Monthly Archives: April 2014

PATCHED HEARTBLEED OPENSSL WEER LEK??

OMERTA INFORMATION SECURITY – ROTTERDAM

 

Op pastebin is zojuist een melding binnen gekomen  over een lek in de gepatchde OPENSSL versie. Heartbleed waaronder het grootste lek wereldwijde bekendheid verwierf, werd sinds de patch veilig geacht. Een team van 5 mensen is erin geslaagd ( dat beweren zij ) de patch te hacken.

De hack wordt aangeboden op de zwarte markt voor 2,5 Bitcoin.  Hieronder het bericht :

 

—  OpenSSL 1.0.1g / OpenSSL 1.0.2beta – Memory Disclosure – Latest Versions (PRIVATE EXPLOIT) —
** CONTACT US AT – BitWasp@******** **
You can sent us a message at our email, feel free to contact us at bitwasp@**********
We have just found an vulnerability in the patched version OpenSSL.
A missing bounds check in the handling of the variable “DOPENSSL_NO_HEARTBEATS”
We could successfully Overflow the “DOPENSSL_NO_HEARTBEATS” and retrieve 64kb chunks of data again on the updated version.
This exploit will not get public and will remain private, we have coded the script in python,
and we will use our own code for a long time before this gets patched.
We are team of five people, and we have coded nonstop for 14 days
to see if we could fid a workaround, and we did it!
We have no reason to make it public when the vendors will go for a update again.
This will have a reasonable price for all you pentester out there who want to exploit in the wild.
OpenSSL 1.0.1g
if ( 1 + 2 + payload + 16 > s -> s3 -> rrec. length ) return 0 ; /* silently discard per RFC 6520 sec.
EXPLOIT PoC
heartbleedbug

 

GROOT BRITAANIË: KOSTEN ZAKELIJKE BUSINESS CYBERLEKKEN MEER DAN VERDUBBELD!

s300_department-for-business-innovation-skills-f44a7bc04b82ee5b89174ddba967b814De kosten die gemaakt worden na cybersecurity aanvallen is in Groot Brittanie toegenomen met 200%. Van alle bedrijven in Groot Brittanie werd 81% geconfronteerd met een cyberaanval tegen 86% in 2012. Dat is weliswaar een kleine verbetering, echter de investeringen en moeite die in het voorkomen hiervan gestoken worden een teleurstellend en alarmerend gegeven.Voor het originele bericht op de GOV.UK site  kun je HIER klikken.

JOEPIE MAANDAG, DAAR GAAN WE WEER!……NIEUW ZERO DAY VOOR INTERNET EXPLORER (NO PATCH)

OMERTA INFORMATION SECURITY – ROTTERDAM

 

Amper 2 weken geleden werden er nog meerdere zero day exploits voor Internet explorer gepatched en nu alweer is er een lek gevonden wat al in het wild werd misbruikt. FireEye vond het lek dat voornamelijk bij de versies 9 tot en met 11 van Internet Explorer misbruikt werd.
Vanaf versie 6 zit het lek al in Internet Explorer. De kwetsbaarheid wordt misbruikt door zogenaamde flash exploitation techniek.

kussen-ieDit zegt de website van FireEye :

The Details

The exploit leverages a previously unknown use-after-free vulnerability, and uses a well-known Flash exploitation technique to achieve arbitrary memory access and bypass Windows’ ASLR and DEP protections.

Exploitation

• Preparing the heap

The exploit page loads a Flash SWF file to manipulate the heap layout with the common technique heap feng shui. It allocates Flash vector objects to spray memory and cover address 0×18184000. Next, it allocates a vector object that contains a flash.Media.Sound() object, which it later corrupts to pivot control to its ROP chain.

• Arbitrary memory access

The SWF file calls back to Javascript in IE to trigger the IE bug and overwrite the length field of a Flash vector object in the heapspray. The SWF file loops through the heapspray to find the corrupted vector object, and uses it to again modify the length of another vector object. This other corrupted vector object is then used for subsequent memory accesses, which it then uses to bypass ASLR and DEP.

• Runtime ROP generation

With full memory control, the exploit will search for ZwProtectVirtualMemory, and a stack pivot (opcode 0×94 0xc3) from NTDLL. It also searches for SetThreadContext in kernel32, which is used to clear the debug registers. This technique, documented here, may be an attempt to bypass protections that use hardware breakpoints, such as EMET’s EAF mitigation.

With the addresses of the aforementioned APIs and gadget, the SWF file constructs a ROP chain, and prepends it to its RC4 decrypted shellcode. It then replaces the vftable of a sound object with a fake one that points to the newly created ROP payload. When the sound object attempts to call into its vftable, it instead pivots control to the attacker’s ROP chain.

Microsoft has assigned CVE-2014-1776 to the vulnerability and released security advisory to track this issue.

Er is momenteel nog geen patch availible van Microsoft!

Hou de websites van Microsoft in de gaten op deze CVE!

 

OPLICHTERS KOPEN ADVERTENTIE RUIMTE OP POPULAIRE ZOEKMACHINES

Steeds vaker kopen scammers advertentie ruimte op populaire zoekmachines om slachtoffers naar hun websites te lokken voor neppe tech support. Zit je rustig een film te kijken op Netflix, maar niet alles werkt naar wens. Vervolgens gebruik je Bing om te zoeken naar Netflix support en je ziet gelijk bij het eerste resultaat een website die aangeeft support te leveren voor Netflix. Voor veel mensen zal dit gelijk vertrouwelijk aanvoelen, maar dat is juist een fout die veel mensen maken. Niet alleen Netflix, maar ook andere grote bedrijven worden op de populaire zoekmachines hieraan gelinkt.

De helpdesk support praktijken zijn al lang bekend, maar helaas vallen er dagelijks nog veel slachtoffers voor deze oplichting praktijken.

Hieronder is een filmpje te zien van Malwarebytes hoe het allemaal in zijn werking gaat.

JE GAAT HET PAS ZIEN ALS JE HET DOORHEBT!

OMERTA INFORMATION SECURITY – ROTTERDAM

Wij staan  in de laatste editie van MT Magazine in een interview met onze directeur Remo Hardeman. Het nieuwste blad van MT Magazine is vandaag uitgekomen.

JE GAAT HET PAS ZIEN ALS JE HET DOORHEBT!

Een van de uitspraken die Nederlands beroemdste voetballer ooit deed in een interview. Zeker geen abstract jargon dat niet te begrijpen is van de logica die het behelst. Als je nadenkt over beveiliging, en ondertussen doet iedere weldenkende ICT manager dat,dan loop je tegen vragen op. Veel vragen.
De enorme hoeveelheid informatie en goed bedoelde adviezen over beveiligingsmaatregelen komen als een groot oerbos op je afgesneld met een kleine 1000 KM per uur en laat je achter in een steppe met wat klein struikgewas, geëncrypt en gezipped, dat als het ware overgebleven is van alle informatie
die je de afgelopen periode nou juist zo goed aan het opnemen was. Wat nu? Gewoon door de bomen het bos proberen te zien! Leer veel, lees je in, denk na en praat erover met collega’s en andere ICT managers en verantwoordelijken.

Het bewustwordingsproces–en ik heb de Nederlandse ICT manager hoog zitten in professionaliteit en kennis—is een traject waarin men mede kennis opbouwt door zelf met gebreken binnen je eigen bedrijfsnetwerk te worden geconfronteerd. Doe dat met een externe partij, tal van informatiebeveiligingsbedrijven staan te springen om hun kennis en kunde op uw omgeving los te laten.  Pas dan zal men gaan inzien dat informatiebeveiliging een flink aantal hoofdstukken met paragrafen heeft, en ook niet van de 1 op de andere dag geïmplementeerd kan zijn.. Daarbij is visie en een stukje durf nodig om te kunnen bereiken waar men naartoe wil: een goed georganiseerde informatiebeveiligingsmachine op gang zetten met implementatie van Encryptie.

 

Encyptie en grip
De rol van NSA en GCHQ.
Als enfant terrible heb ik zeggen en schrijven welgeteld 4 jaar wiskunde gehad op verschillende scholen, op verschillende nivo’s, niet echt een basis om te gaan beginnen met allerlei wiskundige termen en berekeningen die men tegenkomt in encryptie – zou je denken. Toch als men zijn gezond verstand gebruikt en zich juist laat inlichten kan men
zich rijp maken als gesprekspartner over encryptie.Het is mij ook gelukt!Als je grip wilt hebben op jouw case, dan zal je toch moeten, en het lijkt heel moeilijk en het is heel moeilijk op sommigen vlakken, maar het is wel een must om inzicht te krijgen inde verschillende methodes en implementatiedoeleinden. In veel gevallen gebruikt menal dagelijks encryptie. Denk aan https en vpn’s, tokens SSL en schijfencryptie. Echter het laatste jaar is er door de onthullingen over de ontvreemde documenten van de NSA via Edward Snowden duidelijk geworden dat een aantal van deze encryptie methoden al gekraakt zijn door de NSA en GCHQ. Er zijn inmiddels al een paar honderd leveranciers
“gekraakt” , de verwachting is dat er voor het einde van 2015 nog eens een duizendtal bijzijn gekomen. Het is dus zaak te kiezen voorde juiste encryptie en hardware vendors, laatje bijstaan door een expert van Omerta Information Security en maak samen de keuze die een investering waarmaakt.
Een aantal van deze methodes zoals Perfect Forward Secrecy, fully Homomorphic encryption, zijn veelbelovende of al reeds door grote techpartijen geïmplementeerde encryptiemethodes die een grote toekomst tegemoet gaan. Vergeet niet dat de tools die de NSA en GCHQ gebruiken binnen nu tot 3 jaar ook
voor het “grote publiek” te verkrijgen zijn in het diepe dark web en dus ook gebruikt zullen worden door eenieder die zich handig over het internet beweegt.

Klik hier voor het interview in de de E-paper van pulse media group op bladzijde 5

 

cropped-logo.png

EEN SMS TROJAN MET WERELDWIJDE AMBITIES

Er is een Android-app om pornofilmpjes te bekijken, maar in werkelijkheid allerlei dure sms-berichten verstuurt. Een Trojaanse paard, dat sinds kort ook de Nederlandse consumenten lastig valt.
Inmiddels zijn er al vertien verschillende varianten van de Fakeinst Trojan verschenen, zo meldt Kaspersky Lab.

De eerste versies konden alleen maar dure sms-berichten in Rusland versturen, maar inmiddels is de lijst met ondersteunde landen flink toegenomen. In totaal zouden gebruikers uit 66 landen kunnen worden aangevallen, waaronder ook Nederland.

Kasperky Lab heeft een wereldkaart gemaakt die hieronder te zien is. Fakeinst is voornamelijk in Rusland en Canada actief.

Naaml44443dsaoos

RESPONSIBLE DISCLOSURE: AANJAGER STRUISVOGELPOLITIEK

cropped-logo.pngRotterdam, Woensdag 24 April 2014

 

Responsible disclosure, de richtlijn van het National Cyber Security Center (NCSC). Het huidige systeem om beveiligingslekken te melden aan het desbetreffende instituut. Dat er veel ontevredenheid over deze richtlijnen was is al bekend. Deze onvrede was eerder al te lezen in het blog van onderzoeksjournalist Brenno de Winter op thepostonline van 22 April.

 

Een veiligheidsprobleem vinden in een bedrijf van een ander en dit dan netjes aangeven bij de eigenaar.

Het lijkt de meest keurige en voor de hand liggende optie, maar schijn bedriegt. De huidige regelgeving in Nederland heeft hier keurig een instituut voor. De “keurige” personen die hier een melding van maken riskeren echter wel een strafrechtelijk onderzoek. Dit onderzoek komt weliswaar niet van het NCSC, maar van een ander orgaan binnen het ministerie, namelijk het OM.

In het opgestelde beleid belooft de organisatie geen juridische stappen te ondernemen, mits dit “conform het beleid wordt gehandeld”. Dit houdt in dat er op een vertrouwelijke manier te werk is gegaan, zo snel mogelijk na de ontdekking en dat er pas iets gepubliceerd wordt nadat er aan alle punten van de richtlijn is gehouden.

 

Responsible disclosure jaagt struisvogelpolitiek aan!

Is dat dan zo goed op deze manier? Nee! Uit eigen ervaring weten wij dat er totaal geschokt gereageerd wordt. Verbijstering, dat je aan onze spullen durft te komen! Omerta heeft in de loop der jaren meerdere grote lekken aangetoond (waarvan er 1 was met 1 miljoen klantgegevens) , nog zelfs van voor de tijd van Responsible disclosure. Wij werden als crimineel behandeld, door afdelingen integriteit ondervraagd. Aangiftes en boetes werden te pas en te onpas voor onze voeten gegooid. En dit was alleen maar openbare informatie die VRIJ op het internet te vinden is, binnen 3 minuten gegoogled of op Shodan gevonden. Laat staan als een Hacker serieus moeite gaat doen om data te stelen. Een fluitje van een cent!

Dus men intimideert de melder zodat hij bang wordt of afhaakt, er niks over durft te melden terwijl juist diegenen met gejuich zouden moeten worden ontvangen.

DANK JE WEL DAT JE MIJ VERTELD DAT MIJN SLEUTELS NOG IN MIJN VOORDEUR ZITTEN, OF DAT IK MIJN AUTO NIET OP SLOT GEDAAN HEB.

Niets van dat, alleen maar dreigen, dreigen, dreigen omdat men zelf nog niet weet hoe men überhaupt moet beveiligen. Of men denkt het toch wel heel erg goed in de smiezen te hebben: nee hoor wij draaien updates. En onze IT man, is een kanjer!

Het is niet makkelijk om je onkunde of ongelijk soms te moeten erkennen. Ook al vraagt de melder dat helemaal niet. Een white hat hacker of beveiliger of een hobbyist is vaak helemaal geen crimineel figuur, ZE WILLEN JUIST GOED DOEN!

Op deze manier worden de verantwoordelijken voor het falende ICT beleid en uitvoering lekker in het zadel gehouden!

Anekdote: 2 stagiaires van Omerta hadden eens een multifunctionele printer gevonden (u weet wel met scanner,fax en kopieer functie) die met harde schijf en al openbaar zijn gegevens ten toon spreidde open en bloot op het internet -Iedereen kon erbij- van de politie in gemeente *piep* , zeg ergens in het oosten van het land, Wij hadden er voor gezorgd dat wij geen regels overtraden en gingen het kwalijke euvel keurig netjes melden bij de politie. Na 1 keer doorverbinden kregen wij al een ICT hoofd van de desbetreffende gemeente aan de lijn.

Wij spraken het laatste woord uit en ICT ér zei tegen ons: even geduld, we hoorden veel gerommel, heen en weer geren en algehele paniek. Binnen 1 minuut daarna lag het hele politienetwerk plat. ( wij hielden dat op afstand over het internet in de gaten), Waarschijnlijk wild een stroomkabel van de firewall eruit getrokken. De downtime duurde 2,5 uur. Zo hadden wij het nou ook weer niet bedoeld, maar toch was dit de beste beslissing, op de HDD van de multifunctionele printer zaten alle ingescande documenten- denk aan processen verbaal, kopie paspoorten en alle andere kopieën van het afgelopen jaar! De beste kwam niet meer aan de lijn en de verbinding werd verbroken.

Wij hebben geprobeerd mailcontact te zoeken met de beste man meerdere malen zelfs, echter nooit geen response, nooit geen bedankje of een schouderklop. Dat is voor ons niet erg, feit was wel dat deze ICT hoofd zijn zaken niet goed op orde had en dit hem zijn baan misschien wel kon kosten of een fikse berisping. Echter door het niet openbaar te maken, het te ontkennen, struisvogelpolitiek te voeren werden de melders niet beloond, nog niet een schouderklopje of laat staan een bedank mailtje.

 

Conclusie

Een melder (met goede bedoelingen, en met goede bedoelingen bedoelen wij dat de melder niet gelijk op internet of ergens anders in de pers gaat pronken met het vinden van het lek) van datalekken gaat niet het risico lopen het datalek te melden en ondertussen ook 20 GB aan data te jatten. Zo werkt het niet.
Door de omslachtige manier van moeten melden worden er een hoop meldingen helemaal niet gemaakt. Het loont niet, een bedankje is al teveel en als er een bedankje komt dan krijg je een T-shirt. Ja je hebt het goed gelezen een T-shirt…beschamend!

Resposible disclosure remt innovatie en motivatie punt!

CHROME TOONT OPEN POORTEN WEBSITES MET SHODAN PLUG-IN

De ontwikkelaar van de zoekmachine Shodan, waarmee allerlei op het internet aangesloten apparaten zoals printers, routers, camera’s en zelfs complete industriële SCADA-installaties gevonden kunnen worden, heeft een plug-in voor Google Chrome ontwikkeld die allerlei informatie over websites toont.

Hierbij moet je denken aan IP-adres, hostnamen, locatie van de server, gebruikt besturingssysteem, organisatie die eigenaar van de gebruikte IP-space is en openstaande poorten. Zodra gebruikers van de plug-in een website bezoeken wordt de Shodan API (application programming interface) aangeroepen om alle informatie te verzamelen. De gegevens worden dan weergeven met informatie in een kleine pop-up.

33333

‘MALWARE VOOR TELEVISIES SLECHTS KWESTIE VAN TIJD’

De tijd dat malware onze televisies infecteerd zal niet lang meer op zich laten wachten.

Volgens Kaspersky zal de dreiging van malware zich ook op de thuisomgeving gaan richten, zoals televisies, die nu ook met het internet verbonden zijn. “Wat is het verschil tussen een televisie en een computer? Een groter scherm en een afstandsbediening. Het draait op Android en heeft van binnen geheugenchips en een internetverbinding. Dat is het enige”, aldus Kaspersky tegenover de Daily Telegraph. De virusbestrijder zou inmiddels een prototype in ontwikkeling om malware voor televisies, als het straks verschijnt, te kunnen detecteren.