Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 65, views: 22.644 •

De websites van NRC Handelsblad en zusterkrant nrc.next hebben dinsdag een aantal uur malware verspreid. Dat heeft de uitgever van de websites van de krant, Han-Menno Depeweg, bevestigd. Het probleem zat in een extern advertentienetwerk.

De websites van NRC Handelsblad en nrc.next serveerden advertenties die malware probeerden te installeren op computers van bezoekers. Dat meldt de digitaal uitgever van de krant, Han-Menno Depeweg, op de website, die inmiddels nog steeds door onder meer Firefox en Chrome wordt geblokkeerd. Toen NRC ontdekte dat via banners malware werd verspreid, werden alle advertentiecampagnes uit voorzorg uitgeschakeld. De krant adviseert iedereen die sinds 7 uur vanmorgen op de sites is geweest, een virusscan uit te voeren.

Welk advertentienetwerk de boosdoener is, is op dit moment onduidelijk. "We weten nog niet om welk advertentienetwerk het specifiek gaat", zegt uitgever Depeweg tegen Tweakers. "Onze eerste prioriteit ligt bij het verwijderen van de infectie en de website weer bereikbaar maken." Daarna wil de krant onderzoeken waar de infectie precies vandaan komt. Duidelijk is wel dat de geïnfecteerde advertentieserver inmiddels uit de lucht is.

Hoewel de site inmiddels malwarevrij zou moeten zijn, blokkeren onder meer Firefox en Chrome de site nog. Firefox gebruikt net als Chrome de lijst van Google met websites die mogelijk gevaarlijk zouden kunnen zijn. Volgens Google werden via nrc.nl trojans verspreid, maar hostte de site zelf niet direct malware. "We hebben Google verzocht de blokkade weer op te heffen", aldus uitgever Depeweg.

Het gebeurt vaker dat websites via advertentienetwerken malware verspreiden. Eerder deze herfst deden advertenties op Telegraaf.nl dat. Vorig jaar verspreidden hackers malware via een ander advertentienetwerk, waarbij sites van onder meer Wegener en Nieuws.nl de dupe waren. In maart verspreidde NU.nl eveneens malware, maar dat gebeurde niet via advertenties: een kwaadwillende had weten door te dringen in het cms.

Update, 13:43: Volgens Security.nl gaat het om een banking-trojan die werd verspreid via een exploit voor een lek in Java, dat inmiddels zou zijn gepatcht. Gebruikers met een kwetsbare Java-versie lopen dus mogelijk gevaar.

Update, 14:53: In dit artikel was te lezen dat de malware op NRC.nl zou zijn geserveerd via het Belgische bedrijf Adhese. Dat bedrijf levert echter geen advertentieserver, maar software, die in dit geval werd gebruikt op NRC.nl. De software van Adhese serveerde in dit geval een verwijzing naar een extern javascript-bestand dat op zijn beurt weer verwees naar een malafide url, laat de cto van Adhese, Tim Sturtewagen, weten. De software van Adhese is zelf niet gehackt.

nrc malware

Reacties (65)

Reactiefilter:-165054+139+210+30
Waarom klinkt dit onlogisch:

eerste prioriteit ligt bij het verwijderen van de infectie
icm
We weten nog niet om welk advertentienetwerk het specifiek gaat

Alsof ze op een boot zeggen 'onze prio is het dichten van een lek', maar 'we weten nog niet waar het lek zit'.
Kan toch prima? Prioriteit is het verwijderen van de infectie / lek. De eerste stap daarin is het vinden van de infectie / lek.
Prio zou dan het vinden van het lek zijn lijkt mij en de poster hierboven.
Dit is echt de typische fout die veel ICTers maken. Het niet kunnen onderscheiden van doel, resultaat en methode.
Nou, als techneut kan je (zeker in een crisissituatie) maar beter letterlijk nemen wat een andere techneut zo nauwkeurig mogelijk omschrijft. Soms zijn taalgevoel en andere communicatievaardigheden daar wel bij nodig (is bij een krant ook wel te verwachten mag ik hopen), en natuurlijk een flinke dosis kennis.
Hier op Tweakers is het vaak best erg. Dan zeg je iets en dan wordt gelijk gedaan alsof je het EXACT zo bedoelt en het voor IEDEREEN ALTIJD geldt. Maar gewoon een beetje als een mens reageren is dan teveel gevraagd. En op deze reactie gaat dat ook weer gebeuren, daar kun je vergif op innemen (disclaimer: doe dat maar niet, dat vergif innemen).
het lek was dus gevonden :
" Toen NRC ontdekte dat via banners malware werd verspreid, werden alle advertentiecampagnes uit voorzorg uitgeschakeld."

maar aangezien het om een externe partij gaat, wisten ze dus niet via welk advertentienetwerk...
Mhm. Je verhelpt het incident door een vlotte patch of workaround (in dit geval het verwijderen van alle advertenties), en gaat vervolgens een diepere root cause analyse doen die langer duurt. Maar met de vlotte actie zijn in ieder geval de users weer veilig en kan je site weer online.

[Edit] Overigens is NRC niet verantwoordelijk voor de inhoud van die advertenties vermoed ik - die externe partij moet dat op gaan lossen. Dus dit kan ook een issue zijn van wie wat beheert - NRC zelf -kan- dit mogelijk niet eens oplossen.

[Reactie gewijzigd door Aetje op 13 november 2012 14:12]

Mijn prio zou zijn eerst te zorgen dat mijn bezoekers die malware niet meer krijgen.
Doe je dat niet, krijg je straks helemaal geen bezoekers meer.

Het zoeken naar de veroorzaker kan dan op een schaduwsite waarbij je alleen test met je eigen machines.
Zie het zo: in de waterleiding zit ergens een lek, maar je weet niet waar. Je sluit natuurlijk eerst het water af voor dat je het lek gaat zoeken.
Maar:
Om het lek te zoeken zul je het ook moeten vinden, dus moet er water door de leiding stromen zodat je het kan zoeken.

Het is natuurlijk wel verstandig om op de plek waar het druppelt een emmer te zetten om de waterschade te beperken(De advertenties niet meer doorzetten)
Maar als je niet weet waar het druppelt kun je daar geen emmer neerzetten.


Analogieën-dinsdag op T.net, :+.
Zeker niet persé waar. Als het niet kritisch is, sluit je lang niet altijd het water af. Als je fabriek niet kan draaien zonder water, ga je eerst nadenken hoe je het oplost. Gelijk voor de NRC, je kan wel alle advertenties verwijderen maar dat gaat je veel geld kosten.
Dat er een gat zit is bekend. (infectie)
waar het gat door is ontstaan weet men niet (bron)
dus men kan prima het gat dichten en de oorzaak niet weten... ;-)
Het klinkt misschien onlogisch, maar dat is het in dit geval niet. De infectie komt namelijk niet van de servers van het NRC zelf, maar van een advertentieprovider. Voor het NRC is de oplossing dus simpel, alle advertenties uitschakelen. Dan is de infectie ook weg.

Zodra bekend is welk advertentienetwerk de infectie verspreidde kunnen de andere netwerken weer ingeschakeld worden.
Dat is de technische benadering. Vervolgens krijg je te maken met contractuele verplichting en eventuele juridische consequenties die "zomaar" afsluiten met zich meebrengt. Als je een advertentieprovider ten onrechte afsluit krijg je uiteraard problemen.
Het is OF de advertenties uitzetten OF de hele site onbereikbaar maken.
Een advertentieprovider die geen begrip heeft voor het instand houden van de dienstverlening en het zo snel mogelijk veilig maken van je website zou bij mij snel de deur uit gaan.
Nou eigenlijk niet eens aangezien uit het artikel al blijkt dat browsers ze uit voorzorg al blocken. Ze hebben eigenlijk sowieso geen keuze gehad.

Die "banking trojan" (Sinowal variant) heb ik hier helaas ook gehad en dat is een nasty one, inclusief keylogger en meer ellende. Is nog niet zo lang geleden ook al in het nieuws geweest gelinkt aan de ING. Deze hebben een removal tool beschikbaar gemaakt die dit soort banking trojans op zou kunnen sporen, maar aangezien Security.nl meldt dat er slechts een klein aantal scanners deze nieuwe oppikken toch handig om (zoals altijd in dit soort gevallen) niet op 1 paard te wedden en verschillende tools gebruiken.
Hier wel aardige link naar stappenplan:http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5218
Die kosten die andere advertentieproviders bij jou neerleggen kun je dan prima verhalen op de provider die de malware verspreid. Die heeft immers zich niet aan de voorwaarden gehouden (mag tenminste aannemen dat dit erin staat)
Op een boot zouden ze zeggen:

"Er is een lek, hoe zorgen we dat de boot niet zinkt."
Afsluiten van compartimenten van een boot is dan een vergelijkbaar voorbeeld.
"De website van NRC Handelsblad en zusterkrant nrc.next hebben dinsdag een aantal uur malware verspreidt."

Zoek de fouten
ben ik dan kippig want ik zie er eigenlijk geen fout in?


on: toch wel netjes dat ze gelijk de ads offline halen en opzoek zijn

[Reactie gewijzigd door Remmes_NT op 13 november 2012 11:39]

Volgens http://www.google.com/saf...p://www.nrc.nl/&hl=nl werd er gisteren malware verspreid, en is er vandaag nog niets aangetroffen. Je kunt met een tijdzoneverschil zitten, maar dan zou de infectie juist voor zeven uur vanmorgen moeten hebben plaatsgevonden, en niet erna zoals NRC beweert.
Op de website van NRC zelf beweren ze ook voor zeven uur:

"Laat, als u nrc.nl of nrcnext.nl vanmorgen vroeg voor zeven uur heeft bezocht, voor alle zekerheid uw virusscanner een extra scan uitvoeren. Excuus voor het ongemak."
Grappig dat als je kijkt naar die pagina, het Google netwerk zelf ook gebruikt lijkt te worden voor het verspreiden van malware.
Het gaat toch wel vaak mis met advertenties. Vaak berichten dat er malware wordt verspreid, maar gek genoeg merk ik heel vaak dat áls ik een keer op een ad klikt, hij het wonderbaarlijk vaak niet doet. En nee, ik heb geen ad-block software geďnstalleerd.
En precies om die reden gebruik ik altijd Ghostery.

Het is een collega-student van me een keer overkomen dat zijn laptop (weliswaar Windows, misschien scheelt het dat ik OS X gebruik) praktisch onbruikbaar werd, maar dat zal mij dus op die manier niet gebeuren. :/
Blokkeer dan het foute advertentienetwerk en niet de website zelf?!?
Denk dat de meeste personen wel een tijdje zonder NRC website kunnen leven, maar toch...
Moet je wel eerst weten welke het foute advertentienetwerk is....
Welke zijn de goede dan??
Laten we beginnen met het netwerk van Google Ads ;)
Wat dacht je van de volgende volgorde:

Eerst website blokken als zeer snelle reactie. Dan dieper kijken waar het zit: advertenties. Website zonder advertenties weer op en dan de verschillende netwerken testen. En dan binnen het "zieke" netwerk dieper zoeken naar de oorzaak.

De website blokkeren kan snel en daarna heb je wat tijd om de oorzaak te zoeken. Het had ook ergens anders kunnen zitten dan in de advertenties, bv in de cms.
De online advertentiemarkt is wel hard bezig het, in de ogen van de consument, zichzelf lastig aan het maken, en aan de andere kant is dat voor uitgevers als NRC en Sanoma natuurlijk erg slecht....

Ik denk dat die ouwe pa van mij weer een goed voorbeeld is. 57 jaar oude hoogopgeleide met niet heel veel interesse in de diepgang van computers. Gewoon gebruiken en zelfs daar af en toe in een boek of magazine hulp zoeken.

Hij vroeg me laatst (ik woon inmiddels niet meer thuis of zelfs in hetzelfde land), aan de hand van een artikel in NRC (nota bene) of hij wel ad block had want een paar dingen baarden hem zorgen:
• Het negeren van "do not track" door sommige providers
• Het feit dat dit verhalen af en toe naar boven komen en dat je niet weet wie de advertentienetwerken zijn altijd.

Het komt er op neer, en dat is slecht voor Tweakers, NRC, en iedereen, dat mijn eigen ouwe vader nu naast een firewall, virusscanner, malware/spyware scanner, een adblocker ook een must vind voor z'n beveiliging... en tsja... dat is bij hem dus nu gebeurt. Ik moet eerlijk bekennen dat ik, als beroeps IT-er, wel vertrouw op mijn virusscan, maar ook snap dat definitie files & updates responsief zijn in plaats van preventief in veel gevallen. De kans dat er een foute ad tussen zit is zelfs met de sterkste chrome/firefox/linux/virtualisatie sandbox nooit 100% uitgesloten. En alles kan besmet worden. Ik ga niet specifiek voor die angst een in-memory OS draaien wat self-resetting is. Ik hou wel van het gemak en drivermodel van Windows (8 in mijn geval). Wat kun je dan het beste doen? Een goeie firewall draaien, zo veel mogelijk connecties versleutelen, virusscanner draaien en up-to-date houden, en tsja... zo veel mogelijk non-domain content blokkeren op websites... zoals advertentienetwerken. Ik heb tweakers whitelisted in mijn adblocker maar dat betekent dat ik jullie moet vertrouwen, en echt transparant zijn jullie nou ook weer niet in jullie informatie over waar de ads vandaan komen. Ik kan er achter komen maar goed, liever wat transparantie & blame voordat ik via tweakers een trojan heb :)
Hij vroeg me laatst (ik woon inmiddels niet meer thuis of zelfs in hetzelfde land), aan de hand van een artikel in NRC (nota bene) of hij wel ad block had want een paar dingen baarden hem zorgen:
• Het negeren van "do not track" door sommige providers
• Het feit dat dit verhalen af en toe naar boven komen en dat je niet weet wie de advertentienetwerken zijn altijd.

Het komt er op neer, en dat is slecht voor Tweakers, NRC, en iedereen, dat mijn eigen ouwe vader nu naast een firewall, virusscanner, malware/spyware scanner, een adblocker ook een must vind voor z'n beveiliging... en tsja... dat is bij hem dus nu gebeurt.
Zoals je misschien ook opmerkt is datgene waar je vader bang voor is niet volledig met technische middelen op te lossen. Het blijft een (soms zeer effectieve) pleister op de wond.

Een goed beleid zou het ontmoedigen van foute content serveren unnen zijn: maak de site-eigenaar (binnen redelijkheid en billijkheid) verantwoordelijk voor de content die zijn site van third-party sites afhaalt. In dit geval zou dan NRC (mede)verantwoordelijk zijn.
Het is niet de eerste keer dat zoiets gebeurt. Eerder was NU.nl en ook Marktplaats verspreider van mallware die gebruik maakte van kwetsbaarheden in Java. Mijn Advies: Verwijder Java en je bent een stuk minder vatbaar voor dit soort ongein.
Het is duidelijk een probleem van de aanbieder je kan ook je computer nooit aanzetten, heb je ook geen last van virus and malware.

Met Linux loop je ook minder snel tegen de lamp aan :) . En dat is een prima omgeving om mee te browsen :) .
Met de nadruk op "minder". Hoewel het zels veel minder is, is ook daar je veiligheid niet zeker.
Helaas is daar 80% van de gebruikers niet meer geholpen omdat ze hun PC of Laptop voor meer dingen gebruiken dan alleen browsen en Linux daardoor geen optie is. ;)
En som dan eens op wat de 80 procent kan op een windows laptop of desktop wat niet mogelijk is met betrekkelijk weinig kennis van linux. ubuntu en de varianten hier op zijn al heel ver gekomen met het oplossen van de welkbekende gebruikers onvriendelijke problemen met linux.

Ik kan best indenken dat spelletjes mensen geen linux willen hebben puur omdat de spelen uitgebracht worden voor windows computers. maar om nou gelijk 80 procent te noemen vind ik een beetje te veel.

Steek van wal zou ik zeggen.
Echt opassen idd!! Ik had een paar maanden geleden ook zo'n leuk geintje.. opeens kon ik helemaal niet meer internetten omdat ik demelding kreeg in iedere browser (zelfs batlelog en steam werkte niet)dat er geen verbinding meer was met LAN..... moest ik Windows weer opnieuw installeren..
Om gek van te worden.

Ik heb ook altijd standaard adblock aan , maar dat hous maar een beetje tegen

[Reactie gewijzigd door A87 op 13 november 2012 11:55]

Welk advertentie systeem is het? Is dat niet bekend gemaakt?
Welk advertentie systeem is het? Is dat niet bekend gemaakt?
Lezen is ook zo moeilijk...
Welk advertentienetwerk de boosdoener is, is op dit moment onduidelijk
En dit is dus ook één van de redenen dat ik Adblock + Ghostery + NoScript gebruik. Een andere is natuurlijk omdat ik een bloedhekel heb aan reclame maar dat terzijde.
Waar je vroeger simpele banners had voor de reclame heb je tegenwoordig een array aan scriptjes die van alles en nog wat doen om maar zo "efficient" mogelijk reclame tonen. Dat is, mijns inziens, vragen om problemen en is ook iets wat in de toekomst anders moet.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014