Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties
Bron: InfoWorld

Op InfoWorld wordt melding gemaakt van een nieuwe zogenaamde 'pharming'-aanval op het .com-internetdomein. Bij pharming vervuilt een aangepaste DNS-server de DNS caches van andere DNS-servers met verkeerde informatie. De corrupte server identificeert zich als een officiële .com-server en zorgt ervoor dat alle aanvragen voor .com-domeinnamen naar hem gestuurd worden. Vervolgens geeft de pharmingserver een van te voren opgegeven IP-adres terug, waar dan vaak een systeem met allerhande malware achter schuil gaat. Het is nog onbekend hoe de aangepaste DNS-server ervoor zorgt dat andere DNS-servers hun informatie daar ineens op gaan halen. Op dit moment is de beste verdediging tegen deze aanvallen het blokkeren van al het verkeer naar zowel de corrupte DNS-servers als de systemen waar deze naar linken.

Moderatie-faq Wijzig weergave

Reacties (63)

Bij sites waar je je moet aanmelden, zoals online banking etc, kun je natuurlijk even de echtheid checken door bij inloggen eerst een fout wachtwoord in te voeren. De nepsite zal dit accepteren als valide, en de echte site geeft foutmelding terug. Zelfde met tan- of pincode, alleen de echte site kan je wachtwoord controleren.
Persoonlijk prefereer ik het controleren van de SSL certificaten en het handmatig bijhouden van een hosts file voor known ip's/hostnames.

De wat beter doordachte fake sites zullen namelijk altijd een error terugsturen om geen argwaan te wekken. ;)
Persoonlijk prefereer ik het controleren van de SSL certificaten en het handmatig bijhouden van een hosts file voor known ip's/hostnames.
En wat doe je als een site regelmatig (legitiem) van IP verandert of gebruik maakt van een mirror netwerk met vele (telkens nieuwe) IP's? Elke keer nagaan of het echt die site is? Dat is op zijn minst bewerkelijk en in sommige gevallen niet te doen. Een doorsnee gebruiker zal dit sowieso niet gaan doen.
hoeft ook nie.. ik denk dat als iemand het echt vervalsen wil.. dat het ook wel mogelijk is om dan jouw "foute site" de gegevens door te sturen naar de echte site zodat het alnog gecontroleert word.. zo kan de foute site zich dus net gedragen als de echte.. de gebruiker gaat leuk zitten doen wat hij wil doen en de hacker kan later ook nog eens kijken wat iemand allemaal gedaan heeft...

t is misschien een beetje wazig en ver gezocht... maar ik denk niet dat het onmogelijk is...
Als een foute site dat doet dan gaan er als het goed is meteen alarmbellen rinkelen bij de betreffende goede site (in geval van bijvoorbeeld een bank).

Immers daar komen dan binnen no time tientallen foutieve logins van 1 ip af.
Immers daar komen dan binnen no time tientallen foutieve logins van 1 ip af.
Ten eerste betwijfel ik of alle sites überhaupt regelmatig naar hun logs kijken, laat staan ze analyseren. En dan nog, hoe onderscheid je een legitieme gebruiker die gewoon zijn password niet in kan typen, of wel en gewoon graag vaak kijkt.

Ten tweede is dit heel simpel om te zeilen door een botnet, de pharming site doet daarbij niet zelf requests maar sluist ze door naar telkens een nieuwe IP in zijn arsenaal, zodoende valt het bij de ontvangende site niet op, tenzij die gebruikers ook op IP registreert (en daarbij de dienstverlening zwaar beperkt, zal dus niet gauw gebeuren). Een botnet met een paar duizend machines is tegenwoordig al een kleintje, maar ruim genoeg om grootschalig fraude mee te plegen voordat het wordt ontdekt.

De enige manier om man in the middle attacks voor te komen is end to end encryptie waarvan IP verificatie integraal onderdeel is (en niet afhangt van de foute DNS servers) en die in eerste instantie betrouwbaar was zodat bij verandering van de sleutels (of doorgesluisde sleutels die niet meer op IP kloppen) er alarmbellen gaan rinkelen.

Dat is niet gegarandeerd als je de site voor het eerst bezoekt wanneer de DNS al gecompromitteerd is. De meeste gebruikers zullen ook zonder meer op OK klikken bij een veranderd certificaat, bij een nieuwe hebben ze helemaal geen manier om te weten of het wel een 'goeie' is. De pharming site kan bijvoorbeeld ook een aanval samen laten vallen met een op de originele site aangekondigde verandering of verhuizing.

Kortom, een onbetrouwbare DNS betekent een groot probleem. Ping/traceroute e.d. zullen daarbij in de meeste gevallen echt niet tegen helpen, ook rootservers gebruiken niet als het probleem grootschalig wordt.
De enige manier om man in the middle attacks voor te komen is end to end encryptie waarvan IP verificatie integraal onderdeel is (en niet afhangt van de foute DNS servers) en die in eerste instantie betrouwbaar was zodat bij verandering van de sleutels (of doorgesluisde sleutels die niet meer op IP kloppen) er alarmbellen gaan rinkelen.
De ietf heeft jouw oplossing al overgenomen in de ipv6 standaard:

http://www.ietf.org/rfc/rfc2535.txt?number=2535
Hier thuis in het interne netwerk ook wel eens een DNS spoof gedaan (mbv ARP poisioning),
De user gaat naar het hotmail inlogscherm, de "man in the middle" pc vraagt hotmail op en geeft netjes de hotmail inbox of foutmelding terug. En elke post/get van de user wordt netjes gelogd.
Zolang het SSL slot aanstaat in de statusbalk als jij naar een site gaat, zoals https://www.paypal.com/. Dan is het op dit moment onmogelijk om via DNS spoofing een andere website te tonen. Je hoeft dan eigenlijk geneens het certificaat te controleren. Er was wel een fout in IE die het mogelijk maakte om een ander domein in de adresbalk te tonen dan de website waar je naar keek, maar die fout is al lang opgelost.

Via nslookup kan je trouwens gemakkelijk in windows controleren of de DNS server de juiste informatie geeft.

nslookup -q=all tweakers.net a.gtld-servers.net

bijvoorbeeld vraagt alle DNS gegevens op van het domein tweakers.net via DNS server 'a.gtld-servers.net', welke één van de belangrijke servers is waar het DNS systeem van internet op draait.

Als antwoord zie je dan staan 'Non-authoritative answer', omdat de uiteindelijke DNS server die macht heeft over het tweakers.net domein ns1.tweakers.net is. Het IP wordt echter wel al getoont, dus er hoeft alleen met de primaire DNS server gecommuniceerd te worden als je alle DNS info wilt weten via:

nslookup -q=all tweakers.net ns1.tweakers.net

Je kan als gebruiker dus gewoon gebruik maken van de root DNS servers, echter is de response tijd van je ISP DNS servers een stuk beter (dat kan je vaak via ping uitzoeken, maar een gratis programma, zoals de freeware versie van PingPlotter geeft een veel beter beeld, omdat je dan over een veel langer tijdsbestek kan kijken en een beter inzicht in de routing krijgt).

Zolang je dus geen vertrouwen hebt in de DNS admins van je ISP, om de beveiliging van hun DNS servers te waarborgen, dan moet je gewoon de root servers gebruiken of een andere DNS server die je wel vertrouwd.
Er was wel een fout in IE die het mogelijk maakte om een ander domein in de adresbalk te tonen dan de website waar je naar keek, maar die fout is al lang opgelost.
Vanochtend weer een nieuwe gezien : er wordt een klein randloos-venster over je adres-balk (waar een IP-adres staat) heen gezet met de naam van de site die ze spoofen. Als je niet oplet en het opvalt dat het adres deels over een button heenvalt, zou je er zo intrappen.
Dit klinkt erg slecht. Het heeft potentieel veel meer gevaar dan phishing. In dit geval zou iemand die bijvoorbeeld naar www.paypal.com surft dan toch naar een andere site omgeleid kunnen worden. Eventueel dus een site die 100% is gekopieerd en netjes de gegevens doorspeeld naar een persoon die er foute dingen mee wil doen. Zelfs wij tweakers als computer en internet deskundigen zouden hier in trappen. Hopelijk hebben ze dit snel opgelost, anders is straks niets meer te vertrouwen.
Vandaar dat het belangrijk is dat je een security certificaat checkt, zeker als het om geld of privacy gevoelige informatie gaat.
En hoeveel mensen controleren elke keer als ze naar de site van de bank gaan het certificaat? Ik denk erg weinig.
Je krijgt automatisch een melding als het domein niet overeenkomt met de domeinnaam waarop het certificaat is geregistreerd.
Voordat een certificaat wordt uitgegeven wordt eerst de aanvrager geverifiëerd. Zo zou jij of ik nooit en te nimmer een certificaat op domein paypal.com kunnen aanvragen.
Dan rest de mogelijkheid om zelf een cettificaat op naam van paypal te genereren vanuit je eigen root-certificate. Alleen staat jouw root certificaat niet als trusted in mijn browser, en krijg ik dus de melding dat het certificaat van een niet-vertrouwde uitgever is.
Dan is het nog steeds phishing , alleen met andere middelen
Het is sowieso geen "phishing" maar "pharming" zoals in de titel en het bericht, alhoewel een van de mogelijke doelen hiervan wel phishing is (het verkrijgen van persoonlijke info onder valse voorwendselen).

Wat ze hier aan het "pharmen" zijn is een netwerk van rotte DNS servers die mensen doorsturen naar foute websites.
Ik weiger te geloven dat een tweaker in een gephisede site trapt ook klopt de domeinnaam. :7
Zelfs de meest ervaren tweaker kan in zoiets trappen, als jij dagelijks 5 keer naar je bank gaat, zal je niet zo snel alles controleren. Veiligheids certificaten zeggen mij niet zoveel, voor de keren dat ik gebruik maak van mijn cc gegevens, doe ik eerst een traceroute naar de betreffende server. Aan de hand van die feedback kunnen wij tweakers wel zien of alles in de haak is. Zie je ineens dat je via Brazillie of Rusland gaat, dan zouden er toch wat alarmbellen moeten gaan rinkelen.

Maar ik weet wel zeker dat ik het slachtoffer zou kunnen worden bij mijn bank, die gegevens controleer ik echt niet elke keer.
Wat er dus gebeurt is dat een spammer een DNS-query doet bij een willekeurige Microsoft nameserver (je weet wel, zo'n nameserver onder Windows) voor een domain waar hij/zij zelf de baas van is. Bijv. www.spammer.com. De MS nameserver zal dan naar de nameserver van spammer.com gaan om te vragen wat 'www' dan wel is. Die spammer.com nameserver geeft netjes antwoord, maar zegt er ook meteen even bij dat 'www.tweakers.net' een IP-adres heeft: 127.0.0.1. En naief als de MS nameserver is, gelooftie dat en slaatie het op in de cache.

Deze manier van DNS spoofing is al jaren en jaren oud en al lang gefixt in de populaire nameservers als ISC named, maar onder Windows moet je dus nog een registry setting aanpassen om de nameserver wat minder naief te maken..
De naieve Windows 2003 DNS heeft dit overigens standaard aan.
naief of native?
de naive native
Vanaf Windows 2000 is hoeft dit niet meer persé via een registry setting hoor. In Properties -> Advanced van de desbetreffende nameserver kun je "Secure cache against pollution" aanzetten.

Volgens mij staat deze optie in Windows Server 2003 zelfs aan bij default. (Zoals movemoor al zei) ;)
als het idd enkel een registry-setting is, is het voor MS wel een heel makkelijke "patch" :)
Misschien weet je dan ook welke key welke waarde moet hebben?
Gewoon ff knippen en plakken in de adres-balk, SWINX...vanwege de punt-komma wordt hij niet goed geparsed.
Volgende link kan je wel aanklikken: http://support.microsoft.com/kb/241352
De door u opgegeven pagina is niet beschikbaar
De pagina waarnaar u op zoek bent is momenteel niet beschikbaar. Het adres is mogelijk incorrect of er kan een tijdelijk probleem zijn met de site.
The latest attack use a strategy called DNS cache poisoning, in which malicious hackers use a DNS server they control to feed erroneous information to other DNS servers. The attacks take advantage of a vulnerable feature of DNS that allows any DNS server that receives a request about the IP address of a Web domain to return information about the address of other Web domains.

Internet users who rely on a poisoned DNS server to manage their Web surfing requests might find that entering the URL (uniform resource locator) of a well-known Web site directs them to an unexpected or malicious Web page.
En
Het is nog onbekend hoe de aangepaste DNS-server ervoor zorgt dat andere DNS-servers hun informatie daar ineens op gaan halen.
Het is dus wel al bekend
Er is een verschil tussen begrijpen wat er gebeurt en begrijpen hoe het gebeurt ;)
ik begrijp niet echt wat je probeert te zeggen.
het zou wel al bekend zijn hoe deze corrupte dns servers dit doen?

als dat zo is zou je dan een link willen posten naar de bron waar je dat uit haalt?
De bron is dezelfde bron als dit nieuwsbericht naar linked.

Het betreft een 'feature' in DNS-servers die hier kwetsbaar voor is. Kennelijk is het bij (sommige) DNS-servers toegestaan contact op te nemen over een domein en vervolgens over een ander domein te gaan praten.
De reden dat dit zo effectief werkt is dat de lui die het TLD beheren een vervangende pagina geven als er een foutieve naam gegeven wordt. Dat hadden ze gelijk moeten verbieden.
Daarvoor kon je deze servers snel detecteren & blokkeren door een niet bestaande domeinnaam te laten opzoeken en deze gelijk te blokkeren.
Nu krijg ik zo'n klere zoekpagina, waarvan ik niet kan controleren of hij betrouwbaar is of niet (vast niet).
Daar heb ik helemaal geen last van. Bij mij resolven niet bestaande host names gewoon niet.
Ik denk dat je ISP je zit te naaien.
Hmm... ik wordt hier heel erg niet blij van.
Uberhaupt dat men het left heeft om zoiets te proberen is al zwaar irritant. Maar het in feite een aanval op een belangrijk gedeelte van het internet. (om nog maar niet metteen met termen als terroristische aanval te gaan lopen blaten)

Komt nog eens bij dat ik laatste tijd ook veel 'confirm your identity' enzo voorbij heb zien komen in m'n spambox.
Je zal maar heel voorzichtig toch maar zoiets invullen en je denk dat je safe zit terwijl je account leeggeplunderd wordt door een of andere crimineel.

Ik zou zeggen hoog tijd voor IP6 met paranoia module.
Kan het kloppen dat wanadoo er nu ook last van heeft bij zijn DNS :? Ik krijg als ik via de DNS van wanadoo surf altijd een vage site als ik naar een site ga die niet bestaat.. b.v. www.sdfsfsaf.nl Normaal krijg je dan MSN search oid maar nu iets met Network :?
Vaag
Nope, dat ligt gewoon aan de instellingen van je systeem. Dwz met een paar registry-aanpassingen kan ik dat ook voor elkaar krijgen. Het zal dus wel adware/spyware zijn.
Euh denk et niet ;) Want als ik een DNS instel die anders is.. dan heb ik et niet iig ! Ik heb een server draaien met DNS en die verwijst naar een aantal "standaard" Dns servers op de wereld.. daarbij heb ik et dus niet!
AFAIK klopt dat, wanadoo heeft een overeenkomst met msn search, en dat is geloof ik al een hele tijd zo.

Edit:
zie hier
Dit is toch iets anders dan IJnte zijn screenshot, vindt je niet? :z
Kan ook spyware op jouw pc zijn die hiervoor zorgt.
Heel eenvoudig na te gaan. Als je met ping www.sdfsfsaf.nl een IP adres aan het pingen gaat is het een vuile DNS. Krijg je een cannot resolve adress dan is het malware/spyware.
Jah ik krijg een IP adres retour.. :
C:\Documents and Settings\IJnte de Jong>ping www.sfsdfsdf.ml
Pingen naar network.net [64.91.249.96] met 32 byte gegevens:
Antwoord van 64.91.249.96: bytes=32 tijd=126 ms TTL=43
Dit is dus als ik de DNS van wandoo instel (194.134.5.55). Lijkt me dan toch niet ok ??
Als ik een andere DNS instel dan heb ik dat niet..
Gezien de posts hierzo heb je waarschijnlijk een pharm...
en dan :? et lijkt me iig niet goed als dat van wanadoo vandaan komt..
Is niet perse zo te controleren, veel routers en firewalls droppen icmp requests...dan krijg je dus geen reactie terug op je ping...
Maar het gaat ook niet zozeer om een reply te krijgen op je ping, het heeft hier te maken met DNS resolven.
nee dit heeft wanadoo express gedaan , een redirect naar eigen pagina bij dns error
Lijkt me dan een wel hele vreemde pagina heel eerlijk gezegd. Ik zou dan verwachten dat je iets van een wanadoo logo oid ziet maar zo'n duistere site is toch wel vreemd vindt ik hoor |:(
msn search gedoe kan je toch uitzetten;

extra-internet opties- laatste tabblad onderaan, niet zoeken vanaf adresbalk
Kan het niet zijn dat het een 1 april grap is?
Dat zou kunnen, maar de waarschuwing van het ISC kwam donderdag, niet vrijdag.
Heb je een bron, want van het ISC is naar mijn weten geen persbericht uitgegaan en het hier gebruikte bronartikel haalt ook geen artikel van het ISC aan.

Buitendat vind ik het opmerkelijk dat het probleem .com specifiek is, aangezien andere TLD's zich naar mijn weten conformeren aan dezelfde RFC's.
Ik vind het allemaal maar lekker tegenwoordig...

Als je als "niet veel wetend persoon" een link krijg om daar in te loggen om bijvoorbeeld je bankzaken te regelen dan moet je toch niet eerst tientallen dingen weten over of het wel veilig is of niet, je wilt gewoon dat het makkelijk en goed werkt.

Ga maar eens na dat je moeder of tante die weinig of bijna niets met een pc doet, gehackt word bij het online bankieren... Weet zij veel!!!

Ik denk dat er juist daarom het hele internet over ongeveer 5 tot 10 jaar vervangen is door een ander informatie medium iets waar geen (ook al is dat bijna niet haalbaar) spam en wat ook zeker wat veiliger is, en dat je niet eerst een cursus internet beveiliging moet volgen om als 65 jaar gepensioneerde je online bankzaken te regelen.
Ik hoop dat er tussen nu en 5 a 10 jaar een wet komt die software als Windows in zijn standaard uitvoering kan verbieden.

Als jouw wagen technisch helemaal niet in orde is mag je ook de baan niet op.

Maar eender wie het wil kan en mag met een windows-als-een-vergiet het internet komen bevuilen met alle gevolgen van dien.

Ik vind zoiets niet meer kunnen en dat daar dringend maatregelen tegen mag genomen worden...
Werd hier niet laatst ook al melding van gemaakt. Betrof iemand die een aanbod kreeg van een dergelijke aktie die hier beschreven stond. Dus... dat hij een website in gaf die vervolgens ergens volledig anders uit kwam....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True