Anonymous ontwikkelt nieuw DDoS-kanon
Internetbeweging Anonymous werkt aan een nieuw programma om websites mee plat te leggen. Voorheen gebruikte de groep de Low Orbit Ion Canon (LOIC), een programma waarmee Anonymous supporters eenvoudig aan Distributed Denial of Service-aanvallen (DDoS) konden deelnemen. Het was echter ook de reden dat verschillende mensen gearresteerd werden.
Daarom heeft een Anonymous-lid een nieuwe tool ontwikkeld, genaamd #RefRef. Het programma is gemaakt in JavaScript en zou kwetsbaarheden in SQL gebruiken om de aangevallen webserver over te belasten. De tool werd onlangs tegen dumpsite Pastebin ingezet, waardoor de website uiteindelijk enige tijd offline ging.
De test van 17 seconden zorgde ervoor dat de website 42 minuten onbereikbaar was. De SQL kwetsbaarheid die de tool misbruikt zou zijn te patchen, maar vanwege de impact op allerlei diensten niet erg plezierig voor systeembeheerders zijn. De #RefRef tool moet in september verschijnen en draait vanaf alle platformen die JavaScript ondersteunen.
En dat ze nu pas op het idee komen..
Maar laat het zijn, we hebben een belangrijker probleem, ja nogsteeds:
Geen privacy.
Ze konden dit niet met C# bereiken, denken ze nu ineens dat ze met javascript wel privacy kunnen bereiken? Tss.
Sites have ip loggers you know. Maar dan nog is het wel handig(er) omdat het in JS is geschreven, klein N stable.
Maar ik mis nogsteeds ingebouwde VPN systeempje :( ik gok dat je dit scriptje voor tah security reasons onder een vpn moet runnen xD of op je buur's pc
Harde kaas.
Best wel vreemd (strategisch standpunt) dat ze dit zo vrijgeven zonder specifiek doel.
Dit uit de kast halen terwijl een 'operation' gaat beginnen zou desastreus kunnen zijn, op dit moment geven ze veel tijd om mogelijke patches e.d. vrij te geven.
Vanuit het security standpunt is dit natuurlijk zeer wenselijk, open and full disclosure and all that ...
Maar toch ...
the devil inside of me keeps wondering what could've been xD
Zei de expert.... LMFAO.
"ik gok dat je dit scriptje voor tah security reasons onder een vpn moet runnen xD of op je buur's pc"
"Ze konden dit niet met C# bereiken, denken ze nu ineens dat ze met javascript wel privacy kunnen bereiken? Tss.
Sites have ip loggers you know."
Het is een server-based tool. Misschien dat je de informatie eerst tot je kan nemen, voordat je gaat 'gokken'.
"Vanuit het security standpunt is dit natuurlijk zeer wenselijk, open and full disclosure and all that ..."
De naam en een screenshot van de tool is niet bepaald full disclosure. Of heb je soms ook de source code en documentatie ? ;)
Bovendien staat geen enkele, zichzelf respecterende, netwerkbeheerder SQL vanaf internet toe. Men zou het natuurlijk via een web applicatie kunnen injecteren maar daar heb je weer fouten in de web applicatie voor nodig.
Al met al denk ik dat deze tool niet doet wat men er van verwacht. Maar goed, ik wacht de source wel even af.
"Vanuit het security standpunt is dit natuurlijk zeer wenselijk, open and full disclosure and all that ..."
De naam en een screenshot van de tool is niet bepaald full disclosure. Of heb je soms ook de source code en documentatie ? ;)
Het is misschien niet helemaal full disclosure, maar het komt imho toch zeer dicht in de buurt.
Like said before, ze hadden hier even goed op kunnen blijven zitten tot vlak voor een campagne en dan zou de bom volgens mij veel harder inslaan.
In september kan eender wie met een simpele test setup snel uitvinden hoe dit ding werkt en de nodige maatregelen treffen.
Ze geven misschien de exacte plaats of bron van de fout die ze kunnen misbruiken niet letterlijk weg(wat imho wel bij full disclosure hoort), maar een POC uitbrengen geeft in principe genoeg gegevens om de locatie van de fout zelf snel ze vinden.
When anonymous was first talking about refref, our servers were taken down by them. It now turns out it wasn't their magical tool, but something else. What exactly, we do not know. The graphs we posted on Twitter were very real, and the 42 minutes down time also.
Here at Pastebin we are very happy that #refref isn't real as we were quite scared of it. It would have caused us a lot of problems if this tool were to be released to anyone in the public.
I hope this takes away any confusion people might have about the involvement of Pastebin.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.