The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • ipcam3Beveiligingsonderzoekers van het bedrijf Exploiteers hebben een lek gevonden in een Smartcam van Samsung, die een aanvaller het apparaat op afstand laat overnemen. Zij hadden Samung eerder al op de hoogte gesteld van kwetsbaarheden in zijn ip-camera's.

    De kwetsbaarheid is aanwezig in het SNH-1011-model, maar mogelijk ook in andere modellen. De onderzoekers schrijven dat het lek in php-code aanwezig is, waardoor een aanvaller door middel vancommand injection willekeurige code op de camera kan uitvoeren. Hierdoor kan hij het apparaat overnemen en bijvoorbeeld toegang verkrijgen tot de beelden die de camera opneemt. De kwetsbare code is verantwoordelijk voor het updaten van de firmware via de zogenaamde iWatch-dienst. Omdat er geen input sanitation plaatsvindt, kan een aanvaller zelf een bestandsnaam kiezen voor een updatebestand, die kwaadaardige commando's bevat. De webserver voert deze commando's vervolgens uit als root. De onderzoekers melden dat dit niet de eerste keer is dat deze cameralijn van Samsung kwetsbaar blijkt te zijn.

  • ipcam1Onderzoekers hebben in verschillende populaire ip-camera's van D-Link, Netgear en andere fabrikanten kwetsbaarheden gevonden. De test werd door het Duitse testlab AV-Test uitgevoerd. In totaal ging het om acht verschillende ip-camera's. Slechts drie camera's doorstonden de test.

    Bij twee camera's bleek het eenvoudig voor een aanvaller om met de beelden mee te kijken. Voor de test keken de onderzoekers naar lokale opslag, de externe app, beheer van de camera op afstand, versleutelde verbindingen en hoe de camerasoftware afbeeldingen en video's opsloeg. Netgear, MyFox en Logitech scoren op alle onderdelen een voldoende en behalen zo de maximale drie punten.

  • Beveiligingsbedrijf Wordfence maakt melding van een phishingcampagne, die zich al langere tijd richt op Gmail-gebruikers. Deze maakt gebruik van afbeeldingen die eruitzien als bijlagen om het slachtoffer naar een nagebouwde Google-loginpagina te sturen.

    Op die pagina, die er net als een daadwerkelijke Google-pagina uitziet, wordt slachtoffers gevraagd om hun logingegevens in te vullen, schrijft Wordfence. Nadat dit is gebeurd, verkrijgen degenen achter de phishingcampagne snel toegang tot het account, waardoor het lijkt dat dit geautomatiseerd gebeurt of dat er een team klaarstaat. Naast de snelheid waarmee het inloggen plaatsvindt, is de url van de loginpagina opvallend. Deze bevat de tekst accounts.google.com, waardoor het in een oogopslag kan lijken alsof men op de juiste pagina is.

  • hackerOpnieuw lijkt Oekraïne slachtoffer te zijn geworden van een hackaanval op het elektriciteitsnetwerk. Inbrekers zouden net als in 2015 de elektriciteit hebben uitgeschakeld, met als waarschijnlijke doel om hun inbreektechnieken te testen voor een 'echte' aanval.

    Vorige maand werd Oekraïne getroffen door een kortdurende stroomstoring die ongeveer een uur aanhield. Bronnen vertellen aan Motherboard dat het hier niet ging om een technische storing, maar om een aanval op het elektriciteitssysteem. Hackers zouden op een substation in Pivnichna nabij Kiev hebben ingebroken en de systemen offline hebben gehaald. Dat zouden zij hebben gedaan door zogenaamde remote-terminal units uit te zetten. De Oekraïense autoriteiten kondigden eerder al aan een onderzoek in te stellen naar de stroomstoring.

  • magento logoOnderzoekers van Sucuri hebben een ernstige Cross Site Scripting kwetsbaarheid gevonden in Magento. Onder de juiste omstandigheden kan de kwetsbaarheid gebruikt worden om het administrator account over te nemen.

    De kwetsbaarheid is aanwezig in Magento CE versies voor 1.9.2.3 en Magento EE versies voor 1.14.2.3. Magento heeft een CVSS score van 9.3 (Critical) toegekend aan de kwetsbaarheid.

    Hoewel Cross Site Scripting kwetsbaarheden al geruime tijd bekend zijn en zowel op de OWASP als de Certified Secure checklists zijn opgenomen komen ze helaas nog veelvuldig voor.

  • sslHet projectteam achter OpenSSL komt deze week met een patch voor twee kwetsbaarheden, waaronder een in de categorie 'hoog' als het gaat om de ernst van het lek. Dit is een niveau onder 'kritiek'. Het is nog niet duidelijk om welke kwetsbaarheden het precies gaat.

    De versies die de kwetsbaarheden moeten opheffen zijn 1.0.2f en 1.0.1r, deze komen donderdag beschikbaar. Er zijn geen aanvullende details bekend, enkel dat het gaat om twee kwetsbaarheden met de inschatting 'hoog' en 'laag'. OpenSSL hanteert vier niveaus om de ernst van een kwetsbaarheid in te schatten, waarbij 'laag' het laagste niveau is en 'kritiek' het hoogste niveau. Het wordt dan ook aangeraden om een update uit te voeren, als de patch beschikbaar is.

  • Ook ik krijg regematig van die vervelende phishingmail (zie onderstaande e-mail afbeelding). Gelukkig heb ik een goed spam filter maar die werkt niet altijd! Aan de hand van een persoonlijk voorbeeld wil ik uitleggen wat phishing mail is en hoe je kun je misbruik verkomen. De manier waarop internetoplichters je proberen te verleiden om op phishing-links te klikken, wordt steeds vernuftiger! De onderstaande mail is gemeld bij de Rabobank!

    rabo phishingmail

  • linux lekVandaag is er voor Linux een beveiligingsupdate verschenen die een kwetsbaarheid verhelpt waardoor een lokale aanvaller rootrechten op het systeem kan krijgen. De kwetsbaarheid werd ontdekt door beveiligingsbedrijf Perception Point. Volgens de onderzoekers is het beveiligingslek al sinds 2012 in de Linux-kernel aanwezig en zijn naar schatting tientallen miljoenen Linux-pc's en servers en 66% van alle Android-toestellen kwetsbaar.

    Via de kwetsbaarheid kan een aanvaller met verminderde rechten rootrechten op het systeem krijgen. Een proces dat op een vrij snelle computer nog altijd 30 minuten in beslag neemt. Volgens de onderzoekers speelt tijd bij een rechtenlek als dit echter geen rol. Om de kwetsbaarheid uit te buiten moet een aanvaller lokale toegang tot het systeem hebben, of moet er bijvoorbeeld een kwaadaardige app zijn geïnstalleerd.

  • osx gatekeeperBeveiligingsonderzoeker Patrick Wardle stelt dat de OS X-beveiligingssoftware Gatekeeper nog steeds lek is na een recente patch van Apple. Het zou nog steeds mogelijk zijn om kwaadaardige code uit te voeren. Apple zou werken aan een uitgebreide oplossing.

    Wardle, die al eerder een vergelijkbaar lek in Gatekeeper heeft vastgesteld, laat aan Threatpost weten dat de problemen door de meest recente patch nog steeds niet zijn opgelost. In eerste instantie had hij vastgesteld dat Gatekeeper bij installatie van nieuwe programma's alleen het eerste uitvoerbare bestand op een geldig certificaat controleert. Dit zou echter eenvoudig te omzeilen zijn door het eerste bestand een tweede, kwaadaardig bestand te laten uitvoeren. Dit zou vervolgens niet door Gatekeeper opgemerkt worden.

  • opensshBeveiligingsonderzoekers van Qualys hebben een lek vastgesteld in de OpenSSH-client. Deze maakt het voor een aanvaller mogelijk om met een kwaadaardige ssh-server het geheugen van de client uit te lezen, waardoor onder andere beveiligingssleutels uit kunnen lekken.

    De site Undeadly laat weten dat versies 5.4 tot 7.1 van de OpenSSH-client getroffen zijn door de kwetsbaarheid, die het identificatienummer cve-2016-0777 heeft meegekregen. Er is inmiddels een patch beschikbaar in de 7.1p2-release van de software.

  • silverlightEen zero day-lek in Silverlight is vorig jaar gebruikt voor aanvallen op Windowsgebruikers, hoewel Microsoft zegt dat het niet met dergelijke aanvallen bekend is. De kwetsbaarheid werd door het Russische anti-virusbedrijf Kaspersky Lab ontdekt en gisterenavond door Microsoft gepatcht.

    Silverlight is de browserplug-in van Microsoft voor het afspelen van online videocontent. In Security Bulletin MS16-006 stelt Microsoft echter dat het niet met aanvallen op Windowsgebruikers bekend is. Vandaag publiceerde Kaspersky Lab een artikel over hoe het de kwetsbaarheid ontdekte en hoe die bij aanvallen was ingezet. Het begon naar aanleiding van een artikel van Ars Technica over het gehackte Italiaanse bedrijf Hacking Team. Uit de e-mails die van het bedrijf online waren gezet bleek dat een onderzoeker genaamd Vitaliy Toropov een exploit voor een onbekend Silverlight-lek had aangeboden.

  • trendmicro logoEen beveiligingsonderzoeker van Google heeft kritieke kwetsbaarheden in de virusscanner van Trend Micro ontdekt waardoor websites de computer van gebruikers volledig konden overnemen en opgeslagen wachtwoorden in de wachtwoordkluis van Trend Micro konden bekijken.

    Dat heeft Google-onderzoeker Tavis Ormandy zelf via Twitter bekendgemaakt. Ormandy vindt vaker kwetsbaarheden in anti-virusprogramma's, waaronder AVGSophosESETKasperskyLab en Avast. In het geval van Trend Micro had hij slechts 30 seconden nodig om het eerste ernstige beveiligingslek te vinden waardoor een aanvaller de computer kon overnemen. Het probleem zit in de Password Manager, dat onderdeel van Trend Micro Antivirus is. Websites kunnen verzoeken naar de Password Manager sturen die vervolgens op de computer van de gebruiker worden uitgevoerd. Daarbij gebruikte Trend Micro een functie die het uitvoeren van commando's op de computer zeer eenvoudig maakt.

  • fritz!boxEen kritieke kwetsbaarheid in de FRITZ!Box-modemrouter van fabrikant AVM waardoor aanvallers het toestel op afstand konden overnemen is vorig jaar gepatcht, zo is nu bekend geworden. De kwetsbaarheid bevond zich in een service genaamd 'dsl_control'.

    Door verbinding met deze service te maken kon een aanvaller willekeurige code op de modemrouter uitvoeren en rootrechten krijgen. Vervolgens zou het mogelijk zijn om verkeer van gebruikers af te luisteren, telefoonnummers te bellen en eventueel een backdoor te installeren om langere tijd toegang tot het apparaat te behouden, aldus onderzoekers van het beveiligingsbedrijf RedTeam Pentesting.

    De kwetsbaarheid werd vorig jaar februari ontdekt en een maand later aan AVM gerapporteerd. In juli begon AVM met het uitrollen van updates voor de FRITZ!Box. In eerste instantie was het plan om de details over de kwetsbaarheid in november te publiceren, maar dat werd uitgesteld om ervoor te zorgen dat meer modemrouters de nieuwe firmware-update hadden ontvangen waarmee het probleem wordt verholpen.

  • wordpress securityEr is een beveiligingsupdate voor het populaire contentmanagementsysteem (cms) WordPress uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller websites kan overnemen. Het gaat om een cross-site scripting-kwetsbaarheid, zo laten de ontwikkelaars van WordPress weten.

    Het lek werd door een externe beveiligingsonderzoeker via het bugbeloningsprogramma HackerOne aan WordPress gemeld. Verder zijn er 52 niet-security gerelateerde bugs verholpen. Gebruikers krijgen het dringende advies om hun website of websites direct te updaten naar WordPress 4.4.1.

  • ransomwareOnderzoekers hebben de allereerste ransomware voor Windows ontdekt die volledig in JavaScript is gemaakt en met een aantal kleine aanpassingen ook op Mac- en Linuxcomputers kan werken. De ransomware heet Ransom32 en wordt als 'Ransomware as a Service' (Raas) aangeboden.

    Via deze dienst kunnen cybercriminelen eenvoudig een eigen versie van de ransomware downloaden en verspreiden. De makers van Ransom32 geven afnemers het advies om niet al te hoge bedragen voor het ontsleutelen van versleutelde bestanden te vragen, omdat slachtoffers anders niet zullen betalen. Een kwart van het bedrag dat slachtoffers betalen gaat naar de makers. Bij het genereren van een Ransom32-versie kunnen cybercriminelen voor verschillende opties kiezen, zo meldt anti-virusbedrijf Emsisoft, dat de ransomware analyseerde.

  • drone hackingEr zijn meer dan 70 landen die afstandbestuurbare drones bouwen. De meeste van deze drones zijn in staat om zelfstandig beslissingen te nemen. Maar hoe veilig zijn ze nu? Wat is mogelijkheden dat er een backdoor in deze drone aanwezug is? Wat zijn de mogelijkheden om een backdoor op een drone te installeren? Wat zouden de gevolgen zijn als een lek wordt gevonden in een computer die zelf beslissingen kan maken? 

    Volgende maand (feb. 2015) zullen onderzoekers de eerste malware demonstreren die speciaal voor vliegende drones is ontwikkeld. Maldrone, zoals de malware heet, geeft de maker volledige controle over het onbemande vliegtuigje en is voor surveillance te gebruiken. Ook kan een besmette drone andere drones infecteren. 

  • password"123456" was vorig jaar weer het populairste wachtwoord op internet en voert daarmee wederom de lijst aan van slechtste wachtwoorden, zo meldt SplashData. Het bedrijf analyseerde meer dan 3,3 miljoen wachtwoorden, afkomstig uit allerlei gelekte databases en wachtwoordlijsten.

    Sinds 2011 is "123456" het meest aangetroffen wachtwoord, gevolgd door "password". Eenvoudige numerieke wachtwoorden blijven populair, alsmede het wachtwoord "qwerty". Nieuw in de Top 10 waren "baseball", "dragon" en "football". Internetgebruikers krijgen dan ook het advies om voor hun wachtwoord geen sporten, geboortedata, namen en woordenboekwoorden te gebruiken.

  • siriOnderzoekers hebben een manier ontwikkeld waardoor het mogelijk is om gegevens van een besmette gejailbreakte iPhone via de Siri-spraakbesturing te stelen. Als gebruikers met Siri communiceren wordt hun stem tot data verwerkt en dit naar Apple gestuurd, waar de steminvoer naar tekst wordt vertaald.

    Onderzoekers Luca Caviglione en Wojciech Mazurczy hebben een aanval ontwikkeld waarbij Siri wordt gebruikt om een geheim kanaal tussen een besmet apparaat en een botmaster op te zetten zodat die gevoelige gegevens als wachtwoorden, creditcardnummers en Apple ID's kan stelen.

  • pirelli routerEen Spaanse beveiligingsonderzoeker heeft een ernstig lek in de ADSL-routers van fabrikant Pirelli openbaar gemaakt nadat zowel Pirelli als de Spaanse internetprovider Movistar Telefonica de kwetsbaarheid al twee jaar negeren. Eduardo Novella ontdekte dat het mogelijk is om de beheerderpagina's van de router direct via het internet en zonder wachtwoord te benaderen.

    Het enige dat een aanvaller moet weten is de naam van de betreffende beheerderpagina en het IP-adres van de router. Vervolgens kan een aanvaller wachtwoorden van het wifi-netwerk opvragen, DNS-servers aanpassen, poorten openzetten en meer. De onderzoeker ontdekte meer dan 150 HTML-pagina's die direct benaderbaar zijn. Novella rapporteerde het probleem in de Pirelli ADSL2/2+ Wireless Router P.DGA4001N begin 2013 aan Pirelli en Movistar Telefonica, de grootste internetprovider in Spanje. Movistar Telefonica levert de ADSL-routers namelijk aan klanten.

  • DOS attackEen DDoS-dienst die onlangs werd gelanceerd blijkt op duizenden gehackte thuisrouters te draaien. Het gaat om de "Lizard Stresser" van de groep "Lizard Squad". Deze groep voerde tijdens de afgelopen kerst aanvallen op het Sony PlayStation Network en Microsoft Xbox Live uit, waardoor beide netwerken enige tijd onbereikbaar waren. Een aantal dagen na de aanvallen liet de groep weten dat het om een promotiestunt ging, als aankondiging van hun DDoS-dienst.

    Daarmee kunnen mensen tegen betaling DDoS-aanvallen op websites laten uitvoeren. Na de aanvallen werden twee vermeende leden van de groep door de autoriteiten opgepakt.

  • asus routerEen beveiligingsonderzoeker heeft gisterenavond een lek in verschillende routers van fabrikant Asus onthuld waardoor een lokale aanvaller het apparaat volledig kan overnemen en waarvoor nog geen beveiligingsupdate beschikbaar is. De kwetsbaarheid wordt veroorzaakt door een dienst genaamd infosvr die op UDP-poort 9999 op de LAN-interface luistert.

    De dienst wordt door een tool van Asus gebruikt en moet het makkelijker maken om de router in te stellen door automatisch naar routers op het lokale subnet te zoeken. Infosvr blijkt echter het MAC-adres van een verzoek niet goed te controleren. Daardoor kan een aanvaller de authenticatie omzeilen en door het versturen van een pakketje naar UDP-poort 9999 willekeurige opdrachten aan de router geven.

  • kassasysteemDe malware die op de kassasystemen van de Amerikaanse warenhuisketen Neiman Marcus allerlei gegevens van betaalkaarten uit het geheugen wist te kopieren bleef maanden lang verborgen, zo heeft het bedrijf laten weten. Recentelijk waarschuwde het bedrijf dat er malware op de kassa's was ontdekt.

    Over de aanval zijn nu meer details bekend geworden. Zo was de malware op de kassasystemen, een RAM-schraper die betaalkaartgegevens uit het geheugen kopieerde, tussen 16 juli 2013 en oktober 2013 actief en werd pas deze maand ontdekt. In de periode dat de malware actief was is er met 1,1 miljoen betaalkaarten betaald. De RAM-schaper had echter niet alle kassasystemen bij de 42 vestigingen van de warenhuisketen geïnfecteerd. Daarnaast was de malware ook niet altijd actief.

  • androidOnderzoekers hebben malware ontdekt die als eerste Windowscomputers infecteert om vervolgens aangesloten Android-toestellen te besmetten en zo mobiele TAN-codes voor internetbankieren te onderscheppen. Hoe de Windows-malware zich verspreidt laat anti-virusbedrijf Symantec niet weten.

    Eenmaal actief downloadt Trojan.Droidpak, zoals de malware heet, een kwaadaardig APK-bestand en installeert de Android Debug Bridge (ADB). Via ADB wordt vervolgens op elk aangesloten Android-toestel het kwaadaardige APK-bestand geïnstalleerd. Dit bestand zoekt naar de aanwezigheid van een specifieke Koreaanse mobiel bankieren applicatie op het Android-toestel.

  • madcatz logoFirmware-modder Paul O'Brien is erin geslaagd om root-toegang te forceren op de op Android draaiende MOJO-console van Mad Catz. Gebruikers die de hack installeren kunnen naast het draaien van apps die root vereisen ook meer content downloaden in de Play Store.

    De MOJO-console, die een prijskaartje heeft van 250 euro en is gebaseerd op een Tegra 4-soc van Nvidia, is te kraken door gebruik te maken van de zogeheten Superboot-image. Voor de installatie is een standaard usb male a-a-kabel nodig en een pc die op Windows, OS X of Linux draait. Na installatie wordt de su-tool en de superuser-apk geïnstalleerd. De originele MOJO-rom blijft onaangetast, evenals de data-partitie.

    Na installatie van de zogeheten MoDaCo Mod kunnen op de spelconsole Android-apps geopend worden die root-rechten nodig hebben. Daarnaast stelt Paul O'Brien dat zijn mod toegang geeft tot een groter app-aanbod in de Play Store.

  • login-password'123456' was in 2013 het meest gebruikte wachtwoord op het internet, waardoor voor de eerste keer 'password' van de eerste plek werd gestoten. Dat beweert app-ontwikkelaar SplashData, dat al enkele jaren een lijst van meest gebruikte wachtwoorden op het web samenstelt.

    SplashData baseert zich bij het opstellen van de lijst op grote datalekken die in 2013 plaatsvonden, zoals bij Adobe waar de wachtwoorden van miljoenen gebruikers op straat kwamen te liggen. Dat is dan ook een reden dat 'photoshop' en 'adobe123' in het overzicht zijn terug te vinden. Verder wordt de lijst met wachtwoorden gedomineerd door "klassiekers" zoals 'qwerty', 'admin', 'letmein', 'iloveyou' en cijferreeksen als '12345678' en '111111'.

  • TD-W8951ND-smallMeer dan 15,2% van de Algerijnse bevolking maakt gebruik van internet. Het grootste gedeelte wordt verzorgd door Algerie Telecom.

    Ze gebruiken de TP-LINK TD-W8951ND Routers. die ZYXEL  firmware bevatten.

    Abdelli Nassereddine, pentester & Algerijnse Computer Science student heeft 2 lekken in de router openbaar gemaakt. Het gaat hier om een 'unauthorized access' & een 'password disclosure' kwetbaarheid.

    De kwetsbaarheden kunnen eenvoudig kunnen worden uitgebuit.  Dit door een lek in ZYXEL firmware. Hieronder worden de details van de kwetsbaarheden verder uitgelegd.

  • joomla-logoEr is een kwetsbaarheid in het Aclassfb component ontdekt. 

    Explot details:

    • Title : Joomla com_aclassfb File Upload Vulnerability
    • Category : Web Applications
    • Type : PHP
    • Greetz : 0day-id.com | newbie-security.or.id | Borneo Security | Indonesian Security Indonesian Hacker | Indonesian Exploiter | Indonesian Cyber
    • Tested : Mozila, Chrome, Opera -> Windows & Linux
    • Vulnerabillity : File Upload
    • Dork : inurl:com_aclassfb

    File Upload: http://127.0.0.1/index.php?option=com_aclassfb

    Exploit : http://127.0.0.1/index.php?option=com_aclassfb&Itemid=[ID]&ct=[CATEGORY]&md=add_form

  • Target logoDe winkelketen Target heeft in een persbericht laten weten dat er persoonsgegevens van 70 miljoen mensen zijn gestolen. Eerder waren al creditcardgegevens en mogelijk ook pincodes van 40 miljoen klanten buitgemaakt. Het ziet er nu naar uit dat die pincodes online zijn gezet.

    De Amerikaanse winkelketen Target laat in een persbericht weten dat uit het onderzoek naar de aanval uit december blijkt dat de persoonsgegevens van 70 miljoen mensen zijn ontvreemd. Eerder was al duidelijk dat de creditcardgegevens van 40 miljoen mensen waren buitgemaakt. Dit was mogelijk door het infecteren van kassa's met malware. Van de creditcards zijn mogelijk begin januari de versleutelde pincodes op een ondergronds forum geplaatst.

    Bij de buitgemaakte persoonsgegevens gaat het om namen, adressen, telefoonnummers en e-mailadressen. Per klant verschilt de gestolen informatie. Target laat weten dat het contact gaat opnemen met de klanten die geregistreerd staan met een e-mailadres. Het zal dan tips geven over hoe de klanten zich kunnen wapenen tegen oplichters. De tips zijn al op de website van het bedrijf geplaatst.

  • Oracle dicht in een patch die dinsdag uitkomt 36 kwetsbaarheden in Java, waaronder 34 kwetsbaarheden die op afstand zijn te misbruiken en daardoor als ernstig te classificeren zijn. In totaal worden dinsdag 147 kwetsbaarheden in Oracle-producten gedicht.

    java-securityDe 34 Java-kwetsbaarheden die op afstand zijn te misbruiken zijn het ernstigst: die stellen een aanvaller mogelijk in staat om bijvoorbeeld vanuit een webbrowser malware te installeren op de pc van de gebruiker. Het is niet duidelijk bij hoeveel van de kwetsbaarheden dat daadwerkelijk kan. In een van de gevallen gaat het om een kwetsbaarheid waarvan de ernst op een schaal van 1 tot 10 een '10' meekrijgt.

    Oracle geeft elk kwartaal een grote beveiligingspatch uit. In totaal worden 147 bugs geplet in de opkomende patchronde, waarmee het een van Oracles grootste patchrondes tot nu toe is. Naast kwetsbaarheden in Java worden ook beveiligingsproblemen in Solaris, Oracles databasesoftware en Oracle Fusion gedicht.

    Kwetsbaarheden in Java worden vaak gebruikt om malware te installeren. Daarvoor worden kant-en-klare tools gebruikt, zogenoemde exploit kits. Via malafide banners of door een website te hacken wordt de exploit kit aan slachtoffers geserveerd. In het verleden boden meerdere grote Nederlandse websites per abuis exploit kits aan, waaronder NU.nl, NRC.nl en Telegraaf.nl. Onlangs verspreidde het Surinaamse ministerie van financiën malware via bugs in Java.

    Bron: Tweakers.net

  • linksys2Een Franse beveiligingsonderzoeker heeft een backdoor in verschillende routers van Linksys en Netgear ontdekt, waardoor kwaadwillenden zonder inloggegevens toegang tot het beheerderspaneel kunnen krijgen. De backdoor werd door 'reverse engineer' Eloi Vanderbeken ontdekt.

    Het probleem ontstaat doordat bij sommige routers TCP-poort 32764 open staat. Door het sturen van een specifiek request naar deze poort kan een aanvaller direct toegang tot het beheerderspaneel krijgen. Daarbij maakt het niet uit of de eigenaar van de router een wachtwoord heeft ingesteld. Via het beheerderspaneel kan een aanvaller allerlei zaken aanpassen, zoals de servers waar het verkeer van de gebruiker langs loopt.

    Vanderbeken stelt dat de backdoor in de Linksys WAG200G, Netgear DM111Pv2 en Linksys WAG320N aanwezig is. Mogelijk zouden ook NetGear DG934, DG834, DG834G, WPNT834, WG602, WGR614, DGN2000, WAG120N, WAG160N en WRVS4400N kwetsbaar zijn. Wat gebruikers kunnen doen om zich te beschermen laat de onderzoeker niet weten.

    Bron: Security.nl

    Update 6-1-2014:

    Met behulp van een Python script kan de explot worden uitgevoerd. Deze kan op Github worden gedownload.

    Om deze aanval uit te voeren, moet de aanvaller onderdeel van het netwerk zijn. Met een Shodan scan zijn er meer dan 2000 kwetsbare routers beschikbaar op het internet Search-1 & Search-2.


    Update 11-1-2014:
    Cisco heeft een waarschuwing afgegeven voor een backdoor in twee type routers en een accesspoint.  De 'ongedocumenteerde testinterface', zoals Cisco het noemt, bevindt zich in de WRVS4400N Wireless-N en de RVS4000 4-port Gigabit Security Routers en het WAP4410N Wireless-N Access Point.

  • snapchatHackers hebben een database met naar eigen zeggen telefoongegevens van 4,6 miljoen Snapchat-gebruikers online gezet. Het was al tijden bekend dat de telefoonnummers van Snapchat-gebruikers te achterhalen waren, maar de dienst ondernam lange tijd geen actie.

    De database werd online gezet via de site SnapchatDB.info. Volgens de makers van de site gaat het om gebruikersnamen en telefoonnummers van 4,6 miljoen gebruikers, die verkregen zijn via een exploit die recent gedicht is. "Het bedrijf was onwillig om het te patchen totdat ze wist dat het te laat was", aldus de hackers, die verklaren dat de publicatie bedoeld is om het publiek bewust te maken van beveiligingsrisico's.

    De laatste twee cijfers van de telefoonnummers zijn onleesbaar gemaakt 'om spam en misbruik tegen te gaan', maar de hackers tonen zich bereid deze vrij te geven. Volgens hen zijn de nummers ook te relateren aan Facebook- en Twitter-accounts omdat mensen vaak dezelfde gebruikersnaam hanteren.

    Snapchat werd naar verluidt al maanden geleden op de hoogte gebracht van de exploit, maar reageerde daar niet op. Op 27 december maakte de dienst alsnog bekend maatregelen genomen te hebben en Snapchat wees toen zelf al op de mogelijkheid dat een database met gebruikersnamen en telefoonnummers kon worden samengesteld. Details over de maatregelen gaf de dienst niet.

  • boardroom2Inleiding
    Samengevat is een groot deel van video-conferencing apparatuur die is aangesloten op het internet zonder firewall en geconfigureerd om automatisch inkomende video-oproepen te accepteren. Hierdoor kan een indringer op afstand zowel audio-als video-informatie monitoren, vaak met weinig tot geen notificatie van het doel. 

    Uit onderzoek onder ongeveer 3% van het adresseerbare internet en richt zich op apparatuur die het H.323-protocol support. Van de 250.000 genoemde systemen, zijn er net iets minder dan 5000 geconfigureerd tot het automatisch ontvangen van inkomende gesprekken. Er zijn naar schatting 150.000 van deze 'open' systemen op het internet. Dit is exclusief de honderdduizenden video-conferencing systemen van grote bedrijven die blootgesteld zijn in de interne netwerken!

    H.323 Discovery
    Alle uitgebrachte Metasploit versies bevatten een scan module om snel H.323 ondersteunende systemen (met automatische binnenkomende oproepen) te indentificeren. Deze module is opgenomen in de standaard 'discovery' modus van Metasploit Pro (gratis trial) en kan gebruikt worden om snel  een groot netwerk op kwetsbare systemen te scannen. Dit proces werkt ook voor de gratis Metasploit Community Edition. Het proces om met Metasploit Pro H.323-apparaten te ontdekken staat hieronder beschreven:

    1. Login to the web interface on https://metasploit:3790/
    2. Create a new Project
    3. Choose the Scan option
    4. Expand "Advanced Options" and enter "1720" into the Custom TCP Ports parameter
    5. Uncheck UDP and SNMP discovery options to increase scanning speed
    6. Launch the Scan task
    7. Once complete, browse to Analysis -> Services
    8. Enter "h323" into the Search box on the upper right

    If you have already used the Scan component with the default settings, after applying any update in the last month, you should already have results available. Any device that accepted an incoming call should be identified by a minimum of protocol version and Vendor ID. Most devices will return the Product ID and DisplayName (Caller ID).


    mspro

    H.323 Clients
    Om een geïdentificeerde dienst te valideren, is een een H.323-compatibele client nodig. Denk bierbij aan  NetMeeting (Windows XP), Ekiga (cross-platform, maar buggy), Mirial Softphone (commercieel), of ClearSea In the Cloud (alleen in staat omaan het internet blootgestelde apparaten te scannen). Voor de interne systemen, is NetMeeting op een virtuele XP machine de meest betrouwbare H.323-client. Deze  mist wel de Pan-Tilt-Zoom (PTZ) en keypad controle van een meer geavanceerde client zoals Mirial of ClearSea In de Cloud.

    T_Ekiga_in_a_Call
    Conclusie

    Video conferencing systemen zijn een van de meest gevaarlijke, maar tevens ook de minst bekende security risico's. De populariteit van video-conferencing systemen neemt alleen maar toe, waardoor industriële spionage eenvoudig wordt gemaakt. Hoewel veel leveranciers beperkte veiligheidsmaatregelen bieden, hebben deze de neiging om genegeerd te worden in de echte wereld, door zowel IT-personeel als security auditors.  

    Lees meer... Rapid7.com

  • xbox-720De opvolger van de Xbox 360 krijgt naar verluidt een gpu die gebaseerd is op AMD's Radeon HD 6670. De machine moet zes keer zo krachtig worden als de Xbox 360 en zou in oktober of november van 2013 in de schappen moeten liggen.

    Dat meldt IGN op basis van bronnen die kennis hebben van Microsofts komende console. Eerder gingen geruchten dat Microsoft voor een gpu uit AMD's HD 7000-serie zou kiezen, maar volgens IGN is dat niet het geval. In augustus van dit jaar zouden de definitieve developmentkits naar ontwikkelaars verstuurd worden, waarna de console zelf eind 2013 moet uitkomen.

    De HD 6670 is een midrange-kaart die in februari 2011 op de markt kwam en die gebruikmaakt van een Turks-gpu, gebaseerd op AMD's vliw5-architectuur. De desktopvariant heeft een kloksnelheid van 800MHz en kan gddr5-videogeheugen aansturen op 4000MHz. De videokaart ondersteunt DirectX 11, 3d-output en 1080p-uitvoer. Voor de processor zou Microsoft opnieuw in zee gaan met IBM en zijn PowerPC-ontwerp, al gaan er ook geruchten dat de nieuwe Xbox de ARM-architectuur gaat gebruiken.

    Mocht deze gpu inderdaad zijn weg naar de nieuwe Xbox vinden, dan wordt hij waarschijnlijk nog aangepast. Gezien de verwachte releasedatum in 2013 zal de chip waarschijnlijk niet meer op het 40nm-procedé gefabriceerd worden, zoals met de desktopversie het geval is, maar op een 28nm-procedé. Hiermee kan het maximale tdp, dat voor de desktopvariant op 66W ligt, flink worden verlaagd.

    Hoewel de HD 6670 voor pc's een midrange-kaart is, kunnen spelontwikkelaars uit een vergelijkbare chip in de nieuwe Xbox behoorlijk wat prestaties halen. Bij consoles is er in de regel namelijk minder overhead en omdat ontwikkelaars voor een specfieke chip schrijven, kunnen ze hun code beter optimaliseren.

    bron: tweakers.net 

  • Uniblue DriverScanner 2012,  kost normaal gesproken 24,95 euro. Nu kun je hem gratis downloaden met onderstaande methode.

    Uniblue DriverScanner 2012 is een hele handige driver beheer applicatie die altijd uw systeem bijwerkt met de nieuwste drivers. Het programma scant uw systeem voor geïnstalleerde stuurprogramma's, en controleert dan de nieuwste versie van deze drivers op de internet . 

    ds-overview

    Uniblue DriverScanner 2012 kan controleren en updaten van allerlei drivers die nodig zijn, inclusief display, geluid, processor, chipset, USB, harde schijven, en game-controller drivers.  In aanvulling op het bijwerken van stuurprogramma, kan DriverScanner ook back-up maken en drivers herstellen- dit kan erg handig zijn als je het opnieuw windows gaat installeren.

    Ook dit aanbod is voor het Verenigd Koninkrijk alleen zo moeten gaan door de proxy. En zijn waarde voor de Uniblue DriverScanner 2012 Volg de onderstaande stappen om gratis Uniblue DriverScanner 2012 grijpen
    1. Klik hier om Britse proxy te bezoeken
    2. Kopieer link naar de promo pagina te bezoeken - http : / / mag.uniblue.com / computershopper / ds / index.html
    3. Vul uw gegevens in en klik op de "Haal je GRATIS product" knop.
    4. Volg de activering instructies in de e-mail naar Uniblue DriverScanner 2012 te openen
  • windows-gat

    Een zero-day gat in Windows laat malafide dll-bestanden draaien met systeemrechten. Daarvoor is wel eerst kraken van de MD5-hash voor de legitieme dll nodig, wat niet voor gewone krakers is weggelegd.

    Het lek is ontdekt door de Argentijnse serurity-researcher Cesar Cerrudo en zit alleen in Windows 7 en Windows Server 2008. Volgens hem gaat het om een 'elevation of privileges'-probleem, waardoor een kwaadwillende hogere rechten kan verkrijgen. Een gewone gebruiker kan namelijk code draaien die vervolgens wordt uitgevoerd op het hogere rechtenniveau van het systeemaccount.

    DLL-kaping tijdens installatie

    Tijdens de installatie van een nieuw programma wordt een tijdelijk dll-bestand aangemaakt in de temp-submap van Windows Installer. Bestanden in die installer-map worden standaard uitgevoerd met privileges van het systeemaccount. Doorgaans is dit geen probleem omdat de bestanden in de hoofdmap horen bij reeds geïnstalleerde applicaties.

    Een aanvaller kan hier echter misbruik van maken door het legitieme dll-bestand te vervangen door een nieuwe met ingebouwde aanvalscode. De MD5-hash van het legitieme bestand moet dan wel worden gekraakt, omdat de Windows Installer het bestand aan de hand daarvan controleert.

    Vooral voor inlichtingendiensten

    Het praktische probleem voor kwaadwillenden is vooral het gebruik van MD5 bij die controle. Deze encryptietechniek wordt al een aantal jaren niet meer als veilig beschouwd: het kan gekraakt worden. Daarvoor zijn wel krachtige computers nodig, of gecombineerde opstellingen met multicore videokaarten.

    Het ontdekte beveiligingsgat is dus niet makkelijk uit te buiten. De ontdekker verwacht hierdoor niet dat er snel een exploit zal komen. Hij ziet eerder voor zich dat inlichtingendiensten er misbruik van zullen maken. "Inlichtingendiensten, die bekend staan om hun crack-technologie en -kracht, zouden hiermee een zero-day exploit kunnen maken voor Windows", zegt Cerrudo.

    'In 2005 al verbannen'

    Cerrudo vraagt zich verder nog hardop af waarom Microsoft MD5 nog gebruikt voor deze controle. Het gebruik van MD5 zou volgens hem in 2005 al zijn verbannen in Microsofts Software Development Lifecycle (SDL). De SDL is een vast onderdeel in het ontwikkelproces bij Microsoft, bedoeld om softwarelekken te verminderen.

    "Er zou controle moeten zijn geweest op het bouwen van deze onderdelen, of deze componenten zijn gebouwd zonder aan de richtlijnen te voldoen", schrijft Cerrudo. Hij vermoedt dus opzettelijke omzeiling van Microsofts eigen regels voor veilige softwareontwikkeling.

    De ontdekker toont in enkele YouTube-filmpjes hoe het 0-day lek valt te misbruiken. Hier valt te zien hoe een installer start met lage rechten, maar hoe het MsiExec.exe-proces vervolgens draait met systeemrechten:

    Bron: Webwereld.nl

  • WhatsApp-logoWhatsApp blijkt een bug die het mogelijk maakt om de status van een andere gebruiker te veranderen, niet te hebben opgelost. Een hacker heeft een Windows-tool vrijgegeven waarmee de status van elke gebruiker kan worden aangepast.

    Vrijdag schreef Tweakers.net over een kwetsbaarheid in het WhatsApp-protocol die het mogelijk maakte om van elke andere gebruiker de WhatsApp-status aan te passen. Een hacker demonstreerde de kwetsbaarheid op een website, WhatsAppStatus.net, waarop een bezoeker enkel iemands telefoonnummer hoefde in te voeren om de status te wijzigen. Het ging om de status die wordt getoond in de lijst met contactpersonen.

    WhatsApp beloofde de kwetsbaarheid te dichten en voorkwam dat gebruikers de exploit van WhatsAppStatus.net nog konden gebruiken. Afgelopen maandag bezweerde een woordvoerder van de chatapplicatie dat het probleem definitief was opgelost. Niets blijkt minder waar; de kwetsbaarheid is nog steeds aanwezig en de hacker heeft een nieuwe tool vrijgegeven die dat bewijst.

    "Ze hebben enkel onze website-ip geblokkeerd", zo is te lezen op de site. Daarom hebben de hackers een tool voor Windows vrijgegeven die precies hetzelfde doet. De applicatie blijkt inderdaad te werken; de WhatsApp-status van anderen wordt naar wens aangepast, hoewel een gebruiker WhatsApp moet afsluiten en opnieuw moet starten om de nieuwe update te zien.

    Het programma is op eigen verantwoordelijkheid te gebruiken, waarschuwt de hacker, maar hij belooft dat hij geen gegevens opslaat en dat er geen spyware in de executable zit. De applicatie bevat volgens 43 virusscanners inderdaad geen malware.

    Eerder ontdekte een lezer van Tweakers.net dat WhatsApp berichten onversleuteld opslaat. Kort daarvoor maakte een fout in de sms-verificatie van WhatsApp het mogelijk om berichten van anderen te lezen.

    whatsapp-security-leak

    Bron: Tweakers.net

  • windows_patchEr is een exploit voor een net gepatcht beveiligingslek in Windows verschenen, waarmee aanvallers vrij eenvoudig webservers uit de lucht kunnen halen. Het gaat om de hash collission Denial of Service-kwetsbaarheid in ASP.NET. Door het sturen van een speciaal geprepareerde HTTP request, die kleiner dan 100kb is, kan een aanvaller de processor honderd procent belasten. Vanwege de ernst van het probleem besloot Microsoft net voor het einde van het jaar een noodpatch uit te brengen. 

    De exploit werd op de Full-disclosure mailinglist gepubliceerd en is via Github te downloaden. "get it. use it. spread it. We are Legion. Expect us", aldus "HybrisDisaster", de auteur van de exploit. Hij stelt dat mensen de exploit, die van eenvoudig uit te voeren instructies is voorzien, naar eigen inzicht moeten gebruiken.

    bron: security.nl

  • DOS-attackEen onderzoeker heeft een nieuwe methode ontdekt om met een enkele computer een succesvolle denial of service-aanval op een server uit te voeren. Normaal gesproken is de bandbreedte van aanzienlijk meer pc's nodig voor een aanval.

    De onderzoeker, Sergey Shekyan van Qualsys Security Labs, heeft inmiddels een proof of concept ontwikkeld dat gebruikt zou kunnen worden om vanaf één computer een server plat te leggen. Bovendien, zo stelt de onderzoeker, is de kans om ontdekt te worden tijdens de aanval erg klein.

    Shekyan noemt zijn aanvalsmethode de Slow Read-aanval en heeft eerder deze week de werking ervan uit de doeken gedaan. Door misbruik te maken van een eerder ontdekte kwetsbaarheid in het tcp-protocol kan een aanvaller zelf invloed uitoefenen op de snelheid waarmee een server de gegevens probeert af te leveren. Tijdens dit proces controleert de server echter ook continue of het systeem van de ontvanger, in dit geval dus de aanvaller, al klaar is om meer data te ontvangen. Hierdoor loopt het geheugen van de server vol met data die nog verzonden moet worden, waardoor er uiteindelijk geen resources meer beschikbaar zouden kunnen zijn om legitieme bezoekers toegang tot de site te geven.

    Om de aanval succes te kunnen uitvoeren is het volgens Shekyan nodig om de send buffer size van de server te weten omdat tcp deze waarde niet zelf vrijgeeft. Voor de meeste servers staat dit echter ingesteld op een standaardwaarde tussen de 65Kb en 128Kb. Ook moet de response van de server groter zijn dan die send buffer size, wat volgens de onderzoeker met de hedendaagse omvang van webpagina's niet echt een probleem zal zijn.

    In potentie kan de ontdekking van de onderzoeker verstrekkende gevolgen hebben. Hoewel er voor zover bekend nog geen tools zijn die deze manier misbruiken om servers aan te vallen, is de kans dat deze ontwikkeld zullen worden groot.

    De aanvalsmethode werkt in ieder geval op standaardconfiguraties van Apache, nginx, lighttpd en IIS 7.5. Echt goede verdedigingsmechanismen zijn er volgens Shekyan niet, anders dan niet zomaar persistent connections en http-pipelining toe te staan op de server en de absolute connection lifetime te beperken tot een realistische waarde.

    Bron: tweakers.net

  • Microsoft waarschuwt Windows-gebruikers voor een nieuw beveiligingslek waardoor aanvallers vertrouwelijke informatie kunnen stelen.

    Microsoft waarschuwt Windows-gebruikers voor een nieuw beveiligingslek waardoor aanvallers vertrouwelijke informatie kunnen stelen. De kwetsbaarheid is in alle ondersteunde Windows-versies aanwezig en wordt veroorzaakt door een fout in de MHTML (MIME Encapsulation of Aggregate HTML) protocol handler. Deze handler wordt door applicaties gebruikt om verschillende soorten documenten te renderen.

    De gevolgen van het lek zijn gelijk aan dat van server-side cross-site-scripting (XSS). Een aanvaller zou een HTML-link kunnen maken die een kwaadaardig script aanroept. Als het slachtoffer de link opent, draait het kwaadaardige script op zijn computer en tijdens de rest van de browsersessie. Het script zou gebruikersgegevens kunnen stelen, zoals e-mail, of weergegeven content in de browser kunnen manipuleren

    Oplossing
    De exploit voor de kwetsbaarheid is al online verschenen, maar volgens Microsoft wordt het lek niet actief in het wild misbruikt. Als oplossing krijgen gebruikers het advies om het MHTML protocol af te schermen. Ook is er een Fix-it oplossing die dit via één muisklik regelt. Het nadeel van deze tijdelijke oplossing is dat ActiveX of Active Scripting niet meer werken.

    Microsoft benadrukt dat Internet Explorer een aanvalsvector is, maar dat het lek in Windows aanwezig is. "De versie van IE doet niet ter zake", zegt Dave Ross van Microsofts Security Research & Defense.

    Bron: security.nl

  • Mausezahn is a free fast traffic generator written in C which allows you to send nearly every possible and impossible packet. It is mainly used to test VoIP or multicast networks but also for security audits to check whether your systems are hardened enough for specific attacks. Mausezahn can be used for example: As traffic [...]

    Read the full post at darknet.org.uk

    image
    image

  • Via nieuwe software is het mogelijk om thuis met gekraakte OV-chipkaarten in te checken, zonder dat het misbruik in de centrale systemen wordt gedetecteerd.

    Via nieuwe software is het mogelijk om thuis met gekraakte OV-chipkaarten in te checken, zonder dat het misbruik in de centrale systemen wordt gedetecteerd. Daarover bericht Webwereld, dat met hulp van hackers 'atdt112' en 'LogicAnalyz3r' software in handen kreeg om zelf de check-in te regelen. Daardoor is er geen registratie meer bij een poortje nodig en wordt de fraude niet opgemerkt.

    Gebruikers kunnen via hun pc aangeven op welk station men wil 'inchecken', gevolgd door datum en tijd voor de treinreis. Die informatie wordt op de kaart gezet en bij een controle aan de conducteur getoond. Aangezien paal of poortje worden omzeild, mist Translink Systems de informatie om fraude te kunnen detecteren. Ook hoeft er geen saldo aanwezig te zijn, omdat voor deze vorm van reizen met de OV-chipkaart geen administratie meer wordt gevoerd.

    De incheck-tools bestaan op het moment alleen voor Windows en zouden zeer gebruiksvriendelijk zijn. Financieel directeur van TLS liet gisteren in Nieuwsuur nog weten dat frauderen met de OV-chipkaart niet mag. "Het is verboden dus waarom zou iemand dat doen?"

    Wij willen u niet stimuleren gebruik te maken van de mogelijkheid uw OVchipkaart te manipuleren, echter wij maken u er op attent hoe eenvoudig het is om met uw Ovchipkaart gratis te kunnen reizen. Wij zijn niet verantwoordelijk voor de software nog voor enige schade opgelopen door het gebruik hiervan", aldus de makers.

    Bron: security.nl

  • Mantra is a dream that came true. It is a collection of free and open source tools integrated into a web browser, which can become handy for students, penetration testers, web application developers, security professionals etc. It is portable, ready-to-run, compact and follows the true spirit of free and open source software. Mantra is a [...]

    Read the full post at darknet.org.uk

    image
    image

  • Google is considered to be a powerful search engine that helps millions of users to find fast & easy useful webpages. Nevertheless Google Search can also be a handy toolin the hands of malicious users, spammers & hackers.

     In this article we will describe few tricks that can be used in Google Search in order to easily find and access pages that normally should be protected. At the end of the article we will discuss how webmasters can protect their sites from such attacks.

    Important Notice: The purpose of this article is to inform webmasters about the risks they face and help them secure their websites. If you use this article’s content for anything other than educational purposes, the author of this site is not responsible for your actions or anything as a result of your actions.

    How to Access Member Only Areas

    Lots of forums allow access in some or all of their threads only to their members. Others do not disclose to unregistered users important parts of the page such as links and images.

    Nevertheless, in some cases the webmasters of those forums allow Google to index the secured pages in order to appear in the search results and increase their SE traffic.

    by Google you can overcome this limitation by using the “cache:” operator. What you need to do is search on Google for the following term cache:Locked_URL. Example: cache:http://www.example.com/some_locked_thread.php?id=2323

    If the cache operator is not available try searching for the URL address. If it is a non HTML file you can also try the View as HTML or the Quick View Google features.

    How to Access and Download restricted files

    There are cases where PDF, DOC or similar files are accessible only to members and paid users. Nevertheless it is very easy to overcome this limitation if you are aware of a small sentence of the document and by finding an unprotected version of the file elsewhere.

    Try searching for this small sentence on Google by including it in double quotes. Example: “and as a result the SEO is the”

    The less important this sentence is, the more targeted the results will be and thus the better for you. Generally you should avoid searching for Titles because they are used more often as a reference by irrelevant pages.

    In case that you know only the title of the document you can search for it by using the intitle and the filetype operators. Example:

    intitle:”The PageRank Citation Ranking” filetype:pdf

    If you don’t find right away the unprotected version then you can use the text that appears in the snippets as a small sentence. If the sentence is not long enough try guessing keywords and phrases that appear in the text in order to get a more descriptive snippet.

    How to Access Unprotected Internet webcams

    If a webcam is not configured properly it can be accessed via web by everyone without using username and password. The worst case scenario is not only to have it unprotected but also to be indexed in Google. If this is the case, by using particular search queries you can find those pages and spy on their owners. Here are some example queries:

    intitle:”Live View / – AXIS” | inurl:view/view.shtml^

    inurl:/view.shtml

    If you are interested there is a great article called “Hack to Search and View Free Live Webcam with Google Search” where you can read more about this topic.

    How to protect your website and your privacy

    There is a very basic and easy to remember rule that can help you protect your website and your privacy from such attacks. Make sure you block from Google all the content that should not be indexed. Also make sure you restrict the pages by using username and password. This can be done easily by using your .htaccess file or by protecting the member area with a PHP or a similar script.

    Make sure you restrict the access and the direct downloads of sensitive files. My suggestion is to store them in a folder that is not accessed via web or in a DB and then by using a PHP or other script decide whether you are going to allow access to the file or not.

    Some basic security tips:

    • Ensure that you secure the webcams by making authentication required.
    • Don’t place on the web sensitive information.
    • Use strong passwords and change them regularly.
    • Remember to update your servers and patch your software regularly.

    Source: webseoanalytics.com

  • IP-CAMIn de laatste paar decennia zijn we zo gewend geraakt aan het idee dat alles wordt bekeken en opgenomen - in winkels, op straat, etc.  - We hebben vaak niet eens meer door dat er camera's hangen.

    Het is goed om bewust te zijn van de gevolgen vanonbeveiligde bewakingssystemen.
    Vroeger was het zo dat de bewakingssystemen bestond uit analoge camera's, die fysiek waren aangesloten op een centraal registratiesysteem. Door de komst van de ip-camera's maakt dit veel goedkoper en minder tijdrovend!

     Dus, als een goedkoper en gemakkelijker alternatief voor hun analoge tegenhangers, zijn de IP-camera's is het winnen van marktaandeel in een snel tempo en zal waarschijnlijk blijven doen in de toekomst.

    Maar het belangrijkste probleem dat nog moet worden aangepakt is die van veiligheid. Analoge bewakingssystemen waren moeilijk te hacken door mensen die niet over de voldoende kennis/middelen beschikt. In tegenstelling tot IP-camera's die  heel gemakkelijk in real-time bekeken in real-time door iedereen (met een minimum aan computerkennis) kan worden bekeken.

    Camera namen en modelnummers gepaard met specifieke zoekopdrachten zoals "intitle", "inurl", "intext," etc, leveren intressante links naar Ip-camera pagina's op. Zoek combinaties zoals "intext: 'MOBOTIX M10' intext: 'Open Menu" en "intitle:" Live View / - 206m AXIS " zijn effectief gebleken.

    Er zijn hele online gemeenschappen van mensen die geïnteresseerd zijn in het vinden van onbeveiligde IP-camera's en bij het bespreken van hun belang op forums. Ze zijn ook bekend om grote lijsten van zoekstrings bieden dat het werk op Google Search en ze zijn er voor het oprapen voor al die mensen die niet weten waar te beginnen.

    Bron: Artstechnica.com

  • The open source home theater software XBMC has made the jump from the desktop to both the Apple TV and Apple's mobile devices running iOS. Getting XBMC to work on iOS required hacking into some private Apple APIs, though, so don't expect it to be available via the App Store anytime soon.

    Scott Davilla, accomplished Apple TV hacker and lead developer of XBMC for Mac OS X, told TUAW that enabling XBMC to run on iOS hinged on the discovery of a hardware decode API called VideoToolBox by GStreamer developer Ole André Vadla Ravnås.

    "It's the API Apple 'should' have exposed instead of VDADecoder," Davilla explained. Also known as the Video Decode Acceleration Framework, it has been an official developer API since Mac OS X 10.6.3. However, "VDADecoder is just a thin wrapper around the VideoToolBox API," Davilla said.

    "This API is going to blow wide open the video decode and encode ability on ATV2, iOS and OS X apps," Davilla told TUAW. "It is a private framework API and the usual warnings about using private frameworks apply. However, given that the API has been stable back to 10.5, it's not going to be changed very much by Apple."

    The discovery of the private API suggests Apple has been using it for some time on both Mac OS X and iOS to power hardware-based decoding. The VDADecoder framework is limited to working with H.264 decode hardware on certain NVIDIA GPUs, while it appears that the underlying VideoToolBox can work with a wider variety of hardware, including Apple's A4 mobile processor.

    The current iOS implementation of XBMC is available from a Cydia-compatible server for iPhones, iPads, and iPod touches, and via an apt-get package for the second-gen Apple TV. It's worth noting, though, that the current user interface is still not optimized for touchscreens, something Davilla said is a top priority now that the main codebase has been ported and is functional.

    As noted above, you shouldn't expect an Apple-blessed version to appear via the App Store in the near future. One reason is the use of the private VideoToolBox APIs would get XBMC rejected instantly, so the code would have to be refactored to try and work around whatever limitations exist in VDADecoder. There is also no App Store for Apple TV apps yet—and there may never be an official one. Finally, Davilla suggests that most of the users who would want to install XBMC on an Apple TV or iOS device would likely be jailbroken anyway.

    "We are not sure it's worth the effort" to develop XBMC for the App Store, Davilla said.

    Source: Artsmenia.com

  • Windows systemen worden steeds veiliger, waardoor cybercriminelen steeds vaker voor smartphones kiezen, zo beweert Cisco. "Er is een 'tipping point' bereikt. Computerfabrikanten brengen betere beveiliging in hun producten aan, en ze zijn sneller dan ooit met het bieden van updates en het waarschuwen van gebruikers voor potentiële lekken", zo staat in het jaaroverzicht van de netwerkgigant.

    Eerder liet het Deense beveiligingsbedrijf Secunia nog weten dat er het nodige misgaat met het updaten. Daarnaast blijken veel eindgebruikers zeer traag of helemaal geen updates te installeren. Cisco is een andere mening toegedaan. "Het kost criminelen steeds meer tijd en middelen om platformen te misbruiken die eerder nog lucratief waren, met name Microsoft Windows."

    Beren
    Volgens Cisco beveiligingsonderzoeker Patrick Peterson is het Windows besturingssysteem in een veel betere conditie dan voorheen. Hij vergelijkt cybercriminelen met beren die lange tijd zich aan Windows machines tegoed hebben gedaan. "Windows was de langzaamste wandelaar in het bos, maar nu wordt het systeem lastiger voor de beren om te pakken, dus zijn andere platformen ook in gevaar."

    Apple's iOS en Mac OS alsmede Google Android OS noemt Peterson wandelaars die de beren lange tijd genegeerd hebben, "maar nu zien deze platformen er een stuk smaakvoller uit." De genoemde bedrijven hoeven volgens Peterson niet sneller dan de beren te zijn, alleen sneller dan de langzaamste wandelaar. Volgens Cisco zullen Android en Apple's besturingssystemen zeker een doelwit dit jaar zijn.

    Bron: security.nl

  • Een nog onbekend persoon heeft meerdere keren ingebroken op de laptop van zeilmeisje Laura Dekker.

    Een nog onbekend persoon heeft meerdere keren ingebroken op de laptop van zeilmeisje Laura Dekker. In sommige gevallen zou daardoor de laptop zijn gecrasht en zich in zo'n staat bevinden, dat die niet meer te repareren is, zo laat het 'walteam' van Laura op het weblog van de zeilster weten. "De computers van Laura en haar vader worden regelmatig gehackt waardoor ze volledig crashen. Dit ondanks het feit dat de laptops beveiligd zijn met alle gangbare beveiligingssystemen."

    De ellende zou vooral tijdens vertrek van - en aankomst van Laura op de diverse eilanden plaatsvinden. De "hacker" zou dan "heel actief" zijn. De aanvallen zouden zo hevig zijn, dat een deskundige de laptop niet meer kan opknappen. De enige oplossing zou dan het aanschaffen van een nieuwe laptop zijn. "Vanzelfsprekend is dit een aanslag op hun portemonnee."

    Deskundige
    Volgens het walteam kan Laura door de aanvallen geen contact via internet onderhouden. Daarnaast is het zeilmeisje voor schoolwerk geheel afhankelijk van internet. "Laura heeft met kerstmis in St. Maarten een prachtige nieuwe laptop gekregen. Ze was daar zo blij mee. Na twee dagen is hij alweer gecrasht!!!!!"

    Het walteam vraagt zich af of degene die alle ellende zou veroorzaken wel aan de veiligheid van Laura denkt. "Wie schept er behagen om de reis van Laura zo te bemoeilijken? VIA DEZE WEG VRAGEN WE DEZE HACKER(s), NAMENS LAURA EN HAAR familie, MET DEZE PERVERSE BEZIGHEDEN TE STOPPEN." Daarnaast wordt er ook een oproep aan een computerdeskundige gedaan die wil helpen om de laptops van Laura en haar vader beter te beveiligen of eventueel de hacker op te sporen.

    Update 14:30
    Certified Secure heeft inmiddels het walteam, Laura en haar vader een beveiligingscursus aangeboden zodat ze hun laptop kunnen beveiligen.

    Bron: security.nl

  • Gebruikers van Windows Live Essentials op Windows XP of van een versie voor 2011, moeten een beveiligingsupdate installeren.

    Gebruikers van Windows Live Essentials op Windows XP of van een versie voor 2011, moeten een beveiligingsupdate installeren. De verplichte update voor Windows Live Messenger en andere Live Essentials programma's bevat een reeks belangrijke beveiligingsupdates, prestatieverbeteringen, bugfixes en een aantal andere kleine aanpassingen.

    De update werd sinds vorig jaar mei al aangeboden, maar vanwege de beveiligingsupdates zal Microsoft die nu de komende week verplichten. De update verplicht gebruikers niet om Windows Live Messenger 2011 te downloaden.

    Bron: security.nl

  • Inguma is back and being actively developed again. It’s been quite a long time, far too long in fact. We first reported about Inguma way back in 2007 and our latest mention of it was in March 2008. A new version has just been released almost 3 years later with some major changes and a [...]

    Read the full post at darknet.org.uk

    image
    image

  • symantec attack kit evolution timelineExploitkits maken het kinderspel voor criminelen om via internet miljoenen te verdienen, zo waarschuwt anti-virusbedrijf Symantec.

    Exploitkits maken het kinderspel voor criminelen om via internet miljoenen te verdienen, zo waarschuwt anti-virusbedrijf Symantec. De aanvalskits zijn eenvoudig te verkrijgen en zeer gebruiksvriendelijk, waardoor ook cybercriminelen met weinig technische kennis ze kunnen gebruiken. Inmiddels zouden exploit-kits bij de meeste cyberaanvallen worden gebruikt en weten ze systemen via ongepatchte beveiligingslekken te infecteren.

    Door de populariteit is ook de vraag naar dit soort software toegenomen. Werd er voor de WebAttack toolkit uit 2006 nog 15 dollar gevraagd, vier jaar later wordt volgens Symantec voor sommige versies van de Zeus toolkit 8.000 dollar betaald. De populairste toolkits van het moment zijn MPack, Neosploit, ZeuS, Nukesploit P4ck en Phoenix.

    De beveiliger adviseert bedrijven om beleid op te stellen dat het gebruik van niet vereiste browser software en browser plugins beperkt. "Dit geldt met name voor ActiveX controls, die zonder kennis van de gebruiker geïnstalleerd kunnen worden."

    Beveiligingslekken
    Symantec bracht ook de meest aangevallen beveiligingslekken in kaart. Daaruit blijkt dat Microsoft het meest wordt aangevallen. Een kwetsbaarheid in de Active Template Library zou bij 41% van de aanvallen zijn gebruikt, gevolgd door Adobe Flash Player met 25%. In de Top 10 van aangevallen lekken komt Microsoft zes keer voor.

    In veel gevallen gaat het om oude kwetsbaarheden die lange tijd succesvol blijken te zijn. De makers van exploit-kits zouden dan ook geen moeite doen om nieuwe lekken snel toe te voegen of moeite steken in het verwerken van zero-day aanvallen. "Toolkit-ontwikkelaars zijn niet actief bezig met het onderzoeken van nieuwe beveiligingslekken of het ontwikkelen van originele exploitcode", aldus Symantec. De beveiliger adviseert gebruikers om vooral hun software te blijven patchen.

    image

    Bron: security.nl

  • In Rusland zijn verschillende scams actief die internetgebruikers vragen om voor Firefox 4 te betalen.

    In Rusland zijn verschillende scams actief die internetgebruikers vragen om voor Firefox 4 te betalen. Ook worden er speciale versies van de gratis browser aangeboden, gecombineerd met anti-virus updates. De echte versie van Firefox 4 staat gepland voor volgende maand, maar dat weerhoudt de oplichters er niet van om de browser nu al via fastupp.info, ffup.ru en operaupdates.info aan te bieden. Om de software te kunnen gebruiken, moeten gebruikers eerst een sms-bericht van 4,30 euro versturen.

    Daarbij combineren de scammers ook elementen van nep-virusscanners, zoals het uitvoeren van een nep-scan, om gebruikers voor de software te laten betalen. "Gebruikers moeten drie keer nadenken voordat ze betalen voor 'software updates' die je software standaard gratis zou moeten downloaden", zegt beveiligingsonderzoeker Christopher Boyd.

    Bron: security.nl/

  • De Stuxnet-worm was niet alleen een coproductie van de Verenigde Staten en Israël, het liet Iraanse wetenschappers geloven dat er niets mis was met de nucleaire centrifuges die het langzaam saboteerde.

    De Stuxnet-worm was niet alleen een coproductie van de Verenigde Staten en Israël, het liet Iraanse wetenschappers geloven dat er niets mis was met de nucleaire centrifuges die het langzaam saboteerde. Dat laat de New York Times weten. Volgens Meir Dagan, vertrekkend hoofd van de Israëlische inlichtingendienst Mossad, zou het Iraanse nucleaire programma zeker tot 2015 vertraging hebben opgelopen.

    De krant bericht verder dat de Israël een eigen versie van de Iraanse installatie bouwde om de worm te testen. Een worm die mogelijk ontwikkeld kon worden omdat Siemens in 2008 samenwerkte met een belangrijk Amerikaans laboratorium om kwetsbaarheden in de computercontrollers van het bedrijf te vinden. Dezelfde controllers die volgens Amerikaanse inlichtingendiensten een belangrijke rol speelden in de Iraanse uraniumverrijkingsfaciliteiten. Volgens Siemens ging het echter om een routine controle, maar de presentatie waarin de kwetsbaarheden werden besproken zou onlangs van de Siemens website zijn verdwenen.

    Opname
    Hoewel Stuxnet de afgelopen maanden uitgebreid is onderzocht, zou de worm ook de normale werking van de apparatuur opnemen, om die opnamen later voor de beheerders af te spelen. Die zouden daardoor niet door hebben dat de centrifuges zichzelf kapot maakten.

    Een ander deel van de code was zo ontwikkeld om opdrachten naar precies 984 aan elkaar geschakelde machines te sturen. Toen internationale onderzoekers de faciliteit van Natanz eind 2009 bezochten, ontdekten ze dat de Iraniërs precies 984 machines hadden laten vervangen die het jaar daarvoor nog werkten.

    Bron: security.nl/

  • Smartphones die draaien op het Androidplatform zijn vatbaarder voor malware en aanvallen door hackers dan iPhones. Dat komt omdat het platform open source is, menen beveiligingsspecialisten.

    Smartphones die het besturingssysteem Android draaien, lopen meer gevaar om getroffen te worden door malware en aanvallen van hackers dan de iPhone. Dat zegt Steve Chang, oprichter van beveiligingsbedrijf Trend Micro, tegen Businessweek.

    Onveiliger door open-source

    Android is volgens Chang onveiliger omdat het open source is. “Dat betekent dat de hacker ook inzicht kan krijgen in de onderliggende architectuur en code van het platform”, zegt hij. “Je moet het Apple nageven. Ze zijn gaan heel voorzichtig om met toegang tot hun systeem. Daardoor is het voor bepaalde soorten virussen gewoon onmogelijk om op de iPhone te draaien”.

    Hij doelt daarbij niet alleen op het gesloten platform van Apple maar ook op de sandbox waarin applicaties draaien. Het is daardoor onmogelijk voor virussen om zichzelf te verspreiden of van vorm te veranderen, zodat virusscanners ze niet oppikken.

    Opvallend is dat Trend Micros concurrent Sophos gisteren in een interview met onze Amerikaanse zusteruitgave CSO een zelfde uitspraak deed. Senior technologieconsultant van dat bedrijf, Graham Cluely sprak met dat blad over de grootste mobiele bedreigingen voor malware.

    Android telefoons zijn eenvoudig doelwit

    Cluely stelt tijdens dat interview dat Facebook de grootste bedreiging is voor malware op mobiele telefoons en stelt tegelijk dat Android telefoons het eenvoudigste doelwit zijn. “De iPhone werkt in een gecontroleerde omgeving en het beveiligingsmodel van BlackBerry is ook behoorlijk sterk”, zegt hij.

    “Omdat Android met een open omgeving werkt, loopt het meer risico op besmettingen”, vervolgt Cluely. Omdat telefoons met Android steeds populairder worden op de zakelijke markt, is dit mogelijke beveiligingsprobleem volgens hem iets waar de IT-beveiligingsafdelingen van doordrongen moeten zijn.

    Vertrouwen aan ontwikkelaars geven

    Google reageert in Businessweek op de mening van Chang en weerlegt die niet helemaal. “Op alle computerapparatuur moeten gebruikers tenminste een deel van hun informatie toevertrouwen aan de ontwikkelaar van de applicatie die zij gebruiken”, zegt een woordvoerder.

    Het bedrijf zegt met Android de gebruiker te informeren over die vertrouwensrelatie door aan te geven welke functies van de telefoon een app wil gebruiken. Bovendien beperkt Google de mate van vertrouwen die een gebruiker moet geven aan een applicatieontwikkelaar. Dat doet het bedrijf bijvoorbeeld door applicaties die malware blijken achteraf uit de Market te verwijderen.

    Veiliger door controle

    Gebruikers van Android moeten daarom volgens Chang nog altijd meer vertrouwen hebben in de goedheid van de ontwikkelaar dan gebruikers van de iPhone. Omdat Apple alle applicaties beoordeelt voordat ze in de App Store opgenomen worden, is de kans veel kleiner dat er malware tussen zit. Amazon opent binnenkort een Market met gelijkaardig model voor Android.

    Trend Micro bracht overigens eerder deze week een virusscannervoor Android uit.

    Bron: webwereld.nl

  • Amazon's Kindle jumpstarted the ebook revolution, but that doesn't make it the eReader of choice for everyone. If you've got some Kindle books you'd like to use with a different device, here's how to remove the DRM so you can.


    image

  • wifiEen Duitse hacker heeft een manier gevonden om met behulp van de Amazon cloud eenvoudig en snel WPA-keys van WiFi-netwerken te kraken. Hij heeft hiervoor een tooltje ontwikkeld dat hij binnenkort vrijgeeft.

    De Duitse beveiligingsonderzoeker Thomas Roth is erin geslaagd om met een speciaal tooltje binnen 20 minuten toegang te krijgen tot een met WPA beveiligd WiFi-netwerk. Hij maakt daarvoor gebruik van een brute force aanval die draait op acht grafische processors (gpu’s) van NIVDIA die in de cloud van Amazon staan.

    400.000 wachtwoorden per seconde

    Roth claimt dat hij de software na deze succesvolle test heeft verbeterd. Hetzelfde wachtwoord zou nu binnen zes minuten gekraakt zijn. Zijn software maakt daarvoor behalve van brute force ook gebruik van rainbow tables. Door die tabel met mogelijke wachtwoorden tegelijk met de brute force te laten draaien boekt hij tijdswinst.

    De hacker vertelt op de website Darkreading dat zijn systeem zo’n 400.000 mogelijke wachtwoorden per seconde kan genereren. Met één gpu zou dat uitkomen op ongeveer 50.000 wachtwoorden per seconde. Ter vergelijking: twee X5570 quad core Xeon server-cpu’s van Intel zouden niet boven de 7.000 wachtwoorden per seconde uitkomen.

    Wachtwoord van de buren

    Dat verschil komt omdat gpu’s door hun parallelle architectuur veel opdrachten naast elkaar uit kunnen voeren. “Omdat dit soort brute force en dictionary aanvallen redelijk eenvoudig van opzet zijn, is een gpu erg geschikt voor deze taak”, stelt Roth.

    Zijn oplossing is overigens alleen geschikt voor relatief eenvoudige wachtwoorden. Als een wachtwoord alleen bestaat uit letters of getallen is het veel eenvoudiger te kraken dan bij een sterker wachtwoord.

    Sterkere wachtwoorden zijn wel met de tool te kraken maar dat duurt, logischerwijs, veel langer. Volgens Roth is zijn vondst daardoor opnieuw een bevestiging van het belang van sterke wachtwoorden. Als test kraakte hij, met toestemming, het wachtwoord van zijn buurman. Het is onbekend hoe lang en sterk dat wachtwoord is.

    Amazon heeft er geen problemen mee

    Wachtwoorden kraken via een clouddienst is niet nieuw maar door het gebruik van Amazon wordt het wel toegankelijker. Roth betaalde 28 dollarcent per minuut voor zijn virtuele server bij Amazon. De provider zegt tegen Reuters er geen problemen mee te hebben als haar servers gebruikt worden om beveiligingsproblemen op te sporen.

    Het is niet voor het eerst dat Roth de Amazon cloud gebruikt om wachtwoorden te kraken. In november wist hij al eens in 49 minuten alle wachtwoorden uit een SHA-1 hash (een veelgebruikte methode om wachtwoorden te versleutelen) van 560 tekens te extraheren. Ook toen gebruikte hij grafische processors om zijn doel te bereiken.

    Roth gaat zijn tool, die hij Cloud Cracking Suite heeft genoemd vrijgeven tijdens de Blackhat DC conferentie. Die hackersconferentie wordt vanaf 31 januari gehouden in het Amerikaanse Arlington. De Cloud Cracking Suite komt beschikbaar onder een open source licentie.

    Bron: Webwereld.nl

  • Een exploit maakt piraterij van software uit de nieuwe Mac App Store mogelijk. Sommige apps zijn met een valse handtekening te installeren.

    De exploit om betaalde apps uit de Mac App Store gratis te downloaden en te valideren is relatief eenvoudig. Het proces, dat hier staat uitgelegd, vergt niet meer dan een paar stappen. Het certificaat van een legaal gedownloade applicatie is te gebruiken om toegang te krijgen tot de illegaal gedownloade app.

    Alleen apps die niet goed zijn beveiligd door ontwikkelaars worden getroffen door de exploit. Als ontwikkelaars een systeem inbouwen dat checkt of een app wel op legale manier is verkregen, werkt de exploit niet. Maar veel apps, zoals bijvoorbeeld het populaire spel Angry Birds, hebben niet zo'n verificatie ingebouwd.

    Kickback en malware

    De hackersgroep Hackulous maakte tegelijkertijd ook bekend dat ze de DRM in de Mac App Store hebben gekraakt via het Kickback-programma. Deze methode werkt wel met alle apps in de winkel. Hackulous zegt de tool pas uit te brengen als er meer applicaties beschikbaar zijn in Apple's softwarewinkel.

    Securitybedrijf Sophos waarschuwt dat de exploit niet alleen leidt tot piraterij, maar mogelijk ook tot malware, doordat gebruikers meer applicaties via andere bronnen gaan downloaden.

    Buggy

    De Mac App Store opende donderdag zijn deuren en kende een buggy start. Er zijn ongeveer duizend applicaties beschikbaar, zowel gratis als tegen betaling. Op de eerste dag telde de Mac App Store al 1 miljoen downloads.

    Bron: webwereld.nl

  • Gotta love a bit of hardware hacking in the new year, this Karsten Nohl guy has been busy lately – he recently exposed Car Immobilisers Using Weak Encryption Schemes and more relevant to this article we’ve written about him and GSM Hacking Coming To The Masses Script Kiddy Style before. This kind of GSM snooping [...]

    Read the full post at darknet.org.uk

    image
    image

  • phising-aanval-platform-percentagesEigenaren van een iPod, BlackBerry of andere smartphone zijn veel kwetsbaarder voor phishingaanvallen dan desktopgebruikers. Dat stelt beveiligingsbedrijf Trusteer naar aanleiding van onderzoek naar de logs van webservers waarop phishingsites werden gehost. Smartphone-gebruikers bezochten de phishingsites als eerste en zouden drie keer zo vaak hun gegevens invoeren dan desktopgebruikers. Met name iPhone-gebruikers lopen risico om in de phishingwebsites te trappen. Ze zouden acht keer meer phishingsites bezoeken dan Blackberry-gebruikers. In de VS zijn er echter meer Blackberry dan iPhone-gebruikers.


    De reden dat mobiele internetgebruikers eerder op de phishingsites terechtkomen komt volgens Trusteer omdat ze altijd "on" zijn en daardoor eerder e-mails lezen. Voor gebruikers van een smartphone is het lastig om te bepalen wie de afzender is. Daarom krijgen die het advies om nooit links in e-mailberichten te openen die naar de banksite wijzen. In plaats daarvan moet men zelf het adres van de bank in de adresbalk typen.
  • Google beveiligingsonderzoeker Michael Zalewski heeft in Internet Explorer, Firefox, Chrome, Safari en Opera meer dan honderd lekken gevonden, waaronder een mogelijke zero-day in IE. Voor het onderzoek gebruikte Zalewski het programma "cross_fuzz", een cross-document DOM binding fuzzer. Veel van de gevonden kwetsbaarheden zouden door aanvallers te misbruiken zijn.

    Eén van de gevonden lekken zou al bij derden bekend zijn, aldus Zalewski. "Daarom is het uitbrengen van deze tool zo belangrijk." De onderzoeker ontdekte in Internet Explorer verschillende lekken, en waarschuwde Microsoft hier al zes maanden geleden over. Toch zijn de fouten nog steeds niet opgelost. Microsoft bevestigde de bugmelding van Zalewski in juli van vorig jaar, maar nam pas weer contact op in december, nadat men door de onderzoeker was benaderd.

    Uitstel

    Microsoft zou de problemen in Internet Explorer hebben bevestigd en Zalewski gevraagd om het uitbrengen van de fuzzingtool uit te stellen. "Aangezien ze geen overtuigende reden konden geven waarom de problemen niet eerder waren onderzocht, heb ik dit geweigerd." In een reactie laat Microsoft Jerry Bryant weten dat zowel de softwaregigant als Zalewski in juli geen problemen hadden ontdekt.

    "Op 21 december, werd er een nieuwe versie van de tool aangekondigd, en informatie over een mogelijk te misbruiken crash die door deze nieuwe versie was ontdekt." Microsoft zou nu het mogelijke probleem onderzoeken of het inderdaad te misbruiken is. Bryant haalt ook uit naar Zalewski, omdat het uitbrengen van de tool het risico voor IE-gebruikers alleen maar onnodig zou vergroten. De onderzoeker laat in zijn overzicht echter weten dat er wel degelijk in juli problemen waren gerapporteerd.

    Ook in Webkit-browsers zoals Safari en Chrome werden problemen aangetroffen, maar die zijn grotendeels opgelost, wat ook geldt voor Firefox. In het geval van Opera zijn alle "relevante crashes" gepatcht, maar staan een aantal "listige crashes" nog open. Zalewski schreef eerder het Browser Security Handbook voor Google.
  • Hackers kunnen telefoons overnemen door lekken in de basebandsoftware van toestellen. De gekaapte mobieltjes, waaronder iPhones en Android-toestellen, kunnen worden gebruikt om nummers te bellen of telefoontjes te onderscheppen.

    Voor de hack hebben kwaadwillenden een basisstation nodig ter waarde van ongeveer 1000 euro. Voor de demonstratie werd een Ettus USRPv1 gebruikt. Vervolgens kan elke telefoon in het bereik van dat basisstation binnen enkele seconden worden overgenomen. Op drukke plaatsen kunnen zo in theorie binnen korte tijd honderden telefoons worden gekraakt.

    De hack is gedemonstreerd door onderzoeker Ralf-Philipp Weinmann van de Universiteit van Luxemburg op de beveiligingsconferentie Deepsec enkele weken geleden. De informatie is nu pas naar buiten gekomen in afwachting van fabrikanten die de lekken moesten repareren. De overname van de toestellen kan op veel manieren worden misbruikt. Zo kan zonder dat de gebruiker het weet met het toestel naar betaalnummers worden gebeld of ge-sms't. Ook kunnen telefoontjes worden onderschept voordat de telefoon over gaat.

    De lekken zijn gedemonstreerd met de iPhone 4 en een HTC Dream in Weinmanns presentatie All Your Basebands Are Belong To Us. De iPhone gebruikt een basebandprocessor van Infineon, terwijl de Dream een veelgebruikte Qualcomm-processor heeft om te communiceren met mobiele netwerken. Apple heeft het lek gerepareerd in iOS 4.2.1, terwijl ook Qualcomm het lek heeft verholpen. Apple-smartphones die niet van een update zijn voorzien, zijn nog altijd kwetsbaar. In hoeverre toestellen met Qualcomms basebandprocessors, waaronder veel HTC-modellen, kwetsbaar zijn, is onduidelijk.

    bron: tweakers.net

  • De Google Chrome OS netbook CR-48 is gehackt.  Zowel Ubuntu, Mac OS X als Windows 7 werken als een zonnetje. Hieronder vind je de instructie hoe  je W7 & Ubuntu kunt installeren.

    Instructies over hoe je het MAc OS kun installeren volgen. Zoals je kunt zien werkt het in onderstaande video.  Hoewel de Chrome OS zelf is vergrendeld, heeft Google aangemoedigd om gebruikers het Intel Atom-gebaseerde toestel zelf te hacken. Een schakelaar onder de batterij stopt het Chrome OS te booten. Dit zodat de gebruiker kan stoeien met de BIOS om er een alternatief OS op te installeren.

    Momenteel is de CR-48 blijft in gebruik door Google-medewerkers en familieleden, alsmede enkele leden van de pers en aangemelde gebruikers in het Google Pilot programma. Plannen voor een commerciële lancering van Chrome OS netbooks zijn vertraagd door het ontbreken van een aantal kritische functies van de Chrome OS (Cloud Print en USB-devices).

    Planning voor de de lancering van cr-48 is medio 2011.

     

  • usb2MI5, een van de Britse geheime diensten, stelt dat China op grote schaal inbreekt op computers van bedrijven door aan Britse zakenmensen besmette usb-sticks en camera's te 'schenken'. Ook overheids- en defensiesystemen zouden doelwit zijn.

    De Britse krant The Sunday Times meldt dat in een uitgelekt MI5-rapport is te lezen dat geheim agenten van de Chinese geheime dienst Britse zakenmensen op onder andere beurzen trakteren op allerhande elektronica, waaronder usb-sticks en camera's. De cadeautjes zijn echter geprepareerd met malware, zo stelt MI5. Als de eigenaar de stick of camera aan een computer koppelt, dan kan het systeem besmet worden door middel van een trojan. Hierdoor kunnen Chinese hackers relatief eenvoudig op afstand inbreken in de systemen.

    Een andere breed toegepaste methodiek van de Chinese geheime dienst zou het uitzetten van 'seksvallen' zijn, waarbij de activiteiten van Britse zakenmensen in hotelkamers heimelijk opgenomen worden. Hierdoor kunnen zij naderhand gechanteerd worden. Ook zouden veel hotelkamers in de grote steden standaard voorzien zijn van afluisterapparatuur.

    Volgens MI5 heeft de Chinese geheime dienst niet alleen Britse bedrijven in het vizier; Chinese hackers zouden ook defensienetwerken en andere overheidssystemen hebben aangevallen en bovendien verschillende maatschappelijke organisaties de afgelopen jaren hebben bespioneerd. Vorig jaar werd in een ander overheidsrapport gesteld dat de Chinese overheid de mogelijkheid zou hebben om onder andere elektriciteitsnetwerken in Groot Brittannië uit te schakelen en dat ook de waterhuishouding en de distributieketens voor voedsel ernstig ontregeld zouden kunnen worden. Daarnaast klaagt MI5 dat het te weinig mensen heeft om de Chinese aanvallen effectief te kunnen bestrijden, omdat een groot deel van zijn personeel wordt ingezet om het internationaal terrorisme te bestrijden

    bron: tweakers.net
  • Last summer we detailed how to crack a Wi-Fi network's WEP password using BackTrack. Now video blog Tinkernut revisits the subject with a great video step-by-step of the process.

    Before you go calling the cops or putting on your bank robber mask, a helpful reminder from our original post:

    Knowledge is power, but power doesn't mean you should be a jerk, or do anything illegal. Knowing how to pick a lock doesn't make you a thief. Consider this post educational, or a proof-of-concept intellectual exercise.

    BackTrack has also updated to version 4 since we last featured it, but the process appears to have remained basically the same. The interesting thing about BackTrack is how easy it is to crack a WEP-encrypted network, which serves as a very good reminder to use WPA encryption to significantly boost your home network security.

  • Op securityconferentie Black Hat zullen experts weer aantonen hoe makkelijk het is om software te kraken. Met name IE (Microsoft) en Flash (Adobe) worden gepakt.

    De beveiligingsconferentie vindt volgende week plaats in de Amerikaanse stad Arlington (Virginia). Securityspecialist Jorge Luis Alvrez Medina zal er bijvoorbeeld laten zien hoe een aanvaller elk bestand op een computer kan lezen als die Internet Explorer gebruikt. De aanval maakt niet gebruikt van fouten, maar van features. Alvarez Medina zal proof-of-concept code openbaar maken op zijn presentatie.

    Belachelijke Flash-hacks

    Dan is er natuurlijk nog die andere usual suspect wat betreft security, Adobe. Mike Bailey van Foreground Security houdt een presentatie met de titel 'Mooie, nieuwe en belachelijke Flash hacks'. Dat belachelijke slaat op de soms belachelijke complexiteit ervan.

    Hij bespreekt nieuwe Flash-gebaseerde aanvallen, het hergebruik van oude aanvallen en hij demonstreert de werking van de aanvallen op een groot aantal websites, waaronder Gmail en Twitter. Die sites zijn al op de hoogte gebracht. “ik wil duidelijk maken dat Flash net zo bruikbaar is voor aanvallers als elk ander onderdeel van het web”, zei Bailey.

    'Veelgemaakte fouten'

    In een reactie zegt Adobe dat Bailey zich waarschijnlijk richt op veelgemaakte programmeerfouten. Het bedrijf verwijst dan ook naar trainingsmateriaal op hun website.

    Verder mag iedereen die “geïnteresseerd is in Windows forensics” de oren spitsen. De Data Protection API is door Elie Bursztein en Jean-Michel Picod uitgedokterd (reverse engineered). DPAPI is bedoeld om data versleuteld weg te schrijven in Windows. Met deze hack kan de data worden teruggehaald die is versleuteld met deze API. Dat is dus interessant voor onder andere opsporingsdiensten en bedrijfsspionnen.

    Microsoft ASP.Net

    Dan is er de presentatie van David Byrne en Rohini Sulatycki, waarin zij een kwetsbaarheid laten zien in Apache MyFaces, Sun Mogarra en Microsoft ASP.Net. De hack zal live gedemonstreerd worden en de aanvalscode wordt direct erna vrijgegeven. Met deze hack is het voor aanvallers mogelijk om data op de server te lezen die “niet beschikbaar zou mogen zijn voor welke gebruiker dan ook”, zegt Byrne.

    De hack richt zich op hoe de drie webapplicatie programming frameworks omgaan met ViewState, een techniek waarmee frameworks een visuele elementen consistent kunnen houden over meerdere pagina's. De aanval zou niet mogelijk zijn geweest als de drie frameworks de encryptiemogelijkheden zouden gebruiken die ze hebben.

    Smartcardchip

    Verder zal nog Oracle 11g, de iPhone, hardware in het algemeen en de smartcardchip worden gehackt. Dat laatste wordt gedaan door Christopher Tarnovsky. Zijn hack is erg ingewikkeld en bestaat voor 60 procent uit hardware, maar de huidige generatie smardcards is wel succesvol gehackt. Tarnovsky heeft eerder al parkeermeters gekraakt.

    bron: webwereld.nl

  • httpbotnetsHet aantal botnets dat HTTP gebruikt om met besmette computers te communiceren is het afgelopen half jaar verdubbeld. Traditioneel werden botnets via Internet Relay Chat (IRC) bestuurd, maar daar zit geen groei meer in. Het aantal IRC-gebaseerde botnets bleef rond de 400 steken, terwijl HTTP-gebaseerde botnets van 800 naar 1.600 groeide. De groei is volgens Team Cymru, een non-profit organisatie die zich met de bestrijding van cybercrime bezighoudt, te verklaren door de lage prijzen van HTTP botnet-toolkits.

    Toolkits
    Deze toolkits worden toegankelijker en de eenvoudiger te gebruiken HTTP interface, zorgt ervoor dat botnetbeheerders massaal IRC als communicatiekanaal links laten liggen. HTTP botnets worden daarnaast vaker voor Distributed Denial of Service (DDoS)-Aanvallen ingezet. "Er zijn verschillende manieren om aan dit soort aanvallen te verdienen, hoewel ze minder geliefd zijn dan andere alternatieve gebruiken voor botnets die meer opbrengen met minder risico."

    De meeste Command & Controle servers, zowel voor IRC als HTTP, zijn in de Verenigde Staten ondergebracht. Ook Noord-Europa, met onder andere Nederland, speelt een belangrijke rol. Ondanks dat het aantal IRC-gebaseerde botnets niet groeide, was er ook geen daling zichtbaar. Daarom voorspelt Team Cymru dat dit soort botnets een rol zullen blijven spelen, maar dat de toekomst bij HTTP-gebaseerde botnets ligt.
  • Botnets vormen de infrastructuur voor de meeste cybercriminaliteit op het internet, maar met de Kanarie detector is het mogelijk om de malware in een vroeg stadium te detecteren, zo meldt chipgigant Intel. De detector bestaat uit drie veelbelovende anti-botnet strategieën. De eerste strategie is de analyse van netwerkverkeer, om het echte gebruik van het netwerk te ontdekken. Deze analyse toont het verschil tussen het verkeer van gebruikers en een botnet. De tweede strategie is een "end-host" detectie algoritme dat het Command & Controle botnet kanaal kan vinden. Dit is volgens de onderzoekers van Intel te doen door een enkele waarde te berekenen; het meten hoe vaak een remote locatie wordt benaderd door een computer uit het netwerk.

    Het voordeel van deze methode is dat er vooraf geen kennis van het nog te ontdekken botnet vereist is, of de inspectie van de lading die het met zich meedraagt. De detectie is op een enkel systeem uit te voeren, maar verder te verbeteren door het over een populatie van systemen te correleren en te zien waar die verbinding mee maken. De onderzoekers van Intel kijken in hun rapport ook naar de werking van botnets, het opzetten van whitelists en het testen van de setup met malware. De presentatie van het rapport is op deze pagina te vinden, of hieronder te bekijken.

    bron: Security.nl
  • "Elk netwerk van enige omvang is gekraakt de afgelopen twee jaar", stelt Amit Yoran, het voormalig hoofd CyberSecurity van het Homeland Security Department, in The Financial Times. "Het is onmogelijk een onderneming te beschermen."

    Hij krijgt in de zakenkrant bijval van de CIOvan een groot bedrijf in de gezondheidszorg. "Ik denk dat geen enkele chief information security officer met zekerheid kan zeggen niet 'geraakt' te zijn. Wanneer je afhankelijk bent van de beveiligingsproducten van derden, zit je in hetzelfde schuitje als iedereen."

    De gedeeltelijk succesvolle aanval van door de Chinese overheid gesteunde hackers op de zwaarbeveiligde systemen van 's werelds grootste online onderneming Google, zorgt voor een golf van bezorgdheid over netwerkbeveiliging over de wereld. Financiële instellingen in de Verenigde Staten, producenten en dienstverleners gaan samen met experts koortsachtig na of hun beveiligingssystemen zijn gekraakt zonder dat zij zich daarvan bewust waren.

    Yoran, nu ingehuurd door verschillende grote bedrijven, zegt bewijzen te hebben van zo'n 40 recente gevallen waarbij financiële gegevens en andere gevoelige gegevens bij bedrijven zijn ontvreemd. "Hackers beschikken over steeds geavanceerder gereedschap."

    Ook het gerenommeerde Sans Institute komt tot die conclusie: "Dit gaat niet meer over Google en China. Dit gaat over: 'O jee ze zijn al binnen.' De aanvallen zijn van een niveau hoger dan de beschikbare beveiligingsmiddelen." Volgens het Sans Institute gebruikt de Chinese overheid de spionagetechnieken om een betere positie te verkrijgen in de onderhandelingen met westerse bedrijven.

    Zelfs vertegenwoordigers van de beveiligingsindustrie geven toe dat er een nieuwe fase is aangebroken nu overheden zich mengen in spionagetechnieken. Er zijn veel ongepubliceerde kwetsbaarheden die kunnen worden misbruikt door zeer goedgefinancierde teams, zeggen experts van onder meer McAfee. Wat vooral zorgen baart aan de recente aanvallen is niet het niveau van programmeren, maar het voorafgaand onderzoek waardoor de aanval kon worden gericht op specifieke figuren binnen de getroffen organisaties.

    bron: Automatiseringgids.nl

  • Oorspronkelijk is de worm waarschijnlijk geschreven om een Slowaakse motorclub mee te pesten. Maar het ondier is ontsnapt en maakt nu harddisks over de hele wereld onklaar.

    Beveiliger ESET meldt dat Zimuse, zoals de worm heet, een antiek beestje is. Het overschrijft de MBR met eigen data, een techniek die veel werd gebruikt door virussen van 20 jaar geleden. Maar deze dino wordt bij de verspreiding geholpen bij de moderne variant van de floppy disk, de usb-stick.

    Het doet zichzelf voor als een IQ-test programma, wat misschien iets zegt over de motorclub in kwestie. Of het komt binnen via een geïnfecteerde website. Het vult de eerste 50 kb MBR van elke schijf met nullen, waardoor de data onbenaderbaar wordt. Het terughalen van de data kan moeilijk zijn en vereist gespecialiseerde software, zo waarschuwt ESET.

    Blauwe en rode draad

    Zeer waarschijnlijk zijn er twee versies, Zimuse.A en Zimuse.B, die zich nu verspreiden buiten Slowakije, vooral in de VS, Thailand, Spanje en Italie, maar ook in andere Europese landen. Het verschil tussen de twee heeft te maken met de tijd die het neemt voordat het zich gaat verspreiden via usb, en waarop het zijn vernietigende werk doet.

    De B-variant is de ergste van de twee, omdat het zichzelf eerder gaat vermenigvuldigen, na zeven dagen na de infectie, bovendien heeft het maar 20 dagen nodig voor zijn vernietigende werking. Het verwijderen moet goed gebeuren. Als het verkeerd wordt gedaan, dan gaat het virus over tot vernietiging. ESET vergelijkt dit met de rode en de blauwe draad bij een bom. Knip je de verkeerde door, dan gaat hij af.

    Backup

    “Hopelijk zal dit zich niet veel verder verspreiden. Maar het herinnert ons eraan dat, nu de meeste bedreigingen tegenwoordig meer geïnteresseerd zijn in het stelen van je data dan in het vernietigen ervan, het toch nooit een slechte tijd is om te controleren of je backup systemen goed werken”, zegt David Harley van ESET in zijn blog.

    Vandaag de dag kom je niet vaak meer een virus tegen in de boot sector van een harde schijf. Een recente uitzondering was de vervelende Mebroot rootkit uit 2008. Soms komt oudere malware nog wel eens tot leven, zoals het Stoned.Angelina MBR virus dat in 2007 zijn weg vond naar zo’n 100.000 Medion laptops.

    Oorspronkelijk kwam Stoned.Angelina uit januari 1994, een tijd waar Zimuse misschien ook uit stamt. ESET ziet een duidelijke overeenkomst met het One-half virus, dat uit in 1995 uit Slowakije kwam.

    ESET heeft informatie en een tool online gezet waarmee je Zimuse kunt verwijderen.

    bron: techworld.nl

  • Het Trojaanse paard dat het netwerk van Google infiltreerde, gaf aanvallers de mogelijkheid om live mee te kijken wat er op de desktop van besmette machines gebeurde. Uit analyse van anti-virusbedrijf Symantec blijkt dat één van de componenten op VNC (Virtual Network Computer) was gebaseerd. Een programma dat computers op afstand kan besturen. De virusbestrijder noemt de Trojan "Hydraq". Eenmaal actief op het systeem downloadt het verschillende bestanden, waaronder VedioDriver.dll en Acelpvc.dll. Analyse wijst uit dat de bestanden en het communicatieprotocol, door aangepaste VNC code te gebruiken, specifiek voor gebruik met Hydraq zijn geschreven.

    Een aanvaller kan op afstand een live video feed van een besmette computer opzetten. Ook Symantec ontdekte dat sommige bestanden van de malware al in 2006 zijn gemaakt. "Andere onderdelen van Hydraq hebben data in 2009. Wat mogelijk aangeeft dat de exemplaren die we vandaag zien, in de loop van de tijd zijn ontwikkeld", zegt Symantec's Peter Coogan. Een andere mogelijkheid is dat de datum op de computer tijdens het compileren van de bronbestanden verkeerd stond ingesteld. Onderstaande video laat zien hoe de Trojan werkt.

  • Ontwikkelaars hebben een live-cd op basis van Linux-kernel 2.6.29 uitgebracht waarmee Googles mobiele Android 1.6-besturingssysteem opgestart kan worden op een x86-systeem. Op sommige systemen zou ook de touchscreen-functie werken.

    Developers van het Android-x86-project brachten enkele maanden geleden een patch uit waardoor het mogelijk werd om Googles mobiele besturingssysteem, gebaseerd op ARM-code, ook op x86-machines te draaien. Inmiddels hebben de ontwikkelaars kans gezien om de Android-code zo aan te passen dat het systeem ook vanaf een live-cd geboot kan worden.

    Momenteel is Android 1.6, ook bekend onder de codenaam Donut, beschikbaar als boot-cd in combinatie met Linux-kernel 2.6.29. Android-x86 zou al met succes getest zijn op vrijwel alle Eee PC's van Asus. Bij een aantal modellen, zoals de Eee PC T91, zou zelfs de touchscreen-functionaliteit werken. Ook de Lenovo ThinkPad x61 Tablet zou met Android-x86 overweg kunnen. Bovendien zouden, op de T91 en de Eee Top na, alle systemen in hun nativeresoluties draaien. Verder kan er van wifi en ethernet gebruik gemaakt worden.

    De ontwikkelaars willen op termijn ondersteuning voor multitouch-touchpads, 3g en gps aan Android-x86 gaan toevoegen. De 198MB zware boot-cd kan onder andere bij Softpedia worden opgehaald.

    and6  and3 and4 and5
    bron: tweakers.net
  • By now, pretty much everyone has heard that it is easy to hack into WEP protected networks.   As we have seen in our Cracking WEP article, it is terribly easy.   (There have been advances in cracking WEP since that article was published, it is even easier now) Yeah, WiFi is inherently insecure, but we need it... Right?  Well if you ask your local security guy how you can protect your home WiFi network, surely they will come back and say: "WPA or WPA2 cannot be cracked, use it".  They are wrong.

    By simply installing a patch to your existing hardware, WPA came in as the "Saving Grace" for wireless networking.  It corrected almost every security problem either created or ignored by WEP. However, WPA was not perfect.  The method in which WPA initializes its encryption scheme is subject to capture and offline brute force attacks. Consequently, it's actually easier to crack WPA which uses a weak password than it is to crack WEP. This article will walk you through the process of retreiving and cracking a WPA network key. In this guide I will skim over some of the powerful things that you can do with graphics cards.   By focusing on my personal setup, you will see it can be done with limited off the shelf equipment.

    The first decision is to decide what you want your setup to be.  I personally chose to go with a setup using GeForce card with CUDA support (http://www.nvidia.com/object/cuda_learn_products.html ). You will need to check on the programs you want to use to make sure that they support the graphics card that you choose.

    The setup I ultimately decided going with is an EVGA 780i motherboard that has dual SLI support (can support tri SLI).  I ended up going with two GeForce GTX260 cards to utilize the SLI capability.   I also upgraded my power supply to a Corsair 850W to power everything in my machine.

    0-Setup

    After building the setup, feel free to go play some games, then come back to this guide.  I mean you have work to do!

    The BackTrack 4 Release is a perfect platform for you to have some fun with your new setup. For a guide on configuring Backtrack 4 with CUDA and a in depth tutorial on CUDA tools, check out this 25 page guide on it by Pureh@te on the offensive-security website.

    Finally lets take a look at my favorite GPU tool Pyrit, which will allow you to run a pass-through dictionary attack against WPA encryption (http://code.google.com/p/pyrit/)  running  it through coWPatty (http://www.willhackforsushi.com/Cowpatty.html).

    Using this you can take a capture file with a WPA 4-way handshake and do a pass-through to try to crack it with your dictionary using coWPatty.  Make sure you use a dictionary with words in length starting from 8 and ending in 63 letters long.  Any longer or shorter is just a waste because of the requirements of WPA passphrase's.  One thing to keep in mind is that to be able to crack the passphrase you must have the passphrase in your dictionary file.

    The first step will be to put your card into monitor mode.  After that, fire up airodump.   I happen to know the router BSSID and channel so here is what I did below.

    airodump-ng  -c (routers channel)  - - bssid (routers bssid) -w (cap filename) interface

     

    Airodump will then load up as shown below.  You can see the router and data coming from it.   You can see a client is connected, which is important since you will need to get the 4-way handshake to crack the WPA passphrase.

    2-airodump-02

    Next it is time to send a de-authentication packet to the client to make it reconnect to the router allowing you to grab that 4-way handshake.

    Aireplay-ng -0 (de-authentication attack) 5 (number of de-authentication packets to send) -a  (router bssid) -c (client essid) interface

     

    If all goes well, you will see in your airodump window in top right corner showing you have received a  WPA handshake.  I have circled it in red below.  If you don't see this just repeat the last step and de-authenticate the client again.

    4-airodump-handshake

    After that I like to make sure that my graphic cards are working properly.   You can either run a benchmark or list cores in pyrit.  In the below picture I show the benchmark option

    To run benchmark: pyrit benchmark

    To list cores: pyrit list_cores

     

    Below is the command for running pyrit in a pass-through mode through coWPatty.   The great thing about this is you can run it with your dictionary file and not mess around with making a rainbow table or anything.  If you do not have a dictionary file for WPA, you can grab one from the backtrack repository. Command is as follows for the pass-through mode.

    pyrit -e (router essid) -f (path to the dictionary file) passthrough | (path to coWPatty) -d - -s (router essid) -r (name of capture file)

    Note:   I had installed the latest version of coWPatty manually.  The default location you would put after the pipe (|) in backtrack would be /pentest/wireless/cowpatty/cowpatty

    5-pyrit

    If all goes well you well, you will start to see it go through passphrases in your dictionary file as shown below.

     

    And if all goes well in the end, you will end up with a passphrase as shown below.

    8-pyrit-final

    It was able to run 15,479.28 passphrases per second, which is an amazing upgrade from the 300 something I was getting with my 2.0 GHz dual core processor.   This is also using the stock graphic cards that are not over-clocked.

     

    Credits:

    Tools used:

    Backtrack - http://www.remote-exploit.org/backtrack.html

    Pyrit- http://code.google.com/p/pyrit/

    Cowpatty- http://www.willhackforsushi.com/Cowpatty.html

    Source: I-Hacked.com

     

  • The big news hit earlier this week that the attack vector that allowed bad actors presumably from China into the networks of Google, Juniper, Adobe, and some 29 other firms was an Internet Explorer zero day, a use after free vulnerability on an invalid pointer reference affecting IE 6, 7, and 8 but only used by attackers on IE 6 according to Microsoft. Per Microsoft’s Advisory 979352: “In a specially-crafted attack, in attempting to access a freed object, Internet Explorer can be caused to allow remote code execution. Earlier today this entry from yesterday at Wepawet (an online analysis engine for malware) was pointed out to H.D. Moore, and within hours Metasploit has an exploit of the vulnerability integrated. McAfee has confirmed that the exploit is out and the same one they saw during the investigation. The video below demonstrates how crackers initially gained access to the corporate networks of Google, et al. using this zero day attack.

    Here It Is

    The video below demonstrates how Google and the rest have been, according to most news reports, exploited via the “Aurora” vulnerability in Internet Explorer, and had their “intellectual property” taken.

    In the video you will see Metasploit set up a listening session, set up a web site that serves up the malicious code, and watch as an unsuspecting user visits the web site, triggers the attack that uses the IE vulnerability, and unknowingly opens a connection to a computer owned by the attacker. The attacker then lists the user’s processes, and elects to kill Notepad where the user was working on an important document. IE 6.0 is used, as this is the version Microsoft references as having been used in the “targeted attacks” on some 30+ U.S. companies.

    A silly example for demonstration to be sure, but once the backdoor is open to the user’s PC the attacker can use it as a pivot point for other attacks against the internal network, escalate his or her privileges, take information off the PC, basically do anything the user can do.

    The Vector

    The attack scenario is that users were pointed to a web site (probably through a targeted Spam e-mail, an attack called spear phishing) containing a JavaScript that references this invalid pointer and injects the included shell code. The code below was released publicly yesterday.

    <html><script>var sc = unescape("..........

    </script> <span id="sp1"> <IMG SRC="aaa.gif" onload="ev1(event)"> </span> </body> </html>

    Finally

    “At this time, we are aware of limited, active attacks attempting to use this vulnerability against Internet Explorer 6. We have not seen attacks against other affected versions of Internet Explorer.” – Microsoft.

    This situation has the potential to change rapidly now that it appears the exploit has been found. Microsoft last patched a vulnerability off cycle in July of 2009, they could elect to pursue the same response here.

    Or as McAfee correctly opines: “What started out as a sophisticated targeted attack is likely to lead to large-scale attacks on vulnerable Microsoft Internet Explorer users.”

    Source: Praetorianprefect.com

  • Een nieuw ontdekt beveiligingslek in talloze mediaspelers geeft hackers de mogelijkheid om op afstand systemen over te nemen. Het probleem zit in de manier waarop de Quicktime Library misvormde .MOV bestanden verwerkt. Bijna alle programma's die dit soort bestanden verwerken zijn kwetsbaar. Via een online verschenen exploit is het mogelijk om "geheugen corruptie" te veroorzaken, maar ook het uitvoeren van willekeurige code lijkt mogelijk. "Omdat dit probleem ook browsers raakt, lijkt het erop dat de aanvalsvector zowel lokaal als remote is", aldus 'Dr_IDE', de alias van de onderzoeker die het probleem ontdekte.

    Zowel Mac OS X als Windows systemen zijn kwetsbaar. Op Mac OS X gaat het onder andere om iTunes, QuickTime, Safari, Garageband, Finder, Firefox, VLC, PowerPoint 2008 en Word 2008. Windows XP systemen met iTunes, QuickTimes en Media Player Classic lopen risico. Bij al deze programma's gaat het om de laatste versie. De VLC mediaspeler is op Windows niet kwetsbaar, wat ook gedeeltelijk voor Firefox 3.5.3 geldt. Het lukte de onderzoeker niet om de opensource browser op betrouwbare wijze te laten crashen. De advisory is op deze pagina te vinden, de exploit staat hier.
  • Microsoft Research heeft een bètaversie van Kodu voor de pc uitgebracht. Kodu is een programma waarmee kinderen zelf spellen kunnen maken. Het maakt gebruik van visuele elementen om een interactieve spelwereld te creëren.

    Kodu kwam voor het eerst uit op 30 juni 2009 voor de Xbox 360, en is opgetrokken rond Microsofts cross-platform XNA-framework. Met een systeem van iconen en kleuren is het mogelijk om karakters en objecten in het spel op elkaar te laten reageren, waarmee de gebruiker betrekkelijk eenvoudig zelf een spel kan maken. Microsoft hoopt dat de Windows-versie voor scholen aantrekkelijker te gebruiken is, omdat er geen spelcomputer met accessoires aangeschaft hoeft te worden.

    Kodu-ontwikkelaar Matthew MacLaurin kwam op het idee om het spel te gaan maken toen hij zag hoe zijn driejarige dochter toekeek terwijl zijn vrouw Facebook gebruikte. Hij vergeleek die ervaring met zijn eerste computergebruik. "Mensen van mijn generatie raakten bekend met computers door met programmeren iets uit niets te maken", aldus MacLaurin. Hij hoopt dat Kodu de huidige generatie kinderen opnieuw kennis kan laten maken met die 'magie'.

    Volgens Microsoft is Kodu tot nu toe een bescheiden succes geweest. De softwaregigant zegt dat de Xbox 360-versie 200.000 keer is gedownload en er zijn wereldwijd zestig onderwijsinstellingen die Kodu gebruiken om kinderen met programmeren te laten kennismaken. Volgens een ouder die met Kodu-lessen op een basisschool in de Verenigde Staten helpt, zijn de kinderen positief verrast over de mogelijkheden van het 'spelbouwspel'.

    De technical preview van Kodu voor Windows is te downloaden van de website van de spelmaker. Microsoft heeft geen systeemeisen opgegeven; het Redmondse bedrijf heeft als doelstelling Kodu op zoveel mogelijk systemen te laten draaien. Ook is nog onbekend wanneer de uiteindelijke versie uitkomt en hoe duur deze zal zijn. De volledige Xbox 360-versie kost 400 Microsoft Points, omgerekend 4,80 euro.

  • Een zero-day beveiligingslek in Adobe Reader en Acrobat is Google, Adobe en 32 andere bedrijven noodlottig geworden, aldus een beveiligingsbedrijf dat zegt dat de aanvallers het op broncode hadden voorzien. Volgens iDefense zijn ook financiële instellingen en defensie-aannemers getroffen, maar daar wil het de naam niet van noemen. Zowel Adobe als Google hebben de aanvallen inmiddels opgebiecht. De aanvallen lijken veel op die afgelopen juli plaatsvonden. De aanvallers gebruikten ook toen een geprepareerd PDF-document om malware op het netwerk te krijgen.

    IDefense spreekt van een "bijzonder geraffineerde aanval", gericht op het stelen van broncode bij verschillende hi-tech bedrijven in Silicon Valley, alsmede financiële instellingen en militaire bedrijven. Volgens het beveiligingsbedrijf opende een werknemer van Google een PDF bijlage, waarin een Trojaans paard verstopt zat. "Het was zo geconfigureerd dat het in staat was om een enorme hoeveelheid gegevens te ontvangen." Naar alle waarschijnlijkheid gaat het om het beveiligingslek in Adobe Reader en Acrobat dat al sinds december bekend is, maar pas vandaag werd gepatcht.

    Patch
    Analyse van de malware wijst uit dat die verschilt van de aanval van juli, maar dat er wel met soortgelijke command en controle servers contact werd gemaakt. IDefense houdt dan ook de mogelijkheid open dat het om dezelfde aanvallen gaat. Adobe patchte vandaag in totaal 8 lekken in Adobe Reader en Acrobat, die in de meeste gevallen aanvallers willekeurige code lieten uitvoeren, wat in veel gevallen volledige controle over het systeem betekent. Zeven van de acht lekken werden door externe onderzoekers gevonden. Meer informatie is in de advisory te vinden.
  • De Nederlander Tim de Koning heeft een Commodore 64-emulator naar javascript geport, waarbij hij gebruikmaakte van het Canvas-element zoals gestandaardiseerd door de Web Hypertext Application Technology Working Group.

    De port moet gezien worden als een proof-of-concept,schrijft De Koning op de website van zijn bedrijf, Kingsquare. Jsc64, zoals de applicatie heet, is een port van de C64-emulator die Darron Schall en Claus Wahlers in ActionScript schreven. De javascript-versie is wel minder snel dan die applicatie, moet De Koning toegeven.

    Voor het scriptmatig dynamisch renderen van bitmapbeelden maakte De Koning gebruik van het Canvas-element. Dit element is gestandaardiseerd door het WHATWG, gaat mogelijk deel uitmaken van html5 en wordt al ondersteund door de laatste versies van Firefox, Chrome en Safari. De Nederlandse programmeur heeft de broncode op zijn site geopenbaard en demonstreert Jsc64 op zijn site met verschillende roms, zoals die van Galaga, Hellgate en Voidrunner.

    bron: tweakers.net

  • Darren demonstrates cracking Microsoft VPN tunnels using the MS-CHAPv2 authentication protocol using Joshua Wright’s tool ASLEAP and talks about the theory behind the attack.



    Continuing on with our VPN series I find it important to highlight the weaknesses in the protocols we have talked about thus far. In my last segment I highlighted a tool that allows an attacker to easily hijack an SSL session using a man-in-the-middle attack. Couple this with Adito (aka OpenVPN-ALS), my favorite open-source SSL VPN server, and you can see the problem.

    But what about the basic Microsoft VPN we setup a few weeks back? The VPN servers that we setup on Windows XP and Server 2003 used either active directory or local windows accounts to authenticate users.

    And looking back at our discussions on pwdump, rainbow tables and the like you’ll remember the inherent weaknesses in Windows account credentials.

    There are two ways Windows stores a user’s account credentials, or password. LAN Manager hashes which are comprised of watered-down weaksauce and NTLM which are succeptable to time-memory tradeoff attacks.

    The default VPN server implemented in Windows XP and Server 2003’s Routing and Remote Access service uses Point-To-Point-Tunneling-Protocol. This is convenient because the Windows clients have supported Microsoft PPTP VPN connections natively since 2000, and in Windows 95/98 with Dual Up Networking version 1.3.

    The modern authentication protocol of Microsoft’s PPTP is MS-CHAPv2. This Challenge Handshake Authentication Protocol suffers from inherent weaknesses.

    As far back at 1999 these weaknesses have been widely known. If you’re interested in reading more on the cryptanalysis of MS-CHAPv2 there’s a nifty paper written by Bruce Schneier and L0pht that I’ll link in the show notes.

    And while other options exist such as Radius, this is still the default option for PPTP authentication in Windows environments.

    Joshua Wright, author of coWPAtty (See our segment here), released in 2004 a proof of concept tool to demonstrate weaknesses in LEAP and PPTP protocols.

    This tool, ASLEAP, was updated in 2007 to include an option to just crack MS-CHAP v2. Either by examining a packet capture that includes a MS-CHAP handshake ASLEAP or specifying an MS-CHAP challenge and response ASLEAP is able to deduce the username and last two bytes of the NT hash. Using this information, and a dictionary file, ASLEAP is able to brute-force the hash.

    Source: Hak5

  • Hacker Samy Kamkar, bekend van de eerste cross-site scripting worm in 2005, heeft een aanval gedemonstreerd waarbij hij eenvoudig hardwarematige firewalls weet te omzeilen. De "Nat pinning" aanval laat de router een port forwarden. Hiervoor moet de aanvaller eerst het slachtoffer naar een website weten te lokken. De pagina dwingt de router of firewall van het slachtoffer, zonder dat die het weet, om een poort naar elk willekeurig poortnummer van de gebruiker z'n computer te forwarden. "Geen XSS of CSRF vereist", aldus Samy. Een aanvaller kan vervolgens via de geopende poort een aanval uitvoeren.

    Kamkar merkt op dat niet alle routers de gebruikte methode van "NAT traversal" ondersteunen en dat het uitvoeren van de aanval via FTP de voorkeur verdient. De aanval is succesvol getest op een Belkin N1 Vision draadloze router, maar ook andere modellen en fabrikanten zouden mogelijk kwetsbaar zijn. Op deze pagina kunnen gebruikers hun router of firewall testen en het script van Kamkar een poort laten openen.

    Firefox NoScript
    Volgens Giorgio Maone, de maker van de populaire Firefox NoScript extensie, misbruikt Kamkar een slim mechanisme in moderne netwerkapparatuur, dat automatisch willekeurige poorten NAT als bepaalde "handshake" patronen in uitgaand verkeer worden gedetecteerd. Zodoende kunnen protocollen die een "call back" functie vereisen, zoals FTP, IRC en SIP, toch functioneren. NoScript's ABE functie kan misbruik voorkomen.

    Gebruikers hoeven in dit geval alleen een regel die Maone maakte toe te voegen. "Het slechte nieuws is dat Java, Flash, Silverlight en mogelijk andere plugins raw sockets kunnen openen en daarmee de browser omzeilen, waaronder ABE." Dat is volgens de Italiaan dan ook een goede reden om ze op afstand te houden.

    bron: security.nl
  • You can remotely shut down your computer from anywhere in the world using any cell phone with texting capabilities and Mozilla Thunderbird, a Mac, or Microsoft Outlook. It’s pretty simple to accomplish and the video above guides you through the step by step setup process.

  • Beveiligingsonderzoeker Evgeny Legerov zal het in kader van "0day bewustzijn" de komende weken allerlei nieuwe beveiligingslekken in zakelijk gebruikte software aankondigen, zoals Oracle, Apache en MySQL. De hacker heeft de zero-day lekken, waar geen patches voor zijn, verdeeld in verschillende categorieën. Tijdens de week van de "directory server bugs" komen onder andere lekken in Novell eDirectory, Sun Directory en Tivoli Directory aan bod.

    Van 18 tot en met 24 januari staan server bugs in Zeus Web Server, Sun Web Server en Apache centraal. Een week later is het tijd voor "database bugs" in Mysql, IBM DB2, Lotus Domino, Informix, Oracle "en hopelijk meer." Naast de aankondiging, zette Legerov ook een demonstratie van een MySQL exploit online.
  • Microsoft verbaast zich over de berichten over een 'GodMode'-functie die gebruikers van Windows 7 en Vista in staat stelt alle instelmogelijkheden van het OS via een enkele map te benaderen. Een medewerker doet de 'ontdekking' af als goofy trick.
    god_mode

     

     

     

     

     

     

     

     

     

     

     

     



    De afgelopen dagen verschenen er veel berichten op het internet over wat de 'GodMode'-functie is gaan heten. Om deze 'verborgen' functie te kunnen benaderen moet een gebruiker van Windows 7 of Windows Vista een nieuwe map aanmaken en deze GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} noemen. Klikt hij op het configuratie-logo dat deze map hierdoor krijgt, dan ziet de gebruiker een lange lijst met een groot aantal instellingen van het OS. Bloggers zijn enthousiast dat ze op deze manier alle instellingen op een rijtje voorgeschoteld krijgen, maar Microsoft-blogger Brandon Paddock, die overigens aan zoekfunctionaliteit van Windows werkt, spreekt van een goofy tricken noemt de berichten completely silly.

    "Ten eerste is de tekst 'GodMode' niet nodig om de truc te laten werken. Je kunt de folder 'iLikePuppies' noemen en dan heb je de verborgen magische 'iLikePuppies'-map in Windows ontdekt" schrijft Paddock op zijn blog. Hij wijst erop dat elke map van het bestandssysteem een eigen naam gegeven kan worden en zo benaderd kan worden door een mapnaam te laten volgen door de class identifierof CLSID. Deze functionaliteit is uitsluitend ingebouwd voor ontwikkelaars en de 'ontdekking' waar nu over bericht wordt, is niets anders dan de all tasks-systeemmap.

    "Dit is een speciale shell-map die als bron voor configuratiescherm-zoekresultaten in het Start-menu gebruikt wordt. De map is niet ontworpen om direct te benaderen, aangezien de normale configuratiemap alle zelfde items bevat, maar met een eigen uiterlijk dat ontworpen is voor eenvoudiger navigatie", schrijft Paddock.

    Update, woensdag 10.00: Gebruikers van de 64-bit-versie van Vista melden problemen als ze de 'truc' toepassen. Zo zou explorer.exe vastlopen. Deze gebruikers wordt aangeraden de functie niet toe te passen.

    bron: tweakers.net

  • Versie 2  van de "anti COFEE tool" DECAF is uit. Volgens de Press Release van C is na versie 1.03 de stekker eruit getrokken om juridisch sterker te staan. Versie 2 belt niet meer naar huis volgens de zelfde Press Release en heeft meer functionaliteit zoals ondermeer het monitoren van Forensic Toolkit en CD-Rom.

  • Windows 7

    Lifehacker's Adam Pash wrote a guide for testing the Windows 7 beta on a machine already running XP or Vista. It walks you though adjusting the partition size of your current OS so you can test the new system out without dumping your current setup.

    Before you can get started, though, you'll have to download the Windows 7 ISO image an burn it to a DVD. Unfortunately, the download links on the Microsoft site have been temporarily removed, apparently due to the volume of download demand. Links to the official 32bit and 64bit downloads were available for a brief time, though, and they were posted to a number of blogs. I've posted what appear to work below.

    You'll also need to get an activation key or the OS will expire in 30 days. This is also unavailable at the official download site, though the Neowin blog has recently posted an alternate way to obtain the activation key as well.

    So, to sum things up:

    1. Download the Windows 7 Beta ISO (warning: big 2 gig file): 32-bit Version or 64-bit Version
    2. Get the activation key using Neowin's tip
    3. Set up dual-boot with Adam's instructions

    Note that the activation keys are said to be limited to 2.5 million copies. It might be smart to grab one now, even if you weren't planning on downloading or installing the OS right away.

    Windows 7 Beta - Official site. The official download process should be available again soon.

  • gmapcutter_20090106.jpg

    In order to present a high resolution map of the entire globe inside an ordinary web browser, programs like Google Maps employ the use of tiles. When the map is prepared, it's rendered out at each available zoom level, and each zoom level is divided up into a number of small 256x256 pixel squares. When the map is viewed in a browser, the map display code takes care of loading in just the tiles that are visible in the current map view, sparing the download time and processing power required to load in the entire world's map imagery.

  • Muziek in Apples online winkel iTunes is niet langer voorzien van de omstreden kopieerbeveiliging DRM. Dat maakte het bedrijf dinsdag bekend.

    Geen iPhone Nano, geen nieuw besturingssysteem, geen minilaptop en geen Steve Jobs. De laatste traditionele productpresentatie van Apple op handelsbeurs Macworld in San Francisco trok vooral aandacht met wat er ontbrak.

    Toch deed vicepresident Phil Schiller van de marketingdivisie van het bedrijf tenminste één langverwachte aankondiging: liedjes in Apples online muziekwinkel iTunes worden niet langer beveiligd tegen kopiëren.


  •  Nokia

    Nokia wil dat providers sms'jes gaan blokkeren die ervoor kunnen zorgen dat Nokia-smartphones geen berichten meer kunnen ontvangen. De bug is via de provider het makkelijkst aan te pakken, zegt de Finse fabrikant tegenover Tweakers.net.

    Nokia wil niet zeggen met welke providers het in gesprek is over de oplossing van sms-hack 'Curse of silence', waardoor sms geblokkeerd wordt op telefoons. "Maar de providers die we hebben gesproken, werken graag mee om hun klanten te beschermen tegen deze bug", zegt Mark Durrant van het Nokia-hoofdkantoor in Finland. Een daarvan is in elk geval T-Mobile, die eerder deze week aankondigde sms'jes met te lange e-mailadressen in de tekst weg te filteren. Overigens heeft Nokia nog geen aanwijzingen dat de bug echt wordt misbruikt.


Copyright © 2017. All Rights Reserved.