen een negatief effect op de Amerikaanse operaties in het Midden-Oosten gehad. "We zagen een trend dat als we achter deze gasten aangingen, ze soms eerder van Amerikaanse acties wisten." De functionaris prijst de technische know-how voor het maken van antennes, computers en software voor het oppakken van de beelden. "Dat was indrukwekkend."

    Risico
    Grondtroepen ontvangen de videobeelden via de Remotely Operated Video Enhanced Receiver (ROVER), een mobiel apparaat dat lijkt op een laptop. De ROVER ondersteunt encryptie, maar de meeste troepen beschikken niet over de vereiste upgrade. De nieuwste ROVER-modellen zijn zelfs van twee encryptie pakketten voorzien. Voor "verschillende redenen" zou het versleutelen van de drones echter nog niet zijn toegepast, zegt kolonel Robert Sova. Volgens hem vormt het hacken van de videobeelden een "zeer klein risico", aangezien de rebellen niet weten hoe ze het command en controle systeem van de drones moeten hacken.
  • nod32Niet alleen anti-virusbedrijven Symantec en Kaspersky Lab lijken moeite te hebben bij het beveiligen van hun website, ook de Duitse afdeling van ESET kreeg bezoek van hackers. ESET is voornamelijk bekend vanwege de virusscanner NOD32. De aanvaller wist gisteren toegang tot https://www.esetsoftware.de te krijgen en plaatste daar het bericht: "Eset Owned No News Is a Good News HcJ & Cyb3R-1sT To be OR not TO be", zo blijkt uit het archief van Zone-H. Hoe de aanvaller is binnengekomen is onbekend. De website draait op een Apache Linux combinatie. Inmiddels is alles weer in oorspronkelijke staat hersteld.

    Bron: security.nl

  • Irakese rebellen kunnen niet alleen de beelden van onbemande robotvliegtuigen bekijken, bijna alle Amerikaanse gevechtsvliegtuigen zijn gevoelig voor "elektronische onderschepping". De Wall Street Journal rapporteerde gisteren dat militanten via 26 dollar kostende software met de "drones" van de Amerikaanse luchtmacht kunnen meekijken. Het probleem is echter veel omvangrijker, aldus Wired. Naast "drones" gebruiken zowel bommenwerpers als straaljagers apparatuur om beelden naar de Remotely Operated Video Enhanced Receiver (ROVER) te sturen. Daarmee kunnen troepen op de grond met de vliegtuigen meekijken.

    Inmiddels beschikken bijna alle vliegtuigen over de techniek, maar de eerste generaties zijn zo snel uitgerold, dat ze het signaal niet versleutelen. Aanvallers zouden het signaal vervolgens kunnen onderscheppen of storen. In Irak wordt voor de signalen geen encryptie gebruikt, zo laat een legerfunctionaris weten. Via een satellietontvanger en de 26 dollar kostende SkyGrabber kunnen opstandelingen dus met alle Amerikaanse vliegtuigen meekijken. Het leger werkt inmiddels hard aan een oplossing die wel versleuteling toepast.

    Goedkoop
    Met name kleine militaire drones zijn kwetsbaar om "bekeken" te worden, aangezien deze voertuigen, zoals de Shadow, Hunter en Raven, het signaal alle kanten opsturen. Een opstandeling zou alleen in het blikveld hoeven te staan om het signaal af te tappen. "Het is net als criminelen die radioscanners gebruiken om politie communicatie af te luisteren", aldus de functionaris. Volgens hem zijn grotere vliegtuigen, zowel bemand als onbemand, minder kwetsbaar. Deze toestellen kunnen het signaal stoppen als niemand meekijkt en kunnen het naar alleen kanten uitzenden beperken, wat het onderscheppen bemoeilijkt.

    De functionaris merkt op dat systemen zoals ROVER goedkoop moesten zijn uit commerciële "off-the-shelf" hardware bestaan. "We wilden het spul gewoon daar krijgen. Het is niet perfect. Dus ja, als we in het elektromagnetische spectrum uitzenden en je staat eronder, dan kun je het ontvangen. Duh-uh."

    Bron: security.nl

  • Hoe effectief zijn virusscanners in het detecteren van malware in de "echte wereld" in plaats van een laboratorium? Die vraag stelde het gerenommeerde Duitse testorgaan AV-Test zich. De meeste gebruikers raken via drive-by downloads, e-mail bijlagen en verschillende exploits geïnfecteerd. Om de stroom van malware te stoppen brengen anti-virusbedrijven in hoog tempo nieuwe updates uit, maar virusschrijvers lijken deze race te winnen. Elke dag verschijnen er 55.000 nieuwe unieke malware exemplaren, waarvan de meesten slecht minuten of uren uren actief zijn. Inmiddels beschikt het testorgaan over 30 miljoen unieke malware exemplaren.
     
    Naast signatures gebruiken anti-virusbedrijven andere technieken, zoals URL filtering, web reputatie diensten, exploit blocking, "in-the-cloud" scanning en gedragsanalyse. Volgens Andreas Marx van AV-Test moet een uitgebreide review dan ook niet alleen naar de detectie van de on-demand scanner kijken, aangezien dit gebruikers een misleidend en beperkt beeld geeft van wat een product kan. Hij vergelijkt het met het testen van de veiligheid van auto's. Daar kijkt men ook niet alleen naar de gordels, maar ook naar zaken als ABS, airbags en kreukelzones.

    Effectiviteit
    Om de effectiviteit van de virusscanners te meten, besloot AV-Test om elke dag 10 zero-day internetdreigingen over een periode van drie maanden te testen. Daarbij gebruikte men echte Windows XP SP3 machines, in plaats van gevirtualiseerde omgevingen. Ook waren alle computers tijdens de test met het internet verbonden, zodat de virusscanners steeds over de meest recente updates beschikten. Dat is echter ook de reden waarom men geen specifieke productversie kan noemen. Wel waren er maatregelen genomen om te voorkomen dat de malware schade aan de buitenwereld kon aanrichten.

    Uiteindelijk onderzocht AV-Test de detectie van malware, hoe goed de 12 virusscanners malware konden blokkeren en of ze false positives genereerden. Symantec Norton Internet Security 2010 blijkt daarbij als beste uit de bus te komen, gevolgd door de Internet Security Suites van PC Tools en Kaspersky Lab. BitDefender, Trend Micro en CA bungelen onderaan.

    av-scantest
  • rabobankHet testscript dat de Rabobank voor webwinkels gebruikt is zo lek als een mandje, zo meldt Webwereld. Via de 40 ontdekte kwetsbaarheden kan een aanvaller informatie over het gebruikte systeem achterhalen, een Denial of Service-aanval uitvoeren of via Cross-Site Scripting klanten tijdens het doen van betalingen misleiden. Hoewel het om een testscript voor het accepteren van iDeal gaat, maken webwinkels hier wel gebruik van. “Het saillante is dat de Rabobank hiermee de beveiliging van tot dan toe goed beveiligde webshops ondermijnt", zegt Sijmen Ruwhof die de problemen ontdekte.

    De laatste aanpassing aan de code dateert van mei 2006. “Hierdoor is het de afgelopen 3,5 jaar mogelijk om webshops die deze software geïmplementeerd hebben, geheel over te nemen, te defacen of zelfs offline te halen”, aldus de beveiliger. De Rabobank merkt op dat het niet de bedoeling is dat webwinkels de voorbeeldcode gebruiken, maar erkent dat dit niet duidelijk in de handleiding vermeld staat, iets wat de bank dan ook gaat aanpassen.
  • De chip op de EMV-kaart, de beoogde opvolger van de magneetstrip op de PINpas, is gekraakt door de universiteit van Cambridge. pinnen

    De Britse universiteit deed het onderzoek in opdracht van het VPRO-programma Goudzoekers. De Nederlandse vereniging van banken stelt in een reactie dat het met de onveiligheid meevalt. "De chip is in ieder geval minder makkelijk te kopieëren dan de magneetstrip", zei woordvoerster Jannemieke Zandee in een reactie. "Een 100 procent veiligheid is nooit te garanderen."

    De EMV-chip moet een einde maken aan het toenemend probleem van het 'skimmen' van de PINpas, waarbij kwaadwillenden met een opzetstukje op geldautomaten de informatie op de pas kunnen uitlezen. Deze informatie gebruiken zij vervolgens om kopieën van de pas te maken.

    De VPRO geeft vanavond meer details in de uitzending.

    bron: automatiseringsgids.nl

  • anti-cofeeHackers hebben een tool vrijgegeven waarmee forensische software die door Microsoft ter beschikking is gesteld aan opsporingsdiensten onschadelijk kan worden gemaakt.

    COFEE staat voor Computer Online Forensic Evidence Extractor. Het is verzameling van maar liefst 150 programmaatjes, die door Microsoft via Interpol ter beschikking is gesteld aan opsporingsdiensten. Die kunnen er digitaal bewijsmateriaal mee ontfutselen aan pc’s van verdachten. Zo kan de geschiedenis van de browser worden opgehaald, files kunnen ermee worden gescand en er kan een lijst met draaiende processen mee worden samengesteld, zonder dat de pc zelf wordt beïnvloed.

    Vorige maand werd de tool gepubliceerd op Cryptome.org. Microsoft sommeerde de webmasters direct om de software weer offline te halen, en daar die eis is direct voldaan. Maar blijkbaar heeft het lang genoeg online gestaan, want nu hebben hackers DECAF geïntroduceerd, een tool waarmee COFEE onschadelijk kan worden gemaakt. DECAF staat voor Detect and Eliminate Computer Assisted Forensics.

    DECAF monitort real-time op COFEE signatures op usb-sticks en applicaties. Als het COFEE tegenkomt, voert DECAF verschillende processen uit die door de gebruiker gedefinieerd kunnen worden, zoals het leegmaken van het log van COFEE, het uitwerpen van de usb-stick en het op slot gooien van de computer. DECAF kan COFEE zelfs simuleren, zodat de gebruiker zijn instellingen kan testen.

    bron: techworld.nl

  • Wie anoniem op het web wil surfen kan beter geen Google Chrome gebruiken, aangezien de browser allerlei gevoelige gegevens lekt. Volgens een onderzoeker op de Full-Disclosure mailinglist staat DNS pre-fetching standaard in Google Chrome versie 3.0.195.33 ingeschakeld. Als een gebruiker Chrome in combinatie met een proxy gebruikt, horen de DNS queries via de proxy te lopen, maar omdat DNS pre-fetching aanstaat, worden ze eerst naar de door het systeem ingestelde DNS cache gestuurd.

    Dit zou ook het geval zijn bij de SOCKS proxy in Chromium, ongeacht of DNS pre-fetching is ingeschakeld of niet. "Dit vormt een ernstig risico voor gebruikers van een dienst zoals Tor, aangezien hun DNS gegevens en de weinige anonimiteit die ze met Tor hebben, naar buiten en in het open wordt gelekt." Een woordvoerder van Google laat weten dat er aan een oplossing wordt gewerkt, hoewel de ernst volgens hem meevalt. "Het treft alleen een zeer kleine groep gebruikers die anonimiseringsdiensten zoals Tor gebruiken."

    bron: security.nl
  • ubuntuOok gebruikers van Ubuntu moeten opletten bij het installeren van screensavers, een onschuldig ogende waterval screensaver blijkt namelijk malware te bevatten. Het .deb bestand werd op de populaire "eyecandy" website Gnome-Look.org aangeboden. De screensaver installeert een script met verhoogde rechten en is ontworpen om een Distributed Denial of Service (DDoS) aanval uit te voeren en zichzelf te updaten.

    Inmiddels is de screensaver verwijderd, maar hoeveel mensen de malware hebben gedownload en geïnstalleerd is onduidelijk. Ook is het onbekend of het script mogelijk in andere screensavers verstopt zit. Voor verschillende Ubuntu-gebruikers is dit het bewijs dat het besturingssysteem niet onkwetsbaar is, en gebruikers moeten oppassen wat en waar ze dingen downloaden. Slachtoffers kunnen via het sudo rm commando de malware verwijderen.

    bron: security.nl
  • utpEen nieuwe clouddienst levert 'cracking as a service'. Een cluster van 400 processors helpt tegen betaling bij het kraken van wifi-wachtwoorden.

    WPA Cracker kan het WPA-wachtwoord van een draadloos netwerk in maximaal 20 minuten achterhalen. De clouddienst doet een brute force-aanval; het werkt een lijst van 135 miljoen woorden af. Een enkele dualcore pc zou er vijf dagen over doen om hetzelfde te presteren. Voor de snelste variant van een 'WPA-scan' rekent WPA Cracker 34 dollar.

    De WPA Cracker is gemaakt door de bekende beveiligingsonderzoeker Moxie Marlinspike. Hij is eerder al in het nieuws gekomen met zijn exploitcode om SSL te omzeilen.

    Niet voor krakers
    De wifi-kraakdienst is bedoeld voor it-auditors en beveiligingstesters (penetration testers), dus niet voor kwaadwillenden. Om het scannen mogelijk te maken moet de klant de WPA-handshake tussen de te scannen wifi-router en client-pc onderscheppen. Vervolgens wordt dat handshake-bestand geüpload naar het cluster van kraak-pc's.

    Het versleutingsprotocol WPA/TKIP (temporal key integrity protocol) voor wifi-verbindingen ligt al jaren onder vuur. Diverse onderzoekers hebben al gaten geschoten in deze encryptie voor draadloze netwerkverbindingen.

    bron: webwereld.nl

  • bitlockerOnderzoekers van het Faunhofer Instituut hebben manieren ontdekt om de BitLocker encryptie in Windows te omzeilen. De aanvallers achterhalen de sleutel door gebruik te maken van de manier waarom TPM wordt ingezet.

    TPM (Trusted Platform Module) zou het stelen van de sleutel juist moeten tegengaan. De aanvallers hebben voor een succesvolle aanval wel twee keer fysieke toegang nodig tot de computer. Ze installeren een nieuwe BitLocker bootloader, die net als het origineel om de sleutel vraagt. Alleen wordt de sleutel nu opgeslagen, zodat de aanvallers hem achteraf kunnen komen ophalen.

    De moeilijkheid daarbij is dat de computer moet worden uitgeschakeld zonder dat de gebruiker argwaan krijgt. Gelukkig voor de aanvallers worden de gebruiker door BitLocker niet lastiggevallen met details.

    Strategieën
    Bij het Faunhofer Instituut heeft men verschillende strategieën ontwikkeld die aanvallers kunnen gebruiken. Bij een daarvan wordt zelfs de hele computer van de gebruiker vervangen door een identiek apparaat. De conclusie van het rapport is dat het gebruik van TPM maar een beperkte bescherming oplevert. Volgens de onderzoekers is het niet helemaal nutteloos, maar men zou nog eens goed moeten evalueren hoe het moet worden ingezet.

    De onderzoekers hebben een video gemaakt die duidelijker maakt hoe de aanval precies werkt.

    bron: techworld.nl

  • Beveiligingsinstantie US-CERT waarschuwt voor een kwetsbaarheid in clientloze SSL-VPN-producten waardoor hackers een man-in-the-middle kunnen uitvoeren. Apparatuur van onder andere Cisco en Juniper is kwetsbaar.

    Kwaadwilligen kunnen met een beetje voorwerk de sessie van een gebruiker afluisteren, en bijvoorbeeld toetsaanslagen en tokens meepikken. Daarmee omzeilen ze de same origin policy van browsers, en ook beveiligingsmechanieken als Security Zones (Internet Explorer) of NoScript (Firefox).

    De fout schuilt in het overschrijven van het document.cookie-element van een sessie. Met een trucje is namelijk te voorkomen dat dit plaatsvindt, terwijl de sessie gewoon doorgang vindt. Aanvallers krijgen zo de beschikking over de cookies, waarmee de sessie te kapen valt.

    Enige belemmeringen voor de hacker zijn dat hij specifiek moet weten welk domein hij moet hebben, en dat hij de gebruiker zover moet krijgen om een bezoek te brengen aan een door hem gefabriceerde webpagina. Een oplossing of patch bestaat er nog niet, en US-CERT adviseert beheerders om na te denken over eventuele beperkende maatregelen. Je kunt bijvoorbeeld de VPN server-netwerkconnectiviteit beperken tot specifieke urls.

    Van Cisco, Juniper, SafeNet en SonicWALL is al duidelijk dat de VPN-producten kwetsbaar zijn. Van een groot aantal anderen is dat niet het geval. Extreme Networks en CA behoren tot het gezelschap leveranciers zonder dit probleem.

    bron: techworld.nl

  • Een zevental beveiligingsonderzoekers claimt een kwetsbaarheid te hebben benut bij de uitgifte van certificaten die websites moeten beveiligen. De zwakte zou liggen in het MD5-algoritme.

    De kraakmethode van de onderzoekers werd uit de doeken gedaan tijdens de hackersbijeenkomst 25C3 in Berlijn. De Nederlanders Marc Stevens, verbonden aan het Centrum Wiskunde & Informatica in Amsterdam, en Benne de Weger van de Technische Universiteit Eindhoven, maakten deel uit van het team. De hackers zouden er bij een proof-of-concept in geslaagd zijn om een certificaat te maken waarmee zij een vervalste Certificate Authority zijn geworden. Hierdoor kunnen browsers elk certificaat dat is getekend door deze fictieve identiteitsprovider als legitiem interpreteren. Dit geeft kwaadwillende websites de mogelijkheid om als authentiek te worden gezien, mede doordat de site een versleutelde https-sessie kan opzetten.

  • Microsoft stelt in reactie op de dinsdag geopenbaarde kwetsbaarheid van certificaten met een MD5-hash dat de eindgebruiker geen grote risico's loopt. Ondertussen biedt Verisign gratis vervangende certificaten aan.

    In een security advisory reageert de softwaregigant op de geslaagde aanvalspoging van beveiligingsonderzoekers op certificaten die door Rapidssl waren uitgegeven. Microsoft - die door de white hat-hackers eerder op de hoogte van de kraak was gebracht - erkent dat het MD5-algoritme onveilig is en niet voor het ondertekenen van certificaten gebruikt dient te worden, maar dat een praktische en bruikbare aanvalsmethode niet is aangetoond. Ook zouden er 'in het wild' nog geen aanvallen zijn gesignaleerd die misbruik maken van de kwetsbaarheid, waardoor gebruikers derhalve geen grote risico's lopen. Dit zou mede te danken zijn aan het feit dat de beveiligingsonderzoekers de cryptografische details van hun hackpoging niet hebben gepubliceerd.

  • Hackers kunnen door het versturen van een gemanipuleerd sms-bericht bij een groot aantal Nokia-telefoons het ontvangen van sms- en mms-berichten blokkeren. Alleen een firmware-update zou een structurele oplossing bieden.

     

     

    De hack, gedoopt tot 'Curse Of Silence', is openbaar gemaakt op het 25C3-hackerscongres. De kwetsbaarheid is aanwezig bij een veertigtal mobieltjes van Nokia die draaien op het Symbian S60-besturingssysteem met versienummer 2.6, 2.8, 3.0 en 3.1. Daaronder behoren populaire toestellen als de N70, N81 en N95.

  • Een groep Duitse onderzoekers claimt de beveiliging van dect-telefoons te kunnen omzeilen. Met een hack kunnen gesprekken via draadloze thuistelefoons makkelijk gevolgd en opgenomen worden.

    De onderzoekers waren in staat dect-telefoons af te luisteren door net te doen alsof een laptop met dect-kaart het basisstation was, staat in een voorlopige versie van het onderzoeksrapport. De driver van de dect-kaart moest aangepast worden om een valse authentificatie mogelijk te maken. De hack werkte niet altijd, maar slechts in de helft van de gevallen.

  •  Anydvd HD box

    Softwarefabrikant Slysoft heeft een update van de blu-ray kopieerbeveiliging BD+ gekraakt. Hierdoor zijn alle bestaande blu-ray-titels nog steeds met de tool Anydvd HD te kopiëren, zo claimt het bedrijf.

    De BD+-beveiliging, waarin een virtuele machine binnen een blu-ray-speler controleert of er met sleutels wordt gerommeld, kan door de fabrikanten van schijfjes worden ververst in de hoop zo bestaande hacks te omzeilen. In oktober 2007 kondigde Slysoft al aan dat het de eerste implementatie van BD+ had gekraakt, waarna het een kwestie van tijd was voordat een eerste update van de kopieerbeveiliging werd doorgevoerd. De eerste schijfjes met ververste BD+-technologie verschenen echter pas de laatste maanden, waarna Anydvd HD zijn tanden stuk beet op de beveiliging.

  • Distributing a website over a content delivery network is typically an expensive proposition, but since the release of the Google App Engine beta program, there's an option for small to medium sized sites to easily distribute content on Google's infrastructure. Putting the application SDK aside, Matt Riggott wrote a decent howto on using the service simply as a free CDN:

    A content delivery network, or CDN, is a system of servers spread around the world, serving files from the nearest physical location. Instead of waiting for a file to find its way from a server farm in Silicon Valley 8,000 kilometres away, I can receive it from London, Dublin, or Paris, cutting down the time I wait. The big names -- Google, Yahoo, Amazon, et al -- use CDNs for their sites, but they've always been far too expensive for us mere mortals. Until now.


    There's a service out there ready for you to use as your very own CDN. You have the company's blessing, you won't need to write a line of code, and -- best of all -- it's free.

    There are limitations to the service, of course. You can't host any files larger than 1MB, and you're limited to 650,000 requests a day and 10GB of downloads. That said, there are a lot of sites that fit within these parameters and could offload the static portion of their content to see a large reduction in bandwidth and provide faster load times to end users.

    Using Google App Engine as Your Own Content Delivery Network
    Google App Engine

    Source: Hackzine.com

  • Een creatieve knutselaar liet dankzij een eenvoudige modificatie van een speakerdock voor Apples iPod en een verloopstekker voor de Android G1 het geluid van zijn telefoon uit de speakers van de dock komen.


Copyright © 2017. All Rights Reserved.