zondag 31 juli 2011

HBGary, ManTech, Vitrociset en nu Fox-IT

Oorlog tussen de white hats en blackhats, zoals ze zichzelf graag noemen.
Het begon met HBGary, het bedrijfje dat diensten voor de FBI verleende. De CEO van het bedrijf beweerde te zijn geïnfiltreerd in het collectief Anonymous en beweerde de leiders te kennen. Kort daarop werd HBGary zelf plat gehacked en kwam er allerlei informatie over het bedrijf naar buiten.
Deze 'hack' wordt door de hackers zelf als een van hun trofeeën gezien, en heeft hen veel plezier bezorgt.

De afgelopen periode zijn er aardig wat leden van 'AntiSec' dan wel Anonymous opgepakt, op die arrestaties lijkt Anonymous te reageren met het 'terug' hacken van deze organisaties. Hierdoor zijn recentelijk ManTech gehackt en Vitrociset, de Italiaanse variant van HBGary.
Gek genoeg hebben we in Nederland een situatie die een exacte copy lijkt van het HBGary verhaal. Er verschijnt een nieuws bericht van het om, waarin uit de doeken wordt gedaan dat het men geinfiltreerd is in de chat kanalen, en er wordt in vermeld in samen werking met welk bedrijfje dit gedaan is, te weten: Fox-IT. Misschien goed voor de naams bekendheid van Fox-IT maar een erg slimme actie lijkt het me niet. Ik zou het bijna willen betitelen als uitlokking.
Enfin, dat Fox-IT op de lijst staat moge duidelijk zijn gezien deze releases van Anonymous.
Fox-IT neemt mijns inziens een ongekend risico, daar ze sowieso met een 1 - 0 achterstand starten en alles te hacken is. Welk bedrijf dan ook, er werken mensen, en mensen maken fouten.
Door een vorige post van mij over dit bedrijf, en de bijbehorende log gegevens kan ik concluderen dat Fox-IT'ers ook maar gewone mensen zijn. Ze klikken nog wel eens op links waarvan ze de bestemming/afkomst niet weten. Ik zal geen namen noemen verder. ;) Enfin, een simpele 0day exploit erbij en de informatie stroomt binnen (om maar even een mogelijkheid te noemen).

Dat de motoren op volle toeren draaien mogelijk duidelijk zijn gezien enkele sinds korte tijd geregistreerde domeinnamen, te weten:
http://korpslandelijkepolitiediensten.nl/

Op dit moment lijkt er nog niets gehacked te zijn en speelt Anonymous op het misselijk makende persoonlijke vak, door een soort van intimidatie. We zullen zien wat de toekomst ons brengt, ik vrees voor het ergste.

woensdag 27 juli 2011

De vergeten harde schijven van AntiSecNL

Harde schijven
Enkele opmerkelijk feiten. De gearresteerd hacker Time, welke tegenover tweakers.net beweerde AntiSec te willen oprollen heeft nog enkele spullen bij hem thuis gevonden:

Beeldschermen, toetsenborden, kasten én hardeschijven. Die harde schijven zijn interessant, aangezien deze data kunnen bevatten. Belastende data. Het zou een extreem grote fail zijn als politie deze zou laten liggen. Maar is dit wel het geval in deze situatie?

BlackBerry
Een ander opmerkelijk feit is dat verdachte Time tijdens zijn arrestatie, gedurende de gehele periode dat hij in detentie heeft verkeerd, de beschikking had over zijn BlackBerry mobiele telefoon. Dit is normaal gesproken absoluut verboden.

Personalia
Daarbij komt dat Time de jongste van het stel is. Direct naar de media is gestapt. Direct weer overal 'on the webs' is verschenen is. Getuige zijn verschijningen op Skype en de AnonOps chat kanalen. Echter praat hij overal iedereen naar de mond, en komt er geen duidelijk kloppend verhaal naar voren.
Politie zal ongetwijfeld snel een analyse van de persoon Time gemaakt hebben. En mogelijk om die reden juíst Time deze 'privileges' gegeven hebben. De vraag is wat het belang hiervan is? het onderzoek?

Mogelijke verklaringen
De harde schijven zouden mogelijk een rootkit kunnen bevatten.
De harde schijven zijn wellicht al gebackupped -en dus secured-.
De BlackBerry bevat mogelijk een backdoor.
Een ander opmerkelijk iets is dat Time de dag na zijn arrestatie een afspraak had staan met enkele andere AnonOps leden. Deze afspraak is gemaakt via IRC, en dus zou het Team High Tech Crime hiervan op de hoogte moeten zijn, aangezien zij in dit kanaal waren geinfiltreerd. Wouden ze hen ook arresteren? Hoe zit het met het collusie gevaar?

Ik kan uit deze opmerkelijke gebeurtenissen maar één conclusie trekken. Dit cirkeltje is nog niet rond.
See you in court!

ps: Time, mooie Nikon D70.

vrijdag 22 juli 2011

meldpuntcybercrime.nl uitbesteed aan commerciële partij

Even wat fascinerende feiten op een rijtje in deze blog post.
Met het Meldpunt Cybercrime wordt veel geshowt de laatste tijd, en zelfs geadverteerd op google.
Prachtige disclaimer hebben ze om vertrouwen te wekken:
We hebben hier keurig te maken met de overheid, immers politie logotje links boven. Maar ondertussen wordt de server gewoon gehost in dezelfde range als de Fox-IT webserver.
83.96.129.55 - www.meldpuntcybercrime.nl
83.96.129.78 - www.fox-it.nl
Nu zegt dit in principe nog niets. Ware het niet dat de whois gegevens, dan wel deze pagina genoeg zeggen: https://control.meldpuntcybercrime.nl/

Even verder gaan over deze 'control' server (note: andere server dan www.meldpuntcybercrime.nl).
83.96.129.60 - control.meldpuntcybercrime.nl
83.96.129.55 - www.meldpuntcybercrime.nl
Een backend omgeving die aan het internet hangt (?!) om nog maar niet over de zwakheden betreffende het certificaat te beginnen.
En daar zouden dan al onze via de formulieren ingevoerde gegevens verwerkt dan wel bewaard worden. Immers, zo rolt een backend server.

Erg fijn dat de overheid hier nog duidelijk de regie heeft, wordt je vervolgens vakkundig door gesluisd naar Fox-IT. Vanwaar de overheid de regie kwijt raakt. Dat moet nog eens vetrouwen wekken!

De disclaimer praat keurig over Artikel 43 Wbp, zal allemaal wel, maar vertrouwen wekt het (bij mij) niet. Als crimineel zijnde is het natuurlijk een koud kunstje een 'concurrent' op te zetten, inclusief certificaatje, politie logotje, en meer dan genoeg formulieren om de concurrentie uit te schakelen.

Ik was altijd in de veronderstelling dat de overheid zo zijn eigen team specialisten had op dit gebied. Dat deze mannen mooie website kunnen bouwen is bekend. Maar wat kunnen ze nog meer?
Dit blog is verder puur bedoelt als constatering. Deze manier van werken wordt veel gebruikt door de overheid. Ik zet er dus alleen vraag tekens bij.

edit:
Fox-IT blijkt ook al flink betrokken bij het (oude) htcis.nl (High Tech Crime Initiatif Schiphol) check hier de gegevens:
Merk verder op dat het 80.126.72.50 een XS4ALL adresje is. Anyway, organisatie is al lang opgedoekt.
Enfin, Fox-IT doet het gewoon goed. En dit is blijkbaar de werkwijze van OM, so be it.