zaterdag 31 maart 2012

COLUMN: de 17 jarige ubercrimineel en zijn KPN hack

17 jaar is hij. En minimaal 17 dagen cel heeft hij op zijn naam staan. Dat is niet niets voor een minderjarige. Kijkende naar zijn reeds opgelegde celstraf hebben we hier te maken met een groot crimineel. Een jongen die ervoor kon zorgen dat klanten van KPN het noodnummer 112 niet meer konden bellen. Een jongen die bij de gegevens van alle KPN klanten kon. Een jongen die mogelijk de nationale veiligheid in gevaar heeft gebracht. Een jongen die verantwoordelijk was voor de hoogste alarm fase bij KPN ooit, Code Rood.Het was een jongen die van geen ophouden wist, hij ging maar dieper het netwerk in, dieper en dieper. Het begon met 1 server, maar uiteindelijk wist hij honderden servers te hacken. Op al deze servers had hij zichzelf de hoogste beheerdersrechten toegekend. Als 17-jarige controle hebben over het bedrijf KPN, controle hebben over een groot gedeelte van Nederland. Sterker nog, de levens van mensen die met spoed 112 willen bellen, liggen in jouw handen, jij kunt bepalen of ze mogen bellen of niet. Wat een machtig gevoel moet deze jongen gehad hebben, en dat op die leeftijd.

Een kind kan de hack doen
Vooropgesteld moet worden dat deze jongen de wet overtreden heeft en hij hiervoor gestraft dient te worden, zo werkt onze rechtsstaat nu eenmaal. Maar laten we niet vergeten dat als een kind dit soort systemen binnen kan dringen, je je toch wel af moet gaan vragen wat een volwassene dan wel niet kan. Om even verder te gaan, wat kan een groep hacktivisten dan wel niet, wat kan een groep ‘echte’ hackers dan wel niet, een terrorist? Een insider? Of … Iran?

Zelfs Officier van Justitie Lodewijk van Zwieten zegt in het NOS journaal dat men nog niet achter het motief van de jongen is. Na intensief verhoor van een minderjarige verdachte is men er dus nog steeds niet in geslaagd om zijn beweegredenen op tafel te krijgen. Is het misschien een idee om hem te gaan waterboarden? Bij moordzaken word je zonder motief niet eens als verdachte aangemerkt. Dit beseffende kunnen we wel stellen dat we te maken hebben met een jongen met een passie. Hij wil hacken, meer en meer. En hij doet dat goddomme nog goed ook! Het is de pen-testers blijkbaar niet gelukt deze pijnplekken op tafel te leggen. Deze 17-jarige had een paar dagen nodig om het complete netwerk naar zijn hand te zetten. Alle strikte security policies en audits van KPN ten spijt.

ns1.kpn.net op IRC
Zijn wij nu allemaal de volwassen moraalridders die onze pubertijd ontgroeid zijn en wel even van dit pubertje kunnen eisen dat hij zich ethisch gedraagt en een dergelijke hack keurig gaat melden? Kunnen we dat nou echt eisen van een jochie waarbij sinds kort allemaal hormonen door zijn aderen gieren? Wat valt er nu te winnen voor een puber om zo’n hack te melden? Het melden van een lek heeft alleen maar nadelen. Een aangifte aan je broek is niet zeldzaam, eerder aannemelijk. Je zult er geen cent mee verdienen, dat is het de bedrijven niet waard. Er is geen enkele manier om aan je vrienden te bewijzen wat je gedaan hebt, downplayen is de regel. Je bent al je servers kwijt. Kortom, je staat weer met compleet lege handen. Wat wel mooi is als puber: de ns1.kpn.net jouw favoriete IRC-kanaal te laten joinen. Wedden dat je chat matties even twee keer slikken als deze reus van een machine het chat kanaal joint? Zij zullen je nu ineens met heel andere ogen bekijken. Voor een nerd is het in ieder geval een stuk stoerder dan met je opgevoerde scooter het schoolplein op te rijden, dat vol staat met jochies waar je eigenlijk sowieso al geen klik mee had.

Nu we toch over volwassenheid zijn begonnen, in hoeverre kunnen we KPN als volwassen beschouwen? Is KPN niet een beetje de puber binnen ICT-land? Met hun software op cruciale systemen die niet geüpdate wordt. Cruciale systemen die zelfs een wettelijke verplichting hebben hun diensten te allen tijde uit te voeren. En zelfs die systemen weet men niet up to date te houden? Kunnen we dan niet gewoon spreken van een kleutertje? Iemand die het gehele IT-model niet snapt? Zouden ze wel eens van een penetratietest gehoord hebben? Intrusion detection? of misschien zelfs gewoon firewalling? Of heeft KPN dat niet nodig? Zijn zij dat volwassen bedrijf die al dit soort maatregelen niet nodig heeft?

Zorgplicht en de wet
Op wie worden we boos wanneer een arts weigert een comazuipende tiener te helpen? Artsen hebben simpelweg zorgplicht. En een arts die een patiënt aan zijn lot overlaat, zal worden vervolgd. De tiener kan niets kwalijk worden genomen, want comazuipen hoort er nu eenmaal bij. Een systeembeheerder die systemen beheert waarvoor wettelijke richtlijnen gelden, hoeft zich nergens zorgen om te maken. Immers: alles is via de wet geregeld. Waarom zou je je überhaupt druk maken over updaten op het moment dat binnen dringen sowieso strafbaar is. Sterker nog, we verhalen de schade gewoon direct op deze knaap. Hij is immers de persoon die de wet heeft overtreden, niet ik, toch?

Het bedrijfje DigiNotar kennen we allemaal nog wel. De club die ervoor gezorgd heeft dat de Iraanse overheid met al zijn burgers mee kon gluren, de club die op die manier mogelijk bloed aan zijn handen heeft. Gelukkig hebben we de cijfers niet, maar een arts die zoveel slachtoffers maakt, zal direct worden aangeklaagd voor grove nalatigheid. Daar zal niemand over twijfelen. Bij DigiNotar komt er slechts een keurig rapport waaruit blijkt dat er grove nalatigheid betreffende de beveiliging is geweest. En daar laten we het dan maar weer bij.

Tot 900.000 botnet-pc’s in Nederland
Op dit moment maakt 5 tot 10 procent van de Nederlandse pc’s deel uit van een botnet. Dat zijn 450.000 tot 900.000 pc’s. Afgelopen jaar werd er in Nederland voor 35 miljoen euro van online bankrekeningen gestolen. Onze 17-jarige knaap had een forum opgezet voor de handel in creditcards, maar denken we nou echt dat deze jongen verantwoordelijk is voor de distributie richting de money mules? Is het realistisch om te denken dat een 17-jarige weet hoe je miljoenen euro’s moet witwassen? Is er überhaupt iemand die denkt dat deze persoon ooit succesvol hierin was geworden? Een ding is in ieder geval zeker, in de cel leer je echte criminelen kennen. En eenmaal buiten de gevangenis weet men je helemaal direct te vinden. Als toefje op de taart leert onze politie je dat opscheppen niet veel goeds brengt, en dat je je truecrypt wachtwoord voortaan niet moet afgeven tenzij je je systeem met plausible deniability hebt ingericht. Gelukkig ben je bijna 18 en heb je weer snel een kans om het nu wel goed te doen.

donderdag 22 maart 2012

UPC gehacked

Via deze pastebin heeft zogenaamde Anonymous Austria wereldkundig gemaakt dat ze UPC gehackt hebben.
En niets blijkt minder waar:


Het lijkt om de mail server te gaan, dat terwijl verscheidene mensen melden dat hun mail gewoon perfect werkt. Qua uiterlijk is alleen nog te zien geweest dat er vreemde teksten hebben gestaan op de verschillende UPC homepages, zoals de homepage zelf, en de webmail page.

UPDATE:
Inmiddels ben ik erachter dat tenminste 3 ip adressen webpagina's toonde met de 'geh scheissn' teksten. Mogelijk zijn er dus 3 verschillende servers gehackt geweest. Te weten:
213.46.255.16
213.46.242.72
213.46.242.101

woensdag 21 maart 2012

High Tech Crime Consortium mailing list gehacked

Gisterochtend berichtte ik (omdat ik het wel grappig vond) dat Police.nl gedefaced was. Wat me vervolgens op de nodige kritiek kwam te staan omdat iedereen toch wel kon zien dat dit een site van een hobbyist was. En inderdaad, dat wist ik ook wel, maar ik vond het vooral grappig.
Echter wat ik over het hoofd zag, maar gelukkig @PeterHermse niet. Was de 'bonus' die vermeldt stond in het deface tekst bericht.
Dit was namelijk een internet adres, plus username en password welke toegang gaf tot een mailing list. En niet zomaar een mailing list, namelijk de complete mail conversaties van het High Tech Crime Consortium vanaf 2000 tot heden.

Grote kans dus dat data uit deze mailinglist een dezer dagen zal uitlekken, mocht er interessante data in staan [wat ik betwijfel, aangezien de beveiliging wel érg slecht was.]
Via de lijst werden vooral verzoeken gedaan van verschillende Cyber Crime Cops om hulp. Tevens werd er aardig gekletst over de arrestatie van @anonymouSabu, waar men verbaast over leek te zijn. En ook werden er gesproken over 'on-going investigations'. En deze laatste data kan wel van enige waarde zijn aangezien het hier om strafzaken gaat waarvan de verdachte mogelijk nog compleet niet op de hoogte is dat er een zaak loopt.

In de deface melding staat @stramble vermeldt als dader.

Zo krijgt een grappig bedoelt tweetje vanaf mijn telefoon in de morgen ineens een heul andere twist! Met dank aan @PeterHermse voor zijn oplettendheid!

Mailing list is na contact met de beheerder nu weer gesloten.

vrijdag 16 maart 2012

Twitter and its strange certificate structure

Back in this blog post of December 2011 I noticed some of the twitter servers were serving wrong certificates. I notified twitter in several emails, never received a response though. (bad bad twitter!)
However, today I noticed they did take some action regarding this problem.
Strangely they now they have 2 different certificates in their live environment. One signed by VeriSign and one by RapidSSL/GeoTrust. Below you see both certificates compared:

One is valid for www.twitter.com and twitter.com. The other for twitter.com and [wildcard]*.twitter.com.

Here are their pastebin links:
Currently active: twitter.com / www.twitter.com - VeriSign valid from 7/7/2011
Currently backup: *.twitter.com / www.twitter.com - RapidSSL/GeoTrust valid from 7/17/2011

Just a few questions arise. Why the hack do u use at least 2 Certificate Authorities to sign your certificates? Why do we have 2 different certificates in a live environment?
Having multiple certificates for just one environment makes the probabilities of one getting compromised bigger. Secondly the new certificate presented shows it's already valid from the 17th of July 2011, how many more certificates do you have in stock?

Here are some facts about twitter and its certificate handling.
Twitter has requested certificates for these domains:
api.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
urls-real.api.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
pay.twitter.com -> VeriSign Class 3 Extended Validation SSL CA -> VeriSign
partnerdata.twttr.com -> DigiCert HA CA-3 -> DigiCert
dev.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
mobile.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
sms.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
support.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
upload.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
sms.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
stream.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
xstream.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
sitestream.twitter.com -> VeriSign Class 3 Secure Server CA - G3 -> VeriSign
userstream.twitter.com -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
t.co -> VeriSign Class 3 Secure Server CA - G2 -> VeriSign
twitter.com -> VeriSign Class 3 Extended Validation SSL CA -> VeriSign

But almost all of these can off course be replaced by this one:
*.twitter.com -> RapidSSL CA -> GeoTrust Global CA

Based on the above facts we can conclude twitter uses 3 Certificate Authorities to sign its certificates:
- VeriSign
- RapidSSL/GeoTrust
- DigiCert

Twitter is serving the *.twitter.com certificate already on 19 servers. And the old www.twitter.com on only 6 servers.
Whats going on dudes?!