Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties

De hackers die eerder de website van Leaseweb vervingen hebben de website van beveiligingsbedrijf AVG gedefaced. De aanvallers vervingen de website van het beveiligingsbedrijf met een politieke boodschap.

Het is onduidelijk of de hackers, die zich toegang hebben verschaft tot de website van AVG, naast het defacement ook nog gegevens hebben kunnen buitmaken. Inmiddels heeft AVG de controle over zijn eigen site weer terug en is de homepage teruggeplaatst.

De hackers opereren om hun politieke boodschap te verspreiden en zijn actief op Twitter onder de naam Kdms Team. Zondag hadden diezelfde hackers via een dns-hijack de website van Leaseweb overgenomen: het zou goed kunnen dat het hier ook het geval is geweest. Naast AVG werd ook de website van WhatsApp het slachtoffer van de hackers.

Een traceroute die Tweakers heeft uitgevoerd wijst uit dat de server bij een Braziliaanse site vandaan komt, terwijl het ip-adres wijst op de Amerikaanse stad Dallas. Dat zegt alleen iets over waar de pagina staat en dus niets over waar de hackersgroep zich precies bevindt.

Update, 15:55: Ook de website van beveiligingsbedrijf Avira zou zijn gedefaced door dezelfde hackers.

Defacement AVG.com

Moderatie-faq Wijzig weergave

Reacties (77)

Onderaan deze pagina staat wel:
----------------------------------------------------------------------------------
Hacked by KDMS team
Now .. We Will Quit Hacking
----------------------------------------------------------------------------------

Dus zijn we er nu van af? :P
hun twitter zegt iets anders...
(...) we get #avg and #WhatsApp. what next ? w8 for us
bron: http://bit.ly/1gmCup1
Let op: zet je geluid uit (of zacht)

schrik me rot, ineens zo'n gek muziekje... gelijk iedereen wakker hier. wordt ook raar aangekeken door collega's. "Goh... hou je daar ook van?" |:(
En site is al terug normaal
Dit is een hack bij Network Solutions (USA), waarbij de NS records zijn aangepast en domeinen zijn gehijacked. Ik ben er druk mee, samen met mijn collega's binnen onze organisatie...
Het is zeer zorgelijk dat er nu alweer een registrar gehackt is en dat blijkbaar zo eenvoudig het DNS is aan te passen. DNS is de ruggengraat van internet en zou ook zo behandeld moeten worden. Een registrar zou zo veilig moeten zijn als een bank.

En waarom gebruikt nog niet iedereen DNSSEC?
DNSSEC had in dit scenario waarschijnlijnk niet geholpen. Als je bij de registrar de NS records aan kan passen is het waarschijnlijk een fluitje van een cent de DS records te verwijderen of eigen DS records te injecteren. Het is inderdaad wel zorgelijk dat een dergelijke partij gehackt kan worden en het is heel moeilijk om daar als derde partij grip op te krijgen. We zijn voor wat betreft delegatie van het second level domain volledig afhankelijk van deze partij.

Inmiddels zijn de NS records weer aangepast, maar er zit nog een boel in de caches bij verschillende providers.
Dat was me ook al opgevallen, ze staan allemaal bij Network Solutions. Heeeeel slechte zaak.
Het fijne voor mijzelf is dat ik daar net een behoorlijk aantal domeinen weg gehaald hebt.
Persbericht van Avira:

Dear fans,

today, October 8th 2013, 12:15 CET+2, we have experienced a major disruption in our DNS service.
It appears that several websites of Avira as well as other companies have been compromised by a group called KDMS. The websites of Avira have not been hacked, the attack happened at our Internet Service Provider “Network Solutions”.

What happened?

The DNS records of various websites, including those of Avira.com, were changed to point to other domains that do not belong to Avira.
It appears that our account used to manage the DNS records registered at Network Solutions has received a fake password-reset request not being initiated by anyone at Avira. Network Solutions appears to have honored this request and allowed a 3rd party to assume control of our DNS. Using the new credentials the cybercriminals have been able to change the entries to point to their DNS servers.
Our internal network has not has not been compromised in any way. As a measure of security we have shut down all exterior services until we have all DNS entries in our possession again.

What are the next steps?

We are working with the ISP to receive control on the domain name and only when we have solved the problem we will restore the access to the Avira services.
At this point we are not aware of any effect to our customers.

Of course, we will keep you updated on the matter!
Jammer dit. Ook vreemd van de taalfouten.

Kan je dan niet beter overheidswebsites hacken? Is wat toepasselijker voor een politieke boodschap en je laat bedrijven met rust.
Ik kan me niet voorstellen dat dit de echte boodschap is die ze willen overbrengen. Dit ziet eruit alsof iemand net van /pol/ komt. Vraag me af wat het doel van de defacement was, behalve dan blijkbaar aantonen dat AVG de boel niet echt op orde heeft met hun website.
Kan je dan niet beter overheidswebsites hacken?
Van echt hacken is geen sprake, waarschijnlijk scannen ze diverse dns-servers op een bekende bug en pakken de eerste de beste die ze tegen komen en "hackbaar" is.
misschien zijn de taalfouten wel expres gemaakt, om zo een andere boodschap de wereld in te sturen.
misschien wel een geheime code.......of een schreeuw om beter onderwijs....Who knows
Ook vreemd van de taalfouten.
Probeer jij eens het Arabisch alfabet te gebruiken? Een streepje verkeerd zetten mag een kleine fout lijken maar op een Palestijn komt dat knullig over.

On topic: Sun Ich verklaarde destijds dat hij DigiNotar had gebruikt omdat hij was "begonnen met de lijst van certificaatleveranciers die in webbrowser Mozilla zit". Zou hier niet hetzelfde aan de hand kunnen zijn, dat AVG, Avira, LeaseWeb en WhatsApp simpelweg op een bepaald lijstje staan?

Edit: Betrouwbaardere bron gebruikt

[Reactie gewijzigd door Wodanford op 8 oktober 2013 13:55]

De taal die zij gebruiken is toch Engels?

Fouten maken is ook in het Nederlands makkelijk genoeg. Dit is nog geen reden om 4 fouten te zien als normaal. Het is vreemd dat zo'n boodschap zoveel fouten bevat.
De taal die ze gebruiken is - aangenomen dat het inderdaad Palestijnen betreft, maar zelfs als het Brazilianen zijn - niet hun eigen taal. Daarnaast gebruiken ze een ander schrift dan ze gewoon zijn. Ik vind het niet gek dat dat tot taalfouten leidt. Andersom werkt het net zo. Wij gaan het niet voor elkaar krijgen om foutloos Arabisch te schrijven.

Bovendien valt het met de taalfouten redelijk mee. In twee gevallen (Plaestinian en Tow) lijkt het te gaan om te snel typwerk. Verder wat weggelaten interpunctie en grammaticale fouten die je nou eenmaal maakt als je een taal gebruikt die je niet goed beheerst. Als je al een conclusie kunt trekken op basis van de taalfouten, dan vind ik het juist aannemlijk dat het hier daadwerkelijk lui betreft die het Engels niet goed machtig zijn in plaats van dat ze de Palestijnen deze aanval in de schoenen willen schuiven.

Edit: Palestijn of Braziliaan maakt niet uit

[Reactie gewijzigd door Wodanford op 8 oktober 2013 14:28]

Wel kunnen hacken maar niet eens je eigen naam/land kunnen schrijven? Zeer vreemd. Het ziet er gewoon erg lachwekkend uit.
Ze zullen de naam van hun land prima kunnen schrijven in het Engels. Te snel typen is iets wat we allemaal wel eens doen. Als dat in een schrift gebeurt dat niet je eigen is, dan zal dat mogelijk minder snel opvallen. Kun jij 'Nederland' in het Arabisch schrijven? En dan bedoel ik zonder rechtstreeks te kopieren van een voorbeeld. Vast niet. Terwijl het de naam van je eigen land is, toch?

Edit: Zin aangepast

[Reactie gewijzigd door Wodanford op 8 oktober 2013 14:31]

Nee, maar als ik een boodschap de wereld in wil sturen. Zorg ik ervoor dat ik dit klaar heb liggen, dat ik er een paar spelchecks overheen gegooid heb en dat ik het door een ander heb laten proofreaden. Dit komt gewoon knullig over, niet goed als je een boodschap wilt overbrengen. feit dat we het nu meer over de taalfouten hebben dan de boodschap maakt dat wel duidelijk.
Er is een verschil tussen technisch vaardig zijn en communicatief vaardig zijn. Hackers, zeker die van een bepaald niveau, staan nu niet bekend om laatstgenoemde. Zie ook deze vraag op Slashdot en deze reactie erop. Het feit dat we het nu meer over de taalfouten hebben dan over de boodschap wijt ik liever aan mezelf.
Je vergeet dat Engels iets bekender is als taal dan Nederlands.
Ik kan namelijk zonder problemen "Nederland" in het Engels schrijven. Dat zou een gelijkwaardige situatie zijn.
Dit niveau is dusdanig bedroevend dat je dit niet serieus kunt nemen.
WTF? Blijkbaar kunnen ze dat niet, dat zie je duidelijk in hun komische bericht.

Iedereen ziet toch het verschil in PLAESTINIAN en PALESTINIAN?

Is gewoon een typo. Had voorkomen kunnen worden door effe goed kijken. Daaronder schrijven ze het wel goed: Palestinian people.

En wat willen ze nou? Ze hebben niet eens een land. Die figuren zijn/worden door alle omringende landen nou niet echt geholpen. Niemand wil ze hebben.
Je zou van AVG een site verwachten (bijna) niet te hacken is. Maar goed. Ik vind : "We want peace" wel het belangrijkste. Ik zie liever dit dan een bomaanslag.

Politiek eens of oneens, dat niet iedereen in die regio blij is, is een feit. Fijn dat er zo geen doden vallen.
Je zou van AVG een site verwachten (bijna) niet te hacken is.
Wat leken horen: "AVG is gehackt"
Wat tweakers horen: "Een zoekveldje was kwetsbaar voor SQL injectie"

(disclaimer: geen idee of het een sql-injectie is. Mijn comment is bedoelt om aan te geven dat leken anders tegen zo'n hack aankijken. Dit speelt bij de hackers mee in het doel dat ze trachten te bereiken.)

[Reactie gewijzigd door -RetroX- op 8 oktober 2013 13:22]

Of: de dns werkt gehijackt, iets waar AVG helemaal niks mee te maken zou hebben...
Correct. Ik heb mijn post iets toegelicht. Mijn reactie was bedoeld om te laten zien dat leken anders tegen een incident als dit aankijken dan tweakers cq I(C)T-ers. Voor tweakers is het technische gedeelte (hoe) interessanter. Voor de "hacker" is het beeld dat ze neerzetten bij "het algemene publiek" (het in staat zijn van het hacken van AVG) van grotere betekenis.
Ik vind als Tweaker het technische gedeelte in dit nieuws item niet echt relevant. Dat zou meer iets zijn voor het aankondigen van een 0day kwetsbaarheid waar ineens veel gebruik van wordt gemaakt. De nieuwswaardigheid zit het toch aan de 'leken' kant. Namelijk dat een site als AVG defached wordt. En ook Avira.

Doordat dit etalages zijn van bedrijven voor internetveiligheid is dit een publieke winst en nieuwswaardig feit. En dus bereiken de hackers, scriptkiddies of niet, hun doel. Het onder de aandacht brengen van hun kwestie.

En hoe irritant ook. Nog altijd beter dan een bom.
Als SQL injectie inderdaad het geval was, is dit nog duizend maal kwalijker. Dat is iets wat zooooo makkelijk te voorkomen is. Exploits, daar doe je niet veel tegen (mits het een 0day is). Maar waarschijnlijk is dit gewoon weer DNS Hijacking geweest, aagezien dit gewoon script-kiddies zijn.

Hopelijk zijn we nu eindelijk van deze losers af. En we moeten hier met z'n allen gewoon geen aandacht aan schenken.
Waarom? Die site is niets meer dan een uithangbord.
Ja je hebt helemaal gelijk. Maar het blijft wel de poster of uithangbord van AVG (of CIA zoals bij xkcd). Het defachenvan een uithangbord van zo'n instantie heeft hiermee veel meer waarde dan dat de site van bijvoorbeeld Douwe Egberts Koffie wordt gehackt. Het heeft hiermee publieke waarde. De actie is publieksbeinvloeding, niet het aan Tweakers laten zien hoe goed ze zijn.

Off topic: Maar bedankt he! nu ben ik weer een kwartiertje of meer zoet met oude xkcd's lezen :)
Ik krijg altijd een beetje een meewarig gevoel bij dit soort dingen... wel de moeite nemen om jouw boodschap op een omslachtige wijze de wereld in te slingeren, maar niet even de moeite nemen om zelfs de meest overduidelijke spel- en grammaticafouten er uit te halen. Dat geeft mij meestal de indruk dat het een stel scriptkiddies betreft die het puur ging om de lol van het 'hacken', waarbij de achtergelaten boodschap vooral een ter plekke bedachte rechtvaardiging achteraf is.
Of het is precies de indruk die ze je willen geven.

Ik zoek het nu wat ver, maar vergeet niet dat politie en geheime diensten over de hele wereld groots inzetten op cybercrime en cyberwarfare. Er moet natuurlijk wel af en toe wat gebeuren willen ze daar mooie budgetten en wetswijzigingen voor krijgen.

EDIT: een beetje Googlen leert dat Plaestinian een vaak gebruikte spelling is door niet-westerse personen/media. Misschien is het dus geen spellingsfout, of in elk geval een bewuste.

[Reactie gewijzigd door xnpu op 8 oktober 2013 13:41]

Inmiddels krijg ik het volgende te zien op avg.com: http://i40.tinypic.com/33cnpc1.png

Avira en Whatsapp lijken nog steeds het bericht uit het nieuwsbericht te tonen.
13.38: Whatsapp staat alweer normaal.
Hier, op het UPC netwerk, is whatsapp nogsteeds niet bereikbaar.
Als je dan toch een boodschap wil uitdragen door sites van anderen te defacen/hacken, zorg dan minstens dat je je boodschap ergens door de spellingchecker hebt gehaald en consequent gebruikt maakt van hoofdletters en andere leestekens.
Whatsapp.com is hier ook door getroffen :x Als ze maar niks met de berichtendienst hebben gedaan :)

[Reactie gewijzigd door mklcln op 8 oktober 2013 13:07]

Het is wachten op de eerste hackergroepering met een designer in dienst.
Nouja, d'r is een subgroep bij hackers / crackers die toch wel mooie demo's in elkaar schroeven, samen met goeie chiptunes muziek. Maar inderdaad.

Anonymous zou je ook punten kunnen geven voor hun video's.
haha ;-) het zie er inderdaad uit als een oude game op de super nintendo

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True