Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 11 reacties
Bron: WebWereld

De website van Network Associates is donderdag zo'n 90 minuten onbereikbaar geweest door een DDoS aanval. Nu is dat op zich niet echt nieuws omdat dit soort aanvallen de laatste tijd steeds vaker voorkomen, maar de manier waarop deze is georganiseerd is wel uniek. De trojan die de aanval voor een onbekende hacker uitvoerde werd namelijk verspreid via de gerespecteerde BugTraq mailinglist van Security Focus. Dit lukte door te beweren dat een aantal beveiligingslekken in BIND ermee gedicht zouden worden:

Kenners betitelen de code als zeer geavanceerd. "Dit is niet het werk van script kiddies, we hebben hier te maken met elite-crackers", aldus een veiligheidsanaliste tegenover The Register.

Over de motieven van de aanval kan alleen maar worden gegist. Sommigen denken dat het om wraak zou gaan. NAI bracht eerder deze week de waarschuwing naar buiten over het veiligheidsgat in de BIND-software die voor DNS-servers wordt gebruikt. En nu is NAI indirect dus zelf getroffen door dit gat.

Lees meer bij The Register en WebWereld. Bedankt ThE_ED voor de link.

Moderatie-faq Wijzig weergave

Reacties (11)

Dit lukte door te beweren dat een aantal beveiligingslekken in BIND ermee gedicht zouden worden
Dit is onjuist. Het was juist een EXPLOIT voor de bug die ontdekt was in bind. Veel script kiddies hebben dus zonder na te denken deze code gecompiled en gedraaid, wat dus resulteerde in een aanval op de dns server van nai.

Dit is overigens niet de eerste keer dat zoiets gebeurd, er zijn ook al een paar keer 'exploits' voor apache e.d. voorbij gekomen wat eigenlijk trojans waren. (en mailde /etc/shadow naar het email adres van de maker van het trojan)

edit:

Wijze les: draai dus nooit code via 'n mailing list oid voorbij komt zonder deze eerst zelf te analyseren: shellcode analyzeren, code regel voor regel doorlezen, en draai de code DAN NOG in een 'controlled environment' (dus zonder netwerk etc en evt. sniffers aan)

Deze trojan deed zijn werk op een heel slimme manier: ipv. de code te sturen naar een bind server, overflowde hij een lokale variable op de computer waarop je hem draaide en werd zo de shellcode(die dus de 'flood code' bevatte) uitgevoerd (dus op je eigen computer).
<div class=r>[Reaktie gewijzigd door [ti]]</div><!-- end -->
Het is toch wel bedreigend dat je een beveilgingsproduct verkoopt terwijl je zelf slecht beschermt bent tegen relatief envoudige aanvallen al is de wijze inderdaad erg geavanceerd!
Securityfocus bied een dienst aan: full disclosure informatie over beveiligins lekken.

Toen de bind bug aan het licht kwam, volgden er veel advisories van de verschillende bind-distributeurs. Het wachten was alleen op een exploit 'in the wild'.(de 'echte' hackers zullen er inmiddels wel een (geschreven) hebben)

De 'exploit' die opgestuurd werd, werd dan ook gelijk approved door de moderator. De gedachten gang erachter is redelijk simpel: het is niet de verantwoordelijkheid van de moderator om de code te analyzeren als het om full disclosure gaat. Mensen die de code willen draaien WETEN dat het gaat om code die geschreven is door een hacker en dat de code gebruikt kan worden voor illegale doeleinden. Deze mensen zullen dus ook ZELF de code moeten checken. Dat dit niet gebeurd door script kiddies is in dit geval vervelend voor nai, maar het zij zo.
Dat de code zeer geavanceerd was zegt niets over de uiteindelijke uitvoerders van de code.
De mailinglist van bugtraq heeft zo'n 85.000 leden, en het lijkt mij niet onwaarschijnlijk dat daar een flink aantal scriptkiddie-leden onder zit dat het alleen maar leuk vindt zo weer iets plat te kunnen leggen. De motivatie achter de aanval lijkt me dus redelijk overeenkomen met de motivatie achter andere (D)DoS-aanvallen. Simpel vandalisme |:(
Het feit dat de site van Network Associates (maker van onder meer McAfee en een van de grootste internetbeveiligingsbedrijven ter wereld) enige tijd platlag na een DoS-aanval is pikant te noemen. Nog pikanter is dat een hacker zijn code via de Bugtraq-mailinglist van SecurityFocus wist te verspreiden.
Ik denk dat dit weinig impact heeft op de verkoop van pakketen van McAfee, want volgens mij weten maar weinig mensen dat achter de security van McAfee; SecurityFocus zit.
Technici van NAI onderzoeken nog wie verantwoordelijk is voor de aanval. Het is nog onduidelijk of het bedrijf de hulp van de FBI zal inroepen.
ik zou het lame vinden als ze de FBI zouden gaan inschakkelen, want je moet alleen maar blij zijn dat het zo is gegaan, en dat er geen schade is aangericht. Nu zijn ze er van op de hoogte, en kunnen ze er wat aan doen.

Alleen wat ik wel had gedaan is de ID te achterhalen, en hem dan inhuren om je security te testen :P !
Dan heb je pas lef ;)
90 minuten downtime, dus er is zeker schade aangericht.
Ik vind de attacks op website's van bedrijven echt triest ;)!!! Als je op een netwerk inhackt en laat zien dat ie niet veilig genoeg is, oke. maar om website's te hacken is echt laag. Deze bedrijven hebben die website er niet voor de lol op internet staan
"The posting of the malicious code to BugTraq was made from made from nobody@replay.com, an email address of an anonymous posting service."
Tja, wordt nog moeilijk om dan via zo'n aanknopingspunt daders te achterhalen.
Ik zag hem idd voorbij komen.

Waren een heleboel replies aan die bugtraq-mail gewijd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True