Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 33, views: 24.280 •

Een hacker is er in geslaagd om in Pakistan de dns-entries te wijzigen van 284 websites met een .pk-domein. Hierdoor werden bezoekers van de getroffen websites, waaronder de Pakistaanse sites van Google, Microsoft en Apple, omgeleid naar een website van de aanvaller.

De hacker zou er in zijn geslaagd om dns-wijzigingen door te voeren voor honderden websites met een .pk-extensie. Hierdoor verwezen de dns-records van in totaal 284 websites naar de dns-server freehostia.com. Bezoekers werden vervolgens doorgestuurd naar een pagina waarop te lezen was dat de betreffende Pakistaanse website zou zijn gekraakt. Onder andere de websites microsoft.pk, apple.pk, paypal.pk, ebay.pk en cisco.pk waren slachtoffer van de gewijzigde dns-entries in de systemen van MarkMonitor. Inmiddels is een deel van de getroffen websites weer te bereiken.

Het is nog niet geheel duidelijk wie de aanvallen heeft uitgevoerd, maar er zijn aanwijzingen dat een Turkse hacker onder het alias Eboz verantwoordelijk is. Ook lijkt het er op dat de hacker geen politieke motivaties heeft bij deze aanval.

Hoe de aanvaller de dns-records van de Pakistaanse websites heeft kunnen wijzigen, is nog niet duidelijk, al zijn er aanwijzingen dat de aanval via de Pakistaanse registrar PKNIC is verlopen. De getroffen domeinen zouden echter weer worden beheerd door de Amerikaanse firma MarkMonitor.

Reacties (33)

Kijk dit vind ik nou weer een trieste actie, andere mensen op deze manier schade aanbrengen.
Als ze nou gewoon het lek hadden verteld aan PKNIC was er niets aan de hand geweest...
DNS is erg interessant, dus laten we dit uitpluizen alsof er iemand meeleest die niet veel verstand van heeft (*kuch* nietswetende IT managers *kuch*)

1. Wat wordt met dit aanval precies bedoeld?
2. Wat zijn DNS entries?
3. Hoe kan dit voorkomen worden?

[Reactie gewijzigd door archive23 op 25 november 2012 10:54]

Wellicht had de hacker niet helemaal de meest goede intenties? Dan kan je het triest vinden maar een willekeurige winkelcrimineel gaat ook niet na het stelen van wat boodschappen terug naar de supermarkt manager om aan te tonen hoe hij dat gedaan heeft.
sorry hoor, maar "schade" ? de schade had veel groter kunnen zijn dan dit, dus men moet blij zijn vind ik


pardon, waarom is dit ongwenst? het is gewoon de keiharde waarheid, er had zo veel meer gedaan kunnen worden dan een redirect naar een hostsite

[Reactie gewijzigd door Remmes_NT op 25 november 2012 13:03]

Je kunt je afvragen of er daadwerkelijk sprake is van "schade". Volgens het artikel werden de bezoekers van de getroffen sites slechts doorverwezen naar een pagina waarop te lezen viel dat de bezochte site "gehackt" was.

De enige "schade" die ik kan bedenken is misgelopen inkomsten van advertenties en het uurtarief van de persoon welke de doorverwijzing ongedaan moet maken.
Vergelijk DNS met een telefoonboek: je zoekt op een naam, en je krijgt een telefoonnummer. Wordt dat telefoonboek (door een hacker) aangepast, dan krijg je een ander telefoonnummer bij dezelfde naam. DNS entries zijn vergelijkbaar met die regels in het telefoonboek (naam - nummer). Een DNS entry koppelt een naam aan een IP adres (= het adres waar je op het internet bereikbaar bent).

Je denkt dus dat je belt met dhr. Jansen, maar eigenlijk bel je met dhr. Kwaadinzin. Als je trouwens het telefoonnummer van dhr. Jansen uit je hoofd wist, kon je dit eenvoudig voorkomen door direct het nummer te draaien en niet het telefoonboek gebruiken.

Hoe dit exact voorkomen kan worden, weet ik niet. Maar er zullen vast wel andere Tweakers zijn die dit wel kunnen uitleggen.
Ze hebben het wel degelijk gemeld ze wouden het zelfs voor hun oplossen maar ze hebben er niks aan gedaan dus eigen schuld
Dan kun je toch spreken van daadwerkelijke schade? ;)

Ook zou je kunnen denken aan de minder 'tastbare' schade, zoals imagoschade. Niet iedereen heeft het relativeringsvermogen om te zien dat dit niet de fout van de getroffen bedrijven was, maar veroorzaakt is door een hacker met kwade bedoelingen.
Tja, de schade die je beschrijft is er inderdaad wel. Ik denk dat je die misgelopen inkomsten niet moet onderschatten. Dat loopt al snel in de miljoenen.

Het had natuurlijk veel erger kunnen zijn. Als er een geavanceerde malware was geserveerd op die pagina. Dan had je in 1x half pakistan in je botnet kunnen hebben.

In principe mag men dus van geluk spreken dat het (vooralsnog) een redelijk onschuldige hack lijkt te zijn.
Dit soort hackers moeten maar eens les krijgen in respect.
Niet alleen .pk DNS lijkt door hackers misbruikt te worden, ook diverse domeinen bij GoDaddy worden voorzien van subdomeinen via welke dan malware wordt verspreid. (Bron:)
DNS Sec is geďntroduceerd om cache poisoning te voorkomen. Er wordt dan gebruik gemaakt van PKI om de bron te controleren. Het is alleen nog niet overal uitgerold. Of het zou werken in dit geval weet ik niet. Gezien dat de aanvaller hier de echte bron overnam (en niet voor man-in-the-middle ging) zou het certificaat goedgekeurd kunnen worden.

Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation
of bedrijven moeten maar eens meer gaan doen/luisteren wanneer er een lek is, vaak word een lek gevonden en gemeld, maar meestal doet men er niets aan totdat er iets ergs gebeurd (want tja, het kost geld) en dan word men boos op de persoon die het lek "misbruikt"

ik vnd het persoonlijk goed dat men onschuldige dingen doet zoals dit om de aandacht van bedrijven te krijgen om zo het lek te dichten, zoals ik in mijn vorige post (die ongewenst is) al zeg, men moet blij wezen want er zou veel meer schade zijn kunnen aangebracht
Daarbij ga je er dan wel vanuit dat de gemiste inkomsten op een later moment niet zijn ingehaald. Als ik van plan was een iMac te kopen en de website van Apple is niet te vinden dan zal ik niet gelijk naar een alternatief gaan maar gerust nog een dag wachten.
DNSSEC kan dit soort aanvallen voorkomen, met een paar voorwaarden:
* De chain of trust is tot aan de root aanwezig voor .pk. Anders verwijdert de hacker simpelweg de DS records voor onderliggende zones en dan zijn deze weer inssecure (dus zonder DNSSEC).

* De private keys voor de .pk zone zijn veilig opgeborgen waar de hacker er niet bij kan. Anders kan de hacker de zone zelf signen. Dat is niet heel ingewikkeld als je de key hebt.

* Degene die de website wil benaderen gebruikt DNSSEC validating resolvers. Anders wordt DNSSEC gewoon genegeerd.

Zoals te zien is op http://dnsviz.net/d/pk/dnssec/ is de .pk zone niet secure.

Als dit voor bijvoorbeeld .nl zou gebeuren en je hebt een DNSSEC validating resolver (voor zover ik weet hebben in Nederland alleen t-mobile en lijbrandt dit aan staan op hun nameservers), zou je geen website te zien krijgen. Op het moment dat een record BOGUS wordt verklaard zal de nameserver namelijk een SERVFAIL response teruggeven.
Volgens mij hebben ze bij PKNIC last van PICNIC :+
"Ik koop een Apple, want dan heb ik geen virussen, heey Apple is gehackt? Wtf? Ik koop wel een PC"

Misschien lomp voorbeeld (en lekkere generalisering van hoe Apple-kopers denken, niet als bash bedoelt, maar je hebt genoeg idioten, ben zelf Apple groot verbruiker).

Het down zijn van een website kan zeker wel de verkoop verstoren. Al zal dit altijd moeilijk aan te tonen blijven.
Ik kan uit bovenstaand artikel niet afleiden welke toegang de hackers hadden... misschien is er alleen webfrontend gevonden waarmee ongeautoriseerde dns aanpassingen kunnen gebeuren.
Ook kan ik niet afleiden of er nog een ander impact was voor de eindgebruiker; misschien poogde die site wel malware te installeren?

Overigens is de schade die aangericht werd al behoorlijk groot: een hele resem grote en commerciële sites die praktisch offline blijken kost heel wat inkomsten voor de betrokken partijen. Daarnaast, en niet in het minst, is er de imago schade voor de infrastructuurproviders. Ook is het niet geheel ongebruikelijk dat er SLA's zijn over de beschikbaarheid, en is de kans groot dat dei geschonden werden: dat kost een hoop centen!
Kretologie 101?

Ik denk dat je niet zonder verdere achtergrondinformatie kunt vaststellen of de kraak uit gebrek aan respect (modewoord) gebeurde. Digitaal activisme is soms inderdaad vandalisme en soms vergelijkbaar met iemand die een spandoek ophangt of in een demonstratie meeloopt.
Heel mooie uitleg; allen is het in de praktijk niet zo eenvoudig zelf "het goede nummer te draaien" als je een website wil bereiken. Technisch maakt een webserver immers ook gebruik van de url die je intypte om de juiste site te kunnen tonen.
In een gelijkaardige analogie kan je stellen dat je een bejaarde in een tehuis niet telefonisch kan bereiken als je niet én het juiste nummer draait, én de juiste naam weet door te geven aan de receptie van de bejaardenhome!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013