|
Overzicht Belgian
security bloggers network
tussen 9 december en 15 december opgesteld door Belsec We zullen dit artikel maar
beginnen met enkele nieuwsberichten die u toch maar doen herinneren dat computerveiligheid
niet statisch is en dat de onveiligheid zich steeds verder ontwikkeld op een
steeds vernuftiger manier. Momenteel werden twee nieuwe aanvalscodes ontdekt
tegen wordpad en tegen internet explorer waarvoor
nog geen patch werd ontwikkeld. Tevens is in België een nieuwe aanvalsmanier
succesvol gebleken om bankgegevens te ontfutselen. Dit en nog veel meer in
het weekoverzicht. Volgende week zitten volop in
kerstvoorbereiding enzo en volgt u best de blog met
heel wat kerstverrassingen en overzichtjes en zoal.....
U hebt daar verschillende RSS feeds voor of een updateservice per email. ------------------------------------------------------------------------------------------ Het internet wijzigt alles, ook
de wijze waarop gebeurtenissen over de hele wereld nu bijna live kunnen
worden meegemaakt. Met de opkomst van twitter chat,
youtube gsmfilmpjes en
foto's op fotosites kan je bijna live de gebeurtenissen in Griekenland meemaken. De analyse zelf moet
je wel in andere media zoeken, maar een toeschouwer kan je nu bijna altijd
zijn. Het wijzigt alles want wie had
gedacht dat we op iets meer dan een jaar 200.000 bezoekers zouden
hebben op een dergelijke specifieke blog met een dergelijke inhoud. Indien we
een klein oogje werpen op wie er komt, zijn we ook sterk onder de indruk van het soort bezoekers dat we mogen verwelkomen (al hopen we
dat ze meer zelf informatie toevoegen ergens in de toekomst). PHP bracht een update uit om enkele veiligheidsproblemen op te lossen
maar, moest die versie snel weer terugtrekken omdat ze een veiligheidsprobleem had. Maar het grootste probleem deed
zich echter voor met een interessante nieuwe
aanval op Internet Explorer die echter geen patch had. De Chinese
onderzoekers hadden de aanvalscode per ongeluk gepubliceerd en nadien werd ze
natuurlijk vermenigvuldigd over het net. Voor het moment wordt ze vooral
gebruikt in Azië om logins van online spelen te stelen.
Hiervan bestaat een blacklist Een
aantal andere websites werden tevens aangevallen door het toevoegen van links die de
bezoekers doorverwijsden naar dergelijke exploits. Er zijn niet zoveel manieren om je te
beveiligen en ze zijn vooral manueel uit te voeren. Zelfs
zogenaamde slechte-link beschermers zoals siteadvisor hadden
aanvalssites nog niet opgenomen. De exploit werd in
de dagen nadien zelfs sterk verbeterd. Ook
de blacklist werd
uitgebreid. Indien je xp
of hoger draait kan je best upgraden naar
IE 8 en DEP activeren. Het bleek trouwens niet het enige nog
niet beschermde aanvalspakket te zijn tegen Internet Explorer. Een andere
aanval tegen wordpad werd
ook ontdekt. En voor het geval u zich even afvraagt met hoeveel securityupdates een securityverantwoordelijke zich mee moet bezighouden op 1
week. De reeks veiligheidsopdates van
Microsoft, de grootste in 4 jaar, had dit echter nog niet voorzien. Men moet
deze wel installeren want het is duidelijk uit de analyse van de
veiligheidssituatie op het Belgische internet dat er een hoog niveau van
scanning is naar ongepatchte windows.
We blijven de
veiligheidssituatie op het Belgische internet volgen aan de hand van gegevens
van Arbor networks. Op 9
december zagen we dat de DNS servers van Belgacom
gevaarlijke trafiek zouden voortbrengen en dus hebben we dat gepubliceerd.
Enkele dagen later blijkt dat probleem min of meer onder controle en laten we
hopen dat dit zo blijft want er is niets zo belangrijk voor een
internetinfrastructuur als de DNS servers. De DNS servers zijn
verantwoordelijk voor het verbinden van het juiste
domeinnaam met de juiste server. Zonder DNS server moet je het IP adres in
cijfers van de website kennen. Het werd ook duidelijk deze week dat men zich
vooral moest concentreren op de grote scanners en aanvallers zodat
het algemene aanvalsniveau kon dalen. Het is ook duidelijk dat men als
belangrijk netwerk moet beschikken over een anti-DDOS
tool omdat er toch enkele grote DDOS aanvallen
plaatsvinden op het Belgische internet. Deze worden gecontroleerd door Control and command servers
waarvan we er momenteel zo'n 160 zouden hebben op
het Belgische internet. Je kan echter meestal op een
simpele manier de contacten tussen de geïnfecteerde computers op je netwerk
en deze servers blokkeren op de firewall. Tijdens het weekend zagen we
even dat de situatie was verbeterd, al vroegen we ons af wat Proximus deed
tussen de lijst van aanvallende./scannende netwerken ?
Was het mobiel internet onveilig ? We hebben ook een analyse
gepubliceerd van de aanvallen tegen SSH. Er
zijn verschillende manieren om je te beschermen tegen de opgang van aanvallen tegen
SSH, die gebruikt wordt om op een veilige manier een verbinding te leggen
tussen 2 servers of PC's. Een mogelijkheid voor linux is hostdeny De updates van Flash online
terwijl je naar een filmpje in de mail of op het internet wilt kijken zijn niet allemaal even betrouwbaar. Sommige zijn immers
eerder malware. Het verhaal over de Silent Banker Trojans die we verleden week publiceerden werd deze week
bewaarheid met als slachtoffer Dexia. De gebruikte techniek is
interessant omdat het gaat om een securityalert popup terwijl men inlogt op de bank. Natuurlijk werd de
situatie buiten alle proporties opgeblazen. Maar dit neemt niet weg dat het
onderzoek naar de efficiëntie van de Belgische onlinebankdiensten
zich enkel en alleen op snelheid en toegankelijkheid richtte en geen woord
zei over de veiligheidssituatie. Maar dergelijke nonstories zijn schering en inslag in de Belgische pers
omdat men gewoon persverklaringen overschrijft. DNS.Be schrijft dat ze nog nooit zoveel
domeinnamen had. En dit is zo, voor wat betreft betalende domeinnamen. De
gratis campagne die ons domein had opengegooid voor spammers en spyware had veel meer domeinnamen maar misschien wilt men
daar niet meer aan herinnerd worden. Het andere nonstory
van de week is de chip tegen gsm straling die na
een felle persoonlijke hyped up noncritical
campagne na een paar dagen kritiek door professoren weer uit de handel werd
genomen omdat de testen nu opeens niet voldoende meer bleken. Op het randje
werd misschien een nieuw Lernaut en Hauspie vermeden, maar de geloofwaardigheid van sommigen
heeft toch schade opgelopen. Dexia bleek ook enkele
problemen te hebben met een DNS server en met typosquatting. De spammers worden ook slimmer.
Het is vb geen goed idee meer om je eigen domeinnaam als
een uitzondering te beschouwen in je spamfilters.
Men heeft immers een manier gevonden om toch je domeinnaam te gebruiken vanop
andere servers (zeker als je met vb SPF geen unieke mailserver
verbindt aan je domeinnaam). Antispamservers zoals Barracuda moeten trouwens meer
rekening houden met backscatter door de wijze
waarop ze spam weigeren. Ook op het vlak van de eeuwige malware in zipfiles werd een nieuwe en meer efficiëntere methode
ontwikkeld. Hun spamsites of pagina's zelf hebben
ze trouwens nu ook op de nieuwe web2.0 webdiensten geplaatst zoals Youtube en forums en nog steeds in Instant Messenging. In Duitsland zijn er zo maar
eventjes 21 miljoen gegevens van bankrekeningen
gestolen. Een deel ervan werd door journalisten gekocht als bewijs en dan aan
het parket doorgegeven. Nochtans is het een illegale aktie van de
journalisten en had de arrestatie van de dieven erger kunnen voorkomen. Nu
heeft niemand een echt idee van welke gegevens er allemaal op die databanken
staan. Men denkt dat de databanken gestolen werden bij callcenters
die sindsdien zouden failliet zijn gegaan. De vraag wordt hiermee gesteld hoe
je data worden beveiligd als die gebruikt worden door externe callcenters. Onder welke privacy en veiligheidsnormen
vallen trouwens die callcenters ? Als je een rekening hebt bij een Duitse bank in
Duitsland moet je die onmiddellijk sluiten of gedurende enkele maanden toch
goed controleren (al kunnen de afhalingen zeer
klein zijn). Het is immers duidelijk dat gezien enkele specifieke Duitse methoden
eventuele kopers van deze data toch een aantal online dingen zouden
kunnen doen met de aangeboden data. Het verwondert ons wel dat noch de Belgische pers noch de Belgische overheid ook
maar enige actie ondernam om zich ervan te verzekeren dat er geen Belgische
rekeningen op die lijsten stonden en dat Belgische filialen van Duitse banken
betrokken waren. Het is ook niet duidelijk in hoeverre de eventuele
schadevergoedingen en fraude de cashpositie van sommige banken zou
kunnen aantasten gezien de enorme massa gegevens waarover we spreken. Het idee van de Belgische
minister Quickenborne om oude computers van de
overheden gratis weg te geven aan de armen lijkt op het eerste zicht
lovenswaardig, maar geeft tevens een aantal problemen op het vlak van de
gegevensbescherming. In feite is het beter dat u de harddisk van de
computer zelf bewaard. De Belgische overheid lanceerde
ondertussen zowel een campagne met een uniek nummer voor
het melden van het verlies van je identiteitspapieren als een nieuwe middleware voor
de electronische identiteitskaart. Het is echter
helemaal niet duidelijk hoe die middleware zal
worden verdeeld, terwijl de andere campagne ook in de pers wordt gevoerd.
Ergens begrijpen we het wel omdat ze in feite minder bescherming biedt dan de
vorige en over de vorige waren we al niet te spreken. Het is vb niet duidelijk hoe ze die éénmalige verwittiging als
een applicatie de data van je EID wilt lezen zal controleren. Ze is tevens
gemaakt voor het Apple systeem maar heeft een probleem met het tokensysteem van
Apple. Je kan de technische informatie in het
Engels hier lezen. Je leert ook uit de praktijk
dat je nooit maar 1 dienst moet gebruiken om iets te controleren, zoals de
versie van de webserver. Het blijkt immers dat Netcraft – een autoriteit normaal gezien – er soms toch
erg naast zit. Te lezen * Google Browser security
handbook Te doen * Data
Leakage protection the cheap way * Action group for
European Internet rights Hacked ·
NASA ·
hoster-belgonet-used-for-phishing ·
site-belgian-degree-in-security-studies ·
professioneelonline.be-hacked ·
msn-server-in-hong-kong-hacked ·
the-strange-question-about-gfx2hotmailcom Strip Phishing Santa Claus |