Nieuws
image

Kaspersky beschouwt GeenStijl script als malware

maandag 22 september 2008, 14:24 door Redactie, 21 reacties

De Russische virusbestrijder Kaspersky Lab heeft een script dat shockblog GeenStijl gebruikte om de database van weblog Geencommentaar.nl te vervuilen als malware bestempeld. De laatste legde een database aan met 2000 IP-adressen van GeenStijl-bezoekers die een petitie hadden ondertekend. GeenStijl sloeg daarop terug met een JavaScript dat de database van Geencommentaar met willekeurige ip-adressen vulde.

"We vernamen de situatie tussen GeenCommentaar en GeenStijl en het klonk als een DDoS aan de kant van GeenStijl. Daarop onderzochten we de code en bleek dat die automatisch werd uitgevoerd als iemand de site bezocht. Dat gegeven deed ons besluiten hiervoor detectie toe te voegen," zegt senior virusanalist Roel Schouwenberg tegenover Security.nl. Het script van het shockblog, dat inmiddels weer is verwijderd, werd gedetecteerd als Trojan-Clicker.JS.Small.p. Gebruikers van Kaspersky die de site bezochten toen het script er nog stond kregen een waarschuwing.

Op GeenCommentaar loopt de discussie of GeenStijl zich niet aan computercriminaliteit schuldig maakte. Schouwenberg houdt zich in het midden: "GeenCommentaar is met het gebruik van de IP-database ook niet correct geweest. Voor zover ik heb gelezen is GeenCommentaar al aan het kijken of ze stappen kunnen / willen ondernemen. Ik ben geen jurist en kan dus niet goed inschatten hoe dit in de rechtszaal beoordeeld zou worden, maar vanuit een technisch perspectief gezien is dit een DDoS."

Reacties (21)
22-09-2008, 14:39 door Consultant
GeenStijl uit de lucht?
22-09-2008, 15:02 door Eerde
...maar vanuit een technisch perspectief gezien is dit een DDoS
Onzin, het was gewoon een beveiliging tegen het illegaal aanleggen van een database van slinks (of illegaal) verkregen IP-adressen, waarvan het bewaren en zeker het verspreiden ook al illegaal is.

Een beveiliging dus, nix anders.
Lange leve GS ;)
22-09-2008, 15:12 door Anoniem
Een duidelijke uitspraak: DDos, dus illegaal.
22-09-2008, 15:23 door Anoniem
De database is niet gevuld met valse adressen, zoals GeenStijl beweert. Er werden query's uitgevoerd met random adressen. Een poging tot schrijven zou computervredebreuk geweest zijn.

Het aanleggen van een database met ip-adressen van zich misdragende bezoekers gebeurt door veel weblogs, ook GeenStijl. GeenCommentaar houdt vol dat de manier waarop zij dit bestand beschikbaar stelt te rechtvaardigen valt op basis van de wet bescherming persoonsgegevens. Deze maakt een uitzondering als het 'algemeen belang' betreft, bijvoorbeeld voor het bijhouden van ip-adressen van spammers. Volgens GC neemt cybervandalisme, vaak op instigatie van GS, vormen aan die een actie als deze tot algemeen belang maakt.
22-09-2008, 15:27 door Anoniem
Eerde, dit meen je toch niet serieus? Je gaat spam toch ook niet met spam bestrijden? Als iedereen zo zou denken en voor eigen rechter zou gaan spelen, is het einde zoek.
Jij mag dit dan zien als beveiliging, maar ik benader het toch liever als beveiligings issue. Dus DDos.
22-09-2008, 16:07 door Lamaar
Door Eerde
...maar vanuit een technisch perspectief gezien is dit een DDoS
Onzin, het was gewoon een beveiliging tegen het illegaal aanleggen van een database van slinks (of illegaal) verkregen IP-adressen, waarvan het bewaren en zeker het verspreiden ook al illegaal is.

Een beveiliging dus, nix anders.
Lange leve GS ;)
Jij bij GeenStijl. Waarom verbaast mij dat niet?
22-09-2008, 16:57 door Preddie
heeft de geencommentaar.nl de gebruikers laten weten dat ze een database bij hielden? en zo ja was er voor de gebruikers de mogelijkheid om dit te mijden? Wanneer dit niet zo is lijkt mij dat zij de privacy van die gebruikers schenden?
22-09-2008, 17:01 door Anoniem
Door Predjuhheeft de geencommentaar.nl de gebruikers laten weten dat ze een database bij hielden? en zo ja was er voor de gebruikers de mogelijkheid om dit te mijden? Wanneer dit niet zo is lijkt mij dat zij de privacy van die gebruikers schenden?

Aangezien Geenstijl geen rechterlijke macht is zijn dit gewoon 2 verschillende zaken.
22-09-2008, 19:30 door Anoniem
Van reaguurders reabotjes maken valt m.i. onder computercriminaliteit.
22-09-2008, 19:55 door Anoniem
elke apache log bevat dergelijke data - begrijp dat nou eens
22-09-2008, 22:37 door Anoniem
Het was een scriptje van 5 regels. Hij is nu verwijderd, dus het lijkt mij dat het een volgende keer wel op een andere manier geschreven zou worden. Ik begrijp het nut van deze virusdefinitie dan ook niet.
22-09-2008, 23:09 door [Account Verwijderd]
[Verwijderd]
23-09-2008, 08:02 door Anoniem
De Braatolizer was iets anders. Mensen moesten daar zelf handelingen voor uitvoeren. Technisch kwam het resultaat inderdaad neer op een DDoS.
23-09-2008, 09:04 door Darkman
Er staat in het artikel een link naar [url=http://webwereld.nl/articles/52808/blog-biedt-filter-tegen-geenstijl-vandalen.html]webwereld[/url].
Als je deze leest wordt duidelijk dat geencommentaar.nl zelf verantwoordelijk is voor de problemen.
Een technisch expert waar Webwereld vrijdag mee sprak, steunt de lezing van Geenstijl. De shockblog heeft gebruikgemaakt van de functies van de api die Geencommentaar zelf beschikbaar heeft gesteld. Geenstijl heeft geen aanval op de webservers van de site uitgevoerd.

Omdat de database van Geencommentaar toestond dat er ip-adressen aan werden toegevoegd, heeft de site de problemen aan zichzelf te wijten. Geenstijl voegde middels de api extra ip-adressen aan de database toe. Doordat de database veel groter werd, kostte het ook veel meer rekenkracht om er gegevens in op te zoeken. De server van Geencommentaar kon daarop de databaseverzoeken niet meer op tijd verwerken.
23-09-2008, 13:18 door Anoniem
@Darkman:

Mwah: Wie is de "expert", en waarom is hij technisch en niet juridisch, en heeft hij het over "Omdat de database van Geencommentaar toestond dat er ip-adressen aan werden toegevoegd", terwijl dat niet het geval is of was.
23-09-2008, 13:53 door Anoniem
Tis een afkorting van Trojan-Clicker.JavaScript.Small.penis?
Sorry voor de onderbroekenhumor, maar zo'n inkoppertje mag je niet missen :P
23-09-2008, 23:31 door Anoniem
Geenstijl moet de wereld wel erg rechts zijn gaan vinden, dat ze kennelijk geen inhoudelijke onderwerpen meer weten?
24-09-2008, 00:11 door [Account Verwijderd]
[Verwijderd]
24-09-2008, 12:18 door Anoniem
Door K0MP0D
Door AnoniemDe Braatolizer was iets anders. Mensen moesten daar zelf handelingen voor uitvoeren. Technisch kwam het resultaat inderdaad neer op een DDoS.

natuurlijk was de braatolizer iets anders, maar dat gaat het niet om. Ik reageerde zoals duidelijk is (toch?? toch?)op spam met spam bestrijden.

En jammer dat men niet verder komt dan : technisch wel/geen DDos! Ik mis de inhoudelijke onderbouwing


Oke geen probleem
Wat is een DDOS:
Short for Distributed Denial of Service, it is an attack where multiple compromised systems (which are usually infected with a Trojan) are used to target a single system causing a Denial of Service (DoS) attack.
bron: http://www.webopedia.com/TERM/D/DDoS_attack.html

Wat is een DOS:
Short for denial-of-service attack, a type of attack on a network that is designed to bring the network to its knees by flooding it with useless traffic.

Nu gaan we eens kijken hoe dit past bij de actie van Geenstijl. Zij hebben een scriptje geschreven die een netwerk service overspoelde met onbruikbaar en ongewenst verkeer.
Verder hebben ze alle bezoekers van de Geenstijl website het scriptje laten draaien zonder dat zij daar melding van hebben gemaakt en zonder de mogelijkheid om te weigeren. Dat is volgens mij een trojan-gedrag en dat zou moeten worden afgevangen door de virusscanners.

Oke de definitie van trojan is eigenlijk iets complexer en er zit wel een duidelijk grijs gebied.
24-09-2008, 23:13 door spatieman
vreemde zaak.
GS bezoekers worden op de website van geencommentaar geweerd als zijn GS doen bezoeken..
Betekend dat geen commentaar dus ZELF eigenlijk schuldig is aan IP mining..
25-09-2008, 22:31 door Anoniem
Beetje kinderachtig van GeenCommentaar. Ik denk dat de gemiddelde GeenCommentaar lezer als linkse rakker tegen het bijhouden is van DNA ivm privacy ed. Maar dan wel een database met GeenStijl bezoekers? Erg tegenstrijdig en erg richting ofwel extreem rehts, ofwel communistisch...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search