Hacker wijzigt dns-entries van honderden Pakistaanse websites

Een hacker is er in geslaagd om in Pakistan de dns-entries te wijzigen van 284 websites met een .pk-domein. Hierdoor werden bezoekers van de getroffen websites, waaronder de Pakistaanse sites van Google, Microsoft en Apple, omgeleid naar een website van de aanvaller.

De hacker zou er in zijn geslaagd om dns-wijzigingen door te voeren voor honderden websites met een .pk-extensie. Hierdoor verwezen de dns-records van in totaal 284 websites naar de dns-server freehostia.com. Bezoekers werden vervolgens doorgestuurd naar een pagina waarop te lezen was dat de betreffende Pakistaanse website zou zijn gekraakt. Onder andere de websites microsoft.pk, apple.pk, paypal.pk, ebay.pk en cisco.pk waren slachtoffer van de gewijzigde dns-entries in de systemen van MarkMonitor. Inmiddels is een deel van de getroffen websites weer te bereiken.

Het is nog niet geheel duidelijk wie de aanvallen heeft uitgevoerd, maar er zijn aanwijzingen dat een Turkse hacker onder het alias Eboz verantwoordelijk is. Ook lijkt het er op dat de hacker geen politieke motivaties heeft bij deze aanval.

Hoe de aanvaller de dns-records van de Pakistaanse websites heeft kunnen wijzigen, is nog niet duidelijk, al zijn er aanwijzingen dat de aanval via de Pakistaanse registrar PKNIC is verlopen. De getroffen domeinen zouden echter weer worden beheerd door de Amerikaanse firma MarkMonitor.

IT-banen

Reacties (33)

archive23 25 november 2012 10:52

DNS is erg interessant, dus laten we dit uitpluizen alsof er iemand meeleest die niet veel verstand van heeft _{(*kuch* nietswetende IT managers *kuch*)}

1. Wat wordt met dit aanval precies bedoeld?
2. Wat zijn DNS entries?
3. Hoe kan dit voorkomen worden?

[Reactie gewijzigd door archive23 op 25 juli 2024 05:26]

Cameleon73 @archive23 • 25 november 2012 11:01

Vergelijk DNS met een telefoonboek: je zoekt op een naam, en je krijgt een telefoonnummer. Wordt dat telefoonboek (door een hacker) aangepast, dan krijg je een ander telefoonnummer bij dezelfde naam. DNS entries zijn vergelijkbaar met die regels in het telefoonboek (naam - nummer). Een DNS entry koppelt een naam aan een IP adres (= het adres waar je op het internet bereikbaar bent).

Je denkt dus dat je belt met dhr. Jansen, maar eigenlijk bel je met dhr. Kwaadinzin. Als je trouwens het telefoonnummer van dhr. Jansen uit je hoofd wist, kon je dit eenvoudig voorkomen door direct het nummer te draaien en niet het telefoonboek gebruiken.

Hoe dit exact voorkomen kan worden, weet ik niet. Maar er zullen vast wel andere Tweakers zijn die dit wel kunnen uitleggen.

CMD-Snake @Cameleon73 • 25 november 2012 11:42

DNS Sec is geïntroduceerd om cache poisoning te voorkomen. Er wordt dan gebruik gemaakt van PKI om de bron te controleren. Het is alleen nog niet overal uitgerold. Of het zou werken in dit geval weet ik niet. Gezien dat de aanvaller hier de echte bron overnam (en niet voor man-in-the-middle ging) zou het certificaat goedgekeurd kunnen worden.

Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation

Xuavis @CMD-Snake • 25 november 2012 13:20

DNSSEC kan dit soort aanvallen voorkomen, met een paar voorwaarden:
* De chain of trust is tot aan de root aanwezig voor .pk. Anders verwijdert de hacker simpelweg de DS records voor onderliggende zones en dan zijn deze weer inssecure (dus zonder DNSSEC).

* De private keys voor de .pk zone zijn veilig opgeborgen waar de hacker er niet bij kan. Anders kan de hacker de zone zelf signen. Dat is niet heel ingewikkeld als je de key hebt.

* Degene die de website wil benaderen gebruikt DNSSEC validating resolvers. Anders wordt DNSSEC gewoon genegeerd.

Zoals te zien is op http://dnsviz.net/d/pk/dnssec/ is de .pk zone niet secure.

Als dit voor bijvoorbeeld .nl zou gebeuren en je hebt een DNSSEC validating resolver (voor zover ik weet hebben in Nederland alleen t-mobile en lijbrandt dit aan staan op hun nameservers), zou je geen website te zien krijgen. Op het moment dat een record BOGUS wordt verklaard zal de nameserver namelijk een SERVFAIL response teruggeven.

ASS-Ware @CMD-Snake • 25 november 2012 19:49

DNS Sec is geïntroduceerd om cache poisoning te voorkomen. Er wordt dan gebruik gemaakt van PKI om de bron te controleren. Het is alleen nog niet overal uitgerold. Of het zou werken in dit geval weet ik niet. Gezien dat de aanvaller hier de echte bron overnam (en niet voor man-in-the-middle ging) zou het certificaat goedgekeurd kunnen worden.

Er zijn nog meer dingen die gedaan kunnen worden om cache poisoning te voorkomen. Zie hier:
http://en.wikipedia.org/w...Prevention_and_mitigation

DNSSEC zou het in dit geval niet kunnen voorkomen, want men heeft er voor gezorgd dat er naar een andere DNS server werd verwezen.
Met andere woorden : Een heel ander telefoonboek.

Quote :
Hierdoor verwezen de dns-records van in totaal 284 websites naar de dns-server freehostia.com.

Die DNS server hebben ze volledig zelf onder controle.

Xuavis @ASS-Ware • 25 november 2012 20:42

Een nameserver verwijzing is een NS record. Ook deze NS records zijn secure door DNSSEC. Als jij de NS records gaat wijzigen, zul je de RRSIG record die de NS records covered opnieuw moeten genereren met de private key.

Met andere woorden: Een heel ander telefoonboek waar heel groot door de gehele pagina staat dat deze bogus is.

the_stickie @Cameleon73 • 25 november 2012 16:46

Heel mooie uitleg; allen is het in de praktijk niet zo eenvoudig zelf "het goede nummer te draaien" als je een website wil bereiken. Technisch maakt een webserver immers ook gebruik van de url die je intypte om de juiste site te kunnen tonen.
In een gelijkaardige analogie kan je stellen dat je een bejaarde in een tehuis niet telefonisch kan bereiken als je niet én het juiste nummer draait, én de juiste naam weet door te geven aan de receptie van de bejaardenhome!

Kabouterplop01 @archive23 • 25 november 2012 18:49

Met deze aanval wordt bedoeld dat er is geknoeid en dat het verkeer naar andere sites is geleid.

Je kan het vergelijken met dat als je www.google.nl in je browser intypt je terecht komt op www.hackemehelemaalplat.com (fictieve URL) en dat daar op de index pagina allemaal malware staat die dan automatisch op je PC wordt geladen.

Een DNS entry is een verwijzing in een DNS server. DNS vertaalt ip adressen naar een naam. Deze zijn blijkbaar veranderd.
Hoe het voorkomen kan worden krijgen wij niet te weten; we weten immers niet hoe het kan dat het is aangepast.

_Peter2_ @Kabouterplop01 • 26 november 2012 09:32

Een DNS entry is een verwijzing in een DNS server. DNS vertaalt ip adressen naar een naam. Deze zijn blijkbaar veranderd.

Dit is toch andersom?

Een DNS-server vertaalt een hostname (bijvoorbeeld www.tweakers.net) naar een IP-adres (in dit geval 213.239.154.20).

Als je dus de DNS-entry weet aan te passen om te wijzen naar 74.125.132.94 zou je dus op www.google.nl uitkomen terwijl je dus wel www.tweakers.net hebt ingegeven.

Een DNS-entry kan nog worden overruled door een lokale hosts file.

[Reactie gewijzigd door _Peter2_ op 25 juli 2024 05:26]

sc0va @Kabouterplop01 • 26 november 2012 12:17

Eindelijk iemand die het snapt, zit tweakers vol met digibeten of doen ze gewoon net alsof?

FreshMaker @archive23 • 25 november 2012 21:13

DNS is erg interessant, dus laten we dit uitpluizen alsof er iemand meeleest die niet veel verstand van heeft _{(*kuch* nietswetende IT managers *kuch*)}

Een manager hoeft niet per definitie verstand te hebben van het product.
Het is zijn taak om de afdeling rendabel aan te sturen, en daarbij op kosten te letten.

Niet gehinderd door kennis kan hij aansturen op effectiviteit en oplossingen, het 'werk' hoort door de personen daarvoor ingehuurd te worden gedaan, de ICT'er

vliegendehommel 25 november 2012 10:44

Kijk dit vind ik nou weer een trieste actie, andere mensen op deze manier schade aanbrengen.
Als ze nou gewoon het lek hadden verteld aan PKNIC was er niets aan de hand geweest...

Atmosfeer @vliegendehommel • 25 november 2012 10:55

Wellicht had de hacker niet helemaal de meest goede intenties? Dan kan je het triest vinden maar een willekeurige winkelcrimineel gaat ook niet na het stelen van wat boodschappen terug naar de supermarkt manager om aan te tonen hoe hij dat gedaan heeft.

TD-er

@Atmosfeer • 25 november 2012 11:27

Niet alleen .pk DNS lijkt door hackers misbruikt te worden, ook diverse domeinen bij GoDaddy worden voorzien van subdomeinen via welke dan malware wordt verspreid. (Bron:)

[Remmes] @vliegendehommel • 25 november 2012 10:55

sorry hoor, maar "schade" ? de schade had veel groter kunnen zijn dan dit, dus men moet blij zijn vind ik

_{pardon, waarom is dit ongwenst? het is gewoon de keiharde waarheid, er had zo veel meer gedaan kunnen worden dan een redirect naar een hostsite}

[Reactie gewijzigd door [Remmes] op 25 juli 2024 05:26]

the_stickie @[Remmes] • 25 november 2012 16:42

Ik kan uit bovenstaand artikel niet afleiden welke toegang de hackers hadden... misschien is er alleen webfrontend gevonden waarmee ongeautoriseerde dns aanpassingen kunnen gebeuren.
Ook kan ik niet afleiden of er nog een ander impact was voor de eindgebruiker; misschien poogde die site wel malware te installeren?

Overigens is de schade die aangericht werd al behoorlijk groot: een hele resem grote en commerciële sites die praktisch offline blijken kost heel wat inkomsten voor de betrokken partijen. Daarnaast, en niet in het minst, is er de imago schade voor de infrastructuurproviders. Ook is het niet geheel ongebruikelijk dat er SLA's zijn over de beschikbaarheid, en is de kans groot dat dei geschonden werden: dat kost een hoop centen!

Ayporos @the_stickie • 25 november 2012 18:30

euh, zal wel meevallen... als 'www.google.nl' het niet doet ga je toch gewoon lekker naar 'www.google.com' ? betwijfel dat er veel grote 'native' .pk websites zijn die geen alternatieve tld hebben.

FreshMaker @Ayporos • 25 november 2012 21:08

Dat het voor de Big players een kleine setback is, wil niet zeggen dat de middenstand er geen last van heeft.

Mijn zwager zijn website is een "stoere" .nl
Daarop geeft hij info en uitleg over zijn werk, en testimonials van tevreden opdrachtgevers.
Alsmede al zijn contactinfo voor nieuwe offertes of opdrachten e.d.

Denk je werklijk dat hij óók een .com, .net en hele ratatouille er naast heeft ?
Hij zou werkelijk opdrachten mislopen, als de website niet, of gedeeltelijk bereikbaar is.

De wereld is gecompliceerder dan alleen het kleine TLD .nl

( als google.nl niet werkt, en malware verspreid zal er een hele mediacampagne opgestart worden met info en extra marketing, als de paki-restauranthouder dat treft, krijgt hij alleen maar gedoe en slechte reclame )

Ayporos @FreshMaker • 27 november 2012 00:29

Ja maar dàt is dan ook eigenlijk mijn punt.

internationale bedrijven heb je er niet echt mee en dit is dan ook niet echt 'internationaal' nieuws te noemen en mijns inziens is het dus niet zo enorm relevant voor een nederlandse website om hierover te berichten.

Pakistan is sowieso niet een land waar ik meer dan 1 of 2x per jaar ook maar IETS van hoor (zij het nieuws, op willekeurige websites of in dagelijks gesprek) dus wat daar gebeurt boeit blijkbaar sowieso al niemand iets.

cctld 25 november 2012 20:02

Doet me denken aan google.ie en yahoo.ie. Hier kreeg Markmonitor ook eerst de schuld, later bleek dat de fout bij de Registry zelf lag.

http://www.internetnews.m...-about-security-incident/

LA-384 25 november 2012 10:58

Je kunt je afvragen of er daadwerkelijk sprake is van "schade". Volgens het artikel werden de bezoekers van de getroffen sites slechts doorverwezen naar een pagina waarop te lezen viel dat de bezochte site "gehackt" was.

De enige "schade" die ik kan bedenken is misgelopen inkomsten van advertenties en het uurtarief van de persoon welke de doorverwijzing ongedaan moet maken.

-Tom @LA-384 • 25 november 2012 11:05

Dan kun je toch spreken van daadwerkelijke schade?

Ook zou je kunnen denken aan de minder 'tastbare' schade, zoals imagoschade. Niet iedereen heeft het relativeringsvermogen om te zien dat dit niet de fout van de getroffen bedrijven was, maar veroorzaakt is door een hacker met kwade bedoelingen.

Flight77 @LA-384 • 25 november 2012 11:07

Tja, de schade die je beschrijft is er inderdaad wel. Ik denk dat je die misgelopen inkomsten niet moet onderschatten. Dat loopt al snel in de miljoenen.

Het had natuurlijk veel erger kunnen zijn. Als er een geavanceerde malware was geserveerd op die pagina. Dan had je in 1x half pakistan in je botnet kunnen hebben.

In principe mag men dus van geluk spreken dat het (vooralsnog) een redelijk onschuldige hack lijkt te zijn.

walletje-w @Flight77 • 25 november 2012 12:57

Daarbij ga je er dan wel vanuit dat de gemiste inkomsten op een later moment niet zijn ingehaald. Als ik van plan was een iMac te kopen en de website van Apple is niet te vinden dan zal ik niet gelijk naar een alternatief gaan maar gerust nog een dag wachten.

Zoop @walletje-w • 25 november 2012 14:56

"Ik koop een Apple, want dan heb ik geen virussen, heey Apple is gehackt? Wtf? Ik koop wel een PC"

Misschien lomp voorbeeld (en lekkere generalisering van hoe Apple-kopers denken, niet als bash bedoelt, maar je hebt genoeg idioten, ben zelf Apple groot verbruiker).

Het down zijn van een website kan zeker wel de verkoop verstoren. Al zal dit altijd moeilijk aan te tonen blijven.

Verwijderd 25 november 2012 11:27

Dit soort hackers moeten maar eens les krijgen in respect.

[Remmes] @Verwijderd • 25 november 2012 12:40

of bedrijven moeten maar eens meer gaan doen/luisteren wanneer er een lek is, vaak word een lek gevonden en gemeld, maar meestal doet men er niets aan totdat er iets ergs gebeurd _{(want tja, het kost geld)} en dan word men boos op de persoon die het lek "misbruikt"

ik vnd het persoonlijk goed dat men onschuldige dingen doet zoals dit om de aandacht van bedrijven te krijgen om zo het lek te dichten, zoals ik in mijn vorige post _{(die ongewenst is)} al zeg, men moet blij wezen want er zou veel meer schade zijn kunnen aangebracht

FreshMaker @[Remmes] • 25 november 2012 21:19

Mijn achterdeur is regelmatig niet afgesloten, ik weet dat.

Denk je werkelijk dat ik een figuur 'bedank' die me dat komt vertellen ?

* hij kan het ALLEEN maar weten omdat hij in mijn achtertuin is geweest, en aan de deur heeft gevoeld, iets waar hij OOK al niets te zoeken had

Zou er een inbreker komen, die ineens in mijn keuken of woonkamer staat, krijgt hij toch wel wat aardigheidjes ( linkervoet, rechtervoet evt stukje hout )
het blijft strafbaar, zelfs langs de voordeur ben je niet welkom als je niet uitgenodigd bent.

http://www.wetboek-online.nl/wet/Sr/311.html

Waarom zou dat via internet ook niet gelden ( wet op computercriminaliteit )
Natuurlijk, melden mag, maar misbruiken na melding is nog geen geldig excuus

[Remmes] @FreshMaker • 27 november 2012 04:25

krijgen we weer het deur verhaal,haal aub nu niet de echte wereld met het internet door elkaar aub

mae-t.net @Verwijderd • 25 november 2012 16:43

Kretologie 101?

Ik denk dat je niet zonder verdere achtergrondinformatie kunt vaststellen of de kraak uit gebrek aan respect (modewoord) gebeurde. Digitaal activisme is soms inderdaad vandalisme en soms vergelijkbaar met iemand die een spandoek ophangt of in een demonstratie meeloopt.

Sidle 25 november 2012 11:04

Ze hebben het wel degelijk gemeld ze wouden het zelfs voor hun oplossen maar ze hebben er niks aan gedaan dus eigen schuld

iH8 25 november 2012 13:51

Volgens mij hebben ze bij PKNIC last van PICNIC

Verwijderd 26 november 2012 11:51

Respect voor de gene die dat voor elkaar kreeg.

Op dit item kan niet meer gereageerd worden.

Hacker wijzigt dns-entries van honderden Pakistaanse websites

Lees meer

IT-banen

Reacties (33)

Sorteer op:

Weergave: