Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 33, views: 24.291 •

Een hacker is er in geslaagd om in Pakistan de dns-entries te wijzigen van 284 websites met een .pk-domein. Hierdoor werden bezoekers van de getroffen websites, waaronder de Pakistaanse sites van Google, Microsoft en Apple, omgeleid naar een website van de aanvaller.

De hacker zou er in zijn geslaagd om dns-wijzigingen door te voeren voor honderden websites met een .pk-extensie. Hierdoor verwezen de dns-records van in totaal 284 websites naar de dns-server freehostia.com. Bezoekers werden vervolgens doorgestuurd naar een pagina waarop te lezen was dat de betreffende Pakistaanse website zou zijn gekraakt. Onder andere de websites microsoft.pk, apple.pk, paypal.pk, ebay.pk en cisco.pk waren slachtoffer van de gewijzigde dns-entries in de systemen van MarkMonitor. Inmiddels is een deel van de getroffen websites weer te bereiken.

Het is nog niet geheel duidelijk wie de aanvallen heeft uitgevoerd, maar er zijn aanwijzingen dat een Turkse hacker onder het alias Eboz verantwoordelijk is. Ook lijkt het er op dat de hacker geen politieke motivaties heeft bij deze aanval.

Hoe de aanvaller de dns-records van de Pakistaanse websites heeft kunnen wijzigen, is nog niet duidelijk, al zijn er aanwijzingen dat de aanval via de Pakistaanse registrar PKNIC is verlopen. De getroffen domeinen zouden echter weer worden beheerd door de Amerikaanse firma MarkMonitor.

Reacties (33)

Kijk dit vind ik nou weer een trieste actie, andere mensen op deze manier schade aanbrengen.
Als ze nou gewoon het lek hadden verteld aan PKNIC was er niets aan de hand geweest...
Wellicht had de hacker niet helemaal de meest goede intenties? Dan kan je het triest vinden maar een willekeurige winkelcrimineel gaat ook niet na het stelen van wat boodschappen terug naar de supermarkt manager om aan te tonen hoe hij dat gedaan heeft.
Niet alleen .pk DNS lijkt door hackers misbruikt te worden, ook diverse domeinen bij GoDaddy worden voorzien van subdomeinen via welke dan malware wordt verspreid. (Bron:)
Ik kan uit bovenstaand artikel niet afleiden welke toegang de hackers hadden... misschien is er alleen webfrontend gevonden waarmee ongeautoriseerde dns aanpassingen kunnen gebeuren.
Ook kan ik niet afleiden of er nog een ander impact was voor de eindgebruiker; misschien poogde die site wel malware te installeren?

Overigens is de schade die aangericht werd al behoorlijk groot: een hele resem grote en commerciŰle sites die praktisch offline blijken kost heel wat inkomsten voor de betrokken partijen. Daarnaast, en niet in het minst, is er de imago schade voor de infrastructuurproviders. Ook is het niet geheel ongebruikelijk dat er SLA's zijn over de beschikbaarheid, en is de kans groot dat dei geschonden werden: dat kost een hoop centen!
Dat het voor de Big players een kleine setback is, wil niet zeggen dat de middenstand er geen last van heeft.

Mijn zwager zijn website is een "stoere" .nl
Daarop geeft hij info en uitleg over zijn werk, en testimonials van tevreden opdrachtgevers.
Alsmede al zijn contactinfo voor nieuwe offertes of opdrachten e.d.

Denk je werklijk dat hij ˇˇk een .com, .net en hele ratatouille er naast heeft ?
Hij zou werkelijk opdrachten mislopen, als de website niet, of gedeeltelijk bereikbaar is.

De wereld is gecompliceerder dan alleen het kleine TLD .nl

( als google.nl niet werkt, en malware verspreid zal er een hele mediacampagne opgestart worden met info en extra marketing, als de paki-restauranthouder dat treft, krijgt hij alleen maar gedoe en slechte reclame )
Vergelijk DNS met een telefoonboek: je zoekt op een naam, en je krijgt een telefoonnummer. Wordt dat telefoonboek (door een hacker) aangepast, dan krijg je een ander telefoonnummer bij dezelfde naam. DNS entries zijn vergelijkbaar met die regels in het telefoonboek (naam - nummer). Een DNS entry koppelt een naam aan een IP adres (= het adres waar je op het internet bereikbaar bent).

Je denkt dus dat je belt met dhr. Jansen, maar eigenlijk bel je met dhr. Kwaadinzin. Als je trouwens het telefoonnummer van dhr. Jansen uit je hoofd wist, kon je dit eenvoudig voorkomen door direct het nummer te draaien en niet het telefoonboek gebruiken.

Hoe dit exact voorkomen kan worden, weet ik niet. Maar er zullen vast wel andere Tweakers zijn die dit wel kunnen uitleggen.
DNS Sec is ge´ntroduceerd om cache poisoning te voorkomen. Er wordt dan gebruik gemaakt van PKI om de bron te controleren. Het is alleen nog niet overal uitgerold. Of het zou werken in dit geval weet ik niet. Gezien dat de aanvaller hier de echte bron overnam (en niet voor man-in-the-middle ging) zou het certificaat goedgekeurd kunnen worden.

Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation
DNSSEC kan dit soort aanvallen voorkomen, met een paar voorwaarden:
* De chain of trust is tot aan de root aanwezig voor .pk. Anders verwijdert de hacker simpelweg de DS records voor onderliggende zones en dan zijn deze weer inssecure (dus zonder DNSSEC).

* De private keys voor de .pk zone zijn veilig opgeborgen waar de hacker er niet bij kan. Anders kan de hacker de zone zelf signen. Dat is niet heel ingewikkeld als je de key hebt.

* Degene die de website wil benaderen gebruikt DNSSEC validating resolvers. Anders wordt DNSSEC gewoon genegeerd.

Zoals te zien is op http://dnsviz.net/d/pk/dnssec/ is de .pk zone niet secure.

Als dit voor bijvoorbeeld .nl zou gebeuren en je hebt een DNSSEC validating resolver (voor zover ik weet hebben in Nederland alleen t-mobile en lijbrandt dit aan staan op hun nameservers), zou je geen website te zien krijgen. Op het moment dat een record BOGUS wordt verklaard zal de nameserver namelijk een SERVFAIL response teruggeven.
Met deze aanval wordt bedoeld dat er is geknoeid en dat het verkeer naar andere sites is geleid.

Je kan het vergelijken met dat als je www.google.nl in je browser intypt je terecht komt op www.hackemehelemaalplat.com (fictieve URL) en dat daar op de index pagina allemaal malware staat die dan automatisch op je PC wordt geladen.

Een DNS entry is een verwijzing in een DNS server. DNS vertaalt ip adressen naar een naam. Deze zijn blijkbaar veranderd.
Hoe het voorkomen kan worden krijgen wij niet te weten; we weten immers niet hoe het kan dat het is aangepast.
Dan kun je toch spreken van daadwerkelijke schade? ;)

Ook zou je kunnen denken aan de minder 'tastbare' schade, zoals imagoschade. Niet iedereen heeft het relativeringsvermogen om te zien dat dit niet de fout van de getroffen bedrijven was, maar veroorzaakt is door een hacker met kwade bedoelingen.
Tja, de schade die je beschrijft is er inderdaad wel. Ik denk dat je die misgelopen inkomsten niet moet onderschatten. Dat loopt al snel in de miljoenen.

Het had natuurlijk veel erger kunnen zijn. Als er een geavanceerde malware was geserveerd op die pagina. Dan had je in 1x half pakistan in je botnet kunnen hebben.

In principe mag men dus van geluk spreken dat het (vooralsnog) een redelijk onschuldige hack lijkt te zijn.
of bedrijven moeten maar eens meer gaan doen/luisteren wanneer er een lek is, vaak word een lek gevonden en gemeld, maar meestal doet men er niets aan totdat er iets ergs gebeurd (want tja, het kost geld) en dan word men boos op de persoon die het lek "misbruikt"

ik vnd het persoonlijk goed dat men onschuldige dingen doet zoals dit om de aandacht van bedrijven te krijgen om zo het lek te dichten, zoals ik in mijn vorige post (die ongewenst is) al zeg, men moet blij wezen want er zou veel meer schade zijn kunnen aangebracht
Mijn achterdeur is regelmatig niet afgesloten, ik weet dat.

Denk je werkelijk dat ik een figuur 'bedank' die me dat komt vertellen ?

* hij kan het ALLEEN maar weten omdat hij in mijn achtertuin is geweest, en aan de deur heeft gevoeld, iets waar hij OOK al niets te zoeken had

Zou er een inbreker komen, die ineens in mijn keuken of woonkamer staat, krijgt hij toch wel wat aardigheidjes ( linkervoet, rechtervoet evt stukje hout )
het blijft strafbaar, zelfs langs de voordeur ben je niet welkom als je niet uitgenodigd bent.

http://www.wetboek-online.nl/wet/Sr/311.html


Waarom zou dat via internet ook niet gelden ( wet op computercriminaliteit )
Natuurlijk, melden mag, maar misbruiken na melding is nog geen geldig excuus
Doet me denken aan google.ie en yahoo.ie. Hier kreeg Markmonitor ook eerst de schuld, later bleek dat de fout bij de Registry zelf lag.

http://www.internetnews.m...-about-security-incident/

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013