| Overzicht van de Belgian Security Bloggers
Network van 2 december tot en met 8 december door Belsec
Indien u niet weet waar uw veiligheidsboeken te kopen, kunnen we een selectie aanbieden van tientallen boeken en een zoekmachine op belsec. En u geeft ons een duwtje en geen mes in de rug. De belsec blog heeft ondertussen nu ook een RSS feed met keuzes van artikels uit honderden securityblogs. Deze werden samengebracht op een Google Reader. Momenteel zijn we nog bezig met de feeds aan het herorganiseren maar de bedoeling is dat in deze feed de artikels die meer zijn dan enkel virus- en securityalerts. Het bleek ons ook de snelste manier om de honderden postings per dag te kunnen verwerken en er toch enkele tientallen per dag te kunnen selecteren. Voorts is het nu mogelijk op de belsec blog om elke posting apart te selecteren en te saven in je favouriet systeem om interessante links bij te houden. Het was raar om in de controverse over de uitspraken van De Crem over het gevaar van bloggers (we zijn nu ook officieel een gevaarlijke blog, hihi) te lezen dat een redacteur die ons altijd de toegang tot zijn media heeft ontzegd omdat we niet onze volledige naam wilden publiceren waarschuwt dat bloggers hun job kunnen verliezen door te bloggen. Leuk om te horen van een gepriviligeerd beschermd journalist tegenover andere democratische vrijheid van opinie bloggers. http://belsec.skynetblogs.be/post/6497139/deckmyn-standaard-over-het-gevaar-van-bloggen Eerst was de satire op de terreurvideo nogal leuk. http://belsec.skynetblogs.be/post/6497187/belgische-bloggers-richten-boodschap-aan-de-c Maar na een tijdje was het leuke ervan af en hoopten we ergens dat de minister zijn bericht wat beter zou bijschaven en de essentiële rol van bloggers in het Belgische medialandschap zou gaan erkennen. http://belsec.skynetblogs.be/post/6499710/blogger-oproep-aan-de-crem Het belangrijkste Belgische nieuws van deze week is dan ook dat we druk hebben opgehouden op Skynet om op te treden tegen de onderdelen van haar netwerk die geïnfecteerd zijn of als scanning worden beschouwd door de securitysensoren van Arbor Networks. Arbor Networks zal ons tevens binnenkort een login verschaffen zodat we nog specifiekere informatie kunnen verschaffen. Zo wisten we dat op 2 december een hele serie aanvallen hadden plaatsgevonden tegen lekke Symantec software in België http://belsec.skynetblogs.be/post/6496464/attacks-against-symantec-antivirus-to-in-and- en dat er veel ICMP scanning was op dat moment http://belsec.skynetblogs.be/post/6496491/icmp-scanning-high-in-belgium- wat ons niet moest verbazen want er waren toen ook 2 nieuwe control and command servers ontdekt http://belsec.skynetblogs.be/post/6496504/colt-and-scarlet-have-both-a-botnet-command-c Het skynet network zelf kende ook een zekere graad van verscheiden aanvallen. http://belsec.skynetblogs.be/post/6496538/most-popular-attacks-on-skynet-networks- En als je denkt dat er ook maar iemand veel om geeft, zowel Scarlet als COLT hebben een week later nog altijd diezelfde controleserver op hun netwerk. Een woordje uitleg tussendoor. Als een computer momenteel wordt geïnfecteerd dan gebeurt dat meestal door een kleine file terwijl men online aan het surfen is of een bestandje opent. De computer wordt dan 'gezonden' naar een speciale webserver (al dan niet gehacked) waar hij een groter bestandje ontvangt dat de echte infectie van de computer is. Als dat bestandje (malware) goed en wel geïnstalleerd is, krijgt de computer de opdracht van dat bestandje om contact op te nemen met een command en controleserver waar alle computers die door dat bestandje werden geïnfecteerd geregistreerd worden. Deze command en controleserver (die soms wisselt) krijgt dan ook toegangsrechten tot de computer om vb nieuwe malware te installeren of de pc te gebruiken voor illegale transacties gaande van aanvallen tegen websites tot het hosten van kinderporno. Het is daarom belangrijk om deze command and controleservers uit te schakelen omdat het de zwakke schakel is in de ondergrondse economie. Het is een economie van geïnfecteerde computers (zombies) die van command and controleservers opdrachten en nieuwe malware krijgen en zo als een botnet gebruikt worden om illegale activiteiten uit te voeren. Gartner kwam trouwens met een verslag van een onderzoek dat ze hadden gedaan. Hierbij hadden ze computers geïnfecteert met trojans die er zombies van maakten die geconnecteerd werden met een botnet via een controleservers. Zo hebben ze ondertussen geleerd dat deze speciale trojans moeilijk worden gedetecteerd en dat ze uiteindelijk zelfs uiterst moeilijk kunnen worden verwijderd. Een herinstallatie drong zich in feite op. http://belsec.skynetblogs.be/post/6503310/what-gartner-learned-about-botnets-and-why-it De scanning activiteit op poort 445 op zoek naar infecteerbare computers was tevens zo hoog op het skynet netwerk dat we tot de wereldtop behoorden. http://belsec.skynetblogs.be/post/6496557/belgium-has-very-high-rate-of-tcp-scanning-on en http://belsec.skynetblogs.be/post/6496618/global-threat-status-of-belgian-internet- Dit gaf trouwens al aanleiding tot een zekere blacklisting. Het grote probleem met blacklisting is dat het zeer lang kan duren vooraleer elke administrator over de wereld zijn blacklisting van jouw netwerk of domainnaam heeft verwijderd. Dit betekent vb dat je met dat netwerk of die site geen mail meer kunt ontvangen en dat hun medewerkers niet meer op de sites op uw netwerk kunnen gaan. Het duurt weken soms maanden vooraleer een blacklisting ongedaan kan worden gemaakt. We dachten trouwens dat deze scanning te maken had met een nieuwe worm die gebruik maakte van een onlangs gepatched veiligheidslek bij windows. Dit zou verklaren waarom dat ook de interne DNS servers van Belgacom als gevaarlijk werden beschouwd. http://belsec.skynetblogs.be/post/6496564/dns-server-of-belgacom-used-in-attacks- Dit gaf trouwens misschien aan skynet zelfs de mogelijkheid om die pc's te ontdekken die geïnfecteerd waren. http://belsec.skynetblogs.be/post/6496923/update-the-skynet-dns-server-in-trouble. Want ondertussen was die worm wel bezig met een enorm botnet aan het bouwen. http://belsec.skynetblogs.be/post/6499500/its-official--new-worm-is-building-enormous-b Dit had trouwens effecten op de normale webdiensten die ze gebruikten om hun netwerk uit te bouwen. http://belsec.skynetblogs.be/post/6502851/the-effect-of-the-new-windows-worm-for-webser Ondertussen waren netwerkbeheerders overal hun netwerk aan het onderzoeken naar nog ongepatchde toestellen. http://feeds.feedburner.com/~r/Security4all/~3/474170451/scanning-your-network-for-missing-ms08.html Op 5 december zagen we trouwens dat wereldwijd de Korgo worm uit 2004 weer aan het opduiken was. http://belsec.skynetblogs.be/post/6502688/2004-korgo-worm-reappearing-again- Oudere virussen en wormen zijn nog altijd zeer actief op het internet, al was het maar omdat procentueel gezien slechts weinig computers effectief beschermd en volledig gepatched zijn. Een aangepaste versie van de DNS changing worm maakt ze veel gevaarlijker - zowel voor MAC als PC als routers als aan het netwerk verbonden apparaten. http://belsec.skynetblogs.be/post/6511760/dns-worm-can-infect-isps-with-dhcp-connection en hier bevinden de servers zich http://belsec.skynetblogs.be/post/6511678/virusredirecting-dns-pool-in-the-ukraine Het was trouwens een mooie gelegenheid om te herinneren aan een juridische verplichting die in de Nieuwe telecomwet staat en die door geen enkele ISP wordt nageleefd, namelijk een gratis securitypackage voor de gebruikers. http://belsec.skynetblogs.be/post/6496822/skynet-worm-infection--an-update- Op die manier zouden immers dergelijke infecties en scanning veel moeilijker en minder massaal zijn. Op 4 december zagen we vooral een toename
van de sql aanvallen en dat een inlogserver voor Lotus functies bij de
aanvalsposten stonden. http://belsec.skynetblogs.be/post/6499483/some-interesting-attacks-in-belgium-yesterday
Het bleek trouwens een inlogserver van een IT consultancy bedrijf dat hierdoor
een stuk van haar reputatie natuulijk in rook zag opgaan. http://belsec.skynetblogs.be/post/6499526/telematicsbe-also-the-lotus-server-yesterday-
Het viel ons trouwens dat de WhoIS informatie van sommige servers niet in orde was. Dit is belangrijk omdat deze informatie gebruikt wordt door securitymensen over de hele wereld om te proberen de technisch verantwoordelijken te contacteren om hen een probleem te melden. Indien de informatie niet correct is en/of men er niet in slaagt om ze effectief te contacteren en de aanvalstraffiek maar blijft aanhouden, dan zeggen die gewoon foert en blokkeren de boel. http://belsec.skynetblogs.be/post/6502644/is-your-whois-information-still-correct Wanneer heb jij je whois informatie al eens getest ? Moeten webhosters geen zekere certificatie krijgen ? Met andere woorden zouden ze niet moeten beantwoorden aan sommige veiligheidsvereisten zoals producten en andere bedrijven in de echte wereld ? Dan zouden we minder lijsten van gehackte sites zoals deze http://belsec.skynetblogs.be/post/6496692/shouldnt-webhosters-be-certified-for-security en deze http://belsec.skynetblogs.be/post/6500048/be-freshly-hacked-sites moeten publiceren. Het was tevens opvallend dat de NATO zelf bezig was met een dergelijk grote verscheidenheid aan websites aan het publiceren dat ze de veiligheidscontrole er over zou verliezen. http://belsec.skynetblogs.be/post/6500069/nato-website-against-terrorism-hacked-by-iran En dit geldt tevens voor Microsoft met haar lokale website in Marokko. Je vraagt je soms af waarom die dat niet goed gestandariseerd houden. En dan hebben ze nog geluk want de hackers van deze Nederlandse hoster hebben gewoonweg alles vernietigd wat ze van die 400 websites konden vinden (files, databases, logs en backup). http://belsec.skynetblogs.be/post/6510788/407-mainly-dutch-websites--hacked-and-all-bac Dit stelt trouwens het probleem van de authentificatie en de bescherming van de toegang door de backup. Een speciale vorm van hacking is het hacken van websites om er phishing te plaatsen. Dit wil zeggen nep pagina's voor het inloggen op paypal, sociale websites, banken en tientallen andere diensten. Het .be domain was volgens een jaarrapport dan ook populair geweest bij de rock gang die op kwetsbare sites heel veel dergelijke pagina's plaatste. Het resultaat was dan ook dat het .be domein een redelijk percentage phishing oplichtingssites had. http://belsec.skynetblogs.be/post/6496917/be-domain-used-by-rock-gang-to-place-phishing Het grootste probleem voor het .be domein is dat het 10 uren gemiddeld neemt om een dergelijke website van het net te halen terwijl deze hun geld verdienen tijdens de eerste 4 uren na de lancering. http://belsec.skynetblogs.be/post/6496954/phishing-sites-stay-up-10-hours-on-average-in Een andere manier waarop men de logingegevens kan onderscheppen van klanten van financiële diensten is door ze te infecteren met wat men silent banker malware is gaan noemen. Ze is zodanig onzichtbaar omdat ze zich enkel activeert wanneer de gebruiker van de PC naar een website van een bank gaat die in een lijst van de malware staan. Via een zoekmachine kan je kijken welke banken er allemaal bijstaan. Dit is ook het geval voor belgsiche instellingen; http://belsec.skynetblogs.be/post/6511649/belgian-banks-in-trojan-silent-bankers-softwa De aandacht op de dag van het bereikbare internet ging dan ook naar beloften die al in 2004 werden gedaan maar waar 4 jaar slechts heel weinig vooruitgang op is gemaakt. http://belsec.skynetblogs.be/post/6496792/belgian-minister-wants-more-attention-for-acc Veiligheid is een algemeen begrip en het kan ons weinig schelen of dit met betrekking tot linux, windows of apple is. Even leek het er verleden week op dat Apple eindelijk haar gebruikers zou vertellen dat securitysoftware een goede zaak is, maar die 'verouderde' pagina werd snel weer verwijderd. Apple is op zich veilig. Amen. http://belsec.skynetblogs.be/post/6497084/apple-stays-on-its-throne--the-same-security- Facebook kwam ook in het nieuws. Enerzijds
omdat ze door het gebruik van verschillende domainnamen voor het verwerken
van al haar functies door een veiligheidsfunctie als gevaarlijk werd beschouwd.
Dit werd natuurlijk rechtgetrokken, maar ondertussen was de helft van de
securityblogs erover bezig. In feite is het redelijk simpel. Hou je bij
je domein en verander niet. Zelfs belangrijke websites in België houden
zich hier niet aan. Nochtans leer je je gebruikers zo op een aantal eenvoudige
dingen te letten. http://belsec.skynetblogs.be/post/6497239/facebook-is-a-victim-of-cross-domain-defense
Op het vlak van de banken verscheen deze week een artikel over de complete ijzeren muur die tussen de westeuropese en oosteuropese banken is ontstaan door de financiële crisis en de mogelijke gevolgen hiervan. KBC zal hierin moeten opgevolgd worden. http://belsec.skynetblogs.be/post/6497339/kbc-and-eastern-europe-problems-in-sight-- En soms is het zelfs niet duidelijk of je al dan niet gewild betrokken bent bij een oplichtingszaak. http://belsec.skynetblogs.be/post/6511944/httpvzwbachelorbe-used-in-phishing-and-tarnis En technologie maakt het soms voor oplichters steeds gemakkelijker, zoals deze ontdekking over de gezichtsherkenning op bepaalde laptops. http://blog.rootshell.be/2008/12/08/laptop-face-recognition-vulnerability/. Trouwens ook op luchthavens moet je opletten met laptops, ze gaan immers zo snel zelfs uit de voeten. http://feeds.feedburner.com/~r/Security4all/~3/475108014/laptops-are-bermuda-triangle-for.html Alhoewel je ze een langere duur kunt geven met deze tip. http://feeds.feedburner.com/~r/Security4all/~3/474204959/safe-laptop-battery-time-using-noscript.html Het is tevens voor ons nog altijd niet
helemaal duidelijk of de medische informatie op de EID komt als de SIS
kaart verdwijnt binnen een paar jaar. http://belsec.skynetblogs.be/post/6503361/will-our-medical-info-be-transferred-to-the-e
Momenteel worden zo'n 300.000 SIS kaarten per jaar verloren.
Te doen
te lezen
Video
Updates
Block
Oplichting
|