Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties, 40.476 views •
Submitter: Bor de Wollef

Speedtest.net heeft volgens een beveiligingsbedrijf en een -onderzoeker enige tijd malware geserveerd aan gebruikers. Waarschijnlijk gebeurde dat door middel van een geïnfecteerde banner. Speedtest.net heeft de kwestie niet bevestigd.

Beveiligingsbedrijf Invincea schrijft op zijn website dat Speedtest.net gedurende een onbekende periode malware heeft geserveerd aan bezoekers. Dat bevestigt een beveiligingsonderzoeker. Bij het misbruik werd een exploit-kit gebruikt. Exploit-kits gebruiken kwetsbaarheden in software om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.

Een test-installatie van het bedrijf, met Windows XP SP3, Internet Explorer 8 en een niet volledig gepatchte Java-versie, werd na een bezoek aan Speedtest.net geïnfecteerd. Met behulp van een lek in Java werd namaak-antivirussoftware geïnstalleerd. De Java-versie op de testinstallatie was de op-één-na-nieuwste; afgelopen week bracht Oracle voortijdig een patch uit nadat een groot aantal beveiligingsproblemen aan het licht kwam.

Waarschijnlijk is Speedtest.net niet gehackt, maar werd de malware verspreid door malvertising: een banner die malware serveert. Dat overkomt meer websites: vorig jaar nog waren NRC.nl en Telegraaf.nl het slachtoffer van malvertising. Speedtest.net heeft de kwestie niet bevestigd. Volgens Invincea is de site inmiddels weer veilig te bezoeken.

Malvertising op Speedtest.net

Reacties (98)

Reactiefilter:-198093+159+25+30
Moderatie-faq Wijzig weergave
Hoe zit het dan als je dergelijke spullen blokkeert met Adblock Plus ?

Wordt de betreffende banner dan écht geblokkeerd, of krijg je deze simpelweg niet te zien en wordt deze wel degelijk tijdelijk opgeslagen in de betreffende "temp" map ?
Dat is dus niet het geval. Die banner bevat een java applet die de malware serveert, daarvoor hoef je nergens op te klikken.

Het enige dat nodig is is een actieve java plugin met een lek.
Reclame's in webpaginaas worden via referenties naar andere sites geladen. Adblokkers voorkomen dat deze referenties gevolgd en ingeladen worden. Het doel van een ad blokker is namelijk niet alleen dat je geen vervelende reclames ziet maar dat het laden van de pagina ook sneller gaat doordat niet alle data behorend bij de advertenties ingeladen hoeft te worden. Hierdoor zul je dus minder kwetsbaar zijn voor kwaadwillende ads.

Er zijn uiteraard vele manieren om ads in een pagina te zetten dus dit zal niet altijd opgaan.
Het doel van een ad blokker is namelijk niet alleen dat je geen vervelende reclames ziet maar dat het laden van de pagina ook sneller gaat doordat niet alle data behorend bij de advertenties ingeladen hoeft te worden.
Dat hangt maar net van de bewuste adblocker af.

Ikzelf gebruik hostsfile.org (alleen dat al scheelt tonnen aan reclame) en Opera waarbij je makkelijker ads kan blokkeren dan bij Firefix+AdBlock. In Opera is 't simpelweg rechtsklikken en dan bewuste ad(s)blokkeren. Alleen pakt ie sommige flash ads of youtube ads niet...*
Maar dan kan ik nog altijd de hostsfile gebruiken.
*: Bij AdBlock is dat trouwens ook zo.
Internet Explorer is in elk geval een ramp: als je daar een ad wil blokkeren, ben je zo een minuut aan 't prutsen. Voor één ad.
Iedereen adviseert tegenwoordig om de Java-plugin uit te zetten. Het is het meest onveilige deel van je browser (indien actief), en niet vaak nodig. Je kunt hem tijdelijk handmatig aanzetten mocht je hem nodig hebben op een bepaalde site.
Nee hoor, de malware wordt direct actief bij het bezoeken van de site.

Bij Adblock Plus hangt het ervan af hoe je ads blokkeert. Bij Element Hiding wordt alle code van de banner wel uitgevoerd, maar wordt de banner alleen niet op het scherm getoond. Bij een totale blokkade (zoals bij EasyList gebeurt) wordt ook de JavaScript van de banner niet ingeladen.
Nope, dat is juist het probleem bij dit soort exploits. Je hoeft als gebruiker niets meer te doen dan de pagina te openen.
Wat ik vreemd vind, is het feit dat ik JAVA.EXE zie. Aan deze kant vraagt mijn browser altijd of hij java mag openen, als dat sommige keren gebeurd, weet ik dat er iets niet goed zit op die website, tenzij er expliciet aangegeven is dat men een java applicatie nodig heeft om de website te gebruiken, zoals vaak bij wetenschappelijke site's die java applets gebruiken bij demo's etc.
Een test-installatie van het bedrijf, met Windows XP SP3, Internet Explorer 8 en een niet volledig gepatchte Java-versie
Ik ga er vanuit dat jij niet vanuit deze opstelling surft ;)
dat was met de banners van Nu.nl en Telegraaf niet het geval volgens mij.
Euhhh dit is volgens mij feitelijk onjuist. De malware wordt juist direct actief als je de pagina opent van de geinfecteerd site (dus speedtest.net.).
Er wordt namelijk een banner geladen van de advertentie partij, die weer een javascript/image of iets dergelijks laadt vanaf een onbetrouwbare server. Die wordt direct door je browser gerendered (even afhankelijk van de instellingen uiteraard).

Aangezien de verwijzing altijd via de ad-partij komt, vermoed ik dat adblock deze wel zal tegenhouden.
Niet relevant, want die malware wordt pas actief nádat je op zo'n banner klikt.
Banner klikken is niks meer dan op link klikken. De computer voer gif of jpg niet uit als een exe of zo zodat er iets meer kan gebeuren dan plaatje weergeven, daar zit de exploit niet die ze gebruiken, die zit in de java die browser gebruikt en bij het laden word je dus al besmet.
Dit zou ik ook wel willen weten, anders is dit nog een reden om adblock te gebruiken :)
Je zou ervanuit gaan dat de advertentie request in zijn geheel afgevangen wordt en dus geblokkeerd, dan zou deze redirect ook nooit plaats kunnen vinden.
@wtfzdotnet : Dat is dus de vraag. Verhindert Adblock Plus dat de betreffende banner toegang krijgt tot de map waar je tijdelijke internetbestanden staan, of blokkeert deze enkel visueel.

In het eerste geval zou het betekenen dat de malware geen toegang krijgt tot je systeem. In het tweede geval raakt je systeem wél geïnfecteerd ondanks dat je de banner niet ziet en ben je dus op je AV of Antimalware software aangewezen.

Heb een tijdje Malwarebytes Anti-Malware gebruikt, maar deze zorgde voor storing tijdens het afspelen van muziek (rare klikjes en krakende geluidjes) die op mijn NAS opgeslagen liggen. Na het verwijderen van deze software was dat probleem opgelost.
Adblock plus blokkeert de inkomende verbinding van de advertentie server.
(bijvoorbeeld ad.nl.doubleclick.net). Laad tweakers.net maar eens in chrome, met je inspector open (F12).

Als je adBlock hebt aanstaan dan zie je in het tabblad Network, dat de verbinding naar ad.nl.doubleclick.net is tegengehouden (canceled).
En als je je met alleen AdBlock nog niet veilig waant, kan je altijd nog Ghostery installeren. Als je daar de advertenties uit zit je helemaal safe.

Probleem wat ik wel ontdekt heb is dat bijvoorbeeld de lolfilmpjes van Telegraaf van hun advertentienetwerk afkomen. Die zie je dus ook niet meer. Aan de andere kant, die worden toch geleend van youtube dus je kan ze daar ook even opzoeken.
Kun je niet een handmatig filter met "allow" instellen in Adblock om een uitzondering te maken voor die filmpjes?
@jarrin : Kijk, weer wat geleerd. Bedankt !
dat hangt af van de rule. Er zijn rules die verkeer inderdaad voorkomt (als je een URL blokt), maar je hebt ook element hiding rules, die bijv ad-divjes niet toont maar de content dus wel laadt.

Het antwoord op de vraag is dus niet zo simpel. Maar klopt wel voor het "blocking" deel van mijn verhaal.
Hoe zit het dan als je dergelijke spullen blokkeert met Adblock Plus ?

Wordt de betreffende banner dan écht geblokkeerd, of krijg je deze simpelweg niet te zien en wordt deze wel degelijk tijdelijk opgeslagen in de betreffende "temp" map ?
Die urls worden naar mijn weten doorgestuurd naar 127.0.0.1 dus worden niet eens geladen.
De Banner Wordt daadwerkelijk Geblokt door Adblock gebruik hem al een geruime tijd en geen sh.. meer }>
Adblock plus voor security gebruiken? Dan kun je beter noscript gebruiken, dat is meer bedoeld om scripjes te blokkeren. Levert ook een rustiger internet op.
Toch lekker dan dat ik Adblock Plus in Firefox heb zitten, weer een reden om Adblock Plus te hebben.

Het is toch triest dat je bijna op geen enkel site meer kan kijken zonder de kans te hebben dat je computer ge infecteert woord |:(
Adblock plus voor security gebruiken? Dan kun je beter noscript gebruiken, dat is meer bedoeld om scripjes te blokkeren. Levert ook een rustiger internet op.
Daar voor heb je ook Ghostery, werkt daar ook erg goed voor.

[Reactie gewijzigd door AmigaWolf op 7 februari 2013 18:51]

-.-" Ik ga echt maar een addblocker gebruiken...
Ik word er echt gek van... Virusen, irritante adds die zomaar openen (zonder dat je iets doet), irritante adds die iets openen zodra de muis enkel eroverheen beweegt.
Ik heb er gewoon genoeg van :(

Weet er iemand wat een goede addblocker is voor FF?
Ik herinner me dat adblocker (nogiets) destijds was overgenomen door een of ander dubieus persoon die bepaalde adds (die hem betaalde) er als nog door liet...
Ben op dit punt een redelijke noob...

Edit.
Dit bedoelde ik dus
http://www.extremetech.co...comes-someadsblocked-plus

Hmm, Ik zal Ghostery en Adblock Edge (kopie van plus, maar zonder opt out) na de lunch eens proberen.

[Reactie gewijzigd door DCG909 op 7 februari 2013 11:56]

Tegenwoordig is er Adblock+, dezelfde werking en met Easylists (word er automatisch op regionale settings bijgeleverd, is aan te passen naar eigen inzicht). Deze Easylists blokkeren zoals eerder gezegd dus dit soort malvertising door ook de code achter de banner te blokkeren.

Ikzelf browse (denk ik) veilig met Ghostery, Adblock+ en TrackMeNot als addons.
Zolang de heren de advertentie's maar niet op deze site verbieden.
Dat is tegen de voorwaarden en je account kan er zelf om geblokt worden.
Ik gebruik zelf ook een add blocker, maar op tweakers.net staat ie uit :Y.

Valt me wel meer op dat er steeds meer malware via reclame wordt verspreid.
Wat ik dan niet snap, is dan dat mensen (als voorbeeld), met de vinger naar nu.nl wijzen dat die het gedaan heeft. Maar dat is niet zo, nu heeft aleen een klein embed regeltje in hun code om reclame van een bepaalde reclame provider op te halen.
En laat nou net die provider slecht bezig zijn, die hoort zijn reclames te controleren, niet nu.nl
Bij mij staat adblock op tweakers en wat andere favoriete website ook uit. het is een bron van inkomsten voor ze en nu heeft tweakers zoveel reclame denk ik niet nodig omdat ze zo groot zijn maar er zijn diverse kleine websites die volledig afhankelijk zijn van ads.
Dat snap ik wel, maar ik merk het even op, omdat het juist in de voorwaarden staat (wat ik wel extreem vind).
Ik reageerde op de post boven jouw.

Naar mijn weten gebeurt dat infecteren door java, als je die niet gebruikt dan
Kan tweakers jouw niet bannen.
Ja toedels, zolang dit soort risico's bestaan lijkt het me prima gerechtvaardigt om een adblocker te gebruiken. Wat nou als je via zo'n banner op Tweakers geïnfecteerd raakt? Dan zegt men hier ook gewoon: "Kunnen wij niets aan doen, komt van de ad-provider" en ondertussen zit jij met een systeem dat op de achtergrond rommel binnenhaalt.
Nou dan kies ik liever voor de veilige weg en verwijder Java als eerste (gaat nu al een maand zonder problemen, op 1 progje na dat het nodig had maar die ik kan missen), maar vervolgens blijf ik gewoon Adblock Plus gebruiken.

Veiligheidsproblemen die ontstaan door nalatigheid van de gebruiker zijn eigen verantwoordelijkheid, maar in dit soort gevallen heb je er zonder blockers of wat dan ook geen controle over. Zolang een site mij niet kan garanderen dat de banners veilig zijn neem ik (in dit geval) dan liever het risico op een ban. En ik weet dat ze het niet kunnen garanderen, want het is al vaker voorgekomen, oa. in de discussies over die gigantische overlay-banners die hier af en toe langskwamen; ze kunnen hooguit eisen aan de formaten stellen of in het ergste geval van bannerboer switchen.

Zijn er onderhand geen voorzieningen als white-/blacklists voor bannerboeren eigenlijk? Ik bedoel niet zoals de lijsten die adblock gebruikt, maar hetzelfde idee als blacklists voor verdachte mailadressen bijv.?

Ik geef eerlijk toe wel met bedenkingen te zitten, voor wat betreft de inkomsten van Tweakers.net, maar kan met zekerheid zeggen dat ik hier nog nooit een banner aangeklikt heb (doe ik überhaupt nooit), dus die inkomstenderving valt in mijn geval wel mee. De andere optie is dat ik hier helemaal niet meer kom als het beleid doorgedrukt wordt en ik weet zeker dat ik daar niet de enige in ben.
Is dat dan een alternatief, dat de userbase hier af zal gaan nemen? Kan ik me niet voorstellen, Tweakers is niet alleen de site v/h jaar geworden omdat het hier nou allemaal zo perfect is, dat hebben ze ook aan de hechte community te danken.
Even een vraag.
Wat als er via de google ads (die staan ook op tweakers) virusen worden verspreid? Tweakers verplicht mij om het op een whitelist te zetten en forceert mij dan dus vatbaar te zijn voor virussen.

Wat dan? Dan zit ik met de gebakken peren :/
(heb overigens geen Java op welke pc dan ook draaien)

http://www.resourcesforlife.com/docs/item5318
Even vluchtig gevonden, niet eens zo gek oud...

Tevens vind ik advertenties gewoon een verspilling van bandbreedte :/

[Reactie gewijzigd door DCG909 op 7 februari 2013 13:14]

Ik gebruik Do Not Track Me van Abine. Ik heb deze getest tegen Ghostery en deze blocked iig een stuk meer dan Ghostery op de NL pages.
AdBlock Plus is de bekendste en naar mijn weten werkt die prima. Ik weet niet zeker of dit de Ad blocker is waar jij het over hebt maar op Chrome werkt hij prima (zelfde auteur, dunkt me).
Ik gebruik adblock plus, ik heb het echt gehad met al die bewegende reclames en popups.
Ghostery is zeker een goede Optie naar mijn mening. Die vangt ook een groot aantal andere zaken af en laat je zelfs zien welke diensten gebruik proberen te maken van bijvoorbeeld ads of trackers.
Niet helemaal. Vanaf AdBlock 2.0 is er een optie (die standaard aan staat, maar je kunt hem perfect weer uitzetten) om "non intrusive ads" erdoor te laten. Dit zijn enkel statische text ads die niet wild flashend de aandacht gaan trekken. De bedoeling van AdBlock is namelijk niet inkomsten van sites weg te plukken, maar wel gebruikers de kans geven zich te focussen op de content. Hiermee hopen ze ad companies aan te sporen meer van dit soort niet-irritante ads te gebruiken, om uiteindelijk een evenwicht te vinden waar iedereen tevreden mee is.
Die beveiligingsonderzoekers hebben mooie tooltjes zeg (zie screenshot bij deze nieuwspost). Voor de particulier is er procmon wat ongeveer hetzelfde doet, maar dan moet je de informatie er zelf tussenuit zoeken.
Die beveiligingsonderzoekers hebben mooie tooltjes zeg (zie screenshot bij deze nieuwspost). Voor de particulier is er procmon wat ongeveer hetzelfde doet, maar dan moet je de informatie er zelf tussenuit zoeken.
Daar zat ik inderdaad ook al naar te kijken, is er niet zo'n soort tool voor 'gewone' gebruikers ? Lijkt me rete handig.
Tool die men gebruikt is de threat analyzer van invincea.
Flash kun je niet zonder nee, erg veel zaken zijn nog gebaseerd op Flash. Maar Java is wel een ander verhaal. Steeds meer websites willen onafhankelijk van Java kunnen draaien, aangezien Java zo lek is als een mandje. Daar wil je als gerenommeerde website natuurlijk niet mee geassocieerd worden.

Mijn punt is dat Java niet meer een lang leven beschoren is. Je zult dus steeds minder last hebben van zaken die niet goed werken als je Java verwijdert.
Flash kan je eigenlijk ook prima zonder hoor, vraag maar aan iPad gebruikers. Enige dat je (soms) mist is embedded video en dat wordt ook steeds vaker op een andere manier geserveerd.

Zelf heb ik een plug-in in Firefox die flash standaard blokkeert en alleen een placeholder laat zien. Als je op de placeholder klikt, dan gaat het werken. Scheelt een hele hoop Flash-gebaseerde advertenties :-)
Ik heb geen Flash in Windows. Gaat prima. Ook geen Java in Windows. Geen probleem. Enige nadeel is dat MS Office er dan op moet, dat ook een geschiedenis heeft van exploits. (Of geen office programma :-/ )
Voor diegene die firefox gebruiken kan je noscript installeren, deze blokkeert de scripts die uitgevoerd worden door zulke malware. Standaard is alles geblokkeerd en dien je zelf aan te geven wat je wel en niet blokkeert, dit doe je door op de knop opties te klikken die onderaan het scherm verschijnt.
Je kan er voor kiezen om tijdelijk iets toe te laten om te zien wat het doet en het ook meteen blokkeren voor altijd.

Link: https://addons.mozilla.org/nl/firefox/addon/noscript/
NoScript, AddBlockPlus en Ghostery. De heilige drieeenheid in mijn browser.

Helaas kwam ik er vorige week achter dat NoScript en Ghostery niet worden ondersteund door FireFox op Android. :( Langzaam worden we allemaal richting Chrome gepusht.
Er is nog een alternatief: Opera. Met Opera heb je ook AdBlock Plus, Ghostery en NoScript als beschikbare extensies. Ikzelf gebruik alleen AdBlock, want Ghostery zorgt ervoor dat niet alle websites meer correct functioneren en NoScript blokkeert bij mij geen advertenties die je te zien krijgt voordat je een YouTube-video kunt bekijken.
Wat ik me afvraag worden banners dan niet eerst gescanned, voordat deze op verschillende websites worden getoond? Hoe werkt dit, ik vind het bijzonder dat "gerenomeerde" website dit soort banners tonen?

[Reactie gewijzigd door B0MBACI op 7 februari 2013 11:40]

Zouden ze eigenlijk moeten automatiseren, he? Volgens mij is de grap dat de uiteindelijke server waar de advertentie vandaan komt gehackt kan zijn, nadat de advertentie gecheckt is. Als je echt controle wil hebben, dan zou je alle advertenties zelf moeten serven, en dat kost bandbreedte.
zelf heb ik het ook gehad, gelukkig niet op mijn server de speedtest gedaan maar op een client pc. Gelukkig weet ik hoe ik dat soort dingen kan verwijderen, was er in 10 minuten weer af
Zou je de oplossing misschien willen delen voor mede-tweakers die hetzelfde probleem hebben en dit niet op kunnen lossen.
Dit is al eerder gebeurd, dacht even dat ik een Deja Vu had ;)

Even gegoogled.
https://www.security.nl/a...ezoekers_met_malware.html

Ik dacht dat het recenter was, maar blijkbaar in 2011 ook al.
Ik erger me normaal gesproken flink aan die updates van Java. Dagelijks krijg ik wel weer zo'n pop-up vanuit de systray, zo niet vaker. En op Windows 7 gaat die pop-up vaak gepaard met een UAC melding, nog irritanter.
Ik moet zeggen dat ik daardoor nog wel eens geneigd ben om zo'n update maar te laten zitten. Morgen komt er toch weer een nieuwe. Maar als ik dit zo lees, dan zal ik in het vervolg toch maar braaf op "Ja" klikken.
Is er een opt-in voor de Windows jre om alle updates gewoon in stilte te accepteren en toe te passen?
Precies. Helemaal lachen dat het een per user installatie is, maakt het beheren van de terminal servers lekker makkelijk...
Ik hoop dat op termijn de W3C Recommendation van Content Security Policy meer gaat worden toegepast. Zo kunnen websites zelf aan de client laten weten van welke domeinen er mag verwacht worden dat er afbeeldingen, javascript, websockets, ... gevraagd worden. Het wordt nu in beperkte mate al ondersteund door Chrome en Firefox, IE zou er ook mee bezig zijn. Dan is het meteen gedaan met naar obscure websites te verwijzen voor bepaalde zaken. Het neemt nog niet al het risico weg als men de schadelijke scripts ook kan hosten op het juiste domein, maar het maakt het allemaal toch weer een stukje moeilijker voor hackers.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True