Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 98, views: 40.111 •
Submitter: Bor de Wollef

Speedtest.net heeft volgens een beveiligingsbedrijf en een -onderzoeker enige tijd malware geserveerd aan gebruikers. Waarschijnlijk gebeurde dat door middel van een ge´nfecteerde banner. Speedtest.net heeft de kwestie niet bevestigd.

Beveiligingsbedrijf Invincea schrijft op zijn website dat Speedtest.net gedurende een onbekende periode malware heeft geserveerd aan bezoekers. Dat bevestigt een beveiligingsonderzoeker. Bij het misbruik werd een exploit-kit gebruikt. Exploit-kits gebruiken kwetsbaarheden in software om malware te installeren, bijvoorbeeld een trojan die bankgegevens probeert te stelen.

Een test-installatie van het bedrijf, met Windows XP SP3, Internet Explorer 8 en een niet volledig gepatchte Java-versie, werd na een bezoek aan Speedtest.net geïnfecteerd. Met behulp van een lek in Java werd namaak-antivirussoftware geïnstalleerd. De Java-versie op de testinstallatie was de op-één-na-nieuwste; afgelopen week bracht Oracle voortijdig een patch uit nadat een groot aantal beveiligingsproblemen aan het licht kwam.

Waarschijnlijk is Speedtest.net niet gehackt, maar werd de malware verspreid door malvertising: een banner die malware serveert. Dat overkomt meer websites: vorig jaar nog waren NRC.nl en Telegraaf.nl het slachtoffer van malvertising. Speedtest.net heeft de kwestie niet bevestigd. Volgens Invincea is de site inmiddels weer veilig te bezoeken.

Malvertising op Speedtest.net

Reacties (98)

Adblock plus blokkeert de inkomende verbinding van de advertentie server.
(bijvoorbeeld ad.nl.doubleclick.net). Laad tweakers.net maar eens in chrome, met je inspector open (F12).

Als je adBlock hebt aanstaan dan zie je in het tabblad Network, dat de verbinding naar ad.nl.doubleclick.net is tegengehouden (canceled).
Nee hoor, de malware wordt direct actief bij het bezoeken van de site.

Bij Adblock Plus hangt het ervan af hoe je ads blokkeert. Bij Element Hiding wordt alle code van de banner wel uitgevoerd, maar wordt de banner alleen niet op het scherm getoond. Bij een totale blokkade (zoals bij EasyList gebeurt) wordt ook de JavaScript van de banner niet ingeladen.
Dat is dus niet het geval. Die banner bevat een java applet die de malware serveert, daarvoor hoef je nergens op te klikken.

Het enige dat nodig is is een actieve java plugin met een lek.
Ware het niet dat die advertenties automatisch op de site komen. Wat een publisher (website egenaar) doet is een paar regels code van een advertentienetwerk toevoegen, zoals bijvoorbeeld Google AdSense.

Het advertentienetwerk heeft dat deel van de website waar een advertentie kan staan in beheer en zal ervoor zorgen dat daar advertenties in komen te staan.

Het is -in dit geval- dus niet zo dat de adverteerder achter http:// talky dao.is-an- accountant.com/finance/ direct (zelfs niet indirect) contact heeft gehad met de eigenaar van speedtest.net met de vraag of hij kan adverteren op speedtest.net

9/10 keer is dat een volledig uit handen gegeven automatisch proces. Om als website eigenaar de duizenden verschillende advertenties te bekijken is niet te doen. En uiteraard weet je dan ook niet of je alle adverties te zijn krijgt aangezien persoon X andere advertenties te zien kan krijgen dan persoon Y.

Naar mijn mening is het advertentienetwerk verantwoordelijk voor minaal automatische controle op toegevoegde advertenties. En dan niet alleen controleren bij toevoegen, maar bijvoorbeeld iedere uur opnieuw. Dat valt prima te automatiseren. Althans, dat zou je denken.
Nee, de website zelf is verantwoordelijk voor wat er direct of indirect aan de gebruiker verzonden wordt. De websitebeheerder moet maar afdwingen bij de adverteerder dat deze zijn zaken goed op orde heeft of anders maar een andere of helemaal geen adverteerder kiezen. Dat is weer een veelgemaakte fout om de verantwoordelijkheid af te schuiven op derden (iets wat de eindleverancier maar al te graag wil doen om er vanaf te zijn), die vlieger gaat niet meer op.

Op dit item kan niet meer gereageerd worden.