image

iPhone botnet raakt controle kwijt

maandag 23 november 2009, 09:43 door Redactie, 5 reacties

De server die het eerste iPhone botnet ter wereld bestuurt en zich vervolgens op ING-klanten richtte, is zich in de nacht van zondag op maandag anders gaan gedragen. "In plaats van het geven van nieuwe opdrachten om uit te voeren, geeft het alleen foutmeldingen terug", zegt Scott McIntyre, Security Officer bij XS4ALL, tegenover Security.nl. Volgens McIntyre, die als eerste de worm ontdekte, kan dit verschillende dingen betekenen. Of de internetprovider waar de Command & Control (C&C) server van het botnet stond, heeft die uit de lucht gehaald. De provider in Litouwen zou door verschillende partijen zijn ingelicht. "Ik hoop dat dit de verklaring is, het is goed mogelijk." De twee andere verklaringen van McIntyre zijn namelijk minder positief.

"De aanvaller heeft de afgelopen nacht een update aan geïnfecteerde systemen uitgevoerd, zodat ze nu met een nieuwe C&C server verbinding maken." Een andere mogelijkheid is dat de aanvaller de command structuur heeft aangepast. Als de server uit de lucht is gehaald, is dit goed nieuws, gaat McIntyre verder. "Aan de andere kant, besmette systemen bellen nog steeds naar 'huis', en wie die server beheert, kan in potentie gejailbreakte iPhones en de al besmette telefoons opnieuw controleren." De malware kan zich namelijk nog steeds van iPhone naar iPhone verspreiden, ook al is de C&C server uitgeschakeld. "Geïnfecteerde iPhones kunnen nog steeds de worm laten voortleven."

Interesse
Volgens McIntyre gaat het om een kleinschalig incident, ook al is het exact aantal besmette iPhones nog altijd onbekend. "Het kan een proof of concept zijn, een experiment, een scriptkiddie...maar het laat zien wat mogelijk is en de risico's die met name gejailbreakte iPhones lopen, maar ook smart phones in het algemeen", laat de Security Officer weten. "Hoe interessanter de data op het apparaat, hoe meer interesse het krijgt van mensen die toegang tot die gegevens willen hebben."

Reacties (5)
23-11-2009, 11:58 door mathijsk
Een gejailbreakte iphone is geen hoger securityrisico, veel "beheerders" ervan zijn dat zelf wel.

Welke *nix dan ook, wanneer je deze online brengt met een standaard wachtwoord voor root en gebruiker, ben je gewoon zelf dom en nalatig bezig.
Deze gebruikers zouden in mijn ogen gewoon door de telco's afgesloten mogen worden.
23-11-2009, 14:43 door SirDice
"De aanvaller heeft de afgelopen nacht een update aan geïnfecteerde systemen uitgevoerd, zodat ze nu met een nieuwe C&C server verbinding maken."
De zombies hadden een default password?
23-11-2009, 17:25 door Anoniem
Door mathijsk: Een gejailbreakte iphone is geen hoger securityrisico, veel "beheerders" ervan zijn dat zelf wel.

Welke *nix dan ook, wanneer je deze online brengt met een standaard wachtwoord voor root en gebruiker, ben je gewoon zelf dom en nalatig bezig.
Deze gebruikers zouden in mijn ogen gewoon door de telco's afgesloten mogen worden.
Lekker lompe stelling..
Jailbreaken is tegenwoordig voor iedereen makkelijk zelf te doen met bijvoorbeeld blackra1n. Als je OpenSSH installeert (wat nu met cydia voor iedereen te doen is) hoef je dus nog niet het minste van *nix te weten.
Er is ook niemand die deze gebruikers bewust maakt van de risico's. Ik heb tenminste geen grote popup op mijn scherm gezien die mij waarschuwde, of gewoon simpel een popup die me vraagt om OP DAT MOMENT mijn pass te veranderen. Zelf had ik wel mijn root pass veranderd maar niet die van de user mobile. Die user was ik in eerdere discussies nog niet tegengekomen. Ik was ook goed de l*l met 2 geinfecteerde iphones. Nu volg ik nog wel het een en ander aan iphone nieuws, maar dat doet ook lang niet iedereen.
23-11-2009, 21:11 door Anoniem
...ben je gewoon zelf dom en nalatig bezig.<knip>Deze gebruikers zouden in mijn ogen gewoon door de telco's afgesloten mogen worden.
Lekker lompe stelling..
Jailbreaken is tegenwoordig voor iedereen makkelijk zelf te doen met bijvoorbeeld <knip>
... waarmee je maar direct die 'lompe' stelling onderstreept.
Indien je niet weet wat je doet, doe het dan niet. En ook als je denkt te weten wat je doet, dan hoeft het nog niet verstandig te zijn. Het feit dat je van 'niet gesupporte' routes verwacht dat ze je waarschuwen voor de risico's vind ik, zacht gezegd, nogag naief....

Ik ben het op zich wel eens met het feit dat de telco's mensen voor zichzelf in bescherming moeten nemen om hun netwerk niet in gevaar te brengen (ok,ok, glad ijs gezien de problemen van afgelopen week ;-) ) Op het vaste net is het veel te laat om de reeds verworven vrijheden nog in te dammen, maar ook daar zou enige zelfbescherming niet misstaan....
25-11-2009, 10:36 door Anoniem
today update username and password
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.