Hackers genereerden zelf vervalst Google-certificaat

Het certificaat dat een Beverwijks bedrijf per abuis uitgaf en dat Iran hielp om internetters te bespioneren, blijkt het gevolg van een hack te zijn. Deze hack werd in juli al ontdekt, maar het certificaat werd onlangs pas ingetrokken.

Maandag en dinsdag kwam DigiNotar in het nieuws doordat een frauduleus certificaat dat door het Beverwijkse bedrijf werd uitgegeven, mogelijk door Iran is gebruikt om op Google-gebruikers te spioneren. Naar nu blijkt is dat het gevolg van een hack. In een verklaring schrijft Vasco Security, sinds januari eigenaar van DigiNotar, dat de hack al half juli heeft plaatsgevonden.

Daarbij is een aantal frauduleuze certificaten gegenereerd. Toen DigiNotar de hack ontdekte, op 19 juli, heeft het bedrijf de frauduleuze certificaten ingetrokken. Daarbij is er echter minimaal één over het hoofd gezien: het certificaat dat voor Google.com is gebruikt. Pas toen de Nederlandse overheidsorganisatie GovCert deze week ontdekte dat een frauduleus certificaat nog niet ingetrokken was, is deze alsnog ongeldig gemaakt. Het is onduidelijk of er nog valse ssl-certificaten van DigiNotar in omloop zijn.

Chief operating officer Jan Valcke van DigiNotar zegt dat de Nederlandse overheid destijds wel is ingelicht, maar dat het bedrijf het niet nodig vond om de hack publiek te maken. Volgens Valcke valt zijn bedrijf niets te verwijten: "De vereiste procedures zijn gevolgd", aldus Valcke.

DigiNotar is een bedrijf dat veel werk doet voor de overheid: onder meer het ssl-certificaat van DigiD is afkomstig van DigiNotar, evenals de ssl-certificaten die bedrijven en instellingen gebruiken om vertrouwelijk met overheidsdiensten te communiceren.

Als gevolg van de hack zegden makers van webbrowsers collectief hun vertrouwen in DigiNotar op. Het root-certificaat is uit alle grote webbrowsers verwijderd, en in ieder geval in Firefox heeft dat ertoe geleid dat gebruikers binnenkort een foutmelding krijgen als ze naar DigiD proberen te surfen.

Het ministerie van Veiligheid en Justitie maakt zich weinig zorgen. "De sleutels voor de certificaten van de overheid zijn in het bezit van de overheid zelf, het is een gescheiden proces", aldus woordvoerder Jean Fransman. "Het enige wat DigiNotar doet, is de certificaten leveren." Waarschijnlijk bedoelde Fransman hiermee dat DigiNotar enkel over de public key beschikte, maar dat de privésleutel opgeborgen bleef. Over de blokkade door Firefox zegt Fransman: "Dat is niet onze beslissing, wij zijn niet de eigenaar van Firefox."

GroenLinks en D66 hebben minder vertrouwen in DigiNotar. D66 wil een onderzoek naar de zaak, zegt woordvoerder Thierry van Es. Tweede Kamerlid Arjan El Fassed van GroenLinks heeft Kamervragen gesteld over de kwestie. "Dit moet met spoed worden opgepakt door het kabinet", aldus het Kamerlid. "DigiD-gebruikers weten nu niet of ze wel of niet toegang hebben en of die toegang wel veilig is."

Beveiligingsbedrijf F-Secure schreef eerder op dinsdag dat de website van DigiNotar jaren geleden al is gehackt, en dat tekstbestanden waarin van de hack melding werd gemaakt, pas dinsdag werden verwijderd. Het ging om iemand die claimt dat hij een Iraanse hacker was. Het is onduidelijk of dit iets met de ssl-certificaten te maken heeft.

Bron: Tweakers.net

Man sloopt virtuele servers van ex-werkgever

Een voormalige werknemer van een farmaceutisch bedrijf heeft de volledige it-infrastructuur van zijn ex-werkgever de vernieling in geholpen. De Amerikaan deed dat vanuit een McDonalds restaurant.

Jason Cornish, een 37-jarige it-er van het Amerikaanse onderdeel van het Japanse bedrijf Shionogi, heeft inmiddels schuld bekend. Op 3 februari dit jaar logde hij in op de systemen van het bedrijf vanaf een vestiging van McDonalds in Georgia. Hij wiste 15 VMware hostsystemen die de bedrijfs e-mail, verkoopapplicatie, financiële systemen en andere services ondersteunden.

Het bedrijf lag dagenlang plat. Producten konden niet worden uitgeleverd, betalingen bleven liggen en communicatie via e-mail was onmogelijk. Totale schade: 800.000 dollar.

Wachtwoorden bleven intact

De man had in juli vorig jaar ontslag genomen bij Shionogi na een meningsverschil met het management, maar bleef nog twee maanden voor het bedrijf werken als consultant. Na die twee maanden werd hij alsnog de deur gewezen, samen met een stel andere werknemers. Het bedrijf verzuimde de wachtwoorden op het netwerk adequaat te verwijderen.

Dat kwam vooral doordat een van de werknemers, een vriend van Cornish en tevens zijn voormalige chef, weigerde de wachtwoorden te overhandigen aan het management. Hij werd vanwege die weigering eveneens ontslagen. Cornish nam in februari wraak.

Via vSphere console

Hij logde in via het open toegankelijke wifi-netwerk van McDonalds en startte een vSphere VMware management console op die hij eerder in het geheim had geïnstalleerd op het bedrijfsnetwerk. Hij vernietigde een voor een in totaal 88 servers uit de 15 VMware hostsystemen.

Cornish is gepakt en kan een gevangenisstraf van maximaal 10 jaar krijgen. Hij is vorige maand aangeklaagd en hoort zijn straf op 10 november. Zowel hij als Shionogi is door IDG News Service gevraagd om commentaar, maar Cornish kon niet worden bereikt en het bedrijf reageert niet op verzoeken om commentaar.

Bron: WebWereld.nl

Trojaans paard besmet Android met hondsdolheid

Dierenactivisten hebben een Trojaans paard voor Android smartphones verspreid dat toestellen met 'hondsdolheid' infecteert. Het programma is een protest tegen de "Dog Wars" app, die gebruikers virtuele hondengevechten laat voeren. Begin dit jaar protesteerden dierengroepen tegen Dog Wars en werd er zelfs een speciale campagne gelanceerd die de makers vroeg om met het spel te stoppen.

Dierenbeul

Tegenstanders van Dog Wars hebben nu een oudere versie van het spel genomen en voorzien van kwaadaardige code. De aangepaste versie is op verschillende warez-sites aangetroffen en wordt niet op de officiële Android Marktplaats aangeboden. Eenmaal geïnstalleerd wordt er een service gestart die "rabiës" heet. Deze service verstuurt naar alle contacten in de adreslijst een sms-bericht met een tekst, waarin staat dat de eigenaar van de telefoon een dierenbeul is.

Als laatste wordt er nog een sms naar het nummer '73822' gestuurd, wat een sms-dienst van dierenorganisatie PETA blijkt te zijn. Ook het scherm van de getrojaniseerde Dog Wars versie is aangepast. In plaats van BETA staat er PETA vermeld. Toch heeft anti-virusbedrijf Symantec geen reden om te vermoeden dat de dierenorganisatie achter het Trojaanse paard zit.

Bron: Security.nl

"DigiD onveilig en achterhaald"

Het DigiD-systeem van de overheid is onveilig en achterhaald, zo laten beveiligingsexperts tegenover het AD weten. De afgelopen tijd zou er bij honderden Nederlanders voor miljoenen euro's met DigiD zijn gefraudeerd. Zo werden rekeningen voor kinderopvangtoeslag, huur- en zorgtoeslagen veranderd, iets wat via de DigiD-code te doen is. Het geld werd vervolgens naar een andere rekening overgemaakt. Hoe de wijzigingen konden plaatsvinden kon het AD niet zeggen.

Postbode
"Wijzigingen van de inloggegevens worden door de postbode bezorgd", zegt beveiligingsexpert Hans van der Looij tegenover de krant. "Op die manier hebben criminelen verschillende manieren om gevoelige informatie te onderscheppen. Handlangers bij postbedrijven kunnen worden ingeschakeld of brieven worden uit brievenbussen gestolen."

Beveiligers pleiten dan ook om de code voor het activeren van DigiD alleen per aangetekende post te versturen. Daarnaast zou de overheid een systeem moeten invoeren zoals banken voor internetbankieren gebruiken.

Bron: Security.nl

Honderdduizenden webshops gehackt

Gepubliceerd: Vrijdag 29 juli 2011
Auteur: Uhro van der Pluijm

Al zeker 100 duizend webshops die draaien op het open source framework osCommerce zijn gehackt. De aanval op de websites lijkt uit Oekraïne afkomstig.

Bij een grote aanval op webshops die op het open source framework osCommerce draaien zijn al ongeveer 100 duizend sites gehackt. Bezoekers van besmette sites worden blootgesteld aan malware door een door de aanvallers geïnjecteerd iframe. Dat meldt beveiligingsbedrijf Amorize.

Ouderwetse aanval

De nog steeds voortdurende injectie-aanval lijkt afkomstig vanuit Oekraïne. Omdat de aanvallen in serie gebeuren lijkt het alsof de hackers een kwetsbaarheid in het framework gebruiken. Wayne Huang, cto bij Armorize vertelt tegen Webwerelds zusterwebsiteNetwork World dat een aanval op websites niet ongewoon is maar dat deze specifieke aanval wel opvallend is.

De manier waarop de aanvallers de webshops met dit framework massaal met malware injecteren doet namelijk sterk denken aan een ouderwetse aanval. Drie jaar geleden kwam die aanval, met geautomatiseerde hacktools die via botnets werken, nog zeer vaak voor. Inmiddels is dat niet meer zo gewoon.

Moeilijk upgraden

Ook Huang geeft aan dat aanvallers waarschijnlijk een kwetsbaarheid in osCommerce benutten. Hij voegt aan die opmerking toe dat dit soort aanvallers vaak in de gaten houden wat er wordt gedeeld over nieuw gevonden kwetsbaarheden in software. Bovendien zou het soms moeilijk zijn om osCommerce te updaten.

Dat komt omdat in sommige zelfgemaakte lay-outs voor osCommerce bepaalde code hardcoded is opgenomen. Als die alleen correspondeert met oudere versies van de software kan een gebruiker pas upgraden als de code van het thema is aangepast.

Honderdduizenden websites

Volgens de website van osCommerce gebruiken bijna 250 duizend webshops het framework. Bijna de helft is dus al besmet door de aanvallers. In Nederland wordt de software vooral door kleinere webshops gebruikt. Sommige webhosters leveren een totaalpakket voor webshophouders gebaseerd op het framework.

Network World heeft contact opgenomen met de groep achter osCommerce. Zij waren echter niet direct beschikbaar voor een reactie.

Bron: Webwereld.nl