dinsdag 22 januari 2013

Geraffineerde worm besluipt Skype-gebruikers

Voor de tweede keer in korte tijd lopen Skype-gebruikers gevaar door een geavanceerde worm. Phorpiex sluit aan op een illuster rijtje malware voor de VoIP-dienst.
Beveiligingsbedrijf Trend Micro waarschuwt voor een nieuwe worm die zich verspreidt via Skype. De malware is aangetroffen onder de naam Phorphiex en kenmerkt zich door zichzelf te kopiëren op alle verwijderbare schijven. Net als de recent aangetroffen Shylock-malware worden gebruikers aangevallen via Skype-berichten waarin malicieuze links staan.

 

Ook via de mail

Klikken op die links, schijnbaar aangedragen door vertrouwde contactpersonen, levert meer problemen op. Phorphiex maakt namelijk verbinding met specifieke IRC(-chat)servers en het kanaal #go op het publieke IRC-netwerk (internet relay chat). De worm gaat vervolgens andere malware binnenhalen op het besmette systeem, waarna het zichzelf via een e-mail met bijlage doorstuurd. Die bijlage is een exacte kopie van Phorphiex zelf.
Het door Microsoft overgenomen Skype is geen vreemde voor worm-aanvallen. Webwereld maakte eind 2012 al melding van Dorkbot, een worm die zich via de populaire VoIP-dienst verspreidt. Maar er is meer. Uit onderzoek van Trend Micro blijkt dat de Phorphiex-worm ook een kwaadaardige plug-in (WORM_PESKT.A) downloadt, die de volgende soort Skype-berichten genereert:
Klik voor groot

 

Zakelijke klanten en MSN-gebruikers

Het beveiligingsbedrijf wijst erop dat deze geraffineerde worm ook gevaar brengt voor zakelijke gebruikers. Vorig jaar kondigde Microsoft de dienst Skype in the Workspace (SITW) aan, gericht op kleinzakelijke klanten. Volgens Trend Micro zijn er inmiddels 500 bedrijven aangesloten bij de bèta van SITW, een groep die nu risico loopt.
Ook wordt gevreesd voor nieuwe gebruikers die zullen overstappen van de aloude chatclient MSN Messenger (officieel Windows Live Messenger geheten). Microsoft trekt op 15 maart de stekker uit die chatsoftware en adviseert gebruikers over te stappen op Skype. Dat betekent volgens Trend Micro goed nieuws voor Dorkbot- en Shylock-varianten: meer slachtoffers.

Bron: Webwereld

woensdag 16 januari 2013

Nepsite Belastingdienst van internet gehaald

DEN HAAG - Het Nationale Cyber Security Centrum heeft een website van criminelen van internet gehaald die gebruikt werd om belastingplichtigen te verleiden gegevens als hun DigiD in te voeren. 

De site leek heel erg op die van de Belastingdienst.
De site is weggehaald op verzoek van de Belastingdienst, nadat dinsdag voor het eerst werd geklaagd over nep-mails die de ontvangers wezen op een vermeende belastingschuld van 1000 euro en opriepen om het bedrag zo snel mogelijk te betalen. De mails bevatten een link naar de nepsite.
De Belastingdienst vraagt nooit per e-mail of telefoon om persoonlijke gegevens. De dienst adviseert om DigiD en wachtwoord privé te houden.

Bron: Nu.nl

vrijdag 11 januari 2013

Zero-Day Java Exploit Debuts in Crimeware

The hackers who maintain Blackhole and Nuclear Pack – competing crimeware products that are made to be stitched into hacked sites and use browser flaws to foist malware — say they’ve added a brand new exploit that attacks a previously unknown and currently unpatched security hole in Java.

The curator of Blackhole, a miscreant who uses the nickname “Paunch,” announced yesterday on several Underweb forums that the Java zero-day was a “New Year’s Gift,” to customers who use his exploit kit. Paunch bragged that his was the first to include the powerful offensive weapon, but shortly afterwards the same announcement was made by the maker and seller of Nuclear Pack.

According to both crimeware authors, the vulnerability exists in all versions of Java 7, including the latest — Java 7 Update 10. This information could not be immediately verified, but if you have Java installed, it would be a very good idea to unplug Java from your browser, or uninstall this program entirely if you don’t need it. I will update this post as more information becomes available.

Update, 8:47 a.m. ET: Alienvault Labs say they have reproduced and verified the claims of a new Java zero-day that exploits a vulnerability (CVE-2013-0422) in fully-patched versions of Java 7.

Update, 11:46 a.m. ET: As several readers have noted, Java 7 Update 10 ships with a feature that makes it far simpler to unplug Java from the browser than in previous. Oracle’s instructions for using that feature are here, and the folks at DHS’s U.S.-CERT are now recommending this method as well.

Bron: Krebsonsecurity

donderdag 10 januari 2013

DigiD doet het weer

DEN HAAG - Burgers kunnen donderdagochtend weer hun DigiD gebruiken. De dienst was een dag buiten gebruik in verband met een veiligheidslek. 

 

Dat lek zat niet in DigiD zelf, maar in het softwareplatform waarop de dienst is gebouwd.
Het lek werd in de nacht van dinsdag op woensdag ontdekt, waarna DigiD direct werd platgelegd. Voor zover bekend is er geen misbruik van gemaakt.
DigiD is een afkorting van digitale identiteit. De overheid kan hiermee de identiteit van de burger controleren.
Met een gebruikersnaam en wachtwoord kunnen mensen terecht bij ruim 500 organisaties die overheidstaken uitvoeren, zoals de Belastingdienst, het Kadaster en Studielink, maar ook bij gemeenten, provincies en waterschappen.

Wachtwoorden

Tijdens de storing is een reclamebureau met bijna dezelfde naam, Digi-D, overspoeld met persoonlijke gegevens van mensen, meldt Webwereld.
Het bedrijf krijgt al jaren lang gebruikersgegevens binnen van mensen die het bedrijf verwarren met de overheidsdienst. In totaal zijn er al 13.000 privacygevoelige gegevens zoals burgerservicenummers en wachtwoorden binnengekomen bij Digi-D.
Vorig jaar startte het bedrijf een website om mensen hiervoor te waarschuwen.

Bron: Nu.nl

 

woensdag 9 januari 2013

DigiD offline na lek in platform

DEN HAAG - DigiD wordt uitgeschakeld nadat er een lek in de beveiliging van een platform is ontdekt.  

Het probleem speelt in de ontwikkelomgeving Ruby. "Er is een ernstig lek gevonden en dat willen we meteen dichten", bevestigt een zegsman van Logius, de verantwoordelijke overheidsdienst voor DigiD, tegenover NU.nl.
Omdat het lek zo ernstig is, kan niet worden uitgesloten dat er misbruik van DigiD wordt gemaakt. Daarom is besloten de dienst plat te leggen en noodmaatregelen te treffen.

Logius zegt hard te werken aan een oplossing en na het testen en installeren kunnen burgers zich weer bij de overheid aanmelden.

Bron: Nu.nl

Hackers lijven webservers in voor DDoS-botnet

Hackers breken in op webservers om deze in te zetten voor een DDoS-aanval, meldt een Amerikaans beveiligingsbedrijf. Via brakke sites wordt de server overgenomen om een vloedgolf requests te sturen.
In plaats van het rekruteren van vrijwilligers die sites DDoS'en of het inzetten van botnets om nietsvermoedende gebruikers te laten meewerken, stappen de cybervandalen over op het inlijven van webservers om het vuile werk op te knappen. Beveiligingsbedrijf Incapsula heeft de laatste maanden gezien hoe websites worden overgenomen om een DDoS-aanval uit te voeren.

Adminwachtwoord 'admin'

Een van de sites die meewerkte aan een DDoS-aanval op Amerikaanse banken was twijfelachtig beveiligd. Het administratiewachtwoord was simpelweg 'admin', waardoor ongenode gasten doodsimpel de site konden inzetten voor een aanval op websites. Het cybertuig eigende zich de website toe om http- en udp-pakketjes te versturen naar de sites van onder meer HSBC en PNC Financial Services.
De aanval kon worden tegengehouden voor die goed en wel begon, omdat het beveiligingsbedrijf de ingevoegde backdoor ontdekte. Ronen Atias van beveiligingsbedrijf Incapsula schrijft dat het inlijven van webservers als zombies in een DDoS'end netwerk een logische stap is.
"Hackers hebben liever webservers dan pc's", schrijft Atias. "Dit zijn meestal krachtigere machines met toegang tot een kwaliteitsnetwerk van de hoster en veel webservers kunnen worden gekaapt door een beveiligingslek in een van de sites."

'Geen boze hackers'

De groep die Amerikaanse banken probeert neer te halen zou dezelfde club zijn die nog altijd protesteert tegen de controversiële internetfilm 'Innocence of Muslims'. "Deze aanvallen zullen doorgaan totdat de nare film van internet wordt verwijderd", stelde de groep in september in een boodschap op Pastebin.
Maar volgens de New York Times gaat het hier niet om zomaar boze hackers, maar zit Iran achter het platleggen van Amerikaanse sites. Dat heeft een computerdeskundige en voormalig overheidsfunctionaris aan de krant bevestigd. "Er bestaat bij de overheid geen twijfel over dat Iran achter deze aanvallen zit", aldus de deskundige.
Het voornaamste bewijs voor deze bewering is dat de aanval veel geavanceerder is dan de DDoS-aanpak van het gemiddelde hackerscollectief. Daarnaast hebben de aanvallers geen winstoogmerkt, wat een kenmerk is van een cyberaanval van een overheid.

Cyberdieven liften mee

De cybervandalen toonden zich al eerder creatief door een opt-in botnet te gebruiken, waardoor botnetbeheerders zich bij de DDoS-actie konden voegen door hun zombies in te zetten voor de aanval. Met succes legden ze op deze manier Chase.com van de bank J.P. Chase Morgan plat.
Een bijkomend probleem van de DDoS-aanvallen is dat cybercriminelen kunnen meeliften met zo'n operatie. Als een IT-afdeling zich bezighoudt met het afslaan van de DDoS - vooral op slecht bezette tijdstippen als vrijdagmiddag - kunnen cybercriminelen hun slag slaan via een andere ingang. Beveiligingsdeskundigen waarschuwen daarom ict'ers om tijdens een DDoS-aanval op de hoede te zijn voor andere venijnige haakjes.

Bron: Webwereld

donderdag 3 januari 2013

Opnieuw certificatenverlener gehackt

AMSTERDAM - Een Turkse certificaatdienstverlener blijkt in december een tijd valse certificaten te hebben uitgegeven. Inmiddels hebben Google, Mozilla en Microsoft actie ondernomen. 

 

Google meldt op 24 december te hebben ontdekt dat valse certificaten van het internetbedrijf werden goedgekeurd door Turktrust. Hierdoor leek het voor gebruikers alsof er een vertrouwde verbinding was met Google, terwijl dat niet het geval was.
Het eerst certificaat dat Google ontdekte bleek al in augustus 2011 te zijn gemaakt. Het duurde echter tot december 2012 tot het voor het eerst richting computergebruikers werd misbruikt. De dag na de ontdekking heeft Google het certificaat voor de Chrome-browser geblokkeerd.

Op 26 december werd geconstateerd dat een tweede nepcertificaat in omloop was. Ook dit certificaat is geblokkeerd in de webbrowser. Later deze maand zal Google een update sturen om bepaalde certificaten van Turktrust niet meer te vertrouwen.

Update

Ook Microsoft heeft inmiddels de lijst met vertrouwde certificaten van een update voorzien.  Mozilla, de maker van de Firefox-webbrowser, heeft het vertrouwen in de twee valse certificaten eveneens opgezegd.
Gebruikers van Windows 8, Windows Phone 8 en Windows Server 2012 krijgen de updates automatisch, terwijl andere gebruikers de updates zullen moeten ophalen.

Turktrust

Het bedrijf Turktrust is een soort onderaannemer om vertrouwde certificaten uit te geven. Daardoor kunnen ze een website met een versleutelde verbinding als echt waarmerken.

Microsoft stelt dat het bedrijf zegt dat er abusievelijk twee autoriteiten zijn aangemaakt waar de nepcertificaten zijn verstrekt. Volgens Google is dit een zeer ernstig beveiligingsincident.

Diginotar

Het incident heeft gelijkenis met Diginotar, omdat het nepcertificaat dat in het oog sprong bij Diginotar *.google.com waarmerkt. Precies dat is ook het geval bij Turktrust. Dat Google het heeft ontdekt via browserverkeer betekent dat er kennelijk daadwerkelijk misbruik van het certificaat is gemaakt.
Als een gebruiker met een nepcertificaat naar een site gaat, is het mogelijk om internetcriminaliteit te plegen. In het geval van Diginotar ging het om de Iraanse overheid die in staat was het versleuteld verkeer naar Iran op te vangen.
Op de website van Turktrust is geen melding van het incident te vinden. Volgens Google zijn andere certificaten van Turktrust nog wel te vertrouwen.

Bron: Nu.nl