X-FactorHackers hebben de Amerikaanse tv-zender Fox in verlegenheid gebracht door in te breken op het netwerk en de database met aanmeldingen voor X-Factor te stelen. Een dump is inmiddels als download beschikbaar via torrentnetwerken.

Naar nu blijkt heeft Fox eind vorige week al gewaarschuwd dat er mogelijk een hack was geweest waardoor de gegevens van tienduizenden X-Factor-kandidaten op straat zou kunnen liggen. Afgelopen weekeinde heeft de groep die verantwoordelijk claimt te zijn voor de aanval, de gegevens gepubliceerd via torrentnetwerken.

De torrent, die iets meer dan 34MB groot is, bevat een MySQL-dump in zowel sql- als txt-formaat van de database met registratiegegevens van de kandidaten van de Amerikaanse versie van de tv-show X-Factor. Opvallend is dat de database, genaamd xfactorreg, op een intern ip-adres van Fox draaide. Dit impliceert dat de hackers niet rechtstreeks toegang hebben gehad tot de database, maar zich eerst op een andere manier toegang hebben verschaft tot de serversystemen van de zender.

De database bevat gegevens van 73.726 kandidaten. Van deze mensen zijn naam, mailadres, geboortedatum, geslacht, postcode en mogelijk ook telefoonnummers opgenomen in de uitgelekte databasedump. De groep, genaamd LulzSec, zegt dat het laten uitlekken van deze database pas het begin is en dat 'er meer zal volgen'.

Bron: Tweakers.net

Cybercriminelen hebben de zoekresultaten van Google "vergiftigd", waardoor gebruikers die foto's van de omgebrachte terroristenleider zoeken, naar websites worden doorgestuurd die nep-virusscanners proberen te installeren. Wie zoekt op de term "osama bin laden body", krijgt afbeeldingen die weer naar verschillende .cz.cc websites leiden. Deze pagina's proberen de “Best Antivirus 2011” scareware te installeren.

Ook tijdens het huwelijk van de Britse prins William en Kate Middleton verschenen er tal van vergiftigde zoekresultaten. Volgens Fabio Assolini van Kaspersky Lab waren de 'bad guys' er dit keer erg snel bij.

VLC plugin
Inmiddels zijn er ook verschillende andere kwaadaardige websites verschenen waarop het nieuws van de dood van Bin Laden wordt gebracht, inclusief foto's. De websites tonen daarnaast een zwart vlak waar een video te zien zou moeten zijn. De bezoeker zou echter een vereiste VLC plugin missen. Het aangeboden XvidSetup.exe bestand is echter de bekende adware tool genaamd "Hotbar".
bron: security.nl

Hackers kunnen via software-aanvallen hardware permanent beschadigen, waardoor bedrijven langere tijd offline kunnen raken. Dat vertelde Itzik Kotler van Security Art tijdens de Hack in the Box conferentie in Amsterdam. "Veel mensen denken dat het niet kan, maar software kan hardware beschadigen", aldus Kotler. Zo is het mogelijk om de hardware schadelijke operaties uit te laten voeren of de software aan te vallen die de hardware gebruikt. Kotler spreekt van PDOS, wat voor Permanente Denial of Service staat.

Voor de hand liggende aanvalsvectoren zijn het flashen van de firmware of microcode, het overklokken van geheugen of processoren en het overbelasten van de hardware. "De fan speelt een belangrijke rol bij het koelen van de computer. Dit is dan ook een aantrekkelijk doelwit." Er is verschillende software aanwezig om de fansnelheid te controleren. Door de fan uit te schakelen of te vertragen, zouden de onderdelen oververhit kunnen raken.

Een andere aanvalsvector is het toedienen van een te hoog voltage, merkt Kotler op. Zowel processor als geheugen zijn hiervoor gevoelig. Daarvoor hoeft geen speciale software worden gemaakt, aangezien er tal van programma's zijn die dit kunnen. Het zou zelfs in een cyberoorlog gebruikt kunnen worden, laat de beveiliger weten. "Het is eenvoudig te doen. Je hoeft geen complexe rootkit te schrijven." Zo heeft Intel een programma voor het reguleren van de processor, maar ook het schrijven van een eigen programma om de CPU in een loop te krijgen is mogelijk.

Firmware

Een hackergroep genaamd 'LulzSec' is erin geslaagd de openbare Amerikaanse televisiezender PBS volledig te hacken.
De hackergroep "LulzSec" die de aanval uitvoerde, laat in een verklaring weten dat men een zero-day beveiligingslek in MoveableType 4 gebruikte. Toen de aanvallers toegang tot php shell hadden, werden verschillende PBS servers gehackt, waarop ongepatchte Linux-versies draaiden. Toegang tot het interne netwerk wist men dankzij het hergebruik van wachtwoorden door SSH-gebruikers te krijgen.

De aanvallers wisten de databases met MySQL root-wachtwoorden, stations en wachtwoorden, perswachtwoorden, Frontline inloggegevens en inloggegevens van personeel te stelen, om die vervolgens online te zetten.
"We hebben de servers gehackt. We hebben niet de inhoud op de servers vernietigd. Geen rm's. We hebben niet de homepage van pbs.org overgenomen, ook al konden we dat wel. Weet je hoe je dat noemt? klasse", aldus LulzSec.

Verder werden ook verschillende pagina's gedefaced, waar onder andere tot het vrijlaten van Bradley Manning wordt opgeroepen. Manning wordt verdacht van het lekken van duizenden geheime Amerikaanse overheidsdocumenten aan WikiLeaks. Vorige week zond PBS een documentaire over Manning uit.
Bron: Security.nl

codemasters-logo

Hackers hebben vorige week de website van gameontwikkelaar Codemasters gekraakt en loginnamen en versleutelde wachtwoorden van beheerders ontfutseld. Codemasters haalde daarop zijn website offline en dichtte het lek.

 

De hackaanval vond vorige week vrijdag plaats, schrijft GamesIndustry.biz, zonder toe te lichten hoe de hackers  toegang hebben gekregen. Duidelijk is alleen dat er loginnamen en versleutelde wachtwoorden van beheerders zijn buitgemaakt, en dat is geprobeerd om toegang te krijgen tot de beheerinterface van Codemasters.com.

Daarop haalde de uitgever zijn complete website een paar uur offline. Nadat een beveiligingslek was gedicht, is de site weer in de lucht gebracht. Codemasters geeft niet aan of er gegevens van geregistreerde gebruikers zijn buitgemaakt. Wel zegt het bedrijf dat het zijn websites en systemen nu controleert op beveiliging.

De aanval op Codemasters is naar het zich laat aanzien veel minder ernstig dan de aanval op Sony's PlayStation Network. Nog geen maand geleden werd het hele PlayStation Network offline gehaald, nadat hackers hadden ingebroken op het PSN en persoonsgegevens van gebruikers wisten buit te maken. Vorige week werd de dienst langzaam opnieuw gestart.

bron: tweakers.net

IT experts developed software that beat Captcha on eBay 82% of the time, Microsoft 48.9%, and Yahoo 45.5%

captchas-gekraakt
We all know that captcha is used on many website to protect spams. This is an attempt to ensure that the servie is being used by a human. But Now IT experts have developed a software that can beat captcha. Thi software beat captcha of various website upto a great success. It can also break captcha up to 89%.

This program is named as decaptcha. The Decaptcha programme is able to defeat even the toughest schemes with just 20 minutes of ‘listening’ time to some 200 Captchas.
Reasearchers warned the website owners to upgrade their captcha security. Because it can cause a great harm to web masters if this software is used against their websites.

 

source: hackingtricks.in

Het Russische bedrijf ElcomSoft beweert dat het de encryptie van de iPhone heeft gekraakt. Onderzoekers wisten het versleutelde bestandssysteem van iOS 4 te ontsleutelen. "Dit klinkt als een klein succes, ElcomSoft is in feite het eerste bedrijf ter wereld dat dit doet", zegt CEO Vladimir Katalov. Het product waarin het Russische bedrijf de functionaliteit aanbiedt wordt alleen aan opsporings- en inlichtingendiensten beschikbaar gemaakt. "We zijn verantwoordelijke burgers, en willen niet dat deze technologie in de verkeerde handen valt."

Met de komst van iOS 4 gebruikt Apple een hardwarematig encryptiesysteem genaamd Data Protection, dat de passcode van de gebruiker op een interne chip met 256-bit AES encryptie opslaat. Daarnaast wordt elk bestand op een iOS apparaat met een individuele sleutel beveiligd, die aan de hand van het unieke apparaat-ID (UID) is berekend.

WhatsApp-logoEr blijkt een fout in het verificatieproces van de populaire applicatie Whatsapp te zitten. Hierdoor is het mogelijk om mee te lezen met de chatberichten van iemand anders. Het enige dat nodig is, is een prepaid-telefoon zonder tegoed en wifi.

Een tipgever van GeenStijl ontdekte een manier om de controle te omzeilen. Ondanks dat deze tipgever volgens het weblog Whatsapp drie keer heeft geprobeerd op de hoogte stellen van zijn ontdekken, werden er geen maatregelen genomen.

Bij het installeren van Whatsapp wordt de gebruiker gevraagd zijn mobiele nummer in te voeren om zo het account aan de mobiele telefoon te kunnen koppelen. Om dit te controleren wordt er vanaf de telefoon een controlebericht gestuurd. Als Whatsapp kan verifiëren dat het bericht is aangekomen, is de registratie voltooid.


<\br> De tipgever ontdekte echter dat er een fout in die procedure zit die kan worden misbruikt. Als iemand namelijk geen beltegoed meer heeft en geen bereik heeft, dan wordt het sms-bericht niet verzonden. Dit bericht is echter wel bereikbaar op de telefoon. Door vervolgens het bericht via een online sms-dienst te versturen en daarbij het mobiele nummer van iemand anders als afzender te gebruiken, kan Whatsapp worden gekoppeld aan het account van een andere gebruiker.

Diverse tweakers hebben inmiddels hun ervaringen op het forum gedeeld over deze hack en de werking ervan bevestigd. Een van deze gebruikers stelt dat de applicatie na het spoofen niet meer functioneert op de telefoon van de gespoofde gebruiker.

Eerder al meldde beveiligingsonderzoeker ObAt aan Tweakers.net dat door op een netwerk het netwerkverkeer mee te lezen de berichten van Whatsapp onderschept kunnen worden en dat hierbij ook de gebruikersnaam en het wachtwoord te zien zijn. Hij kwam hier achter tijdens zijn onderzoek naar de dpi-praktijken van KPN. Tijdens diezelfde zoektocht ontdekte hij ook dat de website van Hi een beveiligingsfout bevatte.

 

Bron: Tweakers.net

Microsoft-WiFiOnderzoekers van Microsoft hebben een nieuw protocol bedacht dat gebruikers van draadloze netwerken en open hotspots tegen hackers en man-in-the-middle aanvallen moet beschermen. HTTPS kan dit soort aanvallen voorkomen, zijn er nog maar weinig websites die het gebruiken, mede vanwege kosten en prestaties, aldus de onderzoekers. Zo zijn HTTPS websites niet te cachen via CDN servers en cache proxies zonder dat dit invloed op de end-to-end beveiliging heeft. "Nu meer en meer webcontent cachebaar is, is HTTPS niet het volledige antwoord voor een end-to-end veilig web", aldus Kapil Singh.

Caching
De onderzoekers stellen dat alleen end-to-end authenticatie en integriteit vereist zijn voor de browser om de same-origin policy te handhaven. Zonder end-to-end vertrouwelijkheid is het mogelijk om de inhoud te cachen. "Gezien deze observatie, stellen we een nieuw protocol voor, HTTPi", laat Singh weten. HTTPi kan end-to-end authenticatie en integriteit verzorgen en ondersteunt bestaand webcaching oplossingen.

Ook ondersteunt het content signing, iets wat offline gedaan kan worden. Daardoor zou HTTPi nauwelijks voor meer overhead dan normaal HTTP-verkeer zorgen. De onderzoekers stellen dan ook voor om HTTPS te gebruiken voor requests die end-to-end vertrouwelijkheid vereisen en HTTPi voor alle overige requests.

"We zien HTTPi als aanvulling op HTTPS om end-to-end security naar het gehele web te brengen. Alleen wanneer er end-to-end security is, kunnen het web en de browser over een geheel veilig systeem beschikken", aldus de onderzoekers.
B ron: security.nl

It's a good news for all ASP.NET developers. Microsoft has released v.4.0 of AntiXSS library. XSS is a type of website vulnerability and can be found in many websites. 
The Microsoft Anti-Cross Site Scripting Library V4.0 (AntiXSS V4.0) is an encoding library. This library is designed to help developers protect their ASP.NET web-based applications from XSS attacks. It differs from most encoding libraries in that it uses the white-listing technique -- sometimes referred to as the principle of inclusions -- to provide protection against XSS attacks. This approach works by first defining a valid or allowable set of characters, and encodes anything outside this set (invalid characters or potential attacks). The white-listing approach provides several advantages over other encoding schemes. New features in this version of the Microsoft Anti-Cross Site Scripting Library include:- A customizable safe list for HTML and XML encoding- Performance improvements- Support for Medium Trust ASP.NET applications- HTML Named Entity Support- Invalid Unicode detection- Improved Surrogate Character Support for HTML and XML encoding- LDAP Encoding Improvements- application/x-www-form-urlencoded encoding support 

Supported Operating Systems:Windows 7;Windows Server 2003;Windows Server 2008;Windows Vista;Windows XP
OS: Microsoft WindowsSoftware: .NET Framework 3.5

download here:
http://www.microsoft.com/