java-securityEr is een uitbreiding voor een populaire hackertool verschenen waarmee het mogelijk is om Linux, Mac en Windows-systemen over te nemen, zolang het slachtoffer niet over de meest recente Java-versie beschikt. Iedereen die Java-kwetsbaarheid CVE-2012-0507 niet heeft gepatcht, waar halverwege februari een update voor verscheen, loopt risico. Gisteren werd bekend dat waarschijnlijk bij 80% van alle Java-gebruikers deze update ontbreekt. 
De ontwikkelaars van Metasploit, een populaire tool voor het testen van de veiligheid van systemen en netwerken, ontvingen een malware-exemplaar dat zich via het Java-lek verspreidt. Aan de hand van deze informatie is nu een module ontwikkeld waardoor Metasploit-gebruikers ook Java-gebruikers kunnen aanvallen. 

Platformen
"Zoals Microsoft al suggereerde zou de exploit op verschillende systemen betrouwbaar moeten werken", aldus de Metasploit-ontwikkelaars. "We hebben de exploit op verschillende platformen getest, van Windows XP, Windows 7 tot Ubuntu en Mac OS X. Zolang het slachtoffer een kwetsbare Java-versie gebruikt, zou je shell op zijn systeem moeten krijgen." 

Om de aanval uit te voeren volstaat het bezoeken van een kwaadaardige of gehackte pagina. Wie Java nog gebruikt krijgt het advies de laatste update via Java.com te downloaden. Is de software niet voor dagelijks gebruik vereist, dan wordt geadviseerd die te verwijderen.

bron: security.nl

Single Sign On-knoppen op websites

Kwaadwillenden konden accounts kraken als ingelogd kon worden via Google en Facebook. De implementatie van die 'single sign on'-logins bleek vaak gebrekkig, waardoor het token dat Google en Facebook sturen onderschept kon worden.

Ook kon de accountinformatie van de gebruiker worden bewerkt als die naar servers van Google en Facebook wordt verstuurd, schrijft Ars Technica op basis van onderzoek van enkele wetenschappers van de Amerikaanse University van Indiana en Microsoft Research.

De kwetsbaarheden die de onderzoekers hebben gevonden, zijn allemaal gerepareerd, zo schrijven de onderzoekers in hun paper. Dat betekent niet dat deze Single Sign On-loginprocedures nu veilig zijn, waarschuwen de onderzoekers. "Wij geloven dat gezien onze onderzoeksresultaten andere webdiensten met Single Sign On-procedures ook kwetsbaar kunnen zijn." De kwetsbaarheden werden niet alleen gevonden bij diensten, waarop gebruikers kunnen inloggen via Google of Facebook, maar ook bij OpenID.

Vanwege die gebrekkige implementatie, konden kwaadwillenden het token onderscheppen waaruit de dienst kan opmaken dat de gebruiker de juiste gebruikersnaam met wachtwoord heeft ingevoerd voor Google of Facebook. Daardoor had een kwaadwillende toegang tot het account van een gebruiker zonder een gebruikersnaam of wachtwoord in te hoeven vullen.

De kwetsbaarheden zaten zowel bij de implementatie van de logins op websites van derden als bij Google, Facebook en OpenID. Ook bleken bepaalde browsertechnieken de kwetsbaarheid te verhogen. Goede implementaties van Single Sign On bleken bijvoorbeeld onveilig te worden als ze werden uitgevoerd in Adobe Flash, aldus de onderzoekers.

Single Sign On stelt gebruikers in staat bij een dienst in te loggen met de gebruikersnaam en het wachtwoord van een andere dienst, bijvoorbeeld Gmail of Facebook. Dat verloopt via een api, die regelt dat de dienst aan Google of Facebook vraagt of de 'credentials' juist zijn, waarna de gebruiker een token ontvangt dat wordt gebruikt om in te loggen. Veel sites werken met deze Single Sign On-procedure.

Bron: Tweakers.net

Google Earth
Ucha Gobejishvili, Security-onderzoeker die ook bekend staat als Longrifle0x , heeft een gat in Google Earth gevonden. Hij vond dit kritieke beveiligingslek in de  Google Earth software client. 

Voor een Proof of Concept, kan je elke versie Google Earth downloaden. Open daarna "Klik Placemark", en voeg de 'kwaadaardige' code (zoals hieronder staat) toe. 

<A Href="javascript:document.location= 'http://www.anydomein.com/'">XSS</A><marquee>Amsterdam</marquee>"

XSSPaypal

Vansh en Vaibhuv zijn twee Indiase Hacker die een XSS kwetsbaarheid in de Paypal site hebben ontdekt. De XSS kwetsbaarheid leidt tot niet te valideren input. Men kan willekeurige javascript toevoegen zonder dat dit gefiltert wordt.

Dit is een ernstige beveiligingsprobleem, maar geeft de aanvaller in geen enkele manier direct toegang tot de server. Wel is het voor een kwaadwillende aanvallers mogelijk de controle tussen een gebruiker en een website te verkrijgen. Voor de aanvaller is het mogelijk om een paypal gebruiker een aangepaste pagina voor te schotelen. De links op deze pagina kunnen dan weer naar gecomprimenteerde sites verwijzen!

Meer over XSS

firefoxOok Firefox is tijdens de hackerwedstrijd Pwn2Own gekraakt, wat betekent dat Safari de enige niet gehackte browser is. En dat is opmerkelijk, aangezien bij vorige edities Apple's browser meestal als eerste sneuvelde. De Firefox-hack kwam op naam van Vincenzo 'Snagg' Lozzo en Willem 'Dvorak' Pinckaers. Net als bij de hacks van Chrome en IE9, werd ook in dit geval de ASLR- en DEP-beveiliging van Windows 7 omzeild. In tegenstelling tot Chrome en IE9 beschikt Firefox niet over een sandbox, waardoor het een eenvoudiger doelwit voor de hackers was. 


"We hebben het lek drie keer gebruikt. We gebruikten het eerst om informatie te lekken en daarna weer om adressen van onze data te lekken. Uiteindelijk gebruikten we weer hetzelfde lek om code uit te voeren", aldus Pinckaers. Hij was naar eigen zeggen een dag bezig met het schrijven van de exploit, nadat Lozzo hem de kwetsbaarheid had gegeven. 

Wedstrijd
Met de hack verdienen de twee onderzoekers 30.000 dollar. Het Franse beveiligingsbedrijf VUPEN, dat zowel Google Chrome als Internet Explorer 9 wist te hacken, ging er met de hoofdprijs van 60.000 dollar vandoor. Dit jaar werd er met een puntensysteem gewerkt, waarbij deelnemers voor elke hack punten konden verdienen. 

De hoofdprijs was voor degene die na het drie dagen durende evenement de meeste punten had. De nieuwe opzet was ook de reden dat Mac-hacker Charlie Miller dit jaar niet meedeed, waardoor Safari Pwn2Own voor de verandering eens overleefde.

Bron: security.nl

pwn2ownEen Frans hackersteam heeft bij een gerichte aanval Googles Chrome-browser als eerste weten te hacken bij de bekende Pwn2Own-wedstrijd. Vorig jaar bleef Chrome overeind en de Fransen wilden aantonen dat geen applicatie onkraakbaar is.

De Fransen slaagden erin een exploit binnen Chrome te openen via een speciale website die ervoor zorgde dat de calculator-app van Windows geopend werd. Daarmee werd de sandbox van de browser omzeild. De hack vond plaats op een volledig gepatchte Windows 7 SP1-machine en de Fransen werkten zes weken aan het vinden van de kwetsbaarheden en het schrijven van de exploits. Het team omzeilde naast de Chrome-sandbox onder andere de data execution prevention en address space layout randomization in Windows.

Het team wint 32 punten voor de competitie en maakt kans op de hoofdprijs van 60.000 dollar en nog eens 60.000 dollar die Google apart beschikbaar heeft gesteld voor een volledige hack van Chrome. Of de Fransen in aanmerking komen voor deze laatste beloning is echter onduidelijk.

Google verklaarde eerder de Pwn2Own-wedstrijd niet meer te sponsoren, aangezien de reglementen niet vereisen dat de deelnemers details van hun exploit openbaren. Google houdt daarom tegelijkertijd in Canada zijn eigen Pwnium-initiatief, waarbij het wel details eist. Pwn2Own wordt georganiseerd door HP Tippingpoint Zero Day Initiative. De organisatie verklaarde dat deelnemers alleen een hack hoeven te demonstreren, waarna HP Tippingpoint de kwetsbaarheden kan blokkeren in zijn security-applicaties voor de enterprisemarkt.

De kans dat de Fransen hun hack publiek maken is echter klein. Het controversiële bedrijf Vupen, dat exploits verkoopt aan overheidsklanten, zit er namelijk achter. Vupen verklaarde tegen ZDNet de rechten op de zero-day-kwetsbaarheden te verkopen en de sandbox-omzeiling voor zichzelf te houden. Overigens complimenteerde Chaouki Bekrar Google met de beveiliging van Chrome, die volgens hem de veiligste sandbox heeft. Ook voor de andere browsers heeft Vupen exploits, maar het bedrijf besloot eerst Chrome aan te vallen.

bron: tweakers.net

plesk-logoEen ernstig lek in de Plesk beheerderspaneelsoftware wordt actief misbruikt om Plesk servers over te nemen, zo waarschuwt ontwikkelaar Parallels. Via Plesk is het mogelijk voor beheerders, webmasters en hostingbedrijven om FTP en e-mailaccounts aan te maken en andere zaken met betrekking tot hosting-accounts regelen. Een anonieme aanvaller kan via SQL Injection de Plesk server compromitteren, zonder dat hier enige authenticatie voor nodig is. De kwetsbaarheid is aanwezig in Plesk Panel versies 7.6.1 tot 10.3.1 
Parallels product manager Tyra Blake laat weten dat een update voor het kwetsbare bestand al in september beschikbaar was, maar volgens sommige klanten werd de e-mail die voor het lek waarschuwt pas op 10 februari verstuurd. 

Misbruik
Beheerders krijgen het advies om de update te installeren en te controleren of er geen misbruik van het kwetsbare bestand is gemaakt. Anders zouden aanvallers die eerder wisten binnen te komen, nog steeds toegang tot het systeem hebben, ook al is de update geïnstalleerd. Daarnaast zou ook van alle klanten het wachtwoord moeten worden gereset. 

Plesk wordt door tal van hostingbedrijven, maar ook allerlei overheidssites gebruikt.

wifi-hack

Snelheidsbeperkingen en datalimieten van telco's leiden gebruikers naar openbare WiFi-netwerken. Maar pas op: nepnetwerken luisteren logins af. Hoe val je niet voor malafide WiFi.

Enerzijds zijn draadloze verbindingen via lokale draadloze netwerken een uitkomst. Anderzijds vormen ze een risico. Het gevaar van WiFi-netwerken van onbekende derden is niet nieuw, maar wel groeiende. Dat komt mede door het groeiende aantal gebruikers dat een snelle, mobiele internetverbinding zoekt. Bijvoorbeeld op Schiphol, of op andere locaties met een hoge dichtheid aan smartphone- en tabletgebruikers. Zoals het festival SXSW (South by south west).

Praktijkdemonstratie
Op die jaarlijkse conferentie voor en over interactieve content, muziek en film, zijn dit jaar vele draadloze verbindingen van gebruikers onderschept. Een van de sprekers bewees daarmee in de praktijk zijn punt over het risico van WiFi. De onderschepping werd gedaan met een namaak WiFi access point, waarmee al het draadloze verkeer kan worden afgeluisterd. Spreker Darren Kitchen heeft zijn 'slachtoffers' echter slechts omgeleid, naar de beroemde Nyan Cat-animatie.

Vele SXSW-bezoekers kregen dus niet hun Foursquare check-in, hun Twitter-feed, hun mail-account of hun VPN-verbinding met het bedrijfsnetwerk voorgeschoteld. Ook simpel websurfen leverde de vliegende cartoon-kat op.

Geen besef
"Tijdens de demo was de helft van mijn publiek verbonden met mijn WiFi router", vertelt hacker Kitchen aan ict-nieuwssite Cnet. "Niemand hier heeft ook maar enig besef van security." Dat gebrek aan besef geldt niet alleen voor bezoekers van dit multimediafestival in Texas, maar in de brede zin voor gewone consumenten die steeds meer mobiel zijn en meer mobiel doen.

Smartphones en tablets bevatten steeds meer gevoelige log-ins voor waardevolle online-diensten. Een eenvoudig op te zetten nep-WiFi access point kan de log-ins en het internetverkeer zó onderscheppen. Het gaat dan wel om open WiFi-netwerken.

'Goedgelovige' apparaten
Bijkomend probleem is dat de draadloze apparaten 'goedgelovig' zijn. Na een eenmaal gelegde verbinding met een WiFi-router, goedgekeurd door gebruiker, wordt die onthouden door smartphones, tablets en laptops. Als deze apparaten dat netwerk opnieuw tegenkomen, maken ze weer automatisch verbinding. Dat gebeurt ook als het een andere router is, maar met dezelfde netwerknaam (SSID). Denk aan 'KPN Hotspot', 'Linksys default' en dergelijke standaardnamen die op veel verschillende plekken voorkomen.

Soms heeft zo'n openbaar netwerk nog wel een eigen inlog-pagina vóór de gewenste internettoegang, maar de WiFi-connectie is dan al wel gemaakt. Dit betekent dus ook automatische verbinding met een nep-WiFi-router die sluw de naam heeft van een veelgebruikt open WiFi-netwerk. Zoals 'attwifi' voor de social media-guru's op SXSW.

Huis-, tuin- en keukensnifferSpreker Darren Kitchen waarschuwt niet alleen voor dit gevaar, hij levert het ook. Via zijn site Hak5.org verkoopt hij de Wifi Pineapple Mark IV: een compleet draadloos access point maar dan uitgerust met afluistertools. Deze goedkope nep-WiFi-router heeft twee Ethernet-verbindingen, aansluitmogelijkheden voor een 3G- en 4G-modem en is op afstand uit te lezen. Het afluisteren gebeurt dus ook draadloos, terwijl het omgeleide verkeer gewoon wordt doorgesluisd naar de eigenlijke bestemming, zodat de slachtoffers niets in de gaten hebben.

De Pineapple is niet alleen verkrijgbaar als verdacht zwart kastje met Jasager-sticker (The Yes Man), maar ook als anoniem aluminium doosje met magneten om de WiFi-onderschepper ongezien ergens op te hangen. Die stiekeme uitvoering heeft een ingebouwde batterij die het 30 uur uithoudt. Bovendien is Kitchens Pineapple lang niet het enige verkrijgbare apparaat dat dit kan.

TegenmaatregelenWat te doen tegen dit onzichtbare gevaar? Eindgebruikers kunnen zichzelf wel degelijk beschermen. Afhankelijk van hun technisch inzicht zijn er opeenvolgende stappen. De simpelste bescherming is gelijk de meest radicale: gebruik geen WiFi, schakel het echt uit in het mobiele apparaat. Een meer praktische bescherming is het bewust niet gebruiken van open WiFi-netwerken, ook niet als die vertrouwd lijken te zijn.

Een volgende tegenmaatregel is het beveiligen van het eigen draadloze netwerkverkeer, via een VPN (virtual private network) of door alleen SSL-verbindingen te leggen. Daarmee zijn open WiFi-netwerken wel met enige mate van veiligheid te gebruiken.

WiFi-hacker Kitchen waarschuwt en demonstreert op SXSW echter dat VPN-verbindingen zijn te frustreren met vervalste WiFi-frames. Het uitvallen van de beveiligde verbinding kan gebruikers ertoe aanzetten om 'dan maar zonder' te doen, waarmee ze direct weer af te luisteren zijn. Een maatregel ter WiFi-bescherming die hoe dan ook aanbeveling verdient, is het niet laten onthouden van eerdere veilige gebruikte - of veilig geachte - draadloze netwerken.

In kaart brengen
Techsite Cnet noemt nog een optimistische beschermingsoptie: leveranciers een voorziening laten bieden die WiFi-netwerken controleert op bijvoorbeeld geolocatie. Daarvoor is dan wel een internetverbinding nodig, bijvoorbeeld via 3G, naast een industriebrede samenwerking en massale indexering van WiFi-routers. Dat laatste is al wel in uitvoering, door bijvoorbeeld Google met zijn Street View-auto's en ook Android-smartphones, maar ook door een gespecialiseerd locatiebedrijf als Skyhook.

Bron: webwereld.nl

blackhatVandaag begint in Amsterdam de beruchte securitybijeenkomst Black Hat. 5 l33t hacks en tools die daar aan bod komen.

Hackersconferentie Black Hat levert vaak vuurwerk op. Voor crackers, security-experts en it-beheerders. De Amsterdamse editie van dit jaar belooft ook veel nuttige hacks én tools. Die zijn lang niet alleen geschikt voor kwaadwillenden, maar bieden beschermers van it-systemen hulp. Soms niet eens indirect, maar juist als enige doel. Een greep uit het Black Hat-aanbod.

Pastebin-alarm
Zo presenteert de Belgische security consultant Xavier Mertens zijn tool Pastemon. Daarmee kan de door crackers veelgebruikte 'dumpsite' Pastebin in de gaten worden gehouden. Dat doet de PDF-bescherming

Sprekers Didier Stevens en Jose Miguel Esparza belichten elk het risico van PDF-documenten en bieden middelen om die bestanden door te lichten. Door Stevens gemaakte PDF-analysetools zijn ook opgenomen in Linux-distributies als BackTrack en REMnux. Zijn tool PDFiD draait ook mee in het arsenaal van de online-virusscanner VirusTotal.

Esparza heeft met zijn peeppdf een soortgelijke röntgentool gemaakt, in Python.

Slimmere kwetsbaarhedenscan
De Nederlandse security-expert Frank Breedijk praat op Black Hat over zijn scantool Seccubus. Die software neemt it-omgevingen door op zwakke plekken, maar presenteert de bevindingen op een efficiëntere manier dan scantools als Nessus en OpenVAS, claimt de maker.

Webapps pwnen
Student Tom Forbes neemt webapplicaties onder vuur met tool Xcat. Dit command line programma benut kwetsbaarheden in xml-technologie Xpath en biedt de gebruiker meteen geavanceerde functies voor het exploiten daarvan. Aanvallers kunnen zo complete xml-databases van webapplicaties leegtrekken. Xcat ondersteunt zowel Xpath 1.0 als de verbeterde versie 2.0.

CAPTCHA's kraken met OCR
Veel websites vertrouwen op CAPTCHA's (completely automated public Turingtest to tell computers and humans apart) om inloggen door bijvoorbeeld spambots te voorkomen. De hiervoor gebruikte 'vertroebelde' plaatjes bevatten tekens die een gebruiker moet invoeren om te kunnen inloggen. Deze tekens zijn voor een mens wel leesbaar, maar leiden een computer om de tuin.

Tenminste, dat is de theorie. Security-consultant Gursev Singh Kalra van McAfee-dochter Foundstone heeft CAPTCHA's in de praktijk onderzocht bij 200 drukbezochte websites en bij diverse grote CAPTCHA-providers. Hij stelt dat een alarmerend aantal van deze visuele CAPTHA's valt te kraken met een combinatie van goede beeldverwerking vooraf en optische karakterherkenning (OCR).

Om dit ook praktisch te bewijzen, heeft Kalra zijn tool TesserCap gemaakt om deze Turing-tests voor spambots te stress-testen.TesserCap heeft een grafische interface en haalt de CAPTCHA's van een doelsite op om die lokaal op te slaan en dan op te lossen. 

Lees meer op webwereld.nl