Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 24-09-2009
0
In de cloud virusscanners worden vaak de toekomst van malware bestrijding genoemd, maar uitgebreid onderzoek van AV-Test.org laat zien dat dit nog niet het geval is, en zulke oplossingen nog een hele lange weg te gaan hebben. Zo blijkt uit het onderzoek dat cloud scanners niet beter in het detecteren van malware zijn dan traditionele oplossingen. In sommige gevallen wordt detectie van malware zelfs later toegevoegd dan bij normale virusscanners. Ook blijkt dat de omvang van de databases op de desktop niet afneemt en dat geheugengebruik niet door de cloud scanners wordt verbeterd. Daarnaast waren de in de cloud gebaseerde systemen in sommige gevallen door verbindingsproblemen onbereikbaar.
“Cloud is een marketing term. Als je denkt dat het drinken van het juiste biermerk je sexyer maakt, dan zal je dol zijn op cloud marketing”, zegt Randy Abrams van Eset. “Als je cloud computing ziet, vergeet dan niet dat dit een marketing hype is waar ze je de technische kwaliteiten van de producten niet willen vertellen, ze willen je laten geloven dat het drinken van het juiste biermerk je sexyer maakt.” Volgens Abrams kan het toevoegen van internet onderdelen, wat volgens hem de echte definitie van cloud is, een product verbeteren, maar is per definitie het geval.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 24-09-2009
0
Een Amerikaans bouwbedrijf heeft een bank aangeklaagd na de diefstal van meer dan een half miljoen dollar door cybercriminelen. Volgens Patco Construction zou de Ocean Bank niet voldoende hebben gedaan om de transactie van 588.000 dollar naar katvangers te voorkomen. Op 7 mei wisten aanvallers de inloggegevens van de online bankrekening te kapen en maakten zo’n 56.000 dollar over naar individuen waar Patco niet eerder zaken mee had gedaan. Tijdens de volgende dagen werd dit patroon doorgezet, totdat de fraude op 13 mei door een van Patco’s eigenaren werd ontdekt.
De bank stuurde een brief dat een aantal overboekingen geweigerd was. De cybercriminelen bleken later ongeldige rekeningnummers te hebben opgegeven. Patco waarschuwde de bank op 14 mei dat de overboekingen ongeldig waren, ook al werden op dat moment andere frauduleuze transacties gewoon nog uitgevoerd. Volgens de advocaat van Patco moeten banken “commercieel redelijke” stappen ondernemen om klanten tegen fraude te beschermen en zou de Ocean Bank dat hebben nagelaten. De overeenkomst van de bank laat echter weten dat bedrijven voor hun eigen transacties verantwoordelijk zijn.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 24-09-2009
0
Het Windows Server Service lek waardoor de Conficker miljoenen machines wist te besmetten, wordt nog altijd door criminele bendes gebruikt om Trojaanse paarden te verspreiden die gegevens stelen, aldus onderzoekers van Microsoft. Het onderzoeksteam van de softwaregigant zag al voor de uitbraak van de Conficker worm drie verschillende malware families, Arpoc, Gimmiv en Clort, die het lek misbruikten. De drie gebruikten verschillende technieken om publieke exploits te lanceren. Pas met Conficker werd het echt serieus en hielden zeer professionele virusschrijvers zich met het lek bezig.
Springplank
Naast Conficker gebruiken op dit moment tenminste drie andere malware families de kwetsbaarheid, te weten Neeris, Synigh en Mocbot. Dat geeft aan dat er nog altijd voldoende ongepatchte machines te vinden zijn. Eind oktober vorig jaar bracht Microsoft noodpatch MS08-067 uit om het lek te dichten. “Eén van de toepassingen van de MS08-067 exploit is het dienen als springplank voor het installeren van andere dreigingen”, aldus de onderzoekers. Het gaat dan om keyloggers, spyware, backdoors, adware en scareware.
“Virusschrijvers kunnen hier veel mee verdienen, door bijvoorbeeld gestolen data te verkopen. Weet dat er veel van dit soort aanvallen plaatsvinden. Een klein bedrag van elke geïnfecteerde machine wordt versterkt door de omvang van de uitbraak”, zo waarschuwen de onderzoekers. “Er is hier gigantisch veel geld mee gemoeid.”
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 14-09-2009
0
Een grootschalige aanval op internetgebruikers en websites is herleid naar een botnet van gehackte Linux-servers. Onderzoeker Denis Sinegubko onderzocht de IP-adressen waar de gehackte websites naar toe verwezen. In alle gevallen ging het om servers waar legitieme websites op draaiden. De websites draaiden op poort 80, terwijl de kwaadaardige content via poort 8080 werd aangeboden. “Het lijkt erop dat al die servers zijn gehackt en dat de beheerders niet door hebben dat hackers een webserver op poort 8080 hebben draaien”, aldus Sinegubko. Hij adviseert systeembeheerders om te controleren of er geen ongeautoriseerde webserver op de betreffende poort draait. De aanvallers hebben een voorkeur voor lichtgewicht webserver nginx, wat doet vermoeden dat ze shell toegang met root rechten hebben.
“Wat we hier hebben is het langverwachte zombiebotnet van webservers. Een groep van geïnfecteerde webservers met een gemeenschappelijk controle center betrokken bij het verspreiden van malware”, gaat de onderzoeker verder. Hij merkt op dat het botnet weer met een botnet van thuiscomputers verbonden is. Het webserver-botnet kan precies dezelfde dingen als een doorsnee botnet doen, alleen vanwege de internetverbinding veel effectiever. Het gebruik van een webserver heeft echter ook nadelen. Zodra het IP-adres van de server bekend is, zal die vroeger of later worden afgesloten.
Wachtwoord
Sinegubko stelt dat als de aanval langer effectief dan een week wil zijn, de aanvallers over duizenden al gehackte servers moeten beschikken. “Of ze beschikken over een te misbruiken Linux-lek.” Alle gehackte servers draaiden Linux. “Dit is geen proof-of-concept aanval die stopt met bestaan. Dit is een echt probleem dat systeembeheerders zo snel als mogelijk moeten aanpakken.”
Naast de mogelijkheid van een ongepatchte server, houdt de onderzoeker er ook rekening mee dat aanvallers over het root-wachtwoord beschikten. De aanval in kwestie steelt FTP-wachtwoorden om verborgen iframes aan legitieme websites toe te voegen. De kans is dus aanwezig dat gebruikers hetzelfde account voor FTP als root gebruikten of de informatie in het FTP-programma bewaarden. Wat in beide gevallen erg dom is, aldus Sinegubko.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 14-09-2009
0
De Conficker worm wist talloze computers en bedrijfsnetwerken via USB-sticks te infecteren, rede voor Microsoft om de AutoRun functionaliteit in Windows 7 aan te passen, maar die aanpassing maakt het nu ook voor oudere besturingssystemen beschikbaar. In Windows XP, Vista en Server 2003 zorgde AutoRun ervoor dat elk opslagmedium met een AutoRun.inf bestand automatisch werd gestart.
De update van Microsoft schakelt AutoRun nu voor externe harde schijven, USB-sticks, MP3-spelers en andere USB-media uit, wat betekent dat gebruikers installatieprogramma’s voortaan handmatig moeten starten. Alleen CD’s en DVD’s worden nog automatisch gestart. Voor zover bekend heeft dit alleen gevolgen voor de werking van de Wireless Connect Now functie in Windows, die nu ook handmatige actie vereist.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 14-09-2009
0
Drie Britse politici van verschillende politieke partijen, hebben de Minister van Binnenlandse Zaken Alan Johnson opgeroepen om NASA-hackers Gary McKinnon niet aan de Verenigde Staten uit te leveren. Johnson liet in eerste instantie weten dat hij juridisch gezien niets meer aan de uitlevering kon doen, maar dat is volgens het trio niet waar. Zij boden de minister een alternatief juridisch advies. “De Minister heeft niet alleen de macht, maar ook de plicht om bij een uitleveringszaak op te treden, zelfs na de rechtsprocedure als er een echt risico op schending van de mensenrechten is, mocht de uitlevering doorgaan”, aldus parlementslid Michael Meacher.
Volgens medische experts zou een eventuele uitlevering ernstige gevolgen voor de gezondheid van McKinnon kunnen hebben. “Er is geen reden waarom hij niet in Groot-Brittannië terecht kan staan voor een daad die in Groot-Brittannië plaatsvond,” gaat Meacher verder. In juli verloor McKinnon een rechtszaak die zijn advocaten hadden aangespannen. Er zou tijdens de procedure geen rekening zijn gehouden met het syndroom van Asperger waar de Britse hacker aan leidt. De rechter oordeelde dat zijn uitlevering rechtmatig is en in verhouding met zijn overtreding staat. Het juridische team wil nu tegen deze beslissing hoger beroep aantekenen. Daardoor is het zeer onwaarschijnlijk dat hij dit jaar nog wordt uitgeleverd, mocht hij deze zaak ook verliezen.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 14-09-2009
0
Toen Microsoft dinsdag een belangrijke update voor een TCP-lek in Windows uitbracht, liet het weten dat Windows XP Service Pack 2 en 3 niet kwetsbaar waren, die informatie blijkt niet te kloppen. De softwaregigant heeft het betreffende Security Bulletin MS09-048 herzien en meldt dat het besturingssysteem wel risico loopt, maar dat het geen patch uitbrengt. De reden hiervoor is dat Windows XP standaard geen listening service in de client firewall heeft ingesteld, en daardoor niet kwetsbaar is. Verder zou de kwetsbaarheid alleen maar voor een denial of service zorgen waar het systeem zelf van herstelt. Daarnaast beschikt XP over een firewall die de computer tegen inkomend verkeer beschermt. Eerder werd al bekend dat er ook geen update voor Windows 2000 verschijnt.
De uitleg van Microsoft is bij beveiligingsexpert Richard Bejtlich in het verkeerde keelgat geschoten. “Zoals je kunt zien blijft Microsoft achter de ‘firewall verdediging’ staan en zijn ze vergeten om de ‘niet kwetsbaar voor dit lek’ regel uit versie 1.0 van het bulletin te verwijderen. Dit is nog steeds niet acceptabel.” Wel maakte Microsoft duidelijk dat het TCP/IP Timestamps lek, waarmee een aanvaller het systeem kan overnemen, niet in Windows XP aanwezig is. “Dat is goed nieuws.”
Blauw scherm
Uit voorlopige tests blijkt dat via de eerder genoemde kwetsbaarheid het mogelijk is om een blauw scherm te veroorzaken. Volgens Bejtlich is dat een probleem, aangezien er genoeg bedrijfsomgevingen zijn waar wel een listener service draait, zoals SMB/CIFS. Microsoft liet hem weten dat het verhelpen van MS09-048 op Windows XP zeer lastig is, net als bij Windows 2000. “In andere woorden, het patchen van Windows XP is ook architecturaal onhaalbaar.”
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 14-09-2009
0
Cybercriminelen hebben een nieuwe manier ontdekt om hun botnets aan te sturen, namelijk de nieuwsgroepen van Google Groups. Door de Command & Controle opdrachten in legitieme communicatie te verstoppen, wordt het lastiger om dit soort botnets te vinden en te sluiten. Virusbestrijders van Symantec liepen tegen een Trojaans paard aan dat Google Groups gebruikt voor het verspreiden van opdrachten. “Het verspreiden van Trojaanse paarden via nieuwsgroepen is vrij gewoon, maar dit is de eerste keer dat een nieuwsgroep voor Command & Controle wordt gebruikt”, zegt Gavin O Gorman.
Het probleem ligt volgens de analist niet bij Google Groups. “De auteurs van deze dreiging hebben Google Groups simpelweg gekozen vanwege de functies en veelzijdigheid.” De Trojan zelf is vrij eenvoudig qua opzet. Het wordt verspreid als een DLL en maakt verbinding met een specifiek account. Vervolgens vraagt het een pagina van een private nieuwsgroep op. Deze pagina bevat de instructies die het Trojaanse paard moet uitvoeren. Zowel de nieuwsgroep posting als de inhoud zijn via RC4 versleuteld en met base64 geencodeerd.
Bedrijfsspionage
O Gorman merkt op dat het een effectieve techniek is om anoniem commando’s uit te laten voeren, maar dat het ook nadelen voor de virusschrijver heeft. Aangezien elk antwoord van de Trojan als bericht in de nieuwsgroep wordt opgeslagen, was het vrij eenvoudig om de activiteit van de malware te volgen. De Trojan verscheen voor het eerst in november 2008 en kende een piek in februari. Sindsdien is het aantal opdrachten en infecties teruggelopen, waarbij het totaal aantal berichten onder de 3000 zit.
Aan de hand van de code vermoedt de analist dat het mogelijk om een prototype implementatie gaat, om te bepalen of het gebruik van nieuwsgroepen als Command & Controle haalbaar is. “Daarnaast doet de DLL geen moeite om op de besmette computers te blijven, wat extra bewijs is dat de Trojan niet opgemerkt wil worden. Zo’n Trojan kan mogelijk voor bedrijfsspionage ontwikkeld zijn, waar anonimiteit en discretie belangrijk zijn.” Onlangs werd ook Twitter al gebruikt voor het aansturen van een botnet.
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 14-09-2009
0
De beveiligingsonderzoeker die het ernstige SMB2-lek in Vista en Windows Server 2008 ontdekte, beweert dat een Microsoft patch de oorzaak is, maar de softwaregigant ontkent dit. In 2007 patchte Microsoft de bestands- en printerdeling functionaliteit in Windows Vista om een “medium” ernstig lek te verhelpen. Daarbij introduceerde het een nog veel grotere kwetsbaarheid, zegt Laurent Gaffié. “Het enige dat ik weet van het patchproces, is dat toen ze deze code repareerde, ze een veel groter en erger beveiligingsprobleem openden.”
De patch zou een lek in SMBv2 signing hebben verholpen waardoor op afstand code was uit te voeren. Aangezien de functie standaard niet stond ingeschakeld, kreeg het een lagere rating van Microsoft. De patch zou het echter voor een aanvaller hebben mogelijk gemaakt om een systeem in de standaard configuratie aan te vallen.
Tweede Conficker
Microsoft ontkent de aantijgingen van Gaffié. “We hebben de beweringen van de onderzoeker onderzocht en bevestigd dat dit lek niet door MS07-063 geïntroduceerd is”, aldus security program manager Christopher Budd. De ernst van de kwetsbaarheid heeft er inmiddels voor gezorgd dat experts rekening met een “tweede Conficker” worm houden, hoewel er nog altijd geen exploitcode is verschenen die deze angst rechtvaardigt.
