Monthly Archives: december 2012
Hacker gooit alle data van Belgisch hulpverleningsforum weg
Een Belgisch forum voor hulpverleners is vorige week zaterdag slachtoffer geworden van een aanval. Een hacker wist met succes de servers waarop Hulpdienstenforum-Vlaanderen.be draait te hacken en alle databestanden te vernietigen.
Hulpdienstenforum-Vlaanderen.be toont op dit moment alleen nog een boodschap waarmee bezoekers op de hoogte worden gesteld van de hack. De maker stellen dat de aanval werd uitgevoerd op het moment dat een backup van het forum werd gemaakt. Alle HTM- en PHP-bestanden zijn hierdoor corrupt geworden.
[strong]Database corrupt[/strong]
De website beschikt ook over een database met alle gegevens over gebruikers en alle berichten die ooit op het forum zijn geplaatst. Deze deze telt in totaal 3,1GB, waarvan ongeveer 2GB intact is gebleven. 1,1GB van de database is dus eveneens corrupt geworden.
Hulpdienstenforum-Vlaanderen.be kondigt aan ondanks de forse tegenslag een herstart te willen maken. Meer informatie over deze restart wordt op de website van het forum bekend gemaakt.
Lek in Internet Explorer maakt overnemen van Windows-machines mogelijk
Microsoft waarschuwt voor een nieuw beveiligingslek in Internet Explorer dat kwaadwillenden de mogelijkheid biedt Windows-machines over te nemen. Zowel Internet Explorer (IE) 6, 7 als 8 bevatten het lek en zijn dus kwetsbaar.
Het beveiligingslek is vorige week ontdekt nadat vermoedelijk Chinese hackers een zero-day aanval lanceerden tegen de website van de Amerikaanse denktank Council on Foreign Relations (CFR). Hackers voorzagen de website van malware, die werd geïnstalleerd zodra een gebruiker de website bezocht met IE 6, 7 of 8.
Oorzaak van het lek
Het beveiligingslek is veroorzaakt door de wijze waarop Internet Explorer een verwijderd of niet juist toegewezen object in het geheugen benaderd. Door deze onjuist benadering kan het geheugen corrupt worden, wat hackers de mogelijkheid biedt eigen code op de machine uit te voeren.
Microsoft belooft op korte termijn met een update te komen die het beveiligingslek dicht en een oplossing waarmee Windows-gebruikers hun computer eenvoudig kunnen beschermen en opschonen. Op dit moment kunnen gebruikers een aantal maatregelen nemen om te voorkomen dat zij geïnfecteerd worden met malware. Zo raadt Microsoft aan te upgraden naar IE 9 of 10, aangezien deze varianten niet kwetsbaar zijn.
JavaScript uitschakelen
Ook adviseert het bedrijf het beveiligingsniveau van IE te verhogen naar het hoogste niveau en zowel Active Scripting, JavaScript als Adobe Flash Player uit te schakelen. Tot slot stelt Microsoft dat het verstandig is het ms-help protocol uit te schakelen en het onmogelijk te maken dat Java 6 kan worden uitgevoerd.
Ontwikkelaars Android-malware niet vervolgd aangezien zij slachtoffers waarschuwden
Vijf Japanners worden niet vervolgd voor het besmetten van Android-smartphones aangezien zij hun slachtoffers waarschuwden voor de besmetting. Het is daarnaast niet bewezen dat de vijf bewust de wet overtraden door de gegevens te verzamelen.
Dit meldt het Japanse Daily Yomiuri. De malware zat verstopt in een video-app voor Android-smartphones, die werd aangeboden in Android-appwinkel Google Play. De malware is ontworpen om gegevens van geïnfecteerde smartphones door te sturen naar een server van de ontwikkelaars. Het gaat hierbij onder andere om telefoonnummers en e-mailadressen uit het adressenboek van de smartphones.
Gegevens van 10 miljoen gebruikers
De Japanse politie deed een inval bij de vijf Japanners die de malware hebben ontworpen en trof persoonlijke gegevens van 10 miljoen Android-gebruikers op hun server aan. De servers bevatten volgens de politie echter geen aanwijzingen dat de ontwikkelaars deze informatie ook daadwerkelijk misbruikt hebben.
Het Japanse Openbaar Ministerie (OM) kondigt nu aan de ontwikkelaars van de malware niet te vervolgen. De belangrijkste reden hiervoor is het feit dat de hackers hun slachtoffers met een melding waarschuwde dat de malware contactgegevens uit het adresboek zou downloaden. Ook stelt het OM dat niet bewezen kan worden dat de vijf bewust de wet overtraden door de gegevens op te slaan. De hackers zijn daarom vrijgelaten.
Hackers vallen meldpunt Vuurwerkoverlast.nl aan met DDoS-aanvallen
De website Vuurwerkoverlast.nl ligt onder vuur van hackers. Het meldpunt voor vuurwerkoverlast is sinds de opening diverse malen onbereikbaar geweest. De website zou onder voor liggen van DDoS-aanvallen.
De beheerders van Vuurwerkoverlast.nl dachten in eerste instantie dat de grote hoeveelheid bezoekers van de website de oorzaak van de problemen was. Het meldpunt maakt op Twitter echter bekend dat de website door hackers wordt aangevallen. De aanvallen zouden sinds donderdag worden uitgevoerd.
Content delivery netwerk
Tweakers meldt dat de beheerders van Vuurwerkoverlast.nl inmiddels zijn overgestapt op het content delivery netwerk CloudFlare. Het is echter onduidelijk of hierbij gebruik wordt gemaakt van de betaalde variant, die bescherming biedt tegen DDoS-aanvallen. De gratis versie biedt deze bescherming niet. Het meldpunt is inmiddels weer bereikbaar.
Vuurwerkoverlast.nl is een meldpunt waar burgers klachten konden indienen over overlast die zij ervaren door het voortijdig afsteken van vuurwerk. De website is opgericht door een aantal lokale GroenLinks-fracties, die met het meldpunt de omvang van de overlast in kaart willen brengen. Het meldpunt blijft tot 3 januari online, waarna alle meldingen gebundeld worden aangeboden aan de Tweede Kamer.
Minister Schippers: Geen probleem dat een Amerikaans bedrijf het EPD ontwikkelt
Het is geen probleem dat het elektronische patiëntendossier wordt gebouwd en beheerd door het Amerikaanse bedrijf CSC, zolang het bedrijf de garantie kan geven dat de informatie niet in handen van de Amerikaanse overheid kan vallen. Dit laat minister Schippers van Volksgezondheid, Welzijn & Sporten weten in een reactie op kamervragen van de PVV.
Het patiëntendossier kwam onlangs in het nieuws nadat bekend werd dat het bedrijf CSC het systeem ontwikkelt en gaat beheren. Dit kan tot problemen leiden met de Patriot Act, een wet die de Amerikaanse overheid de mogelijkheid geeft zonder tussenkomst van een rechter Amerikaanse bedrijven te dwingen gegevens en data af te staan.
Minister Schippers stelt dat het risico van de Patriot Act minimaal is als CSC een verklaring aanlevert dat de Patriot Act niet van toepassing is op het patiëntendossier. Het is echter de vraag of dit in de praktijk voldoende is om gegevens van Nederlandse burgers veilig te houden.
De Patriot Act stelt de Amerikaanse overheid immers in staat zonder tussenkomst van een rechter gegevens op te eisen. Mocht de Amerikaanse overheid dus van CSC eisen dat zij gegevens inleveren over de Nederlandse patiëntendossiers zal Nederland alleen achteraf naar de rechter kunnen stappen. De gegevens zijn op dit moment dus al in handen van de Amerikaanse overheid.
Nieuwe Android-malware kan DDoS-aanvallen opzetten
Nieuwe malware voor Android kan DdoS-aanvallen uitvoeren op verschillende doelwitten op internet vanaf Android-smartphones. Daarnaast stelt de malware hackers in staat SMS-berichten op commando te laten verzenden. Het Russische anti-virusbedrijf Dr. Web waarschuwt Android-gebruikers daarom op te passen voor de malware.
Het neppe Google Play-icoon waarmee de malware wordt geactiveerd
De malware, die is geïdentificeerd als ‘TheAndroid.DdoS.1.origin’, creërt een app-icoon dat sprekend op het icoon van Google Play lijkt. Gebruikers die op het icoon klikken worden doorgestuurd naar de originele Google Play-appwinkel, waardoor zij geen argwaan krijgen. Gebruikers activeren echter ook een Trojan Horse, die verbinding probeert te leggen met een server.
De trojan horse stuurt vervolgens zodra de verbinding is gelegd het telefoonnummer van de geïnfecteerde smartphone door naar de server en wacht op commando’s van de hackers, die via SMS naar de smartphone kunnen worden gezonden. De hackers achter de malware kunnen op de wijze de Android-smartphone datapakketten laten versturen naar een specifiek adres, waardoor een DDoS-aanval kan worden opgezet. Het SMS-bericht met commando’s bevat in dit geval de parameter ‘[server:port]’.
De hackers kunnen de Android-smartphone ook opdracht geven een SMS-bericht te verzenden. In dit geval bevat het SMS-bericht met commando’s de tekst die de hackers willen verzenden en het telefoonnummer waar het bericht naar toegezonden moet worden.
Gebruikers van Android-smartphones die met de malware zijn geïnfecteerd kunnen vervelende gevolgen ondervinden. Doordat hackers zowel data als SMS-berichten kunnen versturen kan de telefoonrekening van het besmette toestel fors oplopen. Daarnaast worden de prestaties van de smartphone door de malware flink verminderd.
Gestolen inloggegevens voor Bol.com voor 1,50 euro per stuk te koop
Gestolen inloggegevens voor Bol.com zijn voor 1,50 euro te koop op het internet. De inloggegevens worden verkregen via met malware geïnfecteerde computers en worden zowel los als in grote pakketen aangeboden.
IT-journalist Brian Krebs meldt dat hackers die zich bezig houden met het stelen van inloggegevens voor online winkels en websites eigen online verkooppunten hebben ontwikkeld voor verkoop van de data. Naast inloggegevens voor de Nederlandse webwinkel Bol.com worden ook inloggegevens voor een groot aantal andere websites aangeboden. Denk hierbij aan Apple.com, PayPal.com, eBay.com, Skype.com, Dell.com, Walmart.com, UPS.com en FedEx.com en Amazon.com.
Prijs van de inloggegevens
De prijs van de inloggegevens verschillen per website. Zo gaan inloggevens voor UPS.com en FedEx.com over de toonbank voor 5 dollar per stuk. Accountgegevens voor Dell.com en Walmart.com worden aangeboden voor 2 dollar per stuk. Inlogggevens voor Bol.com zijn te koop voor 1,50 dollar per stuk.
De inloggegevens worden gestolen met behulp van botnetten als Citadel, ZeuS en SpyEye. De botnetten infecteren grote hoeveelheden machines, waardoor hackers op eenvoudige wijze een grote collectie inloggegevens kunnen verzamelen. Krebson meldt dat de meeste malware standaard alle wachtwoorden die zijn opgeslagen in de browser van een geïnfecteerde machine kopieert. Daarnaast onderschept malware meestal alle gegevens die in webformulieren worden ingevoerd. Het gaat hierbij niet alleen om inloggegevens, maar ook creditcardnummers en adresgegevens.
Wired: Eugene Kaspersky behoort tot de 15 gevaarlijkse personen te wereld
Eugene Kaspersky, oprichter en CEO van het anti-virusbedrijf Kaspersky, behoort tot de 15 gevaarlijkste mensen op aarde. Wired stelt dat Kaspersky eigenhandig de plannen van de Amerikaanse overheid om de nucleaire plannen in Iran te saboteren wist te detecteren en neutraliseren.
Kaspersky is afgelopen jaar verantwoordelijk geweest voor het onschadelijk maken van Stuxnet, Flame en Duqu, zeer professionele virussen die door de Amerikaanse overheid zouden zijn ingezet in de strijd tegen Iran’s nucleaire ambities. Kaspersky wordt op de lijst gezelschap gehouden door onder andere president Bashar Assad van Syrië en de Mexicaanse drugsbaron Joaquin Guzman.
Het Russische anti-virusbedrijf is overigens niet het enige bedrijf dat onderzoek deed naar de ‘supervirussen’ van de Amerikaanse overheid. Zo is Stuxnet ook onderzocht door het Wit-Russische VirusBlokAda en het Amerikaanse Symantec.
Connecties met de FSB
Noah Shachtman, de journalist die het artikel voor Wired schreef, wijst daarnaast op de connecties van Kaspersky met de geheime dienst FSB. Kaspersky levert volgens Shachtman kennis en expertise aan de FSB. Zo zouden beveiligingsexperts van Kaspersky agenten van de FSB trainen in het uitvoeren van forensisch onderzoek op het internet. De FSB is de opvolger van de inmiddels opgeheven geheime dienst KGB, waar Kaspersky vroeger onderdeel van zou hebben uitgemaakt.
Kaspersky en Shachtman hebben geen goede relatie. Shachtman schreef eerder dit jaar een uitgebreid artikel over Kaspersky waarin Shachtman stelde dat de nauwe banden heeft met de FSB en de Russische overheid. Kaspersky beschuldigde Shachtman op zijn beurt van het achterhouden van informatie.
Citadel-botnet bestaat voornamelijk uit Nederlandse zombies
Het Citadel-botnet dat afgelopen zomer actief was blijkt voornamelijk uit Nederlandse en Duitse computers te hebben bestaan. In totaal zijn 143.000 Nederlandse machines geïnfecteerd door het botnet.
Dit blijkt uit onderzoek van Rickey Gevers van Forensisch onderzoeksbureau Digital Investigations. Gevers vermoedt dat het botnet verantwoordelijk is geweest voor de verspreiding van het Dorifel-virus. Dit virus wist in augustus 2012 de IT-systemen van diverse Nederlandse gemeenten plat te leggen. Het is echter niet met honderd procent zekerheid vast te stellen dat het virus inderdaad door het Citadel-botnet is verspreid.
Geen activiteit tussen 2 en 9 augustus
Gevers zegt tegen Webwereld dat het Citadel-botnet tussen 2 en 9 augustus 2012 stil is geweest en geen nieuwe zombies aan zijn netwerk heeft toegevoegd. In deze periode lijkt Dorifel-virus eveneens niet verspreid. Het botnet werd op 9 augustus 2012 weer actief, waarna nieuwe infecties met het Dorifel-virus eveneens weer opdoken. Dit is dan ook een aanwijzing dat het Dorifel-virus via het Citadel-botnet is verspreid.
Het botnet is opgebouwd uit een zo’n 264.000 machines, waarvan het overgrote deel in Nederland staat. Digital Investigations stelt dat het Citadel-botnet 143.000 zombies in Nederland tot zijn beschikking heeft. Het aantal zombies ligt in Duitsland op 78.000 duizend. De overige 43.000 zijn verspreid over verschillende landen. Het is niet duidelijk waarom Nederland en Duitsland een dusdanig belangrijke rol spelen in het botnet.
Apple beveiligt iOS 6.1 beter tegen jailbreaken
Apple beveiligt zijn mobiele besturingssysteem iOS in de aankomende versie, iOS 6.1, beter tegen jailbreaken. Door een iPhone of iPad te jailbreaken krijgen gebruikers administratorrechten, wat hen in staat stelt software die niet afkomstig is uit de App Store te installeren op hun apparaat.
De jailbreaker i0n1c meldt op Twitter dat Apple in iOS 6.1 een aantal maatregelen neemt het ontwikkelen van een jailbreak moeilijker maakt. De hacker gaat niet in op de exacte maatregelen die Apple neemt, maar stelt dat het bedrijf de jailbreakcommunity met de maatregelen flink tegenwerkt.
Controle in de App Store
iPhone- of iPad-gebruikers kunnen standaard alleen via de App Store apps op hun apparaat installeren. Apple controleert alle software die wordt aangemeld voor de App Store, waardoor alleen goedgekeurde apps in de online appwinkel verschijnen. De iPhone-fabrikant beschermt gebruikers op deze manier tegen kwaadwillende software.
De maatregelen van Apple houden echter niet alleen kwaadwillende software buiten de App Store, maar ook software waar gebruikers administratorrechten voor nodig hebben. Door het besturingssysteem van de iPhone en iPad te jailbreaken krijgen gebruikers deze administratorrechten, waardoor zij de apps zelfstandig via internet kunnen installeren.
BYOD
Apps die niet via de App Store worden geïnstalleerd zijn dus niet gecontroleerd door Apple en zijn dus niet gegarandeerd veilig. Voor bedrijven die thuisapparaten op hun bedrijfsnetwerk toestaan brengen gejailbreakte iPhones en iPad’s hierdoor risico’s met zich mee.