woensdag 28 maart 2012

"10% thuiscomputers is onderdeel botnet"

Als het gaat om het aantal besmette computers op het internet lopen de cijfers behoorlijk uiteen, maar volgens één beveiligingsbedrijf is tenminste tien procent van alle machines onderdeel van een botnet. Beveiligingsbedrijf Damballa onderzoekt botnetbesmettingen bij zowel bedrijven als internetproviders. Bij controle van bedrijfsnetwerken blijkt dat tussen de 3% en 7% van de aanwezige machines onderdeel van een botnet is. Bij internetproviders ligt dit rond de 20%. Het gaat dan om unieke IP-adressen die actief naar bekende Command & Control-servers zoeken.

Verder blijkt dat 40% van de besmette machines tenminste twee of meer botnet infecties heeft. Het probleem is dat één IP-adres meerdere machines kan bevatten. Zeker binnen huishoudens, waar vaak laptops, desktops en tablets door elkaar heen worden gebruikt. Daarnaast zoekt niet alle malware actief naar C&C-servers.

Huishoudens
"Gegeven dat het gemiddelde aantal apparaten in een huishouden groter dan één is, laten we zeggen twee, denk ik dat het redelijk is om aan te nemen dat ongeveer tien procent van alle thuiscomputers geïnfecteerd is met botnet crimeware", aldus vice-president research Gunter Ollmann. Het gaat hier dan om botnet-infecties en niet malware in het algemeen.

"Misschien hebben desktop anti-virus statistieken gelijk dat 60% van de computers besmet is, maar ik betwijfel dat, aangezien desktop anti-virus producten alleen de malware rapporteren die ze kunnen vinden en stoppen, en niet de echt nare gevallen."

Bron: Security.nl

donderdag 22 maart 2012

Webcam-spyware begluurt Georgische burgers

Anti-virusbedrijf ESET heeft spyware ontdekt die gebruikt wordt om Georgische internetgebruikers te bespioneren en op een website van de Georgische overheid werd gehost. De "Georbot" werd begin dit jaar ontdekt en viel op omdat het zich specifiek op Georgische burgers richt. Uit analyse blijkt dat het om een informatie stelend Trojaans paard gaat dat instructies vanaf een Georgische overheidssite kreeg. De malware is ontwikkeld om certificaten, Word documenten en remote desktop configuratiebestanden te stelen. Daarnaast kan Georbot screenshots en via de microfoon en webcam audio- en video-opnamen maken.

Voor het vinden van interessante documenten, zocht de malware op verschillende sleutelwoorden, zoals: geheim, leger, VS, Rusland, majoor, kolonel, FBI, CIA, wapen, KGB, belangrijk, interesses, plan, FSB en generaal.

Tijdszone
Bij eerdere varianten die ESET ontdekte, controleerde de malware eerst de tijdszone voordat het zichzelf installeerde. De virusbestrijder wist toegang tot het beheerderspaneel van de malware te krijgen en ontdekte tweehonderd infecties. De meeste slachtoffers bevonden zich in Georgië. Daarnaast hadden de beheerders van het botnet de optie om interessante machines te selecteren. Toen ESET het beheerderspaneel bekeek, waren er zes machines als interessant bestempeld.

Hoe de malware zich verspreidde is nog onbekend, maar mogelijk gebeurde dit via de Georgische overheidssite waarmee de bots werden bestuurd. Zodra Georbot actief is, probeert het verbinding met een Command & Control-server te maken. Is die niet offline, dan maakt het verbinding met een Georgische overheidssite voor verdere instructies.

Overheid
Het is echter de vraag of de Georgische overheid achter de malware zit. "Het feit dat het een Georgische overheidssite gebruikt om de command & control informatie te updaten, en dat het waarschijnlijk dezelfde website gebruikte om zich te verspreiden, doet vermoeden dat burgers in Georgië het primaire doelwit zijn", aldus ESET in het onderzoeksrapport. Het anti-virusbedrijf stelt dat de complexiteit van de malware zeer laag is. "Als de operatie door een staat was gesponsord, zou de malware professioneler en onzichtbaarder opereren."

Volgens Pierre-Marc Bureau, hoofdonderzoeker bij ESET, zou de Georgische overheid de situatie sinds 2011 monitoren. "Ze waren zeer behulpzaam tijdens het onderzoek. We werken in dit onderzoek zelfs samen met ze", aldus Bureau tegenover Security.nl.

Motief
Het vermoeden bestaat dat een groep cybercriminelen de malware ontwikkelde om naar gevoelige informatie te zoeken en die aan andere organisaties te verkopen. "Mogelijk werken ze vanuit Georgië en hadden de 'mazzel' om controle over een overheidssite te krijgen en het als onderdeel van hun operatie te gebruiken", is in het rapport te lezen. De malware zou nog steeds van nieuwe versies worden voorzien, aangezien het meest recente exemplaar van 20 maart dateert.

Ook Bureau verbaast zich over de motieven van de aanvallers. "We proberen nog steeds de motieven van de malware-beheerder te ontrafelen. Hij of zij probeert duidelijk veel informatie over de slachtoffers te verzamelen. We weten niet wat hij of zij met de informatie na afloop van plan is." De onderzoeker wil liever niet speculeren over wie er achter de aanval kan zitten.

Webcam
Wat betreft het aantal slachtoffers van 200, stelt Bureau dat de malware zich waarschijnlijk op een specifieke groep slachtoffers richtte. Daarbij hebben de aanvallers ook de webcam en microfoon van slachtoffers ingeschakeld om hen zo te bespioneren. "We hebben gevallen gezien waarbij de malware-beheerder video- en audio-opnamen van het slachtoffer maakte."

Bron: Security.nl

dinsdag 20 maart 2012

Politie arresteert verdachte via Facebookprofiel

De New Yorkse politie heeft een verdachte van een schietpartij gearresteerd aan de hand van zijn Facebookprofiel en het gebruik van gezichtsherkenningssoftware. De verdachte zou in een kapsalon iemand in het achterhoofd hebben neergeschoten. Het ging om een schampschot, waardoor het slachtoffer die schietpartij overleefde. De broer van het slachtoffer kende de Facebook-naam van de verdachte en wist een online foto van hem te vinden.

Profiel
De politie gebruikte vervolgens gezichtsherkenningssoftware om de verdachte op de foto te achterhalen. Binnen een uur werd het Facebookprofiel gekoppeld aan een 37-jarige Amerikaan die twaalf keer eerder was gearresteerd.

De New Yorkse politie zou de gezichtsherkenningssoftware een aantal maanden in gebruik hebben. "Het is vooral bedoeld om onbekende verdachten proberen te identificeren", aldus politiesergeant Edwin Coello.

Bron: Security.nl

donderdag 15 maart 2012

NU.nl besmet bezoekers met malware


Aanvallers hebben een exploit op de populaire nieuwssite NU.nl verstopt en gebruikt om bezoekers met een gevaarlijk Trojaans paard te infecteren. De infectie was tegen gebruikers van verouderde software zoals Java, Flash Player en Adobe Reader gericht. De drive-by download zat waarschijnlijk verstopt in een advertentie, zegt Mark Loman van beveiligingsbedrijf SurfRight tegenover Security.nl. Loman ontdekte de exploit per toeval toen hij een demonstratie gaf. (In een update meldt SurfRight later dat de aanvaller het script op de webserver verstopt had en het niet om een kwaadaardige advertentie ging)

"Opeens werd er om Java gevraagd, maar ik heb helemaal geen Java geïnstalleerd." Vervolgens installeerde de onderzoeker Fiddler om het verkeer te analyseren. De exploit bleek vanaf een Indiase server te worden aangeboden, die vanwege alle drukte "werd gebombardeerd", merkt Loman op. Bij bedrijven zouden al tientalen infecties zijn waargenomen. SurfRight hoopt later met meer details over infecties bij consumenten te komen.

Java
De Java-exploit werd vervolgens gebruikt om een aangepaste versie van de Sinowal malware te installeren. Deze rootkit is ontwikkeld om bankrekeningen te legen en infecteert de Master Boot Record. Geen enkele van de 43 virusscanners op VirusTotal.com detecteerde de malware. Java is de afgelopen maanden massaal gebruikt om computers te infecteren.

Veel gebruikers vergeten de software, die vaak grote lekken bevat, te updaten, waardoor het bezoeken van een gehackte of kwaadaardige website volstaat. Om de aanvalscode toch op populaire websites te krijgen, gebruiken de aanvallers advertenties, ook wel malvertising genaamd. De malware zou inmiddels niet meer worden aangeboden.

Update 14:10
Zoals eerder vermeld zat de aanval niet in een advertentie verstopt maar had de aanvaller toegang tot de webserver. Daar plaatste hij een script dat de exploit van de Indiase server downloadde. De malware werd tussen 11:30 en 12:30 aangeboden. "Waarschijnlijk had lunchtijd er iets mee te maken", zegt Erik Loman tegen Security.nl.

Hij vermoedt dat het om een gerichte aanval gaat. In het uur werd de locatie van de server nog een keer aangepast, wat betekent dat de aanvaller nog toegang had. De reden hiervoor was dat de eerste server het verkeer niet aankon. De aangeboden exploits zijn onderdeel van het 'Nuclear Exploit Pack' die verschillende exploits gebruikt, waaronder Adobe Reader, Flash Player en Java.

Update 14:22
Een woordvoerster van Sanoma kon nog niet op de zaak reageren.

Update 16:10
NU.nl laat op de eigen website weten dat de inloggegevens van het Content Management Systeem (CMS) in verkeerde handen is geraakt. Toen de aanval bekend werd zou de nieuwssite alle accounts van beheerders en redactie hebben afgesloten en opnieuw uitgegeven. Tevens werden alle ‘logs’ veiliggesteld en worden die nu, net als alle content, op mogelijke kwaadaardige code onderzocht.

"De site wordt nu geheel opnieuw geïnstalleerd, wat naar verwachting rond 02.00 zal zijn afgerond. Zowel intern als extern worden extra veiligheidsscans uitgevoerd. We stellen bovendien een uitgebreid onderzoek in en daar waar mogelijk worden er verbeteringen aangebracht."

Bron: Security.nl

maandag 12 maart 2012

Privégegevens verloren smartphones massaal bekeken

De privégegevens op verloren smartphones worden massaal bekeken door de personen die de toestellen vinden. Beveiligingsbedrijf Symantec deed een proef waarbij het opzettelijk 50 smartphones in verschillende steden achterliet. Op de telefoons stonden "gesimuleerde" bedrijfs- en persoonsgegevens. Daarnaast was er spyware geïnstalleerd, zodat de beveiliger op afstand kon meekijken wat de vinders ermee deden.

25 van de 50 mensen die de verloren smartphones vonden, deden een poging om ze aan de eigenaar terug te geven. Zelfs in het geval van een eerlijke vinder bleek dat de gegevens op het toestel werden bekeken. In 48 van de 50 gevallen werd de smartphone door de vinder benaderd. Vooral een privéfoto app (72%) was erg populair. Tevens probeerde 43% een internetbankieren app te starten en werd door 57% een bestand genaamd "Saved Passwords" geopend.

Wachtwoord
Dertig van de vinders probeerden om sociale mediagegevens op te vragen en e-mails te lezen. Veertig probeerden documenten, waar duidelijk stond vermeld dat het om bedrijfsgegevens ging, zoals salarissen en HR-zaken, te openen. "We willen niet zeggen dat mensen slecht zijn. Mensen zijn van nature nieuwsgierig en als de verleiding te groot is, zullen ze zich laten gaan", stelt Kevin Haley.

Hij adviseert smartphone-gebruikers om in ieder geval een wachtwoord in te stellen, aangezien dat doorsnee dieven en vinders op afstand houdt. Daarnaast is het handig om software te installeren waarmee op afstand gegevens zijn te verwijderen en de locatie valt te bepalen. Haley stelt dat voorkomen beter dan genezen is, en geeft als laatste tip om de smartphone altijd op een veilige plek dicht bij zich te dragen.

Bron: Security.nl

woensdag 7 maart 2012

Site Consumentenbond lekt e-mailadressen abonnees

Door een koppeling van account aan een nummer in de URL, konden alle e-mailadressen van abonnees op de nieuwsbrief van de Consumentenbond eenvoudig worden geoogst. "Een stomme fout."

Kwaadwillenden konden alle e-mailadressen van abonnees op de nieuwsbrief van de Consumentenbond achterhalen. Wie zich namelijk wilde uitschrijven voor deze nieuwsbrief, kwam op een pagina terecht waar het e-mailadres als bevestiging wordt getoond.

Deze pagina had echter een uniek nummer in de URL. Wie handmatig of met een scriptje dit nummer wijzigde, kreeg de e-mailadressen van andere abonnees te zien, ontdekte Dennis Haverkamp, die Webwereld tipte.

Met een simpel scriptje was de hele database met e-mailadressen te oogsten. Ook kon de nieuwsbrief worden opgezegd voor alle abonnees in de database.

Bond lekt mailadressen

Afmeldpagina van onbekende abonnee Consumentenbond. Zie groter plaatje.

Stomme fout

De Consumentenbond, die vaak op de barricades staat voor privacy en security, reageert geschrokken. "Dit is natuurlijk absoluut niet de bedoeling en een hele stomme fout," aldus woordvoerster Barbara den Uijl.

De Bond heeft de gewraakte afmeldmethode meteen uitgezet en werkt aan een oplossing. Abonnees krijgen momenteel de volgende melding: "Vanwege een technisch probleem is het online afmelden nu tijdelijk niet mogelijk". Ze kunnen zich wel telefonisch afmelden. Den Uijl belooft dat alle leden en abonnees van de nieuwsbrief zullen worden geïnformeerd over het privacylek.

Update: De Consumentenbond geeft op zijn site nu ook tekst en uitleg over het lek.

Bron: Webwereld

donderdag 1 maart 2012

Schrikkeljaarbug vloert Microsoft-cloud Azure

Microsoft's clouddienst Windows Azure lag plat omdat het was gestruikeld over schrikkeldag, 29 februari. Deze schrikkeljaarbug plaagt computersystemen al tientallen jaren.

De grootschalige en wereldwijde storing van Microsoft gehoste OS-platform Windows Azure is waarschijnlijk veroorzaakt door de beruchte schrikkeljaarbug. Dat meldt Bill Laing, Corporate VP Server and Cloud van Microsoft.

Laing biedt zijn excuses aan voor de storing en schrijft: "De definitieve resultaten over de oorzaak komen nog, maar het ziet er naar uit dat de kwestie werd veroorzaakt door een tijdsberekening die incorrect was voor het schrikkeljaar."

Periodieke plaag

De problemen met Azure begonnen in de nacht van dinsdag op woensdag. Microsoft meldde op zijn servicepagina dat er problemen zijn met de dienstverlening waardoor klanten niet bij hun beheeromgevingen konden. De storing trof klanten wereldwijd.

De schrikkeljaarbug plaagt digitale systemen al sinds de komst van de computer en blijkt tot nog toe onuitroeibaar. Zo kon Excel twintig jaar niet omgaan met 29 februari, de schrikkeldag die eens in de vier jaar voorkomt om de kalender te synchroniseren met het astronomische jaar.

Windows Azure mag dan het grootste slachtoffer van schrikkeljaar 2012 zijn, het is niet het enige. Google's chatprogramma GTalk geeft opgeslagen chatgesprekken van gisteren, 29 februari, weer onder de gekste data, zoals 1/1/70 of andere, schijnbaar willekeurige data.

Bron: Webwereld