Hoofdcategorieën

[RSS] Index » Nieuws » Pro » Internet » DNS-vervuiling 'pharming' nieuwe trend onder oplichters

DNS-vervuiling 'pharming' nieuwe trend onder oplichters

Door Matthijs Abma, zondag 3 april 2005 15:05
Bron: InfoWorld, views: 30.803

Op InfoWorld wordt melding gemaakt van een nieuwe zogenaamde 'pharming'-aanval op het .com-internetdomein. Bij pharming vervuilt een aangepaste DNS-server de DNS caches van andere DNS-servers met verkeerde informatie. De corrupte server identificeert zich als een officiële .com-server en zorgt ervoor dat alle aanvragen voor .com-domeinnamen naar hem gestuurd worden. Vervolgens geeft de pharmingserver een van te voren opgegeven IP-adres terug, waar dan vaak een systeem met allerhande malware achter schuil gaat. Het is nog onbekend hoe de aangepaste DNS-server ervoor zorgt dat andere DNS-servers hun informatie daar ineens op gaan halen. Op dit moment is de beste verdediging tegen deze aanvallen het blokkeren van al het verkeer naar zowel de corrupte DNS-servers als de systemen waar deze naar linken.

Volgende 21:20
Vorige 13:50

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 63 reacties zichtbaar630 Neutraal: 63 reacties zichtbaar63+1 Meerwaarde: 42 reacties zichtbaar42+2 Verplicht leesvoer: 11 reacties zichtbaar11
«  1  2  »

Door IJnte, zondag 3 april 2005 15:11

Score: 0
Kan het kloppen dat wanadoo er nu ook last van heeft bij zijn DNS :? Ik krijg als ik via de DNS van wanadoo surf altijd een vage site als ik naar een site ga die niet bestaat.. b.v. www.sdfsfsaf.nl Normaal krijg je dan MSN search oid maar nu iets met Network :?
Vaag

Door markvt, zondag 3 april 2005 15:17

Score: 1
Kan ook spyware op jouw pc zijn die hiervoor zorgt.

Door kalizec, zondag 3 april 2005 15:17

Score: 1
Nope, dat ligt gewoon aan de instellingen van je systeem. Dwz met een paar registry-aanpassingen kan ik dat ook voor elkaar krijgen. Het zal dus wel adware/spyware zijn.

Door IJnte, zondag 3 april 2005 16:01

Score: 2
Euh denk et niet ;) Want als ik een DNS instel die anders is.. dan heb ik et niet iig ! Ik heb een server draaien met DNS en die verwijst naar een aantal "standaard" Dns servers op de wereld.. daarbij heb ik et dus niet!

Door Roel, zondag 3 april 2005 16:49

Score: 0
AFAIK klopt dat, wanadoo heeft een overeenkomst met msn search, en dat is geloof ik al een hele tijd zo.

Edit:
zie hier

Door MaZo, zondag 3 april 2005 19:43

Score: 1
Dit is toch iets anders dan IJnte zijn screenshot, vindt je niet? :z

Door Aetje, zondag 3 april 2005 16:48

Score: 1
Heel eenvoudig na te gaan. Als je met ping www.sdfsfsaf.nl een IP adres aan het pingen gaat is het een vuile DNS. Krijg je een cannot resolve adress dan is het malware/spyware.

Door IJnte, zondag 3 april 2005 17:40

Score: 1
Jah ik krijg een IP adres retour.. :
C:\Documents and Settings\IJnte de Jong>ping www.sfsdfsdf.ml
Pingen naar network.net [64.91.249.96] met 32 byte gegevens:
Antwoord van 64.91.249.96: bytes=32 tijd=126 ms TTL=43
Dit is dus als ik de DNS van wandoo instel (194.134.5.55). Lijkt me dan toch niet ok ??
Als ik een andere DNS instel dan heb ik dat niet..

Door IJnte, zondag 3 april 2005 18:29

Score: 0
en dan :? et lijkt me iig niet goed als dat van wanadoo vandaan komt..

Door JamesWest, maandag 4 april 2005 15:02

Score: 0
Gezien de posts hierzo heb je waarschijnlijk een pharm...

Door mxcreep, zondag 3 april 2005 20:41

Score: 0
Is niet perse zo te controleren, veel routers en firewalls droppen icmp requests...dan krijg je dus geen reactie terug op je ping...

Door Killah_Priest, maandag 4 april 2005 11:19

Score: 0
Maar het gaat ook niet zozeer om een reply te krijgen op je ping, het heeft hier te maken met DNS resolven.

Door morpheus_at_work749, zondag 3 april 2005 18:51

Score: 0
nee dit heeft wanadoo express gedaan , een redirect naar eigen pagina bij dns error

Door IJnte, zondag 3 april 2005 19:03

Score: 0
Lijkt me dan een wel hele vreemde pagina heel eerlijk gezegd. Ik zou dan verwachten dat je iets van een wanadoo logo oid ziet maar zo'n duistere site is toch wel vreemd vindt ik hoor |:(

Door DarkY, maandag 4 april 2005 13:26

Score: 0
msn search gedoe kan je toch uitzetten;

extra-internet opties- laatste tabblad onderaan, niet zoeken vanaf adresbalk

Door kalizec, zondag 3 april 2005 15:12

Score: 1
The latest attack use a strategy called DNS cache poisoning, in which malicious hackers use a DNS server they control to feed erroneous information to other DNS servers. The attacks take advantage of a vulnerable feature of DNS that allows any DNS server that receives a request about the IP address of a Web domain to return information about the address of other Web domains.

Internet users who rely on a poisoned DNS server to manage their Web surfing requests might find that entering the URL (uniform resource locator) of a well-known Web site directs them to an unexpected or malicious Web page.
En
Het is nog onbekend hoe de aangepaste DNS-server ervoor zorgt dat andere DNS-servers hun informatie daar ineens op gaan halen.
Het is dus wel al bekend

Door stunn0r, zondag 3 april 2005 15:16

Score: 0
ik begrijp niet echt wat je probeert te zeggen.
het zou wel al bekend zijn hoe deze corrupte dns servers dit doen?

als dat zo is zou je dan een link willen posten naar de bron waar je dat uit haalt?

Door kalizec, zondag 3 april 2005 15:19

Score: 1
De bron is dezelfde bron als dit nieuwsbericht naar linked.

Het betreft een 'feature' in DNS-servers die hier kwetsbaar voor is. Kennelijk is het bij (sommige) DNS-servers toegestaan contact op te nemen over een domein en vervolgens over een ander domein te gaan praten.

Door Michali, zondag 3 april 2005 15:20

Score: 1
Er is een verschil tussen begrijpen wat er gebeurt en begrijpen hoe het gebeurt ;)

Door bahzie, zondag 3 april 2005 15:16

Score: 1
Kan het niet zijn dat het een 1 april grap is?

Door kalizec, zondag 3 april 2005 15:21

Score: 0
Dat zou kunnen, maar de waarschuwing van het ISC kwam donderdag, niet vrijdag.

Door bahzie, zondag 3 april 2005 15:39

Score: 1
Heb je een bron, want van het ISC is naar mijn weten geen persbericht uitgegaan en het hier gebruikte bronartikel haalt ook geen artikel van het ISC aan.

Buitendat vind ik het opmerkelijk dat het probleem .com specifiek is, aangezien andere TLD's zich naar mijn weten conformeren aan dezelfde RFC's.

Door Michali, zondag 3 april 2005 15:29

Score: 2
Dit klinkt erg slecht. Het heeft potentieel veel meer gevaar dan phishing. In dit geval zou iemand die bijvoorbeeld naar www.paypal.com surft dan toch naar een andere site omgeleid kunnen worden. Eventueel dus een site die 100% is gekopieerd en netjes de gegevens doorspeeld naar een persoon die er foute dingen mee wil doen. Zelfs wij tweakers als computer en internet deskundigen zouden hier in trappen. Hopelijk hebben ze dit snel opgelost, anders is straks niets meer te vertrouwen.

Door Movemoor, zondag 3 april 2005 16:12

Score: 0
Dan is het nog steeds phishing , alleen met andere middelen

Door Zigi_Samblak, zondag 3 april 2005 17:27

Score: 1
Het is sowieso geen "phishing" maar "pharming" zoals in de titel en het bericht, alhoewel een van de mogelijke doelen hiervan wel phishing is (het verkrijgen van persoonlijke info onder valse voorwendselen).

Wat ze hier aan het "pharmen" zijn is een netwerk van rotte DNS servers die mensen doorsturen naar foute websites.

Door MrJayMan, zondag 3 april 2005 18:43

Score: 0
Ik weiger te geloven dat een tweaker in een gephisede site trapt ook klopt de domeinnaam. :7

Door Zamman, zondag 3 april 2005 20:35

Score: 1
Zelfs de meest ervaren tweaker kan in zoiets trappen, als jij dagelijks 5 keer naar je bank gaat, zal je niet zo snel alles controleren. Veiligheids certificaten zeggen mij niet zoveel, voor de keren dat ik gebruik maak van mijn cc gegevens, doe ik eerst een traceroute naar de betreffende server. Aan de hand van die feedback kunnen wij tweakers wel zien of alles in de haak is. Zie je ineens dat je via Brazillie of Rusland gaat, dan zouden er toch wat alarmbellen moeten gaan rinkelen.

Maar ik weet wel zeker dat ik het slachtoffer zou kunnen worden bij mijn bank, die gegevens controleer ik echt niet elke keer.

Door raptorix, zondag 3 april 2005 20:05

Score: 0
Vandaar dat het belangrijk is dat je een security certificaat checkt, zeker als het om geld of privacy gevoelige informatie gaat.

Door Pietje Puk, maandag 4 april 2005 02:18

Score: 1
En hoeveel mensen controleren elke keer als ze naar de site van de bank gaan het certificaat? Ik denk erg weinig.

Door frickY, maandag 4 april 2005 08:49

Score: 1
Je krijgt automatisch een melding als het domein niet overeenkomt met de domeinnaam waarop het certificaat is geregistreerd.
Voordat een certificaat wordt uitgegeven wordt eerst de aanvrager geverifiëerd. Zo zou jij of ik nooit en te nimmer een certificaat op domein paypal.com kunnen aanvragen.
Dan rest de mogelijkheid om zelf een cettificaat op naam van paypal te genereren vanuit je eigen root-certificate. Alleen staat jouw root certificaat niet als trusted in mijn browser, en krijg ik dus de melding dat het certificaat van een niet-vertrouwde uitgever is.

Door serkoon, zondag 3 april 2005 15:32

Score: 2
Wat er dus gebeurt is dat een spammer een DNS-query doet bij een willekeurige Microsoft nameserver (je weet wel, zo'n nameserver onder Windows) voor een domain waar hij/zij zelf de baas van is. Bijv. www.spammer.com. De MS nameserver zal dan naar de nameserver van spammer.com gaan om te vragen wat 'www' dan wel is. Die spammer.com nameserver geeft netjes antwoord, maar zegt er ook meteen even bij dat 'www.tweakers.net' een IP-adres heeft: 127.0.0.1. En naief als de MS nameserver is, gelooftie dat en slaatie het op in de cache.

Deze manier van DNS spoofing is al jaren en jaren oud en al lang gefixt in de populaire nameservers als ISC named, maar onder Windows moet je dus nog een registry setting aanpassen om de nameserver wat minder naief te maken..

Door the_stickie, zondag 3 april 2005 15:49

Score: 1
als het idd enkel een registry-setting is, is het voor MS wel een heel makkelijke "patch" :)
Misschien weet je dan ook welke key welke waarde moet hebben?

Door serkoon, zondag 3 april 2005 16:11

Score: 2
http://support.microsoft.com/default.aspx?scid=kb;en-us;241352

Door SWINX, zondag 3 april 2005 17:07

Score: 0
De door u opgegeven pagina is niet beschikbaar
De pagina waarnaar u op zoek bent is momenteel niet beschikbaar. Het adres is mogelijk incorrect of er kan een tijdelijk probleem zijn met de site.

Door Keypunchie, zondag 3 april 2005 17:17

Score: 2
Gewoon ff knippen en plakken in de adres-balk, SWINX...vanwege de punt-komma wordt hij niet goed geparsed.

Door WimB, maandag 4 april 2005 15:49

Score: 1
Volgende link kan je wel aanklikken: http://support.microsoft.com/kb/241352

Door Movemoor, zondag 3 april 2005 16:16

Score: 1
De naieve Windows 2003 DNS heeft dit overigens standaard aan.

Door spone, zondag 3 april 2005 17:57

Score: 1
naief of native?

Door whizzy81, maandag 4 april 2005 15:27

Score: 0
de naive native

Door Devster, maandag 4 april 2005 09:34

Score: 2
Vanaf Windows 2000 is hoeft dit niet meer persé via een registry setting hoor. In Properties -> Advanced van de desbetreffende nameserver kun je "Secure cache against pollution" aanzetten.

Volgens mij staat deze optie in Windows Server 2003 zelfs aan bij default. (Zoals movemoor al zei) ;)

Door Atlantis-95, zondag 3 april 2005 16:09

Score: 1
Werd hier niet laatst ook al melding van gemaakt. Betrof iemand die een aanbod kreeg van een dergelijke aktie die hier beschreven stond. Dus... dat hij een website in gaf die vervolgens ergens volledig anders uit kwam....

Door Bootstrap, zondag 3 april 2005 16:24

Score: 2
Bij sites waar je je moet aanmelden, zoals online banking etc, kun je natuurlijk even de echtheid checken door bij inloggen eerst een fout wachtwoord in te voeren. De nepsite zal dit accepteren als valide, en de echte site geeft foutmelding terug. Zelfde met tan- of pincode, alleen de echte site kan je wachtwoord controleren.

Door bahzie, zondag 3 april 2005 16:38

Score: 2
Persoonlijk prefereer ik het controleren van de SSL certificaten en het handmatig bijhouden van een hosts file voor known ip's/hostnames.

De wat beter doordachte fake sites zullen namelijk altijd een error terugsturen om geen argwaan te wekken. ;)

Door aTmosh, zondag 3 april 2005 22:11

Score: 1
Persoonlijk prefereer ik het controleren van de SSL certificaten en het handmatig bijhouden van een hosts file voor known ip's/hostnames.
En wat doe je als een site regelmatig (legitiem) van IP verandert of gebruik maakt van een mirror netwerk met vele (telkens nieuwe) IP's? Elke keer nagaan of het echt die site is? Dat is op zijn minst bewerkelijk en in sommige gevallen niet te doen. Een doorsnee gebruiker zal dit sowieso niet gaan doen.

Door VNA9216, zondag 3 april 2005 16:40

Score: 1
hoeft ook nie.. ik denk dat als iemand het echt vervalsen wil.. dat het ook wel mogelijk is om dan jouw "foute site" de gegevens door te sturen naar de echte site zodat het alnog gecontroleert word.. zo kan de foute site zich dus net gedragen als de echte.. de gebruiker gaat leuk zitten doen wat hij wil doen en de hacker kan later ook nog eens kijken wat iemand allemaal gedaan heeft...

t is misschien een beetje wazig en ver gezocht... maar ik denk niet dat het onmogelijk is...

Door kalizec, zondag 3 april 2005 20:58

Score: 1
Als een foute site dat doet dan gaan er als het goed is meteen alarmbellen rinkelen bij de betreffende goede site (in geval van bijvoorbeeld een bank).

Immers daar komen dan binnen no time tientallen foutieve logins van 1 ip af.

Door aTmosh, zondag 3 april 2005 22:30

Score: 2
Immers daar komen dan binnen no time tientallen foutieve logins van 1 ip af.
Ten eerste betwijfel ik of alle sites überhaupt regelmatig naar hun logs kijken, laat staan ze analyseren. En dan nog, hoe onderscheid je een legitieme gebruiker die gewoon zijn password niet in kan typen, of wel en gewoon graag vaak kijkt.

Ten tweede is dit heel simpel om te zeilen door een botnet, de pharming site doet daarbij niet zelf requests maar sluist ze door naar telkens een nieuwe IP in zijn arsenaal, zodoende valt het bij de ontvangende site niet op, tenzij die gebruikers ook op IP registreert (en daarbij de dienstverlening zwaar beperkt, zal dus niet gauw gebeuren). Een botnet met een paar duizend machines is tegenwoordig al een kleintje, maar ruim genoeg om grootschalig fraude mee te plegen voordat het wordt ontdekt.

De enige manier om man in the middle attacks voor te komen is end to end encryptie waarvan IP verificatie integraal onderdeel is (en niet afhangt van de foute DNS servers) en die in eerste instantie betrouwbaar was zodat bij verandering van de sleutels (of doorgesluisde sleutels die niet meer op IP kloppen) er alarmbellen gaan rinkelen.

Dat is niet gegarandeerd als je de site voor het eerst bezoekt wanneer de DNS al gecompromitteerd is. De meeste gebruikers zullen ook zonder meer op OK klikken bij een veranderd certificaat, bij een nieuwe hebben ze helemaal geen manier om te weten of het wel een 'goeie' is. De pharming site kan bijvoorbeeld ook een aanval samen laten vallen met een op de originele site aangekondigde verandering of verhuizing.

Kortom, een onbetrouwbare DNS betekent een groot probleem. Ping/traceroute e.d. zullen daarbij in de meeste gevallen echt niet tegen helpen, ook rootservers gebruiken niet als het probleem grootschalig wordt.

Door wallyberk, maandag 4 april 2005 09:24

Score: 1
De enige manier om man in the middle attacks voor te komen is end to end encryptie waarvan IP verificatie integraal onderdeel is (en niet afhangt van de foute DNS servers) en die in eerste instantie betrouwbaar was zodat bij verandering van de sleutels (of doorgesluisde sleutels die niet meer op IP kloppen) er alarmbellen gaan rinkelen.
De ietf heeft jouw oplossing al overgenomen in de ipv6 standaard:

http://www.ietf.org/rfc/rfc2535.txt?number=2535

Door ICE1984, maandag 4 april 2005 20:28

Score: 1
Hier thuis in het interne netwerk ook wel eens een DNS spoof gedaan (mbv ARP poisioning),
De user gaat naar het hotmail inlogscherm, de "man in the middle" pc vraagt hotmail op en geeft netjes de hotmail inbox of foutmelding terug. En elke post/get van de user wordt netjes gelogd.

Door Ron.IT, dinsdag 5 april 2005 09:27

Score: 1
Zolang het SSL slot aanstaat in de statusbalk als jij naar een site gaat, zoals https://www.paypal.com/. Dan is het op dit moment onmogelijk om via DNS spoofing een andere website te tonen. Je hoeft dan eigenlijk geneens het certificaat te controleren. Er was wel een fout in IE die het mogelijk maakte om een ander domein in de adresbalk te tonen dan de website waar je naar keek, maar die fout is al lang opgelost.

Via nslookup kan je trouwens gemakkelijk in windows controleren of de DNS server de juiste informatie geeft.

nslookup -q=all tweakers.net a.gtld-servers.net

bijvoorbeeld vraagt alle DNS gegevens op van het domein tweakers.net via DNS server 'a.gtld-servers.net', welke één van de belangrijke servers is waar het DNS systeem van internet op draait.

Als antwoord zie je dan staan 'Non-authoritative answer', omdat de uiteindelijke DNS server die macht heeft over het tweakers.net domein ns1.tweakers.net is. Het IP wordt echter wel al getoont, dus er hoeft alleen met de primaire DNS server gecommuniceerd te worden als je alle DNS info wilt weten via:

nslookup -q=all tweakers.net ns1.tweakers.net

Je kan als gebruiker dus gewoon gebruik maken van de root DNS servers, echter is de response tijd van je ISP DNS servers een stuk beter (dat kan je vaak via ping uitzoeken, maar een gratis programma, zoals de freeware versie van PingPlotter geeft een veel beter beeld, omdat je dan over een veel langer tijdsbestek kan kijken en een beter inzicht in de routing krijgt).

Zolang je dus geen vertrouwen hebt in de DNS admins van je ISP, om de beveiliging van hun DNS servers te waarborgen, dan moet je gewoon de root servers gebruiken of een andere DNS server die je wel vertrouwd.

Door mvdejong, dinsdag 5 april 2005 11:09

Score: 1
Er was wel een fout in IE die het mogelijk maakte om een ander domein in de adresbalk te tonen dan de website waar je naar keek, maar die fout is al lang opgelost.
Vanochtend weer een nieuwe gezien : er wordt een klein randloos-venster over je adres-balk (waar een IP-adres staat) heen gezet met de naam van de site die ze spoofen. Als je niet oplet en het opvalt dat het adres deels over een button heenvalt, zou je er zo intrappen.

Door Wacky, zondag 3 april 2005 16:24

Score: 0
Komt 't verhaal van Fransisco van Jole alsnog uit. Hij waarschuwde hier een maandje geleden al voor.

Door REDFISH, zondag 3 april 2005 17:17

Score: 0
Ik heb ook wel eens van die stomme mails gehad van paypal dat je je account info opnieuw moest geven. Alles leek van paypal.com af te komen, maar als je submit deed(met onzin uiteraard, ze vroegen me iets te veel zoals mijn pin code enzo hahaha) kwam ik op een arabische error site. Denk dat ze het op deze manier gedaan hebben.

Door R3n3, zondag 3 april 2005 17:51

Score: 1
Dat heeft meer te maken met phising en wordt je door informatie vanaf je PC naar de verkeerde locatie geleidt.

En ook daar is zeer veel mee mogelijk. Kijk maar eens op http://www.webwereld.nl/nieuws/19934.phtml

Door LionO_NL, zondag 3 april 2005 17:49

Score: 2
De reden dat dit zo effectief werkt is dat de lui die het TLD beheren een vervangende pagina geven als er een foutieve naam gegeven wordt. Dat hadden ze gelijk moeten verbieden.
Daarvoor kon je deze servers snel detecteren & blokkeren door een niet bestaande domeinnaam te laten opzoeken en deze gelijk te blokkeren.
Nu krijg ik zo'n klere zoekpagina, waarvan ik niet kan controleren of hij betrouwbaar is of niet (vast niet).

Door El_Muerte_[TDS]541, zondag 3 april 2005 18:01

Score: 0
Daar heb ik helemaal geen last van. Bij mij resolven niet bestaande host names gewoon niet.
Ik denk dat je ISP je zit te naaien.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 21:20
Vorige 13:50
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: