The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • mac os logoBeveiligingsonderzoeker Patrick Wardle heeft een beveiligingslek in macOS onthuld waardoor een kwaadaardige applicatie wachtwoorden die in de Keychain zijn opgeslagen kan stelen. Via de Keychain kunnen Mac-gebruikers hun inloggegevens, maar ook creditcardgegevens en andere gevoelige data, voor onder andere programma's en websites in een versleutelde container opslaan.

    Om de opgeslagen wachtwoorden te kunnen benaderen moet er een 'master password' worden ingevoerd. Via de kwetsbaarheid die Wardle ontdekte is het mogelijk om de opgeslagen wachtwoorden zonder master password te benaderen. Een app kan de inhoud van de Keychain 'dumpen', waaronder onversleutelde wachtwoorden. Applicaties kunnen de Keychain wel benaderen, maar alleen om hun eigen data te benaderen. Het is niet de bedoeling dat applicaties toegang tot de gehele Keychain hebben of wachtwoorden kunnen dumpen.

  • joomla logoEr is een nieuwe versie van het populaire contentmanagementsysteem Joomla verschenen waarin twee beveiligingslekken zijn verholpen. Via één van de kwetsbaarheden kon een aanvaller de wachtwoorden van super users, zoals de beheerder, achterhalen en zo de website overnemen.

    De kwetsbaarheid bevond zich in de inlogpagina en maakte het mogelijk voor een aanvaller om alle inloggegevens van de LDAP-server die voor de Joomla-installatie wordt gebruikt te achterhalen. Het gaat dan onder andere om de gebruikersnaam en het wachtwoord van de beheerder. Een aanvaller kan met de achterhaalde informatie op het beheerderspaneel inloggen en de Joomla-installatie overnemen. Door het uploaden van custom Joomla-extensies voor het uitvoeren van willekeurige code op afstand zou ook de webserver kunnen worden overgenomen.

  • cc cleaner logoPiriform meldt dat de Windows-installer van de populaire opschoonsoftware CCleaner ongeveer een maand lang malware in de vorm van een backdoor bevatte. De installer was te downloaden via de site van de ontwikkelaar, die recentelijk is overgenomen door Avast.

    Piriform schrijft dat de geïnfecteerde versie van CCleaner het nummer 5.33.6162 draagt en geschikt is voor 32bit-Windows-systemen. Daarnaast was versie 1.07.3191 van CCleaner Cloud getroffen. Het bedrijf meldt dat het bij de malware om een backdoor gaat, die uit twee componenten bestaat. De eerste component had als doel om informatie over het geïnfecteerde systeem te verzamelen en deze terug te sturen naar een command and control-server in het beheer van de aanvallers. Daarbij ging het om informatie als de naam van de computer, draaiende processen, geïnstalleerde software en de mac-adressen van de eerste drie netwerkadapters.

  • bluethoothMiljarden apparaten zijn kwetsbaar door een nieuwe Bluetooth-aanval genaamd BlueBorne, zo stellen onderzoekers van securitybedrijf Armis. Volgens de onderzoekers zijn er naar schatting 5,3 miljard apparaten die kwetsbaar zijn. Het gaat om laptops, desktops, smartphones, tablets en IoT-apparaten.

    De BlueBorne-aanval bestaat uit acht kwetsbaarheden in de Bluetooth-implementaties van Android, Windows, Linux en iOS. Drie van de beveiligingslekken zijn als ernstig aangemerkt. Om de aanval uit te voeren is het niet nodig dat het aangevallen apparaat met het apparaat van de aanvaller is gepaird of in de 'discoverable mode' staat. Alleen Bluetooth ingeschakeld hebben staan is voldoende om te worden aangevallen en de aanval kan binnen 10 seconden worden uitgevoerd. Er is geen interactie van het slachtoffer vereist.

  • mongodbHet bedrijf achter de databasesoftware MongoDB meldt een nieuwe golf van ransomware-aanvallen waarbij criminelen databases van websites en organisaties voor losgeld gijzelen of uit vandalisme verwijderen. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Eerder dit jaar was de software ook al het doelwit van ransomware.

    Begin deze maand liet de Nederlandse beveiligingsonderzoeker Victor Gevers weten dat er nieuwe aanvallen plaatsvonden die al 26.000 slachtoffers hadden gemaakt. Net als de aanvallen van begin dit jaar gaat het ook nu om onbeheerde en verkeerd geconfigureerde MongoDB-installaties die het doelwit zijn. "Het is belangrijk om te vermelden dat deze nieuwe golf van aanvallen niet op een nieuw risico duidt, maar alleen op nieuwe doelwitten", zegt Davi Ottenheimer van MongoDB.

  • dlink logoGebruikers van de D-Link 850L-router of andere D-Link-apparaten die van het mydlink-protocol gebruikmaken moeten die direct offline halen, zo waarschuwt onderzoeker Pierre Kim. Via verschillende kwetsbaarheden is het namelijk mogelijk om de apparaten aan te vallen en over te nemen.

    Een beveiligingsupdate van D-Link is echter nog niet beschikbaar. Kim heeft in het verleden eerder naar de apparatuur van D-Link gekeken. De onderzoeker was echter niet tevreden met de reactie van D-Link op zijn vorige onderzoek dat hij nu heeft besloten om verschillende kwetsbaarheden direct openbaar te maken, zonder de netwerkfabrikant in te lichten. In het geval van de D-Link 850L gaat het om beveiligingslekken waardoor een aanvaller gebackdoorde firmware kan installeren, authenticatiecookies kan stelen en andere aanvallen kan uitvoeren. Volgens de onderzoeker is de router slecht ontworpen en bevat die veel kwetsbaarheden. "In principe is alles gehackt, van het LAN tot het WAN."

  • Apache Struts

    framework is gedicht. Het lek treft alle versies van Struts sinds 2008. Webdiensten als internetbankieren kunnen kwetsbaar zijn. Inmiddels is er ook een exploit voor het lek.

    De Apache Foundation heeft Apache Struts een update gegeven waarbij een kritiek lek in het 

    De kwetsbaarheid met aanduiding CVE 2017-9805 stelt aanvallers in staat op afstand willekeurige code uit te voeren op servers die een applicatie draaien die gebouwd is met Struts en die de populaire REST-plugin draaien. Het lek is gevonden door het lgtm-team van Semmle, dat richt zich op analyse van opensourceprojecten. De kwetsbaarheid heeft betrekking op de manier waarop Struts met Xstream deserialisatie toepast op xml-payloads.

  • medischEen beveiligingsbedrijf en een investeringsbedrijf uit de Verenigde Staten hebben ernstige kwetsbaarheden in de pacemakers van het bedrijf St Jude Medical naar buiten gebracht om niet alleen patiënten te informeren maar er zelf ook financieel van te profiteren.

    Via de beveiligingslekken kan een aanvaller met nauwelijks enige technische kennis de hartslag gevaarlijk verhogen, de apparaten uitschakelen of de batterij laten leeglopen. Een oplossing is nog niet beschikbaar. In tegenstelling wat beveiligingsbedrijven en -onderzoekers in dit soort situaties vaak doen, het waarschuwen van de fabrikant, besloot beveiligingsbedrijf MedSec de fabrikant niet te informeren. Niet alleen zou de veiligheid van de producten van St Jude Medical ernstig te wensen overlaten, volgens de onderzoekers wist het bedrijf al sinds 2013 van de beveiligingsproblemen af, maar besloot het geen actie te ondernemen.

  • sslOpenSSL heeft een patch uitgebracht voor een kritiek lek dat er mogelijk voor kan zorgen dat een aanvaller op afstand code kan uitvoeren. De kwetsbaarheid werd volgens het OpenSSL-team geïntroduceerd door een recente patch.

    OpenSSL heeft maandag in een security advisory laten weten dat de kwetsbaarheid alleen voorkomt in versie 1.1.0a van de software. Daarom zouden gebruikers die de update nog niet hebben uitgevoerd meteen van versie 1.1.0 naar 1.1.0b moeten updaten. Het lek, met kenmerk cve-2016-6309, treedt op doordat de software een buffer verplaatst als er een bericht van meer dan 16k wordt ontvangen. In de vrijgemaakte ruimte zou vervolgens een aanvaller met een achtergebleven pointer kunnen schrijven. Dit zou kunnen leiden tot het uitvoeren van willekeurige code.

  • ios jailbreakLuca Todesco, ook wel bekend onder de online-naam qwertyoruiop, claimt dat hij een werkende jailbreak heeft ontwikkeld voor de iPhone 7. Het zou de eerste jailbreak zijn die op definitieve versie van iOS 10.0.1 draait. De jailbreak-tool is nog niet voor anderen beschikbaar.

    Todesco, die al eerdere versies van iOS heeft gejailbreakt, heeft via Twitter bekendgemaakt dat hij zijn iPhone 7 binnen een dag heeft kunnen jailbreaken. Hij toonde een foto en een video van een iPhone 7 die Cydia draait, een populaire alternatieve downloadwinkel voor gejailbreakte iOS-toestellen. De iPhone 7 is nu een week op de markt en de definitieve versie van iOS 10 is drie dagen langer publiekelijk beschikbaar.

  • tesla logoOnderzoekers van het Chinese beveiligingsbedrijf Keen Security Lab zijn erin geslaagd een Tesla Model S op afstand via een kwaadaardig wifi-netwerk te hacken. In een demonstratie laten de onderzoekers zien hoe ze op afstand het dak, de lichten, ruitenwissers, stoel, deuren, kofferbak en remmen bedienen.

    Tesla laat in een reactie tegenover de Verge weten dat het probleem alleen wordt veroorzaakt als de browser wordt gebruikt. Daarnaast moet de auto met een kwaadaardig wifi-netwerk in de buurt zijn verbonden. Volgens de autofabrikant was het risico voor klanten dan ook vrij klein.

  • mysqlBeveiligingsonderzoeker Dawid Golunksi heeft een kwetsbaarheid in MySQL, MariaDB en PerconaDB gevonden die het op afstand uitvoeren van code mogelijk maakt als de aanvaller al toegang heeft tot de database. Het lek is onder andere aanwezig in de laatste versie van MySQL.

    Voor de clones MariaDB en PerconaDB zijn eind augustus patches beschikbaar gekomen, zo schrijft de onderzoeker. Het beveiligingsprobleem met kenmerk cve-2016-6662 is onderdeel van meerdere kwetsbaarheden, voegt Golunksi daaraan toe. Het lek heeft gevolgen voor alle MySQL-servers in standaardconfiguratie, van de vroegste tot de huidige versies in verschillende branches, namelijk 5.7.15, 5.6.33 en 5.5.52.

  • androidDe beveiligingsupdates die Google deze week voor Android uitrolde blijken ook een ernstig lek te verhelpen waardoor het mogelijk is om via een kwaadaardig jpeg-plaatje toestellen aan te vallen. Een aanvaller hoeft de afbeelding alleen naar een slachtoffer te versturen, verdere interactie is niet vereist.

    Het probleem wordt veroorzaakt door een softwarebibliotheek die Exif-data van jpeg-afbeeldingen probeert uit te lezen. Exif is de standaard voor het opslaan van metadata in foto's. De kwetsbaarheid werd door onderzoeker Tim Strazzere van beveiligingsbedrijf SentinelOne ontdekt. De onderzoeker testte zijn aanval met Gmail en Gchat, maar ook andere apps die de kwetsbare bibliotheek aanroepen lopen risico.

  • usb ethernetadapter

    Beveiligingsonderzoeker Rob Fuller heeft in een blogpost beschreven hoe hij via een aangepaste usb-ethernetadapter de inloggegevens van een ingelogde gebruiker steelt, terwijl het lockscreen wordt getoond. Dit zou werken op Windows- en OS X-computers.

    Fuller, ook bekend als 'Mubix', legt uit dat hij voor de aanval zowel een USB Armory als een LAN Turtle kon gebruiken. Op deze van een soc voorziene usb-apparaten kan verschillende software geïnstalleerd worden, bijvoorbeeld voor doeleinden als penetration testing.

  • webcamEen onderzoeker heeft in mogelijk tienduizenden IP-camera's op internet een ongedocumenteerde telnetpoort ontdekt waardoor er met een bekend standaardwachtwoord op de apparaten kan worden ingelogd. Het probleem zou bij goedkope IP-camera's van verschillende fabrikanten spelen.

    Om welke fabrikanten het gaat wil Zoltan Balazs niet bekendmaken. Via een netwerkscan wist hij de ongedocumenteerde telnetpoort te vinden. Balazs laat echter weten dat andere onderzoekers hetzelfde probleem eerder al hebben ontdekt, alleen dan via een analyse van de firmware. Het probleem is dat het wachtwoord om op de telnetpoort in te loggen niet via een grafische gebruikersinterface kan worden gewijzigd.

  • upnpHet Universal Plug and Play (UPnP) protocol moet het eenvoudiger voor apparaten maken om met elkaar te communiceren en verbinding te maken, maar een onbekend aantal routers heeft de beveiliging niet goed geregeld, waardoor een aanvaller stilletjes poorten in de firewall kan openzetten of toegang tot de router kan krijgen.

    Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het UPnP-protocol was oorspronkelijk ontwikkeld voor privénetwerken en gebruikt standaard dan ook geen authenticatie. Later werd er besloten om toch een UPnP-beveiligingsstandaard op te stellen, maar ondersteuning hiervan is zeer beperkt. Vanwege de ontbrekende beveiliging kan een aanvaller met toegang tot het privénetwerk via UPnP toegang tot de router krijgen om vervolgens poorten open te zetten of diensten in te schakelen waarmee het netwerk verder kan worden aangevallen.

  • In het tweede kwartaal van dit jaar is het aanvalsverkeer op poort 80 (HTTP) bijna verdubbeld, zo meldt internetgigant Akamai in een nieuw rapport. Het aanvalsverkeer steeg van 8% in het eerste kwartaal naar 15% in het tweede kwartaal. Een reden voor de toename wordt echter niet gegeven.

    Wel zorgt de toename van het aanvalsverkeer op poort 80 ervoor dat poort 445 niet meer op de eerste plek van meest aangevallen poorten staat. Poort 445 wordt door Microsoft Directory Services gebruikt en is al jaren de meest aangevallen poort op internet. Onder andere de beruchte Confickerworm verspreidt zich via deze poort.

    Het is pas de derde keer sinds Akamai met meten begon dat Poort 445 niet op de eerste plek staat. In het tweede kwartaal bleef het aanvalsverkeer onveranderd op 14% staan. De overige poorten in de top 10 zagen wel een toename van het aanvalsverkeer.

    port-attack 2014

     

    Bron: security.nl

  • Bash OSX PatchApple heeft vannacht een update uitgebracht voor het ernstige Bash-lek in Mac OS X. Via de kwetsbaarheid die vorige week werd ontdekt zou een aanvaller volgens Apple in bepaalde gevallen op afstand willekeurige shell commando's kunnen uitvoeren.

    Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Het is in op Unix-gebaseerde systemen aanwezig, waaronder Linux en Mac OS X. Apple liet vorige week al weten dat Mac OS X-gebruikers standaard geen risico lopen. Alleen als er bepaalde services werden gedraaid zou een aanvaller het lek kunnen misbruiken.

  • kali linux nethunterEen groep ontwikkelaars heeft een besturingssysteem voor hackers en security-professionals speciaal aangepast voor een aantal Nexus-toestellen, wat een mobiel maar volledig functioneel penetratietestplatform oplevert. Het Kali Linux-besturingssysteem werd vorig jaar maart.

    Een gebruiker uit de Kali Linux-gemeenschap genaamd "BinkyBear" en beveiligingsbedrijf Offensive Security, dat Kali ontwikkelde, hebben nu Kali Linux Nethunter gepresenteerd. Een versie van Kali Linux speciaal voor Nexus-toestellen waarmee allerlei soorten aanvallen en tests zijn uit te voeren, zoals het opzetten van kwaadaardige access points, de BadUSB-aanval en man-in-the-middle-aanvallen.

  • bash bugIs Shellshock erger dan Heartbleed?
    Servers, routers en pc's zijn kwetsbaar door een shell-bug waardoor apparaten op afstand kunnen worden overgenomen. Hoe groot is het probleem?

    Paniek in securityland om de Unix-bug, meteen Bashpocalypse of Shellshock gedoopt, die allerlei apparaten (met Linux, Unix of Mac OS X) kwetsbaar maakt. Maar op welke manier precies, is nog niet helemaal duidelijk, gezien de onverwachte resultaten die kunnen volgen. De vergelijking met OpenSSL-gat Heartbleed is al snel gemaakt, maar de ene bron stelt dat het probleem groot is maar zich niet verhoudt tot een gat in OpenSSL, terwijl de andere onderzoeker vindt dat het zelfs nog een stapje erger dan Heartbleed is.

    Bash-gat krijgt score 10 van 10

  • netis routerNetcore Routers is een populair netwerkapparatuur merk in China. Nu blijkt dat ze een grote open achterdeur die vrij gemakkelijk kan worden misbruikt door aanvallers. Buiten China worden deze producten verkocht onder de merknaam Netis. Deze backdoor laat cybercriminelen eenvoudig willekeurige code op deze routers draaien.
    Hoe werkt deze backdoor?
     
    Simpel gezegd is het een open UDP poort (53413). Deze poort is bereikbaar vanaf de WAN kant van de router. Dit betekent dat als de betreffende router een extern toegankelijke IP-adres heeft dat een aanvaller via het internet toegang tot deze backdoor heeft. 

  • internet-explorerMicrosoft waarschuwt voor een ernstig beveiligingslek in alle versies van Internet Explorer dat op het moment actief wordt misbruikt om computers met malware te infecteren, terwijl er geen beveiligingsupdate beschikbaar is om het probleem op te lossen.

    Volgens Microsoft zijn er alleen meldingen van een beperkt aantal gerichte aanvallen tegen Internet Explorer 8 en 9, hoewel het probleem in alle ondersteunde versies aanwezig is. Via de kwetsbaarheid kan een aanvaller willekeurige code op het onderliggende systeem uitvoeren. De exploit die Microsoft analyseerde werkt alleen op Windows XP en Windows 7

    Maatregelen

    Het bezoeken van een gehackte of kwaadaardige website met een kwetsbare IE-versie is voldoende om besmet te raken. Dustin Childs van Microsofts Trustworthy Computing stelt dat de softwaregigant aan een update werkt. In de tussentijd zijn er verschillende maatregelen die IE-gebruikers kunnen nemen.

    Zo is er een "Fix it" oplossing waarbij IE-gebruikers het kwetsbare onderdeel met één muisklik kunnen uitschakelen. Deze oplossing werkt echter alleen voor de 32-bit versies van Internet Explorer. Andere opties zijn het verhogen van de Internet en lokale intranet beveiligingszones naar "Hoog" en het blokkeren van ActiveX Controls en Active Scripting in deze zones.

    Een andere optie is om IE een waarschuwing te laten geven voordat Active Scripting plaatsvindt of het uitschakelen van Active Scripting in de Internet en lokale intranet beveiligingszones.

    Bron: security.net


  • joomla-logoCooperative Disclosure

    I'm in attendance this year at Rapid7's UNITED Security Summit, and the conversations I'm finding myself in are tending to revolve around vulnerability disclosure. While Metasploit doesn't traffic in zero-day vulnerabilities every day, it happens often enough that we have a disclosure policy that we stick to when we get a hold of newly uncovered vulnerabilities.

    What's not talked about in that disclosure policy is the Metasploit exploit dev community's willingness to help you, the unaffiliated researcher, to build out Metasploit modules that exercise your new awesome bug. While the usual procedure is to put together your module and send us a Pull Request, if you're dealing in undisclosed vulns, you probably don't want to spill the beans before your disclosure is public and the vendor has had a chance to react.

    In those cases, a little more private tutelage might be the thing for you. This week, Juan Vazuquez did just that with contributor Charlie Eriksen and his shiny new Graphite vulnerability. It's pretty easy to put together a private git repo, work out whatever bugs, cleanup, and style tips that are necessary for your module to hit the prime time, and then land it to the main Metasploit distribution once the disclosure parts are done.

    Expressing a new vulnerability as a Metasploit module is more than mere fame and fortune for the exploit dev. Public Metasploit modules are just about the best way today to bring public visibility to your bug. This, in turn, has a nearly magical effect on get patches rolled out or other mitigation in record time, which makes the Internet as a whole a stronger, more resilient, and more useful network.

    So, if you're sitting on some undisclosed vulnerabilities and you're not super sure how to go about turning them into generally useful Metasploit modules, just ask! Both the Rapid7-employed exploit devs and the larger Metasploit community are always happy to help out with some mano-y-mano module writing, and we're pretty good at keeping new, undisclosed vulns off of Twitter (at least, for a little while).

     

    Joomla Bug in the Wild

    Speaking of patching, late last week, Metasploit exploit developer Juan Vazquez wrote up the latest Joomla bug as part of putting together a module to exploit it. I won't rehash it all here, but if you're of the Joomla persuasion, this will hopefully be another example of a public Metasploit module spurring along your own scanning and patching process.

    If you run an enterprise IT shop, you know that Joomla is one of those technologies that has a tendency to pop up in your environment, even if it's not on your explicit whitelist of approved technologies. It's pretty easy to set up and use, so you might be surprised to find it humming along in your environment as people (with all the best intentions!) fire up an instance to run their local knowledge base or internal blog or whatever. And, since those folks aren't running sanctioned and blessed IT-approved software, who knows if they'be been keeping up on their patches. So, along with this latest module, it might be a good time to break out the old Joomla Version scannermodule to tally up what's running.

     

    New Modules

    We've got ten new modules this week, including the new Joomla module mentioned above. Enjoy!

    Exploit modules

    Auxiliary and post modules

     

    Availability

    If you're new to Metasploit, you can get started by downloading Metasploit for Linux or Windows. If you're already tracking the bleeding-edge of Metasploit development, then these modules are but an msfupdate command away. For readers who prefer the packaged updates for Metasploit Community and Metasploit Pro, you'll be able to install the new hotness today when you check for updates through the Software Updates menu under Administration.

    For additional details on what's changed and what's current, please see Brandont's most excellent release notes.

    Source: community.rapid7.com

  • Een beveiligingsonderzoeker heeft een zero day-beveiligingsprobleem gevonden in versies 7 en 8 van Internet Explorer. De kwetsbaarheid wordt actief misbruikt, waardoor gebruikers van de browserversies gevaar lopen.

    Beveiligingsonderzoeker Eric Romang kwam het beveiligingsprobleem op het spoor tijdens een onderzoek naar een groep internetcriminelen die ook achter de recente zero day in Java zat. In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploitbleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.

    Romang plaatste een video waarin hij laat zien hoe een volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden. Of ook andere Windows-versies dan XP kwetsbaar zijn, is nog onbekend. Internet Explorer 7 is niet beschikbaar voor Windows 7, maar versie 8 wel. De nieuwste, niet door dit probleem getroffen getroffen IE-versie is Internet Explorer 9.

    De beheerders van de Metasploit-hackerstoolkit zullen de exploit maandag toevoegen. Daarmee lopen gebruikers van de twee browsers gevaar: het enige dat nodig is om besmet te worden, is naar een website surfen die de malware serveert, al dan niet bewust. Dit staat bekend als een 'drive-by download'.

    De beveiligingsonderzoeker stelt dat de groep die de zero day misbruikte, niet blij was dat hij deze op het spoor kwam: twee dagen nadat Romang de bestanden van de server downloadde, waren deze verdwenen. Volgens Security.nl zat dezelfde groep in 2011 achter aanvallen op chemische bedrijven.


    Bron: tweakers.net

  • DOS-attackMogelijk miljoenen websites zijn maandagavond niet langer op te vragen door een grootschalige ddos-aanval op dns-servers van hostingbedrijf en registrar GoDaddy. De aanval is opgeëist door een hacker die mogelijk banden heeft met Anonymous.

    De ddos-aanval begon maandagavond en was gericht op de dns-servers van hostingbedrijf en registrar GoDaddy. Sindsdien zijn een groot aantal websites onbereikbaar geworden. Het gaat mogelijk om miljoenen sites; het bedrijf heeft 52 miljoen sites in zijn dns-servers opgenomen en host tevens miljoenen websites. Via Twitter laat het bedrijf weten dat het probeert zijn systemen zo snel mogelijk weer in de lucht te krijgen. Dit zou op moment van schrijven deels weer het geval zijn.

    Een hacker die zich bedient van het alias AnonymousOwn3r heeft de verantwoordelijkheid voor de grootschalige ddos-aanval opgeëist. Via Twitter claimen andere personen die deel zeggen uit te maken van de losvaste groepering Anonymous dat het gaat om een eenmansactie. De hacker heeft dat inmiddels toegegeven, maar onduidelijk is nog of hij banden heeft met Anonymous.

    Hoster GoDaddy kreeg in de kringen van internetactivisten een slechte naam toen bleek dat het bedrijf een van de uitgesproken voorstanders was van de omstreden sopa-wetgeving. AnonymousOwn3r stelt echter dat hij geen afkeer heeft tegen GoDaddy an sich maar wil met zijn ddos-aanval onder andere niet nader omschreven problemen rond cybersecurity op de kaart zetten.

    bron: tweakers.net

  • java-securityOracle mag dan een noodpatch voor een ernstig beveiligingslek in Java 7 hebben uitgebracht, de aanvallen op ongepatchte gebruikers gaan in hoog tempo door. Na de Blackhole en RedKit exploit-kits, is de exploit voor het Java-lek in Java 7 update 6 en eerder ook in de Neosploit exploit-kit aangetroffen. Java-gebruikers worden met twee Java-applets bestookt. Het eerste Java-applet gebruikt een exploit voor CVE-2012-1723. Dit beveiligingslek werd in juni door Oracle gedicht. 

    Het tweede Java-applet probeert via beveiligingslek CVE-2012-4681 binnen te komen. Voor deze kwetsbaarheid verscheen afgelopen vrijdag een update. In beide gevallen wordt geprobeerd een nep-virusscanner op de computer te installeren, aldus Kahu Security

    E-mail
    Om slachtoffers naar besmette websites te lokken zetten de aanvallers ook e-mail in. Daarbij doen de aanvallers zich voor als salarisverwerker ADP. De e-mail meldt dat het digitale certificaat voor de ADP internet service binnenkort verloopt. Als de ontvanger het certificaat niet verlengt, kan men de diensten van ADP niet meer gebruiken. 

    De aanval werd begin augustus al waargenomen, maar gebruikte toen alleen nog een exploit voor het Java-lek uit juni. Inmiddels is daar volgens Panda Security ook het recente Java-lek aan toegevoegd.
  • mysqlDe MySQL-server is maandag door onbekenden gekraakt. Op de site werd kwaadaardige javascript-code geplaatst waardoor de browser naar een website werd gestuurd waarop malware was te vinden. Mysql.com zou nu weer veilig zijn.

    Dat meldt de website Armorize. Ook op GoT wordt melding gemaakt van malware op Mysql.com. De kwaadaardige code was verpakt in een iframe. De javascript-code zorgde dat de bezoeker via een redirect naar een domein werd gestuurd waarop de BlackHole-exploit is te vinden. Deze poogt het besturingssysteem te besmetten door te zoeken naar diverse kwetsbaarheden in, onder andere, diverse browsers en plugins als Java, Adobe Flash en Adobe Reader. De gebruiker zou geen dialoogvensters in beeld krijgen waardoor de malware zich stiekem weet te installeren.

  • bluetoothBluetooth carkits zijn een eenvoudig doelwit voor hackers, die de apparaten kunnen laten crashen of overnemen, aldus een Amerikaans beveiligingsbedrijf. "Samen met onze partners hebben we meer dan tien verschillende Bluetooth carkits dit jaar getest", zegt CTO Ari Takanen. "In alle werden ernstige problemen gevonden." Bluetooth is met name kwetsbaar voor misvormde invoer. Daardoor kan het apparaat trager reageren, onverwacht gedrag vertonen, crashen of in het ergste geval een aanvaller toegang tot het Bluetooth toestel geven. De kwetsbaarheden zijn te misbruiken zonder dat de gebruiker de verbinding opmerkt of moet accepteren. 

    Consument
    Aangezien Bluetooth applicaties geen toegang tot vertrouwelijke gegevens bieden, zou er volgens Takanen nog weinig motivatie bij aanvallers zijn om de Bluetooth interface aan te vallen. 

    Nu zowel carkits als medische apparatuur steeds vaker de technologie gebruikt, kan dit veranderen. "Bluetooth wordt meestal gebruikt in consumentenproducten en consumenten kopen eerder het goedkoopste dan het beste product", merkt Takanen op.
    bron: security.nl
  • bank-trojanMicrosoft heeft onlangs een Trojaans paard ontdekt dat online bankrekeningen via een remote proxy script probeert te plunderen. Eenmaal geopend, laadt de Banload Trojan een website waarop een animatie is te zien. In de achtergrond worden de instellingen van de browser aangepast, omdat het 'Proxy Automatic Configuration script' te gebruiken. Het script zorgt ervoor dat de internetverbinding van de gebruiker via een proxy-server loopt. 

    Instellingen
    Zodra de gebruiker bepaalde banksites bezoekt, wordt het verkeer automatisch naar een ander IP-adres doorgestuurd. Het gaat vooral om internetgebruikers die de websites van de HSBC en Santander bank bezoeken. 
  • govcertVirusuitbraak bij de gemeente Heusden, malware infectie gemeente Amsterdam en virusinfectie op een netwerk van de gemeente Den Haag. Slechts enkele van de beveiligingsincidenten die bij de overheid plaatsvonden en door overheidsinstanties GovCERT werden waargenomen. We hadden vorige week al aandacht aan de virusuitbrakenbij de overheid besteed, maar nu heeft IT-journalist Brenno de Winter de lijst ook voor het publiek online gezet. 

    Media
    Zo staan er verschillende Denial of Service-aanvallen vermeld, maar ook beveiligingslekken in verschillende overheidssites worden genoemd. GovCERT monitort niet alleen de eigen netwerken en van diens partners, maar ook de media. "Artikel mbt fraude met DigiD", "KLPD en BZK genoemd in gelekte mails HBGary affaire", "Trouw-artikel over hacks op overheidswebsites" en "Belastingdienst in NOVA-item over USB-sticks" komen ook op de lijst voor. 
  • LibyanArmyElectronic

    Een hacker van het 'Libyan Army Electronic' heeft de Nederlandstalige fora van Game Maker, een populaire spelletjesmaker voor jongeren, gekraakt. Daarbij zouden geen persoonlijke gegevens zijn buitgemaakt. Het lek is gedicht.

    Het forum van Game Maker en zijn broertje GMOT kampten zondagavond met een zogehetendeface, waarbij kwaadwillenden de hoofdpagina hadden veranderd. Daarop eiste een hacker met het pseudoniem Lybia & One van het Libyan Army Electronic de aanval op. Uit de bijnaam van de hacker lijkt er een relatie te zijn met de situatië in Libië.

    Volgens de webmasters zijn de gegevens van de 15.000 gebruikers waarschijnlijk niet op straat beland. Het is niet duidelijk waarom het 'virtuele leger' juist de fora van Game Maker, een project dat werd gestart door professor Mark Overmars, koos voor een aanval. Mogelijk waren die lukraak gekozen; Het Libyan Army Electronic heeft een breed scala van defaces op zijn naam staan.

    Bron: tweakers.net

  • typosquattingTwee beveiligingsonderzoekers hebben aangetoond wat de gevolgen kunnen zijn van typosquatting. In een half jaar tijd ontving het duo via valse domeinnamen meer dan 120.000 mailtjes met daarin wachtwoorden en andere gevoelige zaken.

    Voor het onderzoek hebben de twee onderzoekers, Peter Kim en Garrett Gee, dertig domeinnamen geregistreerd. Deze domeinnamen kwamen overeen met subdomeinen op websites van Fortune 500-bedrijven, waarbij de punt tussen het subdomein en hoofddomein achterwege werd gelaten. De onderzoekers hanteerden hiermee een praktijk die bekendstaat als typosquatting, waarbij domeinnamen worden geregistreerd die erg veel lijken op een legitieme domeinnaam, maar net anders zijn geschreven.

  • xcobraXcobra - Web Application Vulnerability Scanner.

    Features
    URL finder with adjustable deep
    Passive XSS scan
    Forms processing
    Simple SQL injection scan
    Blind SQL injection scan
    Plugins
    Report generators (Text, HTML,...)
    CLI and GUI interfaces
    Cross-platform (Python + GTK)


    Download
    http://code.google.com/p/xcobra/downloads/list

  • bitcoinCriminelen verspreiden onder meer op Twitter malware die het mogelijk maakt om via botnets op grote schaal bitcoins te genereren. Dit gebeurt met miners die ongemerkt op een pc worden geïnstalleerd en op de achtergrond draaien.

    Dat meldt beveiligingsfirma TrendMicro op zijn weblog. Het bedrijf signaleerde op Twitter links die verwezen naar onder andere op Facebook gehoste malware. De malware, worm_kolab.smqx geheten, start op besmette systemen een zogeheten bitcoin-miner. Met deze tool kunnen bitcoins, een steeds populairder wordende, virtuele munteenheid, worden gegenereerd.

    Opvallend bij de malwareaanval is dat de miners, die gebruikmaken van de rekenkracht van het besmette systeem, centraal aangestuurd kunnen worden via een botnet. Door zo grote clusters te genereren, kunnen de aanvallers op grote schaal bitcoins genereren. Omdat bitcoins anoniem van eigenaar kunnen wisselen, is het bovendien lastig om de aanvallers te lokaliseren.

    Bron: Tweakers.net

  • smulwebDe receptensite Smulweb is in het afgelopen weekend slachtoffer geworden van een hack. Bij de aanval zijn wellicht persoonsgegevens van bijna een miljoen leden buitgemaakt. Moederbedrijf Younity Media weigert details te geven over de hack.

    In een mail aan de 950.000 leden bevestigt Smulweb dat de hackers geprobeerd hebben om de persoonlijke gegevens van leden uit de database te ontvreemden. Onduidelijk is of de aanvallers hierin geslaagd zijn.

    Tijdens de registratie moeten gebruikers onder andere hun naam, e-mailadres en huisadres opgeven. Het is mogelijk om via de website bestellingen te plaatsen, maar volgens Smulweb-directeur Michiel Slegt stonden er geen betaalgegevens in de getroffen database.

  • Een Turkse hackersgroepering die zich TurkGuvenligi noemt en bekendstaat om zijndefacements, heeft via een succesvolle dns-hijack enkele grote sites, waaronder de Britse it-nieuwssite The Register en koeriersdienst UPS, defaced.

    TurkGuvenligi

    Ook heeft de groepering de dns van onder andere The Daily Telegraph, Vodafone, Acer en National Geographic aan kunnen passen, waardoor het ook bij deze sites enige tijd leek alsof de website was beklad.

    De aanval op The Register en de overige sites zou zijn uitgevoerd middels 'dns-hijacking'; alle websites maken gebruik van de registrar Net­Names. Vermoedelijk hebben de hackers toegang gekregen tot het dns-systeem, waarna de genoemde sites via een redirect naar een ander adres werden doorgestuurd.

  • Beveiligingsonderzoekers hebben een nieuw botnet ontdekt dat via een interessante techniek besmette computers aanstuurt, namelijk via JPEG afbeeldingen. Het Monkif/DIKhora botnet schakelt op besmette systemen virusscanners en firewalls uit. Om ook op het netwerk niet op te vallen, encodeert de malware instructies alsof het JPEG afbeeldingen zijn. De server stelt “image/jpeg” voor de de HTTP Content-Type header in en stuurt vervolgens een opdracht naar de bot met een valse 32-byte JPEG header.

    De bot controleert of de header overeenkomt en decodeert de rest van de opdrachten. Monkif doet geen moeite om de opdrachten ook de omvang van een echt JPEG bestand te geven. Daarnaast is de data ook niet naar een legitieme JPEG te parsen. Zodoende zouden netwerkbeheerders aan de hand van misvormde afbeeldingen het verkeer van het botnet kunnen detecteren, aldus Jason Milletary, onderzoeker van SecureWorks. En dat is geen overbodige luxe, want Monkif is één van de meest actieve botnets van het moment en heeft zeker 520.000 machines besmet.
  • Password cracking  seems like a difficult task but these techniques make it as simple. We’ll show you some software which cracks windows, mac, and linux user account passwords in a just a few minutes. The programs basically do all the hard work for you as noted in this tutorial.

    Breaking into a computer is an illegal activity but it does help to know how to re-access your own equipment.  So, this post is for informational and ethical purposes only! This how-to covers three OS we use and the methods to crack the log-in passwords.

    Ophcrack screenshot

    Windows

    For Windows OS, Ophcrack is the tool of choice. It is a free Windows Password cracker based on Rainbow Tables. It has a GUI which makes it easier to run. The software can decipher passwords up to 14 characters in length in a quick 10 seconds.

    To use Ophcrack one needs to download the Ophcrack ISO and burn it to a CD (or load it via a USB drive). Run the CD by loading it in the tray and restarting the computer with the power switch. Switch to the BIOS options and set the computer to boot from the CD Drive. The computer boots up and reads the Ophcrack CD which then proceeds to break the password. Use this password to log into the machine.

    Ophcrack is a multi-platform software and so can be used for Mac and Linux too.

    ophcrack

    Mac OS X

    Apart from Ophcrack, another simple method involves using the Mac OS X installation CD (for v10.4). Insert and reboot to display UTILITIES. Choose RESET PASSWORD to get a new one. Login using this password. To reset the password in Mac OS X 10.5, reboot the computer and press COMMAND + S.

    At the prompt type in:

    sck -fy
    mount -uw /
    launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices.plist
    dscl . -passwd /Users/UserName newpassword

    Login with the new reset password.

    Linux

    Power on the computer, press the ESC key and on the boot loader (GRUB) screen select the ‘Recovery Mode’. Press the ‘B’ Key to enter the single user mode. At the default prompt, type in ‘passwd’ and key in your new password. For access to a single account on the system type ‘passwd username’ replacing ‘username’ with the login name for the account you would reset the password for.

    A lesson in cracking is also a lesson in security. Joe Tech’s article advocates the use of encryption (Blowfish or AES-128) as a failsafe against password breach.

    Is ethical hacking for you? Check out these HacknMod tutorials:

    Source: hackmod.com
  • Hackers hebben een nieuwe exploit uitgebracht voor het kritieke zero-day lek in SMB2 in Windows Vista en Windows Server 2008. Deze exploit is voor iedereen toegankelijk, en dat voert de druk op Microsoft op om met een patch te komen.

    Het lek is op 7 september bekend gemaakt door Laurent Gaffié. Hij kon met zijn exploit systemen laten crashen. 10 dagen later maakte Immunity bekend dat ze een exploit hadden geschreven waarmee je systemen kon overnemen, maar die code is niet algemeen beschikbaar gemaakt. Toen al werd er gezegd dat ook het team van Metasploit dicht bij een exploit zat.

    Nu is er inderdaad een derde exploit verschenen van de hand van Stephan Fewer, ontwikkelaar bij Harmony Security. Deze exploit laat aanvallers code uitvoeren op de aangevallen computer. De code is toegevoegd aan Metasploit, waardoor de code van Fewer voor iedereen toegankelijk is.

    Volgens HD Moore, een ontwikkelaar van Metasploit, werkt de exploit op Windows Vista SP 1 en 2 en op Windows Server 2008 SP1. En op Server 2008 SP2 zou het moeten werken, voegde hij toe in een Tweet.

    Toch lijkt de code nog niet helemaal betrouwbaar. Een onderzoeker van Immunity heeft verklaard dat hij de code alleen werkend kreeg op een Windows Vista systeem dat binnen een virtuele machine van VMware draaide. Op een fysiek systeem liet de code het systeem weer alleen crashen. Maar Moore gaat ervan uit dat de exploit wel wel degelijk werkt op fysieke systemen. Hij moet alleen nog wat meer worden getest.

    Op 18 september heeft Microsoft al een fix uitgebracht waarmee je SMB2 uit kunt zetten, en het bedrijf werkt ook nog aan een patch voor de software. Maar of die klaar is voor de volgende patchronde valt nog te bezien.

  • Een Amerikaanse rechter heeft Google bevolen om tijdelijk een Gmail account uit te schakelen, nadat een bank er per ongeluk gevoelige informatie naar toe had gestuurd. Een medewerker van de Rocky Mountain Bank uit Wyoming wilde een overzicht van uitstaande leningen naar een klant mailen. Niet alleen stuurde hij het bericht naar het verkeerde e-mailadres, hij voegde ook een zeer vertrouwelijke bijlage toe die in de eerste plaats nooit verstuurd had mogen worden. Het ging om een bestand met de vertrouwelijke informatie van 1325 individuen en zakelijke klanten, zoals namen, adresgegevens, belastinggegevens, social security nummers en informatie over leningen.

    Terugroepen
    Na ontdekking van de blunder besloot de medewerker het bericht nog terug te roepen, maar zonder succes. Vervolgens ging er een tweede e-mail naar de mysterieuze ontvanger met het verzoek dat hij de eerder ontvangen e-mail en bijlage niet mocht openen en in zijn geheel moest verwijderen. Er werd echter niet op de e-mail gereageerd. De bank nam vervolgens contact op met Google om te zien of het account gebruikt werd of niet, maar Google wilde niet zonder gerechtelijk bevel die informatie afstaan.

    Daarop besloot te bank Google aan te klagen, om zo achter de identiteit van de accounthouder te komen. Zodra het bevel van de rechter bij de zoekgigant binnen is, krijgt de Gmail-gebruiker kans om tegen de openbaarmaking bezwaar te maken. Het beleid van Google stelt dat gebruikers eerst worden ingelicht, voordat men tot het eventueel verstrekken van de gegevens overgaat.

    Schandalig
    "Het is schandalig dat de bank hierom heeft gevraagd en het is schandalig dat de rechter hierin meegaat", zegt John Morris van het Centrum voor Democratie en Technologie. "Welk recht heeft de bank om het e-mailaccount van een compleet onschuldig persoon uit te schakelen?" De schuld ligt volgens hem duidelijk bij de blunderende bank. "Die zou geen rechtszaak tegen twee compleet onschuldige partijen moeten aanspannen en het e-mailadres van één van deze onschuldige partijen moeten verstoren."

    Ook Eric Goldman, directeur van het High Tech Law Institute aan de Universiteit van Santa Clara is geschrokken door de uitspraak van de rechter. "Het verliezen van een e-mailaccount is vrij ernstig. Het is verontrustend dat een rechter zomaar kan bepalen dat mijn account gesloten moet worden."
  • Vorige week vond voor de eerste keer de Belgische hackerconferentie Brucon plaats, waar werd aangekondigd dat België een eigen Computer Emergency Response Team krijgt. Tevens waren er tal van lezingen, workshops en trainingen, die nu ook te bekijken zijn voor mensen die het evenement niet konden bezoeken. Zowel de presentaties als video's zijn te downloaden en gaan onder andere over social engineering voor pentesters, overgang naar IPv6, gevaar van sociale netwerken, cyberoorlog, botnets, cloud computing, aanvallen van backbone technologieën, hackerspaces, cryptografie, SQL injectie en script fragmentatie.
  • Veel websites worden gehackt omdat aanvallers FTP inloggegevens via besmette computers weten te stelen, met name gebruikers van bepaalde programma's lopen risico. Zoals bijvoorbeeld in het geval van FileZilla, dat FTP wachtwoorden als platte tekst opslaat. FileZilla is echter niet het enige FTP programma waar de Daurso Trojan het op voorzien heeft. Ook wordt er standaard gezocht naar de inloggegevens van CoffeeCup Direct FTP, TransSoft FTP Control 4, Core FTP, GlobalScape CuteFTP, Far Manager (met FTP plugin), FlashFXP, SmartFTP, FTP Navigator en Total Commander. "Ik adviseer dat je wachtwoorden niet je in FTP programma opslaat", aldus beveiligingsonderzoeker Denis Sinegubko.

    Toch is het verstandiger om naar een veiliger protocol over te stappen. Zo werd er laatst een Trojaans paard ontdekt dat FTP-verkeer snift, om zo inloggegevens te bemachtigen. "Als je FTP gebruikt, kun je je wachtwoorden hier niet tegen beschermen, aangezien het FTP protocol geen encryptie ondersteunt." De oplossing is dan ook het gebruik van veiligere protocollen zoals SFTP of FTPS. "De meeste FTP clients ondersteunen deze protocollen, dus je hoeft geen nieuw programma te gebruiken. Zit je op een shared server, zorg er dan voor dat je hostingplan één van deze veilige protocollen bevat."
  • {jcomments on}In dit filmpje laat Security.nl zien hoe je anoniem kunt internetten met gebruik van het programma Tor, in combinatie met de Firefox Torbutton plugin en de grafische interface Vidalia. The Onion Routing (TOR) is een netwerk voor anonieme communicatie gebaseerd op "Onion Routing", een technologie uitgevonden door het US Naval Research Laboratory.

    Het Tor-netwerk is bedoeld om te voorkomen dat anderen door analyse van het internetverkeer kunnen achterhalen wat de herkomst en bestemming van berichten is, doordat verschillende onion servers (computers die als tussenstations dienen) gebruikt worden om de bestemming te bereiken. Vidalia word gebruikt om Tor te kunnen activeren en deactiveren, het netwerk in kaart te brengen, netwerk instellingen te wijzigen die voor Tor van toepassing zijn en een log bij te houden van alles wat er tijdens Tor-sessie gebeurt.

    LET OP!
    Tor is geen garantie voor 100% anonimiteit. Denk dus goed na dat je geen zaken doet die je kunnen identificeren, zoals het bezoeken van je Hyves pagina, e-mailen, etc. Verder is het verstandig om een apart user account zonder cookies en plugins te gebruiken, aangezien die ook je identiteit kunnen verklappen.

    Links
    Tor Project
    Tor Proxy 

  • HomePage

    Retro games are not only about nostalgia.  Thanks to some web services like RemainInPlay, they are also about playing titles which you couldn’t afford the first time around. The website is the home for old games from the last 20 years. The selection for free download cuts across categories – featuring classic games like Quake III and Grand Theft Auto. There are also the DOS oldies like Doom.

    The common base is that these are all commercial games that have been released as freeware games by their copyright owners. No abandonware games or original freewares here. These are games which would have required you to sacrifice two months of allowance. Now, it’s a free download courtesy RemainInPlay.

    The site itself has an outdated look about it. The landing page lists the newest ones that have entered the catalog. The easiest way to go back in time for the game of choice is by using the search engine. The site search engine comes with a lot of filters like OS, genre, rating score, date of release etc.

    Search-Engine

    The Games message board is for chit chat on anything close to gaming. Another way to catch the latest is with the section on Games News. Stumbling through the site is a good idea. Or you could check out the screenshots before selecting the one to play. The quickest way to grab the best though would be to start with the Top 10 Games list.

    The site may pose as the graveyard for old games but it gives a great free way to dig up the past.

    If you want to have a blast from the past, head back to our emulator hacks. Make sure you check out our vast list of the best emulators that allow you to play games meant for the older platforms such as NES, Ps2, Xbox, GBA, etc. And if you want to just play the best of NES within a browser bookmark – 100 Online NES Games – No Emulators.

    Source: Lifehacker

  • Systeembeheerders bij bedrijven hebben inmiddels door dat besturingssystemen gepatcht moeten worden, maar als het gaat om applicaties dan is er een gebrek aan tijd, focus en werkt de software zelf ook niet mee, zegt Paul Ferron van Qualys tegenover Security.nl. "De trend is dat OS'en redelijk goed gepatcht worden", aldus de managing director Benelux. Gisteren presenteerde SANS een rapport waarbij Qualys een deel van de data aanleverde, gebaseerd op de scans van 9 miljoen clients. Aan de hand daarvan kon men een top 30 van meest voorkomende beveiligingslekken opstellen. Op zich is de lijst ook een overzicht van meest geïnstalleerde software en meest genegeerde kwetsbaarheden, zo gaat Ferron verder. Zo staat op de 22ste plek een Adobe lek uit 2007. "Er wordt gewoon niet voldoende gepatcht."

    Wegklikken
    Het belang van het updaten van het besturingssysteem is inmiddels overal doorgedrongen. Daar zijn ook tal van leveranciers op gesprongen, maar de andere applicaties is men vergeten. Ferron noemt de houding van veel bedrijven zorgwekkend. Die denken dat updates netjes geïnstalleerd worden, terwijl in werkelijkheid werknemers het installeren van de updates wegklikken. Verder blijkt uit het rapport dat aanvallers inmiddels ook al lang en breed met het fenomeen bekend zijn en zich massaal op het aanvallen van client-side applicaties richten. Met de onderstaande lijst hoopt Ferron dat bedrijven inzien welke kwetsbaarheden waarschijnlijk ook bij hen aanwezig zijn, en dat men dringend de problematiek moet aanpakken.

    Top 30 meest voorkomende beveiligingslekken
    1. WordPad en Office Text Converters (MS09-010)
    2. Sun Java (244988 en andere)
    3. Sun Java Web Start (238905)
    4. Java Runtime Environment Virtual Machine (238967)
    5. Adobe Acrobat en Adobe Reader (APSA09-01)
    6. Microsoft SMB (MS09-001)
    7. Sun Java Runtime Environment
    8. Microsoft Excel (MS09-009)
    9. Adobe Flash Player Update (APSB09-01)
    10. Sun Java JDK JRE (254569)
    11. Microsoft Windows Server Service (MS08-067)
    12. Microsoft Office PowerPoint (MS09-017)
    13. Microsoft XML Core Services (MS08-069)
    14. Microsoft Visual Basic Runtime Extended Files (MS08-070)
    15. Microsoft Excel (MS08-074)
    16. Microsoft DirectShow (MS09-028)
    17. Microsoft Word (MS08-072)
    18. Adobe Flash Player (APSB07-20)
    19. Adobe Flash Player (APSB08-20)
    20. Third Party CAPICOM.DLL
    21. Microsoft Windows Media Components (MS08-076)
    22. Adobe Flash Player (APSB07-12)
    23. Microsoft Office (MS08-055)
    24. Adobe Reader (APSA09-02 en APSB09-06)
    25. Microsoft PowerPoint (MS08-051)
    26. Processing Font lek in JRE (238666)
    27. Microsoft Office (MS08-016)
    28. Adobe Acrobat/Reader (APSB08-19)
    29. Adobe Acrobat en Adobe Reader (APSB08-15)
    30. Windows Schannel Security Package (MS09-007)
  • Een Duitse beveiligingsonderzoeker heeft een beveiligingsprobleem bij verschillende smartphones ontdekt waardoor het mogelijk is om de afzender van SMS-berichten te verhullen of te vervalsen. Volgens Michael Mueller kan een aanvaller op deze manier de ontvanger een bepaalde link laten openen, maar ook het anoniem versturen van haatberichten behoort tot de mogelijkheden. Het probleem zit hem in de WAP Push SI (Service Indication). Een speciale service SMS waarmee providers en anderen op eenvoudig wijze gebruikers over nieuwe diensten kunnen informeren. Bij sommige smartphones wordt de afzender van het bericht niet goed weergegeven.

    De kwetsbaarheid in Blackberry, Windows Mobile en Sony Ericsson toestellen is sinds juni 2008 bekend. Mueller besloot nu pas tot "full-disclosure" over te gaan, zonder eerst de betrokken fabrikanten in te lichten. Voor zover bekend is er geen workaround of andere oplossing voor het probleem. Daarnaast ontdekte de Duitser een probleem met het versturen van MMS-berichten. Ook hierbij is de afzender onbekend, maar in het geval de MMS client niet goed geconfigureerd is, zou die automatisch de opgegeven content in de URL downloaden.


  • Een kwaadaardige advertentie op de website van de New York Times heeft een nog onbekend aantal bezoekers doen laten geloven dat hun computer met malware besmet was. De popup maakte reclame voor een nep-virusscanner. Wie op de popup klikte werd naar een website doorgestuurd die de nep-software aanbood. Volgens de krant ging het om een ongeautoriseerde advertentie en heeft men inmiddels maatregelen genomen om te voorkomen dat het probleem zich nogmaals voordoet. Bezoekers die de nepwaarschuwing toch te zien krijgen, krijgen het advies om er niet op te klikken en de browser te sluiten en te herstarten.

    Begin juli werden ook al besmette advertenties op CNN, GameSpot, BBC en andere grote websites aangetroffen. In april verscheen er een advertentie voor nep-virusscanners op FoxNews. Google kondigde in juni daarom een plan aan om geïnfecteerde en kwaadaardige advertenties aan te pakken.

  • Een Amerikaans sloopbedrijf is het slachtoffer van een Trojaans paard geworden dat de twee-factor authenticatie van de bank omzeilde en bijna 450.000 dollar van de bankrekening haalde. Halverwege juli raakte één van de systemen van Ferma Corp. besmet en begon met het overmaken van geld naar de rekening van 39 katvangers. Het bedrijf werd uiteindelijk niet door de eigen bank, maar door de banken van de katvangers ingelicht. Uiteindelijk wist men 232.000 dollar te storneren.

    De bank van Ferma haalde zelf 50.000 dollar terug, maar weigert dat aan het bedrijf over te maken, tenzij het een overeenkomst tekent om de bank niet wegens de overige verliezen aan te klagen. Ferma dreigde de bank aan te klagen, waardoor men nu in een impasse zit. De aanvallers wisten de twee-factor authenticatie te omzeilen. Naast gebruikersnamen en wachtwoorden, moeten gebruikers ook een unieke code van een calculator opgeven, die elke 60 seconden een nieuw getal genereert.

    Live CD
    Wat voor malware voor de aanval verantwoordelijk is, is onbekend, maar vermoedelijk gaat het om de Zeus Trojan. Eén van de werknemers klaagde op de dag van de aanval dat ze problemen met het inloggen had. "De werknemer moest uiteindelijk zijn wachtwoord resetten. Tegen de tijd dat we door hadden wat er gebeurde, had de hacker het geld al opgenomen", aldus manager Rich Parodi. Het incident staat niet op zichzelf. Brian Krebs interviewde tal van bedrijven die op deze manier slachtoffer zijn geworden. Hij adviseert om gebruikers die bankzaken moeten doen een Mac of Linux systeem te geven, of een Live CD te laten gebruiken.

    bron: security.nl
  • De Hogeschool Utrecht is bepaald niet alleen met een lek intranet. De beveiliging van netwerken en privégegevens lijkt geen prioriteit in onderwijsland.

    Scholen besteden veel te weinig aandacht aan het online beschermen van privégegevens van studenten en docenten. Met name op hbo-niveau is er veel informatie terug te vinden. Dit zegt zoekexpert Henk van Ess: "Op heel veel hbo-scholen zie je dat een aantal intranetten gewoon open staan."

    Volgens Van Ess gaat het om honderden documenten. Hij benadrukt dat dit het resultaat is van een korte verkenning via Google. Na gedegen onderzoek kan er veel meer boven water komen.

    Een verkenning van Webwereld wijst uit dat inderdaad veel scholen hun intranet open hebben staan, of op zijn minst documenten openbaar maken die voor intern gebruik zijn bedoeld. Van Ess trekt daar de lijn: "Mijn meetlat is dan dat er informatie wordt getoond die alleen maar bedoeld zijn voor intern gebruik."

    Kamer bezorgd

    Toch kan de geopenbaarde privé-informatie relatief ver gaan. Zo is een deel van het oude intranet van de Faculteit Communicatie en Journalistiek (FCJ) van de Hogeschool Utrecht meer dan een week na het offline halen van de openbare site nog gewoon terug te vinden via de cache van Google. De FCJ publiceert opdrachten van studenten, correspondentie met de examencommissie, e-mails van bronnen voor artikelen zoals bijvoorbeeld Maurice de Hond en beleidsstukken van de organisatie.

    Naar aanleiding van het openstaande intranet van de FCJ werden er door het CDA Kamervragen gesteld aan minister Plasterk van Onderwijs, Cultuur en Wetenschap (OCW). De minister moet uitleg geven over de online beveiliging van privégegevens van studenten, docenten en medewerkers van scholen en opleidingen. Volgens Van Ess staat bij genoeg scholen de deur wagenwijd open voor iedereen die op zoek is naar privé-informatie.

    Andere scholen

    Zo publiceert het Clusius College, een vmbo-school, bijvoorbeeld lijsten van leerlingen, werkstukken, maar ook notulen van vergaderingen van de leerlingenraad via Google. Bij een rechtstreekse benadering van het netwerkadres van het intranet via de browser krijgt de bezoeker de volgende boodschap: "Toegang verboden! U hebt niet de toestemming om toegang te krijgen tot de gevraagde map." Maar via een simpele omweg van de Google cache kan jan en alleman wel de deur plat lopen.

    De Marnix Academie, een opleiding voor leraren in het basisonderwijs, deelt op het afgesloten intranet mee dat in 2008 'Office 2007 niet is doorgevoerd'. "Het is nog geen internationaal geaccepteerde standaard", staat te lezen via Google. Op school is het onmogelijk voor studenten om documenten gemaakt met dat softwarepakket niet kunnen openen. Ook kan de creatieve googelaar te weten komen welke studenten op welk tijdstip zijn ingedeeld bij een dvd-presentatie onder leiding van docent Paul Smalen.

    Ook hogeschool Fontys in Tilburg kampte met een lek intranet, ongeveer rond dezelfde tijd van het HU-lek. Ook hier was via de cache van Google het nodige terug te vinden. Het ging onder andere om convenanten met bedrijven en kranten, maar ook om opdrachten en cijferlijsten. In tegenstelling tot de HU kreeg Fontys het wel voor elkaar de gevoelige informatie binnen een week van het web te verwijderen.

    Beter nadenken

    Van Ess benadrukt dat niet alle informatie die via Google gevonden wordt, en bedoeld is voor intern gebruik, een probleem hoeft te zijn. "Er zitten ook onschuldige dingen tussen." Volgens Van Ess worden er door scholen en universiteiten ook veel documenten gepubliceerd waarvan wordt gedacht dat het wel online kan, maar waar toch privacygevoelige informatie in staat. "Dat zijn roosters met leerlingen, rapportvergaderingen en verder dingen die voor de school puur intern zijn, maar toch op het net staan omdat de school denkt: ach, dat kan toch geen kwaad."

    Volgens Van Ess is dat het grootste probleem. Hij is er van overtuigd dat uiteindelijk de it-afdelingen de intranetten - binnen enkele jaren - wel hebben dichtgetimmerd. De zoekexpert vindt dat er bij scholen meer nagedacht moet worden over de informatie die online wordt gezet. "Ik weet dat scholen openbaar moeten zijn en zich zo veel mogelijk in de maatschappij moeten bewegen. Maar dat zou ik vooral met kennis doen, maar met privégegevens van personen hoeft dat niet."

    Houden aan richtlijnen

    Scholen zouden het probleem serieus moeten nemen en niet aan de kant moeten schuiven, vindt Van Ess. Een school zou kunnen inventariseren wat er allemaal op het web staat en dat leggen langs de richtlijnen (pdf) van het College bescherming persoonsgegevens (CBP). "Zij hebben al een uitstekende richtlijn voor het omgaan met privacygevoelige gegevens opgesteld. Die zou ik als meetlat nemen. En dan durf ik er vergif op in te nemen dat de meerderheid van de scholen dan toch wel even gaat schrikken."

    strafregels_lek_intranet

  • De Mozilla stichting heeft vijf beveiligingslekken in Firefox verholpen, die aanvallers via drive-by downloads konden misbruiken om systemen over te nemen. Vier van de kwetsbaarheden bevinden zich in Firefox 3.5, terwijl Firefox 3.0 er met vijf te maken heeft. Drie van de vijf lekken hebben de zwaarste beoordeling van de opensource ontwikkelaar gekregen, wat betekent dat aanvallers er willekeurige code mee uit kunnen voeren. De overige lekken laten aanvallers de adresbalk spoofen of maken het installeren van een kwaadaardig PKCS11 module eenvoudiger. Daarnaast is de stabiliteit van Firefox 3.0.14 en versie 3.5.3 verder verbeterd.

    Om het internet een stuk veiliger te maken, waarschuwen beide browsers nu ook als gebruikers een kwetsbare Adobe Flash Player plugin geïnstalleerd hebben. Het is de bedoeling dat in de toekomst dit ook voor plugins van andere leveranciers gaat gelden. Gebruikers ontvangen automatisch binnen de komende 48 uur bericht dat de update beschikbaar is. Toch krijgen gebruikers van Firefox 3.0.x nu al het advies om naar versie 3.5.3 te upgraden.

  • Het onderstaand filmpje van Panda Security laat zien dat wanneer malware eenmaal op een systeem actief is, de inlogvensters (met SSL) niet meer te vertrouwen zijn.

    Live Demo: Banking Trojan from Panda Security on Vimeo.

  • Op het internet zijn tal van websites te vinden waar hackers aanbieden om het wachtwoord van een echtgenoot, vriend of kennis te kraken. Eén van die sites is Yourhackerz.com, waar een obsessieve Amerikaanse echtgenote het account van haar man liet kraken omdat die er andere vrouwen op nahield. Voor honderd dollar kreeg ze de inloggegevens van het AOL account dat haar man gebruikte. Voor een extra honderd dollar kreeg ze ook de wachtwoorden van de vriendinnen waar haar man mee omging. De vrouw gebruikte vervolgens een "spoofing service" om haar man en zijn familie lastig te vallen. Uiteindelijk werd ze gearresteerd en veroordeeld tot een gevangenisstraf van 15 maanden.

    Onveilig
    Dat neemt niet weg dat cracksites overal zijn te vinden en zelf beweren geen probleem te hebben met het hacken van webmaildiensten als AOL, Yahoo, Gmail, Facebook en Hotmail. Volgens experts is er weinig dat er aan de sites te doen is. "We gebruiken e-mail al jaren, en het is al die tijd onveilig. Als je een competente hacker hebt die voldoende tijd investeert en het op jou heeft voorzien, dan zal hij je pakken", zegt Peter Eckersley van de Electronic Frontier Foundation.

    Amerikaanse wetgeving verbiedt het kraken van e-mailaccounts, maar als er verder geen misbruik plaatsvindt, dan geldt het alleen als een klein vergrijp. Veel opsporingsdiensten hebben niet de middelen om dit soort kleine vergrijpen te onderzoeken. Een woordvoerder van de FBI laat weten dat men van de illegale diensten op de hoogte is. "Maar de FBI is geen internetpolitie", zo besluit hij.
  • De Roemeense hacker Unu is erin geslaagd de websites van HSBC, Dexia en ING Belgie te hacken en zo een onbekend aantal klantgegevens en andere vertrouwelijke informatie buit te maken. Via SQL-injectie wist hij toegang tot verschillende databases te krijgen, maar in het geval van Dexia was het ook mogelijk om "load_file execution" uit te voeren. "Met enig geluk kunnen we een schrijfbare directory vinden, kwaadaardige code injecteren, vervolgens krijgen we command line toegang waarmee we bijna alles met de website kunnen doen", aldus Unu. Zo is het mogelijk om shells te uploaden, redirects in te stellen, pagina's te infecteren met Trojan droppers en zelfs het defacen van de website.

    Bij de Belgische afdeling van ING betrof het de Giftshop, toch schrok de Roemeense hacker van de gebrekkige beveiliging. Zo was het admin wachtwoord in platte tekst opgeslagen, wat ook gold voor de wachtwoorden van alle geregistreerde gebruikers. "ING is één van de grootste financiële instellingen ter wereld. Toch slaagt zo'n grote financiële instelling er niet in de eigen database te beveiligen!" Hoewel de SQL-injectie in de cadeauwinkel zat, ontdekte de hacker dat die zich op de "grote ING server" bevindt.

    Slordig
    Via een onbeveiligde parameter wist Unu volledige toegang tot de database van HSBC Frankrijk te krijgen. "Zeer ernstig en gevaarlijk, met name bij een bank die internetbankieren heeft." De hacker probeerde de beveiligingsproblemen te melden, maar vond geen contactgegevens. Daarop stuurde hij een bericht naar de webmaster, admin, abuse en security e-mailadressen, maar ontving alleen een out-of-office bericht dat mensen op vakantie waren. "Het is ongelooflijk om bij zo'n grote bank geen competente medewerker te vinden die de e-mail kan beantwoorden." Ondanks herhaaldelijke pogingen blijkt de bank niet te reageren. Daarom zal de hacker vandaag de onveilige parameter publiceren.

    Bron: Security.nl

  • Na een downtime van vier dagen zijn de bekende beveiligingswebsites seclists.org, insecure.org en nmap.org weer online. Een defecte harde schijf op de hoofdserver zorgde ervoor dat de drie sites onbereikbaar waren. Ook de online versie van mailinglijsten als Full Disclosure en Bugtraq waren hierdoor uit de lucht. "Yay, we zijn weer online! Net op tijd voor een rustige Labor Day namiddag van barbecueën en port scanning", zo is op Twitter te lezen. (ISC)

  • Hacker 'GreyHatHacks', die twee weken geleden door de beveiliging van Fok heenbrak, heeft diverse databases met persoonsgegevens te koop aangeboden. De hacker verkoopt de gegevens van leden van Fok echter niet.

    De hacker, die schuilgaat achter het e-mailadres This email address is being protected from spambots. You need JavaScript enabled to view it., bood een database van de website GratisOpTeHalen.nl aan. In die database stonden 31.467 profielen van mensen die zich hadden aangemeld. Hij bood ook de databases van GameSpy en MoneyBunker te koop aan, maar die sites had hij nog niet gehackt.

    Dit blijkt uit een mailwisseling van GreyHatHacks en iemand die anoniem wenst te blijven: die laatste had zich voorgedaan als spammer, die geïnteresseerd was om de database van Fok te kopen. De hele mailwisseling is in handen van Tweakers.net. GreyHatHacks wilde dat de betaling zou geschieden, door een zak geld achter te laten vlak in een struik naast een spoorbaan ergens in Nijmegen.

    GreyHatHacks stal twee weken geleden bij een hack de complete database van Fok. De hacker wil die database echter niet verkopen, omdat hij naar eigen zeggen tijdens de hack geen proxy gebruikt zou hebben en daardoor te makkelijk te pakken zou zijn.

    Webmaster Ton van den Hoogen van GratisOpTeHalen.nl bevestigt de hack van zijn site tegenover Tweakers.net en reageert geschokt. "Ik ben druk bezig met het dichten van het lek. Ik heb de tijd nog meegemaakt dat je op internet zonder beveiliging en firewalls kon. Ik ga toch ook niet de straat op met allemaal messen en pistolen om me te beschermen?"

    Van den Hoogen overweegt aangifte tegen de hacker te doen. "Na het dichten van het lek ga ik kijken of ik hem iets kan maken. Als dat kan, ga ik zeker naar de politie, want ik vind dit te zot voor woorden."

    Fok gehackt
  • Een phishingaanval op Britse belastingbetalers is een stuk geloofwaardiger worden nu phishers hun website op een gov.uk domein hosten. Het gaat om een gehackte website van Sefton Council, waar de phishers hun eigen pagina plaatsten. De phishingaanval zelf laat ontvangers geloven dat ze in aanmerking voor belastingteruggave komen als ze hun creditcardgegevens achterlaten. Die worden vervolgens naar de phishers gestuurd. In het geval van gov.uk domeinen wordt de uitgifte door de Central Office of Information bepaald en is zeer beperkt. Dit komt de integriteit ten goede, maar heeft een ongewenst effect als phishingsites hier misbruik van maken, zo meldt Netcraft.
  • De komende patchronde van Microsoft belooft een zware te worden. Vijf bulletins staan op de rol, allemaal als ‘kritiek’ bestempeld.

    Alle vijf de bulletins hebben betrekking op de verschillende Windows-versies. Alle vijf zijn door Microsoft ondergebracht in de groep ‘kritiek’, de hoogste trede van de indeling die het concern hanteert voor dreigingen. Toch wil dit niet zeggen dat alle bulletins voor alle besturingssystemen even zwaar zijn. Zo is ‘Bulletin 4’ niet van belang voor XP, en staat het als slechts ‘moderate’ te boek voor Windows Server 2003.

    Vage vooraankondiging

    Wat de patches gaan verhelpen, is nu nog onduidelijk. Microsoft geeft normaliter niet veel weg in de vooraankondigingen voor zijn patches. Dit keer zijn de mededelingen vooraf wel heel vaag.

    Dat vindt ook vaste commentator bij Computerworld Andrew Storms van nCircle. Hij speculeert wel dat er wederom een paar ATL-lekken worden gedicht. Er zijn nog steeds componenten die naar verouderde ATL-libraries verwijzen, waardoor het systeem kwetsbaar is.

    Ook Vista en Server 2008

    Verder blijkt dat ook de nieuwste besturingssystemen (Vista en Windows Server 2008) een paar kritieke lekken bevatten. Opvallend is dat er nu geen patch komt voor een recent ontdekt lek in webserver IIS. De patches komen dinsdagnacht Nederlandse tijd beschikbaar.

    Bron: Techworld.nl.

  • De applicaties die Facebook-gebruikers kunnen installeren zijn zo lek als een mandje en als bewijs zal een beveiligingsonderzoeker in september tal van lekken publiceren. Facebook is met 250 miljoen gebruikers de populairste sociale netwerksite op internet. Naast de website zelf, zijn er tal van ontwikkelaars die aanvullende programma's en uitbreidingen ontwikkelen. Het probleem zit hem in de Facebook API, die andere ontwikkelaars volledige toegang tot de profielen van gebruikers geeft.

    Onderzoeker "theharmonyguy" vond ernstige beveiligingslekken in de tien populairste Facebook applicaties, die in sommige gevallen meer dan 30 miljoen gebruikers hebben. Het gaat dan met name om cross-site scripting. Theharmonyguy heeft inmiddels zes lekken gepubliceerd, die inmiddels ook allemaal gepatcht zijn. Betrokken ontwikkelaars worden 24 uur voor publicatie over aanwezige problemen en lekken ingelicht.
  • Een lek in Microsoft SQL Server laat gebruikers met administrator rechten de onversleutelde wachtwoorden zien van andere gebruikers. Microsoft is niet van plan om het lek op korte termijn te dichten.

    Het lek zit in SQL Server 2000, 2005 en 2008 op alle Windows platformen. Het is bekendgemaakt door Sentrigo. Een onderzoeker merkte op dat de persoonlijke wachtwoorden duidelijk zichtbaar waren in het geheugen in SQL Server, aldus Slavik Markovich, de CTO van Sentrigo. “Het is dan wel alleen mogelijk om deze kwetsbaarheid uit te buiten als je administrator rechten hebt”, zei hij, “maar vaak hebben meerdere gebruikers binnen IT-organisaties die rechten. Zelfs als zulke mensen helemaal betrouwbaar zijn, zou het nog niet moeten mogen dat ze de wachtwoorden van anderen kunnen zien. Bovendien bestaat altijd het risico dat een hacker zich die rechten toe-eigent, en dan kan de toegang tot deze gebruikerswachtwoorden de impact van zo’n hack vele malen groter maken.”

    Naar eigen zeggen heeft Sentrigo eerst het MSRC team van Microsoft op de hoogte gesteld van het lek, maar Microsoft heeft daarna aangegeven dat men niet van plan is om het lek direct aan te pakken. Volgens Sentrigo is het dan in het belang van de hele SQL gemeenschap dat deze kennis gedeeld wordt. Bovendien heeft het bedrijf een tooltje uitgebracht waarmee gebruikers hun wachtwoorden uit het geheugen kunnen wissen.

    Bron: techworld.nl

  • Microsoft heeft haar gebruikers gewaarschuwd voor een ernstig beveiligingslek in de Internet Information Services waardoor een aanvaller het systeem via FTP kan overnemen. De kwetsbaarheid verscheen gisteren op de Full-Disclosure mailinglist en bevindt zich volgens de softwaregigant in IIS 5.0, 5.1 en 6.0. Bij Windows 2000 en Small Business Server 2003 is de FTP service standaard geïnstalleerd. Bij Windows XP en Server 2003 is dat niet het geval. Daarnaast lopen systemen alleen risico als "niet vertrouwde" FTP-gebruikers schrijfrechten hebben, iets wat standaard ook niet het geval is. Microsoft merkt verder op dat IIS 6.0 minder risico loopt, omdat het met de /GS compiler optie is gecompileerd. "Dit verhelpt het beveiligingslek niet, maar maakt misbruik een stuk lastiger."

    Oplossing
    Het beveiligingslek wordt veroorzaakt door het weergeven van een lange, speciaal geprepareerde directory naam. De aanvaller moet rechten hebben om deze map te maken en kan vervolgens via een stack overflow code uitvoeren met de rechten van LocalSystem.

    Hoewel er nog geen aanvallen in het wild bekend zijn, kunnen beheerders in afwachting op een patch verschillende maatregelen nemen. Het gaat dan om het uitschakelen van de FTP service, schrijfrechten van niet vertrouwde gebruikers uitschakelen en de NTFS file system permissies aanpassen, zodat FTP-gebruikers geen directories kunnen aanmaken. Beheerders die Snort draaien kunnen via deze rules detecteren of er een aanval plaatsvindt. Een andere mogelijkheid is het zelf bekijken van de logbestanden, zoals Microsoft op deze pagina uitlegt.


Copyright © 2017. All Rights Reserved.