Hoofdcategorieën

[RSS] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Hacker bekent schuld aan kapen 250.000 pc's

Hacker bekent schuld aan kapen 250.000 pc's

Door Arie Jan Stapel, zaterdag 10 november 2007 19:38, views: 26.429

De 26-jarige John Schiefer uit Californië heeft voor een rechtbank in Los Angeles schuld bekend aan fraude en het onrechtmatig onderscheppen van elektronische communicatie.

Schiefer had samen met enige medeplichtigen een programma gemaakt dat hij via een lek in Windows kon installeren en dat hem de controle gaf over de computer waarop het draaide. Het programma, dat op minstens 250.000 pc's belandde, kon PayPal-gegevens uitlezen uit de Protected Store, waarin Windows wachtwoorden opslaat die gebruikers willen bewaren. Hoewel de wachtwoorden gecodeerd zijn, wist het programma ze toch te achterhalen om ze vervolgens naar een van de servers van Schiefer te sturen. Ook gegevens voor elektronisch bankieren werden op deze manier ontvreemd. Met deze gegevens haalde Schiefer vervolgens geld van de rekeningen.

Schiefer gebruikte zijn botnet onder andere om het Nederlandse bedrijf Simpel Internet op te lichten. Het bedrijf betaalde hem een vergoeding voor elke computer waarop bepaalde advertentiesoftware werd geïnstalleerd. De bedoeling was dat dit alleen na toestemming van de gebruiker zou gebeuren, maar Schiefer gebruikte zijn botnet om de software zonder toestemming massaal te verspreiden. Dit leverde hem ruim 19.000 dollar op. De maximumstraf die Schiefer kan krijgen is 60 jaar cel en 1,75 miljoen dollar boete. Mede gezien zijn bekentenis zal het zo'n vaart niet lopen, maar het lijkt waarschijnlijk dat hij voor heel wat jaren achter de tralies zal verdwijnen.

Hacker
Volgende 10:23
Vorige 18:15

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 53 reacties zichtbaar530 Off-topic / Irrelevant: 43 reacties zichtbaar43+1 On-topic: 18 reacties zichtbaar18+2 Informatief: 9 reacties zichtbaar9+3 Must-read: 0 reacties zichtbaar0
«  1  2  »

Door SSH, zaterdag 10 november 2007 19:45

Score: 0
Vroeger gebruikte ik ook software om Windows wachtwoorden te recoveren (goedwillend), dat leek toen "gefixed", maar blijkbaar heeft Microsoft dat nog steeds niet goed op orde?

Door EJP, zaterdag 10 november 2007 20:18

Score: 2
Met xp? Nee. Met Vista? Ja. In windows xp stond standaard de LM encryptie aan, nodig voor compatibiliteit voor windows 9x. De wachtwoorden worden opgeslagen in zowel LM als NTLM. LM is makkelijk te kraken en dus een zwak punt binnen XP. In vista is dit niet meer het geval.

Door Olaf van der Spek, zaterdag 10 november 2007 21:04

Score: 0
De wachtwoorden worden opgeslagen in zowel LM als NTLM.
Dat heeft toch niks te maken met wachtwoorden voor websites?

Door VisionMaster, zaterdag 10 november 2007 22:22

Score: 2
De database met wachtwoorden wordt hiermee gecrypt. Die heeft de hacker gedecrypt door de zwakheid in LM encryptie te misbruiken.

Zie hier een goede stap van Microsoft in Vista om backwards compatibility een keer te doorbreken voor het welzijn van de gebruiker.

Door Online24.NL, zondag 11 november 2007 00:02

Score: 2
De wachtwoorden die Internet Explorer op slaat zijn geen LM-hashes hoor. Dat is gewoon een of andere gare encryptie die met een paar berekeningen om te zetten is naar plain-text.

En als je over opgeslagen PayPal wachtwoorden praat, lijkt het mij dat die hacker de wachtwoorden uit IE / FF heeft gejat. In FireFox zit overigens een functie ingebouwd om het oorspronkelijke wachtwoord als plain-text weer te geven... dus decrypten lijkt me dan erg makkelijk.

Door Mr. Gene Y. Uss, zondag 11 november 2007 00:15

Score: 2
Dat is natuurlijk logisch. De wachtwoorden die opgeslagen worden zijn geen hashes, want de browser moet ze natuurlijk ook in plaintext weer naar de server kunnen sturen. In internet explorer kun je voor zover ik weet geen Master Password opgeven. Als je weet waar de wachtwoorden staan kun je ze dus bekijken.
In firefox kun je een Master Password opgeven. Dat Master Password wordt dan gebruikt als encyptiesleutel om de wachtwoorden op te slaan. Dan zijn ze dus niet meer te achterhalen zonder het Master Pasword, (Natuurlijk met bruteforce wel, maar dat is bij een goed Master Password niet zo efficient).

Door c00, maandag 12 november 2007 09:08

Score: 2
Maar als je programmatje ge-encrypte wachtwoorden kan ophalen en allemaal gekke dingen, dan gok ik dat jou master password ook wel te achterhalen is. Simpele keylog functie in dat progsel moet voldoende zijn.

Door d-snp, zondag 11 november 2007 01:07

Score: 1
Dat kan alleen met het wachtwoord dat je net ingetypt hebt, niet met wachtwoorden die je onthouden hebt.

Door kimborntobewild, maandag 12 november 2007 06:37

Score: 0
@VisionMaster:
XP was toch ook de ' veiligste OS ooit' bij introductie?
En jij denkt dat de boel binnen Vista niet gekraakt gaat worde? |:(
Bovendien dacht men dat XP niet last had van die LM/NTLM-ontwerpfouten. Althans dat lees ik hier in een MSCE boek.
Nu lees ik van jou dat toch ook XP er gevoelig voor is. 'T lijkt (is) dus gewoon een kwestie van tijd te zijn voordat de boel gekraakt wordt. Zo dus ook met Vista.

Door VisionMaster, maandag 12 november 2007 16:07

Score: 0
@kimborntobewild:
Ik wilde helemaal niets zeggen over de veiligheid in XP. Ik weet bijna wel zeker dat het in Vista wel gekraakt gaat worden. Dus ik heb hier helemaal niets in gedacht.

Ik ben gewoon blij dat ze bij Redmond eindelijk de foute backwards compatibility een keer laten varen. In dit geval heet het een duidelijk voordeel.

Lees mijn korte replay nog effe door, want volgens mij zie jij meer tekst dan ik zelf :D

* VisionMaster gebruikt KeePassX voor de username en wachtwoord info die ik echt prive wil houden op mijn Mac OSX laptop. ;)

Door Remco Kramer, zondag 11 november 2007 04:18

Score: 0
Beetje offtopic, maar goed...
Met Vista? Ja.
Mooi niet dus, er zijn password recovery programma's die ook op Vista werken...

Door memphis, zondag 11 november 2007 08:52

Score: 0
Er is zo'n bekende Linux flop om passwords te resetten, de laatste versie doet het heel prima op Vista. Maar een pass recoveren ofwel uit kunnen lezen weet ik niet, zal vast wel een nieuwe versie van Revelation komen ;)

Door Neus, maandag 12 november 2007 10:27

Score: 0
Zoek maar eens op Rainbow tables; kan je met een DB van veel aantal GB's elke Windows password de-crypten (dus niet resetten).

Door Olaf van der Spek, zaterdag 10 november 2007 21:04

Score: 1
maar blijkbaar heeft Microsoft dat nog steeds niet goed op orde?
Als de browser het naar een server kan sturen, kan een andere applicatie dat toch ook?

Door lamme23, zaterdag 10 november 2007 21:46

Score: 0
Tenzij je firewall dat tegenhoudt...

Door VisionMaster, zaterdag 10 november 2007 22:20

Score: 1
Dus jij stelt voor dat je firewall packet-inspection moet gaan doen? Wat is een goed bericht, en wat een fout bericht voor je firewall om tegen te gaan? Dit kan je niet zo makkelijk tegenhouden, zeker niet als het over HTTP heen loopt.

Door wizzkizz, zaterdag 10 november 2007 23:34

Score: 1
Je kunt ook op applicatie niveau filteren, een stuk hoger dan op packet niveau.

Door mae-t.net, zondag 11 november 2007 13:31

Score: 2
Maar of dat helpt is een vraag. Bij firefox in elk geval niet (kwaadaardige plugin gebruiken), bij IE weet ik het niet zeker, maar misschien kom je met wat activex nog best wel heel ver.

Door VisionMaster, maandag 12 november 2007 16:09

Score: 2
Als je niet zomaar iedere extension installeert van wazige websites in firefox, dan ben je er redelijk safe tot op zekere hoogte.

Zoek maar eens op de term CSRF Cross Site Request Forgery.

ActiveX maakt het iets te makkelijk om van alles en nog wat op je systeem te verklooien.

Door Ponzi, zaterdag 10 november 2007 20:00

Score: 0
Hij heeft schuld bekend, dat is iets anders als gezelf aangeven ;-) .

Overigens wel een dommerik, vind ik. Niet slecht bedoeld, maar als je zoiets op poten zet, zorg je toch wel voor een klein beetje meer beveiliging voor jezelf. En stap je vooral niet naar een bedrijf en regelt daar een lucratieve deal mee.

Door Aesar, zaterdag 10 november 2007 19:51

Score: 0
Dit soort dingen gebeuren steeds meer en ik denk dat het alleen maar meer gaat worden. En overheden gaan dit gebruiken om meer controle op het internet te krijgen, en dat vind ik een zeer slechte zaak. Waarom zijn er toch zoveel ratten...

Door babyxl, zaterdag 10 november 2007 20:00

Score: 1
Gelukkig hebben we ook nog rattenvangers in de vorm van politie en justitie. Probleem alleen zijn de regeltjes, de burocratie en de prioriteit.

De straf vind ik nog altijd buiten proporties, maar het is een fijne gedachte te weten dat hij voorlopig niet meer achter een computer kan kruipen om slachtoffers te maken...

Door webmaster777, zaterdag 10 november 2007 20:09

Score: 2
Buiten proporties? Als je eens kijkt hoeveel schade hij heeft gemaakt!
Een kwart miljoen PC's geïnfecteerd, en een boete van 1.75 miljoen dollar. Dat is 7 dollar gemiddeld per geïnfecteerde PC (gedupeerde).
Dat vind ik niet bijzonder veel voor iemand die bankrekeningen plundert!

En die 60 jaar cel lijkt misschien veel, maar je moet bedenken dat in de USA celstraffen cumulatief naar je daden berekend wordt.

[Reactie gewijzigd door webmaster777 op zaterdag 10 november 2007 20:10]

Door progster, zondag 11 november 2007 12:19

Score: 0
dit is het strafrechterlijk (straffen opgelegt door de staat) deel, het burgerrechterlijk deel (schadevergoedingen voor de slachtoffers) moet waarschijnlijk nog komen....

Door worldcitizen, zondag 11 november 2007 09:57

Score: 1
Dit zal ook steeds vaker blijven gebeuren nu de tendens is dat alle hackers stenger aangepakt worden. Het maakt niet uit of het een white of een black hat is.

IMO zou het beter zijn om de white hat te belonen en de black hat zwaar te straffen.

Het feit is dat altijd securty leaks zijn deze kunnen verminderd worden doordat ze gevonden worden. Zodat deze niet meer misbruikt kunnen worden.

[Reactie gewijzigd door worldcitizen op zondag 11 november 2007 09:58]

Door ArvidWillem, maandag 12 november 2007 11:33

Score: 0
ik vind het geen slechte zaak dat de regering iemand oppakt en veroordeelt die zonder mijn toestemming mijn wachtwoorden loopt te achterhalen en mijn paypal account leeg loopt te snoepen......

maargoed, meningen verschillen

Door Kees.Verhoog, zaterdag 10 november 2007 19:53

Score: 0
Hij heeft zichzelf niet aangegeven .... Hij heeft alleen schuld bekent.

Door philotra, zaterdag 10 november 2007 20:03

Score: 0
Dat zou ik ook hebben gedaan als ze voor je huis staanen je de schuld ervan geven. Ze kunnen het makkelijk bewijzen omdat ze het ook is gelukt je op te sporen. Ontkennen heeft weinig zin.

Door The Zep Man, zondag 11 november 2007 12:42

Score: 0
Ontkennen heeft weinig zin.
Dat ligt eraan.

Al zijn de opsporingsmethodes die ze gebruikt hebben tegen de wet, dan kan je beter niet bekennen en wel van je zwijgrecht gebruik maken. De kans is dan zeer groot dat je vrijuit gaat.

Eerste wat je dus ook altijd moet doen is contact opnemen met je advocaat. En als je in dit soort zaken bezig bent, kan je beter zelf een goede uitkiezen i.p.v. leunen op een pro-deo.

Door ArvidWillem, maandag 12 november 2007 11:33

Score: 0
gewoon - altijd - niks zeggen.
tot jeje advocaat hebt gesproken...

die zal het t beste weten

Door VisionMaster, zaterdag 10 november 2007 22:24

Score: 0
Ja... nah ja, het maakt je een cracker als je een hack negatief gebruikt. In dit geval maakte deze hacks hem een cracker.

Door junkchaser, zondag 11 november 2007 00:02

Score: 0
mooi zo "daag" ...

Komaan zeg dit ging er wel ver over. Hacken moet sowieso onder zware straffen vallen indien het illegale praktijken inhoud. Zeker als men met geld begint te jongleren en private gegevens gaat misbruiken.

Door TERW_DAN, zondag 11 november 2007 00:06

Score: 1
Het hangt natuurlijk veel af van hoeveel geld hij van de rekeningen heeft gehaald, maar als hij dit goed aangepakt heeft kan die 1,75 miljoen dollar nog wel eens meevallen, als hij van 10% van de pcs de gegevens af kon halen was dat nog maar 70 dolllar per pc, dat is vrij veel.

Al met al is dit gewoon een crimineel die mensen geld afhandig maakt, dus een boete van 1,75 miljoen is niet meer dan terecht, risico van het vak zullen we maar zeggen. Ik hoop dan eerlijk gezegd ook dat hij naast de boete de mensen ook schadeloos mag gaan stellen.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 10:23
Vorige 18:15
VNU Media logo Hosted by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van: