Cybercrime

The New York Times, Twitter, Spotify, PayPal... Tientallen grote sites zijn het slachtoffer geworden van een gigantische cyberaanval. Een eerste aanval trof vanmiddag vooral gebruikers aan de Oostkust van de Verenigde Staten, daarna was er opnieuw een aanval waarbij verschillende sites ook in Europa minder goed of helemaal niet bereikbaar waren. De gevolgen waren ook tot bij ons te merken: zowel in Nederland als in België was de Buienradar-website onbereikbaar

Meer dan twee uur lang lag het internet vanmiddag grotendeels plat in de VS. Van Norfolk tot in New York en van Cleveland tot in Connecticut konden internetgebruikers niet tweeten, geen nieuws lezen en hun bankrekeningen niet checken. The New York Times, Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast, EA en Playstation network: allemaal lagen ze plat. 

Het ging om een zogenoemde DDoS-aanval (Distributed Denial of Service). De reden dat er ditmaal zo veel sites tegelijk in de problemen kwamen, is dat de aanvallers mikten op het zogenoemde domain name system (DNS). Dat is het technische systeem dat gebruikers doorverwijst van een webadres (zoals nytimes.com) naar de eigenlijke webservers van het bedrijf. Hun aanval was gericht op Dyn, een bedrijf dat DNS-servers beheert. 

Internetbedrijven stellen de jongste tijd een toename vast van DDoS-aanvallen, die bovendien aanzienlijk zwaarder zijn dan ze gewoon zijn. In september werd ook beveiligingsonderzoeker Brian Krebs het slachtoffer van een dergelijke aanval op zijn blog. Toen zijn blog weer online kwam, schreef hij de aanval toe aan "supermachtige mensen die in alle stilte uiterst krachtige cyberwapens hebben opgebouwd". Volgens Krebs worden voor de aanvallen botnets gebruikt die uit tienduizenden 'Internet of Things'-toestellen bestaan, zoals onbeveiligde routers, digitale videorecorders en geconnecteerde IP-camera's. De meeste van die toestellen zijn zeer kwetsbaar voor inbraken.

Alles bij de bron; HLN


Ongeziene cyberaanvallen hebben de afgelopen week meerdere websites platgelegd. Een van de slachtoffers is onderzoeksjournalist Brian Krebs; zijn website KrebsOnSecurity.com werd bestookt met liefst 600 tot 700 gigabits data per seconde. Maar Krebs is lang niet het enige doelwit. Volgens Forbes is hij een van vele slachtoffers van hetzelfde hackerscollectief dat de afgelopen week nog andere gigantische aanvallen heeft gelanceerd. Zo zegt het Franse hostingbedrijf OVH dat het getroffen is door een DDoS-aanval van meer dan 1.100 Gbps. En ook enkele game-ontwikkelaars, waaronder Blizzard, kregen te maken met 'omvangrijke' aanvallen.

Volgens Forbes zijn voor de aanvallen botnets gebruikt die uit tienduizenden 'Internet of Things'-toestellen bestaan, zoals onbeveiligde routers, digitale videorecorders en geconnecteerde IP-camera's. Dat maakt ze zeer geschikt om netwerken op te bouwen om buitengewone volumes internetverkeer los te laten op een gekozen doelwit.

Vooral camera's blijken aantrekkelijk voor hackers. Volgens Octave Klaba, oprichter van OVH, bestond een van de botnets die zijn bedrijf aanvielen uit 145.607 camera's en digitale videorecorders. En afgelopen zomer werd nog een botnet van 25.000 CCTV-camera's gebruikt om verspreid over de hele wereld aanzienlijke aanvallen te lanceren.

Intussen wordt druk gespeculeerd over de motieven van de daders. Een betrokkene zei aan Forbes dat de aanvallen gepleegd werden door een individu of een groep die "zijn capaciteit aan het testen is". Een eventuele impact baart zorgen. Beveiligingsexpert Bruce Schneier waarschuwde eerder deze maand dat overheden de stabiliteit van het net testen met DDoS'en. "Iemand is aan het uittesten hoe hij het internet kan platleggen", klinkt het. Hoewel ook dat niet helemaal nieuw is, is het onvermogen van providers om met dergelijk verkeer om te gaan verontrustend. Zelfs de vurigste DDoS-verdedigers vrezen de dag dat 1 Tbps-aanvallen de norm worden.

Alles bij de bron; deMorgen


Apple heeft in een nieuwe iOS-update meerdere beveiligingslekken opgelost die door spionnen werden gebruikt om telefoons in de gaten te houden. Dat meldt The New York Times

In iOS 9.3.5 dicht Apple drie beveiligingsgaten die werden gebruikt door spionagesoftware gemaakt door de NSO Group, genaamd Pegasus. De nieuwe iOS-update kan vanuit de instellingen van iPhones, iPads en de iPod touch worden geïnstalleerd.

Met Pegasus is het mogelijk om SMS-berichten en e-mails te lezen. Ook kunnen spionnen telefoongesprekken volgen, geluiden via de microfoon opnemen en wachtwoorden verzamelen. De malware is gemaakt om niet op te vallen, waardoor slachtoffers geen idee hadden dat ze waren geïnfecteerd. Hij kan met een enkele klik op een link op een toestel worden geïnstalleerd. De iOS-malware werd ontdekt door mensenrechtenactivist Ahmed Mansoor, die een verdacht SMS-bericht ontving op zijn iPhone. Hij liet het toestel onderzoeken door beveiligingsbedrijf Citizen Lab, dat ontdekte dat het toestel geïnfecteerd was.

Alles bij de bron; NU


Fraudebestrijder MaxMind levert de locatie van internetgebruikers aan de hand van geassocieerde GPS-coördinaten. Dat is al verre van waterdicht om een locatie aan een IP-adres te koppelen, maar het bedrijf maakte het nog erger door default-locaties toe te wijzen als een IP-adres niet kon worden vastgesteld.

Dat adres bevindt zich precies in het midden van de VS en daar staat een boerderij. Die werd daardoor aan de lopende band aangeduid als dé locatie van een IP-adres dat niet kon worden bepaald door de zoekdienst. Het gevolg was dat de bewoners sinds 2011 lastiggevallen zijn door onder meer politiediensten die dachten internetcriminelen op het spoor te zijn. Het stel is het nu zat en stapt naar de rechter.

Fusion beschreef in april al uitgebreid de ramp waar het stel zich in bevond en zij zijn niet de enige die zich in dit lastige parket bevindt: verschillende locatiediensten hanteren een beleid met default-locaties of verkeerd uitgepeilde coördinaten waardoor onschuldige bewoners in een "technologische nachtmerrie" terechtkomen.

Alles bij de bron; WebWereld


De nieuwe spionagegroep, Strider of ProjectSauron, die vandaag bekend is gemaakt blijkt ook offline computers te infecteren en heeft het vooral op de versleutelde communicatiesoftware van overheidsinstanties voorzien. Dat meldt het Russische anti-virusbedrijf Kaspersky Lab. Volgens Kaspersky Lab is de groep vergelijkbaar met de spionagegroepen die eerder voor de Equation-Regin- en Duqu-malware verantwoordelijk waren. De groep was vanaf juni 2011 tot mei 2016 actief en had het voorzien op overheden, wetenschappelijke onderzoekscentra, het leger, telecomaanbieders en financiële partijen van verschillende landen. Kaspersky Lab spreekt van meer dan 30 geïnfecteerde organisaties in Rusland, Iran, Rwanda en mogelijk ook Italiaans-sprekende landen.

De spionnen hadden vooral interesse in de versleutelde communicatiesoftware die de aangevallen overheidsinstanties gebruikten. Zo werden encryptiesleutels, configuratiebestanden en ip-adressen van de communicatieservers gestolen.

Bij een aantal van de aangevallen organisaties waren ook computers en netwerken geïnfecteerd die niet met internet zijn verbonden. Om deze "air-gapped" machines te infecteren gebruikte de malware een speciale module die op een speciale manier usb-sticks formatteert zodat de omvang van de partitie op de usb-stick wordt verkleind. Zodoende blijft een bepaalde hoeveelheid verborgen ruimte beschikbaar. Deze ruimte wordt vervolgens gebruikt om een nieuwe versleutelde partitie te maken die niet door besturingssystemen zoals Windows wordt herkend. Zodra de offline computer door deze gemanipuleerde usb-stick is besmet wordt op deze verborgen partitie de interessante data opgeslagen.

Als de usb-stick daarna weer op een computer met internetverbinding wordt aangesloten zal de malware de verzamelde gegevens in de verborgen partitie naar de aanvallers terugsturen. Door deze methode weten de aanvallers veel datalekpreventieproducten te omzeilen, aangezien vertrouwde en toegestane usb-sticks worden gemanipuleerd.

Hoe de malware zich weet te verspreiden is nog altijd onbekend. Zo is het onbekend of er zero day-lekken zijn gebruikt, maar de kans daarop is wel aanwezig. Het formatteren van de usb-sticks en daar een verborgen partitie op aanbrengen geeft de aanvallers nog geen controle over de offline computer. "Er moet een ander onderdeel zijn zoals een zero day-exploit die in de hoofdpartitie van de usb-schijf wordt geplaatst", zegt Kaspersky Lab. In de nu geanalyseerde malware zijn dergelijke zero day-exploits nog niet aangetroffen.

Alles bij de bron; Security


De gegevens van 112.000 Franse politieagenten zijn door een ontevreden werknemer van een verzekeringsmaatschappij op internet gezet. Het gaat om adresgegevens en telefoonnummers van zowel actieve agenten als die met pensioen zijn gegaan. Volgens de verzekeringsmaatschappij waren de bestanden met een wachtwoord beveiligd en is er geen aanleiding dat ze zijn gedownload. Het duurde echter drie weken voordat de omvang van het datalek bekend werd, aldus RTL. In afwachting van het onderzoek is Google Frankrijk gevraagd om de gegevens van het account te verwijderen, wat inmiddels zou zijn gedaan.

Alles bij de bron; Security


Aanvallers hebben de website Fur Affinity gehackt en zo 1,2 miljoen e-mailadressen in handen gekregen. Ook zouden versleutelde wachtwoorden zijn buitgemaakt. Daarop heeft de website besloten om van alle gebruikers het wachtwoord te resetten

Details over de hack ontbreken, maar de website heeft wel verschillende beveiligingsmaatregelen getroffen. Zo zal er binnenkort ssl worden uitgerold, is de ImageMagick-bibliotheek waar onlangs een groot beveiligingslek in werd aangetroffen verwijderd, is de wachtwoordlengte naar 72 karakters verlengd en wordt BCRYPT gebruikt als methode voor het hashen van wachtwoorden.

De Australische beveiligingsexpert Troy Hunt, tevens beheerder van de website HaveIBeenPwned, heeft de 1,2 miljoengestolen e-mailadressen aan zijn zoekmachine toegevoegd. Inmiddels bevat de website meer dan 510 miljoen gehackte accounts.

Alles bij de bron; Security


Op de website 'Have I Been Pwned?' kunt u achterhalen of uw wachtwoord en e-mailadres buitgemaakt is bij de enorme hack bij LinkedIn. 164 miljoen e-mailadressen en wachtwoorden zijn onlangs te koop aangeboden op internet door cybercriminelen. LinkedIn heeft inmiddels bevestigd dat de gegevens  van hen afkomstig zijn. Het beveiligingsbedrijf Kaspersky noemt de omvang van de hack 'zorgwekkend'.

Door uw e-mailadres of gebruikersnaam in te voeren op deze site ziet u in één oogopslag of uw wachtwoord is uitgelekt. Daarnaast controleert u hiermee ook gelijk of uw inloggegevens bij een andere grote hack wellicht zijn buitgemaakt.

Indien blijkt dat uw e-mailadres voorkomt in de database doet u er verstandig aan uw wachtwoord om snel mogelijk te wijzigen. Heeft u dit wachtwoord ook bij andere websites of online diensten gebruikt? Dan is het verstandig het wachtwoord ook hier te wijzigen. Cybercriminelen kunnen immers eenvoudig proberen met bijvoorbeeld uw inloggegevens voor LinkedIn in te loggen bij andere bekende online diensten.

Alles bij de bron; DutchIT


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha