SecurityFocus mailinglist gebruikt voor DDoS aanval

De website van Network Associates is donderdag zo'n 90 minuten onbereikbaar geweest door een DDoS aanval. Nu is dat op zich niet echt nieuws omdat dit soort aanvallen de laatste tijd steeds vaker voorkomen, maar de manier waarop deze is georganiseerd is wel uniek. De trojan die de aanval voor een onbekende hacker uitvoerde werd namelijk verspreid via de gerespecteerde BugTraq mailinglist van Security Focus. Dit lukte door te beweren dat een aantal beveiligingslekken in BIND ermee gedicht zouden worden:

Kenners betitelen de code als zeer geavanceerd. "Dit is niet het werk van script kiddies, we hebben hier te maken met elite-crackers", aldus een veiligheidsanaliste tegenover The Register.

Over de motieven van de aanval kan alleen maar worden gegist. Sommigen denken dat het om wraak zou gaan. NAI bracht eerder deze week de waarschuwing naar buiten over het veiligheidsgat in de BIND-software die voor DNS-servers wordt gebruikt. En nu is NAI indirect dus zelf getroffen door dit gat.

Lees meer bij The Register en WebWereld. Bedankt ThE_ED voor de link.

Lees meer

Reacties (11)

[ti] 2 februari 2001 15:19

Dit lukte door te beweren dat een aantal beveiligingslekken in BIND ermee gedicht zouden worden

Dit is onjuist. Het was juist een EXPLOIT voor de bug die ontdekt was in bind. Veel script kiddies hebben dus zonder na te denken deze code gecompiled en gedraaid, wat dus resulteerde in een aanval op de dns server van nai.

Dit is overigens niet de eerste keer dat zoiets gebeurd, er zijn ook al een paar keer 'exploits' voor apache e.d. voorbij gekomen wat eigenlijk trojans waren. (en mailde /etc/shadow naar het email adres van de maker van het trojan)

edit:

Wijze les: draai dus nooit code via 'n mailing list oid voorbij komt zonder deze eerst zelf te analyseren: shellcode analyzeren, code regel voor regel doorlezen, en draai de code DAN NOG in een 'controlled environment' (dus zonder netwerk etc en evt. sniffers aan)

Deze trojan deed zijn werk op een heel slimme manier: ipv. de code te sturen naar een bind server, overflowde hij een lokale variable op de computer waarop je hem draaide en werd zo de shellcode(die dus de 'flood code' bevatte) uitgevoerd (dus op je eigen computer).

<div class=r>[Reaktie gewijzigd door [ti]]</div>

cappie @[ti] • 2 februari 2001 15:41

www.securityfocus.com <-- fijne site

Verwijderd 2 februari 2001 15:16

Het is toch wel bedreigend dat je een beveilgingsproduct verkoopt terwijl je zelf slecht beschermt bent tegen relatief envoudige aanvallen al is de wijze inderdaad erg geavanceerd!

[ti] @Verwijderd • 2 februari 2001 15:38

Securityfocus bied een dienst aan: full disclosure informatie over beveiligins lekken.

Toen de bind bug aan het licht kwam, volgden er veel advisories van de verschillende bind-distributeurs. Het wachten was alleen op een exploit 'in the wild'.(de 'echte' hackers zullen er inmiddels wel een (geschreven) hebben)

De 'exploit' die opgestuurd werd, werd dan ook gelijk approved door de moderator. De gedachten gang erachter is redelijk simpel: het is niet de verantwoordelijkheid van de moderator om de code te analyzeren als het om full disclosure gaat. Mensen die de code willen draaien WETEN dat het gaat om code die geschreven is door een hacker en dat de code gebruikt kan worden voor illegale doeleinden. Deze mensen zullen dus ook ZELF de code moeten checken. Dat dit niet gebeurd door script kiddies is in dit geval vervelend voor nai, maar het zij zo.

Verwijderd @Verwijderd • 2 februari 2001 15:58

Dat de code zeer geavanceerd was zegt niets over de uiteindelijke uitvoerders van de code.
De mailinglist van bugtraq heeft zo'n 85.000 leden, en het lijkt mij niet onwaarschijnlijk dat daar een flink aantal scriptkiddie-leden onder zit dat het alleen maar leuk vindt zo weer iets plat te kunnen leggen. De motivatie achter de aanval lijkt me dus redelijk overeenkomen met de motivatie achter andere (D)DoS-aanvallen. Simpel vandalisme

Woef @Verwijderd • 2 februari 2001 20:50

Het feit dat de site van Network Associates (maker van onder meer McAfee en een van de grootste internetbeveiligingsbedrijven ter wereld) enige tijd platlag na een DoS-aanval is pikant te noemen. Nog pikanter is dat een hacker zijn code via de Bugtraq-mailinglist van SecurityFocus wist te verspreiden.

Ik denk dat dit weinig impact heeft op de verkoop van pakketen van McAfee, want volgens mij weten maar weinig mensen dat achter de security van McAfee; SecurityFocus zit.

Woef 2 februari 2001 20:55

Technici van NAI onderzoeken nog wie verantwoordelijk is voor de aanval. Het is nog onduidelijk of het bedrijf de hulp van de FBI zal inroepen.

ik zou het lame vinden als ze de FBI zouden gaan inschakkelen, want je moet alleen maar blij zijn dat het zo is gegaan, en dat er geen schade is aangericht. Nu zijn ze er van op de hoogte, en kunnen ze er wat aan doen.

Alleen wat ik wel had gedaan is de ID te achterhalen, en hem dan inhuren om je security te testen

!
Dan heb je pas lef

Femme UX Designer @Woef • 2 februari 2001 23:36

90 minuten downtime, dus er is zeker schade aangericht.

Verwijderd 2 februari 2001 20:49

Ik vind de attacks op website's van bedrijven echt triest ;)!!! Als je op een netwerk inhackt en laat zien dat ie niet veilig genoeg is, oke. maar om website's te hacken is echt laag. Deze bedrijven hebben die website er niet voor de lol op internet staan

Tha_Snail 2 februari 2001 22:13

"The posting of the malicious code to BugTraq was made from made from nobody@replay.com, an email address of an anonymous posting service."
Tja, wordt nog moeilijk om dan via zo'n aanknopingspunt daders te achterhalen.

Jive 2 februari 2001 15:16

Ik zag hem idd voorbij komen.

Waren een heleboel replies aan die bugtraq-mail gewijd.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (11)

Sorteer op:

Weergave: