woensdag 29 februari 2012

Vragen uurtje nav gehackte videoconference systemen defensie

Vandaag was het tijd voor vragen naar aanleiding van mijn eerdere blog over de videoconference systemen van defensie die eenvoudig te hacken zijn.
De uitzending is hieronder terug te kijken, de vragen beginnen op 24:20
Get Microsoft Silverlight Bekijk de video in andere formaten.

Ik wil hierbij graag reageren op enkele suggestieve uitspraken van minister Hillen.
Allereerst suggereert de minister dat het artikel in De Volkskrant niet op waarheid berust, zo zegt de minister dat niet de top is gehackt. Nu zijn er natuurlijk verschillende opvattingen over wat de 'top' is, maar mijns inziens valt een directeur daar zeker onder. En het initiële systeem dat gehackt is was dat van A.J. de Waard. En zoals te zien op de pagina van defensie zelf, is deze persoon Directeur. Hoeveel 'top' wil je hebben?

Ten tweede beweert de minister dat de gehackte videoconference systemen van het onderhoudsbedrijf van de koninklijke marine zijn. Maar sinds wanneer liggen er schepen op een luchtmacht basis? LCW @ Woensdrecht brengt ons namelijk keurig bij de luchtmacht.
En in de "Warroom" in Den Haag krijgen de onderzeeërs zeker hun laatste likje verf?

Verder is het een keurige speech van minister Hillen die ook netjes hand in eigen boesem steekt. Echter vind ik het niet fijn hoe hij De Volkskrant neerzet, er is namelijk diepgaand onderzoek gedaan naar de feiten en alles is dubbel gecheckt. Ik kan hier de exacte ip adressen publiceren zodat iedereen de feiten te zien krijgt, maar ik doe dat niet. Omdat de minister De Volkskrant nu lichtelijk neerzet als een krant die feiten aandikt, dik ik gelijk ook even wat feiten aan. Zo zegt de minister dat het interne netwerk nooit gevaar heeft gelopen en dat men aan bewust wording werkt.
Nee minister Hillen, het interne netwerk loopt nooit gevaar, en u moet zeker aan bewust wording werking. Downplayen en zeggen dat een krant vooral overdrijft werkt niet. Want ook ik kan overdrijven, en geloof me, onderstaand screenshot laat ook uw wenkbrauwen fronsen.

zondag 26 februari 2012

Anonymous chat applicatie

En wij maar denken dat Anonymous chat via IRC.


Well,... dat doen ze nog steeds. ;)
Enige verschil is dat ze er nu een applicatie voor hebben die het verkeer via allerlei routes leidt om zo de vijand te misleiden dan wel af te schudden.
Ik heb de applicatie inmiddels in handen en onderaan het blog is de download link.
Ik heb het alles vrij makkelijk in handen gekregen, dus wat daar de bedoeling van is weet ik niet precies, wees in ieder geval gewaarschuwd!

Voor zover ik nu heb kunnen kijken werkt de applicatie als volgt:
De applicatie wordt gestart en deze maakt connectie met een voor ingestelde 'tracker'. Een server waar in ieder geval een .xml bestand op draait en in dit xml bestand is vervolgens een chat server gedefinieerd. Deze tracker kan men a la minuut aanpassen zodat er direct gebruik wordt gemaakt van een andere chat server. Op die manier kan men dus prima allerlei publieke IRC servers hiervoor gebruiken zonder dat ingelogde gebruikers op die server mee kunnen lezen.
De usernames zijn random, dus enkel wanneer je bekend bent met de personen herken je ze. En voor iedere chat wordt een wachtwoord afgesproken, hoe dit wachtwoord en het adres van de tracker onderling verspreid worden weet ik niet.

Hierbij de applicatie die ze inmiddels zelf ook publiek hebben gegooid? *vreemd uh!*
Maar pas op zou ik zeggen.. pdf's, exe's, dll's. VirusTotal geeft iig 0/43:
https://www.virustotal.com/file/afbc9a862e39a15c93c36702b837ea662418c03524f83e58d833485ee3deba58/analysis/1330279889/
https://www.virustotal.com/file/5ded50fba7eeb3f7fafd84a6d2ce84144902a03dcb4d5273656c9ef9f34ed49f/analysis/1330279945/
https://www.virustotal.com/file/151312209bf04b9c37b6418c00fd4bf88f6457e4001ee4696b58c765f8c1ba1c/analysis/1330279967/

Maar dat zegt niet alles.

zaterdag 25 februari 2012

BitTorent blokkade omzeilen - RuG

Op de Rijks Universiteit Groningen willen ze BitTorent gaan blokkeren vanwege aanhoudende klachten. Dat pikken we natuurlijk niet. Daarom hier de super eenvoudige manier om deze blokkade te vermijden.
In dit geval wordt er gebruik gemaakt van de meeste gebruikte client, namelijk Vuze.

Open Vuze
Ga naar tools -> Options
Klik op "Mode"
En selecteer User Proficiency: "Intermediate"

Klik vervolgens op Connection -> Transport Encryption
En vink "Require encrypted transport" aan.

Ik ken de techinische details van de blokkade op dit moment niet, dus of dit gaat werken weet ik niet. Maar in theorie zou dit moeten werken.
Remind dat dit niet de eerste provider in Nederland is die het BitTorent protocol aanpakt.
Hopelijk zijn er genoeg wijze koppies bij de RuG die zich tegen deze maatregelen verzetten. Ik ken enkele recht & ICT studenten al daar, dus ik heb vertrouwen in U.

Op naar netneutraliteit!

vrijdag 24 februari 2012

Videoconference systemen van Defensie eenvoudig te hacken

Maandag de 20ste werd ik getipt door hacker @ntisec. Hij vertelt me iets bizars te hebben gevonden en weet niet wat hij ermee aan moet. Hij verteld me dat Anonymous op zoek is gegaan naar gaten bij de overheid, deze gevonden heeft, en deze nu graag wil melden, om zo de overheid te helpen. Echter is deze vondst mogelijk van een dermate hoog kaliber dat ook @ntisec zijn vingers hier liever niet aan wil branden. Ik vertel hem de gegevens te willen bekijken om vervolgens te besluiten wat ik er mee doe.

@ntisec stuurt mij via allerlei encrypted wegen een handleiding van een video conference systeem, en een ip adres. De opdracht luidt: "log in met het default wachtwoord op dit ip."

Het resultaat is schokkend. Ik kom terecht op het video conference systeem van de Directeur Marinebedrijf CDRT dr. ir. A.J. de Waard.

Hoewel de toegang tot het systeem beveiligd is met een username en wachtwoord is het natuurlijk niet erg handig om de default hiervoor te gebruiken welke in een -overal on the webz beschikbare- handleiding staat. Sterker nog, het systeem heeft geen enkele afweer tegen bijvoorbeeld een bruteforce attack. In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn. Want die is namelijk vrijwel altijd geheel niet toegankelijk via het internet, laat staan dat we die kunnen bruteforcen.

Buiten het feit dat het erg interessant is dat we nu bij een video conference systemen kunnen van een directeur, notabene een bij het ministerie van defensie, wordt het pas echt leuk als we gaan kijken in het adresboek:

We komen een lijstje tegen met verschillende ip nummers en telefoonnummers. Als we naar de corresponderende namen kijken weten we direct welke kazernes het zijn... Wat die "Warroom" in Den Haag nu precies is, daar kunnen we alleen maar naar gissen natuurlijk. *kuch*

Ik loop het lijstje na om te checken of ik hier niet voor de gek wordt gehouden. Ik controleer de ip nummers en de login gegevens:
BELGIE: ADSL Lijn van skynet.be -offline
DMO @ Den Haag_NL: BINGO! Defensie Materieel Organisatie -offline
DMO TMO: BINGO! Commando DienstenCentra -offline
Den Haag: BINGO! Koninklijke Luchtmacht -ONLINE
Force Vision @ Den Helder-NL: BINGO! CAMS-Force Vision -ONLINE
KSG @ Vlissingen-NL: Zeelandnet lijn (Header -> BINGO!) -ONLINE
LCW @ Woensdrecht-NL: BINGO! Commando DienstenCentra -offline
Testsite @ US: Klopt, inderdaad een testsite. -offline
Warroom @ Den Haag-NL: BINGO! Commando DienstenCentra -offline

Het is zo goed als uitgesloten dat iemand dit voor de lol in elkaar heeft geknutseld. 4 sites geven een login mogelijkheid, en ook deze sites hangen dus blijkbaar aan het internet. De sites geven daarbij keurig weer welke software er achter draait, en in alle gevallen was dit inderdaad videoconference software. Ik heb kunnen constateren dat men het wachtwoord zo vaak mag proberen als men wil. Bruteforce wordt hier dus ook wel weer heeeul makkelijk gemaakt.

De woordvoerder van defensie reageert (uiteraard) wat terughoudend en beweert dat de systemen zelden gebruikt worden. En hoewel wij dus zelf geen videoconferencing hebben mee gekeken dan wel mee geluisterd, leert de logging van het systeem ons het volgende.
De logging van 20 Feb t/m 21 Feb (en ik skip bizar veel):
Feb 20 15:31:18 VLC_readyConfigureOutput_Cnf: Waiting for VPE to configure output HDMI 1...
Feb 21 09:14:48 VLC_readyGateQueryOutput_Cnf: PnP configure HDMI 2 to 1920x1080@60Hz HDMI
Feb 21 09:15:24 Received SourceFormatEvent from video link 17 (1280x720@60, digital, ok)
Feb 21 09:16:23 _call::makeOutgoingCall : Sending call request src uri='h232:[--IP:Den Haag--]' to src uri='h232[--IP:Force Vision--]'
Feb 21 16:00:47 LocalVideoInputGate::setIncomingMode (ig=1) res=1280x720@6000

En doet dit toch wel iets anders vermoeden. Evenals wat bronnen binnen defensie ons bevestigen.

Laten we wel zijn, dit is niet niets, en door het huidige afschrikwekkende effect van alle hackers die veroordeelt worden om simpele hacks, lijkt men wel gek bovenstaande feiten te melden. Echter doe ik het wel. Ik vind dat het mogelijk moet zijn in dit land dit soort problemen aan de kaak te stellen. Als Anonymous onze conference calls al kan mee luisteren, kan een Cyber leger dat al helemaal. We zouden als Nederland erg naïef zijn wanneer het niet mogelijk is dit soort problemen (zonder consequenties) te kunnen melden. En mocht er ooit oorlog uitbreken, dan zullen we waarschijnlijk direct op deze -stomme- blaren zitten.

Ik wil met dit blog wederom een statement maken. De Nederlandse overheid veroordeelt veel jeugdige hackers, wat hen een baan in de security industrie onmogelijk maakt. Echter zijn dít juist de jonge gemotiveerde personen die de overheid vooruit kúnnen en wíllen helpen!


Reactie defensie:
We zijn er uit.

Een onderhoudsbedrijf van Defensie heeft ooit zeven vtc-systemen
aangeschaft voor zichzelf. Deze systemen draaien op het reguliere,
publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt
tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En
dat blijkt.

Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan
zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar
is geweest.

Mvg

*hatsjoe*

Voor dit blog heb ik supervisie van De Volkskrant in geroepen, in persoon van Victor de Kok, om dit veilig naar buiten te kunnen brengen.

dinsdag 21 februari 2012

Waarom het verkeer richting The Pirate Bay via Amerika verloopt.

Dikke aluhoedjes op de afgelopen dagen na dit bericht op security.nl.
Ten eerste een zeer terecht nieuwsbericht want vrolijk worden we hier allerminst van natuurlijk. Maar denkt men écht dat een transit/peering provider het verkeer helemaal via the US laat lopen om het te kunnen tappen/sniffen? Dat zou een flinke zet zijn van de copyright organisaties. De maatschappelijke onrust die zoiets met zich mee brengt wanneer dit bij het grote publiek bekent wordt is natuurlijk niet te overzien.
Het lijkt me dus niet heel realistisch. Wat is er dan wel (mogelijk) aan de hand?

Serious Tubes regelt de transit voor The Pirate Bay. "We do it for the lulz." zoals ze zelf zeggen. Het verkeer loopt prima, maar maakt ineens een vreemde knik richting Amerika, gaat naar California, en komt daarna direct weer terug. Dit alles geregeld door Serious Tubes.
5 3 ms 8 ms 3 ms ams-ix.ae1.cr1.ams2.nl.nlayer.net [195.69.145.21
9]
6 2 ms 1 ms 1 ms ae3-60g.cr1.ams2.nl.nlayer.net [69.22.139.238]
7 8 ms 8 ms 8 ms xe-5-3-0.cr1.lhr1.uk.nlayer.net [69.22.142.94]
8 83 ms 83 ms 83 ms xe-11-3-1.cr1.nyc3.us.nlayer.net [69.22.142.132]

9 84 ms 84 ms 83 ms ae2-70g.cr1.ewr1.us.nlayer.net [69.31.95.145]
Kijken we naar een andere klant van Serious Tubes, piratpartiet.se, een site die zo goed als naast de pirate bay gepositioneerd is, dan zien we dat dat verkeer gewoon wel in 1x direct naar zijn locatie gaat. Dit maal echter via het netwerk van portlane.net. En daar lijkt het euvel te zitten.
5 4 ms 5 ms 5 ms tengigabitethernet4-3.ar7.AMS2.gblx.net [207.138
.112.129]
6 28 ms 28 ms 28 ms te-4-4-gblx.sto1.se.portlane.net [209.130.172.17
8]
7 28 ms 28 ms 30 ms po-10.sto3.se.portlane.net [80.67.4.129]
8 28 ms 28 ms 28 ms ge-0-4.sth3-core-1.srstubes.net [194.68.0.194]
9 27 ms 27 ms 27 ms ge-1-2.sth4-dr-1.srstubes.net [194.68.0.166]
10 26 ms 26 ms 26 ms ge-0-1.moria-cr-1.piratpartiet.net [194.68.0.146
]
11 28 ms 28 ms 28 ms www.piratpartiet.se [194.14.56.162]

Serious Tubes heeft met niet al teveel partijen peering. Het verkeer vanuit Nederland/Europa richting Zweden zou in de ideale situatie via de transit van Portlane verlopen. Echter is er in Zweden een rechtzaak (T 17127-09) tegen Portlane aangespannen deze transit te verbieden. De uitspraak van de rechter is de volgende:
On the basis of the materials and facts adduced by the movie companies as
plaintiffs, the District Court found it proven that illegal fi le sharing of the
works had taken place on an extensive scale and that the plaintiffs had shown
probable cause of infringement by distribution to the public. Balancing the
interests of the plaintiffs in obtaining the information in question, and the
integrity issues involved, the District Court found, considering the extent of
the infringement, that the interests of the plaintiffs of investigating and prosecuting
the infringements outweighed the inconvenience or other detriment
which the disclosure could cause. The decision has been appealed.

De enige andere optie die Serious Tubes voor het verkeer richting de range van Pirate Bay kan bieden is het via Amerika te laten lopen, en dat is waarschijnlijk de enige reden waarom het verkeer een dergelijke grote omweg maakt. Ze hebben geen andere keus dan het via hun -andere- transit partner in Amerika te laten lopen, omdat de kortste weg hen onmogelijk gemaakt is.

Dit blog is in afwachting van een officiële verklaring van Serious Tubes.

donderdag 16 februari 2012

Govcert/NCSC en geld.

Als er één feestje was in 2011 waar ik graag bij had willen zijn dan was het het symposium georganiseerd door Govcert. Een bizarre line-up van sprekers en niet de minste, onder andere
- Brian Krebs
- Mikko Hypponen
- Misha Glenny
Werden naar NL gehaald om een verhaaltje te vertellen. En dat alles niet voor niets natuurlijk, 240.000 euro mocht het feestje kosten, dat ook wel werd omschreven als "een leuk feestje voor vrienden van Govcert". Ik was niet uitgenodigd.
Na het lezen van dit nieuws bericht, waarin Govcert, dat inmiddels is overgegaan in Nationaal Cyber Security Centrum (NCSC), verteld dat zij 10.000 euro blijkbaar teveel vinden om historische data, verzamelt in de periode 2000 t/m 2008, beschikbaar dan wel raadpleegbaar te houden, breekt mijn klomp volledig. Het is nota bene een ad interim, je weet wel, zo eentje met een maand salaris van 10.000, die deze uitspraken doet.


Het lijkt me van vitaal belang dat dergelijke organisaties hun historische data kunnen raadplegen. Als we op deze manier omgaan met gedane ervaring kunnen ze in Japan net zo goed alle huizen weer van bakstenen gaan maken...
Enfin, het zal me een worst wezen of NCSC nu wel of niet bij de data kan, maar alsjeblieft, nodig mij volgende keer gewoon uit voor zo'n vet feestje!

dinsdag 14 februari 2012

Philips gehackt: de details

Philips gehackt klinkt natuurlijk lekker groot, en de buit gemaakte data is dat ook wel.
De hack is bekend gemaakt via verschillende pastes (onderaan de screenshots), maar van slechts 1 paste zal ik jullie de gegevens geven, hierin staan toch maar 100 email adressen. Daar heb geen flikker aan. :)

De hackers: bch195 & HaxOR
Host details:
# Host settings:
# MySQL version: (5.0.26-community-nt-log) running on ()
De domeinen:

Paste: http://privatepaste.com/bc710b22c7/
Password: hacked16496

Conclusie: Skiddo's met een flinke buit.

maandag 13 februari 2012

Login gehackte KPN machines

Ik blogde eerder dat dit de mogelijke login was van de gehackte server bij KPN.
Inmiddels heb ik een tweede mogelijke login binnen welke eveneens zeer legitiem lijkt. Het gaat hierbij om de login van de core-router welke gehackt zou zijn. Ip en OS kloppen in ieder geval.
De pastebin is dus mogelijk de login van de gehackte server.
En onderstaande screenshot de login van de gehackte router, de belangrijkste schakel in de gehele hack.

IP verwijzingen heb ik verwijderd om een horde aan verkeer voor deze router te beperken.

vrijdag 10 februari 2012

KPN hack debacle -LIVEBLOG

Website security.nl kwam als eerste met een link naar pastebin waarop de klant gegevens van KPN gebruikers zouden staan.

Hoewel eerst in twijfel getrokken door mij of de gegevens authentiek zijn lijkt dit nu door KPN bevestigd te worden.
De bevestiging wordt gegeven door het vrijwel direct offline halen van alle webmail diensten die KPN levert. Denk hierbij aan https://webmail.kpnmail.nl en bijvoorbeeld https://webmail.planet.nl

Tevens wil ik opmerken dat vandaag wederom via leden van Anonymous gegevens zijn 'gelekt' die enkel de dader kan weten. Het gaat hierbij om een mooi vorm gegeven login van de gehackte server, en een ip adres. Dit zou de login moeten zijn: http://pastebin.com/2qFAiMRR

Het lekken van de gegevens komt op een vreemd moment. Hoewel Anonymous zelf blijft benadrukken dat het een simpele hack was, een klein foutje, en vooral de omvang wil afschalen. Lijkt er op de achtergrond iets anders te gebeuren.
Het zou een tactiek van Politie kunnen zijn om de bevoegdheden te verhogen. Ook zou het een aanwijzing kunnen zijn dat de bewuste hacker zich niet direct in de harde kern van Anonymous bevind, maar mogelijk slechts een bekende van het groepje is.

Enfin, chips en drank staat klaar, ik maak hier een liveblog van.
TIME: 16:40

UPDATE 10-2-2012 16:48
Door gebruikers van het security.nl forum lijkt bevestigd te worden dat de account gegevens legitiem waren en werkten.
For the record: KPN slaat dus wachtwoorden in plaintext op.

UPDATE 10-2-2012 16:50
Door gebruikers van KPN mail lijkt bevestigd te worden dat de gehele mail omgeving niet werkt.

UPDATE 10-2-2012 17:25
Paniek binnen Anonymous kringen. Iedereen is bang en voelt de bui al hangen.

UPDATE 10-2-2012 17:57
Diverse journalisten verkondigen succesvol te hebben ingelogt op andere sites dan KPN met de gelekte klantgegevens. Enige ethiek vragen roept dit op.

UPDATE 10-2-2012 18:00
Journalisten verwijderen hun tweets dat zij succesvol zijn ingelogd met de gelekte klantgevens, na blijkt dat dit mogelijk strafbaar is. Hulde aan @Byte_Fighter.

UPDATE 10-2-2012 18:08
Security.nl kwam als eerste met de pastebin. Naar eigen zeggen had de pastebin tentijde van het plaatsen 32 views. Als we de gegevens van de public pastes van pastebin erop na slaan zien we dat een gemiddelde paste na 5 minuten ongeveer 30 views heeft. Binnen deze tijd moet Security.nl dus de informatie binnen gekregen hebben en er een artikel overgeschreven. Security.nl staat dus waarschijnlijk in direct contact met de plaatser van de pastebin.

UPDATE 10-2-2012 19:41
Inmiddels ontstaat er twijfel over de gelekte gegevens. Deze zouden mogelijk niet van de KPN hack afkomstig zijn.
Dit lijkt een goede theorie. Zeker gezien het feit de bron van security.nl duidelijk een andere bron is dan ik gebruik, evenals nu.nl/webwereld/tweakers. Allen gebruiken wij, gezien het feiten relaas, dezelfde bron.

UPDATE 10-2-2012 20:20
Naar nu blijkt is de pastebin vrijwel direct in de comments van security.nl geplaatst. Dit was 18 minuten voor publicatie op security.nl.

De bronnen welke eerder met de pers praatte en gegevens van de gehackte systemen wisten te overhandigen, welke correct waren, beweren dat de pastebin niet van hen is. Zij hebben niets gelekt en zijn hier zeer verontwaardigd over.

UPDATE 11-2-2012 14:08
- KPN heeft 6 dagen lang 24 uur per dag alles eraan gedaan om de continuïteit van de dienstverlening veilig te stellen.
- KPN vermeldt expliciet dat er geen klant gegevens buit zijn gemaakt. Zo'n expliciete vermelding zal ongetwijfeld gebaseerd zijn op constateringen.
- 1 Pastebin doet KPN besluiten direct alle mail diensten plat te leggen.

Conclusie: KPN heeft alles behalve controle over deze hack en tast flink in het duister.

Informatie dat de pastebin niet van deze hack afkomstig is, maar van een andere hack, wordt steeds groter. Het neerhalen van de complete mail infrastructuur lijkt dus een voorbarige actie van KPN. (Overigens wel terecht)

De hack zelf lijkt op dit moment als volgt te zijn gegaan:
- Core router gehackt
- Interne server gehackt (waarop configuratie file stond met het inmiddels geroemde g1rlp0w3r wachtwoord)
De core router is met een 0day exploit gehackt. En de interne server met publieke exploits.

UPDATE 11-2-2012 14:52
Overigens op het moment dat gestelt kan worden dat de gelekte gegevens een andere bron hebben dan deze hack. Wat voor mij al vast staat. Zullen er 2 grote onderzoeken moeten worden opgestart door Politie. Belangrijkste clue naar het tweede onderzoek, de gelekte gegevens dus, is de comment op het Security.nl forum (Zie reactie om 14:50 door Anoniem). Mogelijk kan de redactie verhelderen of er al een verzoek is binnen gekomen bij hen het ip adres van de poster te verstrekken. Belangrijk punt bij het tweede onderzoek is de maatschappelijke onrust die het veroorzaakt heeft.

UPDATE 11-2-2012 18:05
Zoals verwacht. De gelekte gegevens blijken niet van de directe KPN hack, maar van een webwinkel.

donderdag 9 februari 2012

Anonymous achter hack KPN?

Fascinerend hack in het nieuws vandaag (inmiddels gister) waarbij mijn oren direct gespitst gingen staan. KPN kwam zelf met het nieuws bericht dat zij slachtoffer zijn geweest van een hack. Een fascinerende hack, want de hacker had beschikking tot klant gegevens, waaronder bankrekeningnummers. Daarbij had de hacker tot een week na de ontdekking van de hack nog steeds toegang tot de systemen. (?!)

Enfin, een erg vreemd bericht dat zomaar ineens in de pers wordt geplempt, en via twitter door veel mensen wordt opgepakt. Wat mij op dat moment direct opviel was de snelheid waarmee de verscheidene Anonymous leden die ik in mijn lijst heb, hierop reageerden. Normaal reageren ze hier wel op, maar nu op een andere manier dan normaal. En het was niet een persoon, nee, vrijwel allemaal leken ze ineens ontwaakt te zijn. Ik besloot een suggestieve tweet eruit te gooien om reacties uit te lokken, en zo geschiede. Er werd gereageerd, er werd weer verwijderd, er werden DM's gestuurd, en ook die werden weer verwijderd. Erg handig allemaal, maar na een kort gesprekje met enkele personen van Anonymous zijn we naar een encrypted prive chat kanaal gegaan. En precies op dat moment belt Brenno de Winter mij. Je raadt het al, ook zijn instinct proefde onraad in deze zaak, en dus werd het tijd voor wat overleg.

Vervelende in deze zaak is dat de personen waarmee ik gechat heb niet zeggen: "Ja, we hebben het gedaan". Ze spelen een spelletje, ze geven me details welke dader kennis zouden moeten aangeven. Maar geven vervolgens weer enkel details waar IK op dit moment niets mee kan. Ze geven me de banners van de servers, ze geven me de netwerknamen, OS details, software details. Maar ik kan er niets mee. Ik kan wel keurig aan KPN gaan vragen: "Draaide de gehackte server SunOS 5.8??" 3 maal raden wat zo'n woordvoerder zegt.

Enfin, ik kan met de hints het bewijs niet sluitend krijgen en dit is dus puur suggestief. Ik moet er wel bij opmerken dat het zeer aparte details zijn om te geven voor iemand die er compleet niets mee te maken heeft, en mijn instinct zegt dan dus ook dat men hier wel degelijk mee te maken moet hebben. De reden, volgens hen, dat de server ontdekt is, is omdat zij deze aan botnet hadden gehangen. Maar laten we beginnen:

Banner van de server:
SunOS ns3 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-V240
Name: ns3.kpn.nl / speedtest.wxs.nl
IP: 213.75.**.15 (? <- men is hier niet zeker meer van) Exploit: http://www.exploit-db.com/exploits/3293/ (uit 2007... :x) Een andere server welke gehackt zou zijn zou een DNS server zijn. Ik moet hierbij opmerken dat er exact 5 dagen geleden een interne DNS storing was bij KPN. Zelf zeggen de jongens dat dit niet met elkaar in verband staat, ik vraag het me af, want de DNS server die zij mij doorgeven, is precies zo'n interne server. Hier het nieuws bericht.

Details:
Name: pdns01-adm.wxs.nl
IP: 10.94.70.20 (Resolved ook extern)
PDNSDBHOST=pdns01-adm.wxs.nl
PDNSDBNAME=pdns
PDNSDBUSER=pdns
PDNSDBPASSWORD=*********

Vast staat dat binnen de kringen van Anonymous dader kennis is, wat op betrokkenheid van hen moet duiden. Ik durf met tot aan zekerheid grenzende waarschijnlijkheid te zeggen dat een persoon binnen de kringen van Anonymous achter deze hack zit.

//Bovenstaand bericht is van gister en heb ik bewust achter gehouden, daar ik geen journalist ben.

dinsdag 7 februari 2012

ThePirateBay vecht terug!

Dat The Pirate Bay zich niet graag een koppie kleiner laat maken bleek al uit het verleden.
En dat lijken ze nu weer te gaan doen.

Wat mij, en met mij waarschijnlijk vele anderen, is opgevallen is dat wanneer je thepiratebay.org bezoekt je geredirect wordt naar thepiratebay.se.
Opvallend natuurlijk, maar niet heul speciaal.

Wat wellicht opvallender is, is dat thepiratebay.org inmiddels gehost wordt op een server waarvan het ip-adres niet in het opgelegde vonnis staat.
Thepiratebay.org resolved namelijk naar 194.71.107.50.
De 3 ip-adressen actief geblokkeerd door XS4all zijn: 194.71.107.15, 194.71.107.18, 194.71.107.19.
Het 'nieuwe' ip-adres komt dus niet op dit lijstje voor.

Xs4all en Ziggo gebruikers die op dit moment dus een alternatieve DNS gebruiken kunnen in ieder geval een flink stuk dichter bij thepiratebay komen dan voorheen.
Het niet geblokkeerde ip adres 194.71.107.50 (Dank aan @Ansjh)

En hier het geblokkeerde ip adres 194.71.107.15

Op dit moment reageert het adres 194.71.107.50 nog met een HTTP 301 request en stuurt je direct door naar thepiratebay.se. Je browser zal dit adres vervolgens resolven en in het geval van XS4all en Ziggo gebruikers zullen deze helaas weer op de blokkade van het adres 194.71.107.15 stuitten.

Bovenstaande maatregelen lijken voorbereiding te zijn van The Pirate Bay om de strijd met BREIN aan te gaan. Immers, ze doen hiermee niets illegaals. BREIN op zijn beurt mag eigenhandig nieuwe ip-adressen door spelen aan Ziggo en XS4all. Maar kunnen deze partijen wel op tegen een ip-adres dat ieder uur kan veranderen (Zie TTL van 3600s)?

Lees hier nogmaals hoe je jouw DNS-server kan veranderen zodat je niet meer afhankelijk bent van de DNS servers van jouw provider. Lees er tevens hoe je een VPN kan opzetten of Tor kan gebruiken zodat je sowieso geen last van de blokkade hebt.



ps.
Er is mij ter oren gekomen dat ook personen die NIET klant zijn van XS4all en Ziggo terecht komen op de blokkade pagina van XS4all. Tevens dat personen klant zijn bij Ziggo deze op de blokkade pagina van XS4all terecht komen. Heb jij hier ook last van, meldt dit dan even bij mij.