Hacker wijzigt dns-entries van honderden Pakistaanse websites
Een hacker is er in geslaagd om in Pakistan de dns-entries te wijzigen van 284 websites met een .pk-domein. Hierdoor werden bezoekers van de getroffen websites, waaronder de Pakistaanse sites van Google, Microsoft en Apple, omgeleid naar een website van de aanvaller.
De hacker zou er in zijn geslaagd om dns-wijzigingen door te voeren voor honderden websites met een .pk-extensie. Hierdoor verwezen de dns-records van in totaal 284 websites naar de dns-server freehostia.com. Bezoekers werden vervolgens doorgestuurd naar een pagina waarop te lezen was dat de betreffende Pakistaanse website zou zijn gekraakt. Onder andere de websites microsoft.pk, apple.pk, paypal.pk, ebay.pk en cisco.pk waren slachtoffer van de gewijzigde dns-entries in de systemen van MarkMonitor. Inmiddels is een deel van de getroffen websites weer te bereiken.
Het is nog niet geheel duidelijk wie de aanvallen heeft uitgevoerd, maar er zijn aanwijzingen dat een Turkse hacker onder het alias Eboz verantwoordelijk is. Ook lijkt het er op dat de hacker geen politieke motivaties heeft bij deze aanval.
Hoe de aanvaller de dns-records van de Pakistaanse websites heeft kunnen wijzigen, is nog niet duidelijk, al zijn er aanwijzingen dat de aanval via de Pakistaanse registrar PKNIC is verlopen. De getroffen domeinen zouden echter weer worden beheerd door de Amerikaanse firma MarkMonitor.
Reacties (33)
Kijk dit vind ik nou weer een trieste actie, andere mensen op deze manier schade aanbrengen.
Als ze nou gewoon het lek hadden verteld aan PKNIC was er niets aan de hand geweest...
Als ze nou gewoon het lek hadden verteld aan PKNIC was er niets aan de hand geweest...
Wellicht had de hacker niet helemaal de meest goede intenties? Dan kan je het triest vinden maar een willekeurige winkelcrimineel gaat ook niet na het stelen van wat boodschappen terug naar de supermarkt manager om aan te tonen hoe hij dat gedaan heeft.
Niet alleen .pk DNS lijkt door hackers misbruikt te worden, ook diverse domeinen bij GoDaddy worden voorzien van subdomeinen via welke dan malware wordt verspreid. (Bron:)
sorry hoor, maar "schade" ? de schade had veel groter kunnen zijn dan dit, dus men moet blij zijn vind ik
pardon, waarom is dit ongwenst? het is gewoon de keiharde waarheid, er had zo veel meer gedaan kunnen worden dan een redirect naar een hostsite
pardon, waarom is dit ongwenst? het is gewoon de keiharde waarheid, er had zo veel meer gedaan kunnen worden dan een redirect naar een hostsite
[Reactie gewijzigd door Remmes_NT op 25 november 2012 13:03]
Ik kan uit bovenstaand artikel niet afleiden welke toegang de hackers hadden... misschien is er alleen webfrontend gevonden waarmee ongeautoriseerde dns aanpassingen kunnen gebeuren.
Ook kan ik niet afleiden of er nog een ander impact was voor de eindgebruiker; misschien poogde die site wel malware te installeren?
Overigens is de schade die aangericht werd al behoorlijk groot: een hele resem grote en commerciële sites die praktisch offline blijken kost heel wat inkomsten voor de betrokken partijen. Daarnaast, en niet in het minst, is er de imago schade voor de infrastructuurproviders. Ook is het niet geheel ongebruikelijk dat er SLA's zijn over de beschikbaarheid, en is de kans groot dat dei geschonden werden: dat kost een hoop centen!
Ook kan ik niet afleiden of er nog een ander impact was voor de eindgebruiker; misschien poogde die site wel malware te installeren?
Overigens is de schade die aangericht werd al behoorlijk groot: een hele resem grote en commerciële sites die praktisch offline blijken kost heel wat inkomsten voor de betrokken partijen. Daarnaast, en niet in het minst, is er de imago schade voor de infrastructuurproviders. Ook is het niet geheel ongebruikelijk dat er SLA's zijn over de beschikbaarheid, en is de kans groot dat dei geschonden werden: dat kost een hoop centen!
euh, zal wel meevallen... als 'www.google.nl' het niet doet ga je toch gewoon lekker naar 'www.google.com' ? betwijfel dat er veel grote 'native' .pk websites zijn die geen alternatieve tld hebben.
Dat het voor de Big players een kleine setback is, wil niet zeggen dat de middenstand er geen last van heeft.
Mijn zwager zijn website is een "stoere" .nl
Daarop geeft hij info en uitleg over zijn werk, en testimonials van tevreden opdrachtgevers.
Alsmede al zijn contactinfo voor nieuwe offertes of opdrachten e.d.
Denk je werklijk dat hij óók een .com, .net en hele ratatouille er naast heeft ?
Hij zou werkelijk opdrachten mislopen, als de website niet, of gedeeltelijk bereikbaar is.
De wereld is gecompliceerder dan alleen het kleine TLD .nl
( als google.nl niet werkt, en malware verspreid zal er een hele mediacampagne opgestart worden met info en extra marketing, als de paki-restauranthouder dat treft, krijgt hij alleen maar gedoe en slechte reclame )
Mijn zwager zijn website is een "stoere" .nl
Daarop geeft hij info en uitleg over zijn werk, en testimonials van tevreden opdrachtgevers.
Alsmede al zijn contactinfo voor nieuwe offertes of opdrachten e.d.
Denk je werklijk dat hij óók een .com, .net en hele ratatouille er naast heeft ?
Hij zou werkelijk opdrachten mislopen, als de website niet, of gedeeltelijk bereikbaar is.
De wereld is gecompliceerder dan alleen het kleine TLD .nl
( als google.nl niet werkt, en malware verspreid zal er een hele mediacampagne opgestart worden met info en extra marketing, als de paki-restauranthouder dat treft, krijgt hij alleen maar gedoe en slechte reclame )
Ja maar dàt is dan ook eigenlijk mijn punt.
internationale bedrijven heb je er niet echt mee en dit is dan ook niet echt 'internationaal' nieuws te noemen en mijns inziens is het dus niet zo enorm relevant voor een nederlandse website om hierover te berichten.
Pakistan is sowieso niet een land waar ik meer dan 1 of 2x per jaar ook maar IETS van hoor (zij het nieuws, op willekeurige websites of in dagelijks gesprek) dus wat daar gebeurt boeit blijkbaar sowieso al niemand iets.
internationale bedrijven heb je er niet echt mee en dit is dan ook niet echt 'internationaal' nieuws te noemen en mijns inziens is het dus niet zo enorm relevant voor een nederlandse website om hierover te berichten.
Pakistan is sowieso niet een land waar ik meer dan 1 of 2x per jaar ook maar IETS van hoor (zij het nieuws, op willekeurige websites of in dagelijks gesprek) dus wat daar gebeurt boeit blijkbaar sowieso al niemand iets.
DNS is erg interessant, dus laten we dit uitpluizen alsof er iemand meeleest die niet veel verstand van heeft (*kuch* nietswetende IT managers *kuch*)
1. Wat wordt met dit aanval precies bedoeld?
2. Wat zijn DNS entries?
3. Hoe kan dit voorkomen worden?
1. Wat wordt met dit aanval precies bedoeld?
2. Wat zijn DNS entries?
3. Hoe kan dit voorkomen worden?
[Reactie gewijzigd door archive23 op 25 november 2012 10:54]
Vergelijk DNS met een telefoonboek: je zoekt op een naam, en je krijgt een telefoonnummer. Wordt dat telefoonboek (door een hacker) aangepast, dan krijg je een ander telefoonnummer bij dezelfde naam. DNS entries zijn vergelijkbaar met die regels in het telefoonboek (naam - nummer). Een DNS entry koppelt een naam aan een IP adres (= het adres waar je op het internet bereikbaar bent).
Je denkt dus dat je belt met dhr. Jansen, maar eigenlijk bel je met dhr. Kwaadinzin. Als je trouwens het telefoonnummer van dhr. Jansen uit je hoofd wist, kon je dit eenvoudig voorkomen door direct het nummer te draaien en niet het telefoonboek gebruiken.
Hoe dit exact voorkomen kan worden, weet ik niet. Maar er zullen vast wel andere Tweakers zijn die dit wel kunnen uitleggen.
Je denkt dus dat je belt met dhr. Jansen, maar eigenlijk bel je met dhr. Kwaadinzin. Als je trouwens het telefoonnummer van dhr. Jansen uit je hoofd wist, kon je dit eenvoudig voorkomen door direct het nummer te draaien en niet het telefoonboek gebruiken.
Hoe dit exact voorkomen kan worden, weet ik niet. Maar er zullen vast wel andere Tweakers zijn die dit wel kunnen uitleggen.
DNS Sec is geïntroduceerd om cache poisoning te voorkomen. Er wordt dan gebruik gemaakt van PKI om de bron te controleren. Het is alleen nog niet overal uitgerold. Of het zou werken in dit geval weet ik niet. Gezien dat de aanvaller hier de echte bron overnam (en niet voor man-in-the-middle ging) zou het certificaat goedgekeurd kunnen worden.
Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation
Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation
DNSSEC kan dit soort aanvallen voorkomen, met een paar voorwaarden:
* De chain of trust is tot aan de root aanwezig voor .pk. Anders verwijdert de hacker simpelweg de DS records voor onderliggende zones en dan zijn deze weer inssecure (dus zonder DNSSEC).
* De private keys voor de .pk zone zijn veilig opgeborgen waar de hacker er niet bij kan. Anders kan de hacker de zone zelf signen. Dat is niet heel ingewikkeld als je de key hebt.
* Degene die de website wil benaderen gebruikt DNSSEC validating resolvers. Anders wordt DNSSEC gewoon genegeerd.
Zoals te zien is op http://dnsviz.net/d/pk/dnssec/ is de .pk zone niet secure.
Als dit voor bijvoorbeeld .nl zou gebeuren en je hebt een DNSSEC validating resolver (voor zover ik weet hebben in Nederland alleen t-mobile en lijbrandt dit aan staan op hun nameservers), zou je geen website te zien krijgen. Op het moment dat een record BOGUS wordt verklaard zal de nameserver namelijk een SERVFAIL response teruggeven.
* De chain of trust is tot aan de root aanwezig voor .pk. Anders verwijdert de hacker simpelweg de DS records voor onderliggende zones en dan zijn deze weer inssecure (dus zonder DNSSEC).
* De private keys voor de .pk zone zijn veilig opgeborgen waar de hacker er niet bij kan. Anders kan de hacker de zone zelf signen. Dat is niet heel ingewikkeld als je de key hebt.
* Degene die de website wil benaderen gebruikt DNSSEC validating resolvers. Anders wordt DNSSEC gewoon genegeerd.
Zoals te zien is op http://dnsviz.net/d/pk/dnssec/ is de .pk zone niet secure.
Als dit voor bijvoorbeeld .nl zou gebeuren en je hebt een DNSSEC validating resolver (voor zover ik weet hebben in Nederland alleen t-mobile en lijbrandt dit aan staan op hun nameservers), zou je geen website te zien krijgen. Op het moment dat een record BOGUS wordt verklaard zal de nameserver namelijk een SERVFAIL response teruggeven.
DNSSEC zou het in dit geval niet kunnen voorkomen, want men heeft er voor gezorgd dat er naar een andere DNS server werd verwezen.DNS Sec is geïntroduceerd om cache poisoning te voorkomen. Er wordt dan gebruik gemaakt van PKI om de bron te controleren. Het is alleen nog niet overal uitgerold. Of het zou werken in dit geval weet ik niet. Gezien dat de aanvaller hier de echte bron overnam (en niet voor man-in-the-middle ging) zou het certificaat goedgekeurd kunnen worden.
Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation
Met andere woorden : Een heel ander telefoonboek.
Quote :
Hierdoor verwezen de dns-records van in totaal 284 websites naar de dns-server freehostia.com.
Die DNS server hebben ze volledig zelf onder controle.
Een nameserver verwijzing is een NS record. Ook deze NS records zijn secure door DNSSEC. Als jij de NS records gaat wijzigen, zul je de RRSIG record die de NS records covered opnieuw moeten genereren met de private key.
Met andere woorden: Een heel ander telefoonboek waar heel groot door de gehele pagina staat dat deze bogus is.
Met andere woorden: Een heel ander telefoonboek waar heel groot door de gehele pagina staat dat deze bogus is.
Heel mooie uitleg; allen is het in de praktijk niet zo eenvoudig zelf "het goede nummer te draaien" als je een website wil bereiken. Technisch maakt een webserver immers ook gebruik van de url die je intypte om de juiste site te kunnen tonen.
In een gelijkaardige analogie kan je stellen dat je een bejaarde in een tehuis niet telefonisch kan bereiken als je niet én het juiste nummer draait, én de juiste naam weet door te geven aan de receptie van de bejaardenhome!
In een gelijkaardige analogie kan je stellen dat je een bejaarde in een tehuis niet telefonisch kan bereiken als je niet én het juiste nummer draait, én de juiste naam weet door te geven aan de receptie van de bejaardenhome!
Met deze aanval wordt bedoeld dat er is geknoeid en dat het verkeer naar andere sites is geleid.
Je kan het vergelijken met dat als je www.google.nl in je browser intypt je terecht komt op www.hackemehelemaalplat.com (fictieve URL) en dat daar op de index pagina allemaal malware staat die dan automatisch op je PC wordt geladen.
Een DNS entry is een verwijzing in een DNS server. DNS vertaalt ip adressen naar een naam. Deze zijn blijkbaar veranderd.
Hoe het voorkomen kan worden krijgen wij niet te weten; we weten immers niet hoe het kan dat het is aangepast.
Je kan het vergelijken met dat als je www.google.nl in je browser intypt je terecht komt op www.hackemehelemaalplat.com (fictieve URL) en dat daar op de index pagina allemaal malware staat die dan automatisch op je PC wordt geladen.
Een DNS entry is een verwijzing in een DNS server. DNS vertaalt ip adressen naar een naam. Deze zijn blijkbaar veranderd.
Hoe het voorkomen kan worden krijgen wij niet te weten; we weten immers niet hoe het kan dat het is aangepast.
Dit is toch andersom?Een DNS entry is een verwijzing in een DNS server. DNS vertaalt ip adressen naar een naam. Deze zijn blijkbaar veranderd.
Een DNS-server vertaalt een hostname (bijvoorbeeld www.tweakers.net) naar een IP-adres (in dit geval 213.239.154.20).
Als je dus de DNS-entry weet aan te passen om te wijzen naar 74.125.132.94 zou je dus op www.google.nl uitkomen terwijl je dus wel www.tweakers.net hebt ingegeven.
Een DNS-entry kan nog worden overruled door een lokale hosts file.
[Reactie gewijzigd door _Peter2_ op 26 november 2012 09:34]
Eindelijk iemand die het snapt, zit tweakers vol met digibeten of doen ze gewoon net alsof?
Een manager hoeft niet per definitie verstand te hebben van het product.DNS is erg interessant, dus laten we dit uitpluizen alsof er iemand meeleest die niet veel verstand van heeft (*kuch* nietswetende IT managers *kuch*)
Het is zijn taak om de afdeling rendabel aan te sturen, en daarbij op kosten te letten.
Niet gehinderd door kennis kan hij aansturen op effectiviteit en oplossingen, het 'werk' hoort door de personen daarvoor ingehuurd te worden gedaan, de ICT'er
Je kunt je afvragen of er daadwerkelijk sprake is van "schade". Volgens het artikel werden de bezoekers van de getroffen sites slechts doorverwezen naar een pagina waarop te lezen viel dat de bezochte site "gehackt" was.
De enige "schade" die ik kan bedenken is misgelopen inkomsten van advertenties en het uurtarief van de persoon welke de doorverwijzing ongedaan moet maken.
De enige "schade" die ik kan bedenken is misgelopen inkomsten van advertenties en het uurtarief van de persoon welke de doorverwijzing ongedaan moet maken.
Dan kun je toch spreken van daadwerkelijke schade? 
Ook zou je kunnen denken aan de minder 'tastbare' schade, zoals imagoschade. Niet iedereen heeft het relativeringsvermogen om te zien dat dit niet de fout van de getroffen bedrijven was, maar veroorzaakt is door een hacker met kwade bedoelingen.
Ook zou je kunnen denken aan de minder 'tastbare' schade, zoals imagoschade. Niet iedereen heeft het relativeringsvermogen om te zien dat dit niet de fout van de getroffen bedrijven was, maar veroorzaakt is door een hacker met kwade bedoelingen.
Tja, de schade die je beschrijft is er inderdaad wel. Ik denk dat je die misgelopen inkomsten niet moet onderschatten. Dat loopt al snel in de miljoenen.
Het had natuurlijk veel erger kunnen zijn. Als er een geavanceerde malware was geserveerd op die pagina. Dan had je in 1x half pakistan in je botnet kunnen hebben.
In principe mag men dus van geluk spreken dat het (vooralsnog) een redelijk onschuldige hack lijkt te zijn.
Het had natuurlijk veel erger kunnen zijn. Als er een geavanceerde malware was geserveerd op die pagina. Dan had je in 1x half pakistan in je botnet kunnen hebben.
In principe mag men dus van geluk spreken dat het (vooralsnog) een redelijk onschuldige hack lijkt te zijn.
Daarbij ga je er dan wel vanuit dat de gemiste inkomsten op een later moment niet zijn ingehaald. Als ik van plan was een iMac te kopen en de website van Apple is niet te vinden dan zal ik niet gelijk naar een alternatief gaan maar gerust nog een dag wachten.
"Ik koop een Apple, want dan heb ik geen virussen, heey Apple is gehackt? Wtf? Ik koop wel een PC"
Misschien lomp voorbeeld (en lekkere generalisering van hoe Apple-kopers denken, niet als bash bedoelt, maar je hebt genoeg idioten, ben zelf Apple groot verbruiker).
Het down zijn van een website kan zeker wel de verkoop verstoren. Al zal dit altijd moeilijk aan te tonen blijven.
Misschien lomp voorbeeld (en lekkere generalisering van hoe Apple-kopers denken, niet als bash bedoelt, maar je hebt genoeg idioten, ben zelf Apple groot verbruiker).
Het down zijn van een website kan zeker wel de verkoop verstoren. Al zal dit altijd moeilijk aan te tonen blijven.
Ze hebben het wel degelijk gemeld ze wouden het zelfs voor hun oplossen maar ze hebben er niks aan gedaan dus eigen schuld
Dit soort hackers moeten maar eens les krijgen in respect.
of bedrijven moeten maar eens meer gaan doen/luisteren wanneer er een lek is, vaak word een lek gevonden en gemeld, maar meestal doet men er niets aan totdat er iets ergs gebeurd (want tja, het kost geld) en dan word men boos op de persoon die het lek "misbruikt"
ik vnd het persoonlijk goed dat men onschuldige dingen doet zoals dit om de aandacht van bedrijven te krijgen om zo het lek te dichten, zoals ik in mijn vorige post (die ongewenst is) al zeg, men moet blij wezen want er zou veel meer schade zijn kunnen aangebracht
ik vnd het persoonlijk goed dat men onschuldige dingen doet zoals dit om de aandacht van bedrijven te krijgen om zo het lek te dichten, zoals ik in mijn vorige post (die ongewenst is) al zeg, men moet blij wezen want er zou veel meer schade zijn kunnen aangebracht
Mijn achterdeur is regelmatig niet afgesloten, ik weet dat.
Denk je werkelijk dat ik een figuur 'bedank' die me dat komt vertellen ?
* hij kan het ALLEEN maar weten omdat hij in mijn achtertuin is geweest, en aan de deur heeft gevoeld, iets waar hij OOK al niets te zoeken had
Zou er een inbreker komen, die ineens in mijn keuken of woonkamer staat, krijgt hij toch wel wat aardigheidjes ( linkervoet, rechtervoet evt stukje hout )
het blijft strafbaar, zelfs langs de voordeur ben je niet welkom als je niet uitgenodigd bent.
http://www.wetboek-online.nl/wet/Sr/311.html
Waarom zou dat via internet ook niet gelden ( wet op computercriminaliteit )
Natuurlijk, melden mag, maar misbruiken na melding is nog geen geldig excuus
Denk je werkelijk dat ik een figuur 'bedank' die me dat komt vertellen ?
* hij kan het ALLEEN maar weten omdat hij in mijn achtertuin is geweest, en aan de deur heeft gevoeld, iets waar hij OOK al niets te zoeken had
Zou er een inbreker komen, die ineens in mijn keuken of woonkamer staat, krijgt hij toch wel wat aardigheidjes ( linkervoet, rechtervoet evt stukje hout )
het blijft strafbaar, zelfs langs de voordeur ben je niet welkom als je niet uitgenodigd bent.
http://www.wetboek-online.nl/wet/Sr/311.html
Waarom zou dat via internet ook niet gelden ( wet op computercriminaliteit )
Natuurlijk, melden mag, maar misbruiken na melding is nog geen geldig excuus
krijgen we weer het deur verhaal,haal aub nu niet de echte wereld met het internet door elkaar aub
Kretologie 101?
Ik denk dat je niet zonder verdere achtergrondinformatie kunt vaststellen of de kraak uit gebrek aan respect (modewoord) gebeurde. Digitaal activisme is soms inderdaad vandalisme en soms vergelijkbaar met iemand die een spandoek ophangt of in een demonstratie meeloopt.
Ik denk dat je niet zonder verdere achtergrondinformatie kunt vaststellen of de kraak uit gebrek aan respect (modewoord) gebeurde. Digitaal activisme is soms inderdaad vandalisme en soms vergelijkbaar met iemand die een spandoek ophangt of in een demonstratie meeloopt.
Volgens mij hebben ze bij PKNIC last van PICNIC
Doet me denken aan google.ie en yahoo.ie. Hier kreeg Markmonitor ook eerst de schuld, later bleek dat de fout bij de Registry zelf lag.
http://www.internetnews.m...-about-security-incident/
http://www.internetnews.m...-about-security-incident/
Respect voor de gene die dat voor elkaar kreeg.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
