The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • Windows DefenderTavis Ormandy, beveiligingsonderzoeker bij Googles Project Zero, heeft opnieuw een lek gevonden in de onderliggende anti-malware-engine van Windows Defender. Microsoft heeft het lek volgens de onderzoeker gedicht.

    Ormandy meldt dat hij dit lek met behulp van een fuzzer vond in de Malware Protection Engine, oftewel MsMpEng, van Windows. Met behulp van een fuzzer kan een programma geautomatiseerd van willekeurige data of gedeeltelijk geldige inputs worden voorzien. Zo is het mogelijk om vast te stellen of het programma op een onverwachte manier reageert, bijvoorbeeld door te crashen. Via deze weg vond Ormandy een heap corruption in een api, die volgens hem een 'krachtige aanzet voor een exploit' vormt. Het zou niet moeilijk zijn om er gebruik van te maken.

  • drupal securityDe ontwikkelaars van het populaire contentmanagementsysteem (cms) Drupal waarschuwen voor een ernstig beveiligingslek waardoor aanvallers websites kunnen overnemen en adviseren de update die het probleem verhelpt direct te installeren. In totaal gaat het om drie kwetsbaarheden die zijn verholpen.

    Via het ernstige lek kon een aanvaller willekeurige code uitvoeren en zo volledige controle over de website krijgen. De overige twee kwetsbaarheden zijn minder ernstig en maken het mogelijk voor gebruikers die bestanden kunnen uploaden om die vervolgens aan te passen. Daarnaast konden bestanden die door anonieme gebruikers werden geupload door andere anonieme gebruikers worden bekeken. Drupal-beheerders krijgen het advies om direct te updaten naar Drupal 7.56 of 8.3.4.

  • malwareEen bekende malwarefamilie die gegevens voor internetbankieren steelt blijkt machines via UPnP in proxy-servers te veranderen. Daarvoor waarschuwt securitybedrijf McAfee. Volgens de beveiliger is QakBot, zoals de malware wordt genoemd, de eerste malware die besmette machines als https-gebaseerde controleservers inzet. QakBot doet dit om de werkelijke locatie van de controleserver te verbergen.

    QakBot is al geruime tijd actief en is ontwikkeld om gegevens voor internetbankieren en andere waardevolle data te stelen. De malware maakt echter ook gebruik van universal plug and play (UPnP) om poorten open te zetten, zodat inkomende verbindingen van iedereen op het internet worden toegestaan om met de besmette machine te communiceren. Beveiligingsexperts waarschuwen al geruime tijd voor de risico's van UPnP en vorig jaar adviseerde de FBI om het uit te schakelen.

  • PDF redact ToolEen Hongaarse beveiligingsonderzoeker heeft een bestaande tool voor het opschonen van pdf-bestanden aangepast zodat ook verborgen watermerken worden verwijderd. Deze week werd bekend dat een klokkenluidster die een vertrouwelijk NSA-rapport lekte waarschijnlijk is gevonden via het watermerk dat kleurenlaserprinters aan uitdraaien toevoegen.

    Het NSA-rapport werd door de klokkenluidster via de post naar nieuwsorganisatie The Intercept gestuurd, dat het vervolgens scande en als pdf-document publiceerde. Het watermerk was ook in het pdf-document terug te vinden. The Intercept is een uitgifte van First Look Media, dat al geruime tijd een tool aanbiedt genaamd "PDF Redact Tools", om metadata uit documenten te verwijderen voordat die worden gepubliceerd.

  • androidBeveiligingsbedrijf Kaspersky heeft Android-malware ontdekt, die het zelf aanduidt als de Dvmap-trojan. Deze zogenaamde rooting-malware onderscheidt zich van andere varianten doordat hij in staat is om kwaadaardige code te injecteren.

    Onderzoeker Roman Unucheck legt uit dat de malware sinds september 2016 ongeveer honderd keer naar Googles Play Store is geüpload en in totaal 50.000 keer is gedownload. Na een melding door Kaspersky is de Dvmap-trojan, die onder meer in de Play Store aanwezig was onder de naam colourblock, door Google verwijderd.

  • Een nieuw ransomware-exemplaar voor het Android-platform blijkt ook in staat te zijn om slimme televisies voor losgeld te versleutelen. Dat laat het Japanse anti-virusbedrijf Trend Micro weten. De ransomware wordt Frantic Locker genoemd. De eerste variant verscheen in mei vorig jaar.

    Sindsdien zijn er meer dan 7.000 varianten aangetroffen. Om zich te verspreiden maakt Frantic Locker gebruik van sms-berichten en kwaadaardige links. De laatste variant vergrendelt Android-apparaten in de naam van een willekeurige opsporingsdienst en stelt dat het slachtoffer een misdrijf heeft begaan. Om weer toegang tot het systeem te krijgen moet er 200 dollar in iTunes-cadeaubonnen worden betaald.

  • contactloos betalenOp internet en Londense zwarte markten worden apparaatjes aangeboden waarmee criminelen tot 15 contactloze betaalpassen in een seconde kunnen klonen, zo melden de Daily Mail en Daily Star. Het apparaatje, de Contactless Infusion X5, kost 500 pond, inclusief software en lege passen.

    Het laat criminelen kaartnummer, naam kaarthouder en adresgegevens van 8 centimeter afstand opvangen. Vervolgens kunnen de gestolen gegevens op een lege pas worden geplaatst, waarmee criminelen kunnen betalen. De Daily Mail stelt dat het apparaatje waarschijnlijk specifiek is ontwikkeld om de steeds populair wordende contactloze bankpas aan te vallen. Volgens de aanbieders van de Contactless Infusions X5 is het de eerste skimmer voor contactloze bankpassen.

    Bron: Security.nl

  • mitsubishi phev hackBeveiligingsonderzoekers zijn erin geslaagd om het alarm van een Mitsubishi Outlander uit te schakelen door het protocol van de mobiele app te reverse engineeren en een Alarm Off-commando te verzenden naar de auto.

    Volgens PenTestPartners is de hack mogelijk, omdat Mitsubishi voor de Outlander een wifi-toegangspunt gebruikt voor de verbinding met de auto, in plaats van de veel gebruikelijkere mobiele internetverbinding. Omdat het wachtwoord bestaat uit een beperkt aantal tekens, is het vrij eenvoudig te kraken.

  • DCS 930L wificameraBeveiligingsonderzoekers van het bedrijf Senrio hebben een lek in de firmware van de D-Link DCS 930L-wificamera gevonden, dat het op afstand uitvoeren van willekeurige code mogelijk maakt. Aan een patch wordt nog gewerkt.

    De kwetsbaarheid betreft een stack overflow die kan worden veroorzaakt door een enkel commando dat assembly code bevat. Daardoor kan een aanvaller kwaadaardige code op het apparaat uitvoeren en bijvoorbeeld het wachtwoord aanpassen om op afstand toegang tot de camera te krijgen. Een sterk wachtwoord is geen toereikende verdediging daartegen, zo stelt Senrio.

  • netflixNetflix is begonnen met het resetten van de wachtwoorden van sommige gebruikers wegens een ouder datalek bij een ander internetbedrijf. Volgens Netflix gaat het om een voorzorgsmaatregel om te voorkomen dat gelekte wachtwoorden worden gebruikt om Netflix-accounts over te nemen.

    In de verstuurde e-mail stelt Netflix dat de inloggegevens van de gebruiker mogelijk bij een ander internetbedrijf zijn buitgemaakt. Het gaat om een ouder datalek, maar de naam van het bedrijf in kwestie wordt niet genoemd.

  • wordpress-securityEr is recentelijk een Zero-day kwetsbaarheid in de populaire 'image resize' bibliotheek TimThumb ontdekt. Deze wordt in duizenden WordPress thema's en plugins gebruikt.
    De kritieke kwetsbaarheid is door Pichaya Morimoto ontdekt. In de TimThumb Wordpress plugin versie 2.8.13, ligt in haar "Webshot" functie die, indien ingeschakeld, laat aanvallers om commando's op een externe website.

    De kwetsbaarheid kan een aanvaller willekeurige PHP-code op afstand uit te voeren op de getroffen website. Zodra de PHP-code is uitgevoerd, kan de website gemakkelijk worden aangetast in de manier waarop de aanvaller wil. Tot nu toe is er geen patch beschikbaar voor het lek.

  • crytek-logoHet is nu nog makkelijk geworden om van scratch een Crytek game te ontwikkelen. De Starter-Kit wordt geleverd met complete starters contant en leert je hoe je een spel in CryENGINE vanaf nul opbouwd. Op de planning staan om nog meer starter kits toe te voegen voor genres als RPG, RTS en 3D sidescroller Platformers. Het uiteindelijke doel is het hebben van een omgeving waar gebruikers hun eigen content kunnen toevoegen en zelfs kunnen verkopen.

     

    De starters-kit van ontwikkelaar richmar1 is gratis en biedt het volgende aan:

    • Volledige broncode uitvoering van alle benodigde interfaces om een ​​volledige CryEngine spel vanaf nul te maken.
    • Geen voorbeeld maar standaard FPS Gamedll code.
    • Elke interface,  class , methode, en member variabele is volledig gedocumenteerd en heeft methode documentatie per-parameter en Intellisense.
    • Volledig uitgerust Visual Studio project template & wizard.
    • No-Fuss Installer die eenvoudig alles installeerd/configureerd.
    • licentie model die je vrijlaat in het gebruik van het spel sjabloon, zelfs verkopen.

     

     

    Download the CryENGINE Blank Game Starter-Kit here

  • iphonelockEen team van Chinese ontwikkelaars heeft onder de naam Pangu een jailbreak uitgebracht voor apparaten op iOS 7.1.1. Daardoor kunnen gebruikers onder meer de iPad Air en iPhone 5s jailbreaken. De tool werkt vooralsnog alleen onder Windows.

    De jailbreak kwam maandagavond online op de site van Pangu en is Chineestalig. Inmiddels is er ook Engelstalige versie. De Chinese ontwikkelaars zeggen ook te werken aan een een versie voor OS X, maar die is nog niet uit. Het jailbreakprogramma is bijna 80MB groot.

  • rubberduckySinds 2010 is de USB Rubber Ducky een favoriet onder hackers, penetratie testers en IT-professionals. De combinatie van een eenvoudig te gebruiken scripttaal en de formidabele hardware maakt dit het deale hacktool.

    De 'Rubber Duck' lijkt op een USB-stick maar bevat hardware met een microcontroller met een microSD-kaart interface. Het apparaat kan fungeren als een soort van USB-slave. Op bijgevoegde SD kaart bevind zich de payload (programma of script).  Het standaard profiel voor de Rubber Duck is een USB-toetsenbord. Sluit hem aan, en hij zal toetsaanslagen (gestuurd via een script bestand) genereren.

  • androidOntwikkelaar Geohot, onder meer bekend van de PS3-hack en iPhone-jailbreaks, heeft een universele root-methode voor Android-apparaten uitgebracht. De root-methode zou moeten werken op elk Android-apparaat met een kernel van voor 3 juni.

    De methode heeft als naam Towelroot en werkt via het installeren van een apk-bestand van de site van Geohot. Hoewel volgens de ontwikkelaar vrijwel alle toestellen zouden moeten werken, vermeldt hij dat de 'nieuwste toestellen' van HTC en Motorola niet functioneren, omdat de /system-partitie is beschermd.

  • mysqlA serious security vulnerability has been found in MySQL and MariaDB that allows a remote attacker to gain root access to a database if they attempted to login (with the wrong password) around 256 times. The vulnerability, which was disclosed by Sergei Golubchik – the MariaDB Security Coordinator, occurs because some versions of memcmp() can return an arbitrary integer (outside of the normal -128 to 127 range).

    The problem is that when a user connects to MySQL or MariaDB, a hash of the password is used and compared with the sent password. But, because of a casting bug, sometimes the token and the expected password are considered equal even when they are not. This can happen if memcmp() returns a non-zero value. Because the authentication protocol uses random strings, the probability of hitting this bug is about 1 in 256.

    HD Moore, creator of Metasploit, has provided a simple one line bash script which will provide access to an affected MySQL server as the root user account, without actually knowing the password.

    $ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
    mysql>

    Of course to run the script you need to have shell access to the machine in question. All MySQL and MariaDB versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable. MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not affected. Neither are MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23.

    Some good news

    This is of course a massive security hole and Moore reckons that about 50 percent of Internet servers are vulnerable to the attack. However for systems which don’t open the MySQL port to the Internet then attackers won’t be able to access the MySQL database at all. Also many versions of Linux aren’t vulnerable due to the version of memcmp() they use. Since memcmp is part of the standard C library there are a variety of implementations. The gcc builtin version of memcmp() is safe, memcmp() in BSD’s libc is also safe. However Linux distributions that use glibc with sse-optimizations is not safe.

    This means that the following version of Linux are vulnerable:

    • Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 )
    • OpenSuSE 12.1 64-bit MySQL 5.5.23-log
    • Debian Unstable 64-bit 5.5.23-2
    • Fedora
    • Arch Linux

    It is worth noting that official builds of MySQL and MariaDB (including the Windows versions) are not vulnerable and that Red Hat Enterprise Linux 4, 5, and 6 and CentOS are also unaffected. Also the 32-bit versions of Ubuntu are not affected.

    Source: lifehacking.com

  • linkedin_logoLink is het populairste wachtwoord van LinkedIn-gebruikers van wie de wachtwoord-hash gekraakt is. Deze week verscheen een bestand met 6,5 miljoen wachtwoord-hashes van LinkedIn-gebruikers online. Daarvan is inmiddels een groot deel gekraakt, wat een overzicht van de Top 30 populairste LinkedIn-wachtwoorden oplevert. Na Link volgt 1234, work, god en job. Fuck, bitch en dick komen ook in het overzicht voor en dat is geen verstandig keuze, aldus beveiligingsbedrijf Rapid7 dat de Top 30 samenstelde. 

    Scheldwoorden zijn niet alleen zwak, ze kunnen ook erg gênant voor de eigenaar zijn als ze worden geopenbaard. "Dit soort wachtwoorden kunnen ervoor zorgen dat je LinkedIn moet gebruiken om een nieuwe baan te vinden!" Daarnaast zouden scheldwoorden boven brute-force woordenboeken staan, zo laat de beveiliger weten. 

    Waarschuwing
    Inmiddels heeft ook LinkedIn meer details over het wachtwoord-lek gegeven. Daarin verklaart de sociale netwerksite waarom het gebruikers niet direct waarschuwde. "Meteen toen we van de diefstal hoorden, zijn we een onderzoek begonnen om te bevestigen dat de wachtwoorden van LinkedIn-gebruikers zijn. Zodra dit bevestigd was, hebben we meteen het risico voor onze gebruikers in kaart gebracht", zegt Vicente Silveira. 

    Van gebruikers van wie de gelekte wachtwoord-hash was gekraakt werd het account uitgeschakeld. Vervolgens werden deze gebruikers via e-mail ingelicht. 

    Salt
    Daarnaast stelt Silveira dat de wachtwoorden van LinkedIn-gebruikers al voor het nieuws van het wachtwoord-lek waren gesalt. Bij salting wordt een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht, waardoor eerdere berekende hashes niet zijn te gebruiken. De gelekte LinkedIn-hashes zijn niet gesalt. 

    Dat zou kunnen betekenen dat de wachtwoorden voor het salten zijn gestolen of dat ze uit een oude back-up afkomstig zijn, zoals sommige experts vermoeden

    linkedin-top30

    Bron: www.security.nl

  • SQL Injection is de gevaarlijkste fout die programmeurs kunnen maken, zo blijkt uit de Top 25 van gevaarlijkste softwarefouten van MITRE en het Sans Institute. De lijst bestaat uit veelvoorkomende fouten die tot ernstige beveiligingsproblemen in software kunnen leiden. "Ze zijn vaak eenvoudig te vinden en eenvoudig te misbruiken", aldus MITRE, een not-for-profit organisatie. De lekken zijn gevaarlijk omdat ze het overnemen van software, stelen van gegevens of het uitvoeren van een Denial of Service mogelijk maken.

    RankScoreIDName
    [1] 93.8 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
    [2] 83.3 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
    [3] 79.0 CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
    [4] 77.7 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
    [5] 76.9 CWE-306 Missing Authentication for Critical Function
    [6] 76.8 CWE-862 Missing Authorization
    [7] 75.0 CWE-798 Use of Hard-coded Credentials
    [8] 75.0 CWE-311 Missing Encryption of Sensitive Data
    [9] 74.0 CWE-434 Unrestricted Upload of File with Dangerous Type
    [10] 73.8 CWE-807 Reliance on Untrusted Inputs in a Security Decision
    [11] 73.1 CWE-250 Execution with Unnecessary Privileges
    [12] 70.1 CWE-352 Cross-Site Request Forgery (CSRF)
    [13] 69.3 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
    [14] 68.5 CWE-494 Download of Code Without Integrity Check
    [15] 67.8 CWE-863 Incorrect Authorization
    [16] 66.0 CWE-829 Inclusion of Functionality from Untrusted Control Sphere
    [17] 65.5 CWE-732 Incorrect Permission Assignment for Critical Resource
    [18] 64.6 CWE-676 Use of Potentially Dangerous Function
    [19] 64.1 CWE-327 Use of a Broken or Risky Cryptographic Algorithm
    [20] 62.4 CWE-131 Incorrect Calculation of Buffer Size
    [21] 61.5 CWE-307 Improper Restriction of Excessive Authentication Attempts
    [22] 61.1 CWE-601 URL Redirection to Untrusted Site ('Open Redirect')
    [23] 61.0 CWE-134 Uncontrolled Format String
    [24] 60.3 CWE-190 Integer Overflow or Wraparound
    [25] 59.9 CWE-759 Use of a One-Way Hash without a Salt

    Meer details zijn te vinden op de cwe website.

  • Een hackergroep genaamd D3V29 heeft tientallen inloggegevens voor PayPal en MySpace online gezet, die via onbeveiligde draadloze netwerken werden verzameld. Het gaat om 150 MySpace en 50 PayPal accounts, die in restaurants en winkels in de Verenigde Staten werden opgevangen. De groep maakte een eigen scanner die onversleutelde cookies onderschepte.

    Het Twitter-account van de groep is inmiddels geschorst, maar de groep is nog wel op dumpsite Pastebin actief. Daar staan ook de links naar de gestolen gegevens. Ook wordt er om Bitcoin donaties en geld voor een nieuwe server gevraagd.

    "We hebben onze cracking-machine gesloopt. We zoeken geld voor een nieuwe machine, zodat we eindelijk ons "Fuck Myspace, it's Facebook Now" project kunnen onthullen. Onze AntiSec-leden moeten ons hierbij helpen. We hopen dat je dit begrijpt." Vervolgens sluit de groep af met de slogan van anonymous. "We are Anonymous. We Never Forgive. We Never Forget. We Love You. We Are Legion."

    Bron: Security.nl

  • lulzsec2Na vijftig dagen zegt hackerscollectief LulzSec ermee te stoppen. De groep wist bij Sony, de Amerikaanse Senaat, televisiezender PBS en vele andere websites in te breken. Ook werden verschillende websites, waaronder die van de CIA, via Denial of Service-aanvallen platgelegd. "De afgelopen vijftig dagen hebben we bedrijven, overheden, zelfs de bevolking, en alles wat er mogelijk tussen valt, ontregeld en blootgesteld, gewoon omdat we het konden."

    In het afscheid dat de groep via Twitter aankondigde, maakt men zich ook sterk voor Operatie AntiSec. Een oorlogsverklaring gericht tegen beveiligingsbedrijven en overheden, waarbij men zoveel mogelijke vertrouwelijke documenten wil publiceren. "Achter het masker, achter de waanzin en chaos, geloven we echt in de AntiSec beweging."

  • Here I am explaining a new and simple way to hack any website with DNN(DotNetNuke). DotNetNuke is an open source platform for building web sites based on Microsoft .NET technology. It is easiest techniques to hack any website coompare than other technique Such as Cross Site Scripting and SQL injection. In this technique we reached the root path for any website and here we can easily upload our own file and can also replace the logo, text, images etc.
    Follow these steps to hack any website..
    1.  In our first step we check whether the Website is vulnerable or not by using google dorks.  Search following code in google.

    inurl:/portals/0

    If you can check your desired domain than use below code. Here we can change .com to any desired domain like as .net, .org etc

    inurl:/portals/0 site:.com

    2.  Now choose any website and copy the url of website without /portals/0 ,and paste the below code after it.

    Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

    For ex. the website ishttp://www.abc.com/portals/0
    remove the portals/0 and add the above code. It will become as http://www.abc.com/

  • duinrell_hackEen hacker die vorige week de website van attractiepark Duinrell kraakte, heeft de namen en e-mailadressen van meer dan 80 duizend mensen gestolen. De webdeveloper weet nog niet waar het lek zit.

    Een hacker met de schuilnaam Xcrypt0 heeft donderdagavond de website van attractiepark Duinrell gekraakt. Eerst leek hij de website slechts gedefaced te hebben, maar het weblog Looopings, voor attractieparkfanaten, weet nu te melden dat hij ook 80 duizend e-mailadressen en namen heeft buitgemaakt.

    'Reclamebureau is schuldig'

    De gestolen gegevens zijn afkomstig van mensen die zich hebben aangemeld voor de nieuwsbrief van het attractiepark. Xcrypt0 stuurde Looopings een screenshot van de database als bewijs van de hack. Ook zou dat weblog inmiddels de volledige lijst met e-mailadressen en namen in bezit hebben.

    Volgens de hacker is zijn inbraak grotendeels te wijten aan de gebrekkige beveiliging in het cms van reclamebureau Multiminded, dat de website van het attractiepark onderhoudt. “Het is ronduit belachelijk dat een groot bedrijf als Duinrell zo'n onhandige webdesigner heeft aangenomen. 90 procent van de sites van Multiminded is kwetsbaar”, meent hij.

  • THC-HYDRA v6.1 brute force tool ReleasedTHC-HYDRA is a very fast network logon cracker which support many different services. This tool is a proof of concept code, to give researchers and security consultants the possibility to show how easy it would be to gain unauthorized access from remote to a system. It was tested to compile cleanly on Linux, Windows/Cygwin, Solaris, FreeBSD and OSX.

    Changelog for thc-hydra v6.4
    Update SIP module to extract and use external IP addr return from server error to bypass NAT
    Update SIP module to use SASL lib
    Update email modules to check clear mode when TLS mode failed
    Update Oracle Listener module to work with Oracle DB 9.2
    Update LDAP module to support Windows 2008 active directory simple auth
    Fix to the connection adaptation engine which would loose planned attempts
    Fix make script for CentOS, reported by ya0wei
    Print error when a service limits connections and few pairs have to be tested
    Improved Mysql module to only init/close when needed
    Added patch from the FreeBSD maintainers
    Module usage help does not need a target to be specified anymore
    configure script now honors /etc/ld.so.conf.d/ directory

    Download THC-HYDRA v6.4
  • Een dinsdag gepatcht beveiligingslek in Adobe Flash Player wordt op grote schaal door aanvallers misbruikt voor het overnemen van Windows computers en infiltreren van systemen. De kwetsbaarheid werd eerst voor gerichte aanvallen gebruikt, maar wordt inmiddels ook voor aanvallen tegen doorsnee internetgebruikers ingezet. Het bezoeken van een kwaadaardige of gehackte website is voldoende om aanvallers volledige controle over de computer te geven.

    Volgens de Shadowserver Foundation, een organisatie die botnets in de gaten houdt, wordt het lek op "een vrij grote schaal" misbruikt. Exploits die het lek misbruiken, zijn inmiddels op tal van legitieme websites verschenen, waaronder verschillende non-gouvernementele organisaties, luchtvaartmaatschappijen, een Koreaanse nieuwssite, een Indiase overheidssite en een Taiwanese Universiteit.

    Doelwit
    Adobe Flash Player is op 99% van alle op het internet aangesloten computers aanwezig, waarbij het in Europa en de Verenigde Staten zelfs een penetratiegraad van 99,5% heeft. Het is dan ook niet verwonderlijk dat Flash de afgelopen regelmatig het doelwit van aanvallers is geweest. CVE-2011-0609, CVE-2011-0611, CVE-2011-0627, CVE-2011-2107 en CVE-2011-2110 zijn allemaal nummers die naar recente lekken wijzen, waardoor aanvallers toegang tot vertrouwelijke informatie hebben gekregen. Ook voor de aanval op beveiligingsbedrijf RSA werd een lek in Adobe Flash Player gebruikt. Lekken 0609 en 0611 zouden nog steeds op grote schaal voor gerichte aanvallen worden ingezet, ook al is een patch voor deze gaten al enige tijd beschikbaar.

    Het nieuwste lek, 2110, is alleen nog via drive-by download-aanvallen misbruikt. "De aanvallers hebben duidelijk hun aanvalsprofiel aan de beschikbare exploit aangepast. Dit is niet nieuw, maar de explosie van de exploit op het web en van zoveel verschillende bronnen is vrij bijzonder", aldus de organisatie. Beveiligingsbedrijf Websense merkt op dat het lek ook voor spear-phishing aanvallen wordt ingezet.
  • Last week I spoke at the Central Ohio ISSA Conference about Attacking and Defending Apple IOS Devices.  This talk was based on information gathered from several of the mobile pentests that I conducted at SecureState.  I’ll be working on more research that will be going into an white paper that I will hopefully be releasing in the next few months.  You can find my slides on SlideShare below and watch the video graciously recorded by Iron Geek.

  • lulzSecDe hackergroep genaamd 'LulzSec' die eerder verschillende websites van Sony hackte, is zelf gehackt. Aanvallers wisten de logs van de privé-IRC-server buit te maken. De informatie werd door ene 'LulzFail' op de Full-disclosure mailinglist gepubliceerd en bevat de logs van het chatkanaal. Ook zou één van de LulzSec-leden door de FBI zijn gearresteerd. Via Twitter en deze verklaring laat de groep weten dat het niet om belangrijke logs gaat en er niemand is aangehouden.

    LulzSec heeft inmiddels wel de broncode van het Sony Computer Entertainment Developer Network online gezet. Kort daarna telde de groep via Twitter 50.000 volgers en zou iemand 7.200 dollar aan BitCoins hebben gedoneerd. Inmiddels is het aantal volgers tot boven de 77.000 gestegen. Ook is de website van de hackergroep weer online, met een overzicht van alle hacks en online geplaatste bestanden.

    Bron: security.nl

  • Adam Dachis — If you've heard about the recent viral stunt put on the web site for the latest Batman film, you know it's possible to hide codes in an audio file. But did you know it's actually really easy to do? Here's how.

    To encode, you're going to need Coagula (Windows-only), and to decode you'll need Sonic Visualizer (Windows/Mac OS X/Linux). You can watch the video above for a visual walkthrough, but here are the steps you need to follow:

    1. Create an image you want to encode. White text on a black background works well, and it helps to have a small image without too much empty space. Save it out as a JPEG or BMP.
    2. Open the image in Coagula and click the setting for "Render Image as Audio Without Blue/Noise." Be sure to choose this option as the other rendering option will not work.
    3. When you're done a new audio file entitled "Coagula.wav" will be in the same folder as the Coagula application. You can either go grab that file or you can save it out to a location of your choice by choosing "Save Audio File" as from the file menu. That's it. Message encoded!
    4. To decode the message, open it in Sonic Visualizer. You'll see the audio spectrum but not the message. To view the message, go to the Layout menu and choose "Add Spectrogram" (any of the options in the submenu should be fine). You may need to adjust the way you're viewing it, but you should now be able to see your hidden message.

    Pretty cool! For more neat ways to hide secret messages in your files, check out our steganography guide.

    P.S. If you know any cross-platform tools for encoding the image as an audio file, please let us know in the comments.

  • FTDStichting Brein eist een verbod op usenet-community FTD, op last van een dwangsom van 50.000 euro voor elke dag dat de dienst live is.

    Daarmee reageert anti-piraterijstichting Brein op de onlangs door FTD gestarte bodemprocedure. FTD eist dat de rechter klip en klaar stelt dat downloaden toch legaal is. En daarnaast dat de website van FTD niet illegaal is en dat stichting Brein de uitspraken over vermeend strafbaar handelen op de eigen website rectificeert.

  • De FTP-logins van Cisco, Amazon, Monster.com, Symantec, McAfee en de BBC zijn in handen van cybercriminelen, zo heeft een Brits beveiligingsbedrijf ontdekt. Onderzoekers van PrevX liepen tegen een server aan waar een Trojaans paard gestolen FTP-logins naar toe stuurde. In totaal ging het om meer dan 68.000 sites, waaronder ftp.bbc.co.uk, ftp.cisco.com, ftp.amazon.com, ftp.monster.com, ftp.mcafee.com en ftp.symantec.com. Ook de Bank of America bevond zich onder de slachtoffers.
  • De website van één van de bekendste hackers ter wereld is weer gehackt. Net als in 2006 en 2003 hadden de aanvallers het voorzien op mitnicksecurity.com en kevinmitnick.com. De ex-hacker had zijn sites bij webhoster "Hosted Here" ondergebracht en draaide een up-to-date Apache, maar wel een verouderde PHP installatie (5.2.8). De hacker werd op de Full-disclosure mailinglist aangekondigd. "It appears that all of kevin mitnick's sites have been replaced
    with a pornographic image which shows him having buttseckz with 3 other men."
  • Meer dan 100.000 Twitteraars zijn het doelwit van een gerichte aanval geworden, die zowel Mac als Windows systemen kon infecteren. Aanvallers wisten het Twitter-profiel van Guy Kawasaki te kraken en een Tweet toe te voegen die gebruikers naar een kwaadaardige website doorstuurde. Op de site werd een sexvideo van actrice Leighton Meester beloofd. Eerst moesten bezoekers echter een codec downloaden.
  • De veiligheid van het internet is het afgelopen jaar verder verslechterd, maar Nederlandse overheden en gebruikers merken hier nog weinig, dat blijkt uit het GOVCERT Trendrapport 2009 dat vandaag in Den Haag werd gepresenteerd. Volgens Erik de Jong, projectleider van het Trendrapport, draait het niet om techniek, maar gaat het om mensen. Toch zijn het de problemen met DNS, BGP en TCP waardoor de overheidsorganisatie somber gestemd is. In het geval van het door Dan Kaminsky gevonden DNS-lek, is GOVCERT niet op de hoogte van aanvallen op Nederlandse overheden of internetproviders.
  • TwitterMalicious email attachment masquerades as message notification
    A new spammed malware attack is impersonating messages from micro-blogging site Twitter.

    Researchers at Symantec said that the attack poses as an invitation to join Twitter with the message: 'Your friend has invited you to Twitter.' The message also contains images of the Twitter logo and front pages.

  • Het beveiligingslek in Windows DirectX waar nog altijd geen patch voor is, wordt actief door cybercriminelen gebruikt voor het stelen van wachtwoorden. Het aantal aanvallen zou echter nog steeds beperkt zijn. In totaal gebruiken de aanvallers drie misvormde video-bestanden als exploit. Via de exploit wordt er vervolgens een Trojaans paard geïnstalleerd die logins van Google, Live.com, World of WarCraft en Battle.Net steelt. DirectX Drive-by
  • BinairiesDe site van anti-piraterijstichting Brein ligt niet alleen plat door een DDoS-aanval, maar is door hackers 'grondig vernield'. "Er stonden een paar poorten open."

    Nadat deze week bekend werd dat stichting Brein de oprichters van torrentsite The Pirate Bay in Nederland voor de rechter sleept, ligt de site Anti-piracy.nl van de organisatie plat.

    Maar dat is niet alleen door een naar eigen zeggen 'ongehoord grote DDoS-aanval' die al dagen aanhoudt. Hackers hebben namelijk ook de site zelf 'grondig vernield', meldt Brein-directeur Tim Kuik. "Het bedrijf dat onze beveiliging doet, heeft fouten gemaakt. Zo stonden er een paar poorten open."

  • Michael JacksonHet overlijden van Farrah Fawcett en Michael Jackson is direct door cybercriminelen aangegrepen om malware te verspreiden. In het geval van Fawcett gaat het om zoekresultaten die naar kwaadaardige websites leiden. Wie zoekt op de term “Farrah Fawcett Dead” krijgt in tientallen gevallen de verkeerde websites als resultaat terug. De pagina's laten bezoekers zogenaamd een video of foto zien, maar daarvoor moet men eerst nog een codec downloaden. In werkelijkheid gaat het om een Trojan-downloader die op zijn beurt de "Trojan-Zoeken" en "Trojan-Cognac" downloadt. De kwaadaardige websites zijn ondergebracht bij blogging-dienst Vox.com.
  • De afgelopen weken zijn er twee exploits voor een lek in phpMyAdmin verschenen en getuige het toegenomen aantal scans, zijn hackers bewust op zoek naar kwetsbare versies. De exploits zijn gericht op alle versies voor 3.1.3.1 en 2.11.9.5. Tevens moet de systeembeheerder phpMyAdmin via de wizard geïnstalleerd hebben en mag de config directory niet verwijderd zijn. Het lek in de software werd eind maart gepatcht. Het Internet Storm Center kreeg verschillende meldingen van scans naar lekke installaties en adviseert om even dubbel te controleren of de gebruikte versie wel up-to-date is.
  • Een bekende beveiligingsonderzoeker heeft een programma online gezet waarmee het kinderspel is om Apache webservers plat te leggen. Apache is de populairste webserver voor het hosten van websites en wordt door talloze bekende sites gebruikt. Slowloris, zoals de tool heet, houdt alle verbindingen open door gedeeltelijke HTTP requests te sturen. De server wacht tot de volledige header binnenkomt, maar Slowloris stuurt die niet en blijft de nep-headers sturen, die de verbinding openhouden. Hierdoor raakt de webserver uiteindelijk overbelast en is er sprake van een Denial of Service.
  • In deze film laat ik zien hoe ik met behulp van DNS spoofen (alle A records) en metasploit een computer kan hacken. Ik maak gebruik van een vulnerability in IE7 die sinds februari gepatched is, dus hij is nog wel vrij recent.

    Zie filmpje

  • Cligs is net als TinyURL een dienst voor het inkorten van lange links. Met name voor diensten zoals Twitter is dit handig, aangezien er per Tweet een limiet van 140 karakters is. Maar hoe weet je zeker dat zo'n onbekende, afgekorte URL veilig is om te bezoeken? In het geval van Cligs werd afgelopen weekend duidelijk dat dit niet het geval is. Hackers wisten de dienst te kraken en 2,2 miljoen afgekorte Cligs-links naar één website te zetten. De website in kwestie was in dit geval totaal onschuldig en zegt niets met de aanval te maken te hebben. Toch geeft de aanval het risico weer wat je loopt als je een totaal niet te ontcijferen URL opent. Cligs is bezig met de overstap naar een nieuw en veiliger systeem en hoopt dit deze week de lucht in te krijgen.
  • Een website zegt vernomen te hebben dat in het najaar van 2010 een nieuwe versie van de Xbox verschijnt, die gebundeld wordt met Project Natal. Het gaat niet om een geheel nieuwe console, maar om een upgrade van de huidige Xbox 360.

     
  • De lancering van Project Natal zal net zo groots opgezet worden als de lancering van de Xbox 360. Dat betekent dus dat Natal ook een grote line-up zal hebben bij de lancering. Dit heeft Shane Kim, verantwoordelijk voor de strategie van Microsoft op lange termijn, verteld aan Kotaku.

  • Onderzoekers zijn erin geslaagd om op afstand de toetsaanslagen van draadloze Microsoft toetsenborden af te luisteren en hebben het gereedschap hiervoor publiekelijk beschikbaar gemaakt. Het lukte de hackers om de op XOR-gebaseerde encryptie van de toetsenborden in realtime te ontcijferen. Anderhalf jaar geleden publiceerden de onderzoekers van Remote-Exploit.org, bekend van de uitstekende hacker/pentetstool BackTrack, al een whitepaper over de kwetsbaarheden van 27Mhz draadloze toetsenborden. Nu presenteert men de universele draadloze keyboard sniffer "Keykeriki". Volgens de onderzoekers laat dit opensource hardware en software project iedereen het beveiligingsniveau van het eigen keyboard controleren. Ze waarschuwen wel voor misbruik van de technologie. "Als je zonder toestemming de beveiliging van iemands anders z'n verbinding controleert, kun je in sommige landen in de gevangenis belanden :-)".
  • Beveiligingsonderzoeker Rosario Valotta heeft verschillende lekken in Windows Media Player ontdekt, waardoor aanvallers informatie over het lokale intranet kunnen verzamelen. De problemen worden voornamelijk veroorzaakt door de mogelijkheid van Windows Media bestanden, zoals ASF, om script commando's te bevatten. Een aanvaller zou hierdoor de aanwezigheid van bepaalde bestanden kunnen achterhalen, IP-adressen binnen het intranet scannen en de informatie naar de aanvaller terugsturen, zeer gedetailleerde informatie over het besturingssysteem van de gebruiker verzamelen en stiekem FTP-verbindingen naar willekeurige sites opzetten. Ook verbinding maken met de bedrijfs FTP-server om daar bestanden te verwijderen behoort tot de mogelijkheden.
  • attack setupHet gebruik van Network Address Translation (NAT) maakt bedrijfsnetwerken kwetsbaar voor hackers, aldus beveiligingsonderzoeker Robert "RSnake" Hansen. Het komt erop neer dat niet routeerbare IP-adressen, zoals beschreven in de Internet Engineering Task Force's RFC 1918 standaard, door bedrijven als beveiliging worden gebruikt. Deze IP-adressen hebben daarnaast ook als functie om op het aantal publieke IP-adressen te besparen. Veel ondernemingen gaan ervan uit dat, omdat de adressen niet via het internet toegankelijk zijn, aanvallers er geen misbruik van kunnen maken.
  • Aanvallers zijn erin geslaagd de Canadese MSN website te kraken en te voorzien van een drive-by download die bezoekers met malware moest infecteren. Een geobfusceerd JavaScript iframe werd aan het index.php bestand van de pagina toegevoegd. Dit iframe stuurde bezoekers door naar een bekende malware server. Gebruikers hadden echter mazzel, aangezien de Location HTTP header hen eerst naar een andere MSN site doorstuurde, voordat de browser de kwaadaardige content kon laden. Microsoft is inmiddels op de hoogte gesteld, aldus Websense. Volgens Alexa staat de Canadese MSN website in de top 300 van meest bezochte websites op het internet.
  • Beveiligingsonderzoekers hebben privacy-lekken ontdekt die in alle bekende browsers aanwezig zijn, en ervoor zorgen dat internetgebruikers zonder cookies en IP-adressen toch zijn te volgen. Elke browser heeft een unieke vingerafdruk, die via de informatie die de browser lekt is samen te stellen. Hierbij worden maatregelen zoals IE's InPrivate mode, Firefox's Private Browsing, Safari's Private Browsing en Chrome's Incognito mode volledig omzeild. Naast deze vier browsers zijn de privacy-lekken ook in Opera aanwezig. "Het mag duidelijk zijn dat andere versies van deze browsers, andere platformen en andere browsers in het algemeen met soortgelijke problemen te maken hebben", zegt Amit Klein.
  • Beveiligingsonderzoeker Nikalaos Rangos heeft een zeer ernstig lek in versie 6.0 van Microsoft's Internet Information Services webserver ontdekt, waardoor een aanvaller toegang tot met wachtwoord beveiligde mappen krijgt en willekeurige bestanden kan up- en downloaden. De kwetsbaarheid wordt veroorzaakt door de WebDAV functionaliteit van IIS, hoewel die niet standaard staat ingeschakeld. Door het toevoegen van verschillende Unicode karakters aan een URL, is het mogelijk om de beveiliging te omzeilen, zo ontdekte Rangos, die ook onder het alias Kingcope bekend staat.
  • Het veelbesproken Gumblar-virus, dat FTP-gegevens steelt om vervolgens websites te hacken en gebruikers te besmetten, is volgens onderzoek van Websense nog altijd enorm actief. Half mei was er een explosieve stijging te zien van het aantal besmette websites. Van minder dan 3000 in de eerste twee weken naar meer dan 80.000 geïnfecteerde websites op 17 en 18 mei. Inmiddels is het aantal gehackte websites afgenomen en gaat het nog om zo'n 50.000 domeinen.
  • Een grote Britse ISP beweert dat een hacker 100.000 websites van klanten via een zero-day lek vernietigd heeft. Onbekende aanvallers wisten via een kwetsbaarheid in de virtualisatie software HyperVM, toegang tot de systemen van Vaserv te krijgen. Het programma is ook bekend als Klaxo. "We zijn door een zero-day exploit in versie 2.0.7992 van het programma getroffen", zegt directeur Rus Foster. "Ik heb ook van andere mensen gehoord dat ze slachtoffer zijn geworden." Het was Foster nog niet gelukt om contact met ontwikkelaar LXLabs te krijgen om het lek te bespreken.
  • Recentelijk heeft er een toename van het aantal gehackte webservers plaatsgevonden, reden voor Google om een overzicht van de tien gevaarlijkste websites van de laatste twee maanden te maken. De zoekgigant gaat continu het internet af op zoek naar kwaadaardige sites. In totaal vond Google meer dan 4000 verschillende websites die waren opgezet voor het distribueren van malware. Dit zijn dus niet de gehackte websites waar iFrames en geobfusceerde JavaScript worden geplaatst, maar de sites waar deze gehackte websites naar toe verwijzen. Meer dan 1400 van deze domeinen hebben een .cn extensie.
  • Beveiligingsexperts hebben de afgelopen maanden Trojaanse paarden ontdekt die op Oost-Europese geldautomaten waren geïnstalleerd en de magneetstrip en pincode van pinpassen kopieerden. De automaten waar de malware op werd aangetroffen draaide Windows XP. Volgens de onderzoekers bevatte de malware geavanceerde management functionaliteit die de aanvaller via een aangepaste user interface volledige controle over de geldautomaat geeft. De interface is verkrijgbaar door een controllerkaart in de kaartlezer van de geldautomaat in te voeren.
  • De Poolse beveiligingsonderzoeker Michal Sajdak heeft een manier om Linksys routers op afstand te hacken online gezet, aangezien fabrikant Cisco na twee maanden nog steeds niet reageerde. Het model dat Sajdak testte was de Linksys WAG54G2 WLAN DSL router, maar ook andere modellen zouden mogelijk voor de cross-site request forgery (CSRF) aanval kwetsbaar zijn. De onderzoeker ontdekte dat het mogelijk was om een shell commando aan een POST request toe te voegen, dat de router vervolgens uitvoerde.

    Een slachtoffer zou in dit geval alleen een kwaadaardige website moeten bezoeken om een aanvaller toegang tot zijn of haar router te geven. Toch noemt Sajdak zijn aanval niet ernstig, aangezien die alleen met de standaard gebruikersnaam en wachtwoord werkt. In het geval dat de inloggegevens gewijzigd zijn, dan moet het slachtoffer op de router zijn ingelogd om de aanval te laten werken. Cisco werd op 18 maart ingelicht, maar ondanks een bevestiging, is de kwetsbaarheid nog altijd niet verholpen.


Copyright © 2017. All Rights Reserved.