Alles over cyber…
Hacking
Cyberorganisaties
Mar 30th
Dat cybercriminelen zich aan het organiseren zijn, sterker nog, georganiseerd zijn is eigenlijk al een tijd bekend. Uiteraard heeft de FBI in de VS dit ook onderkend en ze heeft een inhoudelijk onderzoek gedaan naar de opbouw hiervan. Men heeft uitgevonden dat er al een hele hiërarchie bestaat waarbinnen duidelijke rollen en verantwoordelijkheden zijn vastgesteld.
Een andere conclusie is dat de criminelen zich niet aan de werktijden houden. Die laatste conclusie had iedereen waarschijnlijk wel getrokken. Wel interessant vind ik de rollen die dan onderkend zijn. De 10 belangrijkste worden door de FBI als volgt opgesomd (in het Engels):
- Coders: Those responsible for creating malicious code that will be used to exploit vulnerabilities in programs and systems.
- Distributors: Individuals who buy and sell stolen data, as well as act as representatives for products from other specialty areas.
- Techies: A group that maintains cyber criminals’ IT infrastructure, including servers and databases.
- Hackers: Individuals who search and exploit vulnerabilities in systems and applications.
- Fraudsters: By using social engineering, they create variations of phishing and spamming.
- Webmasters: People who allow their servers and similar resources to be used for cyber attacks.
- Cashiers: Offer stolen user accounts for a fee.
- Money mules: Make economic transactions and sometimes travel to the United States on student or work visas to open accounts.
- Money launderers: Work with currency and transfers to launder money.
- Leaders: Those who have the ability to lead others. They sometimes lack technical competency but get to decide who can be part of the gang, and on what goals the organization should focus.
Best georganiseerd zo…
Google herleidt aanvallen naar Chinese overheid
Mar 24th
Google heeft onderzoek gedaan naar de gerichte aanvallen op het bedrijf en andere Amerikaanse bedrijven. Ze geeft nu aan dat de bron is gevonden: de Chinese overheid; tenminste: in ieder geval gerelateerd aan de overheid.
Het waren volgens Google erg gerichte aanvallen die behoorden tot een georganiseerde operatie: Operation Aurora. Deze wordt zo genoemd omdat men in de sporen die door McAfee werden aangetroffen het woord Aurora vond.
Hoe hebben ze het gedaan? Er werd gebruik gemaakt van een toen nog onbekend lek in Internet Explorer 6. Door het lek heen hebben de daders maandenlang gebruikers met veel of belangrijke rechten bestudeerd. Op basis hiervan werd op sociale netwerk sites zoals Facebook, Twitter, LinkedIn en MySpace persoonlijke informatie gevonden. Met deze kennis werden er e-mails en boodschappen (zoals met Twitter) naar de mensen gestuurd. Hierin stonden links naar een gehackte server in Taiwan. Deze werden vertrouwd omdat de slachtoffers dachten dat deze van collega’s kwamen. Zodra ze connectie hadden met de server werd er een Trojan of een “achterdeurtje” op de PC gezet.
De combinatie van het lek in IE6, de rechten van de betreffende medewerkers en de achterdeur, leidden ertoe dat de hackers vrij spel hadden. Google verdenkt de daders ervan dat ze op zoek waren naar de werking (bron code) van de zoekmachine en hun unieke datamining technieken. Deze zou dan gebruikt kunnen worden bij de Chinese (in handen van de staat) zoekmachine Baidu.
De aanvallen waren dermate specialistisch dat men er nu denkt dat het niet anders kan dan dat dit door of in opdracht van de overheid of de inlichtingendienst van China werd uitgevoerd.
Of dit nu klopt of niet, het geeft wel aan hoe georganiseerd dit soort aanvallen plaatsvinden. De combinatie techniek en social engineering is wat dat betreft killing… Of voor de aanvallers: heel succesvol.
Het blijft rommelen tussen de twee. China beschuldigt Google er al van dat ze samen met de Amerikaanse overheid een cyberwar beginnen. Ik ben benieuwd hoe dit loopt. Is de Android het volgende onderwerp van gesprek daar? In ieder geval wordt de zoekmachine van Google in China al van mobiele telefoons afgehaald. The story continues….
Even niet op Ethiopische sites surfen
Mar 22nd
Verschillende overheidsgerelateerde Ethiopische sites hebben last van virussen en spyware. Er wordt gedacht aan bewuste aanvallen vanuit Iritrea of door dissidenten. Dit onder andere omdat er vorig jaar ook al websites van Ethiopische ambassades gericht zijn aangevallen.
Een andere optie is echter simpeler. Er wordt daar nauwelijks gebruik gemaakt van beveiligingssoftware.
Een goede reden om weer eens aandacht te schenken aan je eigen beveiliging misschien?
Magazine Nationale Veiligheid en Crisisbeheersing
Mar 19th
Hoewel een paar maanden geleden al gepubliceerd, is het magazine Nationale veiligheid en crisisbeheersing van eind 2009 het lezen waard. Het thema: Cybersecurity.
Bij grootschalige ICT-uitval vallen vitale functies weg, kunnen domino-effecten ontstaan en bestaat een substantieel risico op systeemfalen. Bij veel burgers komt dan de vraag op of Nederland voorbereid is op een grootschalige ICT-uitval of -verstoring. Hebben de private partijen en de overheid daar een crisisplan voor?
Het antwoord op deze, en andere vragen vind je in het magazine.
Hacker disables more than 100 cars remotely
Mar 18th
If Ramos-Lopez used the account details previously provided by a colleague, as so often in the case in many work-forces, I’m not sure that exactly makes Ramos a real hacker, but the lesson of why not to share your work creds with colleagues should not be overlooked here… it’s an age old lesson our species doesn’t seem very keen to pick up on the first few times.
“Ramos-Lopez’s account had been closed when he was terminated from Texas Auto Center in a workforce reduction last month, but he allegedly got in through another employee’s account”
De (on)zin van het overstappen
Mar 15th
Steeds vaker hoor ik om mij heen dat mensen overstappen naar “alternatieve” software. Dit zie ik bijvoorbeeld veel bij gebruikers van Adobe Reader met de reden: “het is zo lek en wordt traag gepatched”.
Nu ontken ik niet dat er veel lekken zitten in software van de grotere softwareboeren (Microsoft, Adobe, Google, etc..) en deze niet altijd even vlot zijn in het patchen van deze lekken. Maar ik vraag mij af, wat schieten we op door over te stappen?
Een aantal jaar terug in het Internet Explorer 6 tijdperk zag je steeds meer mensen om verschillende redenen overstappen naar Mozilla Firefox. Een van die redenen was vaak dat Firefox veiliger zou zijn.
Nu is het ene softwarepakket niet per sé veiliger dan het andere software pakket. Firefox zou veel meer beveiligingslekken kunnen hebben dan Internet Explorer 6. Het gaat erom waar een aanvaller het meeste kans maakt op een geslaagde aanval.
Als 80 procent van de internetgebruikers gebruik maken van Internet Explorer dan ben je naar mijn idee als aanvaller wel gek om een andere browser te gaan onderzoeken naar lekken en manieren te vinden om deze uit te buiten. Ook al heeft Mozilla Firefox veel meer beveiligingslekken (zowel bekend als onbekend), omdat er veel minder gebruikers zijn (en dus minder kansen om een geslaagde aanval uit te voeren) is het voor een aanvaller veel minder interessant om zich te richten op Firefox.
Dát gegeven zorgt voor een soort van veiligheid voor de Firefox gebruikers. Maar wat je nu ziet gebeuren is dat steeds meer mensen Firefox gaan gebruiken, daardoor zou het voor een aanvaller interessanter kunnen worden om Firefox gebruikers aan te gaan vallen, en dán is er een groot probleem. Microsoft is er aan “gewend” om elke maand een flink aantal lekken te dichten, een organisatie als Mozilla misschien wel niet.
Wat ik hiermee wil zeggen? Het overstappen naar alternatieve software kan een vorm zijn van schijnveiligheid. Het zou in een extreem geval zelfs kunnen leiden tot een groter risico voor de gebruikers. Laten we voordat we zoals Verizon gaan roepen “Adobe dumpen maakt bedrijven veiliger” eerst eens nadenken of een alternatief softwarepakket met hetzelfde marktaandeel niet net zo “lek” is als het bestaande softwarepakket.
Jester
Mar 12th
Er woed een strijd op internet die de moeite waard is om te volgen. Maak kennis met Jester, “Hacktivist for good.”. Hij speurt op internet naar websites die (jonge) moslims aanzetten tot gewelddadige acties tegen niet-moslims, en haalt deze uit de lucht. Of zoals hij zelf zegt:
Obstructing the lines of communication for terrorists, sympathizers, fixers, facilitators, oppressive regimes and other general bad guys.
Maar zo ver ik weet bedoeld hij met lines of communications vooralsnog websites en met bad guys bedoeld hij moslims. Ik geloof niet dat hij al GSM toestellen heeft geblokkeerd of e-mail accounts heeft gehackt, wat natuurlijk ook lines of communications zijn. Maar dat kan nog komen.
Hij gebruikt bij zijn Denial of Service aanvallen de XerXeS DoS attack, en inmiddels is er een video verschenen van hoe dat er uitziet. Het gaat hierbij niet om een distributed DoS, want er is maar 1 machine nodig om een website uit de lucht te halen. Oorspronkelijk werkte XerXes alleen tegen Apache servers, maar het zou nu ook tegen IIS werken. Het is een tijdelijke DoS omdat de website weer in de lucht komt, zodra de aanvaller zijn aanval staakt. Jester kondigt zijn acties aan via zijn twitter account en staakt de aanval telkens na 30 minuten.
Inmiddels is de discussie losgebarsten. Is Jester een held of een crimineel? Het uit de lucht halen van een website is normaal gesproken ethisch onjuist. Maar wat nu als op de website wordt opgeroepen tot geweld? Jester zelf zegt daarover, in een interview met Infosec Island:
There is an UNEQUAL amount of good and bad in most things, the trick is to work out the ratio and act accordingly
Wat vind jij, gaat Jester te ver? Of niet ver genoeg?
Youtube gehacked?
Mar 11th
Vanmiddag was de video site youtube enige tijd onbereikbaar. De geruchten gaan dat de site was gehacked. Als je probeerde op de site te komen, kreeg je de volgende boodschap: “500 Internal Server Error 500 Internal Server Error Sorry, something went wrong. A team of highly trained monkeys has been dispatched to deal with this situation. 
Google was ook al in het nieuws omdat het door Chinese hackers doelgericht was aangevallen. Er is nog geen bevestiging ontvangen dat het daadwerkelijk om een hack ging bij youtube maar de symptomen wijzen er wel op.
Captcha’s opgelost
Mar 7th
In Newark, New Jersey in de VS zijn 4 mannen opgepakt wegens fraude met online ticket verkoop. Ze wisten zich voor te doen als legitieme kopers maar deden dit met een botnet. Ze wisten de captcha testen geautomatiseerd op te lossen met software die ze hadden laten bouwen. Ze hadden zowel in de VS als in Bulgarije ontwikkelaars in dienst. Deze software kon de captcha test sneller oplossen dan een mens. Ze konden zo goedkoop aan de tickets komen, om deze vervolgens duurder te verkopen. Ze wisten zo 29 miljoen dollar in de wacht te slepen en verkochten 1,5 miljoen tickets door.
Interessant is dat er gebruik wordt gemaakt van een botnet en er zeer gerichte aanvallen plaatsvonden; en natuurlijk de software om de captcha’s op te lossen…
captcha
Demo hacking
Mar 6th
Vandaag sprak ik een vriend; een echte auto didact op Windows gebied. Altijd bezig om de grenzen te onderzoeken. Hij heeft zich dan ook wat verdiept in wat hij noemt hacken. Nu zou hij daar graag meer over weten. Niet om nu eens de site van zijn baas te hacken maar meer om er achter te komen hoe dat nu werkt en hoe je e.e.a. beter kunt beschermen.
Dit bracht me op de vraag: zouden er niet meer mensen zijn die wel een die-hard Windows gebruiker zijn, en er best goed in thuis zijn dus, en die meer over het wel en wee van hacking (whatever that may be) willen leren. Stukje voorlichting geven dus.
Lijkt mij leuk om te organiseren maar de vraag is of daar dan ook wel behoefte aan is? Ik ben benieuwd…
Laatste reacties