The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • malware3Onderzoekers van de Ben-Gurion Universiteit in Israël hebben een manier gedemonstreerd waardoor malware gevoelige gegevens van een niet met internet verbonden computer via de elektromagnetische straling van een usb-stick of ander usb-apparaat kan stelen.

    Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakersharde schijfventilatorenafgegeven warmte en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

  • malware3Onderzoekers hebben malware ontdekt die meer dan 1 miljoen Internet of Things-apparaten heeft geïnfecteerd, zoals digitale videorecorders en ip-camera's, en gebruikt voor het uitvoeren van ddos-aanvallen tegen websites. De malware heeft verschillende namen, zoals Lizkebab, BASHLITE, Torlus en gafgyt.

    Om kwetsbare apparaten te vinden worden er vanaf geïnfecteerde apparaten poortscans uitgevoerd. Zo wordt er naar Telnet-servers gezocht die op de apparaten actief zijn, om vervolgens via een brute force-aanval hier op in te loggen. De groep achter de malware maakt ook van externe scanners gebruik om kwetsbare apparaten te vinden. Bij deze methode proberen de aanvallers ook via kwetsbaarheden in de apparatuur en ssh op de toestellen in te loggen.

  • mozillaOpensource-ontwikkelaar Mozilla heeft een gratis tool ontwikkeld waarmee kan worden gecontroleerd hoe websites ssl/tls hebben geïmplementeerd. Observatory, zoals Mozilla de tool noemt, is vergelijkbaar met SSL Labs, de scandienst van beveiligingsbedrijf Qualys.

    De tool van Mozilla richt zich echter meer op doorsnee gebruikers, zegt Mozilla-ontwikkelaar April King. Zodra gebruikers een website op observatory.mozilla.org hebben ingevoerd wordt de opgegeven website gescand en verschijnt er vervolgens een rapport met een cijfer.

  • cerber ransomewareBeveiligingsbedrijf Check Point heeft een decryptietool voor de Cerber-ransomware beschikbaar gesteld. Hiermee kunnen slachtoffers van versie 1 en 2 van de malware gratis de versleuteling van hun bestanden ongedaan maken.

    Check Point laat weten dat het een uitgebreid onderzoek heeft uitgevoerd naar de Cerber-ransomware en dat het naar aanleiding daarvan in staat was om een decryptietool te ontwikkelen. Deze is beschikbaar op een speciale site en vereist dat slachtoffers een door Cerber versleuteld bestand uploaden. Daarna wordt een decryptiesleutel aangemaakt, die samen met de tool in dezelfde folder moet worden opgeslagen. Vervolgens kan de tool met beheerdersrechten uitgevoerd worden om de getroffen bestanden weer beschikbaar te maken.

  • Samsung SNH 6410BNOnderzoekers hebben in een ip-camera van de Zuid-Koreaanse elektronicafabrikant Samsung tal van beveiligingsproblemen gevonden waardoor een aanvaller in het ergste geval op afstand een apparaat volledig kan overnemen. Het gaat om de Samsung SNH-6410BN.

    Het apparaat wordt als babycamera, binnencamera en beveiligingscamera gebruikt. "De beeldkwaliteit is redelijk, maar zoals de norm is met ip-camera's schiet de netwerkbeveiliging te kort", aldus het Britse beveiligingsbedrijf Pen Test Partners. Onderzoekers ontdekten in totaal 10 beveiligingsproblemen.

  • volkswagen logo

    Onderzoekers van de Britse universiteit van Birmingham en het Duitse bedrijf Kasper & Oswald hebben twee lekken ontdekt in sleutelloze toegangssystemen van auto's, waaronder vooral Volkswagens. Door één lek kan toegang verkregen worden tot ongeveer 100 miljoen auto's.

    Het eerste lek zou ongeveer elke Volkswagen treffen die sinds 1995 is verkocht, evenals modellen van Audi en Škoda. Het tweede lek is aanwezig in andere merken, waaronder Fiat, Ford, Nissan, Opel en Peugeot. De eerste kwetsbaarheid is de meest verontrustende, schrijft Wired.

  • usb2Tijdens de Black Hat-conferentie in Las Vegas heeft een beveiligingsonderzoeker het risico gedemonstreerd van het aansluiten van onbekende usb-sticks waarmee de computer kan worden gehackt. In april van dit jaar verscheen er onderzoek naar het aansluiten van onbekende usb-sticks.

    Voor het onderzoek gebruikten onderzoekers van Google, de Universiteit van Illinois en de Universiteit van Michigan 297 usb-sticks die op verschillende plekken en tijdstippen op een universiteitscampus werden achtergelaten. De aanval zou een succespercentage van 45% tot 98% hebben, waarbij de eerste usb-stick in minder dan zes minuten nadat die was achtergelaten werd aangesloten.

  • IE and EdgeEen beveiligingsprobleem in Windows maakt het voor aanvallers mogelijk om inloggegevens te achterhalen, wat vooral een probleem is als gebruikers met hun Microsoft-account inloggen, zo waarschuwen een Russische beveilingsonderzoeker en vpn-aanbieder Perfect Privacy.

    Om het datalek te veroorzaken hoeft een aanvaller alleen een netwerk share aan te maken en het slachtoffer het ip-adres van deze share te laten bezoeken. Dit kan worden gedaan door een afbeelding op een website te embedden. Om de aanval te laten slagen is het wel vereist dat het slachtoffer Internet Explorer of Edge gebruikt. In het geval van Chrome of Firefox zal de aanval niet werken. Een andere aanvalsvector is het embedded van de netwerk share in een e-mail. Als het slachtoffer Microsoft Outlook gebruikt zal ook dit zijn inloggegevens lekken.

  • HTTPSVolgens Belgische beveiligingsonderzoekers bevat https een lek dat het mogelijk maakt om met een javascript persoonlijke gegevens te achterhalen. Het script zou in een advertentie verwerkt kunnen worden. De onderzoekers presenteren hun bevindingen op Black Hat.

    Voor de aanval is geen man-in-the-middle-positie nodig. Kwaadwillenden kunnen volgens onderzoekers Tom Van Goethem en Mathy Vanhoef van KU Leuven simpelweg een advertentie plaatsen met daarin een kwaadaardig javascript. De code kan vervolgens op de beveiligde pagina's exact meten hoe groot de versleutelde data is die wordt verstuurd.

    Met de hulp van twee andere exploits, bekend als Breach en Crime, is het mogelijk om aan de hand van de grootte sommige data te ontsleutelen. Dat is mogelijk door kwetsbaarheden die zitten in de manier waarop websites data comprimeren om ze sneller te laten laden.

  • BGP hijackingDe ip-adressen die in november 2014 werden gekaapt door een groep Bulgaarse criminelen, blijken tijdelijk te zijn ontvreemd via het border gateway protocol. Dat heeft onderzoek uitgewezen, schrijft minister Koenders van Buitenlandse Zaken in een brief aan de kamer.

    In juli werd via de Volkskrant bekend dat verschillende ip-adressen in het blok 193.177.64.0/18 tussen 19 en 26 november 2014 in handen zijn geweest van Bulgaarse criminelen. De adressen behoren toe aan het ministerie van Buitenlandse Zaken. Naar aanleiding van deze gebeurtenis, stelde Kamerlid Oosenbrug van de PvdA vragen aan de minister. Donderdag deelde de minister zijn antwoorden schriftelijk mee.

  • Windows 10 logo whiteHet is mogelijk om via de ingebouwde ssh-server van smartphones die op Microsofts Windows 10 Mobile draaien, volledige toegang te krijgen tot het bestandssysteem nadat Device Discovery is ingeschakeld. Via het standaard mtp-protocol in Windows is die toegang niet mogelijk.

    Dat schrijft xda-forumlid snickler op het xda-ontwikkelaarsforum. Microsoft voegde overigens zelf al een bestandsverkenner toe aan Windows 10 Mobile. Voor 8.1 moest daar nog de Files for Windows Phone 8.1-app gedownload worden. Met de nieuwe verkenner krijgen gebruikers echter geen volledige toegang, waardoor bepaalde onderdelen ontoegankelijk blijven.

  • androidGoogle is onlangs begonnen met de uitrol van een patch om te beschermen tegen de Stagefright-bug in Android, maar volgens beveiligingsbedrijf Exodus is de software niet afdoende. De bug zou nog steeds te misbruiken zijn. Google zegt aan een tweede patch te werken.

    In een blogpost stelt Exodus dat het een Nexus 5 die was voorzien van de patch, die overigens bestaat uit vier regels nieuwe code, kon hacken via de Stagefright-bug. Op zijn blog geeft Exodus de technische details om de beveiliging te omzeilen, waarmee het dus aantoont dat de bugfix waarvan Google eerder de uitrol startte, niet afdoende is om het lek in Android te repareren.

  • androidEen lek in alle Android-versies van 4.3 tot en met M Preview 1 zorgt ervoor dat aanvallers door middel van een nep-app zonder bijzondere toestemmingen complete controle over een toestel wisten te krijgen. Google heeft het lek voorafgaand aan de onthulling gedicht.

    IBM Security Intelligence stelt dat het lek in 55 procent van de Android-installaties voorkwam. De hack slaagde dankzij een kwetsbaarheid in de OpenSSLX509Certificate-class. Doordat op die manier een kwaadwillende app aanvullende systeemrechten kon verkrijgen, was het niet nodig om in de Google Play Store om naar bijzondere toestemmingen te vragen. De onderzoekers hebben de exploit geprobeerd op een Nexus 5 met Android 5.1.1.

  • honeypotEen nieuwe versie van Honeydrive is uitgebracht. HoneyDrive 3 is een van de bekenste honeypot Linux distro's. Het is een virtuele appliance (OVA) met Xubuntu Desktop 12.04.4 LTS editie geïnstalleerd. Het bevat meer dan 10 vooraf geïnstalleerde en vooraf geconfigureerde honeypot softwarepakketten zoals:

    • Kippo SSH honeypot,
    • Dionaea en Amun malware honeypots,
    • Honeyd low-interactie honeypot,
    • Glastopf web honeypot en Wordpot,
    • Conpot SCADA / ICS honeypot,
    • Thug en PhoneyC honeyclients en meer.

    Daarnaast bevat veel nuttige vooraf geconfigureerde scripts en hulpprogramma's te analyseren, visualiseren en de gegevens kan vastleggen, zoals Kippo-Graph, Honeyd-Viz, DionaeaFR, een eland stack en nog veel meer te verwerken. Tenslotte zijn er ook bijna 90 bekende malware analyse, forensische en netwerk monitoring tools aanwezig.

  • vnc-logoDuizenden computers op het internet staan wagenwijd open doordat ze het programma VNC draaien zonder dat dit van een wachtwoord is voorzien, waardoor een onderzoeker onlangs bij allerlei mensen live kon meekijken. VNC is software om op afstand toegang tot computers te krijgen.

    Het kan bijvoorbeeld worden gebruikt voor beheren van een systeem of het helpen van gebruikers. Tijdens de afgelopen Defcon conferentie in Las Vegas gaf beveiligingsonderzoeker Paul McMillan een demonstratie waarbij hij naar onbeveiligde en open VNC-installaties zocht.

  • IE

    IEEr zijn in totaal 26 Updates voor Internet Explorer beschikbaar. Eén van deze lekken was al openbaar gemaakt voordat de patch van Microsoft verscheen, terwijl een ander lek actief werd aangevallen voordat de update beschikbaar was. Volgens de softwaregigant gaat het om "beperkte aanvallen", maar verdere details worden niet gegeven. De update voor IE is dan ook als kritiek bestempeld.

  • synologyVerschillende gebruikers van Synology-systemen klagen dat hun nas is getroffen door ransomware. De malware, met de naam Synolocker, versleutelt bestanden; gebruikers moeten honderden euro's betalen om weer bij hun bestanden te kunnen.

    De gebruikers klagen op het forum van Synology dat ze niet meer bij hun bestanden kunnen. De configuratiepagina van hun nas-systeem is vervangen door een waarschuwing dat de bestanden zijn versleuteld, en dat de gebruiker geld moet betalen om de encryptiesleutel te krijgen. Gebruikers zouden 0,6 bitcoin, omgerekend circa 260 euro, moeten betalen voor toegang. Het is niet duidelijk of gebruikers na betaling weer toegang krijgen.

  • sambaDe ontwikkelaars achter Samba, de software die in Linux wordt gebruikt voor filesharing via het smb-protocol van Windows, hebben vrijdag in allerijl een patch uitgebracht vanwege een ernstig beveiligingsprobleem. Alle 4.x.x-versies waren kwetsbaar.

    Het beveiligingsprobleem maakt het mogelijk om met een browser pakketjes te overschrijven in de nmbd-server, een daemon die kan communiceren met NetBIOS. Daardoor is het mogelijk om op afstand root-code uit te voeren, zo maakte Samba bekend.

  • joomla-logo

    Een inmiddels gepatcht lek in het populaire contentmanagementsysteem (CMS) Joomla is actief gebruikt om websites over te nemen toen er nog geen beveiligingsupdate voor het probleem beschikbaar was. Beveiligingsbedrijf Verasafe onderzochteen aantal gehackte websites en ontdekte daarbij een onbekende kwetsbaarheid waarmee aanvallers volledige controle over de website kregen.

    De gehackte websites werden vervolgens gebruikt voor phishing, waarmee inloggegevens en creditcardgegevens werden buitgemaakt, en het verspreiden van malware. Het lek werd op 25 juni van dit jaar aan de ontwikkelaars van Joomla! gerapporteerd en zo'n vijf weken later op 31 juli verscheen er een update. Gebruikers krijgen dan ook het advies om naar versies 2.5.14 of 3.1.5 over te stappen.

    Gemeenschap

    Voor gebruikers van het niet meer ondersteunde Joomla 1.5.26 is er dankzij de gebruikersgemeenschap toch een onofficiële update verschenen. Hoeveel websites er via de exploit zijn gehackt is onbekend, maar volgens het beveiligingsbedrijf liepen meer dan een miljoen op Joomla gebaseerde websites risico.

    joomla_vulnerability

    Bron: Security.nl

  • defcon21Vorige week vond in Las Vegas de hackerconferentie Defcon plaats, waar zo'n 15.000 mensen op af kwamen. Daarmee is het de grootste hackerconferentie ter wereld. Dit jaar werd uitvoerig bij onderwerpen als privacy, de NSA en de veiligheid van ingebedde systemen stilgestaan. Tijdens de conferentie werden cd´s met presentaties en audio-opnamen van de lezingen uitgedeeld. Beveiligingsonderzoekster Mila Parkour heeft de cd met presentaties (394MB) nu online gezet voor iedereen die niet aanwezig kon zijn.

    Bijna honderd lezingen, workshops en demonstraties werden tijdens het vier dagen durende evenement gegeven, onder andere door de bekende hacker Charlie Miller die demonstreerde hoe een auto gehackt kan worden. Ook de lezing van Peiter Zatko alias Mudge werd zeer goed ontvangen. Daarnaast was er een kartonnen versie van NSA-klokkenluider Edward Snowden aanwezig en ontbrak ook de traditionele Wall of Sheep niet. Violet Blue maakte voor ZDnet een sfeerimpressie, inclusief foto's.

    bron: Security.nl

     

  • stop-spamEr is een nieuwe spambot ontdekt die duizenden gehackte websites gebruikt om spam te versturen, waaronder ook tientallen Nederlandse sites. De malware wordt door de meeste anti-virusbedrijven Rodecap genoemd en werd op 23 juli voor het eerst ontdekt. Spambots zijn vrij gewoon, maar volgens onderzoeker Roman Huessy valt Rodecap vanwege verschillende eigenschappen op. 

    Ten eerste omdat het www.google.com gebruikt om vanaf besmette computers met de Command & Control (C&C)-server te communiceren. Om het adres van de C&C-server te vinden gebruikt de malware de DNS-gegevens van een ander domein. 

    Spam
    In tegenstelling tot andere spambots die gestolen SMTP-gegevens gebruiken om spam te versturen, de mailserver van besmette internetgebruikers gebruiken of open SMTP-relays misbruiken, past Rodecap een andere methode toe. De malware gebruikt een gigantische lijst van websites die met een PHP-backdoor gecompromitteerd zijn. 

    In een uur tijd wist Huessy meer dan 3500 websites te vinden die een verouderd content management systeem zoals Joomla! draaiden en waar de aanvallers het backdoor-script hadden geplaatst, waarmee ze de webserver waar de website op draait kunnen gebruiken om spam te versturen. 

    Nederlandse websites
    In veel gevallen beschikken webservers over meer rekenkracht en bandbreedte en zijn daardoor interessant voor spammers. In de lijst staan ook 45 domeinen die op .NL eindigen. Een paar .nl domein voorbeelden uit de lijst met bekende joomla lekken:


    Volgens Huessy hebben de makers van de spambot voor een goede tactiek gekozen, aangezien er tienduizenden websites zijn die verouderde CMS-software draaien. "Hierdoor vermijden de criminelen ook gewone blacklists, met name blacklists die dynamische IP-spaces van eindgebruikers bevatten (DSL/kabelabonnees) zoals Spamhaus PBL of SORBS DUL."
  • Begin april verscheen er een bestand met 146 miljoen wachtwoord-hashes online, iemand heeft er daarvan nu 122 miljoen gekraakt. De MD5 en SHA1 wachtwoord-hashes waren verzameld door KoreLogic, met als doel het verbeteren van het onderzoek naar het kraken van wachtwoorden. Onderzoeker Pascal Clement wilde weten hoe ver hij zou komen als hij de MD5-hashes met zijn AMD Phenom II en ATI 5770 videokaart in combinatie met de kraakprogramma's John the Ripper en oclHashcat-plus zou kraken. 

    Uiteindelijk werden er dat 122 miljoen. Een verzameling van de gekraakte wachtwoorden werd verder geanalyseerd met het programma Pipal. Dan blijkt dat ruim een kwart van de wachtwoorden 7 karakters lang is en 65% niet langer dan 7 karakters. Slechts 5% is langer dan 11 karakters, terwijl lengte juist een belangrijke maatregel is om het kraken van wachtwoord-hashes te bemoeilijken. 

    Hashing
    "Dit was een tijdrovende en lastige opdracht, mede omdat ik niet over de snelste kaart beschik. Het hele kraakproces duurde zo'n vijf maanden om te voltooien, ook vanwege mijn studie naar de CCNP certificering", merkt Clement op. "De geleerde les is dat met een goed en slim woordenboek, gecombineerd met handige regels voor hashcat en John the Ripper zelfs de meest onmogelijke wachtwoorden zijn te kraken." 

    Clement zegt in zijn analyse dat systeembeheerders een sterker hashing algoritme met salt moeten gebruiken om wachtwoorden op te slaan. Ook adviseert hij thuisgebruikers om regelmatig hun wachtwoord te wijzigen. 

    Woordenlijsten
    "Wat opvalt is het gebruik van woordenlijsten waar ook zinnen in voorkomen. Waarschijnlijk is gezocht naar documenten en zijn alle zinnen hieruit opgenomen in de woordenlijst", zegt Frank van Vliet, CTO van Certified Secure tegenover Security.nl. 

    "Dit betekent niet dat het advies om passphrases te gebruiken onjuist is, maar het geeft wel aan dat het belangrijk is om een zin te kiezen die uniek is en dus niet in de woorden/zinnenlijsten voorkomt. Het gebruiken van een goede passphrase is voor de eindgebruiker nog steeds de beste manier om zich te beveiligen tegen deze aanvallen."
    Bron: www.security.nl

  • androidOp de grootste Android marktplaats in China is een Trojaans paard aangetroffen dat meer dan 500.000 Android-toestellen heeft geïnfecteerd om vervolgens via sms geld te stelen. De malware, SMSZombie genaamd, werd via de GFan marktplaats verspreid en zat in populaire wallpaper-apps verstopt. Volgens TrustGo dat SMSZombie op 25 juli in zeven verschillende apps detecteerde, beschikt de malware over geavanceerde mechanismen waardoor het lastig is te verwijderen. 

    Activatie
    Eenmaal geïnstalleerd probeert de malware administratorrechten te verkrijgen. Hiervoor activeert SMSZombie een nieuwe service, waarvoor het de gebruiker via een vervelend dialoogvenster om toestemming voor vraagt. Als de gebruiker annuleren klikt, verschijnt het dialoogvenster opnieuw 

    "Uiteindelijk wordt de gebruiker gedwongen om 'Activeren' te selecteren om zo het dialoogvenster te laten verdwijnen", aldus TrustGo. Vervolgens wordt er code geïnstalleerd die voorkomt dat de gebruiker de malware eenvoudig kan verwijderen. 

    Betaalmethode
    De malware maakt misbruik van een kwetsbaarheid in de sms-betaalmethode van de Chinese telecomgigant China Mobile, waardoor het ongeautoriseerde betalingen kan verrichten en bankkaartnummers en afschriften kan stelen.

    Bron: Security.nl

  • webcamHet is nog altijd een sport onder 'scriptkiddies' om slachtoffers van besmette computers via hun eigen webcam te begluren en opgenomen beelden op YouTube te plaatsen. Al in 2008 werden de reacties van slachtoffers op schokkende filmpjes opgenomen en later als leedvermaak online gezet. Symantec waarschuwt dat dit nog altijd gaande is. 

    De aanvallers besmetten hun slachtoffers met een RAT (Remote Access Tool) en hebben vervolgens volledige controle over de computer. Vervolgens krijgt het nietsvermoedende slachtoffer een "screamer" te zien, een afbeelding met gegil uit de film Excorcist, waarbij de reactie wordt vastgelegd. 

    YouTube
    Er is zelfs een apart YouTube-kanaal genaamd RAT Pwner waar verschillendevideo's zijn te zien. Een snelle zoektocht op YouTube levert nog meer soortgelijke video's van het gebruik van Remote Access Tools op. Daarbij gaat het niet alleen om het laten schrikken van slachtoffers, maar wordt er ook gekeken wat ze online allemaal uithalen

    Internetgebruikers krijgen het advies alleen betrouwbare programma's te installeren. Nooit anonieme linkjes in e-mail of instant messaging-berichten te vertrouwen en alleen maar programma's direct vanaf de website van de leverancier te downloaden.

    Bron: Security.nl

  • Het aantal aanvallen op poort 445 is het afgelopen kwartaal bijna verdubbeld. Dit poortnummer wordt gebruikt door Microsoft Directory Services. In het laatste kwartaal van 2011 kreeg poort 445 25% van alle aanvallen te verduren, terwijl dit in de eerste drie maanden van dit jaar naar 42% is opgelopen. Ook het aantal Telnet-aanvallen groeide ten opzichte van de vorige periode. Het aantal waargenomen aanvallen ging van 6,3% naar 11%, aldus internetbedrijf Akamai. 
    Het meeste aanvalsverkeer is volgens Akamai uit China afkomstig. Het land is goed voor 16% van alle aanvallen. Amerika (11%) en Rusland (7%) zijn samen goed voor 18% van alle aanvallen. De meeste aanvallen vanuit Europa worden geïnitieerd vanuit Duitsland. Onze oosterburen zijn goed voor 1,9% van al het wereldwijde aanvalsverkeer. Slechts 0,6% van de aanvallen kent zijn oorsprong in Nederland. 

    Nederland
    Het Akamai rapport laat verder zien dat Nederland in het eerste kwartaal van 2012 het Europese land is met gemiddeld de hoogste verbindingssnelheid: 8,8Mpbs. Een groei van 18% ten opzichte van het eerste kwartaal in 2011. 

    Wereldwijd hebben alleen Zuid-Korea, Japan en Hong Kong een hogere verbindingssnelheid dan Nederland. Ook is met 83% de adoptie van breedbandverbindingen in Nederland het hoogste van Europa.

    attacks on ports

    bron: security.nl

  • Hacker Kevin Mitnick legt uit hoe eenvoudig het is om met behulp van een open source programma een beveiligde voicemail af te luisteren. Hij geeft ook de tip om je ertegen te beveiligen.

  • Het certificaat dat een Beverwijks bedrijf per abuis uitgaf en dat Iran hielp om internetters te bespioneren, blijkt het gevolg van een hack te zijn. Deze hack werd in juli al ontdekt, maar het certificaat werd onlangs pas ingetrokken.

    lock_openMaandag en dinsdag kwam DigiNotar in het nieuws doordat een frauduleus certificaat dat door het Beverwijkse bedrijf werd uitgegeven, mogelijk door Iran is gebruikt om op Google-gebruikers te spioneren. Naar nu blijkt is dat het gevolg van een hack, waarbij niet alleen een Google-certificaat is vervalst maar ook andere certificaten zijn nagebootst.

    In een verklaring schrijft Vasco Security, sinds januari eigenaar van DigiNotar, dat de hack al half juli heeft plaatsgevonden. Toen DigiNotar de hack ontdekte, op 19 juli, heeft het bedrijf de frauduleuze certificaten ingetrokken. Hierbij is er echter minimaal één over het hoofd gezien: het certificaat dat voor Google.com is gebruikt.

    Pas toen de Nederlandse overheidsorganisatie GovCert deze week ontdekte dat een frauduleus certificaat nog niet ingetrokken was, is deze alsnog ongeldig gemaakt. Het is onduidelijk of er nog valse ssl-certificaten van DigiNotar in omloop zijn.

  •  

    php2Het PHP ontwikkelteam adviseert gebruikers en beheerders om niet naar de laatste versie te updaten, omdat er een ernstig probleem in één van de cryptografische functies zit. PHP is één van de meest gebruikte scripttalen op het internet en wordt in tal van websites toegepast. PHP 5.3.7 verscheen vorige week en verhelpt een aantal beveiligingsproblemen, maar blijkt zelf ook een probleem te introduceren. Wordt de crypt() functie voor MD5 salts gebruikt, dan wordt alleen de salt-waarde in plaats van de gesalte hash-waarde teruggegeven. 

    Het probleem speelt alleen bij MD5, de Blowfish en DES algoritmen werken gewoon naar behoren. Opmerkelijk genoeg was het crypto-lek op 17 augustus aan het PHP ontwikkelteam gerapporteerd, een dag later werd toch versie 5.3.7 uitgegeven. Gebruikers krijgen het advies om op versie 5.3.8 te wachten.

    Sinds 23-8-2011 is update 5.3.8 uitgegeven. Download hem van php.net.

  • hp_android

    Een groep ontwikkelaars is begonnen aan een project om Android te porten naar de TouchPad van HP,die standaard WebOS draait. De tablet vloog de laatste dagen de winkel uit nadat HP besloot een forse prijsverlaging door te voeren.

    HP kondigde vlak voor het weekend een kortingsactie voor de TouchPad aan, nadat het bedrijf liet weten te stoppen met het produceren van tablets. De 16GB-versie kreeg een prijsverlaging van 499 dollar naar 99 dollar, terwijl de 32GB-editie 149 euro ging kosten. Door de prijsverlaging wist HP afgelopen weekend naar schatting 350.000 TouchPads te verkopen. In veel webwinkels is de tablet dan ook uitverkocht.

    Nu HP besloten heeft om te stoppen met de op WebOS draaiende TouchPad, zijn een vijftal ontwikkelaars het project Touch Droid gestart om de tablet in eerste instantie op Android 2.3 te laten draaien. Zodra deze stabiel op de TouchPad draait, wil het ontwikkelteam de stap naar Android 3.0 Honeycomb maken. Deze versie van Googles opensource-OS is meer geschikt voor tablets. Met behulp van de bestaande Palm-sdk kan een TouchPad-gebruiker al roottoegang tot zijn tablet krijgen.

    bron: tweakers.net

  • Intressante video over het eenvoudig modificeren van android apps!!

  • De afgelopen dagen zijn naar schatting 22.000 websites en ruim 500.000 pagina's gehackt en misbruikt voor het verspreiden van nep-virusscanners. De aanval werd het eerst op 14 augustus opgemerkt en is volgens beveiligingsbedrijf Armorize nog steeds gaande. Op gehackte websites wordt een iframe geïnjecteerd, dat bezoekers naar een exploit-toolkit wijst.

    Deze toolkit gebruikt verschillende beveiligingslekken in ongepatchte software om een nep-virusscanner te installeren. De nep-virusscanner doet zich voor als "XP Security 2012" onder Windows XP, "Vista Antivirus 2012" onder Vista en "Win 7 Antivirus 2012" onder Windows 7.

  • Voorheen was het lastig voor hackers die elkaar op IRC of fora tegenkwamen om de ander in te schatten, iets waar RankMyHack.com verandering in moet brengen. De website is volgens de bedenker "gebouwd om een duidelijke indicatie te geven van wat een hacker kan." Ook houdt het bij wat een hacker onder zijn alias allemaal heeft gedaan, waardoor andere hackers weten met wie ze te maken hebben.

    Wie op "hacking fora" actief is, kan een heuse signature banner toevoegen om te laten zien hoe goed hij of zij websites kan kraken en defacen. "Online reputatie is geen wedstrijd om de populariteit van gelijkgestemden, maar gaat om de ruwe kennis van een hacker om websites en servers te compromitteren."

    rankmyhack
     
    Klassement
    Naar eigen zeggen is de website geen "tweede Anonymous of LulzSec". Daarbij moedigt RankMyHack ook het aanvallen van websites aan. Er is een "duelsysteem", waar hackers elkaar kunnen uitdagen. Dit gedeelte was eerst een klein deel van de website, maar is nu één van de voornaamste attracties. Een hacker genaamd 'mudkip', die op de Huffington Post wist in te breken, voert het klassement aan.
  • androidDoor een ontwerpfout in Android kunnen cybercriminelen inloggegevens stelen, aldus onderzoekers op Blackhat. Volgens Google is het geen fout maar een feature.

    Beveiligingsonderzoekers Nicholas Percoco en Sean Schulte van Trustwave hebben een manier gevonden waarop criminelen in Android inlogingegevens kunnen stelen. Ook kunnen twijfelachtige adverteerders hiermee pop-ups construeren die nagenoeg niet te negeren zijn, dat meldt CNet op basis van een presentatie op hackersconferentie Defcon.

    Inlogscherm vervangen

    In Android kan een app die bijvoorbeeld een update heeft naar de voorgrond worden geplaatst, zodat de update onder de aandacht komt van de gebruiker. Deze functie zit standaard in de software development kit van Android, hoewel developers deze functie nauwelijks gebruiken. Ze plaatsen eerder een waarschuwing in de statusbalk.

  • trojanEen Franse beveiligingsonderzoeker heeft de broncode van de gevaarlijke SpyeEye Trojan op het internet gelekt, wat mogelijk een zware slag voor cybercriminelen is. SpyEye wordt voornamelijk gebruikt voor het plunderen van online bankrekeningen en is de opvolger van de beruchte Zeus Trojan, waarvan eerder dit jaar ook de broncode lekte.

    De Franse onderzoeker met het alias 'XyliBox' analyseerde en kraakte de hardware identificatie van de malware. Die zorgt ervoor dat de installatie van het programma op maar één computer werkt. "Dit lek is belangrijk omdat het de programmeertechnieken van de SpyEye-auteurs demonstreert en is ook een tegenslag voor het cybercriminele ecosysteem", zegt Sean Bodmer van beveiligingsbedrijf Damballa.

    Broncode
    Nu de broncode van de SpyEye builder beschikbaar is, de tool die de SpyEye malware genereert, kunnen onderzoekers naar beveiligingslekken in het programma zoeken. Ook helpt het beveiligingsbedrijven om de technieken en methodes achter de nieuwste SpyEye versie beter te begrijpen. Aan de andere kant profiteren ook cybercriminelen van de code. De gekraakte versie wordt inmiddels door cybercriminelen toegepast, zo blijkt uit cijfers van de SpyEye-tracker, die het aantal Command & Control-servers van het Trojaanse paard monitort.

    "Met dit lek en het lek van de Zeus broncode in maart, maakt dit één van de grootste botnet-ondernemingen kwetsbaar voor allerlei horizontale en verticale aanvallen door overheden, wetshandhavingsinstanties, beveiligingsbedrijven en zelfs andere criminelen die hun bereik op het internet willen vergroten", zegt Bodmer. De analist verwacht dat SpyEye nu een grotere dreiging zal worden, net als wat er met Zeus gebeurde toen de broncode daarvan lekte.

    Update
    Volgens bronnen is de SpyEye Loader die op internet te vinden is, een 'crack' om de SpyEye builder te draaien.
  • wordpress-securityDe afgelopen weken zijn meer dan vierduizend WordPress blogs gehackt en gebruikt om Google Image zoekresultaten naar kwaadaardige servers met malware door te sturen. Beveiligingsonderzoeker Denis Sinegubko ontdekte 4.358 blogs die populaire afbeeldingen van andere websites met doorstuur pagina's combineren, en bezoekers naar verschillende websites doorsturen. Uiteindelijk krijgen slachtoffers een afbeelding te zien dat hun computer met malware geïnfecteerd is en ze de infectie via de aangeboden nep-virusscanner kunnen verwijderen.

    Backdoor
    Google zou bij minder dan vijf procent van de gehackte WordPress blogs een waarschuwing aan gebruikers van de zoekmachine geven dat de website schadelijk is. Hoe aanvallers de weblogs wisten over te nemen is onduidelijk, maar Sinegubko vermoedt dat er een backdoor-script is gebruikt. Mogelijk voor een lek in een WordPress theme of plugin.

    Veel van de gehackte websites gebruikten de timthumb-plugin, waar onlangs nog een beveiligingslek in werd gevonden. De onderzoeker adviseert webmasters om naar verdachte "rewrite rules" in het .htaccess-bestand te kijken.
  • digid_logoDigiD, de inlogmethode om toegang te krijgen tot overheidswebsites, is een zeer zwak beschermd systeem. Dat stelt Nationale Ombudsman Alex Brenninkmeijer in een interview. Ook zouden slachtoffers niet goed worden geholpen.

    Vorige week stelden beveiligingsonderzoekers dat DigiD een onveilig systeem is. De zwakheden van het inlogsysteem zouden onder andere liggen in het per post bezorgen van inloggegevens. Criminelen kunnen deze buitmaken en bijvoorbeeld toegang krijgen tot de Belastingdienst.

    Een ander gevaar zou zijn dat het DigiD-systeem niet consequent een extra verplichte verificatiestap heeft ingebouwd, bijvoorbeeld via een sms-systeem of een apparaatje dat een willekeurige toegangscode genereert. Omdat veel consumenten gebruikmaken van dezelfde wachtwoorden op verschillende websites, lopen zij risico. Het Ministerie van Binnenlandse Zaken stelde echter dat de fraude met DigiD beperkt is gebleven tot enkele tientallen concrete gevallen. Ook zou het DigiD-systeem zelf niet zijn gekraakt. Het ministerie gaf wel toe dat er pogingen zijn gedaan om toeslagen van de Belastingdienst te krijgen op naam van een ander.

  • lulzsec2De Braziliaanse tak van hackerscollectief LulzSec heeft 8 gigabyte aan documenten, foto's en audiobestanden van de Braziliaanse Federale Politie online gezet. Volgens de groep blijkt uit verschillende van de documenten dat er op allerlei niveaus in het juridisch systeem corruptie aanwezig is.

    Antisec
    Eerder publiceerde Anonymous 10 gigabyte aan documenten van de Amerikaanse politie. De Amerikaanse en Braziliaanse politie waren niet de enige die gehackt werden.

    De "antisec-beweging" publiceerde vandaag een overzicht met de gegevens van 45.000 Ecuadoraanse politieagenten, waaronder namen, geboortedatum, rank en identificatienummers.

    bron:  security.nl
  • Integriteitoverheid_nlDe website Integriteitoverheid.nl blijkt vatbaar te zijn voor sql-injectie. Hierdoor kon de hele database worden uitgelezen, waarbij ook usernames en wachtwoorden toegankelijk waren. Diverse wachtwoorden waren in plain text opgeslagen.

    De website Integriteitoverheid.nl is in handen van het Bureau Integriteitsbevordering Openbare Sector. Deze overheidsinstelling is opgericht om 'het publieke domein te stimuleren en ondersteunen bij het opzetten en implementeren van integriteitsbeleid'. Volgens de eigen website werken er acht mensen bij de organisatie.

    Tweakers.net ontving van hackers Thaxdevil en Goo echter de tip dat de website van de BIOS op het gebied van integriteit geen hoge ogen gooit. Via sql-injectie bleek de database van de hele website toegankelijk. In de database onder andere de nieuwsbriefadministratie en een tabel met gebruikersgegevens. Saillant detail is dat de wachtwoorden in deze tabel in plain text zijn opgeslagen en op een aanpassing van o in 0 en i in 1 identiek zijn aan de username.

    Inmiddels is het lek in de site gedicht, bevestigt een woordvoerster van de organisatie tegenover Tweakers.net. Het bureau neemt ook andere delen van de site onder de loep genomen om zich ervan te verzekeren dat er geen kwetsbaarheden over het hoofd zijn gezien.

    bron: Security.nl

  • Begin juli werd bekend dat de Zeus Trojan bankrekeningen via de internetverbinding van zijn slachtoffer plundert of de inloggegevens via instant messaging software meteen doorstuurt naar de aanvallers. RSA laat nu weten dat de criminelen hiervoor Jabber gebruiken. De virusschrijvers hebben in dit geval de Jabber IM module direct in het Trojaanse paard verwerkt. Ze gebruiken hiervoor twee accounts, één voor het versturen van de gestolen inloggegevens en één voor het ontvangen ervan. Jabber is erg geliefd onder cybercriminelen, zo gebruikt de Sinowal bende de IM-software al sinds vorig jaar.

    Voorheen stuurde Zeus gestolen informatie naar een "drop" server. Daar waren de gegevens niet altijd direct benaderbaar voor de crimineel in kwestie, een probleem wat met Instant Messaging omzeild wordt. Een ander voordeel is dat de criminelen zo weten wanneer een slachtoffer online en aan het bankieren is. Men kan dan direct op de computer van het slachtoffer inloggen en zo andere overschrijvingen doen. Deze man-in-the-middle en man-in-the-browser technieken worden steeds populairder, zo merkt RSA op.

    Marktplaats
    Zeus is volgens Symantec inmiddels het grootste botnet van het moment, mede veroorzaakt door het gemak waarmee de Zeus toolkit werkt en wordt aangeboden. Ondanks het feit dat de software illegaal is, wordt die openlijk op allerlei fora besproken en verkocht. Het aantal infecties is sinds februari weer aan het stijgen en bereikte in juli een hoogtepunt. Dat geldt ook voor het aantal unieke Zeus exemplaren, dat er inmiddels meer dan 70.000 zijn. Verder zijn zeker 154.000 computers met de malware besmet, maar het werkelijke aantal ligt waarschijnlijk veel hoger. Twee procent van alle met Zeus geïnfecteerde machines staat in Nederland. De virusbestrijder maakte deze video die laat zien hoe Zeus precies werkt.

    Bron: Security.nl
  • Drie jaar op rij was Microsoft de ontwikkelaar met de meeste lekken, maar inmiddels is die positie door Apple overgenomen. IBM's ISS X-Force bekeek het aantal gemelde kwetsbaarheden in de eerste helft van 2009. Tien ontwikkelaars waren bij elkaar verantwoordelijk voor 24% van alle meldingen. Een top 10 die afscheid nam van WordPress en TYPO3, maar bovenin de nodige veranderingen kende. Onderzoekers noemen de nieuwe plek van Microsoft een "significante verandering". De softwaregigant staat op de derde plek, achter Sun en Apple. Met name de opkomst van Sun was een verrassing. Mozilla is met 1,8% op de zevende plek positie terug te vinden. Net als vorig jaar, wacht bijna de helft (49%) van de gemelde beveiligingslekken aan het eind van de periode nog altijd op een patch.

    Vooral Joomla! maakt het bont door van de 40 gemelde kwetsbaarheden er slechts 8 te patchen. Dat betekent dat 80% van de lekken (32) nog op een update wachten. Apple is in dit overzicht met 22 (18%) openstaande lekken tweede, gevolgd door Microsoft met 17 (17%). Mozilla liet 8 lekken (14%) ongepatcht, wat een vijfde plek oplevert. In totaal werden er in de eerste helft van dit jaar 3240 nieuwe kwetsbaarheden gerapporteerd. Acht procent minder dan in dezelfde periode een jaar eerder.

    De meeste beveiligingslekken worden nog altijd in webapplicaties en ActiveX controls gevonden. Cross siite scripting (XSS), SQL injection en file include kwetsbaarheden zijn de meest voorkomende beveiligingsproblemen voor webapplicaties, waarbij XSS en SQL injection met beide 33% de eerste plek bekleden. Met name in mei was er een explosieve toename van het aantal SQL-injectie aanvallen.

    Besturingssysteem
    X-Force onderzocht ook het aantal ernstige lekken in besturingssystemen en het totaal aantal kwetsbaarheden dat alleen het OS treft. In dit geval komt Sun Solaris op de eerste plek, gevolgd door Apple, Linux, Microsoft en BSD. De laatst genoemde blijft als enige onder de 20 "vulnerability disclosures", terwijl Sun, Apple en Linux elk rond de 60 zitten. Wordt er naar de ernstige kwetsbaarheden gekeken, dan is Microsoft weer koploper. 39% van de lekken bij de softwaregigant valt in deze categorie. Apple (18%), Sun (14%) en Linux (14%) doen het in dit geval veel beter.

    Browser
    Had Mozilla in 2007 nog met een ongekend laag aantal lekken te maken, in de eerste helft van dit jaar rapporteerde het meer kwetsbaarheden dan Internet Explorer. Toch lopen IE-gebruikers het grootste risico. De meeste client-side lekken zitten nog altijd in ActiveX. Dat komt ook terug in de Top 5 van meest gebruikte exploits. Op de eerste plaats misbruiken aanvallers nog altijd het Microsoft MDAC ActiveX-lek uit 2006, gevolgd door het Snapshot Viewer ActiveX-lek uit 2008. Op de derde plek noteert X-Force een twee jaar oude kwetsbaarheid in Adobe Acrobat. Het enige lek uit dit jaar dat aanvallers op grote schaal gebruiken betreft de Microsoft IE7 DHTML Object Reuse kwetsbaarheid. Als laatste is in de Top 5 web browser exploits, een exploit voor een RealPlayer ActiveX-lek uit 2007 te vinden.

    Bron: security.nl
  • Een ontwikkelaar heeft de broncode voor een Trojaans paard online gezet waarmee het mogelijk is om Skype gesprekken af te luisteren. "Megapanzer" zoals de malware heet, onderschept Skype gesprekken door zich in het Skype proces te injecteren. Vervolgens maakt het een bestand van de audio, converteert die naar MP3 en versleutelt die, om dan naar een site van de aanvaller te uploaden. De code is nog niet helemaal compleet. Zo ontbreekt het plugin systeem en het systeem om de firewall te omzeilen. De ontwikkelaar hoopt die later in aparte tools uit te brengen. Via deze pagina is de SkypeTrojan te downloaden.
  •  

    Het aantal gehackte en kwaadaardige websites dat bezoekers met malware probeert te infecteren is volgens Google nog nooit zo groot geweest. Inmiddels staan er 330.000 websites op de "blacklist" die de zoekgigant bijhoudt en browsers als Firefox, Safari en Chrome gebruiken. Het aantal websites op de lijst is in een jaar meer dan verdubbeld. In sommige perioden werden meer dan 40.000 sites per week gehackt, maar sinds mei is er duidelijke stijging waarneembaar. In tegenstelling tot eerdere grote uitbraken zoals Gumblar en Martuz, wijzen veel gecompromitteerde sites nu naar honderden verschillende domeinen.

    Volgens Google is een deel van de toename verklaarbaar, omdat het de eigen detectie heeft verbeterd. De zoekgigant onderzocht ook het aantal zoekopdrachten dat tot malware leidt. In januari 2008 bevatte meer dan 1,2% van alle zoekopdrachten tenminste één link naar een kwaadaardige website of download. Inmiddels is dit aantal tot onder de 1% gedaald.

    Bron: security.nl

     

  • De Chinese variant van Hyves is aangevallen door een cross-site scripting worm, die zich via een lek in de website verspreidt. De worm doet zich voor als een muziekvideo van Pink Floyd, die vervolgens een extern JavaScript aanroept. Dit script stuurt de video naar alle personen in de contactlijst van de geïnfecteerde Renren gebruiker. Renren heeft 40 miljoen geregistreerde gebruikers, waarvan er 22 miljoen actief zijn. Daarmee is het de populairste Chinese sociale netwerksite.

    Volgens Bojan Zdrnja van het Internet Storm Center gaat het eigenlijk om een Cross Site Flashing worm, aangezien de worm Flash als aanvalsvector gebruikt. Het probleem zit in de videospeler van de site bij het afspelen van Flash video's. Een toch al gevaarlijke combinatie, waarschuwt Zdrnja. "Ik wil graag duidelijk maken hoe gevaarlijk het embedden van SWF bestanden kan zijn. Sommige ontwikkelaars voegen XSS-bescherming aan hun programma's toe, maar Flash bestanden kunnen ook gevaarlijk zijn. Ik heb ze regelmatig bij verschillende penetratie tests gebruikt om web applicatie firewalls te omzeilen."

    Aanvalsvector
    Het lek in kwestie zorgt ervoor dat een aanvaller toegang tot de cookies van de gebruiker krijgt, waarmee het vervolgens zichzelf naar iedereen in de contactlijst stuurt. "De worm is zelf niet spectaculair, maar het laat zien dat technologieën zoals Flash niet genegeerd mogen worden, aangezien ze een aanvalsvector kunnen zijn, iets wat we vaker in de geschiedenis hebben gezien. Dit keer maakte het niet uit welke Flash versie je draaide, aangezien de code op de website lek was."

    bron: security.nl
  • Anti-virusbedrijven hebben weer een nieuwe variant van een bekend Trojaans paard voor Mac OS X ontdekt, dit keer doet de malware zich voor als virusscanner en Foxit Reader. Net als zijn voorgangers wijzigt Jahlav.I de DNS instellingen van een geïnfecteerd systeem, zodat het internetverkeer via de servers van de virusschrijver loopt. Twee weken geleden werd al een andere variant ontdekt, die slachtoffers liet geloven dat het een QuickTime update was. Eén van de websites die de Mac OS X Trojan aanbiedt, heeft het ook op Windows gebruikers voorzien. Hoewel het aantal malware voor Apple's besturingssysteem in vergelijking met Windows extreem klein is, laat Trend Micro weten dat aanvallen steeds vaker voorkomen.
  • windows 7Met een hack valt iedere variant van Windows 7 te installeren, van Starter tot Ultimate. Gebruikers kunnen stiekem proberen voordat ze een Anytime Upgrade uitvoeren.

    De hack komt na een week waarin tevens duidelijk werd dat Windows 7 met een kleine aanpassing zonder activatie tot 120 dagen gratis is te gebruiken. De nieuwe ‘hack’ vereist het verwijderen van een klein tekstbestandje van de Windows installatie-dvd.

    Nadat dit is gedaan, kan elk van de vijf mogelijke varianten geïnstalleerd worden, zij het zonder productactivatie. Deze 'feature' wordt beschreven door Woody Leonard van de Windows Secrets-nieuwsbrief. Daar is eerder ook de 120-dagen truc gepubliceerd.

    Mini-bestandje

    In de nieuwste editie van de nieuwsbrief staat dat slechts het verwijderen van het bestandje EI.cfg vanuit een Windows 7 iso-bestand nodig is om de keuze van het installatietype te ontsluiten. Volgens de documentatie van Microsoft is EI.cfg een bestandje van Windows Setup dat configureert welke editie met welke licentie bij de installatie van het besturingssysteem wordt toegepast. Eerdere versies van Windows gebruikten het bestand PID.txt voor hetzelfde doel.

    Brian Livingston van Windows Secrets is enthousiast over de truc. “Ik denk dat dit heel interessant is voor systeembeheerders”, zo zegt hij. “Ze kunnen Windows 7 Professional op de ene en Home Premium op de andere computer uitproberen voordat ze tot de aanschaf van een heel pakket aan licenties overgaan.”

    De truc is met succes toegepast op de Release-to-Manufacturing (RTM) versie van Windows 7. Deze is hetzelfde als de uiteindelijke versie die Microsoft op 22 oktober uitbrengt.

    Anytime Upgrades

    Het handigheidje komt goed uit wanneer gekozen wordt voor een zogenaamde Anytime Upgrade. Met dit upgradeprogramma van Microsoft kan na betaling van een vergoeding gekozen worden voor een meer uitgebreide versie van Windows 7 dan degene die al is geïnstalleerd.

    Nadeel is wel dat er geen probeerperiode aan de upgrade verbonden zit en dat de upgrades in Europa een stuk duurder zijn dan in de Verenigde Staten. Dat gebruikers nu zelf zonder extra kosten een luxere editie van Windows 7 kunnen proberen, mag een groot voordeel genoemd worden. Microsoft heeft nog niet op deze hack gereageerd.

  • Een aanvaller is er gisteravond in geslaagd de populaire jongerensite Fok.nl te hacken. Via een beveiligingslek in de weblogsoftware kreeg hij toegang tot de database en maakte een nog onbekend aantal MD5 hashes buit. Volgens één van de crewleden wist de aanvaller vervolgens via een combinatie van dictionary en brute-force aanvallen en rainbow tables tenminste twee wachtwoorden van crewleden te achterhalen, waaronder die van hem zelf. Geregistreerde gebruikers bij FOK! krijgen het advies om een nieuw wachtwoord in te stellen. Er zijn nog altijd genoeg internetgebruikers die voor veel websites hetzelfde wachtwoord gebruiken, met als gevolg dat door dit soort inbraken ook andere accounts gevaar lopen. FOK! zou meer dan 250.000 geregistreerde gebruikers hebben.
  • Zodra een systeem besmet is met een Trojaans paard, downloadt het vaak aanvullende malware of wil het gestolen informatie terugsturen. Daarom publiceerde het Amerikaanse beveiligingsbedrijf Arbor Networks een overzicht van de 15 gevaarlijkste IP-adressen van de maand juli die criminelen voor dit soort praktijken gebruiken. In alle gevallen maken duizenden malware programma's contact met de onderstaande IP-adressen. Het vermeldde percentage geeft aan voor hoeveel activiteit het IP-adres in juli verantwoordelijk was.

    • 8.12.206.126 (1,09%)
    • 60.173.8.0/21 (2,73%)
    • 64.34.228.126 (1,28%)
    • 66.220.17.154 (2,67%)
    • 67.29.139.153 (1,65%)
    • 68.169.70.134 (1,02%)
    • 78.108.0.0/14 (1,16%)
    • 94.75.207.219 (1,21%)
    • 121.11.0.0/16 (1,01%)
    • 121.12.0.0/16 (1,81%)
    • 195.2.253.240/30 (1,35% / 2,41%)
    • 209.84.29.126 (1,13%)
    • 209.205.196.16 (1,18%)
    • 216.240.157.91 (1,26%)
    • 218.149.84.0/25 (1,04%)


  • Spam en phishing zijn inmiddels ook een probleem voor microbloggingdienst Twitter, maar een spamfilter moet daar verandering in brengen. Het filter heet TwitBlock en kijkt naar verschillende zaken om te bepalen of iemand een spammer is, zoals aantal volgers, blocks door anderen, zelfde profielfoto's, Tweets via APIs, ontbrekende profiel informatie, dubieuze gebruikersnaam en spamwoorden in de eigen omschrijving en status.
    TwitBlock ontdekte dat veel spammers dezelfde profielfoto voor honderden accounts gebruiken. Het spamfilter bevindt zich nog in de alpha fase en de resultaten variëren dan ook nog. Mede omdat het slechts 3000 Twitter accounts als referentie gebruikt. Zodra meer gebruikers door hen geblokkeerde accounts bij het filter aanmelden, zal de nauwkeurigheid waarschijnlijk toenemen. 

    Bewustzijn
    Het stoppen van spam is niet de voornaamste reden van TwitBlock, aangezien dit volgens de ontwikkelaars een tijdelijk probleem is. "Misschien weet Twitter dit op te lossen, misschien wordt Twitter een heel andere dienst, maar één ding is zeker, waar gebruikers communiceren, volgen spam en misdaad." TwitBlock wil dan ook voornamelijk gebruikers over fraude en phishingaanvallen onderwijzen. "De gegevens die TwitBlock kan verzamelen terwijl deze junk accounts actief zijn, zijn hopelijk nuttig in de bestrijding van spam in de toekomst, waar het dan ook verschijnt." De dienst hoopt meer inzicht te krijgen in de manier waarop spammers sociale netwerken gebruiken en is van plan om de resultaten te delen.

    Bron: security.nl

  • Facebook heeft een beveiligingslek in de sociale netwerksite gedicht, waardoor aanvallers persoonlijke informatie van afgesloten profielen konden stelen, zoals volledige naam, profiel afbeelding en vriendenlijst. Ook de naam en foto van vrienden waren voor aanvallers toegankelijk en werden verstrekt zonder dat de gebruiker dit door had. Om de aanval uit te voeren moest de aanvaller op een website een HTML IMG tag plaatsen en slachtoffers zover krijgen dat ze die bekeken. Volgens Ronen Zilberman die de kwetsbaarheid ontdekte en aan Facebook rapporteerde, gaat het om een uniek soort CRSF-aanval. Niet alleen veroorzaakt de hacker een actie in naam van de gebruiker, hij ontvangt ook de gestolen informatie via de Facebook applicatie server.

    "De aanval is in zijn uiteindelijke vorm zeer krachtig en verraste mij zelfs", zo merkt Zilberman op. De kwetsbaarheid in kwestie betreft een fout in het Automatische Authenticatie proces. De rest van de aanval is gebaseerd op het normale gedrag van de browser en servers. "Daarom neem ik aan dat deze aanvalsmethode ook op andere sites werkt die persoonlijke informatie verzamelen." Op Facebook is het lek inmiddels gepatcht.


    bron: security.nl

  • Wie geen slachtoffer van drive-by downloads of andere malware aanvallen wil worden, kan beter geen pornosites bezoeken. Virusbestrijder Symantec onderzocht de 100 gevaarlijkste websites op het web en ontdekte dat 48% pornografie bevat. Een ander kenmerk van deze "dirty sites", is de hoeveelheid malware en dreigingen waar ze bezoekers aan blootstellen. Een gemiddelde kwaadaardige website bevat 23 dreigingen. Bij een site uit de Top 100, zijn dit er 18.000. Veertig procent van de websites bevatten zelfs meer dan 20.000 dreigingen per site. Verder bleek dat 75% van de websites al langer dan zes maanden malware distribueert. Volgens de beveiliger is er sprake van een exponentiële groei van het aantal dreigingen. Vorig jaar zouden de meeste consumenten tijdens het surfen besmet zijn geraakt. Een overzicht van een deel van de "dirty sites" is op deze pagina te vinden.

    Bron: security.nl

  • Na zijn hostingprovider, heeft ook telecomprovider AT&T het contract met "meesterhacker" Kevin Mitnick verbroken, omdat hij zoveel aanvallen te verduren krijgt. De accounts van Mitnick, zowel bij HostedHere als AT&T, zijn door de jaren heen meerdere keren door scriptkiddies gehackt geweest. Onlangs lukte het aanvallers om de account informatie van hem te achterhalen en plaatste die op een hackingforum. Het bestond onder andere uit het wachtwoord dat Mitnick gebruikt, de nummers van zijn vaste en mobiele telefoon, factuuradres en de laatste vier nummers van zijn social security nummer. "Ze kunnen mijn account gewoon niet beveiligen", zo laat hij teleurgesteld weten. "In plaats van er iets aan te doen, schieten ze de boodschapper en trappen me van hun netwerk, terwijl het enige dat ik wil, is dat ze mijn account beveiligen, zodat niemand toegang tot mijn belgegevens krijgt." 

    Naast Mitnick werd ook zijn voormalige vriendin regelmatig aangevallen, waarop ze haar online account uitschakelde, maar die was later dan weer ingeschakeld. "Er zijn zoveel manieren om toegang tot deze netwerken te krijgen. Ze moeten enige verantwoordelijkheid nemen, in plaats van de mensen de mond te snoeren die een klacht indienen." Naast teleurgesteld is hij ook verbaasd, aangezien hij maandelijks voor meer dan tweeduizend dollar verbelde. "Je denkt dat ze me zouden vragen hoe deze gasten binnenkomen?, misschien zelfs aanbieden om een account onder een andere naam voor me te openen. In plaats van dat, is het tot ziens voor een klant die meer dan 20.000 dollar per jaar uitgeeft."

    Bron: security.nl

  • Een hacker die vorig jaar al werd aangeklaagd wegens de creditcarddiefstal bij TJX, was ook betrokken bij de aanval op Heartland Payment System, in totaal maakte hij zo'n 230 miljoen creditcardnummers buit. Bij TJX ging het om de gegevens van 94 miljoen kaarthouders, bij Heartland waren het er meer dan 130 miljoen. Ook sloeg Albert “Segvec” Gonzalez toe bij supermarktketen Hannaford en restaurantketen Dave & Busters. De hacker is samen met twee niet nader genoemde Russische handlangers aangeklaagd voor de aanval op Heartland, wat nu te boek staat als de grootste creditcardroof in de geschiedenis. Daarnaast houdt men rekening dat hij bij meerdere aanvallen is betrokken. "We kennen niet veel hackers die in staat zijn dit te doen, maar voornamelijk een selecte groep, wat laat zien dat deze hacks vrij complex zijn", aldus Erez Liebermann, van het Amerikaanse Ministerie van Justitie.

    Eenvoudig
    Volgens beveiligingsexperts Robert Graham is er niets complex aan SQL-injectie. "Het is extreem eenvoudig. Een miljoen tiener-hackers over de hele wereld weten hoe ze via SQL-injectie in een website kunnen inbreken." Graham is van mening dat SQL-injectie zoveel voorkomt omdat de programmeurs van de website denken dat het alleen een "theoretisch" lek is. Iedereen met gemiddelde hacking skills kan dit uitvoeren, aldus de expert. "Omdat deze programmeurs niet in het probleem geloven, komt SQL-injectie nog zoveel voor."

    SQL-injectie
    De 28-jarige Gonzalez en een handlanger genaamd "P.T." vonden hun slachtoffers op een lijst met Fortune 500 bedrijven. Vervolgens verkenden ze de gebruikte betalingssystemen en zochten naar beveiligingslekken. Computers in Nederland, Letland, Oekraïne en Verenigde Staten werden gebruikt voor het opslaan van de malware, het uitvoeren van de aanvallen en het ontvangen van de gestolen creditcardnummers. Via SQL-injectie aanvallen wisten de aanvallers toegang tot het netwerk te krijgen. Daar plaatsten ze de malware die niet alleen de aanwezige virusscanners omzeilde, maar ook zichzelf kon verwijderen.

    Het werkelijke aantal gestolen creditcardnummers ligt waarschijnlijk veel hoger, aangezien twee getroffen ketens een aanval op hun netwerk stil hielden. De financiële schade loopt in de tientallen miljoenen. Opmerkelijk detail is dat Gonzalez ten tijde van de aanvallen als informant voor de Secret Service werkte. Gonzalez hangt een maximale gevangenisstraf van 25 jaar boven het hoofd.
  • De beveiligingsexpert die eerder de ov-chipkaart hackte, wil nu voor het eerst het gsm-netwerk kraken. Dat de encryptiemethodiek voor het gsm-netwerk niet waterdicht is, is al vijftien jaar bekend, maar een exploit is nog nooit gepubliceerd.

    Hacker Karsten Nohl heeft de hulp ingeroepen van tachtig particulieren om de A5/1-encryptie van het gsm-netwerk te kraken. Die tachtig particulieren moeten hun pc laten meewerken om een 'codeboek' van 128 petabyte te maken. In dat codebook staan vertalingen van openbare codes naar geheime sleutels, waarmee gesprekken en sms'jes op het gsm-netwerk onderschept zouden kunnen worden. Nohl liet zijn bevindingen afgelopen weekeinde zien op de hackersconferentie Har2009 in Vierhouten.

    De beveiliging is al vijftien jaar geleden voor het eerst gekraakt, maar de kraakmethodiek kost erg veel rekenkracht en daardoor kunnen in de praktijk alleen geheime diensten gesprekken en sms'jes op het gsm-netwerk afluisteren. Volgens Nohl is het echter nodig om de beveiliging daadwerkelijk te kraken om overheden en bedrijven te laten inzien dat gsm niet veilig genoeg is voor toepassingen als mobiel betalen. De beveiliging van de umts-netwerken is veel beter geregeld. Wie liever niet afgeluisters wil worden, kan dan ook beter via het 3g-netwerk bellen, zegt Nohl, die eerder de beveiliging van de ov-chipkaart kraakte.

    Bron: security.nl

  • Onderzoekers hebben een botnet ontdekt dat via micro-blogging dienst Twitter bestuurd wordt. Via statusberichten krijgen de bots nieuwe URLs om te openen, die vervolgens opdrachten of uitvoerbare bestanden bevatten. Het door Braziliaanse cybercriminelen beheerde botnet, is met name uit op inloggegevens voor internetbankieren, die het dan naar bepaalde websites uploadt. In Brazilië gebruiken de meeste banken nog steeds een gebruikersnaam en wachtwoord. De Twitter bot kwam aan het licht omdat het de RSS feed gebruikt om status updates te krijgen. Het account in kwestie is nog steeds actief, maar wordt door het Twitter Security Team in de gaten gehouden.
  • Cookies van Adobe’s Flash-speler blijken meer informatie op te slaan dan op voorhand werd aangenomen. Bovendien is het leegmaken van de cachebestanden niet zo eenvoudig.

    Volgens een onderzoek van een vijftal Amerikaanse onderzoekers wordt de Flash-speler van Adobe gebruikt voor het verkrijgen van browserinformatie, ook wanneer de beheerder denkt dat hij deze gegevens voldoende heeft afgeschermd.

    Voor websites zelf kunnen cookies handige informatie bevatten, omdat zij daarmee bijvoorbeeld kunnen nagaan op welke advertenties is geklikt en iemand ingelogd houden. Webbrowsers hebben het gebruik van http-cookies tegenwoordig tot een minimum beperkt en de meeste gebruikers wissen de cookies regelmatig. Wat ze vergeten, zijn de cookies van Flash.

  • De populaire blogsoftware Wordpress heeft een zeer belangrijke update uitgebracht, die een kwetsbaarheid verhelpt waardoor een aanvaller vrij eenvoudig het administrator-wachtwoord kon resetten. Wordpress merkt op dat een aanvaller alleen het wachtwoord kon resetten, wat "vervelend" zou zijn. Het zou niet te misbruiken zijn om op afstand Wordpress blogs over te nemen. De onderzoeker die de proof-of-concept code op Full-Disclosure plaatste, merkt op dat een aanvaller via het lek het admin account van elke Wordpress installatie voor versie 2.8.4 kan compromitteren.
  • Automated Web Application Security Testing tools are in the core of modern penetrating testing practices. You cannot rely 100% on the results they produce, without considering seriously their limitations. However, because these tools are so good at picking the low-hanging fruit by employing force and repetition, they still have a place in our arsenal of penetrating testing equipment.

    These tools are not unfamiliar to modern day penetration testers. In fact, there are plenty of them to choose from, ranging from low-grade command line utilities to high-end frameworks. There are plenty of commercial tools as well some of which are a lot better, in terms of features and false-positives rate, when compared to open source alternatives. People often choose what they are more familiar with. I prefer to use tools that are right for the job without discriminating a particular operating system, platform, and style.

  • IK ID CardThe prospective national ID cardwas broken and cloned in 12 minutes, the Daily Mail revealed this morning. The newspaper hired computer expert Adam Laurie to test the security that protects the information embedded in the chip on the card. Using a Nokia mobile phone and a laptop computer, Laurie was able to copy the data on a card that is being issued to foreign nationals in minutes. He then created a cloned card, and with help from another technology expert, changed all the data on the new card.

  • De libraries van verschillende (vooral open source) softwarebouwers vertonen een lek waardoor applicaties die van deze libraries gebruik maken kwetsbaar zijn voor aanvallen.

    Specifiek gaat het om een lek in de XML-parser van libraries van in ieder geval Sun Microsystems, de Apache Software Foundation en de Python Software Foundation. De kwetsbaarheid is opgemerkt door applicatiebeveiliger Codenomicon en het Finse cyberbeveiligingsinstituut van de overheid CERT-FI. Aanvallers kunnen met geprepareerde XML-elementen een Denial of Service uitlokken. Als deze geparsed worden, slaat het systeem op hol en crasht de applicatie.

  • Mozilla heeft de eigen webwinkel moeten sluiten nadat hackers hier wisten in te breken. Hoeveel klanten er getroffen zijn is nog niet bekend, maar om verder misbruik te voorkomen, is store.mozilla.org tijdelijk gesloten. De opensource ontwikkelaar ontdekte dat GatewayCDI, de derde partij die de backend voor de Mozilla Store regelt, gehackt was. Mozilla zou GatewayCDI hebben aangemoedigd om alle betrokken individuen wier gegevens gestolen zijn zo spoedig als mogelijk te informeren.
  • Turkse hackers hebben ongeveer 160 websites gehackt en het hoofd van Geert Wilders met een apenbek op de voorpagina gezet. "Ik ben de grootste aap ter wereld."

    Deze tekst staat te lezen naast het hoofd van Wilders. De foto is zo bewerkt dat Wilders wel herkenbaar is maar ook bijzonder veel gelijkenissen toont met een aap. Hackerscollectief aLpTurkTegin protesteert op deze manier tegen de Nederlandse politicus die zich, in zijn ogen, tegen de islam heeft gekeerd.

    "Onze oorlog tegen diegenen die zijn tegen de echte islam-religie zal zich voortzetten", staat in het Engels te lezen onder de foto. Diezelfde tekst is ook in het Turks te lezen op de gedefacete sites. De hackers noemen zichzelf 'Ottomaans kleinkind'.

  • squirrelmailIn tegenstelling tot wat de ontwikkelaars van het opensource webmail-pakket SquirrelMail beweerden, is tijdens de hack van juni de software wel door aanvallers aangepast. Halverwege juni liet het SquirrelMail team weten dat aanvallers de webserver hadden gehackt, maar dat de broncode en plugins niet in gevaar waren geweest. Nu moet de ontwikkelaar bekennen dat dit niet juist was. Aanvallers wisten de volgende modules de manipuleren: sasql-3.2.0, multilogin-2.4-1.2.9 en change_pass-3.0-1.4.0. De aanpassing zorgde ervoor dat wachtwoorden naar de aanvallers werden doorgestuurd. De modules zijn inmiddels weer te downloaden.


Copyright © 2017. All Rights Reserved.