Criminelen wijzigen dns-servers op routers om geld te roven

Het Poolse Computer Emergency Response Team maakt melding van criminelen die de dns-servers in kwetsbare routers aanpassen. Hierdoor zijn zij in staat tot man-in-the-middle-aanvallen, een tactiek die de criminelen gebruiken om geld buit te maken bij internetbankieren.

Malware De zaak kwam eind 2013 aan het rollen toen het Poolse CERT meldingen binnenkreeg van iPhone-gebruikers die te maken kregen met vervalste banksites. Nader onderzoek leerde dat er geen sprake was van malware op iOS, maar dat er was gerommeld met de routers van de slachtoffers. Door het wijzigen van de dns-server naar een adres van een server die in handen is van de cybercriminelen, konden zij Poolse internetgebruikers lokken naar vervalste websites.

De criminelen gebruikten vermoedelijk kwetsbaarheden in routers om de dns-servers aan te passen, al sluit de Poolse CERT niet uit dat er ook gebruik is gemaakt van zwak beveiligde login-gegevens of standaardwachtwoorden. Ook meldt de beveiligingsorganisatie niet welke merken of typen routers zijn gekraakt.

Hoewel de criminelen er met aanvullende malware in slaagden om geld buit te maken, was de man-in-the-middle-aanval niet geheel onzichtbaar. Zo werd tijdens het proces verkeer deels via http verstuurd en niet via https, waardoor de browser alarm kan slaan. Door te rommelen met domeinnamen en bijvoorbeeld 'ssl' in het adres te plaatsen, probeerden de criminelen dit voor minder ervaren internetgebruikers te verdoezelen.

Reacties (63)

Verwijderd 7 februari 2014 17:21

Dit heb ik een half jaar geleden aan het CERT(ncsc) team van Nederland gemeld, die vonden het niet zo'n groot probleem want ik heb niks meer van ze gehoord. Je kunt namelijk binnen enkele minuten duizenden nederlandse routers vinden waarop je de DNS kunt aanpassen ( d.m.v. scripting ). Maar Polen moet dit uiteindelijk naar buitenbrengen, haha!

Uiteindelijk komt het weer bij de Fabrikanten terecht, want die leveren routers/modems waar standaard ( gelukkig bij steeds minder varianten ) waarbij je simpelweg met admin/admin kunt inloggen, en waarbij poort 80 ( of een admin poort van het apparaat ) ook nog eens vanaf buitenaf te benaderen is.

Veiligheid moet dan ook vanaf de fabrikanten goed geregeld worden. Hoe moeilijk is het om een A4 papiertje bij een router/modem te leveren waarop staat uitgelegd hoe je je router wachtwoord moet wijzigen ( en een notitie dat externe toegang standaard geblokkeerd is )??

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:43]

Johannes77 @Verwijderd • 7 februari 2014 17:44

Een goede instructie zou zeker voor veel mensen welkom zijn, met voorbeelden hoe een wachtwoord niet moet; zoals wachtwoord123 of password123. Veel mensen hebben een wachtwoord wat te simpel voor woorden is, en op de honderd routers zullen er het misschien maar 5 tot 10 zijn die zo onnozel zijn, maar over Nederland gezien zijn dat tienduizenden tot honderdduizend "beveiligde" routers die zo binnen gewandeld kunnen worden.

Verwijderd @Johannes77 • 7 februari 2014 18:50

Ik heb een jaar of twee geleden eens gekeken hoeveel WiFi-netwerken in de straat daadwerkelijk beveiligd waren met een echt password, niet de standaard. Van de 11 kon ik in 5 daarvan komen.
Sindsdien niet meer gekeken (en natuurlijk ook niets uitgespookt!) maar 3 van de buren wel gewaarschuwd. En ze schrokken.
Ze beseffen zich niet dat hun complete netwerk openstaat, dat mensen bij hun documenten etc kunnen of erger nog, rotzooi kunnen uithalen op het internet onder "hun naam".

Als ik op een site een account maak zit er bij velen een password strength meter bij, waarom zit dat op een van je belangrijkste apparaten in je huis niet? Een verplichting om een goed wachtwoord in te stellen?

pe1dnn @Verwijderd • 7 februari 2014 19:59

Nou die strength meter is meestal echt waardeloos. Die controleert alleen of je wel een hoofdletter, leesteken en cijfer in je wachtwoord hebt zitten en het wachtwoord wel 8 tekens lang is. Dit is een standaard test die al jaren achterhaald is maar desondanks nog verschrikkelijk veel wordt afgedwongen op veel sites. Terwijl een beveiliging met 4 dood normale goed te onthouden woorden vele malen veiliger is door veel hogere entropie.

Raar genoeg accepteren veel sites geen password zinnen doordat spaties niet worden toegestaan, het veld een limiet heeft van 12 tekens en natuurlijk door het afdwingen van de hiervoor genoemde controle. Een wachtwoord als "correct horse battery staple" kun je niet eens invullen of vinden die sites "onveilig", terwijl in werkelijkheid dat vele malen veiliger is dan elk random 8 teken password.

Als je het goed wil doen, doe het dan echt goed en niet een knullige controle die 15 jaar geleden misschien veilig was maar door de toegenomen computer kracht al lang niet meer is. Zodra een computer kan terugvallen op brute force kraken maakt het helemaal niets meer uit uit welke 8 ot 12 tekens je wachtwoord bestaat.

Gomez12 @pe1dnn • 7 februari 2014 21:33

Raar genoeg accepteren veel sites geen password zinnen doordat spaties niet worden toegestaan
...
terwijl in werkelijkheid dat vele malen veiliger is dan elk random 8 teken password.

Let er wel op dat password zinnen zwaar / zwaar / zwaar achteruit gaan als je spaties tussen woorden gaat doen.

Password zinnen werken in principe alleen doordat het niet te onderscheiden is van een normaal passwoord en je dus een xx-lengte paswoord hebt.
Ga je er spaties in introduceren dan heb je een verhoogde kans dat iemand de spaties onderschept (ander geluid waardoor je collega / buurman het kan horen, andere aanslagsnelhied waardoor een keytimer het kan meten) en als het aantal spaties bekend is dan is je password zin supersnel gekraakt (pak een dictionary erbij en kijk hoeveel woorden er afvallen als je een 14 char-password moet verdelen over 3 woorden met 2 spaties).
Haal de spaties eruit en het kan 1 woord zijn van 14 chars, maar ook 2 woorden van 7 chars, of 1 van 10 en 2 van 2 chars etc.

Specifiek de spatiebalk is het probleem omdat die heel goed te herkennen is.

Goderic @Gomez12 • 8 februari 2014 00:50

Dan moet die persoon toch echt wel in de buurt zijn terwijl jij je wachtwoord aan het typen bent (of afluisterapparatuur geïnstalleerd hebben, maar dan kunnen ze net even goed een keylogger in je toetsenbord steken), de meeste mensen willen zich beschermen tegen remote aanvallen. Bescherming tegen iemand die in de buurt is (en dus zeer waarschijnlijk fysieke toegang tot je pc kan hebb) is bijna onmogelijk als die persoon echt moeite doet (fysieke keyloggers, camera's, gewoon kijken,...)

Gomez12 @Goderic • 8 februari 2014 07:30

Better safe than sorry als je toch voor een betere manier wilt gaan.

De spatiebalk heeft gewoon qua aanslag unieke eigenschappen die bijv bij een direct over de lijn versturen van een password (telnet oid, ssh weet ik niet hoe die intern werkt qua of er ruis gestuurd wordt of dat je wel gewoon de aanslagtijd van karakters kan meten) lokaal maar ook remote meetbaar zijn.

Goderic @Gomez12 • 8 februari 2014 14:52

Remote maakt het echt niet uit of je een spatie zet of niet.
Oftewel is je verbinding onversleuteld en kan de aanvaller gewoon je wachtwoord onverscheppen zoals bij telnet oftewel wordt alles versleuteld en kan de aanvaller niets opmaken uit je verbinding.

Je kunt ook de signalen van een toetsenbord naar de computer afluisteren, maar op die manier kun je elke toets herkennen, niet enkel de spatie.

PepijnK @Gomez12 • 9 februari 2014 03:35

[...]

Let er wel op dat password zinnen zwaar / zwaar / zwaar achteruit gaan als je spaties tussen woorden gaat doen.

Dat lijkt me stug. Mijn passphrase voor bijvoorbeeld Facebook is 63 chars lang. Success met uitzoeken hoeveel woorden dat zijn, welke leestekens waar moeten of en waar ik cijfers gebruikt heb en waar de spaties moeten zitten.

Het is gewoon een extra mogelijkheid op elke locatie in de passphrase. 26 kleine letter, 26 hoofdletters, 10 cijfers, een hand vol leestekens en dus een spatie.
De entropie op elke positie in de passphrase wordt alleen maar groter.

Johannes77 @pe1dnn • 7 februari 2014 21:13

Zodra een computer kan terugvallen op brute force kraken maakt het helemaal niets meer uit uit welke 8 ot 12 tekens je wachtwoord bestaat.

Klopt als een bus, alleen een langer wachtwoord, of een aan elkaar geschreven passwordzin, zal altijd langer duren voordat hij gekraakt is. Aangezien de meeste routers meer dan die twaalf tekens kunnen handelen, kunnen ze wel goed beveiligd worden.

Daarnaast is het ook belangrijk om het admin wachtwoord ook aan te passen, want die is vaak zo lek als een mandje. Bij Ziggo routers standaard ziggo en draadloos. Dan hoef je nog niets van routers af te weten en je hebt adminrechten van die router.

kimborntobewild @pe1dnn • 10 februari 2014 17:31

Terwijl een beveiliging met 4 dood normale goed te onthouden woorden vele malen veiliger is door veel hogere entropie.

Er zijn weinig mensen die steeds zo'n lang wachtwoord willen intikken.

dasiro @Verwijderd • 7 februari 2014 18:02

gewone gebruikers zijn te dom om hun apparatuur goed in te stellen, dat is niet de fout van de fabrikanten, CERT of enige andere instantie dan ook. Iedereen wil tegenwoordig alles zo makkelijk mogelijk hebben en dat werkt zwakke punten in de hand.

Vroeger moest je al serieus wat kennis hebben om met een pc te kunnen werken. Tegenwoordig is elk 3-jarig kind al in staat om op dezelfde manier met een iphone om te gaan als een volwassene van 30/50/70

Gurd @dasiro • 7 februari 2014 19:04

Als uw redenatie zo volg vind u het dus ook belachelijk dat routers tegenwoordig een uniek standaard wachtwoord hebben die vermeldt staan op de sticker?

Of kunt u zich niet meer herinneren toen elke router standaard een niet beveiligde draadloze verbinding had?

Ook al zou de gebruiker een IQ van -50 hebben dan nog hoort het apparaat standaard veilig ingesteld te zijn.

Of zou u het accepteren als ik met m'n axa fietssleutel zo uw auto open maak er mee wegrij? Dan schreeuwt u ook moord en brand bij de fabrikant.

Gomez12 @Gurd • 7 februari 2014 21:34

Ook al zou de gebruiker een IQ van -50 hebben dan nog hoort het apparaat standaard veilig ingesteld te zijn.

Het consumenten spul wat je in de winkel kan kopen is ook gewoon standaard veilig ingesteld.

Het probleem zit hem meer in de handige buurjongetjes / port mapping tutorials die alles opengooien.

kimborntobewild @Gomez12 • 10 februari 2014 17:33

Het consumenten spul wat je in de winkel kan kopen is ook gewoon standaard veilig ingesteld.

Dus niet. Per default kan je op veel apparaten op afstand inloggen. Met welk doel moet dat standaard aan staan??

Verwijderd @dasiro • 8 februari 2014 00:06

Dat is wel een fout van de fabrikanten. Een consumentenapparaat wat in een willekeurige winkel verkocht wordt moet gewoon gebruikt kunnen worden zonder specifieke vakkennis. Je hoeft toch ook niet te weten hoe een automotor werkt om auto te rijden? De tijd dat ICT alleen voor mannen in witte jassen was ligt al een paar decennia achter ons.

dasiro @Verwijderd • 8 februari 2014 09:37

Dat is wel een fout van de fabrikanten. Een consumentenapparaat wat in een willekeurige winkel verkocht wordt moet gewoon gebruikt kunnen worden zonder specifieke vakkennis. Je hoeft toch ook niet te weten hoe een automotor werkt om auto te rijden? De tijd dat ICT alleen voor mannen in witte jassen was ligt al een paar decennia achter ons.

met een oven of wasmachine kan anders ook serieus wat fout gaan als je niet weet hoe ze moeten worden ingesteld en voor een auto heb je zelfs een rijbewijs nodig waar zowel praktische, technische als theoretische kennis voor vereist is om het te halen.

kimborntobewild @dasiro • 10 februari 2014 17:36

Een computer of router optimaal bedienen is oneindig veel complexer / moeilijker dan een wasmachine, oven of het halen van een rijtheoriecertificaat.
Een computer of router foutloos veilig bedienen is nagenoeg onmogelijk, vanwege alle bugs die er in zitten.

kodak

Cybercrime

@Verwijderd • 7 februari 2014 19:02

Dit heb ik een half jaar geleden aan het CERT(ncsc) team van Nederland gemeld, die vonden het niet zo'n groot probleem want ik heb niks meer van ze gehoord. Je kunt namelijk binnen enkele minuten duizenden nederlandse routers vinden waarop je de DNS kunt aanpassen ( d.m.v. scripting ). Maar Polen moet dit uiteindelijk naar buitenbrengen, haha!

DNS hijacking in modems is zo oud als de weg naar Rome, net als tientallen andere zwaktes in ADSL-modems en net als dat mensen maar niet willen leren dat ze hun apparatuur moeten beveiligen. Ik geef het CERT geen ongelijk als ze voor ieder wissewasje weer moeten gaan roepen dat Nederlanders nog steeds gevaar lopen. Dan weer voor DNS hijacking in een slappe modem, dan weer voor configuratie die te makkelijk te gebruiken is, dan weer voor gegevens die te makkelijk zijn uit te lezen uit een modem etc etc etc. Mensen willen voor een dubbeltje op de eerste rang zitten, denken niet na over veiligheid, eisen geen veilig product en gaan dan miepen dat ze gevaar lopen en niemand ze heeft gewaarschuwd. Laat dat CERT maar zorgen dat de overheid zelf geen gevaar vormt. Lijkt me al belastingverslindend genoeg.

kimborntobewild @kodak • 10 februari 2014 17:47

Mensen...eisen geen veilig product

Ten eerste weten ze niet wat een veilig product is. Dan kan je dat ook moeilijk eisen. Ten tweede kan je in je eentje weinig eisen (qua basisprincipes); dan moet je echt wijd georganiseerd zijn. Oftewel... dan moet je in de politiek zitten. En het is juist de gemiddelde politicus die weinig om digitale veiligheid en privacy geeft. (Daar moet je dan dus met je eigen partijtje tegenop boksen. Kijk naar de piratenpartij: die hebben weinig in de melk te brokkelen.) Kijk simpelweg naar het oerstomme en tientallen miljoenen geldverspillende voornemen om weer digitaal te gaan stemmen, wat totaal nutteloos (afgezien van iets eerder de stemmen geteld te hebben) en oncontroleerbaar is voor leken. (Al was 't maar omdat een bonnenprinter (die ze bij de nieuwste stemmachines willen meeleveren) eenvoudig te saboteren is (je laat er gewoon een paperclip invallen en iedereen denkt dat het een ongelukje is van een willekeurig iemand), en vervolgens ook de stemkastjes.)

fevenhuis @Verwijderd • 7 februari 2014 17:34

Dit alles is het resultaat van een ernstig verzwakt internet om spionage en tracking zoveel mogelijk te faciliteren.

Het grootste probleem is dat dit beleid dus door alle officiële instellingen verzwegen of goedgepraat wordt. Want officiëel is het nog steeds zo, als je niks te verbergen hebt, hoef je dus niet alles encrypten.

In werkelijkheid is het dus zo dat de alle infrastructuur door deze praktijken verzwakt wordt.

Hoe moeten we het internet ooit veilig krijgen en werkend houden zonder encryptie en discrete verbindingen?

Tevens zou er vanuit de overheid actief gekeken worden naar de achterdeuren in apparatuur en dient deze apparatuur gewoon verboden worden. Ook voor consumenten producten, want botnetten op consumentenapparaten zijn de methode waarmee andere infrastructuur aangevallen wordt.

[Reactie gewijzigd door fevenhuis op 25 juli 2024 00:43]

Akujiproxy @fevenhuis • 7 februari 2014 17:53

Al heb je wel iets te verbergen, je hebt gewoon recht op privacy

bonus @Akujiproxy • 7 februari 2014 18:25

Eigenlijk zeg je het verkeerd

Ook al heb je niks te verbergen, dan heb je nog steeds recht op je privacy.
Of zoals iemand pas zei: Ik heb geen geheimen maar dat hoeft toch niet iedereen te weten

MrFax @fevenhuis • 7 februari 2014 17:48

Het hoeft toch niet zo te zijn dat iemand wat te verbergen heeft? De bedoeling van encryptie is om je data veilig te houden van criminelen en/of hackers.

[Reactie gewijzigd door MrFax op 25 juli 2024 00:43]

freaky @MrFax • 9 februari 2014 13:48

De bedoeling van encryptie is om de data onleesbaar te maken voor een ieder anders dan de beoogde ontvanger.

MrFax @freaky • 9 februari 2014 18:13

ook. het heeft meerdere doeleinden

zvbhvb @fevenhuis • 7 februari 2014 18:09

''Tevens zou er vanuit de overheid actief gekeken worden naar de achterdeuren in apparatuur en dient deze apparatuur gewoon verboden worden."

Snowden,NSA zegt je dat iets?
Menig overheid werkt al dan niet actief mee aan het verzamelen van meta-data.Diezelfde overheid die nog nooit een IT project werkend opgelevert heeft gekregen zou dan de veiligheid van de NL burgers in cyberspace moeten waarborgen?

fevenhuis @zvbhvb • 7 februari 2014 18:26

Inderdaad de overheid zou dat moeten waarborgen en dat moeten we gewoon gaan eisen in plaats van akkoord gaan met de huidige praktijken.

In het verleden hebben we het verhaaltje geaccepteerd dat landen individueel niets kunnen omdat het allemaal op Europees nivo besloten wordt.

Maar Nederland kan een van de vooraandestaande landen op het internet wel degelijk wat op Europees nivo "afdwingen" lijkt mij. Maar dan zal er eerst druk op nationaal nivo moeten zijn op dit op Europees nivo aan te kaarten.

Met alle ongekend grote problemen met de gehele financiële industrie en het feit dat wij zelf vrijwel niets meer produceren, is het van nationaal belang dat wij een van onze grootste sectoren (ICT), met grote zorg gaat veiligstellen.

Het veiligstellen van onze internet infrastructuur moet zwaarder wegen dan de gehele industrie die is opgezet om virtuele terroristen vangen (iets wat ook niet goed meer werkt als de hele infrastructuur zo lek is als een mandje).

kimborntobewild @fevenhuis • 10 februari 2014 17:27

Maar Nederland kan {als} een van de vooraandestaande landen op het internet wel degelijk wat op Europees nivo "afdwingen" lijkt mij. Maar dan zal er eerst druk op nationaal nivo moeten zijn op dit op Europees nivo aan te kaarten.

De overheid kan pas de goede kant op gaan in dezen als die een stuk minder rechts is afgezien van zwaar straffen (wat toch meestal als rechts wordt gezien) - een schoffelstraf is geen straf.
Zolang VVD of CDA of PVV (en in mindere mate PvdA) in de regering zit, wordt dat niets. Deze partijen geven in de praktijk weinig om privacy en vinden het misbruiken van internet juist een handig middel om criminelen te pakken. Sterker nog, ze geven er zelf opdracht toe. Het is bekend dat de linker partijen meer om privacy geven. De conclusie waar je dan op moet stemmen, mag je zelf trekken

Verwijderd @Verwijderd • 7 februari 2014 18:46

Bij tweakers kun je tegenwoordig ook anoniem een tip melden. Ik ken de link even niet uit mijn hoofd maar het kan wel. Net als bij wikileaks. Ik adviseer je dit te doen hoe stom dit bericht nu is. De consument kan dan weten waar hij/zij aan toe is op het moment dat blijkt dat zijn router open en bloot ligt voor cybercriminelen.

kimborntobewild @Verwijderd • 10 februari 2014 17:38

Ik adviseer je dit te doen hoe stom dit bericht nu is.

Ik heb die zin 5x gelezen, maar kan er nog steeds geen touw aan vastknopen.

poor Leno 7 februari 2014 17:55

Even voor de duidelijkheid, hoe kan ik zien of mijn router hier kwetsbaar voor is en gaat t hier om je wifi wachtwoord?

Durandal @poor Leno • 7 februari 2014 19:05

Even voor de duidelijkheid, hoe kan ik zien of mijn router hier kwetsbaar voor is en gaat t hier om je wifi wachtwoord?

Het gaat niet om je wifi wachtwoord (tenzij de hackers met een busje voor je deur gaan staan), maar om het account/wachtwoord voor admin toegang over je vaste poorten.

Tijd om even in te loggen op je router
1) met je browser naar, waarschijnlijk, http://192.168.0.1, of http://192.168.1.1, anders moet je even in je handboek zoeken naar het browseraders va je router. Je kan ook in een DOS shell (Win-R, "CMD") 'ipconfig' intikken. Je vind je router IP adres dan onder 'default gateway'.
2) inloggen met admin/admin, of root/admin, of admin/[enter] of root/[enter]. Kan je zo inloggen dan kan iedereen dat vanaf jouw kant van je router. Kan je dat niet dan kan je nog kwetsbaar zijn: zoek op google naar 'default password <jouw router>'
3) meest belangrijk: kijk in je router of externe administratie / WAN admin aan staat. Zet dit uit tenzij je weet wat je doet en je bewust je router vanuit het internet wil benaderen en het risiko neemt dat anderen dat ook doen.

Het kan geen kwaad je wachtwoorden sowieso te wijzigen. Neem dan gelijk je Wifi SSID en wachtwoord mee. Laat wvb je wachtwoorden niets standaard staan.

[Reactie gewijzigd door Durandal op 25 juli 2024 00:43]

soulrider @Durandal • 7 februari 2014 21:38

dat is intern inloggen en dat is niet hoe dit misbruik is gebeurd .
et kan natuurlijk mbv een iframe in een website die een url oproept op je modem of een passant die even meesurft op je wifi - maar wederom dat is hier wellicht niet gebeurd)

maar dit is via externe toegang gebeurd:

check via bv whatismyip je extern ip-adres en surf er eens heen mbv je gsm en over 3g ipv over wifi ...
als je het loginscherm ziet zoals je dat intern (via 192.168.1.1 of wat ook het adres is) ook ziet, zonder dat je dat expliciet hebt aangezet, heb je problemen ...
en dan kan je wel eens een keer pech hebben als er een exploit voor je modem bekend wordt of bv russische/poolse botjes beginnen te bruteforcen op die login. (of je nog het default login/pw gebruikt)

kodak

Cybercrime

@poor Leno • 7 februari 2014 19:09

The most reliable way to verify whether your device is affected is to manually check DNS servers in the configuration.
Als je dns-server niet van de provider komt maar handmatig is ingesteld heb je waarschijnlijk een probleem.
Maar het punt is dat je dat iedere dag zo'n beetje zou moeten controleren, want je kan op vele verschillende manieren slachtoffer worden. Het hangt volledig van de beveiliging van je modem af - dus hoe goed je leverancier dat apparaat ontwikkeld heeft en of je zelf ven de gebruikers veilig met je modem om gaan. Standaard/makkelijk wachtwoord, lekje in de software, geen xsrf-beveiliging, toegang via het internet via een verborgen remote management, noem maar op.
Meestal komt een dns-hijack niet zonder een blunder of andere onveilige situatie.

soulrider @kodak • 7 februari 2014 21:46

De dns-servers op mijn modem heb ik zelf manueel ingesteld, en op de computers ook, omdat die van de provider bagger zijn, en ik de dns-filters hier in België gewoon haat.

je raad is dus niet volledig:

controleer ze en indien manueel ingesteld, controleer dan even verder of ze verschillen van die van je provider of van diegene die je zelf hebt ingesteld.

Trouwens een manier van misbruik die ik soms merk bi jgebruik van opendns: een andere klant van de provider die valselijk beweerd admin te zijn over het ip-adres of een deel van het ip-block van de provider en zo dan via opendns bepaalde blocks en dergelijken kan instellen.
incl. dus ook redirects als je naar een volgens hem verboden site gaat.
En die redirect-pagina waar normaal een 'sorry niet toegestaan'-boodschap op staat, kan natuurlijk net zogoed een 2de redirect gaan doen naar een fake-pagina adhv de url die opgemerkt wordt....

Geen enkele hack van modems nodig, en je kloot op die manier eigenlijk zelfs vrij makkelijk die al iets slimmere internet gebruiker.

(ik heb van die gast melding gemaakt bij de provider.... en bij opendns dat het niet kan dat iemand buiten de provider zelve claimt admin te zijn over dat ip-block, zij hebben dat toen terug vrijgegeven. en ik hoop dat ze dat vaker controleren in de toekomst - dat iemand die claimt admin te zijn over een ip-adres of -block dat ook moet kunnen aantonen.)

Technoturk @poor Leno • 7 februari 2014 18:44

je browser word dan rood bij het inlogen van https

HoppyF 7 februari 2014 17:24

Door te rommelen met domeinnamen en bijvoorbeeld 'ssl' in het adres te plaatsen, probeerden de criminelen dit voor minder ervaren internetgebruikers te verdoezelen.

Geen high tech methode dus.
Ondanks dat toch goed dat dit bekend gemaakt wordt.

mxcreep @HoppyF • 7 februari 2014 17:38

Door simpelweg niet de DNS te gebruiken die de DHCP van je router meegeeft kun je dit al voorkomen.

.Peter. @mxcreep • 7 februari 2014 18:28

Als de router vervolgens het adres gaat herschrijven (NAT, maar dan de andere kant op

) ben je nog kwetsbaar. Het is misschien niet zo makkelijk als een DNS server aanpassen, maar stel dat een uitgebreide telnet (!) interface van buitenaf beschikbaar is, dan ben je ook de sjaak al gebruik je vaste DNS servers. (andere situatie: SSH toegang met een zwak (of zelfds geen!) root wachtwoord...)

De oplossing voor gebruikers is om altijd te controleren of een URL met https begint (bijvoorbeeld door deze zelf in te tikken). Beheerders van HTTPS sites zouden kunnen kijken naar het gebruik van de HSTS header om te voorkomen dat een latere bezoek aan de website over een onversleutelde verbinding mogelijk is.

Armin

Netwerk en systeembeheer

@.Peter. • 7 februari 2014 19:22

In principe zijn er maar 3 mogelijkheden:

1) Jij typed in www.ing.nl en waar de echte HTTP site zelf onconditioneel naar HTTPS gaat, blijft de gemanipuleerde bij HTTP. Effectief geen SSL/TLS dus, Ik gok dat men deze methode gebruikt.

2) Men gebruikt een eigen certificaat. In dat geval ongeacht of de DNS gemanipuleert is geeft elke browser van de laatste 10 jaar gewoon een dikke rode-waarschuwing dat het certificaat ongeldig is, en weigeren toegang tenzij de gebruiker expliciet doorgaan klikt.. Zelfs veel gewone gebruikers zullen dan toch even schrikken.

3) Men heeft een eigen certificaat ondertekend door een van de officiele signingbureaus. In dat geval ga je meestal gewoon nat als gebruiker, maar is het voor de opsporingsdiensten redelijk makkelijk de organisatie op te sporen (indien men moeite doet).

De enige beveiliging tegen (3) is dat er tegenworodig bij veel domeinen een tweede check gedaan wordt of het certifciaat ook echt van dat bedrijf is. Voor leken dat is het verschil tussen een gewone HTTPS en een HTTPS waar je URL balk groen wordt. Maar ja, dat zal de gewone gebruiker niet opvallen.

Henk Poley @Armin • 8 februari 2014 05:58

De hoofd site van de ING ( www.ing.nl ) gebruikt overigens geen https. Je wordt zelfs overgezet naar http.

Verwijderd @.Peter. • 8 februari 2014 02:20

Ssh met root? Geef mij maar een tweede hamer.

Verwijderd 7 februari 2014 17:28

Mensen die dus de beveiligingstips van hun bank volgen zouden hier niet in moeten trappen. Altijd kijken naar de tekst 'https' in de browserbar en de aanwezigheid van een geldig beveiligingscertificaat.

Verwijderd @Verwijderd • 7 februari 2014 17:31

Ook hier kun je niet meer op vertrouwen, want certificaten zijn namelijk ook te spoofen. En al helemaal als ze je DNS hebben gewijzigd.

eborn @Verwijderd • 7 februari 2014 17:39

Oh? Hoe wil je dit dan doen zonder een CA te hacken of een eigen root CA in de browser te installeren?

Armin

Netwerk en systeembeheer

@eborn • 7 februari 2014 19:28

Gewoon voor 10 dollar een eigen intermediate CA kopen bij Verisign of vooral een van de duizenden anderen kleine die de verificatie van gegevens niet zo nauw nemen.

Het gaat dan als volgt:

1) Ik registreer www.mijningbank.nu via mijn shell BV
2) Ik vraag bij WokieWokie CA een certificaat van dat domein.
3) Ik pas de DNS aan zodat ing.nl verwijst naar mijningbank.nu
4) Jij logt in wordt redirected en ziet mooi een slotje.

Natuurlijk jij als tweaker zal wellicht denken dat mijningbank.nu een raar domein is, en je zult ook niet die befaamde groene geverifieerde HTTPS balk krijgen, maar de gemiddelde klant ziet gewoon én een slotje, én een vertrouwde oranje leeuw.

Gomez12 @eborn • 7 februari 2014 21:39

root CA's zijn dan weer niet moeilijk in de browser te krijgen bij de gemiddelde gebruiker.

Gooi het modem-beheer scherm met een update achter een certificaat, dan schrikt iedereen van het rode scherm maar vertrouwt het wel want het is toch hun router.
Dan gooi je in de management pagina's een beschrijving hoe de mensen de rode pagina weg kunnen krijgen (door het certificaat als rootcertificaat in te stellen).

Et voila, je hebt bij enkele 10.000'en mensen een root-certificaat geinstalleerd. Dat is de macht van de grote getallen.

eborn @Gomez12 • 8 februari 2014 13:47

Snap ik, het ging mij meer op de technische oplossing. Dit zijn allemaal (waarschijnlijk goed werkende) niet technische oplossingen d.m.v. fishing en/of social engineering. Maar een puur technische oplossing zal toch altijd via een CA moeten gaan.

Verwijderd @eborn • 7 februari 2014 18:50

DNS servers kunnen aanpassen betekend dat veel verkeer via servers van de cybercriminelen kunnen lopen (als ze dat willen). En op die manier kunnen ze dus zelf gaan bepalen wat een gebruiker te zien krijgt op alle pagina's, zo bijvoorbeeld ook een virus (d.m.v. een 0-day exploit van java o.i.d.). Een virus kan vervolgens allerlei dingen gaan spoofen. Niets is veilig of 100% betrouwbaar, ook een certificaat niet.

Ultraman Moderator VB 7 februari 2014 17:25

Slimme boefjes.

Ook meldt de beveiligingsorganisatie niet welke merken of typen routers zijn gekraakt.

Dat is dan weer jammer.

Vervelend ook dat er genoeg routers lijken te zijn die deze kwetsbaarheid hebben om het lucratief te maken. Het wordt tijd dat de fabrikanten van consumentenrouters eens een grotere obligatie/incentive krijgen om hun meuk beter te beveiligen en/of te (laten) testen. Menig consument upgrade bijvoorbeeld nooit de firmware van zo'n apparaat, want daar heeft men nul weet van.
Al zouden ze het mogelijk maken om met een tooltje op de meegeleverde installatieCD, en normale concumenten gebruiken zo'n ding vaak, een periodieke check voor updates uit te laten voeren en ook makkelijk dergelijke firmware te laten upgraden.

Goderic 7 februari 2014 20:14

Als browsers en websites eindelijk eens aan de uitrol van DNSSEC zouden beginnen zou deze aanval niet meer mogelijk zijn. Het aantal websites dat nu DNSSEC gebruikt is echt laag en je hebt een plugin nodig om het te gebruiken.

kaaas 7 februari 2014 20:39

Voor iedereen die zit te roepen mensen zijn lui, dom of ongeinteresseerd als dit ze over komt ga eerst eens kijken hoe deze truck uit gehaald is.
Stap 1 is het toegang krijgen tot de router en deze aanpassen.
Stap 2 na de aanpassing mensen doorsturen naar malefide pagina's

Stap 1 is denk ik als volgt gegaan.
Waarschijnlijk is het met een dns rebind attack gedaan. Hier kan iedereen ongeveer in trappen.
En het enige dat je er tegen kunt doen is inderdaad het inlog wachtwoord van je router aanpassen naar een degelijk wachtwoord. En dan heb ik het niet over je wifi maar de pagina waar je de instellingen van je router doet.
Dan nog is het hopen dat er geen lek in je router firmware zit en die kans is groot waardoor een goed wachtwoord ook niet helpt.
Te kort en te simpel hoe een DNS rebind atack gaat.
Je type een url in www.gehakt.nl je pc vraagt aan de dns server he waar staat die site je krijgt een lijst met ipadressen. Je pc gaat naar de eerste op die lijst, die server laat je een site zien waar een stukje java script in zit zie je weer doorstuurt naar www.gehakt.nl. Dit vinden browsers ok. Dan ga je weer naar de eerste op de lijst, maar dit keer antwoord die niet en ga je naar de 2e. Het 2e ipadres is jouw externe ip adres. Browsers laten dit toe (je interne adres niet) en het javascript dat nog draait heeft volledige toegang tot jouw router.
Nu kan het feest beginnen de aanvaller kan allerlei ongein uit gaat halen met jouw router. Bijv als proxy gebruiken. Andere firmware uploaden en ja daar komt ie je DNS instellingen veranderen.

Stap2
Als de DNS instellingen van je router eenmaal aangepast zijn in je router kunnen ze je doorverwijzen naar welke pagina ze maar willen. Als je dan naar mijnbank.nl gaat sturen ze je door naar hun server. Zie voor uitleg hier de originele bron in het artikel.

Dus lieve mensen ga niet zomaar zitten roepen dat het stom is en denk niet dat het jou niet kan overkomen.

Voor een goede uitleg zie onderstaande
https://www.youtube.com/watch?v=VAaqABpjiUQ
http://www.forbes.com/sit...s-vulnerable-to-web-hack/
Google.

[Reactie gewijzigd door kaaas op 25 juli 2024 00:43]

itsalex

8 februari 2014 10:05

Dan mag dit met routers zijn maar in 1985 waren ze al bezig dmv radiogolven je beeld over te nemen en daar is geen standaard wachtwoord tegen te beveiligen. Dat is ook een manier. Maar ik denk dat dit alleen maar erger gaat worden want als je tussen een router nog een modem hebt zitten is dus niet je router het probleem maar het modem. De meeste mensen weten vaak niet hoe je dan het modem moet aanpassen. Zoals bv een kabelmodem die op bridge staat.

Verwijderd 8 februari 2014 12:01

Ach heb al zo vaak de dns instellingen van routers veranderd. Overigens nadat ik wifi-wachtwoord kreeg van de eigenaar van het access point. Alleen routers zijn vaak niet beveiligd tegen inloggen. Doorgaans kun je gewoon inloggen met admin/admin. En het enige dat ik dan doe, is de dns servers aanpassen naar die van Google (8.8.8.8 en 8.8.4.4). Nooit bij stilgestaan dat mensen hier ook kwaad mee uit kunnen halen. Overigens heb ik in m'n laptop altijd deze dns servers in gebruik. Alleen het IP adres van de laptop zelf wordt via dhcp opgehaald. Op m'n smartphone ook zo maar 's instellen.

MrFax 7 februari 2014 17:50

Waarom routers nog steeds default username en passworden hebben snap ik niet. ATLEAST laat ze in de fabriek random genereren en die als sticker meesturen.

Verwijderd @MrFax • 8 februari 2014 14:42

Ik zie het probleem niet. Sterker nog ik denk dat jouw oplossing meer problemen geeft dan dat het oplost.

Laat me dat eens even verduidelijken.

De laatste 4 modem/routers die ik van mijn isp heb gekregen hadden een standaard wachtwoord.
Een standaard wachtwoord wat verplicht moest worden aangepast alvorens ik kon beginnen met met bekijken/aanpassen van de instellingen.
Op die manier geeft het standaard wachtwoord geen enkel risico. Bovendien kan ik na een harde reset altijd weer binnenkomen. Zelfs wanneer ik dat standaard wachtwoord ben vergeten , kan ik het simpel nazoeken op het internet (al dan niet via een andere internet verbinding).
Maar als we jouw oplossing nemen en er onverhoopt iets met de sticker met het paswoord gebeurd (sticker verdwenen of onleesbaar verkleurd) hoe kan ik dan ooit nog bij de instellingen ?

Dus nee , ik zie het probleem niet.

zvbhvb @Verwijderd • 8 februari 2014 16:40

Liever geen sticker die niet blijft zitten en of verkleurd dat ben ik met je eens.
Waarom geen hardware matige knop waarmee je een random paswoord kan genereren. in combinatie met een hardware reset knop?
Het zijn juist veelal de crackers die de standaard wachtwoord lijsten raadplegen.
Er zijn daarna geen standaard modem/router wachtwoorden meer.Dus al het laaghangende fruit is grotendeels verdwenen.

zvbhvb @MrFax • 7 februari 2014 18:13

Of een knop op de router in kunnen drukken waarna er een random wachtwoord wordt gegenereerd en wordt weergegeven in een simpel venstertje.Of beter nog direct nadat de voeding van de router voor de eerste keer aan gaat.Weg standaard wachtwoorden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (63)

Sorteer op:

Weergave: