Labels

dinsdag 4 september 2012

Stembreker.nl de sleutel tot een coup!

Pats boem daar is G500, de nieuwe partij met leider Sywert van Lienden en zijn trouwe volgelingen die hevig worden geënthousiasmeerd door Sywerts jeugdige fanatisme. En hoewel er al jaren wordt gediscussieerd over digitale stemcomputers pleurt Sywert even een app online die gaat bepalen wat jij gaat stemmen!
En ja, dat allemaal via jouw browser thuis, via zijn app, in zijn database en via zijn algoritme dat even gaat bepalen wat jij moet gaan stemmen! Tja, vertrouwen, dat hebben we wel in Sywert.

Laat ik even dit als eerste zeggen, mensen als Sywert hebben we nodig. Daardoor maken we namelijk sprongen vooruit. Waar men al jaren discussieert over digitaal stemmen voert Sywert het gewoon even eigenhandig in. Gewoon, omdat hij het tijd daarvoor vind, en hij er zijn stemmen mee wint. Want waar vallen stemmen te winnen? Juist, achter dit beeldscherm waar deze lettertjes op verschijnen.

Enfin, you win some, you lose some. Hieronder de haken en ogen aan deze applicatie.

De applicatie gebruikt HTTPS verkeer, which is good! Echter verschuilt de applicatie zich achter CloudFlare (En is daardoor natuurlijk niet terug te vinden *kuch* *kuch* 31.*.103.144). Mooi spul dat CloudFlare, alleen voor een SSL oplossing biedt het slechts één mogelijkheid. En dat is een klassieke Man in the Middle oplossing. (Hieronder afgebeeld).



Het verkeer tussen CloudFlare en de Client wordt versleuteld, echter ontsleuteld CloudFlare het om de inhoud te kunnen bekijken. En dat is waar een probleem zich voordoet. CloudFlare heeft dus de beschikking tot álle data die via de applicatie verstuurd wordt, het kan deze inzien én manipuleren. Als CloudFlare het kan, dan kan de Amerikaanse overheid het helemaal, willen we zoiets?

Gelukkig loopt het verkeer vanaf CloudFlare richting de server in Nederland wel weer via SSL, de "Full SLL" optie die CloudFlare biedt, zoals hieronder te zien is:


Daarnaast is men 1 ding vergeten, en dat is dat de website ook gewoon bereikbaar is via poort 80, zonder SSL dus. Dit biedt uiteraard enkele handigheidjes om in te breken op de server, onder andere:

De webmail:


De phpMyAdmin:


En nog een webmail:


En nóg een webmail:


Daarnaast wordt het stemadvies met een smsje verstuurd. En een smsje kunnen we natuurlijk gewoon spoofen!

Dat er enigszins is nagedacht over de beveiliging moeten we natuurlijk niet vergeten, zo wordt er gebruik gemaakt van een telefoonnummer en een wachtwoord. Daarnaast verschijnt er een captcha, wat computer gestuurde registratie onmogelijk maakt (en laten we voor het gemaak de captcha oplossende chinezen even vergeten) als laatste moet een op het mobieltje verschenen code ter verificatie worden ingevoerd. Veiligheidsmaatregelen die een doel lijken te dienen.

Maar wat de ontwikkelaars dan precies met al deze pagina's aan het doen zijn? https://stembreker.nl/test.php
https://stembreker.nl/login_form/
https://stembreker.nl/export/
https://stembreker.nl/temp/
https://stembreker.nl/phpMyAdmin/changelog.php
https://stembreker.nl/heartbeat/
https://stembreker.nl/config/
https://stembreker.nl/advies/
En laten we deze maar helemaal vergeten:
Enfin, verstopt achter CloudFlare, dus hierbij de portscan van de server 31.*.103.144 wat natuurlijk 'gewoon' een random ip is... ;)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp closed smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s

Nu is dit natuurlijk flink wat gebash tegen deze app. Maar dat maakt het hele idee niet minder interessant! Mensen als Sywert zijn een verrijking voor de samenleving, en zonder dit soort types blijven we compleet stil staan. Sywert, thumbs up!

Ps.
Ook props natuurlijk voor Paul, Richard en Daniel voor de mooie app!

dinsdag 21 augustus 2012

Source code of Management System used for Dorifel/Citadel

I stopped publicizing my findings on the Dorifel/Citadel servers because most of my goals have been achieved and because people started messing with my findings. (Logging in on people's bank accounts, spoiling their privacy etc)

But since other company's are still on the hunt I'd like to share some interesting information with them.

Here's the source code of the management system. It manages the donkey/money mules, exploits, sellers, infections and browser versions.. It gives you an insight of the database structure and file structure, which can be of great value in further investigation.



Source code can be downloaded here. 

vrijdag 10 augustus 2012

Complete details of the Dorifel servers, including its 'master' server in Austria


Below are my findings of the two servers used in the (targetted) attack mainly taking place in the Netherlands.

We have 2 server setups that are close to identical, their ip-adresses are:
184.22.103.202 (Domain: reslove-dns.com)
184.82.162.163 (Domains: 10ba.com, windows-update-server.com, wsef32asd1.org, dns-local.org)
Both are hosted within AS21788

From now on I consider both IP-adresses as one server. Or both IP-adresses as a proxy.

Both have the following ports open:
PORT      STATE    SERVICE              VERSION
22/tcp    open     ssh                  OpenSSH 5.5p1 Debian 6 (protocol 2.0)
80/tcp    open     http                 nginx 0.7.67
111/tcp   open     rpcbind (rpcbind V2) 2 (rpc #100000)
545/tcp   open     http                 Apache httpd 2.2.16
2407/tcp  open     http                 Apache httpd 2.2.3 ((CentOS))
2408/tcp  open     http                 Apache httpd 2.2.3
41666/tcp open     status (status V1)   1 (rpc #100024)

The SSH-keys are:
 | ssh-hostkey: 1024 c6:2f:e9:64:2c:ac:27:77:ed:da:60:a2:da:46:1f:fb (DSA)
 |_ 2048 e9:97:b5:d7:7d:01:f2:03:7b:9f:22:4c:a0:eb:a9:a5 (RSA)
Googling both of them brings up this page, prompting us with another IP-adres and domain name to investigate: 184.22.62.88 with the domain passget.com (date: 2011-10-26 04:22). This time SSH on port 222 is used instead of 22.

Directory listing of 184.22.103.202 and 184.82.162.163 (nginx/0.7.67 PHP/5.3.3-7+squeeze13):
/index/
/icons/
 |_/small/
/www/
 |_/images/
 |_/secure/ (Fragus login)
       |_/files/ (virus binaries)
               |_23 (Virustotal)
               |_24 (Virustotal)
               |_25 (Virustotal)
               |_26 (Virustotal)
               |_27 (Virustotal)
               |_28 (Virustotal)
               |_29 (Virustotal)
               |_30 (Virustotal)
               |_31 (Virustotal)
               |_32 (Virustotal)
       |_/templates/
               |_/english/ (Fragus login)
/web/
 |_/mak/
/doc/
/cgi-bin/
/img/
/uk/
/jump/
/ssl/
 |_ /milk/ (phpMyAdmin)
 |_/billk/
/bl/
/gl/
/ppp/ (password login)
 |_/css/
      |_/css/
      |_/ajax/
 |_/img/
 |_/data/
 |_/install/
      |_/install/
 |_/temp/
      |_/stat/
      |_/options/
      |_/temp/
      |_/config/
 |_/script/
      |_/script/
 |_/ppp/
      |_/bd/
      |_/card/
      |_/bot/
      |_/priv/
      |_/del/
      |_/c2txt2c/
      |_/virustxt/
      |_/govtxt/
      |_/xls/
      |_/searchform/
      |_/convertxtodvd/
      |_/intellitxt/
      |_/1txt1/
      |_/search_txt/
      |_/pictlogotxt110x60/
      |_/1txt2/
      |_/1txt3/
      |_/login_txt/
      |_/customnews_txt/
      |_/password_txt/
      |_/robots-txt/
/ver/
/vox/
/mak/
/server-status/

3 interesting finds here. Apparently Fragus is used for administratering the bots. Screenshot of the login:

phpMyAdmin is used with only 3 languages installed (en-US, en-UK, ru-RU), screenshot below:

And the last one is a login with only a password field, screenshot below:

A complete backup of the files can be found here: http://www.sendspace.com/file/ak8q2f
But please remember everything is full of virusses, so be carefull.

I will keep updating this blog.

Update 0:18:
Pretty fast after posting this blog both IP-adresses stopped displaying any html messages. Eventhough the servers themselves are still up. Which is an indiction of them just being proxies.

Update 2:12
Discovered that these 3 domains once pointed to this same server, google has some good cache pages:
handicaptaskprint.info (Registrated 10/7/2012) 149.154.154.47
intermediatedefragger.info (Registrated 26/7/2012) Undefined
onesizefitsallnik.info (Registrated 10/7/2012) 149.154.154.47

Here we have just one ip-adres 149.154.154.47 which once hosted the domain: lertionk13.be
This domain was registrated by: Elsakov Oleg using email adress thefirstweek@yandex.ru.
The name Elsakov Oleg points to yet another domain, bank-auth.org. Which has an A record pointing to: 158.255.211.28.
These 2 domains are connected to the "Police Trojan". More details here: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_police_trojan.pdf

If you look closely at the files and types of malware used by this gang, you'll see everything matches. They make the same directory listing mistakes over and over, and use exactly the same files. So this can be considered their fingerprint.

The gang registrated a certificate for https://bank-auth.org on the 1-8-2012. So they are probably planning to do something valuable with the website, which is running the default installation at the time being.
Update:
Oh well, I think we pretty close to the source now.
Lets get further into investigating this bank-auth.org domain. It resolves to: 158.255.211.28.
Once we investigate this machine further this is the first thing to pop-up: Apache/2.2.16 (Debian) Server at 158.255.211.28 Port 80.
That same Apache version with Debian again. I don't know why they use this version all the time, but one thing is for sure, they don't know nothing about directory listing, so I'm mirroring their site again....
And because this time I have ALL the logs, I'll make sure the right people receive them aswell!
I will upload a mirror of the site later. The admin passwords included.


I've made an online backup of the admin panel here, with all the original data.
This could be the IP-adress of the russian owner: 188.187.144.152. Not sure though. But this 'person' is also known as Ozgur Morkan and according to it's IBAN number he's from Turkey. If we look at this page we'll see the Russian IP-adres 188.187.144.152 involved in another kind of scam, this time the owner is known as Olga: http://www.anti-scam-forum.net/showFullThread_1288628426.htm

Further investigation reveals that the https://bank-auth.org domain with its valid certificate is used for the injection of malicious code within the victims browser. Several warning messages shows the criminals are no native speaking Dutchies:

Om technische redenen, het internet bankieren dienst is tijdelijk niet beschikbaar, gelieve in te loggen in 24 uur
Since the files found on the server are all in Dutch, the Dorifel compaign can be considered a targetted campaign against The Netherlands. Its a good example of the capabilities of Citadel, which was used to spread Dorifel.

Directory listing of https://bank-auth.org:

/
/index/
/cgi-bin/
/7/
/icons/
/www/
/p/
 |_dns.php
 |_ing.php
 |_ing2.php
 |_jys.php
/ca/
 |_/admin/
/javascript/
/inc/
/abc/
 |_inc.php
 |_sig1nl
 |_sig2nl
 |_sig3
 |_waitnl
/phpmyadmin/
 |_/themes/
/ing/
 |_inc.php
 |_tan1.txt
 |_wait
 |_wait.txt
/sns/
 |_WARNING.txt
 |_inc.php
 |_sig1
 |_sig1.txt.crypt
 |_sig2
 |_sig2.txt.crypt
 |_sig3
 |_sig3.txt.crypt
 |_wait
/abn/
 |_inc.php
 |_sig1
 |_sig2
 |_sig3
 |_wait

/rabo/
 |_WARNING.txt
 |_inc.php
 |_sig1
 |_sig1.txt.crypt
 |_sig2
 |_sig2.txt.crypt
 |_sig3
 |_sig3.txt.crypt
 |_wait

index.php
7.php
www.php
inc.php
sns.php
abn.php


ps.
I've been convicted for hacking already, never tried to steel a penny though. These guys have never been convicted. For me now it's very very hard in the security industry (Banks for example, is out of the question). Yet I stay on the right side. But thats probably because I'm such a bad bad boy!


woensdag 6 juni 2012

Why I think the Linkedin password file is fake

Well first of all, there is no connection to LinkedIn other then the suspected 'hacker' saying it is from LinkedIn.

There are 6.5 Million unique passwords in the file! LinkedIn has approx 160 Million registrated members, this means approx 25 people share the same password on average. This could indeed be true.
But then it means the 'hacker' has posted the password list of -all- LinkedIn members. And still many people confirm their password is -not- on the list.
For 6.5 million unique LinkedIn password just to many people are denying their password is on the list.

What people at this stage are doing is identifying themselves with a hashed sha1 password file. But identifying yourself with a password is of no means reliable. Verifying yourself with a password is. But this means you would first have to tell your name, and afterwards a password comparison is done.

So whenever a match with your password is found on the list, this doesn't mean it's YOUR password. It just means someone or some bot ever printed out that same password. Maybe you should try googling your password. Chances are pretty big it will bring you at least one hit.

At this stage I don't know in what way the file is compiled. The only confirmation we can make at this point is that the file contains words that match a 'strong' password policy.

And let's not forget, the chances your 'strong' password is in a 6.5 Million unique password file are pretty big. And yet so many people confirm they are -not- on the list...

Please remember, you are NOT your password.

ps.
Do we really think LinkedIn uses SHA1? Haven't their security specialists heared of the HBGary and Rootkit.com hack? SHA1 + salt is even considered weak.

The passwords "WelcomeToLinkedIn" and "LeakedIn" are not on the list. Was there really nobody able to make up one of those?


/edit
Ok, seems like I'm wrong. LinkedIn just confired that at least a part of the hashes corresponds. It isn't a full confirm, but suggests one will come soon.

Those tweets confessed me:
https://twitter.com/mrkoot/status/210352495602581505
https://twitter.com/spruceNL/status/210418946770337792
https://twitter.com/mrkoot/status/210416085483266048



GemNet vergeet certificaat te revoken

Op 8 December 2011 kwam in het nieuws dat een server van GemNet gehackt is. Vervelend nieuws, vooral omdat GemNet een certificaat leverancier is. In een persbericht laat KPN het volgende weten:

Daarbij wil KPN graag gebruik maken van de kennis en expertise die hiermee geboden wordt. KPN hecht er belang aan om de dialoog aan te gaan, zodat mogelijke gevoeligheden in systemen boven tafel komen. Vooral zo kan gezamenlijk een grotere veiligheidswaarborg voor internetgebruikers worden bereikt en de dienstverlening verbeterd.

Om die reden deze blog post. Zo is mij namelijk informatie toegespeeld die doet concluderen dan KPN enkele steekjes heeft laten vallen tijdens de damage control. De server voor www.gemnet.nl is direct offline gehaald en die hebben we dan ook niet meer terug gezien. Het certificaat (hieronder de private key) voor "www.gemnet.nl" is direct revoked.


Echter is men vergeten goed naar de server configuratie te kijken. Het certificaat voor "webchat.gemnet.nl" (hieronder de private key afgebeelt) was namelijk ook op deze server aanwezig en is door in ieder geval één aanvaller buitgemaakt. KPN heeft nagelaten dit certificaat in te trekken, waardoor deze geruime tijd in de handen van tenminste één hacker is geweest. Gezien het feit dat er meerdere sporen van meerdere hackers zijn aangetroffen, is deze mogelijk zelfs in handen van meerdere hackers geweest.


Het in bezit hebben van de private key van een certificaat is niet direct een gevaar. Om een succesvolle aanval met dit certificaat uit te voeren zijn meerdere niet direct praktische omstandigheden nodig. Maar het is zeker mogelijk, en zeker de certificaten van een certificaat leverancier zijn hierbij van zéér hoge waarde.
Hieronder is in het kort gedemonstreerd hoe een mogelijke aanval plaats zou hebben kunnen vinden. Waarbij de gebruiker denkt met GemNet te communiceren, terwijl dit niet het geval is.
Er is gebruik gemaakt van het certificaat voor webchat.gemnet.nl.

Bij een aanval moet te allen tijde de DNS gemanipuleerd worden. Dit kan door een host file op een systeem aan te passen (makkelijkst), de DNS servers van GemNet te hacken (moeilijkst + meest gevaarlijk), via DNS cache poisoning (meest waarschijnlijk) of op alle andere mogelijke manieren waarbij een MitM attack kan worden uitgevoerd. In dit voorbeeld is de host file aangepast.
Het certificaat is op server 192.168.81.132 geïnstalleerd.
Bij het slachtoffer systeem is in de hostfile de volgende configuratie toegevoegd:
webchat.gemnet.nl         192.168.81.132
De gebruiker opent de pagina webchat.gemnet.nl, en het onderstaande scherm zal verschijnen:


Hieronder een Youtube filmpje van deze aanval:


Ik heb dit probleem bij het NCSC aangemeld en KPN heeft direct dezelfde dag nog dit certificaat revoked. Later is besloten hierover te berichten op de eigen website, waarvoor hulde - hulde - hulde.

woensdag 9 mei 2012

Fuck up your Samsung TV

Inspired by all the awesome apps for Samsung TV's and by Luigi Auriemma his PoC to crash one. I started looking a little bit more to my own Samsung. Well a little bit more wasn't necesary at all. I quickly found that there is no filtering of any input at all and close to every string sent to the television will crash it. Here's an easy PoC for everyone at home.


Fire up your browser, enter the ip-adres of the Samsung TV with the correct TCP port: 55000, hit <enter>. Thats -seriously- enough to crash a Samsung TV. Have fun, don't forget to check out the wireless lan's at the pubs, bring your smartphone, but please don't spoil the games. ;) Any browser works.

vrijdag 6 april 2012

17-jarige KPN Hacker mogelijk flinke CreditCard Crimineel

Ik heb inmiddels wat blogposts en columns aan onze 17-jarige KPN hacker gespendeerd, en sommige hebben dit opgevat alsof ik ervoor pleite dat we deze knaap direct een baan moesten aan bieden en nooit moesten straffen. Dat is verkeerd opgevat, deze knaap moest sowieso op zijn plek gezet worden. Echter achtte ik de kans dat deze jongen een serieus forum voor de handel in creditcards had vrij klein, om zoiets goed te runnen heb je namelijk een goede constructie nodig..
Hier bleek ik me alleen enigszins in vergist te hebben, daar waar ik dacht dat de criminelen nog iets minder waren geïnfiltreerd in de hacker community blijkt dit sneller gegaan te zijn dan ik dacht. En met het huidige klimaat kan ik hierover alleen nog maar zeggen dat er ons een zware toekomst staat te wachten...
Naar aanleiding van het nieuwsbericht dat onze 17-jarige nog eens 30 extra dagen word vast gehouden begon het toch enigszins te kriebelen bij mij, en ik ben dus maar even snel gaan speuren. En dat had ik eerder moeten doen zo bleek, want het was niet heel moeilijk om een schat aan informatie te vinden over het CreditCard forum dat door onze jongen in bedrijf werd gehouden.
Website heette bablo.cc of yunikont.com.
De server draaide in Ukraine op ip adres: 195.242.161.95
Screenshot van de login pagina:
Google cache: http://webcache.googleusercontent.com/search?q=cache:JW5oBBhGjG8J:bablo.cc/+&cd=1&hl=nl&ct=clnk&gl=nl

En sinds januari dit jaar heeft onze knaap, die overwegend in "we" praat, er een flink campagne tegen aangegooid. Duidelijk uit alle berichten is dat de persoon meerdere creditcards verkocht heeft, en duidelijk ook zelf ervaring heeft in het gebruiken van gestolen creditcards.
De site bestaat al 11 maanden, echter lijkt deze pas sinds januari echt flink actief als een carders forum. Echt lang heeft meneer er dus niet van kunnen genieten.




En hoewel de knaap vooral in we spreekt, lijkt het erg vreemd dat 'we' allemaal tegelijk op vakantie gaan:

Enige vreemde is dat het Openbaar Ministerie beweert de jongen op dinsdag 20 maart gearresteerd te hebben. Echter lijkt hij op 21 maart nog gewoon een post gedaan te hebben op dit forum. GMT vershil? Of zal deze post direct aanleiding geweest zijn binnen te vallen?

Arrest van de knaap is dus inmiddels met 30 dagen verlengt, en dat lijkt volkomen terecht. Hopelijk krijgt hij goede begeleiding wanneer meneer weer vrij komt.

//UPDATE
Enige rectificatie in het stuk aangebracht, daar nog altijd geld "Innocent until proven guilty". En zeker ook vanwege het laatste screenshot, waar reclame is gemaakt voor bablo.cc terwijl onze 17-jarige al in het gevang zat.

zaterdag 31 maart 2012

COLUMN: de 17 jarige ubercrimineel en zijn KPN hack

17 jaar is hij. En minimaal 17 dagen cel heeft hij op zijn naam staan. Dat is niet niets voor een minderjarige. Kijkende naar zijn reeds opgelegde celstraf hebben we hier te maken met een groot crimineel. Een jongen die ervoor kon zorgen dat klanten van KPN het noodnummer 112 niet meer konden bellen. Een jongen die bij de gegevens van alle KPN klanten kon. Een jongen die mogelijk de nationale veiligheid in gevaar heeft gebracht. Een jongen die verantwoordelijk was voor de hoogste alarm fase bij KPN ooit, Code Rood.Het was een jongen die van geen ophouden wist, hij ging maar dieper het netwerk in, dieper en dieper. Het begon met 1 server, maar uiteindelijk wist hij honderden servers te hacken. Op al deze servers had hij zichzelf de hoogste beheerdersrechten toegekend. Als 17-jarige controle hebben over het bedrijf KPN, controle hebben over een groot gedeelte van Nederland. Sterker nog, de levens van mensen die met spoed 112 willen bellen, liggen in jouw handen, jij kunt bepalen of ze mogen bellen of niet. Wat een machtig gevoel moet deze jongen gehad hebben, en dat op die leeftijd.

Een kind kan de hack doen
Vooropgesteld moet worden dat deze jongen de wet overtreden heeft en hij hiervoor gestraft dient te worden, zo werkt onze rechtsstaat nu eenmaal. Maar laten we niet vergeten dat als een kind dit soort systemen binnen kan dringen, je je toch wel af moet gaan vragen wat een volwassene dan wel niet kan. Om even verder te gaan, wat kan een groep hacktivisten dan wel niet, wat kan een groep ‘echte’ hackers dan wel niet, een terrorist? Een insider? Of … Iran?

Zelfs Officier van Justitie Lodewijk van Zwieten zegt in het NOS journaal dat men nog niet achter het motief van de jongen is. Na intensief verhoor van een minderjarige verdachte is men er dus nog steeds niet in geslaagd om zijn beweegredenen op tafel te krijgen. Is het misschien een idee om hem te gaan waterboarden? Bij moordzaken word je zonder motief niet eens als verdachte aangemerkt. Dit beseffende kunnen we wel stellen dat we te maken hebben met een jongen met een passie. Hij wil hacken, meer en meer. En hij doet dat goddomme nog goed ook! Het is de pen-testers blijkbaar niet gelukt deze pijnplekken op tafel te leggen. Deze 17-jarige had een paar dagen nodig om het complete netwerk naar zijn hand te zetten. Alle strikte security policies en audits van KPN ten spijt.

ns1.kpn.net op IRC
Zijn wij nu allemaal de volwassen moraalridders die onze pubertijd ontgroeid zijn en wel even van dit pubertje kunnen eisen dat hij zich ethisch gedraagt en een dergelijke hack keurig gaat melden? Kunnen we dat nou echt eisen van een jochie waarbij sinds kort allemaal hormonen door zijn aderen gieren? Wat valt er nu te winnen voor een puber om zo’n hack te melden? Het melden van een lek heeft alleen maar nadelen. Een aangifte aan je broek is niet zeldzaam, eerder aannemelijk. Je zult er geen cent mee verdienen, dat is het de bedrijven niet waard. Er is geen enkele manier om aan je vrienden te bewijzen wat je gedaan hebt, downplayen is de regel. Je bent al je servers kwijt. Kortom, je staat weer met compleet lege handen. Wat wel mooi is als puber: de ns1.kpn.net jouw favoriete IRC-kanaal te laten joinen. Wedden dat je chat matties even twee keer slikken als deze reus van een machine het chat kanaal joint? Zij zullen je nu ineens met heel andere ogen bekijken. Voor een nerd is het in ieder geval een stuk stoerder dan met je opgevoerde scooter het schoolplein op te rijden, dat vol staat met jochies waar je eigenlijk sowieso al geen klik mee had.

Nu we toch over volwassenheid zijn begonnen, in hoeverre kunnen we KPN als volwassen beschouwen? Is KPN niet een beetje de puber binnen ICT-land? Met hun software op cruciale systemen die niet geüpdate wordt. Cruciale systemen die zelfs een wettelijke verplichting hebben hun diensten te allen tijde uit te voeren. En zelfs die systemen weet men niet up to date te houden? Kunnen we dan niet gewoon spreken van een kleutertje? Iemand die het gehele IT-model niet snapt? Zouden ze wel eens van een penetratietest gehoord hebben? Intrusion detection? of misschien zelfs gewoon firewalling? Of heeft KPN dat niet nodig? Zijn zij dat volwassen bedrijf die al dit soort maatregelen niet nodig heeft?

Zorgplicht en de wet
Op wie worden we boos wanneer een arts weigert een comazuipende tiener te helpen? Artsen hebben simpelweg zorgplicht. En een arts die een patiënt aan zijn lot overlaat, zal worden vervolgd. De tiener kan niets kwalijk worden genomen, want comazuipen hoort er nu eenmaal bij. Een systeembeheerder die systemen beheert waarvoor wettelijke richtlijnen gelden, hoeft zich nergens zorgen om te maken. Immers: alles is via de wet geregeld. Waarom zou je je überhaupt druk maken over updaten op het moment dat binnen dringen sowieso strafbaar is. Sterker nog, we verhalen de schade gewoon direct op deze knaap. Hij is immers de persoon die de wet heeft overtreden, niet ik, toch?

Het bedrijfje DigiNotar kennen we allemaal nog wel. De club die ervoor gezorgd heeft dat de Iraanse overheid met al zijn burgers mee kon gluren, de club die op die manier mogelijk bloed aan zijn handen heeft. Gelukkig hebben we de cijfers niet, maar een arts die zoveel slachtoffers maakt, zal direct worden aangeklaagd voor grove nalatigheid. Daar zal niemand over twijfelen. Bij DigiNotar komt er slechts een keurig rapport waaruit blijkt dat er grove nalatigheid betreffende de beveiliging is geweest. En daar laten we het dan maar weer bij.

Tot 900.000 botnet-pc’s in Nederland
Op dit moment maakt 5 tot 10 procent van de Nederlandse pc’s deel uit van een botnet. Dat zijn 450.000 tot 900.000 pc’s. Afgelopen jaar werd er in Nederland voor 35 miljoen euro van online bankrekeningen gestolen. Onze 17-jarige knaap had een forum opgezet voor de handel in creditcards, maar denken we nou echt dat deze jongen verantwoordelijk is voor de distributie richting de money mules? Is het realistisch om te denken dat een 17-jarige weet hoe je miljoenen euro’s moet witwassen? Is er überhaupt iemand die denkt dat deze persoon ooit succesvol hierin was geworden? Een ding is in ieder geval zeker, in de cel leer je echte criminelen kennen. En eenmaal buiten de gevangenis weet men je helemaal direct te vinden. Als toefje op de taart leert onze politie je dat opscheppen niet veel goeds brengt, en dat je je truecrypt wachtwoord voortaan niet moet afgeven tenzij je je systeem met plausible deniability hebt ingericht. Gelukkig ben je bijna 18 en heb je weer snel een kans om het nu wel goed te doen.

donderdag 22 maart 2012

UPC gehacked

Via deze pastebin heeft zogenaamde Anonymous Austria wereldkundig gemaakt dat ze UPC gehackt hebben.
En niets blijkt minder waar:


Het lijkt om de mail server te gaan, dat terwijl verscheidene mensen melden dat hun mail gewoon perfect werkt. Qua uiterlijk is alleen nog te zien geweest dat er vreemde teksten hebben gestaan op de verschillende UPC homepages, zoals de homepage zelf, en de webmail page.

UPDATE:
Inmiddels ben ik erachter dat tenminste 3 ip adressen webpagina's toonde met de 'geh scheissn' teksten. Mogelijk zijn er dus 3 verschillende servers gehackt geweest. Te weten:
213.46.255.16
213.46.242.72
213.46.242.101

woensdag 21 maart 2012

High Tech Crime Consortium mailing list gehacked

Gisterochtend berichtte ik (omdat ik het wel grappig vond) dat Police.nl gedefaced was. Wat me vervolgens op de nodige kritiek kwam te staan omdat iedereen toch wel kon zien dat dit een site van een hobbyist was. En inderdaad, dat wist ik ook wel, maar ik vond het vooral grappig.
Echter wat ik over het hoofd zag, maar gelukkig @PeterHermse niet. Was de 'bonus' die vermeldt stond in het deface tekst bericht.
Dit was namelijk een internet adres, plus username en password welke toegang gaf tot een mailing list. En niet zomaar een mailing list, namelijk de complete mail conversaties van het High Tech Crime Consortium vanaf 2000 tot heden.

Grote kans dus dat data uit deze mailinglist een dezer dagen zal uitlekken, mocht er interessante data in staan [wat ik betwijfel, aangezien de beveiliging wel érg slecht was.]
Via de lijst werden vooral verzoeken gedaan van verschillende Cyber Crime Cops om hulp. Tevens werd er aardig gekletst over de arrestatie van @anonymouSabu, waar men verbaast over leek te zijn. En ook werden er gesproken over 'on-going investigations'. En deze laatste data kan wel van enige waarde zijn aangezien het hier om strafzaken gaat waarvan de verdachte mogelijk nog compleet niet op de hoogte is dat er een zaak loopt.

In de deface melding staat @stramble vermeldt als dader.

Zo krijgt een grappig bedoelt tweetje vanaf mijn telefoon in de morgen ineens een heul andere twist! Met dank aan @PeterHermse voor zijn oplettendheid!

Mailing list is na contact met de beheerder nu weer gesloten.

vrijdag 16 maart 2012

Twitter and its strange certificate structure

Back in this blog post of December 2011 I noticed some of the twitter servers were serving wrong certificates. I notified twitter in several emails, never received a response though. (bad bad twitter!)
However, today I noticed they did take some action regarding this problem.
Strangely they now they have 2 different certificates in their live environment. One signed by VeriSign and one by RapidSSL/GeoTrust. Below you see both certificates compared:

One is valid for www.twitter.com and twitter.com. The other for twitter.com and [wildcard]*.twitter.com.

Here are their pastebin links:
Currently active: twitter.com / www.twitter.com - VeriSign valid from 7/7/2011
Currently backup: *.twitter.com / www.twitter.com - RapidSSL/GeoTrust valid from 7/17/2011

Just a few questions arise. Why the hack do u use at least 2 Certificate Authorities to sign your certificates? Why do we have 2 different certificates in a live environment?
Having multiple certificates for just one environment makes the probabilities of one getting compromised bigger. Secondly the new certificate presented shows it's already valid from the 17th of July 2011, how many more certificates do you have in stock?

Here are some facts about twitter and its certificate handling.
Twitter has requested certificates for these domains:
api.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
urls-real.api.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
pay.twitter.com -> VeriSign Class 3 Extended Validation SSL CA -> VeriSign
partnerdata.twttr.com -> DigiCert HA CA-3 -> DigiCert
dev.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
mobile.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
sms.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
support.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
upload.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
sms.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
stream.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
xstream.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
sitestream.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
userstream.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
t.co -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
twitter.com -> VeriSign Class 3 Extended Validation SSL CA -> VeriSign

But almost all of these can off course be replaced by this one:
*.twitter.com -> RapidSSL CA -> GeoTrust Global CA

Based on the above facts we can conclude twitter uses 3 Certificate Authorities to sign its certificates:
- VeriSign
- RapidSSL/GeoTrust
- DigiCert

Twitter is serving the *.twitter.com certificate already on 19 servers. And the old www.twitter.com on only 6 servers.
Whats going on dudes?!

woensdag 29 februari 2012

Vragen uurtje nav gehackte videoconference systemen defensie

Vandaag was het tijd voor vragen naar aanleiding van mijn eerdere blog over de videoconference systemen van defensie die eenvoudig te hacken zijn.
De uitzending is hieronder terug te kijken, de vragen beginnen op 24:20
Get Microsoft Silverlight Bekijk de video in andere formaten.

Ik wil hierbij graag reageren op enkele suggestieve uitspraken van minister Hillen.
Allereerst suggereert de minister dat het artikel in De Volkskrant niet op waarheid berust, zo zegt de minister dat niet de top is gehackt. Nu zijn er natuurlijk verschillende opvattingen over wat de 'top' is, maar mijns inziens valt een directeur daar zeker onder. En het initiële systeem dat gehackt is was dat van A.J. de Waard. En zoals te zien op de pagina van defensie zelf, is deze persoon Directeur. Hoeveel 'top' wil je hebben?

Ten tweede beweert de minister dat de gehackte videoconference systemen van het onderhoudsbedrijf van de koninklijke marine zijn. Maar sinds wanneer liggen er schepen op een luchtmacht basis? LCW @ Woensdrecht brengt ons namelijk keurig bij de luchtmacht.
En in de "Warroom" in Den Haag krijgen de onderzeeërs zeker hun laatste likje verf?

Verder is het een keurige speech van minister Hillen die ook netjes hand in eigen boesem steekt. Echter vind ik het niet fijn hoe hij De Volkskrant neerzet, er is namelijk diepgaand onderzoek gedaan naar de feiten en alles is dubbel gecheckt. Ik kan hier de exacte ip adressen publiceren zodat iedereen de feiten te zien krijgt, maar ik doe dat niet. Omdat de minister De Volkskrant nu lichtelijk neerzet als een krant die feiten aandikt, dik ik gelijk ook even wat feiten aan. Zo zegt de minister dat het interne netwerk nooit gevaar heeft gelopen en dat men aan bewust wording werkt.
Nee minister Hillen, het interne netwerk loopt nooit gevaar, en u moet zeker aan bewust wording werking. Downplayen en zeggen dat een krant vooral overdrijft werkt niet. Want ook ik kan overdrijven, en geloof me, onderstaand screenshot laat ook uw wenkbrauwen fronsen.

zondag 26 februari 2012

Anonymous chat applicatie

En wij maar denken dat Anonymous chat via IRC.


Well,... dat doen ze nog steeds. ;)
Enige verschil is dat ze er nu een applicatie voor hebben die het verkeer via allerlei routes leidt om zo de vijand te misleiden dan wel af te schudden.
Ik heb de applicatie inmiddels in handen en onderaan het blog is de download link.
Ik heb het alles vrij makkelijk in handen gekregen, dus wat daar de bedoeling van is weet ik niet precies, wees in ieder geval gewaarschuwd!

Voor zover ik nu heb kunnen kijken werkt de applicatie als volgt:
De applicatie wordt gestart en deze maakt connectie met een voor ingestelde 'tracker'. Een server waar in ieder geval een .xml bestand op draait en in dit xml bestand is vervolgens een chat server gedefinieerd. Deze tracker kan men a la minuut aanpassen zodat er direct gebruik wordt gemaakt van een andere chat server. Op die manier kan men dus prima allerlei publieke IRC servers hiervoor gebruiken zonder dat ingelogde gebruikers op die server mee kunnen lezen.
De usernames zijn random, dus enkel wanneer je bekend bent met de personen herken je ze. En voor iedere chat wordt een wachtwoord afgesproken, hoe dit wachtwoord en het adres van de tracker onderling verspreid worden weet ik niet.

Hierbij de applicatie die ze inmiddels zelf ook publiek hebben gegooid? *vreemd uh!*
Maar pas op zou ik zeggen.. pdf's, exe's, dll's. VirusTotal geeft iig 0/43:
https://www.virustotal.com/file/afbc9a862e39a15c93c36702b837ea662418c03524f83e58d833485ee3deba58/analysis/1330279889/
https://www.virustotal.com/file/5ded50fba7eeb3f7fafd84a6d2ce84144902a03dcb4d5273656c9ef9f34ed49f/analysis/1330279945/
https://www.virustotal.com/file/151312209bf04b9c37b6418c00fd4bf88f6457e4001ee4696b58c765f8c1ba1c/analysis/1330279967/

Maar dat zegt niet alles.

zaterdag 25 februari 2012

BitTorent blokkade omzeilen - RuG

Op de Rijks Universiteit Groningen willen ze BitTorent gaan blokkeren vanwege aanhoudende klachten. Dat pikken we natuurlijk niet. Daarom hier de super eenvoudige manier om deze blokkade te vermijden.
In dit geval wordt er gebruik gemaakt van de meeste gebruikte client, namelijk Vuze.

Open Vuze
Ga naar tools -> Options
Klik op "Mode"
En selecteer User Proficiency: "Intermediate"

Klik vervolgens op Connection -> Transport Encryption
En vink "Require encrypted transport" aan.

Ik ken de techinische details van de blokkade op dit moment niet, dus of dit gaat werken weet ik niet. Maar in theorie zou dit moeten werken.
Remind dat dit niet de eerste provider in Nederland is die het BitTorent protocol aanpakt.
Hopelijk zijn er genoeg wijze koppies bij de RuG die zich tegen deze maatregelen verzetten. Ik ken enkele recht & ICT studenten al daar, dus ik heb vertrouwen in U.

Op naar netneutraliteit!

vrijdag 24 februari 2012

Videoconference systemen van Defensie eenvoudig te hacken

Maandag de 20ste werd ik getipt door hacker @ntisec. Hij vertelt me iets bizars te hebben gevonden en weet niet wat hij ermee aan moet. Hij verteld me dat Anonymous op zoek is gegaan naar gaten bij de overheid, deze gevonden heeft, en deze nu graag wil melden, om zo de overheid te helpen. Echter is deze vondst mogelijk van een dermate hoog kaliber dat ook @ntisec zijn vingers hier liever niet aan wil branden. Ik vertel hem de gegevens te willen bekijken om vervolgens te besluiten wat ik er mee doe.

@ntisec stuurt mij via allerlei encrypted wegen een handleiding van een video conference systeem, en een ip adres. De opdracht luidt: "log in met het default wachtwoord op dit ip."

Het resultaat is schokkend. Ik kom terecht op het video conference systeem van de Directeur Marinebedrijf CDRT dr. ir. A.J. de Waard.

Hoewel de toegang tot het systeem beveiligd is met een username en wachtwoord is het natuurlijk niet erg handig om de default hiervoor te gebruiken welke in een -overal on the webz beschikbare- handleiding staat. Sterker nog, het systeem heeft geen enkele afweer tegen bijvoorbeeld een bruteforce attack. In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn. Want die is namelijk vrijwel altijd geheel niet toegankelijk via het internet, laat staan dat we die kunnen bruteforcen.

Buiten het feit dat het erg interessant is dat we nu bij een video conference systemen kunnen van een directeur, notabene een bij het ministerie van defensie, wordt het pas echt leuk als we gaan kijken in het adresboek:

We komen een lijstje tegen met verschillende ip nummers en telefoonnummers. Als we naar de corresponderende namen kijken weten we direct welke kazernes het zijn... Wat die "Warroom" in Den Haag nu precies is, daar kunnen we alleen maar naar gissen natuurlijk. *kuch*

Ik loop het lijstje na om te checken of ik hier niet voor de gek wordt gehouden. Ik controleer de ip nummers en de login gegevens:
BELGIE: ADSL Lijn van skynet.be -offline
DMO @ Den Haag_NL: BINGO! Defensie Materieel Organisatie -offline
DMO TMO: BINGO! Commando DienstenCentra -offline
Den Haag: BINGO! Koninklijke Luchtmacht -ONLINE
Force Vision @ Den Helder-NL: BINGO! CAMS-Force Vision -ONLINE
KSG @ Vlissingen-NL: Zeelandnet lijn (Header -> BINGO!) -ONLINE
LCW @ Woensdrecht-NL: BINGO! Commando DienstenCentra -offline
Testsite @ US: Klopt, inderdaad een testsite. -offline
Warroom @ Den Haag-NL: BINGO! Commando DienstenCentra -offline

Het is zo goed als uitgesloten dat iemand dit voor de lol in elkaar heeft geknutseld. 4 sites geven een login mogelijkheid, en ook deze sites hangen dus blijkbaar aan het internet. De sites geven daarbij keurig weer welke software er achter draait, en in alle gevallen was dit inderdaad videoconference software. Ik heb kunnen constateren dat men het wachtwoord zo vaak mag proberen als men wil. Bruteforce wordt hier dus ook wel weer heeeul makkelijk gemaakt.

De woordvoerder van defensie reageert (uiteraard) wat terughoudend en beweert dat de systemen zelden gebruikt worden. En hoewel wij dus zelf geen videoconferencing hebben mee gekeken dan wel mee geluisterd, leert de logging van het systeem ons het volgende.
De logging van 20 Feb t/m 21 Feb (en ik skip bizar veel):
Feb 20 15:31:18 VLC_readyConfigureOutput_Cnf: Waiting for VPE to configure output HDMI 1...
Feb 21 09:14:48 VLC_readyGateQueryOutput_Cnf: PnP configure HDMI 2 to 1920x1080@60Hz HDMI
Feb 21 09:15:24 Received SourceFormatEvent from video link 17 (1280x720@60, digital, ok)
Feb 21 09:16:23 _call::makeOutgoingCall : Sending call request src uri='h232:[--IP:Den Haag--]' to src uri='h232[--IP:Force Vision--]'
Feb 21 16:00:47 LocalVideoInputGate::setIncomingMode (ig=1) res=1280x720@6000

En doet dit toch wel iets anders vermoeden. Evenals wat bronnen binnen defensie ons bevestigen.

Laten we wel zijn, dit is niet niets, en door het huidige afschrikwekkende effect van alle hackers die veroordeelt worden om simpele hacks, lijkt men wel gek bovenstaande feiten te melden. Echter doe ik het wel. Ik vind dat het mogelijk moet zijn in dit land dit soort problemen aan de kaak te stellen. Als Anonymous onze conference calls al kan mee luisteren, kan een Cyber leger dat al helemaal. We zouden als Nederland erg naïef zijn wanneer het niet mogelijk is dit soort problemen (zonder consequenties) te kunnen melden. En mocht er ooit oorlog uitbreken, dan zullen we waarschijnlijk direct op deze -stomme- blaren zitten.

Ik wil met dit blog wederom een statement maken. De Nederlandse overheid veroordeelt veel jeugdige hackers, wat hen een baan in de security industrie onmogelijk maakt. Echter zijn dít juist de jonge gemotiveerde personen die de overheid vooruit kúnnen en wíllen helpen!


Reactie defensie:
We zijn er uit.

Een onderhoudsbedrijf van Defensie heeft ooit zeven vtc-systemen
aangeschaft voor zichzelf. Deze systemen draaien op het reguliere,
publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt
tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En
dat blijkt.

Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan
zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar
is geweest.

Mvg

*hatsjoe*

Voor dit blog heb ik supervisie van De Volkskrant in geroepen, in persoon van Victor de Kok, om dit veilig naar buiten te kunnen brengen.

dinsdag 21 februari 2012

Waarom het verkeer richting The Pirate Bay via Amerika verloopt.

Dikke aluhoedjes op de afgelopen dagen na dit bericht op security.nl.
Ten eerste een zeer terecht nieuwsbericht want vrolijk worden we hier allerminst van natuurlijk. Maar denkt men écht dat een transit/peering provider het verkeer helemaal via the US laat lopen om het te kunnen tappen/sniffen? Dat zou een flinke zet zijn van de copyright organisaties. De maatschappelijke onrust die zoiets met zich mee brengt wanneer dit bij het grote publiek bekent wordt is natuurlijk niet te overzien.
Het lijkt me dus niet heel realistisch. Wat is er dan wel (mogelijk) aan de hand?

Serious Tubes regelt de transit voor The Pirate Bay. "We do it for the lulz." zoals ze zelf zeggen. Het verkeer loopt prima, maar maakt ineens een vreemde knik richting Amerika, gaat naar California, en komt daarna direct weer terug. Dit alles geregeld door Serious Tubes.
5 3 ms 8 ms 3 ms ams-ix.ae1.cr1.ams2.nl.nlayer.net [195.69.145.21
9]
6 2 ms 1 ms 1 ms ae3-60g.cr1.ams2.nl.nlayer.net [69.22.139.238]
7 8 ms 8 ms 8 ms xe-5-3-0.cr1.lhr1.uk.nlayer.net [69.22.142.94]
8 83 ms 83 ms 83 ms xe-11-3-1.cr1.nyc3.us.nlayer.net [69.22.142.132]

9 84 ms 84 ms 83 ms ae2-70g.cr1.ewr1.us.nlayer.net [69.31.95.145]
Kijken we naar een andere klant van Serious Tubes, piratpartiet.se, een site die zo goed als naast de pirate bay gepositioneerd is, dan zien we dat dat verkeer gewoon wel in 1x direct naar zijn locatie gaat. Dit maal echter via het netwerk van portlane.net. En daar lijkt het euvel te zitten.
5 4 ms 5 ms 5 ms tengigabitethernet4-3.ar7.AMS2.gblx.net [207.138
.112.129]
6 28 ms 28 ms 28 ms te-4-4-gblx.sto1.se.portlane.net [209.130.172.17
8]
7 28 ms 28 ms 30 ms po-10.sto3.se.portlane.net [80.67.4.129]
8 28 ms 28 ms 28 ms ge-0-4.sth3-core-1.srstubes.net [194.68.0.194]
9 27 ms 27 ms 27 ms ge-1-2.sth4-dr-1.srstubes.net [194.68.0.166]
10 26 ms 26 ms 26 ms ge-0-1.moria-cr-1.piratpartiet.net [194.68.0.146
]
11 28 ms 28 ms 28 ms www.piratpartiet.se [194.14.56.162]

Serious Tubes heeft met niet al teveel partijen peering. Het verkeer vanuit Nederland/Europa richting Zweden zou in de ideale situatie via de transit van Portlane verlopen. Echter is er in Zweden een rechtzaak (T 17127-09) tegen Portlane aangespannen deze transit te verbieden. De uitspraak van de rechter is de volgende:
On the basis of the materials and facts adduced by the movie companies as
plaintiffs, the District Court found it proven that illegal fi le sharing of the
works had taken place on an extensive scale and that the plaintiffs had shown
probable cause of infringement by distribution to the public. Balancing the
interests of the plaintiffs in obtaining the information in question, and the
integrity issues involved, the District Court found, considering the extent of
the infringement, that the interests of the plaintiffs of investigating and prosecuting
the infringements outweighed the inconvenience or other detriment
which the disclosure could cause. The decision has been appealed.

De enige andere optie die Serious Tubes voor het verkeer richting de range van Pirate Bay kan bieden is het via Amerika te laten lopen, en dat is waarschijnlijk de enige reden waarom het verkeer een dergelijke grote omweg maakt. Ze hebben geen andere keus dan het via hun -andere- transit partner in Amerika te laten lopen, omdat de kortste weg hen onmogelijk gemaakt is.

Dit blog is in afwachting van een officiële verklaring van Serious Tubes.

donderdag 16 februari 2012

Govcert/NCSC en geld.

Als er één feestje was in 2011 waar ik graag bij had willen zijn dan was het het symposium georganiseerd door Govcert. Een bizarre line-up van sprekers en niet de minste, onder andere
- Brian Krebs
- Mikko Hypponen
- Misha Glenny
Werden naar NL gehaald om een verhaaltje te vertellen. En dat alles niet voor niets natuurlijk, 240.000 euro mocht het feestje kosten, dat ook wel werd omschreven als "een leuk feestje voor vrienden van Govcert". Ik was niet uitgenodigd.
Na het lezen van dit nieuws bericht, waarin Govcert, dat inmiddels is overgegaan in Nationaal Cyber Security Centrum (NCSC), verteld dat zij 10.000 euro blijkbaar teveel vinden om historische data, verzamelt in de periode 2000 t/m 2008, beschikbaar dan wel raadpleegbaar te houden, breekt mijn klomp volledig. Het is nota bene een ad interim, je weet wel, zo eentje met een maand salaris van 10.000, die deze uitspraken doet.


Het lijkt me van vitaal belang dat dergelijke organisaties hun historische data kunnen raadplegen. Als we op deze manier omgaan met gedane ervaring kunnen ze in Japan net zo goed alle huizen weer van bakstenen gaan maken...
Enfin, het zal me een worst wezen of NCSC nu wel of niet bij de data kan, maar alsjeblieft, nodig mij volgende keer gewoon uit voor zo'n vet feestje!

dinsdag 14 februari 2012

Philips gehackt: de details

Philips gehackt klinkt natuurlijk lekker groot, en de buit gemaakte data is dat ook wel.
De hack is bekend gemaakt via verschillende pastes (onderaan de screenshots), maar van slechts 1 paste zal ik jullie de gegevens geven, hierin staan toch maar 100 email adressen. Daar heb geen flikker aan. :)

De hackers: bch195 & HaxOR
Host details:
# Host settings:
# MySQL version: (5.0.26-community-nt-log) running on ()
De domeinen:

Paste: http://privatepaste.com/bc710b22c7/
Password: hacked16496

Conclusie: Skiddo's met een flinke buit.

maandag 13 februari 2012

Login gehackte KPN machines

Ik blogde eerder dat dit de mogelijke login was van de gehackte server bij KPN.
Inmiddels heb ik een tweede mogelijke login binnen welke eveneens zeer legitiem lijkt. Het gaat hierbij om de login van de core-router welke gehackt zou zijn. Ip en OS kloppen in ieder geval.
De pastebin is dus mogelijk de login van de gehackte server.
En onderstaande screenshot de login van de gehackte router, de belangrijkste schakel in de gehele hack.

IP verwijzingen heb ik verwijderd om een horde aan verkeer voor deze router te beperken.

vrijdag 10 februari 2012

KPN hack debacle -LIVEBLOG

Website security.nl kwam als eerste met een link naar pastebin waarop de klant gegevens van KPN gebruikers zouden staan.

Hoewel eerst in twijfel getrokken door mij of de gegevens authentiek zijn lijkt dit nu door KPN bevestigd te worden.
De bevestiging wordt gegeven door het vrijwel direct offline halen van alle webmail diensten die KPN levert. Denk hierbij aan https://webmail.kpnmail.nl en bijvoorbeeld https://webmail.planet.nl

Tevens wil ik opmerken dat vandaag wederom via leden van Anonymous gegevens zijn 'gelekt' die enkel de dader kan weten. Het gaat hierbij om een mooi vorm gegeven login van de gehackte server, en een ip adres. Dit zou de login moeten zijn: http://pastebin.com/2qFAiMRR

Het lekken van de gegevens komt op een vreemd moment. Hoewel Anonymous zelf blijft benadrukken dat het een simpele hack was, een klein foutje, en vooral de omvang wil afschalen. Lijkt er op de achtergrond iets anders te gebeuren.
Het zou een tactiek van Politie kunnen zijn om de bevoegdheden te verhogen. Ook zou het een aanwijzing kunnen zijn dat de bewuste hacker zich niet direct in de harde kern van Anonymous bevind, maar mogelijk slechts een bekende van het groepje is.

Enfin, chips en drank staat klaar, ik maak hier een liveblog van.
TIME: 16:40

UPDATE 10-2-2012 16:48
Door gebruikers van het security.nl forum lijkt bevestigd te worden dat de account gegevens legitiem waren en werkten.
For the record: KPN slaat dus wachtwoorden in plaintext op.

UPDATE 10-2-2012 16:50
Door gebruikers van KPN mail lijkt bevestigd te worden dat de gehele mail omgeving niet werkt.

UPDATE 10-2-2012 17:25
Paniek binnen Anonymous kringen. Iedereen is bang en voelt de bui al hangen.

UPDATE 10-2-2012 17:57
Diverse journalisten verkondigen succesvol te hebben ingelogt op andere sites dan KPN met de gelekte klantgegevens. Enige ethiek vragen roept dit op.

UPDATE 10-2-2012 18:00
Journalisten verwijderen hun tweets dat zij succesvol zijn ingelogd met de gelekte klantgevens, na blijkt dat dit mogelijk strafbaar is. Hulde aan @Byte_Fighter.

UPDATE 10-2-2012 18:08
Security.nl kwam als eerste met de pastebin. Naar eigen zeggen had de pastebin tentijde van het plaatsen 32 views. Als we de gegevens van de public pastes van pastebin erop na slaan zien we dat een gemiddelde paste na 5 minuten ongeveer 30 views heeft. Binnen deze tijd moet Security.nl dus de informatie binnen gekregen hebben en er een artikel overgeschreven. Security.nl staat dus waarschijnlijk in direct contact met de plaatser van de pastebin.

UPDATE 10-2-2012 19:41
Inmiddels ontstaat er twijfel over de gelekte gegevens. Deze zouden mogelijk niet van de KPN hack afkomstig zijn.
Dit lijkt een goede theorie. Zeker gezien het feit de bron van security.nl duidelijk een andere bron is dan ik gebruik, evenals nu.nl/webwereld/tweakers. Allen gebruiken wij, gezien het feiten relaas, dezelfde bron.

UPDATE 10-2-2012 20:20
Naar nu blijkt is de pastebin vrijwel direct in de comments van security.nl geplaatst. Dit was 18 minuten voor publicatie op security.nl.

De bronnen welke eerder met de pers praatte en gegevens van de gehackte systemen wisten te overhandigen, welke correct waren, beweren dat de pastebin niet van hen is. Zij hebben niets gelekt en zijn hier zeer verontwaardigd over.

UPDATE 11-2-2012 14:08
- KPN heeft 6 dagen lang 24 uur per dag alles eraan gedaan om de continuïteit van de dienstverlening veilig te stellen.
- KPN vermeldt expliciet dat er geen klant gegevens buit zijn gemaakt. Zo'n expliciete vermelding zal ongetwijfeld gebaseerd zijn op constateringen.
- 1 Pastebin doet KPN besluiten direct alle mail diensten plat te leggen.

Conclusie: KPN heeft alles behalve controle over deze hack en tast flink in het duister.

Informatie dat de pastebin niet van deze hack afkomstig is, maar van een andere hack, wordt steeds groter. Het neerhalen van de complete mail infrastructuur lijkt dus een voorbarige actie van KPN. (Overigens wel terecht)

De hack zelf lijkt op dit moment als volgt te zijn gegaan:
- Core router gehackt
- Interne server gehackt (waarop configuratie file stond met het inmiddels geroemde g1rlp0w3r wachtwoord)
De core router is met een 0day exploit gehackt. En de interne server met publieke exploits.

UPDATE 11-2-2012 14:52
Overigens op het moment dat gestelt kan worden dat de gelekte gegevens een andere bron hebben dan deze hack. Wat voor mij al vast staat. Zullen er 2 grote onderzoeken moeten worden opgestart door Politie. Belangrijkste clue naar het tweede onderzoek, de gelekte gegevens dus, is de comment op het Security.nl forum (Zie reactie om 14:50 door Anoniem). Mogelijk kan de redactie verhelderen of er al een verzoek is binnen gekomen bij hen het ip adres van de poster te verstrekken. Belangrijk punt bij het tweede onderzoek is de maatschappelijke onrust die het veroorzaakt heeft.

UPDATE 11-2-2012 18:05
Zoals verwacht. De gelekte gegevens blijken niet van de directe KPN hack, maar van een webwinkel.

donderdag 9 februari 2012

Anonymous achter hack KPN?

Fascinerend hack in het nieuws vandaag (inmiddels gister) waarbij mijn oren direct gespitst gingen staan. KPN kwam zelf met het nieuws bericht dat zij slachtoffer zijn geweest van een hack. Een fascinerende hack, want de hacker had beschikking tot klant gegevens, waaronder bankrekeningnummers. Daarbij had de hacker tot een week na de ontdekking van de hack nog steeds toegang tot de systemen. (?!)

Enfin, een erg vreemd bericht dat zomaar ineens in de pers wordt geplempt, en via twitter door veel mensen wordt opgepakt. Wat mij op dat moment direct opviel was de snelheid waarmee de verscheidene Anonymous leden die ik in mijn lijst heb, hierop reageerden. Normaal reageren ze hier wel op, maar nu op een andere manier dan normaal. En het was niet een persoon, nee, vrijwel allemaal leken ze ineens ontwaakt te zijn. Ik besloot een suggestieve tweet eruit te gooien om reacties uit te lokken, en zo geschiede. Er werd gereageerd, er werd weer verwijderd, er werden DM's gestuurd, en ook die werden weer verwijderd. Erg handig allemaal, maar na een kort gesprekje met enkele personen van Anonymous zijn we naar een encrypted prive chat kanaal gegaan. En precies op dat moment belt Brenno de Winter mij. Je raadt het al, ook zijn instinct proefde onraad in deze zaak, en dus werd het tijd voor wat overleg.

Vervelende in deze zaak is dat de personen waarmee ik gechat heb niet zeggen: "Ja, we hebben het gedaan". Ze spelen een spelletje, ze geven me details welke dader kennis zouden moeten aangeven. Maar geven vervolgens weer enkel details waar IK op dit moment niets mee kan. Ze geven me de banners van de servers, ze geven me de netwerknamen, OS details, software details. Maar ik kan er niets mee. Ik kan wel keurig aan KPN gaan vragen: "Draaide de gehackte server SunOS 5.8??" 3 maal raden wat zo'n woordvoerder zegt.

Enfin, ik kan met de hints het bewijs niet sluitend krijgen en dit is dus puur suggestief. Ik moet er wel bij opmerken dat het zeer aparte details zijn om te geven voor iemand die er compleet niets mee te maken heeft, en mijn instinct zegt dan dus ook dat men hier wel degelijk mee te maken moet hebben. De reden, volgens hen, dat de server ontdekt is, is omdat zij deze aan botnet hadden gehangen. Maar laten we beginnen:

Banner van de server:
SunOS ns3 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-V240
Name: ns3.kpn.nl / speedtest.wxs.nl
IP: 213.75.**.15 (? <- men is hier niet zeker meer van) Exploit: http://www.exploit-db.com/exploits/3293/ (uit 2007... :x) Een andere server welke gehackt zou zijn zou een DNS server zijn. Ik moet hierbij opmerken dat er exact 5 dagen geleden een interne DNS storing was bij KPN. Zelf zeggen de jongens dat dit niet met elkaar in verband staat, ik vraag het me af, want de DNS server die zij mij doorgeven, is precies zo'n interne server. Hier het nieuws bericht.

Details:
Name: pdns01-adm.wxs.nl
IP: 10.94.70.20 (Resolved ook extern)
PDNSDBHOST=pdns01-adm.wxs.nl
PDNSDBNAME=pdns
PDNSDBUSER=pdns
PDNSDBPASSWORD=*********

Vast staat dat binnen de kringen van Anonymous dader kennis is, wat op betrokkenheid van hen moet duiden. Ik durf met tot aan zekerheid grenzende waarschijnlijkheid te zeggen dat een persoon binnen de kringen van Anonymous achter deze hack zit.

//Bovenstaand bericht is van gister en heb ik bewust achter gehouden, daar ik geen journalist ben.