Rickey Gevers

Vragen uurtje nav gehackte videoconference systemen defensie

2012-02-29T00:13:00.001+01:00

Vandaag was het tijd voor vragen naar aanleiding van mijn eerdere blog over de videoconference systemen van defensie die eenvoudig te hacken zijn.
De uitzending is hieronder terug te kijken, de vragen beginnen op 24:20
Bekijk de video in andere formaten.

Ik wil hierbij graag reageren op enkele suggestieve uitspraken van minister Hillen.
Allereerst suggereert de minister dat het artikel in De Volkskrant niet op waarheid berust, zo zegt de minister dat niet de top is gehackt. Nu zijn er natuurlijk verschillende opvattingen over wat de 'top' is, maar mijns inziens valt een directeur daar zeker onder. En het initiële systeem dat gehackt is was dat van A.J. de Waard. En zoals te zien op de pagina van defensie zelf, is deze persoon Directeur. Hoeveel 'top' wil je hebben?

Ten tweede beweert de minister dat de gehackte videoconference systemen van het onderhoudsbedrijf van de koninklijke marine zijn. Maar sinds wanneer liggen er schepen op een luchtmacht basis? LCW @ Woensdrecht brengt ons namelijk keurig bij de luchtmacht.
En in de "Warroom" in Den Haag krijgen de onderzeeërs zeker hun laatste likje verf?

Verder is het een keurige speech van minister Hillen die ook netjes hand in eigen boesem steekt. Echter vind ik het niet fijn hoe hij De Volkskrant neerzet, er is namelijk diepgaand onderzoek gedaan naar de feiten en alles is dubbel gecheckt. Ik kan hier de exacte ip adressen publiceren zodat iedereen de feiten te zien krijgt, maar ik doe dat niet. Omdat de minister De Volkskrant nu lichtelijk neerzet als een krant die feiten aandikt, dik ik gelijk ook even wat feiten aan. Zo zegt de minister dat het interne netwerk nooit gevaar heeft gelopen en dat men aan bewust wording werkt.
Nee minister Hillen, het interne netwerk loopt nooit gevaar, en u moet zeker aan bewust wording werking. Downplayen en zeggen dat een krant vooral overdrijft werkt niet. Want ook ik kan overdrijven, en geloof me, onderstaand screenshot laat ook uw wenkbrauwen fronsen.

Anonymous chat applicatie

2012-02-26T19:16:00.001+01:00

En wij maar denken dat Anonymous chat via IRC.

Well,... dat doen ze nog steeds. ;)
Enige verschil is dat ze er nu een applicatie voor hebben die het verkeer via allerlei routes leidt om zo de vijand te misleiden dan wel af te schudden.
Ik heb de applicatie inmiddels in handen en onderaan het blog is de download link.
Ik heb het alles vrij makkelijk in handen gekregen, dus wat daar de bedoeling van is weet ik niet precies, wees in ieder geval gewaarschuwd!

Voor zover ik nu heb kunnen kijken werkt de applicatie als volgt:
De applicatie wordt gestart en deze maakt connectie met een voor ingestelde 'tracker'. Een server waar in ieder geval een .xml bestand op draait en in dit xml bestand is vervolgens een chat server gedefinieerd. Deze tracker kan men a la minuut aanpassen zodat er direct gebruik wordt gemaakt van een andere chat server. Op die manier kan men dus prima allerlei publieke IRC servers hiervoor gebruiken zonder dat ingelogde gebruikers op die server mee kunnen lezen.
De usernames zijn random, dus enkel wanneer je bekend bent met de personen herken je ze. En voor iedere chat wordt een wachtwoord afgesproken, hoe dit wachtwoord en het adres van de tracker onderling verspreid worden weet ik niet.

Hierbij de applicatie die ze inmiddels zelf ook publiek hebben gegooid? *vreemd uh!*
Maar pas op zou ik zeggen.. pdf's, exe's, dll's. VirusTotal geeft iig 0/43:
https://www.virustotal.com/file/afbc9a862e39a15c93c36702b837ea662418c03524f83e58d833485ee3deba58/analysis/1330279889/
https://www.virustotal.com/file/5ded50fba7eeb3f7fafd84a6d2ce84144902a03dcb4d5273656c9ef9f34ed49f/analysis/1330279945/
https://www.virustotal.com/file/151312209bf04b9c37b6418c00fd4bf88f6457e4001ee4696b58c765f8c1ba1c/analysis/1330279967/

Maar dat zegt niet alles.

BitTorent blokkade omzeilen - RuG

2012-02-25T20:32:00.000+01:00

Op de Rijks Universiteit Groningen willen ze BitTorent gaan blokkeren vanwege aanhoudende klachten. Dat pikken we natuurlijk niet. Daarom hier de super eenvoudige manier om deze blokkade te vermijden.
In dit geval wordt er gebruik gemaakt van de meeste gebruikte client, namelijk Vuze.

Open Vuze
Ga naar tools -> Options
Klik op "Mode"
En selecteer User Proficiency: "Intermediate"

Klik vervolgens op Connection -> Transport Encryption
En vink "Require encrypted transport" aan.

Ik ken de techinische details van de blokkade op dit moment niet, dus of dit gaat werken weet ik niet. Maar in theorie zou dit moeten werken.
Remind dat dit niet de eerste provider in Nederland is die het BitTorent protocol aanpakt.
Hopelijk zijn er genoeg wijze koppies bij de RuG die zich tegen deze maatregelen verzetten. Ik ken enkele recht & ICT studenten al daar, dus ik heb vertrouwen in U.

Op naar netneutraliteit!

Videoconference systemen van Defensie eenvoudig te hacken

2012-02-24T07:19:00.000+01:00

Maandag de 20ste werd ik getipt door hacker @ntisec. Hij vertelt me iets bizars te hebben gevonden en weet niet wat hij ermee aan moet. Hij verteld me dat Anonymous op zoek is gegaan naar gaten bij de overheid, deze gevonden heeft, en deze nu graag wil melden, om zo de overheid te helpen. Echter is deze vondst mogelijk van een dermate hoog kaliber dat ook @ntisec zijn vingers hier liever niet aan wil branden. Ik vertel hem de gegevens te willen bekijken om vervolgens te besluiten wat ik er mee doe.

@ntisec stuurt mij via allerlei encrypted wegen een handleiding van een video conference systeem, en een ip adres. De opdracht luidt: "log in met het default wachtwoord op dit ip."

Het resultaat is schokkend. Ik kom terecht op het video conference systeem van de Directeur Marinebedrijf CDRT dr. ir. A.J. de Waard.

Hoewel de toegang tot het systeem beveiligd is met een username en wachtwoord is het natuurlijk niet erg handig om de default hiervoor te gebruiken welke in een -overal on the webz beschikbare- handleiding staat. Sterker nog, het systeem heeft geen enkele afweer tegen bijvoorbeeld een bruteforce attack. In dit geval kunnen we stellen dat vrijwel alle routers in Nederland -dus ook die bij u thuis- beter beveiligd zijn. Want die is namelijk vrijwel altijd geheel niet toegankelijk via het internet, laat staan dat we die kunnen bruteforcen.

Buiten het feit dat het erg interessant is dat we nu bij een video conference systemen kunnen van een directeur, notabene een bij het ministerie van defensie, wordt het pas echt leuk als we gaan kijken in het adresboek:

We komen een lijstje tegen met verschillende ip nummers en telefoonnummers. Als we naar de corresponderende namen kijken weten we direct welke kazernes het zijn... Wat die "Warroom" in Den Haag nu precies is, daar kunnen we alleen maar naar gissen natuurlijk. *kuch*

Ik loop het lijstje na om te checken of ik hier niet voor de gek wordt gehouden. Ik controleer de ip nummers en de login gegevens:
BELGIE: ADSL Lijn van skynet.be -offline
DMO @ Den Haag_NL: BINGO! Defensie Materieel Organisatie -offline
DMO TMO: BINGO! Commando DienstenCentra -offline
Den Haag: BINGO! Koninklijke Luchtmacht -ONLINE
Force Vision @ Den Helder-NL: BINGO! CAMS-Force Vision -ONLINE
KSG @ Vlissingen-NL: Zeelandnet lijn (Header -> BINGO!) -ONLINE
LCW @ Woensdrecht-NL: BINGO! Commando DienstenCentra -offline
Testsite @ US: Klopt, inderdaad een testsite. -offline
Warroom @ Den Haag-NL: BINGO! Commando DienstenCentra -offline

Het is zo goed als uitgesloten dat iemand dit voor de lol in elkaar heeft geknutseld. 4 sites geven een login mogelijkheid, en ook deze sites hangen dus blijkbaar aan het internet. De sites geven daarbij keurig weer welke software er achter draait, en in alle gevallen was dit inderdaad videoconference software. Ik heb kunnen constateren dat men het wachtwoord zo vaak mag proberen als men wil. Bruteforce wordt hier dus ook wel weer heeeul makkelijk gemaakt.

De woordvoerder van defensie reageert (uiteraard) wat terughoudend en beweert dat de systemen zelden gebruikt worden. En hoewel wij dus zelf geen videoconferencing hebben mee gekeken dan wel mee geluisterd, leert de logging van het systeem ons het volgende.
De logging van 20 Feb t/m 21 Feb (en ik skip bizar veel):
Feb 20 15:31:18 VLC_readyConfigureOutput_Cnf: Waiting for VPE to configure output HDMI 1...
Feb 21 09:14:48 VLC_readyGateQueryOutput_Cnf: PnP configure HDMI 2 to 1920x1080@60Hz HDMI
Feb 21 09:15:24 Received SourceFormatEvent from video link 17 (1280x720@60, digital, ok)
Feb 21 09:16:23 _call::makeOutgoingCall : Sending call request src uri='h232:[--IP:Den Haag--]' to src uri='h232[--IP:Force Vision--]'
Feb 21 16:00:47 LocalVideoInputGate::setIncomingMode (ig=1) res=1280x720@6000
En doet dit toch wel iets anders vermoeden. Evenals wat bronnen binnen defensie ons bevestigen.

Laten we wel zijn, dit is niet niets, en door het huidige afschrikwekkende effect van alle hackers die veroordeelt worden om simpele hacks, lijkt men wel gek bovenstaande feiten te melden. Echter doe ik het wel. Ik vind dat het mogelijk moet zijn in dit land dit soort problemen aan de kaak te stellen. Als Anonymous onze conference calls al kan mee luisteren, kan een Cyber leger dat al helemaal. We zouden als Nederland erg naïef zijn wanneer het niet mogelijk is dit soort problemen (zonder consequenties) te kunnen melden. En mocht er ooit oorlog uitbreken, dan zullen we waarschijnlijk direct op deze -stomme- blaren zitten.

Ik wil met dit blog wederom een statement maken. De Nederlandse overheid veroordeelt veel jeugdige hackers, wat hen een baan in de security industrie onmogelijk maakt. Echter zijn dít juist de jonge gemotiveerde personen die de overheid vooruit kúnnen en wíllen helpen!

Reactie defensie:

We zijn er uit.

Een onderhoudsbedrijf van Defensie heeft ooit zeven vtc-systemen
aangeschaft voor zichzelf. Deze systemen draaien op het reguliere,
publieke internet. De cyber-veiligheidsafdeling van Defensie waarschuwt
tegen dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En
dat blijkt.

Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan
zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar
is geweest.

Mvg

*hatsjoe*

Voor dit blog heb ik supervisie van De Volkskrant in geroepen, in persoon van Victor de Kok, om dit veilig naar buiten te kunnen brengen.

Waarom het verkeer richting The Pirate Bay via Amerika verloopt.

2012-02-21T14:36:00.003+01:00

Dikke aluhoedjes op de afgelopen dagen na dit bericht op security.nl.
Ten eerste een zeer terecht nieuwsbericht want vrolijk worden we hier allerminst van natuurlijk. Maar denkt men écht dat een transit/peering provider het verkeer helemaal via the US laat lopen om het te kunnen tappen/sniffen? Dat zou een flinke zet zijn van de copyright organisaties. De maatschappelijke onrust die zoiets met zich mee brengt wanneer dit bij het grote publiek bekent wordt is natuurlijk niet te overzien.
Het lijkt me dus niet heel realistisch. Wat is er dan wel (mogelijk) aan de hand?

Serious Tubes regelt de transit voor The Pirate Bay. "We do it for the lulz." zoals ze zelf zeggen. Het verkeer loopt prima, maar maakt ineens een vreemde knik richting Amerika, gaat naar California, en komt daarna direct weer terug. Dit alles geregeld door Serious Tubes.

5 3 ms 8 ms 3 ms ams-ix.ae1.cr1.ams2.nl.nlayer.net [195.69.145.21
9]
6 2 ms 1 ms 1 ms ae3-60g.cr1.ams2.nl.nlayer.net [69.22.139.238]
7 8 ms 8 ms 8 ms xe-5-3-0.cr1.lhr1.uk.nlayer.net [69.22.142.94]
8 83 ms 83 ms 83 ms xe-11-3-1.cr1.nyc3.us.nlayer.net [69.22.142.132]
9 84 ms 84 ms 83 ms ae2-70g.cr1.ewr1.us.nlayer.net [69.31.95.145]

Kijken we naar een andere klant van Serious Tubes, piratpartiet.se, een site die zo goed als naast de pirate bay gepositioneerd is, dan zien we dat dat verkeer gewoon wel in 1x direct naar zijn locatie gaat. Dit maal echter via het netwerk van portlane.net. En daar lijkt het euvel te zitten.

5 4 ms 5 ms 5 ms tengigabitethernet4-3.ar7.AMS2.gblx.net [207.138
.112.129]
6 28 ms 28 ms 28 ms te-4-4-gblx.sto1.se.portlane.net [209.130.172.17
8]
7 28 ms 28 ms 30 ms po-10.sto3.se.portlane.net [80.67.4.129]
8 28 ms 28 ms 28 ms ge-0-4.sth3-core-1.srstubes.net [194.68.0.194]
9 27 ms 27 ms 27 ms ge-1-2.sth4-dr-1.srstubes.net [194.68.0.166]
10 26 ms 26 ms 26 ms ge-0-1.moria-cr-1.piratpartiet.net [194.68.0.146
]
11 28 ms 28 ms 28 ms www.piratpartiet.se [194.14.56.162]

Serious Tubes heeft met niet al teveel partijen peering. Het verkeer vanuit Nederland/Europa richting Zweden zou in de ideale situatie via de transit van Portlane verlopen. Echter is er in Zweden een rechtzaak (T 17127-09) tegen Portlane aangespannen deze transit te verbieden. De uitspraak van de rechter is de volgende:

On the basis of the materials and facts adduced by the movie companies as
plaintiffs, the District Court found it proven that illegal fi le sharing of the
works had taken place on an extensive scale and that the plaintiffs had shown
probable cause of infringement by distribution to the public. Balancing the
interests of the plaintiffs in obtaining the information in question, and the
integrity issues involved, the District Court found, considering the extent of
the infringement, that the interests of the plaintiffs of investigating and prosecuting
the infringements outweighed the inconvenience or other detriment
which the disclosure could cause. The decision has been appealed.

De enige andere optie die Serious Tubes voor het verkeer richting de range van Pirate Bay kan bieden is het via Amerika te laten lopen, en dat is waarschijnlijk de enige reden waarom het verkeer een dergelijke grote omweg maakt. Ze hebben geen andere keus dan het via hun -andere- transit partner in Amerika te laten lopen, omdat de kortste weg hen onmogelijk gemaakt is.

Dit blog is in afwachting van een officiële verklaring van Serious Tubes.

Govcert/NCSC en geld.

2012-02-16T16:49:00.003+01:00

Als er één feestje was in 2011 waar ik graag bij had willen zijn dan was het het symposium georganiseerd door Govcert. Een bizarre line-up van sprekers en niet de minste, onder andere
- Brian Krebs
- Mikko Hypponen
- Misha Glenny
Werden naar NL gehaald om een verhaaltje te vertellen. En dat alles niet voor niets natuurlijk, 240.000 euro mocht het feestje kosten, dat ook wel werd omschreven als "een leuk feestje voor vrienden van Govcert". Ik was niet uitgenodigd.
Na het lezen van dit nieuws bericht, waarin Govcert, dat inmiddels is overgegaan in Nationaal Cyber Security Centrum (NCSC), verteld dat zij 10.000 euro blijkbaar teveel vinden om historische data, verzamelt in de periode 2000 t/m 2008, beschikbaar dan wel raadpleegbaar te houden, breekt mijn klomp volledig. Het is nota bene een ad interim, je weet wel, zo eentje met een maand salaris van 10.000, die deze uitspraken doet.

Het lijkt me van vitaal belang dat dergelijke organisaties hun historische data kunnen raadplegen. Als we op deze manier omgaan met gedane ervaring kunnen ze in Japan net zo goed alle huizen weer van bakstenen gaan maken...
Enfin, het zal me een worst wezen of NCSC nu wel of niet bij de data kan, maar alsjeblieft, nodig mij volgende keer gewoon uit voor zo'n vet feestje!

Philips gehackt: de details

2012-02-14T14:40:00.001+01:00

Philips gehackt klinkt natuurlijk lekker groot, en de buit gemaakte data is dat ook wel.
De hack is bekend gemaakt via verschillende pastes (onderaan de screenshots), maar van slechts 1 paste zal ik jullie de gegevens geven, hierin staan toch maar 100 email adressen. Daar heb geen flikker aan. :)

De hackers: bch195 & HaxOR
Host details:

# Host settings:
# MySQL version: (5.0.26-community-nt-log) running on ()

De domeinen:

Paste: http://privatepaste.com/bc710b22c7/
Password: hacked16496

Conclusie: Skiddo's met een flinke buit.

Login gehackte KPN machines

2012-02-13T13:41:00.000+01:00

Ik blogde eerder dat dit de mogelijke login was van de gehackte server bij KPN.
Inmiddels heb ik een tweede mogelijke login binnen welke eveneens zeer legitiem lijkt. Het gaat hierbij om de login van de core-router welke gehackt zou zijn. Ip en OS kloppen in ieder geval.
De pastebin is dus mogelijk de login van de gehackte server.
En onderstaande screenshot de login van de gehackte router, de belangrijkste schakel in de gehele hack.

IP verwijzingen heb ik verwijderd om een horde aan verkeer voor deze router te beperken.

KPN hack debacle -LIVEBLOG

2012-02-10T16:41:00.017+01:00

Website security.nl kwam als eerste met een link naar pastebin waarop de klant gegevens van KPN gebruikers zouden staan.

Hoewel eerst in twijfel getrokken door mij of de gegevens authentiek zijn lijkt dit nu door KPN bevestigd te worden.
De bevestiging wordt gegeven door het vrijwel direct offline halen van alle webmail diensten die KPN levert. Denk hierbij aan https://webmail.kpnmail.nl en bijvoorbeeld https://webmail.planet.nl

Tevens wil ik opmerken dat vandaag wederom via leden van Anonymous gegevens zijn 'gelekt' die enkel de dader kan weten. Het gaat hierbij om een mooi vorm gegeven login van de gehackte server, en een ip adres. Dit zou de login moeten zijn: http://pastebin.com/2qFAiMRR

Het lekken van de gegevens komt op een vreemd moment. Hoewel Anonymous zelf blijft benadrukken dat het een simpele hack was, een klein foutje, en vooral de omvang wil afschalen. Lijkt er op de achtergrond iets anders te gebeuren.
Het zou een tactiek van Politie kunnen zijn om de bevoegdheden te verhogen. Ook zou het een aanwijzing kunnen zijn dat de bewuste hacker zich niet direct in de harde kern van Anonymous bevind, maar mogelijk slechts een bekende van het groepje is.

Enfin, chips en drank staat klaar, ik maak hier een liveblog van.
TIME: 16:40

UPDATE 10-2-2012 16:48
Door gebruikers van het security.nl forum lijkt bevestigd te worden dat de account gegevens legitiem waren en werkten.
For the record: KPN slaat dus wachtwoorden in plaintext op.

UPDATE 10-2-2012 16:50
Door gebruikers van KPN mail lijkt bevestigd te worden dat de gehele mail omgeving niet werkt.

UPDATE 10-2-2012 17:25
Paniek binnen Anonymous kringen. Iedereen is bang en voelt de bui al hangen.

UPDATE 10-2-2012 17:57
Diverse journalisten verkondigen succesvol te hebben ingelogt op andere sites dan KPN met de gelekte klantgegevens. Enige ethiek vragen roept dit op.

UPDATE 10-2-2012 18:00
Journalisten verwijderen hun tweets dat zij succesvol zijn ingelogd met de gelekte klantgevens, na blijkt dat dit mogelijk strafbaar is. Hulde aan @Byte_Fighter.

UPDATE 10-2-2012 18:08
Security.nl kwam als eerste met de pastebin. Naar eigen zeggen had de pastebin tentijde van het plaatsen 32 views. Als we de gegevens van de public pastes van pastebin erop na slaan zien we dat een gemiddelde paste na 5 minuten ongeveer 30 views heeft. Binnen deze tijd moet Security.nl dus de informatie binnen gekregen hebben en er een artikel overgeschreven. Security.nl staat dus waarschijnlijk in direct contact met de plaatser van de pastebin.

UPDATE 10-2-2012 19:41
Inmiddels ontstaat er twijfel over de gelekte gegevens. Deze zouden mogelijk niet van de KPN hack afkomstig zijn.
Dit lijkt een goede theorie. Zeker gezien het feit de bron van security.nl duidelijk een andere bron is dan ik gebruik, evenals nu.nl/webwereld/tweakers. Allen gebruiken wij, gezien het feiten relaas, dezelfde bron.

UPDATE 10-2-2012 20:20
Naar nu blijkt is de pastebin vrijwel direct in de comments van security.nl geplaatst. Dit was 18 minuten voor publicatie op security.nl.

De bronnen welke eerder met de pers praatte en gegevens van de gehackte systemen wisten te overhandigen, welke correct waren, beweren dat de pastebin niet van hen is. Zij hebben niets gelekt en zijn hier zeer verontwaardigd over.

UPDATE 11-2-2012 14:08
- KPN heeft 6 dagen lang 24 uur per dag alles eraan gedaan om de continuïteit van de dienstverlening veilig te stellen.
- KPN vermeldt expliciet dat er geen klant gegevens buit zijn gemaakt. Zo'n expliciete vermelding zal ongetwijfeld gebaseerd zijn op constateringen.
- 1 Pastebin doet KPN besluiten direct alle mail diensten plat te leggen.

Conclusie: KPN heeft alles behalve controle over deze hack en tast flink in het duister.

Informatie dat de pastebin niet van deze hack afkomstig is, maar van een andere hack, wordt steeds groter. Het neerhalen van de complete mail infrastructuur lijkt dus een voorbarige actie van KPN. (Overigens wel terecht)

De hack zelf lijkt op dit moment als volgt te zijn gegaan:
- Core router gehackt
- Interne server gehackt (waarop configuratie file stond met het inmiddels geroemde g1rlp0w3r wachtwoord)
De core router is met een 0day exploit gehackt. En de interne server met publieke exploits.

UPDATE 11-2-2012 14:52
Overigens op het moment dat gestelt kan worden dat de gelekte gegevens een andere bron hebben dan deze hack. Wat voor mij al vast staat. Zullen er 2 grote onderzoeken moeten worden opgestart door Politie. Belangrijkste clue naar het tweede onderzoek, de gelekte gegevens dus, is de comment op het Security.nl forum (Zie reactie om 14:50 door Anoniem). Mogelijk kan de redactie verhelderen of er al een verzoek is binnen gekomen bij hen het ip adres van de poster te verstrekken. Belangrijk punt bij het tweede onderzoek is de maatschappelijke onrust die het veroorzaakt heeft.

UPDATE 11-2-2012 18:05
Zoals verwacht. De gelekte gegevens blijken niet van de directe KPN hack, maar van een webwinkel.

Anonymous achter hack KPN?

2012-02-09T18:36:00.006+01:00

Fascinerend hack in het nieuws vandaag (inmiddels gister) waarbij mijn oren direct gespitst gingen staan. KPN kwam zelf met het nieuws bericht dat zij slachtoffer zijn geweest van een hack. Een fascinerende hack, want de hacker had beschikking tot klant gegevens, waaronder bankrekeningnummers. Daarbij had de hacker tot een week na de ontdekking van de hack nog steeds toegang tot de systemen. (?!)

Enfin, een erg vreemd bericht dat zomaar ineens in de pers wordt geplempt, en via twitter door veel mensen wordt opgepakt. Wat mij op dat moment direct opviel was de snelheid waarmee de verscheidene Anonymous leden die ik in mijn lijst heb, hierop reageerden. Normaal reageren ze hier wel op, maar nu op een andere manier dan normaal. En het was niet een persoon, nee, vrijwel allemaal leken ze ineens ontwaakt te zijn. Ik besloot een suggestieve tweet eruit te gooien om reacties uit te lokken, en zo geschiede. Er werd gereageerd, er werd weer verwijderd, er werden DM's gestuurd, en ook die werden weer verwijderd. Erg handig allemaal, maar na een kort gesprekje met enkele personen van Anonymous zijn we naar een encrypted prive chat kanaal gegaan. En precies op dat moment belt Brenno de Winter mij. Je raadt het al, ook zijn instinct proefde onraad in deze zaak, en dus werd het tijd voor wat overleg.

Vervelende in deze zaak is dat de personen waarmee ik gechat heb niet zeggen: "Ja, we hebben het gedaan". Ze spelen een spelletje, ze geven me details welke dader kennis zouden moeten aangeven. Maar geven vervolgens weer enkel details waar IK op dit moment niets mee kan. Ze geven me de banners van de servers, ze geven me de netwerknamen, OS details, software details. Maar ik kan er niets mee. Ik kan wel keurig aan KPN gaan vragen: "Draaide de gehackte server SunOS 5.8??" 3 maal raden wat zo'n woordvoerder zegt.

Enfin, ik kan met de hints het bewijs niet sluitend krijgen en dit is dus puur suggestief. Ik moet er wel bij opmerken dat het zeer aparte details zijn om te geven voor iemand die er compleet niets mee te maken heeft, en mijn instinct zegt dan dus ook dat men hier wel degelijk mee te maken moet hebben. De reden, volgens hen, dat de server ontdekt is, is omdat zij deze aan botnet hadden gehangen. Maar laten we beginnen:

Banner van de server:
SunOS ns3 5.8 Generic_108528-29 sun4u sparc SUNW,Sun-Fire-V240
Name: ns3.kpn.nl / speedtest.wxs.nl
IP: 213.75.**.15 (? <- men is hier niet zeker meer van)Exploit: http://www.exploit-db.com/exploits/3293/ (uit 2007... :x)Een andere server welke gehackt zou zijn zou een DNS server zijn. Ik moet hierbij opmerken dat er exact 5 dagen geleden een interne DNS storing was bij KPN. Zelf zeggen de jongens dat dit niet met elkaar in verband staat, ik vraag het me af, want de DNS server die zij mij doorgeven, is precies zo'n interne server. Hier het nieuws bericht.

Details:
Name: pdns01-adm.wxs.nl
IP: 10.94.70.20 (Resolved ook extern)
PDNSDBHOST=pdns01-adm.wxs.nl
PDNSDBNAME=pdns
PDNSDBUSER=pdns
PDNSDBPASSWORD=*********

Vast staat dat binnen de kringen van Anonymous dader kennis is, wat op betrokkenheid van hen moet duiden. Ik durf met tot aan zekerheid grenzende waarschijnlijkheid te zeggen dat een persoon binnen de kringen van Anonymous achter deze hack zit.

//Bovenstaand bericht is van gister en heb ik bewust achter gehouden, daar ik geen journalist ben.

ThePirateBay vecht terug!

2012-02-07T01:58:00.006+01:00

Dat The Pirate Bay zich niet graag een koppie kleiner laat maken bleek al uit het verleden.
En dat lijken ze nu weer te gaan doen.

Wat mij, en met mij waarschijnlijk vele anderen, is opgevallen is dat wanneer je thepiratebay.org bezoekt je geredirect wordt naar thepiratebay.se.
Opvallend natuurlijk, maar niet heul speciaal.

Wat wellicht opvallender is, is dat thepiratebay.org inmiddels gehost wordt op een server waarvan het ip-adres niet in het opgelegde vonnis staat.
Thepiratebay.org resolved namelijk naar 194.71.107.50.
De 3 ip-adressen actief geblokkeerd door XS4all zijn: 194.71.107.15, 194.71.107.18, 194.71.107.19.
Het 'nieuwe' ip-adres komt dus niet op dit lijstje voor.

Xs4all en Ziggo gebruikers die op dit moment dus een alternatieve DNS gebruiken kunnen in ieder geval een flink stuk dichter bij thepiratebay komen dan voorheen.
Het niet geblokkeerde ip adres 194.71.107.50 (Dank aan @Ansjh)

En hier het geblokkeerde ip adres 194.71.107.15

Op dit moment reageert het adres 194.71.107.50 nog met een HTTP 301 request en stuurt je direct door naar thepiratebay.se. Je browser zal dit adres vervolgens resolven en in het geval van XS4all en Ziggo gebruikers zullen deze helaas weer op de blokkade van het adres 194.71.107.15 stuitten.

Bovenstaande maatregelen lijken voorbereiding te zijn van The Pirate Bay om de strijd met BREIN aan te gaan. Immers, ze doen hiermee niets illegaals. BREIN op zijn beurt mag eigenhandig nieuwe ip-adressen door spelen aan Ziggo en XS4all. Maar kunnen deze partijen wel op tegen een ip-adres dat ieder uur kan veranderen (Zie TTL van 3600s)?

Lees hier nogmaals hoe je jouw DNS-server kan veranderen zodat je niet meer afhankelijk bent van de DNS servers van jouw provider. Lees er tevens hoe je een VPN kan opzetten of Tor kan gebruiken zodat je sowieso geen last van de blokkade hebt.

ps.
Er is mij ter oren gekomen dat ook personen die NIET klant zijn van XS4all en Ziggo terecht komen op de blokkade pagina van XS4all. Tevens dat personen klant zijn bij Ziggo deze op de blokkade pagina van XS4all terecht komen. Heb jij hier ook last van, meldt dit dan even bij mij.

26 Alternatives for Megaupload

2012-01-20T01:11:00.001+01:00

Internet censorship does not work. It's that easy.
Today people connected to megaupload.com have been arrested and are facing trial. This is unfair.
If your FBI, underneath is a list of sites similar to megaupload. Enjoy your job.
To all others: HAVE FUN!

SendSpace.com
MediaFire.com
iFile.it
Rapidshare.com
Savefile.ro
TransferBigFiles.com
KeepMyFile.com
Badongo.com
YourFileLink.com
UploadPedia.com
ge.tt
4Shared
WeTransfer.com
FileServe.com
hotfile.com
filesonic.com
depositfiles.com
zshare.net
filedropper.com
2shared.com
sprend.com
esnips.com
OpenUpload
yousendit.com
filenurse.com
drop.st

Lijst vrije twitter accounts 2e kamerleden

2012-01-13T23:03:00.001+01:00

De tweede kamer wil mogelijk nep twitter accounts strafbaar maken.
Na de blokkade van The Pirate Bay dus wederom een vorm van censuur op het internet.
Het is vrij simpel, van internet blijf je met je poten af. Twitter accounts kunnen gewoon op authenticiteit worden gecontroleerd: Zie account Barack Obama.

Beste Politici, get used to it. Neem kennis van het Streisandeffect, en laat deze wind gewoon lekker overwaaien. Of beter, ga boeven vangen, en laat ons nog even plezier hebben met deze trollololllz.
Dus na mijn volledig legale manier om de blokkade richting The Pirate Bay te omzeilen, hierbij een lijst met twitter accounts van leden van de 2e kamer die nog niet geregistreerd zijn. Compleet l en I, O en 0, w en vv. You name it, it's in there!

http://pastebin.com/WqjPJGXJ

Enjoy!

Blokkade The Pirate Bay omzeilen

2012-01-11T13:31:00.005+01:00

Door de verplichte blokkade van The Pirate Bay wordt ONZE vrijheid afgepakt.
Ik ga even niet in op de discussie hierover. Dit Artikel gaat enkel over het omzeilen van deze pure vorm van censuur.

Het vonnis dat is opgelegd stelt dat 3 IP adressen worden geblokkeerd en 24 domeinnamen worden geblokkeerd. Dit wordt vanuit de provider gedaan. De exacte technische details zijn mij niet bekend. Dus ik ga er even vanuit dat de 3 ip adressen compleet niet bereikbaar zijn voor abonnees van XS4ALL en Ziggo.

Hoe kunnen we dit omzeilen?

Die vraag is vrij eenvoudig, verplaats jezelf naar het buitenland. En dat kan via de volgende oplossingen:
- VPN's (Lijst met VPN providers - Handleiding)
- Proxies (Lijst met Proxies - Handleidingen)
- Tor (Hier is TOR te downloaden)

Gebruik voor de zekerheid een alternatieve DNS server. De google DNS servers zijn aan te raden, te vinden op IP adressen 8.8.8.8 en 8.8.4.4.
Een ander alternatief is OpenDNS.
(Handleiding verkort onderaan - hier uitgebreid)

Vervolgens kan je ThePirateBay.org weer keurig benaderen en kan je je torrents downloaden. Als je eenmaal de torrents binnen hebt kan je naar hartenlust je spullen binnen halen aangezien de trackers niet via dit vonnis geblokkeerd worden. Download door middel van een torrent bestand werkt dus nog gewoon, enkel de toegang tot ThePirateBay.org wordt je ontnomen op dit moment.

Handleiding Alternatieve DNS instellen:
- Ga naar je Local Area Connection Properties
- Selecteer "Internet Protocol Version 4 (TCP/IPv4)"
- Klik op "Properties"

- Onderstaande verschijnt:

- Selecteer "Use the following DNS server addresses"
- Vul 8.8.8.8 en 8.8.4.4 in.

KLAAR!

Verder doe ik een oproep aan The Pirate Bay een API op te stellen zodat iedereen zijn eigen Pirate Bay kan creëren met gebruik van de database van The Pirate Bay.

Another Duqu mystery unraveled?

2012-01-04T23:05:00.003+01:00

During the reverse engineering of Duqu, researchers discovered Duqu resolves the hostname kasperskychk.dyndns.org A strange domainname hosted by the company DynDNS. This artical discusses the apparent unwillingness of DynDNS to cooperate, and possible involvement with Duqu.
But let's start with some magic quotes:

“If you don't make mistakes, you don't make anything”
-Cyberwar

“Mistakes are painful when they happen, but years later a collection of mistakes is what is called experience.”
-Duqu and Stuxnet teach each other

“A man's mistakes are his portals of discovery.”
-Rickey Gevers (Author of this blog)

Since the beginning of the discovery of Stuxnet and Duqu people have been speculating about its origin. Most references are based on the code. But does one seriously think the authors will leave a note to reveal their identity? We are talking about warfare here!
No doubt Stuxnet was used as a weapon, a weapon to conduct warfare, cyber-warfare. Stuxnet is considered the first peace of cyber warfare that has been discovered. And since it's one of the first creations chances are pretty big that mistakes have been made. In warfare any clue regarding your identity can be considered a mistake. That's probably one of the reasons why Duqu used hacked servers located all over the world.
As the author of Duqu you don't want any part of your code connecting to anything related to you, or directly to your country. You have got to create a maze in such a way that researcher will never get the chance to examine every peace of the maze. In the case of Duqu the community cooperated amazingly well and even 2 images of hacked servers were given to Kaspersky for examination. The community did a very good job and have come a long way investigating the route via which information was leaked.

But we've got to keep one thing in mind. Relying on hacked servers that can be taken down at any moment brings a risk. And this is probably the reason why the following 'check' is performed by Duqu. The DNS resolving of kasperskychk.dyndns.org. Some say it does this check to see whether there is an internet connection, it also checks www.windows.com, but as anyone can see kasperskychk.dyndns.org is a fundamental different domainname. Why kasperskychk? and why DynDNS.org?
DynDNS offers free domain hosting with several extensions; dyndns.org was used in this case. From the moment of its discovery kaspersky.dyndns.org never resolved to anything. And from the moment of its discovery the domainname has been in use, and never free for registration. Even though DynDNS deletes accounts within 35 days of no activity. Apparently this account is still in use or DynDNS has blocked usage of it. Statistics of the usage of the domainname could deliver valuable information in the research regarding Duqu. But, according to kaspersky, DynDNS never offered to help, they only stated they will monitor the situation. As the whole community trusts kaspersky and some even send complete forensic images of compromised systems to them, DynDNS apparently does not.

Looking further into DynDNS several things come popping up. It's an American company located in Manchester, New Hampshire, United States. As blogged previously they are known to cooperate with the FBI. And probably what's most important in this case: DynDNS confesses they log every DNS look-up, including originating IP addresses. But they are not legally permitted to share this information with commercial parties. Most important is they do log the information. Let me explain to you why this is so important.

If you're going to attack an unknown environment and you need your malware to connect to the outside world via the internet without getting noticed, you will have to implement several steps from where you can check whether you were successful or not. In the case of Duqu they most likely used documents that were infected. The usage of a 0-day gives you the assurance the infection process to (at least) start. After the victim is infected you want to know what its connection capabilities are. And here is where there comes another critical phase the attackers have little control over because they don't control its environment. The traffic originating from your target can be monitored and blocked in multiple ways. Intrusion Detection is a big enemy in this phase. The likeliness of a simple DNS lookup via UDP arriving at kaspersky.dyndns.org is pretty big. And because DynDNS logs every DNS request including its originating IP address you have a good clue whether your infection succeeded and whether there is an active intrusion detection system implemented or not. It's exactly this information that's of very very big value, such big value that it's worth taking extra risk. You don't want to rely on infrastructure that's not trustworthy or out of your legal control. DynDNS is the one that can provide you with this infrastructure and is within your controlled jurisdiction. And considering they are commonly known for their free registration and massive usage within the scriptkiddie community, will anyone notice?

Hacking and setting up a secure reliable environment, within an actively monitored and rapidly changing DNS system that also logs every connection made is a real challenge. And within such a critical phase of the infection you maybe do want to take a little more risk.

If we compare Stuxnet with Duqu the big difference is that Stuxnet was programmed to spread massively and Duqu had more specific targets. A connection check implemented as in Duqu is of no need for Stuxnet, since there's no need to know whether it can connect to the internet or whether there's an intrusion detection system inbetween.

Considering the above, there is reason to believe DynDNS is a specifically chosen partner to cooperate in the Duqu operation.

NFI ronselt mensen via sherlock.holmes.nl

2011-12-30T03:08:00.002+01:00

Begin deze maand was het nog hip nieuws dat de Britse inlichtingendienst GCHQ mensen probeerde te ronselen door ze een code te laten kraken. Nu blijkt ons eigen NFI er ook zo'n soort strategie op na te houden.

Aangezien deze veroordeeld crimineel ook een project bij het NFI heeft gedaan (gevalletje figuurlijk werkverbod uitdelen, maar zelf lekker de vruchten plukken), zat ik laatst wat in mijn mail conversaties te pluizen. En mijn oog viel op iets grappigs.

Eenmaal dieper gravend in de manier waarop het NFI zijn mail afhandelt kwam ik namelijk bij deze mail server terecht: sherlock.holmes.nl -> 195.169.99.99. Mijn oog viel hier natuurlijk in eerste instantie op omdat het vooral een heel grappig domein is. Daarbij verwacht je van een serieuze instantie als het NFI niet snel dat ze zo'n domein naam gebruiken. Maar niets is minder waar.

Sterker nog, het domein holmes.nl is hét domein van de afdeling Digitale Technologie. En bezoeken we die website: http://www.holmes.nl. Juist! dan komen we op de vacature pagina van het NFI terecht.

Of het geheel serieus bedoeld is weet ik niet, want... zie onderstaande:

Ohja, hier slaat het NFI al zijn gevoelige informatie over misdaden op: https://nlbds.net
De afdeling intelligente data-analyse zoekt blijkbaar ook nog personeel: www.kecida.nl
En verder:
Statistieken: stats.holmes.nl
Downloads: downloads.holmes.nl
Repository: repository.holmes.nl
Verder durf ik niet te kijken. Wil oud en nieuw graag nog buiten kunnen mee maken.

AnonymouSabu aka Xavier de Leon?

2011-12-27T14:13:00.003+01:00

Could you call it remarkable when someone specifically remembers a local root exploit of more than 6 years ago? A local root exploit that doesn't mean any thing at the time of writing. (At least for us...)

It is what catched my eye during this conversation between @anonymouSabu and @mikko. In this tweet anonymouSabu mentions this exploit. Author of the exploit is Xavier de Leon, xavier@tigerteam.se.
The connection between Xavier the Leon has been long suggested and this tweet of anonymouSabu could just be adding value to the smokescreen that keeps him from getting arrested. But for the trained eye, this must be of great value and a serious suggestion pointing towards the identity of anonymouSabu.

But let's never forget anonymouSabu is smart, and aware of this suggestion.

Twitter.com serving wrong certificate

2011-12-22T11:58:00.021+01:00

Here's a blog post about twitter serving the wrong certificate on one of its domain. This could be a classic example of a government sniffing username's and passwords with a compromised private key of the domain twitter.com. Although the whole set-up just suggests someone at twitter made a mistake.

The problem is with the domain https://fr.twitter.com. For some reason it popped-up in my time-line yesterday and I was automatically forwarded to it several times. I have no idea why, but apparently I'm not the only one, see the twitter search results: https://twitter.com/#!/search/fr.twitter.com
The domain is providing you with the certificate for the domain twitter.com and not, as it should in this case fr.twitter.com. See below the certificate fr.twitter.com is serving, note the issuer.

I have to mention this wouldn't have been notified by me if the certificate was a wildcard certificate for *.twitter.com because then the certificate would be valid, and I would have probably ignored it.

The domainname fr.twitter.com is resolving to 199.59.149.230, 199.59.149.198 and 199.59.148.82, while twitter.com is resolving to 199.59.148.10, 199.59.148.82 and 199.59.149.230. Both are within the TWITTER-NETWORK. But as we all know, governments can redirect any traffic if they want to.

Another funny thing is this: the ip adres 199.59.149.198 is also hosting this website: itgovportal.net. Visit that website and take a look. Is it just @sfkassab redirecting the traffic of his website?

Let's wait for twitter to respond.

UPDATE:
No response from twitter yet. But I've had a closer look.
There are 4 twitter DNS servers that serve the domains twitter.com and fr.twitter.com.
2 DNS servers (ns1.p34.dynect.net & ns4.p34.dynect.net) serve these records:
Name: twitter.com
Addresses: 199.59.149.230, 199.59.149.198, 199.59.148.82
Aliases: fr.twitter.com

And the other 2 (ns2.p34.dynect.net & ns3.p34.dynect.net) serve:
Name: twitter.com
Addresses: 199.59.148.10, 199.59.148.82, 199.59.149.230
Aliases: fr.twitter.com
That explains the IP difference I saw at first, and had rung my bells.

But then again, twitter shouldn't use that CNAME, because the SSL certificate is only valid for twitter.com. They should have used *.twitter.com instead. Or better delete (or auto forward) the usage of fr.twitter.com.

Another thing: I found out de.twitter.com is also a CNAME. So you would expect it to be country codes, but nl. uk. pl. es.twitter.com are no CNAME's.
de.twitter.com doesn't show up in the search results: https://twitter.com/#!/search/de.twitter.com
Like fr.twitter.com does show up by many users. Strange situation going on here.

The last thing I have to mention is the twitter DNS servers are operated by DynDNS.org. And DynDNS doesn't have such a good reputation regarding privacy, see this blog about that issue.
This basically means we can now link Twitter to DynDNS, FBI to DynDNS, Duqu ( kasperskychk.dyndns.org ) to DynDNS

Shockerend filmpje + heldendaad

2011-11-23T18:11:00.000+01:00

2 bizarre filmpjes waarbij al mijn radartjes gaan tikken. Helaas om meerdere redenen. Allereerst het meest schokkende filmpje, geplaats op dumpert 28 July 2007:
http://www.dumpert.nl/mediabase/21936/d811ae5e/frenkie_wil_zichzelf_dood_hebben.html

Waarop volgend dit filmpje: (Kijken vanaf 0:53)

Je oren klapperen hierbij werkelijk alle kanten op. Bij mij zelfs zo erg dat de Peter R in mij naar boven komt. Is dit verhaal wel op feiten gebaseerd? Een pistool met maar 1 kogel? Wat is het nut daarvan? Een jochie dat direct op de agenten af stapt en vraagt of ze een kogel in hem willen plempen? Te bizar voor woorden en dus reden genoeg om een feiten check te doen betreffende dit smeuige verhaal. Na wat wikken en wegen bij de crew van dumpert en vooral het kastje naar de muur effect bleek er een wijze opa te zijn die zich nog iets van dit filmpje kon herinneren en het verhaal kon bevestigen.

Hoxha: aah, 2007! Lijkt zo vers door die lay. Volgens mij is daar wel verzoek ip en origineel van geweest door de 5-0.

In bovenstaand filmpje is Patricia van Dalen te zien. Zij is Forensisch Internet Specialist bij Politie Haaglanden. Mevrouw heeft werkelijk een helden daad verricht door uit eigen initiatief achter het betreffende filmpje aan te gaan. De situatie zoals zij deze omschrijft is extreem shockerend en mevrouw verdient werkelijk waar een aantal extreem dikke zoenen!

edit:
Om het verhaal af te sluiten. "Er is nu genoeg aandacht voor hem op een positieve manier" aldus Patricia.

Twitter data Rop Gonggrijp (Inclusief DM's) overhandigt aan FBI

2011-11-10T22:59:00.008+01:00

Schokkend nieuws: De Iraanse overheid luisterd zijn burgers af. De wereld in rep en roer.

Echter wanneer de Amerikaanse overheid gegevens van zijn burgers wil opvragen wordt je als Amerikaans bedrijf daar simpel weg toe verplicht.
Zo bepaalde vandaag een Amerikaans rechter dat alle twitter data van de personen Rop Gonggrijp (NL), Jacob Appelbaum (NL) en Birgitta Jonsdottir moeten worden overhandigd aan het ministerie van Justitie. Hieronder vallen ook alle prive berichten die via dit medium zijn verstuurd. Gelukkig niet de inhoud, maar wel naar wie en de datum wanneer deze verzonden zijn.
Concrete verdenkingen richting deze personen zijn er niet. Deze data wordt slechts opgevraagd ten behoeve van het onderzoek naar de zogenaamde "Collateral Murder".
Van Wikipedia:

Te zien is dat elf Iraakse burgers gedood worden, onder hen twee medewerkers van persbureau Reuters: fotojournalist Namir Noor-Eldeen (22 jaar) en zijn chauffeur Saeed Chmagh (40 jaar). Na een tweede aanval kwam het totaal aantal dodelijke slachtoffers op achttien.

Soldaat Bradley Manning wordt verdacht van het lekken van deze video. De omstandigheden waarin Bradley wordt vast gehouden hebben inmiddels de internationale aandacht getrokken van onder andere Amnesty International. Welke vind dat Bradley "onmenselijk" behandelt wordt.

Duidelijk moet zijn dat de drie personen, ooit werkzaam voor WikiLeaks, geen enkele strafbare verdenkingen aan hun broek hebben. Zij hebben slechts geholpen bij het publiceren van de video. Het is dan ook bijzonder te noemen dat alle data van deze personen aan de Amerikaanse overheid moet worden overgedragen, en dit brengt zeker de vrijheid van meningsuiting in het geding.

Het enige dat Bradley heeft gedaan, is de wereld de waarheid vertellen.

Sysadmin aanbevelingen Patch tuesday November 2011 - Worm kansen

2011-11-09T19:31:00.009+01:00

Microsoft heeft op patch Tuesday het lek MS11-083 – Critical gemeld: “Vulnerability in TCP/IP Could Allow Remote Code Execution”.

Momenteel zijn er geen meldingen van actief misbruik van dit lek. Maar omdat het Internet Storm Center deze vulnerabilty een exploit index van 2 heeft meegegeven is misbruik hiervan op korte termijn te verwachten. Daarbij heeft dit lek grote potentie een nieuwe ‘computerworm’ voort te brengen waarbij verspreiding van deze worm in snel tempo zal plaats vinden.

Hoewel Microsoft zelf verwacht niet binnen 30 dagen een goed functionerende exploit te zien is het aan te raden alle kritieke systemen op dit moment direct te updaten met KB2588516 en te herstarten.
Kritieke systemen zijn de systemen die mogelijk een toegangsbrug vormen met uw interne netwerk. Wanneer UDP verkeer op minimaal 1 gesloten poort is toegestaan is het systeem kwetsbaar. Het gaat hierbij om de nieuwere versies van Windows, te weten alle Vista en 2008 versies, zowel 32 als 64-bit systemen.

Het feit dat deze vulnerability, een groot aantal UDP pakketten nodig heeft en remote code executie toe laat, maakt het tot een gevaarlijk geheel. De remote code executie maakt het mogelijk een worm te creëren (Denk aan Conficker). En wanneer er een grote worm uitbraak zal plaats vinden zal deze extreem veel UDP pakketjes het internet op slingeren. Dit brengt -alle op internet aangesloten- systemen in gevaar door de kans op UDP flooding gevolgt door een Denial of Service. Tevens zou dit het internet als geheel in gevaar kunnen brengen door de mogelijk immense toename aan netwerk verkeer.

Ik raad iedereen aan bovenstaande patch zo snel mogelijk te installeren.
Hieronder de door Microsoft opgestelde Deployment Priority:

KPN (Dutch CA) immediately stops issuing certificates after finding DDoS tools

2011-11-04T18:24:00.004+01:00

Everybody knows the DigiNotar story.
Alot of the DigiNotar certificates were replaced by KPN by names of "Getronics PinkRoccade PKI Overheid". And now KPN finds DDoS tools on their webservers.

After the DigiNotar debacle and the move of DigiNotar's certificates to "Getronics PinkRoccade PKI Overheid" KPN decided to do some extra examination on their infrastructure. With the result of DDoS tools found on one of their webservers, dated back to 4 years ago.

At this moment KPN says they haven't found any traces -yet- on their production environment. (We all know what this means, do we?) But they cannot guarantee it's safety.

The finding of DDoS tools can be seen as a good thing. Since DDoS tools are often used by skiddo's, but it does mean someone had control over their webservers in a way nobody wants them to.

The question now is, how will Microsoft, Mozilla and Google respond to this.

Why we cannot trust DynDNS.org

2011-10-21T19:21:00.002+02:00

After we've got LulzSec's Recursion and Neuron arrested because HideMyAss easily cooperated with the FBI and handed them the exact log files that led to their arrest. We've now got DynDNS.

Below are some photo's from an FBI dossier. They show the close cooperation between the FBI and DynDNS. DynDNS logs every movement you make and will easily hand over any information requested by the FBI, without informing me, without informing it's customers, without any opposition.

Since Duqu uses a module that makes use of the services provided by DynDNS I decided to publish this information.
DynDNS is a beloved services within the RAT world.

Same goes for -as expected- Microsoft's hotmail services.

Duqu, versie twee van CyberWar

2011-10-18T23:51:00.002+02:00

Waar stuxnet de allereerste vorm van CyberWar bleek te zijn. Lijkt er nu een opvolger ten tonele te zijn verschenen. Genaamd: Duqu. Dit omdat bestandsnamen met de prefix "~DQ" gecreeërd worden.

Dit virus lijkt vooral op een RAT. Met als voornaamste doel intelligence verzamelen over grote Industrial Control Facilities. Je zou het dus kunnen beschouwen als een inlichtingen bron, om mogelijk in de toekomst dergelijke Industrial Control Facilities aan te kunnen vallen.

De code vertoont zeer grote gelijkenis met Stuxnet. Nu slingerd de decompilatie code van Stuxnet overal op internet rond. Echter zit er een verschil in de werkelijke source code en de decompilatie ervan. Deze personen lijken toegang te hebben tot de werkelijke source code. Een erg opmerkelijk feit. Stuxnet toonde aan van ongekend hoog niveau te zijn. Het is onmogelijk door een individu gecreëerd, alleen een staat lijkt hiertoe de capaciteit te bezitten. Zie mijn vorige blogs over Stuxnet.

Op dit moment is Duqu aangetroffen bij 2 bedrijven in Europa. Het lijkt hierbij te gaan om twee verschillende versies en slechts één hiervan is geanalyseerd. Opmerkelijk hieraan is dat het is aangetroffen bij Europese bedrijven. De twee verschillende versies hebben verschillende compilatie datums, en mogelijk is het virus dus in de loop der tijd aangepast.

Het virus gebruikt enkele drivers die gesigned zijn door een bedrijf in Taipei, Taiwan te weten C-media corporation. Inmiddels is dit certificaat ingetrokken. Het officieel signen van een dergelijke driver behoort zo goed als onmogelijk te zijn. En geeft daarom aan dat dit een 'serieus' virus is. Het certificaat is aangevraagd op 3 augustus 2009, en gebruikt SHA1. Wat aangeeft dat het niet mogelijk is dit cerificaat te vervalsen.
Waar RealTek uit Taiwan was gebruikt voor het signen van Stuxnet. Is C-media gebruikt voor Duqu, beide bedrijven liggen in Taiwan.

Duqu gebruikt een Command and Control server welke resolvde naar een ip adres 206.[DEL].97 in India. Tevens gebruikte het twee adressen om te controleren of het geinfecteerde systeem internet connectiviteit heeft. Als eerste resolvt het microsoft.com, maar ook gebruikte het kasperskychk.dyndns.org en verwachtte het dat dit adres resolvde naar het ip adres: 68.132.129.18 een server in Amerika. Echter was destijds dit adres niet geregistreerd bij dyndns. Dyndns.org is een gratis DNS dienst welke veel bij RAT's gebruikt wordt en door script kiddies, immers: gratis. Dyndns.org staat er ook om bekend dat ze zeer snel optreden bij vermoeden van misbruik, en accounts blokkeren. Dyndns.org staat er ook om bekend dat ze alle data loggen: login ip-adressen, email adressen en alle changes binnen de DNS configuratie. dyndns.org werkt nauw samen met de FBI en overhandigt zeer gemakkelijk gegevens aan deze organisatie. Het feit dat hetip-adres van de Command and Control server resolved naar een adres in India is frapant, evenals dat het gebruik van dyndns opzichzelf ook vreemd is. De gekozen naam bij dyndns is ook opvallen: kasperskychk.dyndns.org. Kasperskychk suggererende dat het een check is voor kaspersky. Een erg amateuristische misleiding in ieder geval.

Om te communiseren gebruikt Duqu een speciaal protocol. Wat het doet is informatie op zo'n manier verpakken dat het erop lijkt alsof er .jpg plaatjes over en weer worden verzonden. Dit wordt gedaan om firewalls en IDS systemen te misleiden. Of in ieder geval zo min mogelijk alarm bellen te laten afgaan.

Hieronder de reden waarom Stuxnet en Duqu mogelijk van dezelfde makers zijn.

Anonymous beschikt over database gepensioneerde KLPDers

2011-09-25T22:01:00.003+02:00

Hacker Goo door de bocht. De beste man heeft mij gecontact om te vertellen dat Anonymous beschikt over de database van de website vvg-klpd.nl (inmiddels offline).
Leuk een database van ex-klpd-ers zou je zeggen. Echter waren er wat opmerkelijke dingen aan de hand met deze database. Zo stonden hier de wachtwoorden in plaintext opgeslagen. En waren de bankrekening nummers keurig aan de personen gekoppeld.
Omdat ik Mister Goo niet meteen geloofde vroeg ik hem mij 1 regel bewijs te laten zien, en dit heeft hij dan ook gedaan. Waardoor ik kan bevestigen dat het klopt.

De hack is gedaan via een dood eenvoudige SQL injectie, en ik neem aan, gezien onderstaande tweet, al geruime tijd geleden.

Hieruit kunnen we verder opmaken dat de site direct daarna offline gehaalt is. De vraag is nu of de gebruikers ook ingelicht zijn over deze hack. Lijkt me wel zo fijn om te weten wanneer werkelijk al je gegevens mogelijk op straat liggen. Slingerd de discussie over de meldingsplicht weer lekker aan.

Fascinerend is het feit dat Anonymous heeft besloten deze gegevens niet via een pastebinntje publiekelijk te maken. Maar dat is misschien ook wel logisch na de 15 jaar cel die Cody Kretsinger aka Recursion staat te wachten nadat deze de gegevens van sony WEL publiekelijk maakte.

Goed, nu de Nederlandse tak van Anonymous in het bezit is van de gegevens van ex-klpders inclusief hun bankgegevens, kunnen ze waarschijnlijk allen snel samen koffie drinken.

LulzSec Recursion gepakt via HideMyAss.com

2011-09-23T04:40:00.001+02:00

Groot nieuws! Wederom is een LulzSec member opgepakt. In dit geval zou het gaan op Recursion, echte naam: Cody Kretsinger. Hij zou het brein zijn achter de Sony hack.

Verhaal is op dit moment dat Recursion een private VPN zou hebben geregistreerd bij HideMyAss.com onder de username "recursion" (HEUL SLIM!). Een site die "Protect your online privacy" als slogan heeft. Via deze VPN zou Sony gehacked zijn. De FBI heeft op zijn beurt bij HideMyAss.com aangeklopt en de gegevens opgevraagd welke HideMyAss.com keurig verstrekt heeft. Erg nasty en vervelend voor Recursion. Aangezien hij zich veilig waande via deze aangeboden "Protect your online *fail* privacy".

Nu is het natuurlijk behoorlijk nieuws dat een site die een dergelijke service aanbiedt zomaar ip-adressen/log gegevens/adres gegevens/ dan wel bankgegevens van zijn gebruikers aan de FBI verstrekt. Maar misschien is het nog wel belangrijker te weten dat er meer LulzSec members zijn die HideMyAss.com gebruikten als VPN. Zie hieronder een chatlog:

Jun 03 22:44:15 Neuron: Sabu: did we lose people?
Jun 03 23:28:15 storm: agreed
Jun 03 23:28:16 storm: did we?
Jun 03 23:31:10 Sabu: yeah
Jun 03 23:31:18 storm: who?
Jun 03 23:31:23 Sabu: recursion and devurandom quit respectfully
Jun 03 23:31:27 Sabu: saying they are not up for the heat
Jun 03 23:31:32 Sabu: you realize we smacked the fbi today
Jun 03 23:43:08 sabu: clean your box out, make sure any sensitive info you have encrypted on a usb stick
Jun 03 23:43:12 sabu: stay behind your vpn
Jun 03 23:43:16 sabu: from now on your vpn is your weapon
Jun 03 23:43:23 sabu: without your weapon you are nothing
Jun 03 23:43:30 sabu: without you it is notihng blah blah blah
Jun 03 23:43:34 neuron: haha
Jun 03 23:43:39 sabu: and dont do nothing we dont approve of
Jun 03 23:44:04 neuron: Alright right now.. My "hackbox" has 512 aes encryption on the entire harddrive
Jun 03 23:44:18 neuron: two passwords and truecrypt on info concerning anything hacking related
Jun 03 23:44:24 neuron: and my vpn is HideMyAss

Om nog even door te gaan over dit subject, verbaast het mij nog steeds dat het Nederlandse lid Joepie91 / 92 nog steeds niet is opgehaald voor een verhoortje. Nu is bekend dat deze jongen zich strikt binnen de regeltje van de arm der wet houdt. Maar hij blijft zo'n beetje als enige van de groep gespaard. Moge hij van geluk spreken!

Kinderporno filter van LeaseWeb nuttig?

2011-09-17T00:29:00.004+02:00

Geweldige promo stunt van LeaseWeb natuurlijk. Een kinderporno filter.
Ze schijnen als hoster nogal eens met kinderporno te maken hebben, en dat vinden ze niet leuk natuurlijk (logisch...). Enfin, perfect dat ze daar iets aan willen doen. Dus hoppa we regelen een filter in samenwerken met het KLPD. Ministertje erbij die de boel het start sein geeft. TOP!.... al die publiciteit.

Want zoals we van KPN inmiddels weten is Deep Packet Inspection helemaal niet toegestaan. Hoe lossen ze dat op bij LeaseWeb? De klant mag zelf bepalen of het filter aan staat of niet. Goed, nu zijn er vast vele pedo's die zeggen dat ze geen pedo zijn, maar een filter aan zetten om hun eigen bestanden te laten controleren. Nee, mijn instinct zegt dat een beetje pedo dat toch niet zo snel zal doen.

Websites waarbij het de bedoeling is kinderporno te plaatsen zullen dus sowieso niet slachtoffer van dit filter worden. Wie kunnen we hier dan wel mee opsporen?
Dat zullen mogelijk pubers zijn die kinderporno op websites pleuren om mensen te shockeren, zoals dat een gewoonte is op 4chan bijvoorbeeld. Daarbij houden 14 jarige pubers ook wel van plaatjes van de wat jongere meisjes, immers, meestal valt de mens op leeftijd genoten en niet altijd op GILFs. Papa van deze pubers kan dus nog wel eens de lul worden.
Verder is het natuurlijk wel handig voor bijvoorbeeld image upload sites die niet gedient zijn van dit soort plaatjes, maar dat is puur uit eigen belang. Niet omdat ze zo graag zien dat die pedo's gepakt worden.

De techniek erachter.
De exacte techniek is mij niet bekend. Maar wat ik begrijp is dat er een hash van een geupload plaatje wordt gemaakt, deze hash wordt richting een server van het KLPD gestuurd. Welke vervolgens antwoordt met JA, het is kinderporno. Of NEE, dit plaatje is mij niet bekend. Wanneer het antwoord JA is wordt ook nog even het ip-adres van de uploader door gestuurd naar Fox-IT, oftewel: meldpuntcybercrime.nl (zie mijn eerdere blogs).
Uit bovenstaande omschrijving kan ik alleen maar op maken dat het HTTP verkeer 'afgeluisterd' wordt. En daar zit dan al gelijk weer een zwakte. Immers, pedo's zijn heul handig met internet en die sturen hun plaatjes natuurlijk niet via HTTP. Daar hebben ze allerlei andere truckjes voor, zoals bijvoorbeeld HTTPS.
Uit het feit dat het ip-adres direct naar het meldpuntcybercrime.nl mee wordt gestuurd maak ik op dat het HTTP verkeer afgeluisterd wordt, immers uit zo'n pakketje kan je het ip-adres halen. Als dit zou gebeuren nadat bestanden verzonden via HTTPS en dus ontsleuteld heb je het gekoppelde ip-adres er niet meer bij. Kan wel uiteraard, maar dan moet je een ingewikkelde constructie opbouwen, een waarvan ik denk dat de klanten van LeaseWeb zeggen: "laat maar zitten dat filter".

Neemt niet weg dat dit natuurlijk een mooi initiatief is. Perfect idee, database die bij KLPD draait, HTTP request en je weet meteen of een plaatje bekend is bij politie of niet. Eigenlijk zouden ze sowieso een programma moeten opstarten om deze techniek bij meerdere bedrijven toe te passen. Hopen dat het ip-adres van de database server niet uitlekt, de server niet gehacked wordt, nog dat pedo's er op welke manier dan ook hun voordeel mee kunnen doen.
Jammer is het gewoon dat de Nederlandse wet het op dit moment niet toestaat dit soort projecten op grote schaal te implementeren.

Karma voor de Nederlandse overheid #DigiNotar

2011-09-03T16:02:00.005+02:00

Even een in mijn ogen heerlijk blogje over het gevoerde beleid van de overheid.

24 augustus heeft de Nederlandse overheid 5 hackers veroordeelt tot voorwaardelijke gevangenis straffen van 3 maanden voorwaardelijk. Hiermee zorgende dat deze 5 personen vrijwel zeker nooit meer terecht kunnen in de security/beveiliging wereld evenals werken voor de overheid. Immers zijn er strikte screenings procedures welke door gespecialiseerde bedrijven worden uitgevoerd en een eventueel strafblad komt hierbij altijd naar boven. Een punt achter de carrière in de security/beveiliging industrie of een emigratie naar een ander land is de enige optie die de overheid hen biedt.
Opmerkelijk is het dan ook wel te noemen dat juist 1 van deze hackers met het eerste Nederlandse berichtje over de vervalste certificaten van *.google.com komt.
Hackers zien blijkbaar wel direct in welk gevaar bepaalde dingen vormen. Daar kan de overheid zelf nog wat van leren...

Snijdt de overheid zichzelf nu niet in de vingers? Karma?

Vals *.google.com certificaat uitgegeven.

2011-08-30T00:30:00.001+02:00

Het lijkt erop dat de Nederlandse Certificate Autority diginotar.nl een vals/verkeerd certificaat voor het domein *.google.com heeft uitgegeven.
Hoewel in de gehele wereld hier niemand over klaagt gebeurt dit in Iran wel. Lees de volgende berichten op deze site: http://www.google.com/support/forum/p/gmail/thread?tid=2da6158b094b225a

Het lijkt er dus op dat de Iraanse overheid, en enkel de Iraanse overheid, voor gedurende slechts enkele uren even een 'ander' geldig certificaat van google.com online heeft gegooit om zo de nodige gegevens binnen te harken.
De reden dat bovenstaande gebruikers een foutmelding kregen is omdat zij Google Chrome gebruiken. Chrome gebruikt nog een andere manier om de certificaten te controleren, en gaf daarom de foutmelding, waarna deze gebruikers begonnen te klagen.

Inmiddels is het certificaat ingetrokken door Diginotar.nl op zijn CRL list. En schijnen de nodige mensen van Diginotar zelf in paniek te zijn.

In de tussen tijd heeft de Iraanse regering waarschijnlijk al een schat aan informatie buitgemaakt...

Ik zal proberen bovenstaand probleem in simpele woorden uit te leggen.
Op internet heb je een protocol wat ervoor zorgt dat je op een beveiligde manier met een andere partij kan communiceren. Dit zorgt ervoor dat wat jij verzend naar deze ontvangende partij alleen door deze partij kan worden gelezen, en dat wat de ontvangende partij naar jouw verstuurd alleen door jou gelezen kan worden.
De regels voor deze communicatie liggen er al, dit gaat namelijk via een public key, waarmee jij jouw gegevens encrypt en deze versleuteld naar de ontvangende partij verstuurd. Deze ontvangende partij heeft vervolgens een zogenaamde 'private' key waarmee hij deze gegevens weer kan ontsleutelen. Zo lang alleen de ontvangende partij deze sleutel bezit kan alleen de ontvangende partij deze gegevens lezen. Echter kan jij nooit weten of je nu rechtstreeks met de juiste ontvangende partij aan het praten bent, of dat je met iemand aan het praten bent die zich voordoet als deze ontvangende partij.
Om die reden zijn Certificate Autorithies in het leven geroepen. Kort gezegd vertrouwen wij allemaal deze partijen en zorgen deze partijen ervoor dat ze een zeer strikte regel geving hebben op het identificeren van hun klanten. Op dit moment, wanneer een Certificate Autorithy zegt dat een ontvangende partij de 'echte' is, gaan we daar ook maar gewoon vanuit.
Wat is nu het geval, als je in Iran naar een website met *.google.com surft, waaronder dus ook Gmail valt, zegt deze server "Vraag maar aan diginotar.nl of ik echt ben" het antwoord van diginotar is in dit geval "Ja *.google.com is de juiste persoon, ik vertrouw hem". En vervolgens begin jij al je vertrouwelijke informatie aan deze server te vertellen. Waaronder jouw email adres + jouw wachtwoord. Nadat je hebt ingelogd laat je deze server ook nog even al je mail lezen. En de Iraanse overheid is dus nu mogelijk in het bezit van al deze gegevens. En zoals je weet in Iran, kan dat in het slechtste geval je je kop kosten.

De aanval die hier gebruikt wordt is een Man-in-the-Middle attack. De aanvaller plaatst zichzelf tussen de 2 partijen, jij verstuurd jouw gegevens naar de Man-in-the-Middle, deze leest jouw gegevens en slaat ze op, en verstuurd vervolgens jouw gegevens door naar de ontvangende partij. De ontvangende partij verstuurd vervolgens het antwoord weer naar de Man-in-the-Middle, deze slaat weer alle gegevens op, en verstuurd het antwoord vervolgens ook weer door naar de ontvangende partij zodat deze totaal niets door heeft verder.

Security zwakheden tweakers.net - UPDATED

2011-08-27T00:12:00.010+02:00

Kleine uitdaging van @Schellevis. Zie zijn tweet:

En uiteraard lichtelijk geprikkeld door alle reacties onder de verscheidene - nieuws - berichten (chronologische volgorde) betreffende mijn persoon.

Even kort door de bocht enkele zwakheden binnen de security van tweakers.net.
Allereerst bij het creëren van een account op deze pagina kun je keurig je gewenste wachtwoord invullen. Hieraan zijn enkele eisen gesteld, copy/paste van tweakers: "Voorzie je wachtwoord van minimaal 8 karakters, waaronder in ieder geval één hoofdletter, één kleine letter en een cijfer of speciaal teken." Hier wordt actief op gecontroleerd. (Uhuuuu, kom hier nog op terug.) Echter wordt wanneer je op "registeren" klikt je wachtwoord in plaintext over poortje 80 gejaagd. Zie onderstaand screenshot, in dit geval, user:securityleak & pass:N13tt3sn1ff3n.

Vervolgens is tweakers niet de beroerdste om je nog even te herinneren aan je wachtwoord. En wel via email! Let wel, je wachtwoord, welke je mogelijk op meerdere websites gebruikt, wordt in plaintext in je mailbox geplaatst. Langs hoeveel hop's het mailtje gaat zullen we maar niet gaan tellen, en dat jij je mail direct uitleest via je mail client waarbij wederom talloze hops gepasseert worden slaan we ook even over. Feit blijft dat al deze stations jouw wachtwoord in plaintext voorbij zien komen. En dus makkelijk kunnen sniffen.
Voor een persoon met toegang tot jouw mailbox is het een koud kunstje om je wachtwoord tevoorschijn te halen, de search string "wachtwoord" voldoet. Et voila, het unencrypted wachtwoord welke je mogelijk nog op veel meer sites gebruikt verschijnt op het beeldscherm.

Enfin, je activeert je accountje, en begint met inloggen. De mogelijkheid om te kiezen voor "versleutel mijn wachtwoord" wordt geboden. TOP!. Echter wordt je wachtwoord lokaal gehashed en vervolgens onversleuteld wederom over poortje 80 verstuurd. Firesheep kan daar leuke dingen mee.

Deze hash bestaat uit een aantal waarden. Zo wordt als eerste de MD5 hash van je wachtwoord gebruikt, vervolgens wordt jouw username in kleine letters er tussen geplakt, waar vervolgens jouw SID achter geplakt wordt. Van deze 3 dingen samen wordt vervolgens weer een MD5 hash gegenereerd. Een voorbeeld met voor gedefinieerde waarden.
SID: 0_BwFXMBymUJxGj-GGc-20KvjpmZV1_I
PWD: password
UID: Arthy
md5(password) = 5f4dcc3b5aa765d61d8327deb882cf99
p = md5(md5(PWD) + lowercase(UID) + SID)
md5(5f4dcc3b5aa765d61d8327deb882cf99arthy0_BwFXMBymUJxGj-GGc-20KvjpmZV1_I) = 9aa0d7305d8d73da8d12e2628659f23c
Te zien in onderstaand screenshot.

Er wordt dus een samen gestelde hash richting de server van tweakers gestuurd. Goed gedaan, aangezien je uit deze hash niet de md5 hash van jouw wachtwoord kan destilleren.
Hieruit kunnen wij echter wel concluderen dat tweakers alle wachtwoorden van alle gebruikers in md5 opslaat in de database. Dat md5 inmiddels als niet meer veilig beschouwd kan worden lezen we in dit artikel van tweakers zelf. Misschien niet geheel relevant omdat het om wachtwoorden gaat. Maar een combinatie hash wordt in ieder geval niet in de database opgeslagen.
Mocht de tweakers database ooit eens gehacked worden en de MD5 hashen geleaked worden denk je misschien: "Ik ben veilig, heb geen common password en zo'n 30 karakters gebruikt." Then you WRONG! Immers, het "beveiligd" inloggen, gaat helemaal niet via jouw wachtwoord, maar via de HASH van jouw wachtwoord. Voor een aanvaller is het dus een peulenschil om de juiste login hash te creëren, daar is jouw gedecrypte wachtwoord helemaal niet voor nodig.

We gaan verder, (reeds ingelogd) terug naar deze pagina: http://tweakers.net/my.tnet/account#tab:account
En gaan we ons wachtwoord aanpassen. We zien de tekst: "Voorzie je wachtwoord van minimaal 8 karakters, waaronder in ieder geval één hoofdletter, één kleine letter en een cijfer of speciaal teken." nogmaals staan. Maar zo stout als we zijn voeren we even de volgende string in: "password". En zoals tweakers al goed aangeeft, kwaliteit: zwak

"Ach het is maar tekst", denk ik als gebruiker. En we passen ons wachtwoordje aan! Met succes, want controle op het wachtwoord wordt er deze keer niet uitgevoerd. Pakken we nog even ons sniffertje erbij en zien we wederom keurig ons oude wachtwoord inclusief nieuwe wachtwoord voorbij komen. Errug handig!

Waarom tweakers.net überhaupt de optie biedt je wachtwoord in plaintext te versturen op de inlog pagina is me geheel onduidelijk. Aangezien het inloggen met een versleuteld wachtwoord even snel en even gecompliceerd is als wanneer je dat niet doet. Vaak bieden sites dergelijke opties wanneer de versleuteling plaats vind door het opzetten van een HTTPS verbinding, en soms HTTPS geblokkeerd wordt of in ieder geval problemen kan geven. Echter is dat hier niet het geval omdat de communicatie altijd over poort 80 gaat. Javascript die dermate oud is dat het een md5 hash niet aan kan ben ik nog niet tegen gekomen..

Tot zo ver het member gedeelte.

ps.
Het zijn kleine dingen, maar voor een tweakerttt...

UPDATE

Even nog enkele minuutjes hier aan gewijdt. En de volgende aspecten ontbreken ook nog binnen de website van Tweakers.net:
- X-Frame Options om ClickJacking tegen te gaan. De opties DENY en SAMEORIGIN kunnen worden toegevoegd. Sinds IE8 is dit mogelijk.
- HttpOnly flags tegen Cross Site Scripting. Sinds 2002 beschikbaar in IE6 SP1.

Ik laat het hierbij.

Steganografie hidden message, who dares?

2011-08-20T15:08:00.001+02:00

Al enige tijd is dit mijn twitter avatar:

De naam zegt het al "hiddenmsg" Er zit een bestand in verstopt met een verborgen berichtje.
Nee geen shellcode of iets dergelijks, maar dat had zomaar gekund.
Eigenlijk had ik wel verwacht dat iemand er redelijk snel achter zou komen. Daar de gebruikte technieken een combinatie zijn van redelijk simpele technieken.
Steganografie in combinatie met (soort van) cryptografie, standaard technieken, dus ik heb niets zelf verzonnen. Doe ik dat, wordt het natuurlijk alleen maar nóg lastiger.

Bovenstaande technieken vormen een grote bedreiging in de bestrijding van kinderporno. Een browser ontwikkeld door pedofielen welke prachtig ogende websites omtovert tot kinderporno paradijzen. Het zou zomaar kunnen.

Who dares?

De totale vernedering: Vitrociset.it

2011-08-03T00:15:00.000+02:00

Ik ga er geen woorden aan vuil maken, het plaatje zegt genoeg:

Hoop dat Fox-IT gespaard blijft.

HBGary, ManTech, Vitrociset en nu Fox-IT

2011-07-31T21:39:00.004+02:00

Oorlog tussen de white hats en blackhats, zoals ze zichzelf graag noemen.
Het begon met HBGary, het bedrijfje dat diensten voor de FBI verleende. De CEO van het bedrijf beweerde te zijn geïnfiltreerd in het collectief Anonymous en beweerde de leiders te kennen. Kort daarop werd HBGary zelf plat gehacked en kwam er allerlei informatie over het bedrijf naar buiten.
Deze 'hack' wordt door de hackers zelf als een van hun trofeeën gezien, en heeft hen veel plezier bezorgt.

De afgelopen periode zijn er aardig wat leden van 'AntiSec' dan wel Anonymous opgepakt, op die arrestaties lijkt Anonymous te reageren met het 'terug' hacken van deze organisaties. Hierdoor zijn recentelijk ManTech gehackt en Vitrociset, de Italiaanse variant van HBGary.

Gek genoeg hebben we in Nederland een situatie die een exacte copy lijkt van het HBGary verhaal. Er verschijnt een nieuws bericht van het om, waarin uit de doeken wordt gedaan dat het men geinfiltreerd is in de chat kanalen, en er wordt in vermeld in samen werking met welk bedrijfje dit gedaan is, te weten: Fox-IT. Misschien goed voor de naams bekendheid van Fox-IT maar een erg slimme actie lijkt het me niet. Ik zou het bijna willen betitelen als uitlokking.
Enfin, dat Fox-IT op de lijst staat moge duidelijk zijn gezien deze releases van Anonymous.
Fox-IT neemt mijns inziens een ongekend risico, daar ze sowieso met een 1 - 0 achterstand starten en alles te hacken is. Welk bedrijf dan ook, er werken mensen, en mensen maken fouten.
Door een vorige post van mij over dit bedrijf, en de bijbehorende log gegevens kan ik concluderen dat Fox-IT'ers ook maar gewone mensen zijn. Ze klikken nog wel eens op links waarvan ze de bestemming/afkomst niet weten. Ik zal geen namen noemen verder. ;) Enfin, een simpele 0day exploit erbij en de informatie stroomt binnen (om maar even een mogelijkheid te noemen).

Dat de motoren op volle toeren draaien mogelijk duidelijk zijn gezien enkele sinds korte tijd geregistreerde domeinnamen, te weten:
http://korpslandelijkepolitiediensten.nl/

Op dit moment lijkt er nog niets gehacked te zijn en speelt Anonymous op het misselijk makende persoonlijke vak, door een soort van intimidatie. We zullen zien wat de toekomst ons brengt, ik vrees voor het ergste.

De vergeten harde schijven van AntiSecNL

2011-07-27T18:13:00.012+02:00

Harde schijven
Enkele opmerkelijk feiten. De gearresteerd hacker Time, welke tegenover tweakers.net beweerde AntiSec te willen oprollen heeft nog enkele spullen bij hem thuis gevonden:

Beeldschermen, toetsenborden, kasten én hardeschijven. Die harde schijven zijn interessant, aangezien deze data kunnen bevatten. Belastende data. Het zou een extreem grote fail zijn als politie deze zou laten liggen. Maar is dit wel het geval in deze situatie?

BlackBerry
Een ander opmerkelijk feit is dat verdachte Time tijdens zijn arrestatie, gedurende de gehele periode dat hij in detentie heeft verkeerd, de beschikking had over zijn BlackBerry mobiele telefoon. Dit is normaal gesproken absoluut verboden.

Personalia
Daarbij komt dat Time de jongste van het stel is. Direct naar de media is gestapt. Direct weer overal 'on the webs' is verschenen is. Getuige zijn verschijningen op Skype en de AnonOps chat kanalen. Echter praat hij overal iedereen naar de mond, en komt er geen duidelijk kloppend verhaal naar voren.
Politie zal ongetwijfeld snel een analyse van de persoon Time gemaakt hebben. En mogelijk om die reden juíst Time deze 'privileges' gegeven hebben. De vraag is wat het belang hiervan is? het onderzoek?

Mogelijke verklaringen
De harde schijven zouden mogelijk een rootkit kunnen bevatten.
De harde schijven zijn wellicht al gebackupped -en dus secured-.
De BlackBerry bevat mogelijk een backdoor.
Een ander opmerkelijk iets is dat Time de dag na zijn arrestatie een afspraak had staan met enkele andere AnonOps leden. Deze afspraak is gemaakt via IRC, en dus zou het Team High Tech Crime hiervan op de hoogte moeten zijn, aangezien zij in dit kanaal waren geinfiltreerd. Wouden ze hen ook arresteren? Hoe zit het met het collusie gevaar?

Ik kan uit deze opmerkelijke gebeurtenissen maar één conclusie trekken. Dit cirkeltje is nog niet rond.
See you in court!

ps: Time, mooie Nikon D70.

meldpuntcybercrime.nl uitbesteed aan commerciële partij

2011-07-22T16:02:00.004+02:00

Even wat fascinerende feiten op een rijtje in deze blog post.
Met het Meldpunt Cybercrime wordt veel geshowt de laatste tijd, en zelfs geadverteerd op google.
Prachtige disclaimer hebben ze om vertrouwen te wekken:

We hebben hier keurig te maken met de overheid, immers politie logotje links boven. Maar ondertussen wordt de server gewoon gehost in dezelfde range als de Fox-IT webserver.
83.96.129.55 - www.meldpuntcybercrime.nl
83.96.129.78 - www.fox-it.nl
Nu zegt dit in principe nog niets. Ware het niet dat de whois gegevens, dan wel deze pagina genoeg zeggen: https://control.meldpuntcybercrime.nl/

Even verder gaan over deze 'control' server (note: andere server dan www.meldpuntcybercrime.nl).
83.96.129.60 - control.meldpuntcybercrime.nl
83.96.129.55 - www.meldpuntcybercrime.nl
Een backend omgeving die aan het internet hangt (?!) om nog maar niet over de zwakheden betreffende het certificaat te beginnen.
En daar zouden dan al onze via de formulieren ingevoerde gegevens verwerkt dan wel bewaard worden. Immers, zo rolt een backend server.

Erg fijn dat de overheid hier nog duidelijk de regie heeft, wordt je vervolgens vakkundig door gesluisd naar Fox-IT. Vanwaar de overheid de regie kwijt raakt. Dat moet nog eens vetrouwen wekken!

De disclaimer praat keurig over Artikel 43 Wbp, zal allemaal wel, maar vertrouwen wekt het (bij mij) niet. Als crimineel zijnde is het natuurlijk een koud kunstje een 'concurrent' op te zetten, inclusief certificaatje, politie logotje, en meer dan genoeg formulieren om de concurrentie uit te schakelen.

Ik was altijd in de veronderstelling dat de overheid zo zijn eigen team specialisten had op dit gebied. Dat deze mannen mooie website kunnen bouwen is bekend. Maar wat kunnen ze nog meer?
Dit blog is verder puur bedoelt als constatering. Deze manier van werken wordt veel gebruikt door de overheid. Ik zet er dus alleen vraag tekens bij.

edit:
Fox-IT blijkt ook al flink betrokken bij het (oude) htcis.nl (High Tech Crime Initiatif Schiphol) check hier de gegevens:

Merk verder op dat het 80.126.72.50 een XS4ALL adresje is. Anyway, organisatie is al lang opgedoekt.
Enfin, Fox-IT doet het gewoon goed. En dit is blijkbaar de werkwijze van OM, so be it.

Whatsapp security weaknesses

2011-05-24T00:42:00.002+02:00

The facts of whatsapp and all the drama.

In case of an iPhone if you open the Whatsapp application the following occurs:
- The application resolves sro.whatsapp.net.
- Gets the addresses 173.192.219.141, 173.192.219.149, 173.192.219.140 back from: ns1.softlayer.com
- An encrypted(!) connection is set up on port 443 with (in this case) 173.192.219.141.
Unfortunately I haven’t been able to perform a MITM attack to decrypt the data send between these two senders. So I don’t know what data is transported between them
- Through this encrypted(!) connection the ip-adres of the Whatsapp-chat servers is send, in this case: 50.22.227.220. Whatsapp uses the Extensible Messaging and Presence Protocol, but than it’s own version of it.
- From this moment on Whatsapp communicates via port 5222 met de Whatsapp XMPP-server 50.22.227.220. And simultaneously keeps the encrypted connection open. Remarkable about this is that al the messages send via the Whatsapp application are send without encryption over port 5222. In plaintext, as stated. The data transported contains sensitive data as names and corresponding telephone numbers are transported in plaintext as well.

For sending pictures Whatsapp uses mms.whatsapp.net and this time it does send the data encrypted.

The Android, Nokia and Blackberry way.
Above is the way the Whatsapp iPhone application works. The Android, Nokia and Blackberry applications work different. In their case Whatsapp does exactly the same, only difference is that instead of port 5222 it connects to port 443. People say this way Whatsapp suggests it uses an encrypted connection, since port 443 is mainly associated with encrypted HTTP traffic. If this is the case can be questioned, since they didn’t implement this way of connecting in the iPhone application it suggests that using port 443 on these devices has a good motivated reason.

We should not forget that encrypting your messages will make the application slower, the transport of the messages slower, and will eat your battery.
Despite that it is not necessary to transfer username and telephone numbers. Instead user-id’s and phone-id’s can be used.

Concerning these security weaknesses in Whatsapp, the application had another big flaw that allows account hijacking. For details on this subject see my previous blog: http://rickey-g.blogspot.com/2011/05/hijack-someone-elses-whatsapp-with-your.html
Since it possible to spoof sms messages, Whatsapp can fix this problem only by disabling all other verification methods other than sending a verification sms themselves.

Hijack Whatsapp with your iPhone

2011-05-21T14:32:00.004+02:00

Hijack (someone else’s) Whatsapp with your iPhone
If you want to hijack someone else’s Whatsapp and receive messages addressed to that person with your iPhone, read on. (You don't have an iPhone? see bottom)

When you install Whatsapp on your iPhone, the Whatsapp application makes contact with the Whatsapp servers, and the Whatsapp servers will send you a verification sms with a code in it. Straight from that point a counter will start counting in the Whatsapp application. Within this time Whatsapp expects you to receive your verification SMS. If this period expires Whatsapp offers you several other authentication methods. (see below)

Here you choose for the option “SMS”. And you will have to fill in your email adress:

Your Phone will now start sending an SMS to the whatsapp servers for verification. You can cancel this, as it is not necessary.
What you’re going to do next is called SMS-spoofing. You can do this via many sites on the web. Choose one, and make up your fake SMS as shown in the picture below:

To: +447900347295
From: +(Country code)(mobile number)
Message: (your email adress)
That’s all! Within minutes you will receive the activation code in your email to activate whatsapp on your iPhone with someone else’s Telephone number, and from that moment on you will receive message’s addressed to that person on your iPhone.

The only way for Whatsapp to solve this issue is sending the verification SMS from their own servers and no other way.

If you have anything other than an iPhone your also able to Hijack someone else's Whatsapp. It's even easier for you.
All other systems will start sending an SMS verification immediately from your own mobile phone! So you disconnect your mobile phone, try to send the verification sms, which is impossible since you disconnected it. Check your outbox. There you will see the verification sms. Copy that whole sms to a website where you can spoof SMS. State the FROM field as the person's Whatsapp you want to hijack, and fill in your own mobile number in the TO field.
Thats it.

Whatsapp kapen met je iPhone

2011-05-21T13:33:00.005+02:00

De filmpjes hoe je Whatsapp kan kapen met een Nokie N97 staan op internet. Hier is een beschrijving dit te doen met de iPhone.

Via de iPhone werkt het iets anders. Whatsapp heeft op de iPhone namelijk geen mogelijkheid smsjes te versturen vanaf jouw telefoon. Om die reden maakt Whatsapp connectie met de whatsapp-servers, en deze server versturen dan een sms naar jou toe.
Als je dus via de iPhone iemands Whatsapp wil overnemen krijgt de persoon die je overneemt sowieso een verificatie sms van Whatsapp. En wellicht wordt deze daardoor al wakker geschut. Een dader is echter verder niet te achterhalen. En het slachtoffer kan de nieuwe verificatie ook niet stopzetten. Succes verzekerd dus.

Op het moment dat je Whatsapp opnieuw installeerd vraagt Whatsapp om jouw telefoon nummer. Hier vul je het telefoon nummer in van het slachtoffer. Whatsapp verstuurd nu een sms vanaf de Whatsapp servers, deze komt dus aan bij het slachtoffer. Tegelijk gaat er een teller in jouw applicatie lopen waarbinnen je de sms met verificatie code zou moeten ontvangen en invoeren. Wacht tot deze tijd verstrijkt.
Als deze tijd is verstreken verschijnt onderstaand scherm:

Kies hier voor "sms". Nu moet je jouw email adres 2x invoeren.

Je iPhone gaat nu vanaf jouw toestel een smsje versturen. Het is verder niet nodig dat hij deze verstuurd, dit kan je dus gewoon cancellen.
Wat je nu gaat doen is je sms spoofen. Dit kan via vele sites. Kies er 1 naar wens en ga je gang. De sms die je moet opstellen moet er als volgt uitzien:

Ontvanger: +447900347295
Verzender: Telefoonnummer van je slachtoffer. LET OP: Altijd +316(nummer) gebruiken. Niet 06, dit herkend hij namelijk niet.
Bericht: (jouw e-mail adres)

Meer moet er niet instaan. Heb je dit gedaan zal je binnen enkele seconden in jouw emailbox de verificatie code ontvangen:

Vervolgens nog even je code in de whatsapp applicatie op je iPhone invoeren. En veel plezier!

Enige manier voor Whatsapp om dit te fixen is het verificatie smsje vanaf hun servers te verzenden, en niets anders.

Privacy en Whatsapp tegenover KPN en DPI

2011-05-17T23:11:00.002+02:00

Laatste dagen is Whatsapp nogal in het nieuws gekomen door KPN die gebruik zou maken van DPI (Deep Packet Inspection) om het gebruik van Whatsapp inzichtbaar te maken. Dit omdat Whatsapp het gebruik van sms terugbrengt en dus ook de inkomsten voor KPN. Want, kort samen gevat: voor ieder smsje betaal je, en whatsapp valt binnen je internet bundel. Het is dus een dienst die door een andere dienst als 'extratje' wordt aangeboden, geheel gratis en misschien zelfs nog beter ook. Ik zou hierbij graag een ieder dit filmpje willen laten zien over: House party's die men ook ooit eens wou verbieden.

Wat alle rumoer heeft veroorzaakt is dat KPN DPI gebruikt heeft om dit verkeer in kaart te brengen. De privacy van de internet gebruikers zou zo geschonden worden en dit is onacceptabel. Over deze discussie ga ik het nu niet hebben, maar ik ga het wel even over de privacy hebben die Whatsapp ons zelf verder biedt.

Naar aanleiding van dit alles ben ik even de Whatsapp packetjes gaan inspecteren die het internet opgepompt worden door deze applicatie. Wellis waar een kort/om-te-schamen onderzoek, maar des al niet te min met een bijzondere uitkomst.
Een aantal dingen komen toch wel vrij snel aan het licht. En dat is dat alle Whatsapp berichtjes als plaintext worden verstuurd (lekker snel, dat wél), én dat bij deze berichtjes de telefoonnummers van de ontvangende partij, evenals de naam van deze contacten wordt verzonden. Ik heb zelfs vernomen dat Whatsapp je gehele adresboek copiert naar de Whatsapp servers, dit heb ik zelf nog niet kunnen waarnemen (Ik heb dit niet getest), maar dit kan zeker als voor 'waar' worden aangenomen.
Kanttekening hierbij is dat Whatsapp een Amerikaans bedrijf is. De servers van Whatsapp in Amerika staan. Ze worden gehost door The Planet Internet Services wat nu bekend staat als SoftLayer Technologies. En zoals te zien bij het plaatje visitors heeft Amerika hiermee weer een prachtig bedrijf in handen (+de gegevens van de gebruikers).
Maar genoeg d00m-denkerij hierover, ik lijk wel een echte g33k. Over naar de facts.

Even op een rijtje de facts van het verkeer:
- De applicatie resolved eerst sro.whatsapp.net.
- Krijgt de adressen 173.192.219.141, 173.192.219.149, 173.192.219.140 terug van ns1.softlayer.com
- Er wordt direct een SSL verbinding over port 443 opgezet met (in dit geval) 173.192.219.141.
Ik heb helaas geen MIM-attack gedaan dus ik weet niet welke info er over de SSL verbinding is verstuurd.
- Via deze niet af te luisteren verbinding komt blijkbaar het ip-adres door van de Whatsapp-chat server in dit geval 50.22.227.220. Whatsapp werkt via het zogenaamde Extensible Messaging and Presence Protocol, en daar dan een eigen afgeleide van.
- Vanaf dit moment gaat Whatsapp communiceren via port 5222 met de Whatsapp XMPP-server 50.22.227.220. Het opmerkelijke hieraan is dat Whatsapp dit doet ZONDER dat de verbinding versleutelt is. Dit houdt dus in feite in dat ieder station waar jouw berichtje langs komt kan lezen wat jij verstuurd, aan welk 06 nummer, en de naam van die persoon. Dit is in het bijzonder van belang bij draadloze netwerken, waar in feite iedereen zich op kan aanmelden. Ga je dus met je mobiel op een gratis wifi hotspot lekker zitten Whatsappen, kunnen we allemaal leuk meelezen, om vervolgens de persoon in kwestie nog even een belletje te geven. *nerd-fear*

Enfin, hier dan nog even de plaatjes als bewijs. Onderstaand screenshot geeft een weergave van een contact persoon waar naar toe ik een berichtje stuur. Bij ieder berichtje dat ik verstuur, verstuur ik dus het 06-nummer mee. Zoals je in het screenshot duidelijk kan zien stuur ik enkel de tekst "Test" naar deze persoon.

En in onderstaand screenshot is te zien dat Whatsapp mijn eigen contact gegevens, wederom onversleuteld, het internet opslingerd, dit inclusief mijn naam en mijn 06-nummer.

Een aantal andere conclusies kunnen we hier ook uit trekken. Als KPN de mensen wil gaan factureren per whatsapp berichtje zal KPN (zeer diepe) DPI moeten gebruiken. De applicatie Whatsapp staat in een constante verbinding met zijn servers en aan de hand van Source + Destination (makkelijkste manier) is niet te bepalen hoeveel berichtjes er via Whatsapp verstuurd zijn.
De enige manier van KPN om inzichtelijk te krijgen hoeveel Whatsapp berichtjes er verstuurd zijn dan wel ontvangen is via deze 'diepe' vorm van DPI waarbij de berichtjes daadwerkelijk ook gelezen worden. Het is mogelijk dat KPN dit invoert. Maaaarrrrrrrrrr, te verwachten is dat Whatsapp in de toekomst zijn diensten gaat aanbieden met een SSL functie (het is al verrassend dat zij dat nu nog niet doen), zoals gebruikelijk binnen het Jabber (XMPP) protocol.
Dan is het voor KPN zo goed als onmogelijk te bepalen hoeveel berichtjes een persoon verstuurd dan wel ontvangt. Men kan de applicatie een hele dag open hebben staan, zeer veel data gebruiken, maar geen enkel berichtje ontvangen of verzenden.

Feit blijft dat Whatsapp SMS gaat vervangen, vroeg of laat. Daar gaat KPN niets aan veranderen.
Zolang KPN mobiel internet aanbiedt zullen er eindeloos veel manier zijn om een tarifering te omzeilen. Deze zullen er ook zeker komen omdat het animo voor het gebruik van Whatsapp gewoon veel te groot is.
Als KPN nog schulden moet aflossen in verband met het aangelegd 3g netwerk zullen ze dat moeten verhalen op de klanten via verhoging van het tarief van de internet bundel (terecht!). Dat gaat niet lukken via het tariferen van specifieke applicaties als Whatsapp.
Als KPN meer inkomsten wil hebben om het personeel te kunnen blijven betalen zullen de kosten van alle bundels omhoog moeten gaan.

Helden, Fukushima's 50. of Fukushima's 180

2011-03-19T00:45:00.003+01:00

180 zijn het er inmiddels. Echte helden. Van semi helden die hun zendtijd krijgen bij SBS shownieuws, weten we hun naam. Van deze echte helden.. weten we niets. Alleen dat ze er zijn, en dat ze bereidt zijn hun leven op te offeren.
750 werknemers telde de kerncentrale ten tijde van het begin van de catastrofe. 50 van hen is in eerste instantie gevraagd te blijven, 120 werden er aan toe gevoegd. Het zijn waarschijnlijk de oudste werknemers, degenen die zich niet meer zullen voortplanten, degenen die sowieso nog maar het kortste te leven hebben. Degene waarbij de straling zo min mogelijk blijvende schade kan aanrichten. Degene die het minst zullen lijden onder de straling. Degene waar we eigenlijk toch al afscheid van hebben genomen. Degene die... de geschiedenis in zullen gaan als échte helden.

Eén van de mannen stuurt een e-mail naar zijn vrouw: "Ik zal voorlopig niet terug keren." (Zie onderste youtube film)
Als er 62 Nederlanders dood gaan tijdens een vliegtuig ongeluk zenden we geen lachwekkende filmpjes meer uit. Over deze mannen horen we slechts sporadisch iets. Veel te weinig, ik voel me verplicht hen aandacht te geven. Daarom doe ik dat hier:

15 maart 2011, Fukushima, Japan.

En dan nog een klein plaatsje voor de liquidators van Tsjernobyl. De mannen die exact dezelfde taak als de Fukushima-50 hadden. Even grote helden, hopelijk minder grote verliezen.

Onverantwoorde social networkers: connect.me

2011-03-09T18:17:00.001+01:00

Vandaag blijkt maar weer eens hoe klik/registreer graag de social networker is. Aan alles willen we mee doen, overal moeten we de eerste mee zijn.
We weten niet eens wat het is, wat het doet, van wie het is, of wat ermee gaat gebeuren. Maar toch registreren we ons alvast, want je weet maar nooit!
Connect.me is vandaag een hot item! Op twitter wemelt het ervan.

Maar wat doet connect.me nou eigenlijk? Het is een prachtige naam, dat zeker! Trekt genoeg zieltjes aan blijkbaar die graag: Connect.me zijn.
Als je de gehele registratie voltooid krijg je uiteindelijk deze pagina te zien:

Vooral de laatste zin: "Would regrettably have to kill you" is treffend, schrikbarend, dan wel zorgwekkend.

Het vervelende aan deze site is dat ze legaal lijken te werken. (Correct me if I'm wrong). De registratie procedure gaat als volgt:
Je komt via een personal invite link op connect.me of browst zelf naar connect.me. Als je een personal invite link volgt word je direct met de persoon verbonden die deze link 'gespammed' heeft. Je voert een username in, vervolgens word direct weergegeven of deze username vrij is, en vervolgens klik je op "Sign up".

Hierna krijg je de mogelijkheid je account te koppelen aan je Facebook, Twitter of LinkedIn. In dit geval heb ik voor twitter gekozen.

Vervolgens moet je zelf persoonlijk toestemming geven om deze applicatie toegang tot jouw twitter te geven. En hier schuilt hem het gevaar. Je geeft ZELF deze applicatie toegang. Er gebeurt dus niets illegaals. Je geeft de applicatie "Respect Network" toegang tot jouw twitter data EN je geeft ze de bevoegdheid deze te updaten!

Als laatste heb je nu dus Respect Network de mogelijkheid gegeven jouw twitter data in te zien en deze te gebruiken. Er word nog even gevraagd om een email adres aan het account te koppelen en je bent klaar. Nu je je eigen profiel heb gecreerd op connect.me kan je er niets mee. Het enige dat je kan is de link spammen, om vervolgens mensen erop te laten klikken zodat deze zich ook kunnen registreren en aan jouw account worden verbonden.
Op deze manier zal de eigenaar van deze twitter applicatie uiteindelijk beschikken over een database met usernames van fb/twitter/linkedin + email adressen. En meest belangrijk:
Hij zal uit deze data kunnen afleiden welke accounts de meeste 'blinde' volgers hebben. Personen die simpel weg op links klikken en zich overal lukraak registreren.
Nu zal een ieder vast denken, wat heb je hier nou aan. Maar hier kan je ERG veel aan hebben. Zeker in het criminele circuit. Op de zwarte markt zullen inlog gegevens van deze account zeer veel waard zijn. En door het prijs geven van een username en email adres maak je het de aanvallers wel erg makkelijk om een van jouw accounts te hacken. Immers zijn er maar weinig mensen die voor hun twitter, facebook, linkedin dan wel hun mail verschillende wachtwoorden gebruiken. Deze aanvallers hebben op deze manier een keurige manier gebruikt om hun aanvals strategie te kunnen verbreden en via meerdere manieren eenzelfde (gekoppeld) account kunnen bemachtigen.

Wat er uiteindelijk met al deze gegevens zal gebeuren weet ik uiteraard niet. Maar mensen. Wees alsjeblieft op uw hoede en registreer je niet zomaar overal, plaats niet overal lukraak links en strooi ook niet zomaar overal met je email adres.

De persoon achter connect.me verschuilt zich overigens verder niet, dit is: Joe Johnston (Zie foto). Klik hier voor zijn eigen weblog.

Een ander goed blog bericht hierover (In English): nakedsecurity.sophos.com

Thailand in 1 maand

2011-03-07T03:07:00.002+01:00

De gehele maand April zit ik in Thailand. Ik gebruik deze posting even om mijn gedachten te ordenen over waar ik heen wil en wat ik kan zien.
Ik wil niet teveel plannen, en vooral veel ideeen en gedachten ter plekke op doen, maar het is altijd verstandig de grote lijnen alvast uit te stippelen.
Daarom:
Plek 1, Bangkok, aankomst:
Grand Palace Chakri Mahaprasad

Kanchanaburi

Chiang Mai

Phuket

Phi Phi

Koh Samui

Koh Tao

Bangkok

Frauderen met jouw/de ov-chipkaart: makkelijk, gevaarlijk, snel op te lossen!

2011-02-18T15:02:00.003+01:00

De OV-chipkaart is nu inmiddels wel geheel ontleedt. En voor iedereen zou het nu mogelijk zijn om met simpele software gratis te reizen, maar is dit wel zo?
Reizen met die gehackte ov-chipkaart blijkt nog niet zo makkelijk. Jouw 'hack' kan namelijk op verschillende manieren eenvoudig ontdekt worden door Trans Link Systems. En ga er maar vanuit dat je hard aangepakt zal worden.

Aller eerst zijn er verschillende typen kaarten en verschillende manier van inchecken.

Zo bestaan er anonieme ov-chipkaarten en persoonlijke ov-chipkaarten. En zo 'moet' je bij het instappen van een bus/tram/metro inchecken onder toeziend oog van een bestuurder/conducteur of gaan de metro poortjes niet open zonder dat je heb ingecheckt. In deze gevallen ontkom je dus niet aan inchecken. Bij de NS echter word je nergens gedwongen in te checken, dat maakt reizen met de NS een stuk fraude gevoeliger aangezien niet inchecken betekend dat je reis en kaart gegevens niet direct bekend worden bij TLS.

Les 1: Ga nooit met een persoonlijke ov-chipkaart frauderen. Mocht het door TLS ontdekt worden, ben je natuurlijk meteen het haasje! Lang speur werk zal niet nodig zijn, aangezien je zelf je gegevens aan TLS verstrekt hebt.
Om deze reden valt de eergister gepresenteerde ov-studenten-chipkaart hack in feite meteen al af.
Frauderen met het ov studenten product kan echter wel. Je zou namelijk een studenten product op een anonieme kaart kunnen zetten. Dit zal wellicht werken bij de bus/tram/metro. Maar in de trein zal de conducteur dit natuurlijk direct zien omdat een anonieme kaart en persoonlijke kaart qua uiterlijk zeer veel verschillen.
Een andere optie is je eigen studenten ov kaart gebruiken (Wordt afgeraden, zie les 1) en daarmee wisselen tussen week en weekend ov. Belangrijk is daarbij dat je NIET incheckt (enkel via OVStation.exe is mogelijk). Zodra je incheckt worden je kaart gegevens namelijk bekend bij TLS en deze kunnen keurig zien of jij recht heb op een weekend of week OV. Zien zij hierbij iets afwijkend zal er ongetwijfeld direct politie bij je op de stoep staan. (Zie ook Les 1).
Wil je dus frauderen met het ov studenten product en reis je met zowel trein, bus, tram en metro zal je in het bezit moeten zijn van 2 kaarten. Je eigen persoonlijke ov-chipkaart, te gebruiken bij de NS. Vergeet hierbij alsjeblieft niet dat je absoluut NIET mag inchecken (enkel via OVStation.exe is mogelijk). En je anonieme ov-chipkaart voor in de bus/tram/metro, enige nadeel hiervan is dat deze kaart (enkel je anonieme kaart dus) binnen 1-2 dag geblokkeerd zal worden. Of het dus rendabel is iedere keer een anonieme ov-chipkaart te kopen (kosten: 7,50) en deze aan te passen om hem vervolgens weer weg te kunnen gooien is maar de vraag.

Frauderen met de anonieme ov-chipkaart reizend enkel met de NS lijkt nog het meest rendabel. Om niet ontdekt te kunnen worden moet je wel een aantal punten niet vergeten. Zo mag je nooit inchecken met je kaart, doe je dit wel zal je kaart slechts 1-2 dag werken. Wat je moet doen is via het programma OVStation.exe zelf inchecken bij een station naar keuze. Zorg dat je voor de terug reis, op de plaats van bestemming, ook in het bezit bent van een reader. Neem dus je reader + software mee, of zorg dat je op locatie al de apparatuur hebt staan. Zodat je ook voor de terug reis wederom zelf kan inchecken bij je vertrekkende station. Via deze manier van frauderen word er geen enkele data aan TLS prijs gegeven, en deze zullen je anonieme kaart dus ook niet kunnen blokkeren dan wel een spoor van jouw reis traject/patroon ontdekken.
Bovenstaande manier werkt echter helaas niet voor het reizen met de bus/tram/metro, aangezien je hierbij altijd moet inchecken. En door het inchecken zal altijd het kaart id bekend worden bij TLS en deze kunnen eenvoudig weer na gaan of de reis die je heb afgelegd volgens de regels is gegaan of niet.
Constateert TLS dat er iets niet klopt aan een anonieme OV-chipkaart zal deze kaart geblokkeerd worden en word deze niet meer geaccepteerd. Vervolgens zal de recherche het wel moeilijk hebben jou op te sporen. Politie kan wellicht naar een vast reis patroon kijken, of beveiligings beelden van een aanwezige camera raadplegen bij de automaat waar de kaart gekocht is. Een andere mogelijkheid is wellicht dat men de corresponderende pin transactie kan raadplegen tijdens het kopen van de anonieme ov-chipkaart. Echter is mij niet bekend of het ID van de kaarten en de verkoop punten überhaupt ergens geregistreerd wordt.

Hoe kan de ov-chipkaart nu nog verbeterd worden?
Er zijn wellicht een aantal simpele manieren om deze ov-chipkaart alsnog veiliger te maken.
De makkelijkste manier is wellicht het registreren van de kaart id's en op de kaart aanwezige producten door de trein conducteurs, en deze data vervolgens aan TLS door te sluizen. Aangezien dit al bij de poortjes gebeurt in bussen en trams moet het ook mogelijk zijn conducteurs met dergelijke apparatuur uit te rusten. Hiermee sluit je gelijk al het grootste gapende gat. Wanneer dit gebeurt, en ervan uitgaande dat iedere reiziger minimaal 1x tijdens zijn reis met de trein gecontroleerd word door een conducteur kan je dan dus maximaal 1 dag genieten van je gehackte ov-chipkaart. Dit maakt het reizen met de gehackte kaarten al gelijk een stuk minder rendabel, aangezien iedere dag een nieuwe kaart aangeschaft moet worden, wat telkens 7,50 kost.
Een andere mogelijkheid is nog ongebruikt geheugen op de Mifare Classic chip. Wellicht kan deze ruimte gebruikt worden om bepaalde sleutels naar toe te schrijven en een ander systeem van inchecken/producten te hanteren. Dit zal wel een update van alle toegangs poortjes van TLS met zich mee brengen, en de vraag is maar of dat bij al deze poortjes in 1x lukt en mensen niet ongewenst geweigerd worden. Deze laatste aanpassing kan er voor zorgen dat alle reeds bekende software als OVSaldo.exe en OVStation.exe direct onbruikbaar gemaakt kunnen worden. Ik ben op de hoogte dat er zeker op de anonieme kaarten nog vrij geheugen op de chips bevindt. Dus deze laatste optie is zeker mogelijk. Ook is het voor TLS mogelijk alle poortjes met nieuwe software eenvoudig te updaten, dit hebben ze namelijk al eens vaker gedaan.
Ik ben dan ook van mening dat een creatieve geest het probleem met deze ov-chipkaart eenvoudig moet kunnen oplossen!

Hoofd Israelische strijdkrachten pronkt met Stuxnet

2011-02-16T12:35:00.000+01:00

Een video boodschap afgespeelt tijdens een pensionerings feestje van de Israelische strijdkrachten doet het vermoeden stijgen dat Israel achter Stuxnet zit.

De video van Lieutenant General Gabi Ashkenazi zijn operationele successen bevatte referenties welke zouden wijzen richting Stuxnet, meld de Israelische krant Ha'aretz.
Direct na het gedeelte met mysterieuze referenties richting Stuxnet, volgt een boodschap van Meir Dagan, hoofd van de Israelische geheime dienst de Mossad gedurende vrijwel de gehele periode dat Gabi Ashkenazi hoofd was van de Israelische strijdkrachten.

Dit alles doet het vermoeden dat Israel achter Stuxnet zit steeds verder rijzen.

Chinese hackers belagen energiebedrijven en gebruiken Nederlandse C&C's

2011-02-10T18:42:00.003+01:00

McAfee heeft een white paper uitgebracht: Global Energy Cyberattacks: "Night Dragon"
McAfee verwerkt dagelijks bijna 55000 virussen/malware. Omdat dit zo'n groot aantal is, is het moeilijk gecoördineerde aanvallen hieruit op te maken/zichtbaar te maken. Toch willen ze aandacht geven aan 1 aanval. Het zou hier gaan om een grote aanval welke duidelijk zou weergeven hoe cybercrime zich van hobbyist naar een professionele activiteit heeft ontwikkeld.

In het rapport word een gedetailleerd overzicht weergegeven van de gebruikte tools en werkwijze. Hierin komt duidelijk naar voren wat de werkwijze is van de criminelen, en hieruit kan inderdaad duidelijk worden opgemaakt dat deze aanval uitgevoerd is door hobbyisten, welke nu blijkbaar hun activiteiten op een professionele manier ontplooien.

De gebruikte tactieken/technieken/software zijn in sommige gevallen wellicht al zo'n 10 jaar oud, dit valt niet te verifiëren uiteraard. Echter worden er vooral tools gebruikt die algemeen bekend zijn in de hackers wereld en welke misschien al bestempeld kunnen worden als 'out-dated'. Er zijn slechts enkele modificaties gevonden op de gebruikte tools welke als 'uniek' bestempeld kunnen worden. Verder word er simpel weg gebruik gemaakt van bestaande technieken, deze worden gebundeld, wat het een krachtige constructie maakt. De gebruikte aanvals tactieken zijn:
- Social Engineering
- Spearphising attacks
- Exploitation of Microsoft Windows operating system vulnerabilities
- Microsoft Active Directory compromises
- Remote Administration Tools (RATs)

Gebruikte techniek/software:
- SQL Injection Attacks
- reduh
- WebShell
- ASPXpy
- zwShell / gh0st
- Exploits
- Zero-day malware
- gsecdump
- Cain & Abel
- PSexec.exe

Verder werd er gebruik gemaakt van Command and Control servers gekocht in Amerika en gehackte servers in Nederland. Het is McAfee niet gelukt enige betrokkenen hiervan te achterhalen. Wat zij wel hebben kunnen achterhalen is de persoon verantwoordelijk voor de gekochte C&C servers in Amerika. Deze persoon komt uit Heze City, Shandong Province, China. Hoogstwaarschijnlijk heeft deze persoon niets met de aanvallen te maken. Dit omdat deze persoon slechts hosting services aanbied, echter doet hij dit wel met een advertentie banner waarop staat: "Hosted Servers in the U.S. with no records kept". Waarbij die laatste zin natuurlijk een crimineel oog doet glunderen.
Ook bleek dat er vooral van de voorziene data gebruikt werd gemaakt tussen 9:00 a.m. to 5:00 p.m. Beijing time. Wat zou suggereren dat de criminelen actief zijn gedurende kantoor tijden.

Ik ben erg benieuwd waar de gehackte servers in Nederland afkomstig zouden zijn. (Toch niet weer leaseweb?)
En ik vind het erg frappant dat er bij een dergelijke, klaarblijk belangrijke klus slechts alleen tijdens kantoor uren gewerkt word. Dit lijkt te duiden op weinig betrokkenheid? Of zou de opdracht gever simpel weg niet genoeg betaald hebben?
Iemand die onder het motto "Omdat het kan" bezig was lijkt het me ook niet, aangezien die juist niet onder kantoor tijden werken.

Vrij duidelijk is in ieder geval wel dat de chinezen van hun hobby hun werk gemaakt hebben en blijkbaar ook instaat zijn hiermee geld te verdienen.
In Nederland is de kennis en techniek die deze criminelen gebruiken ook zeker aanwezig, maar blijkbaar is de moraal van de Nederlander nog dermate hoog dat hier niet in bedrijfsverband geld mee word verdient. Of het is natuurlijk een strategische set van de olie multinationals om een partij in China te prefereren.
Vraagtekens alom natuurlijk.

De gebruikte aanvals tactiek:

De kranten berichten overigens vooral dat de Chinezen -> energiebedrijven hebben aangevallen. De strekking van het gehele paper gaat daar volgens mij niet over. Wat uit de paper kan worden geconcludeerd is dat de hackaanval van Chineze origine is, en dat hier blijkbaar een particulier bedrijf voor verantwoordelijk is. En omdat er vooral tijdens kantoortijden actief gewerkt werd schept dit de verwachting dat dit alles gebeurt is 'in opdracht van'. Ook blijken vooral de grote energie bedrijven doelwit geweest te zijn.
Wat een belangrijkere conclusie is uit het paper lijkt me het feit dat personen die vroeger hacken als hobby hadden, en dit alleen deden, nu blijkbaar verenigd zijn ondergebracht en hun criminele activiteiten in groepsverband weten te ontplooien. En hierbij nog altijd te werk gaan op de manier zoals vroeger gebruikelijk was.

Stuxnet: Israel of China

2011-01-18T17:55:00.001+01:00

Het eerste stukje bewijs van cyber war in uitvoering: Stuxnet
In dit stukje ga ik enkel kort in op welk land hier mogelijk achter zit. In mijn eerdere rommelige blogs (ieder begin is moeilijk) gaf ik al een voorzetje richting Israel. Vandaag ga ik wat dieper in op China, en zet ik deze 2 tegen elkaar uit.

Verdacht makingen China
Bij cyberwar word al snel richting China gewezen. Dat is de geaccepteerde norm. China bemoeit zich zeer veel met 'het internet' en past strenge censuur toe. Zo worden onder andere google zoek resultaten gefilterd, en heeft China een grote firewall.
Ook wordt veel apparatuur in China gemaakt, wat de mogelijkheid op een backdoor in de firmware hierdoor vergroot, en wat weer de oorzaak van speculaties hierover is. Bewijs dat firmware gemanipuleerd is, is nog niet gevonden, maar ook de FBI blijft op zijn hoede.
De belangrijkste verdenkingen zijn echter naar buiten gekomen door de Wikileaks documenten. Hierin wordt namelijk gesproken over hacker aanvallen van China op google, Amerikaanse overheids computers en diens bondgenoten, de Dalai Lama en Amerikaanse bedrijven, dit alles sinds 2002.
Als laatste zijn er 2 'verdachte' universiteiten, volgens onderzoekers zijn deze scholen 'de bron' van de google aanvallen. Het gaat hier om de Jiaotong-universiteit in Shanghai en de Lanxiang Vocational School in het oosten van de provincie Shandong. Van de Jiaotong-universiteit is bekend dat deze IT opleidingen geeft, van de Lanxiang Vocational School word vermoed dat deze 'verdachte' informatica lessen aanbiedt.
Vooralsnog lijkt de hack motivatie van China vooral te liggen in het vergaren van inlichtingen.
Verder moet worden opgemerkt dat China voor 1999 mee werkte aan de kerncentrale van Bushehr, Iran, maar deze samenwerking uiteindelijk dus op 9 december 1999 beëindigde.

Stuxnet link met China
Er zijn een aantal elementen van Stuxnet die richting China zouden wijzen.
Om te beginnen heeft China grote kennis over de kerncentrale, omdat China zelf geholpen heeft met de bouw ervan. Ze weten dus exact welke apparatuur er gebruikt word.
Tevens valt Stuxnet de frequentie converter drives van het Finse Vacon aan, deze worden niet in Finland, maar in het Chinese Suzhou gemaakt.
In Suzhou bevindt zich eveneens een dochter onderneming van het Taiwanese RealTek, te weten Realsil Microelectronics. De digitale certificaten die stuxnet gebruikte zijn afkomstig van RealTek.
Een ander argument is dat China over de broncode van Windows beschikt, en daardoor de vier 0-day lekken in Stuxnet kon vinden. Echter is het goed te weten dat vele andere landen inmiddels over de broncode beschikken, waaronder ook Nederland.

Verdacht makingen Israel
De moord op Majid Shahriari, een Iranese professor aan de Universiteit van Teheran en nauw betrokken bij het Iranese atoomprogramma, zou wijzen richting de Mossad van Israel. De aanslag zou diverse kenmerken van de Mossad hebben. Van de Mossad is verder bekend dat deze al vaker moord aanslagen in het buitenland heeft uitgevoerd. In veel artikelen word gezegd dat Majid Shahriari verantwoordelijk zou zijn voor de bestrijding van Stuxnet binnen de kerncentrales. Waarom een atoomwetenschapper deze taak toebedeelt zou krijgen is mij onduidelijk. Wat wel opgemerkt moet worden is dat computer sience en nuclear sience overlappende studies zijn met gezamenlijke kenmerken, dus uitgesloten is het niet dat de professor deze taak toebedeelt had gekregen. Echter lijkt mij dit niet het geval, deze gedachte word bij mij vooral ondersteund door een reeds eerder gepleegde moord op 12 Januari 2010 op de Iranese atoom geleerde Masoud Alimohammadi. Deze beide professoren gaven les op de Universiteit van Teheran, en waren beiden gespecialiseerd in de Kwantummechanica.
Iran beweert op 10 Januari 2011 een 'netwerk van Mossad' spionnen opgerold te hebben, dit zou naar boven gekomen zijn door het onderzoek naar de moord op Masoud Alimohammadi.
Om duidelijk te maken waarom bovenstaande moorden richting de Mossad verwijzen, stuur ik je door naar de volgende bizar lange lijst met moorden waarbij de Mossad betrokken zou zijn. Dit geeft duidelijk aan dat Israel niet vies is van moorden buiten de eigen grenzen en bereid is zeer grote risico's te nemen, ook op diplomatiek niveau.
Een andere opmerkelijke gebeurtenis is het spontane verdwijnen van Shahram Amiri. Deze Iranese atoom geleerde, eveneens werkzaam aan de Universiteit van Teheran, verdween tijdens een pelgrimstocht naar Mekka. Volgens diverse media zou dit de grootste tegenslag voor het Iranese atoomprogramma zijn. Echter keerde deze geleerde op 13 Januari 2010 ongedeerd weer terug naar Iran. Hij bleek al die tijd vrijwillig in Amerika ondergedoken te zitten, in ruil voor informatie over het Iranese atoomprogramma zou hij 50 miljoen dollar aangeboden hebben gekregen. Echter zou hij terug gekeerd zijn naar Iran omdat zijn directe familie in dat land dermate onderdruk werd gezet dat hij wel moest. Er zou gedreigd zijn hen te vermoorden.
Dat Israel bereidt is ver te gaan met moorden buiten de grenzen van het eigen grond gebied is één ding. Israel blijkt ook bereid ver te gaan in de bestrijding van mogelijke vijandige landen welke interesse tonen in kernenergie, dan wel kernwapens. Het probeert deze landen op allerlei manieren dwars te zitten. Uit Wikileaks documenten blijkt dat Israel in 2007 zelfs op eigen houtje een luchtaanval heeft gepleegd op een Syrische kernreactor.
Bovenstaande gebeurtenissen schetsen een soort entiteit die over een perfecte motivatie beschikt voor de creatie van: Stuxnet, inclusief de gevolgen ervan. Denk hierbij aan het feit dat de worm ontdekt is en men er ook voor had kunnen kiezen deze worm 'geheim' te houden. De worm is min of meer in het wild los gelaten en heeft diverse niet relevante systemen geïnfecteerd, en op die manier dus zeer veel schade aangericht.

Stuxnet link met Israel
Echt duidelijke aanwijzingen met kenmerken van Israel binnen Stuxnet zijn er niet. Er zou een datum in de code van Stuxnet zitten die zou verwijzen naar de datum 9 mei 1979, op die datum is Habib Elghanian geëxecuteered. Hij was een prominent Iraans joods zakenman die aan het hoofd stond van de Teheranse joodse gemeenschap. Enfin, vast staat dat die datum in de code voorkomt, en als de computer over deze register sleutel beschikt deze word overgeslagen met besmetting van Stuxnet.
Verder werd de bestandsnaam 'Myrthus' aangetroffen. Wat weer een Bijbelse verwijzing zou kunnen zijn. Myrtus is het Latijnse woord voor Myrtle, een andere naam voor Esther (de Joodse koningin die haar volk redde van de Perzen). Maar je zou het natuurlijk ook kunnen lezen als My RTU’s (remote terminal units).
Wat wel met een duidelijke vinger naar Israel wijst is het feit dat Israel beschikt over een groot Cyberarmy. De zogenaamde IDF Unit 8200 is al sinds 1990 bezig hackers (vooral tieners) aan deze unit toe te voegen door hen de mogelijkheid te bieden de gevangenis in te gaan, of voor hen te werken. Deze unit is op dit moment uitgegroeid tot één van de grootste Cyberarmy's in de wereld.
De New York Times onthulde op 17 Januari 2011 dat de Verenigde Staten samen met Israel Stuxnet getest zou hebben. Dit zou gebeurt zijn in de Israëlische Dimona kerninstallatie. Zij hebben dit geconcludeerd uit gesprekken met experts. Wie deze experts precies zijn is niet duidelijk.
Als aller laatste aanwijzing is er een opmerkelijke uitspraak van Meir Dagan. Hij was tot 1 Januari 2011 hoofd van de Israëlische Mossad, en meldde op het allerlaatste moment nog even dat Iran zeker tot 2015 niet over kernwapens kan beschikken. Een opmerkelijke uitspraak waarbij hij met de eer van Stuxnet lijkt te willen strijken.

Conclusie
Vast staat dat er op dit moment geen enkel land beschuldigd kan worden, en of dat ook ooit gaat gebeuren zal de vraag zijn. Landen zullen altijd blijven ontkennen.
Hoewel China de traditionele eer heeft van dit soort daden beschuldigd te worden, schetst het dader profiel een heel andere dader: Israel.

Blunder van Politie bij arrestatie Robert M.

2011-01-04T21:09:00.002+01:00

In Nederland bestaat bij de Nationale Recherche een aparte divisie voor cyber crime, namelijk het Team High Tech Crime. Zoals de naam al zegt zijn dit rechercheurs op het gebied van cyber crime. Een nieuwe divisie die zich hard aan het ontwikkelen is.

Rond 7 November wordt de Amerikaan Robert Diduce gearresteerd. Bij hem worden ongeveer 10.000 plaatjes gevonden met jonge kinderen hierop. Één daarvan is een 2 jarig jongetje, doordat op de foto een nijntje figuur te zien is weten de rechercheurs het plaatje aan Nederland te linken.
Om die reden wordt op 7 december 2010 tijdens een uitzending van opsporingverzocht het plaatje van dit slachtoffer getoond. Tijdens de uitzending wordt het jongetje geïdentificeerd en een link met Robert Mikelsons gelegd. Hij word dan ook nog dezelfde avond gearresteerd.

Een simpele google search op Robert Mikelsons email adres: roberts83@navigators.lv levert tientallen hits op. Een beetje verder speuren levert binnen enkele minuten het volgende bericht op uit 2003:

Bij het lezen van bovenstaande bericht moeten bij mensen met enige kennis van encryptie de bellen gaan rinkelen. Deze man heeft verstand van zaken. Wanneer men over gaat tot arrestatie van een dergelijk persoon, sowieso bij verdachten van kinderporno, zal er zeker rekening gehouden moeten worden met de mogelijkheid dat een verdachte zijn data encrypt en zo beveiligd.

Om toegang tot deze beveiligde geëncrypte data te krijgen heb je een wachtwoord nodig, door het gebruikte beveiligings programma word vervolgens met dit wachtwoord een zogenaamde sleutel gecreëerd. Deze sleutel wordt vervolgens in het RAM geheugen geplaatst, en met gebruik van deze sleutel kan de geëncrypte data worden ontsleuteld.
Met het wachtwoord, of met de sleutel kan men dus toegang krijgen tot de data. Aangezien Robert Mikelsons in bovenstaande tekst al zegt: "Passphrase was kept only in my mind, it was not written down" kan je er van uit gaan dat zijn wachtwoord niet al te makkelijk te vinden is. Waar vervolgens op in gezet kan worden is de sleutel, welke zich in het RAM geheugen van de computer bevindt. (Dit uiteraard nadat Robert Mikelsons zélf heeft ingelogd op zijn computer en het wachtwoord heeft ingevoerd.) Wil je een dergelijke situatie bewerkstelligen zal de inval plaats moeten vinden op een moment waarvan je zeker weet dat Robert Mikelsons zich achter zijn PC bevind, en deze aanstaat.
Er zijn vervolgens meerdere mogelijkheden om het RAM geheugen uit te lezen. (bron), (bron 2). Zodat de sleutel direct bemachtigd kan worden.

Wat is nu het geval
Tijdens de arrestatie van Robert Mikelsons stond zijn PC aan. De meest ideale situatie die je kan bedenken! En wat heeft de politie vervolgens gedaan? Juist! zij hebben de PC uitgeschakeld...
Hoe is zoiets mogelijk vraag je je af? Juist in dit soort gevallen dient men uiterst zorgvuldig te werk gaan en moet men alle mogelijke opties open laten. Zoals hierboven al te lezen valt had de politie de beschikking over meerdere aanvals factoren om vrijwel direct over de toegangssleutel van de computer van Robert Mikelsons te beschikken. Maar wat doet zij? Ach, laat ook maar...

Gelukkig heeft na drie weken verhoor Mikelsons uiteindelijk zelf de wachtwoorden geven. De politie had anders flink in zijn eigen vingertjes gesneden.

Je zou dit verder kunnen afdoen als een beginners fout, maar dit is geenszins waar, het Team High Tech Crime heeft in zijn bestaan al meerdere malen met geëncrypte harde schijven te maken gehad, dus had men allang al genoeg tijd gehad om dit soort situatie te kunnen voorkomen.
Hieronder is een vergelijkbare situatie (uit 2008) beschreven in een document van het Team High Tech Crime:

Een zeer grote blunder dus...

Robert Mikelsons was reeds bezig met verwijderen
Tevens wordt er veel vermeld dat Robert Mikelsons ten tijde van zijn arrestatie al gegevens aan het verwijderen was en dat dat de reden is waarom de PC direct is uitgeschakeld. Dit kan mogelijk zijn, maar ten eerste is het zéér moeilijk om gegevens direct van de harde schijf te verwijderen, want deze kunnen op allerlei manieren weer terug gehaalt worden. En ten tweede kost het enkele minuten tijd om bepaalde cooling spray op het geheugen van de PC te sproeien, zodat deze geheugen bankjes nog tot mogelijk een uur daarna goed uit te lezen zijn. In deze 5 minuten kunnen inderdaad enkele bestanden verloren gaan doordat de computer door blijft gaan met het verwijderen van gegevens, maar de waarde van de encryptie sleutel lijkt me in dit geval groter. Helemaal als je weet dat deze verloren gegane gegevens vrijwel zeker weer direct terug te halen zijn.

Overigens is het ook frapant te noemen dat exact 1 dag nadat een nieuwsbericht word geplaatst dat het vrijwel onmogelijk is de encryptie van Robert Mikelsons te doorbreken, het nieuwsbericht naar buiten komt dat hij deze wachtwoorden inmiddels zelf verstrekt heeft aan de politie.

*edit 06-01-11 11:25
THTC uit de titel gehaalt - staat niet vast dat deze betrokken zijn geweest bij de arrestatie

The Green Lake (Grüner See), Oostenrijk

2011-01-03T19:01:00.000+01:00

Lekker dicht bij huis. The Green Lake (Grüner See) in Oostenrijk.
Gehele jaar mooi, maar deze plaatjes komen uit het voorjaar.

more
Movie

Oekraïne, Pripyat, Tsjernobyl

2010-12-19T17:30:00.000+01:00

Pripyat, plaatsje in Oekraïne, verlaten vanwege de ramp met de kerncentrale in Tsjernobyl. Het stralings niveau is er nog erg hoog, dit word vooral veroorzaakt door Caesium-137 dat een halverings tijd van 30.1 jaar heeft.
Ongerepte natuur en een blik in het verleden.

more

Mauritanië, langste trein ter wereld.

2010-12-18T16:09:00.000+01:00

Het is niet de langste trein ooit, maar wel de langste trein in vaste dienst.
We gaan naar Mauritanië en vervoeren ijzererts van Zouerat naar de kustplaats Nouadhibou. Een must see als je in de buurt bent.
De foto's:

more

Oorlog opkomst! Stuxnet, Nucleare Installaties, Aanslag Atoomgeleerden, Wikileaks

2010-12-01T19:03:00.000+01:00

Het moge duidelijk zijn, het Iraanse atoomprogramma ligt onder vuur.
Sinds 1975 probeert Iran al kernenergie op te wekken, echter is het ze nog nooit gelukt. 21 augustus 2010 was de officiële opening van de Bushehr kerncentrale, verwacht word dat de centrale over enkele maanden zijn eerste energie gaat afleveren. Of ze dit gaan halen is nog maar de vraag.
Iran heeft te maken met zeer veel politieke druk om zijn kernprogramma af te breken of op z’n minst onder strenge controles te laten verlopen, Iran werkt hier zeer beperkt tot niet aan mee. Vele landen uiten om die reden hun bezorgdheid, evenals dat het regime door hen betitelt word als gevaarlijk en instabiel. (Bron)

Het moge dan ook geen toeval genoemd worden dat er op dit moment zeer veel merkwaardige dingen omtrent dit Iraanse atoomprogramma plaats vinden.
Allereerst is er de uitbraak van Stuxnet. In midden 2009 voor het eerst ontdekt door Symantec, pas midden 2010 was men instaat hier details over uit te brengen. De worm bevatte dermate complexe constructies dat deze onmogelijk door 1 persoon gemaakt kan zijn, onmogelijk door een groep criminelen, conclusie: enkel door een overkoepelende groot macht met onderlinge connecties dan wel spionage afdelingen gevestigd over de gehele wereld. Stuxnet was geprogrammeerd met maar 1 enkele reden, centrifuges die gebruikt worden voor de verrijking van uranium te saboteren. Wat ik graag onderzocht zou willen hebben is of de centrifuges zo gesaboteerd waren dat ze wel uranium verrijken maar niet tot de zogenaamde "weapons grade uranium" of dat überhaupt het verrijken van uranium saboteren. Bekend is in ieder geval dat Stuxnet de centrifuges niet compleet stil legde, maar in een bepaalde frequentie van hard naar langzaam liet draaien. (Bron)

Enfin, de besmettingen van Stuxnet bleken binnen Iran op zeer grote schaal voor te komen, en duidelijk was wel dat Iran hoogst waarschijnlijk het doel was. In eerste instantie ontkende Iran zelf dat zij het doel waren evenals dat zij getroffen waren. Later werd wel bekend dat er enige problemen waren binnen de centrale, maar dat die los stonden van Stuxnet. naar mate meer details van Stuxnet naar boven kwamen, werd het toch wel vrij zeker dat Iran het doel was. Om die reden heeft Iran een professor aan de Universiteit van Teheran aangesteld om een onderzoek in stellen naar Stuxnet, te weten: Majid Shahriari. (Bronnen: #1, #2, #3)
Op 29 november 2010 word er een aanslag gepleegd op deze professor, Majid Shahriari, en hij komt hierbij om het leven. Een gerichte aanslag, er word door mannen op motoren een bom aan zijn auto bevestigd en even later komt deze tot ontploffing. Mahmoud Ahmadinejad reageerde hierop en vermoed dat buitenlands vijanden als Amerika of Israel hier achter zitten. (Bron)
Eveneens op 29 november komt via Wikileaks en de zogenaamde #cablegate naar buiten dat er Arabische oproepen zijn aan Amerika om Iran aan te vallen. Volgens de documenten zou koning Abdullah van Saudi-Arabie herhaaldelijk aan de Amerikanen hebben gevraagd Iran aan te vallen in verband met het atoomprogramma. Mahmoud Ahmadinejad reageerde hierop dat de Amerikanen slechts onrust proberen te stoken. (Bron)

Deze week zijn er dus een aantal verontrustende nieuwe ontwikkelingen betreffende het Iraanse atoomprogramma, Mahmoud Ahmadinejad reageert zeer verschillend op deze 'aanvallen'. Zeker in het begin reageerde hij verrast en niet bang. Stuxnet was niet voor Iran bedoelt, en de wikileaks documenten zullen de Iraanse relaties met andere landen niet schaden. Echter na de aanslag op de professor Majid Shahriari, werd er direct richting Amerika en Israel gewezen. Nu Mahmoud Ahmadinejad ook erkend dat de centrifuges in zijn land getroffen zijn door de stuxnet worm moet het hem heet onder voeten worden. En een leider die volgens Wikileaks bestempelt word als een persoon die vergelijking heeft met Hitler is dat een gevaarlijk spelletje.

Wat hieruit voort gaat vloeien moet nog blijken, maar het moge duidelijk zijn dat er een grootmacht bezig is met een spelletje dat zeer gevaarlijk is. Ik ga nergens naar toe wijzen, maar ik hoop maar dat deze groot macht kennis heeft van de werkelijke voorbereiding van Iran op Atoomwapens. Ik moet echter ook op merken dat Israel al vaker heeft aangetoond roekeloos te zijn, en dat de stuxnet worm ook een worm is gemaakt met enkele zeer roekeloze componenten.

Vrienden op je Facebook, Hyves en twitter: Echte vrienden?

2010-11-23T21:20:00.000+01:00

Ik word er zo langzamerhand echt schijt ziek van. 'Discussies' over vrienden. En dan wel op Facebook, Hyves en Twitter (op Twitter overigens volgers genaamd). De gehel discussie slaat compleet nergens op natuurlijk.
Ooit in een ver verleden, bij de creatie van Facebook en Hyves hebben de programmeurs voor een dilemma gestaan. Hoe gaan we deze connecties noemen? Vage kennisen, mensen die je ooit eens gesproken heb, of mensen die je interessant vind. De oplossing lijkt me vrij simpel. Denkende als programmeur is hier maar 1 goede oplossing voor: Vrienden. Daarmee stoot je niemand voor het been! Immers een 'echte' vriend zou nooit in het rijtje 'vage kennis' willen staan. Echter vind die vage kennis het natuurlijk geen probleem om in het rijtje 'vriend' te staan.
De discussie hierom heen draait al zo lang, en ik word er echt moe van. Vooral omdat het nutteloos is en alles behalve een discussie waard. Maar ook omdat het alleen maar popi-jopie figuren zijn die deze discussie voeren. Wat boeit het jou nou hoeveel vrienden een vriend van jou heeft? Waarom moet jouw vriend alleen 'echte' vrienden in zijn lijst hebben, omdat jij dat ook heb? En jij nu minder vrienden dan hem hebt. waardoor het lijkt alsof jij een loser zonder vrienden bent?
De discussie word zelfs aan tafel bij De Wereld Draait Door gevoerd. Mensen doen een 'veegactie' door hun vrienden lijst.
Enfin, je snapt het, nutteloos allemaal.

Daarom stel ik voor daarom de vrienden lijst voortaan gewoon: Adressenboek te noemen. Want in je adressenboek zet jij altijd de telefoonnummers en adressen van contacten die mogelijk ooit in de toekomst wel eens nuttig kunnen zijn, en dat is nou precies waar je je vrienden lijst ook uitstekend voor kan gebruiken!

2 typen internet gebruikers: 1 met een digitaal sociaal leven, 1 aandachts zoeker

2010-11-23T19:01:00.000+01:00

Afgelopen dagen is me iets opvallen. Ik heb 2 typen internet gebruikers weten te definiëren.
Aangeslingerd door de documentaire "Farewell Facebook" en natuurlijk ook lichtelijk door "The Social Network" ben ik gaan denken. En denken, en denken. Want tja, waarom zet de een neer wanneer die gaat poepen, en weer een ander alleen 'belangrijke' mededelingen. Wat is het doel hiervan?

Enfin, het doel heb ik niet kunnen achter halen. Maar wel heb ik duidelijk 2 typen personen kunnen identificeren. Kort gezegd de volgende twee:
- Persoon 1 heeft een sociaal leven dat zich vooral digitaal afspeelt
- Persoon 2 heeft een (redelijk)uitgebreid sociaal leven, maar gebruikt het digitale netwerk om nog meer aandacht/mogelijkheden te krijgen om het sociale leven uit te breiden.

Ik vermoed dat Persoon 1 lichtelijk autistisch is, en zich minder goed kan uitdrukken in het sociale leven, digitaal is dit veel minder complex, en kan overal makkelijker een draai aan worden gegeven.
Persoon 2 is denk ik vooral een onzeker iemand. Deze vertellen vooral hoe leuk ze het wel niet gehad hebben het weekend, en hoe leuk het is om met hun om te gaan. (Soort van hint: spreek met mij af!) Ik noem ze aandacht junkies omdat ze naar mijn vermoeden al een behoorlijk uitgebreid sociaal leven hebben, maar dit blijkbaar niet naar behoren is, of ze gewoon nog meer aandacht nodig hebben.

Enfin, even hier een kort bericht over, ik ga er eens beter voor zitten en over nadenken. Vraag me toch ook wel erg af tot welke hokje ik behoor. To be continued!
En hier enkele gebruikte bronnen:
- Artikel NRC Next
- Farewell Facebook (Korte film)
- The Social Network (Film)

WhatsApp Messenger voor iPhone, Android, BlackBerry, Windows Mobile

2010-11-04T15:10:00.000+01:00

BlackBerry ping, iPhone Ping, en vast voor Android en Windows Mobile bestaat er iets soort gelijks.
Het zijn allen messenger services die zich beperken tot het platform waarvoor ze geschreven zijn. Makkelijk voor de ontwikkelaars, handig voor de gebruikers, mits ze over hetzelfde toestel beschikken...
WhatsApp speelt op de tekortkoming van deze 'ping' applicaties in. En heeft een crossplatform applicatie op de markt gebracht die zowel op de iPhone, BlackBerry, Android en Windows Mobile toestellen werkt. Geniaal idee!
Inmiddels is de applicatie algemeen geaccepteerd en tijdens het uitgaan word dan ook al regelmatig aan mij de vraag gesteld: "Heb je whatsapp?". "Uiteraard!" is dan mijn antwoord.
ECHTER, heb ik het nu al meermaals meegemaakt dat ik denk: "Goh, waarom reageerd mevrouw (jaja, alleen vrouwtjes) X niet.. En als ik dan goed alles ga checken zie ik weer eens dat de applicatie geen contact kan leggen met de servers van WhatsApp. Ik ben me al bewust geweest van storingen die een gehele dag duren, maar ook storingen van 2 uur. Op het web vind je niets over deze storingen en whatsapp bericht er ook nergens over. Op twitter is er uiteraard genoeg over te vinden.
Als je twitter dan ook gedurende storingen afstruint naar personen die erover klagen, zie je hoe wijdverspreid whatsapp al gebruikt word. Tweets in het spaans, (ik spreek een beetje spaans) engels, en tekens die niet op mijn computer staan.
Enfin, voor een applicatie van dergelijke grote die zo wijdverspreid, algemeen geaccepteerd is en welke zoveel inkomsten moet genereren vind ik dit volledig on-acceptabel! Het kan niet anders dan dat er prutsers aan het werk zijn bij whatsapp inc. Het is in deze tijden gewoon onmogelijk dat een simpele applicatie als deze zo vaak onbereikbaar is.

Ik zou het daarom ERG fijn vinden als de concurrentie hierop inspeelt en komt met een betere applicatie. Lastig zal het zeker worden, want iedereen wil zo weinig mogelijk applicaties gebruiken en whatsapp bevind zich nou eenmaal al reeds onder de gevestigde orde en zal niet snel vervangen worden. Helaas.
Des al niet te min vind ik het erg fijn om even mijn frustraties hierover kwijt te kunnen.
Whatsapp, go fix yourself!!!

Boetes in nederland

2010-11-04T02:20:00.000+01:00

Ja, het is waar. Ook ik interesseer me best wel eens in politiek. Best veel soms zelf. Waar ik me de laatste tijd ernstig aan irriteer is het volgende:
De boetes in Nederland

Ik werk me de aanmbeien uit mn reet om te kunnen doen wat ik nu doe. Studeren, Uitgaan (ben immers vrijgezel en al 25..) en Auto rijden. Deze 3 dingen slurpen bij mij het meeste geld uit mn wallet. Ik werk inmiddels zoveel dat ik amper nog tijd heb voor school. Dat klinkt gevaarlijk, maar volgens mijn keurige berekeningen past dat precies. ECHTER, is er dan ook nog de overheid met zijn boete beleid. Het is inmiddels voor mij wel een feit dat veel flits controles puur zijn om de staatskas te spekken en niet om de verkeersveiligheid te vergroten.
Ik werk op de archangelkade en ga daar heen met de auto, dit is 10 minuten rijden voor mij. Met de bus, in de meeste ideale situatie 30 minuten, maar gebruikelijker is dat ik er 60 minuten over doe. De auto pakken we dus!
Bij de archangelkade in de buurt ligt de transformatorweg. BAM! Zullen velen denken die dit lezen en wel eens in amsterdam komen. Zo ongeveer DE flits weg. Aanhangwagens, filts vw's en laserbomen staan er geregeld. Waarom? dat is wel duidelijk. Deze zeer goed geasfalteerde, 4 baansweg met gescheiden middenberm, omgeven door bomen, een jeugddetentie centrum, een trainingsveld, geen enkele kruising en een apart voet/fietspad vormt een gevaar! Ja, voor wie? voor de staat!! Als op deze 50km weg niet meer geflitst mag worden betekend dat een dikke doei voor Nederland! Hoppa, bam, weg begroting.
Enfin, dat was mijn gal over het flitsen. Gaan we verder met de bekeuringen.
Prima, ik reed te hard, dat ik er niet veel aan kon doen is dan jammer, ik had het moeten weten, klopt, ik had het niet door, jammer dan, BETALEN!
Echter word ik er gewoon schijt ziek van dat ik me het leplaserus werk terwijl die pikkies in hun 3 delige pakken eventjes lachen en denken: "Hè, verdorie, vanavond weer 5 minuten extra werken". Boetes zijn om te straffen, mij straf je bikkel hard hiermee, maar de man in z'n dikke range rover kucht 1 keer en hij is het vergeten.
Om even duidelijk te maken welke impact het voor mij heeft. Vanmiddag ging ik dus kleren kopen bij "'t boven Y" winkel centrum. Daar moet je blijkbaar tegenwoordig parkeer geld betalen, wat ik dus niet wist. Ik keurig naar de aanbiedingen toe gegaan, voor 40 euro kleren gekocht. Wat betekende 8 nieuwe shirtjes. Echter is dat natuurlijk wel erg goedkoop.. dus besloot men mij een boete van 52 euro te geven voor het niet hebben van een parkeerticket. Compleet terecht natuurlijk, ik had moeten weten dat je daar moest betalen (?) maar waarvoor moet je daar eigenlijk betalen? op die komplete parkeerplaats stonden maximaal 100 auto's. Ik schat zo uit de losse hand dat er makkelijk 1000 auto's kunnen staan. Waarom dan alsnog betalen? Wat mis ik? wat gaat hier fout? Waarom moet ik gelijk 52 euro betalen. Ik kan al nooit kleren kopen. Ga misschien 4x in het jaar kleren kopen. Komt er dus gewoon op neer dat ik even mooi een extra kwartaal met deze kleren moet doen. (klein beetje overdreven natuurlijk)
Enfin, Nederland, Mark Rutte, Overheid, DOE HIER IETS AAN!

Stuxnet: Criminelen of een land? Sowieso mislukt!

2010-09-28T18:37:00.000+02:00

Sowieso kan er 1 conclusie getrokken worden over deze worm.
Hij is mislukt!
Waarom? Omdat hij ontdekt is. De geruchten doen de ronde dat hij wel succesvol is geweest, omdat hij zijn 'taken' al heeft uitgevoerd. Maar ten tijden van oorlog is het nog altijd: "Hit & Run". Taak 1: Hit is dan misschien gelukt, maar taak 2 is duidelijk niet gelukt. Stuxnet is zich blijven versprijden en zo uiteindelijk ontdekt.
Geen enkele crimineel of land dat criminele acties onderneemt (en dat is gelijk de overeenkomst) wil ontdekt worden. Wanneer je ontdekt wordt is het enige wat je doet de kans op ontdekking vergroten.
In de stuxnet software zelf is rekening gehouden hiermee. Er is een mechanisme ingebouwt om zichzelf te verwijderen. Deze is echt nooit gebruikt. Waarom niet?
Wat bekend is, is dat de Command en Control servers offline zijn gehaalt ergens in 2009. Waarom?
Werd het de criminelen te heet onder de voeten? Ze moeten geweten hebben dat het offline halen van deze servers zou betekenen dat zij de controle over dit virus zullen verliezen.
Nu zullen sommige verwijzen naar het de P2P functie van de stuxnet software. Dat klopt. Maar deze zal enkel instaat zijn geweest een groot gedeelte van de software te verwijderen maar nooit alle. Waarom niet alle? Stuxnet is vooral geprogrammeerd om zichzelf te verspreiden via USB sticks. Hij vermenigvuldigd zich naar de root van USB-sticks en probeert vanuit daar weer andere systemen te infecteren. Iedereen die zich een aanvals vector inbeeld waarbij USB sticks als primair verspreidings middel worden gebruikt weet dat dit niet de snelste manier is. USB sticks worden nogal eens op een kastje neer gelegd, USB sticks worden nog al eens verloren, en USB sticks worden al helemaal niet regelmatig gebruikt.
Goed, bij een verspreiding van deze omvang moeten de ontwikkelaars van deze software dit zich absoluut gerealiseerd hebben. En zij moeten zich ook gerealiseerd hebben dat het offline halen van de command en control servers hun uiteindelijke ontdekking zou betekenen.
Dit word nog duidelijker versterkt door het feit dat ten tijde van het offline halen van de command en control servers de 4 verspreidings technieken nog steeds niet ontdekt waren door microsoft en het virus zich dus ook nog actief zou vermenigvuldigen.

Welke conclusies we hieruit kunnen trekken vind ik moeilijk te zeggen. Duidelijk is dat de personen aan het hoofd van dit project risico's hebben genomen!
Zeer grote risico's en misschien wel voor een land onaanvaardbaar hoge risico's.
- Het is mogelijk dat een projectleider onder druk heeft gestaan en daardoor risico's heeft genomen.
- Het kan zijn dat een kritieke tijds druk op het project heeft gestaan, en daardoor risico's zijn genomen.
- Het kan zijn dat een project leider de risico's te laag heeft ingeschat, of niet goed duidelijk gemaakt aan de leiding.

Immers, wat als er duidelijk een land aangewezen kan worden als schuldige?

Het opdoeken van de Command and Control servers was uiteraard het laatste zeer duidelijke spoor dat tot de daders geleid zou kunnen hebben. Nu zou het niet zo zeer zijn dat aan het einde van het ip adres iemand gearresteerd zou kunnen worden, maar het zou in ieder geval aanknopings punten kunnen bieden om dichter bij een dader te komen. Wellicht waren er keurig videobeelden beschikbaar van deze criminelen, zoals dat was bij "De Mossad moordaanslag in Dubai". Overigens geeft deze laatste aanslag aan dat Isreal bereid is risico's te nemen.

Stuxnet: Doelstelling

2010-09-28T18:17:00.000+02:00

Stuxnet heeft duidelijk één opvallend 'aparte' functie ingebouwd. En dat is dat het over de mogelijkheid beschikt Siemens' WinCC/PCS 7 SCADA systemen te herprogrammeren. Een dergelijke feature binnen een virus is nog nooit eerder gezien, en het biedt ook geen extra functionaliteit die nuttig zou zijn voor alle hedendaags bekende virussen.
De software word alleen gebruikt voor zeer geavanceerde fabrieks systemen.
Het is een stukje software dat zéér geavanceerd is, en alleen in bijzondere omstandigheden zal een programmeur met deze software in contact komen.
Deze Siemens' WinCC/PCS 7 SCADA fabrieks systemen laten zich alleen programmeren door te communiceren via een data kabel welke aangesloten kan worden op een laptop + de bijbehorende software en op het geheugen van de Siemens' WinCC/PCS 7 SCADA systemen. Zonder deze software is het onmogelijk deze systemen te herprogrammeren of aan te passen.
Dit moeten de makers geweten hebben. En het loont de moeite op geen enkele manier om deze software in te bouwen 'just in case'. Dit moet het hoofd doel geweest zijn.
Het in bezit hebben / controle hebben over de Siemens' WinCC/PCS 7 SCADA kan van geen enkel nut zijn, anders dan het saboteren van deze systemen. Voor andere doeleinden zijn deze systemen niet te gebruiken.

Andere delen waaruit de stuxnet software bestaat zijn een rootkit gedeelte voor de Windows PC's, P2P Verspreiding, 4 0-day lekken, en een Command & Control server communicatie mechanisme.

Stuxnet; gesigneerde drivers

2010-09-28T15:48:00.000+02:00

Waarom zijn de bestanden die stuxnet gebruikt gesigneerd?
De reden dat de makers van stuxnet deze methode gebruikt hebben is de volgende:
Binnen het Windows Operating system heb je verschillende niveau's van beveiliging.
De eerste laag bestaat uit de "Resources", de tweede het "Operating System" en de derde de "Software".
Omdat computers zeer complexe systemen zijn, zijn er op alle niveau's afspraken gemaakt om de communicatie tussen die niveau's goed te laten verlopen. Zo houdt de maker van jouw netwerkkaart zich aan bepaalde standaarden, evenals de maker van jouw Operating System dat doet, en zo ook de schrijvers van software.
Software kun je vergelijken met alles wat je op je beeld ziet, dit word vertaald naar duidelijke overzichtelijke plaatjes en begrijpbare tekens. Deze vertaal slag word door de software gemaakt. Als je bepaalde informatie over het besturings systeem wilt weten, dan doe je dit met "system calls". Een System call geeft je de informatie terug en het is aan de software deze naar gebruikelijke taal te vertalen. Ben je nu een kwade partij, dan kan je zelf deze informatie natuurlijk makkelijk veranderen en iets op het scherm tonen wat voor jou gunstig is. Op deze manier werkt zogenaamde "scareware". Deze 'vind' virussen op je computer, die er helemaal niet zijn.

Een makkelijke manier om gebruikers om de tuin te lijden dus, aangezien veel mensen alle software op internet vertrouwen. Echter is het natuurlijk voor dit soort dingen erg makkelijk deze problemen op te lossen, aangezien het ook weer vrij makkelijk is op internet software te vinden welke 'vertrouwd' is, en welke je wel de juiste informatie zal geven.
Nu zijn er virus schrijvers die een niveau verder gaan. De volgende stap word natuurlijk de system calls van te voren de verkeerde informatie door laten geven, zodat ook de software die word gebruikt door de 'vertrouwde' partijen verkeerde informatie weer geeft. Een actie als deze kan alleen als je het besturings systeem manipuleerd. En om het besturings systeem te kunnen manipuleren moet je in de laag van het Operating System actief zijn. Alle verschillende device drivers zijn actief binnen deze laag. Zij hebben dus het provilege om het besturings systeem te mogen manipuleren. Dit mogen ze niet officieel natuurlijk, maar dit doen zij stiekem en zonder dat het operating systeem dit door heeft.
Bovenstaande methode word al enkele jaren succesvol gebruikt door hackers. Om die reden is Microsoft bezig geweest met het actief tegen gaan van deze problemen. Binnen Windows XP heeft het een beveiliging ingebouwd met driver signing. Daarbij worden de meeste 'bekende' drivers getest op virussen en het certificaat 'veilig' opgeplakt. Wanneer een driver door Windwos gebruikt word welke niet over dit certificaat beschikt zal Windows een melding hiervan geven! Op dat moment ben je dus gewaarschuwd. Wanneer Windows de melding geeft dat de driver gesigned is zou je er vanuit moeten kunnen gaan dat de driver vrij van virussen is.
Binnen Windows XP werden unsigned drivers nog gedoogd, bij Windows 7 worden unsigned driver niet meer geaccepteerd.
Aangezien het stuxnet virus als target SCADA systemen heeft welke het besturings systeem windows draaien is deze driver signing van groot belang geweest om de ontdekking van het virus zo lang mogelijk uit te stellen.
De makers van stuxnet hebben het voor elkaar gekregen om deze drivers gesigned te krijgen. En dus gaat windows ervanuit dat deze software vrij is van virussen, wat dus niet het geval bleek te zijn. Het is zeer moeilijk om een dergelijke signing voor elkaar te krijgen, en dit is ook nog niet eerder voorgekomen. In feite kun je zeggen dat het onmogelijk is voor 'normale' burgers dit voor elkaar te krijgen. Alleen zeer hoog geplaatste personen binnen microsoft of grote bekende hardware fabrikanten zouden hier toegang toe kunnen hebben.
De Makers van stuxnet is het dus wel gelukt.

Unpatchable PDF hack

2010-04-09T16:24:00.000+02:00

A Belgian researcher, Didier Stevens has published an unpatchable PDF hack.
Well, in most security related websites this hack has been published as an unpachable PDF leak. Assuming the pdf format is containing a hole that’s unfixable. Pretending it is possible to make up an unpatchable leak in any kind of file format is a myth off course. Delete the software and the leak is fixed...
Anyway, the hack is interesting by itself because Foxit reader launches the application without any warning! Adobe it self pops-up a warning.
And since most PDF users are of the "OK"-click generation this provides great opportunities for bad willing people.
Didier himself didn't publish a prove of concept of the launch action and the embedded executable combined, but instead only showed a prove of concept of the launch action. Taking a closer look at this prove of concept and Didier’s explanation it won't be that hard to make use of this hack. Below is an image of the prove of concept PDF file with the launch action and the cmd.exe executable highlighted. Basically you will only have to find out how to embed an executable to a PDF file and, then launch it. Off course hex-editing the cmd.exe string in the PoC file makes you able to launch any application you want.