DNS anti-virusbedrijven ESET en Bitdefender gekaapt
De groep aanvallers die eerder de DNS van LeaseWeb, WhatsApp, Avira, AVG en beveiligingsbedrijf Rapid7 wisten te kapen, hebben ook de websites van anti-virusbedrijven Bitdefender en ESET naar een ander IP-adres laten wijzen. Bezoekers van de twee websites kregen een politieke boodschap te zien.
Beide virusbestrijders merken op dat ze niet gehackt zijn en dat klantgegevens geen enkel moment risico liepen. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. De DNS wordt vaak via de registrar beheert waar de domeinnaam is geregistreerd.
Aanpassing
Hoe de aanvallers de DNS-instellingen konden wijzigen is onbekend, maar ESET laat via Facebook weten dat de registrar is gevraagd om de veiligheid van de domeinnaam aan te scherpen zodat een soortgelijk incident zich in de toekomst niet meer kan voordoen. Vorige week wisten de aanvallers de DNS van Rapid7.com en Metasploit.com te wijzigen door een wijzigingsverzoek naar de registrar te faxen.
Reacties (18)
Het wordt pas echt interessant als de URL's aanpassen van waar de definities staan...dan kan je wellicht op een handige manier malware verspreiden.
Wat ik me nou vorige week al afvroeg, is alleen de DNS naar www.antivirusbedrijf.domein gewijzigd, of heeft dit ook een effect gehad op de de UPDATE server(s) van betreffende bedrijven waar de virusupdates vandaan komen?
14-10-2013, 11:36 door
[Account Verwijderd]
-
Bijgewerkt: 14-10-2013, 11:39
[Verwijderd]
Er wordt door de anti-virus bedrijven gedaan alsof dit geen probleem is.
Maar op deze manier zijn natuurlijk ook de update-servers aan te vallen, waardoor fraudulente updates kunnen worden gepushed.
Voor mij is het onbegrijpelijk dat deze bedrijven geen gebruik maken van DNSSec.
Maar op deze manier zijn natuurlijk ook de update-servers aan te vallen, waardoor fraudulente updates kunnen worden gepushed.
Voor mij is het onbegrijpelijk dat deze bedrijven geen gebruik maken van DNSSec.
"Beide virusbestrijders merken op dat ze niet gehackt zijn en dat klantgegevens geen enkel moment risico liepen."
De klantgegevens niet, wellicht. Maar hoe zit het met de virusbescherming?
Als men het domein kan omleiden dan wordt ook het downloaden van virus signatures omgeleid.
Dit zal in ieder geval tot uitstel van updates leiden en als je pech hebt zelfs tot downloaden van een malafide update
die je hele systeem omzeep helpt.
De klantgegevens niet, wellicht. Maar hoe zit het met de virusbescherming?
Als men het domein kan omleiden dan wordt ook het downloaden van virus signatures omgeleid.
Dit zal in ieder geval tot uitstel van updates leiden en als je pech hebt zelfs tot downloaden van een malafide update
die je hele systeem omzeep helpt.
14-10-2013, 11:50 door
Righard J. Zwienenberg
Door Peter V.: Vanuit Nederland zijn de websites van ESET en Bitdefender gewoon in de lucht. (11.36 uur)
Mbt ESET, dit gebeurde afgelopen zaterdag 12 Oktober. Het heeft voor ESET slechts enkele minuten geduurd, Kort nadat de DNS records waren gewijzigd zijn deze hersteld. Het kan zijn dat op bepaalde plaatsen wat langer de defaced pagina te zien was, dat heeft betrekking op het hoe snel de DNS wijzigingen worden doorgevoerd op lokale caches, ed.
Zo te zien komen alle antivirusprovider-websites aan de beurt,dus vermoedelijk kunnen o.a. ook Symantec Norton, Kaspersky Labs, Panda Security zo'n actie verwachten.Dat Registrar heeft duidelijk zn zaakjes qua veiligheid niet op orde en zou wellicht moeten worden vervangen.En ik neem aan dat zowel Registrar als de getroffen antivirusbedrijven aangifte doen bij de politie? De antivirus bedrijven tezamen met de politie zouden deze hackers toch moeten kunnen achterhalen? En dan maar een flinke celstraf opleggen.
14-10-2013, 15:04 door
[Account Verwijderd]
-
Bijgewerkt: 14-10-2013, 15:05
[Verwijderd]
14-10-2013, 15:06 door
[Account Verwijderd]
[Verwijderd]
Door Righard J. Zwienenberg:
Mbt ESET, dit gebeurde afgelopen zaterdag 12 Oktober. Het heeft voor ESET slechts enkele minuten geduurd, Kort nadat de DNS records waren gewijzigd zijn deze hersteld. Het kan zijn dat op bepaalde plaatsen wat langer de defaced pagina te zien was, dat heeft betrekking op het hoe snel de DNS wijzigingen worden doorgevoerd op lokale caches, ed.
Door Peter V.: Vanuit Nederland zijn de websites van ESET en Bitdefender gewoon in de lucht. (11.36 uur)
Mbt ESET, dit gebeurde afgelopen zaterdag 12 Oktober. Het heeft voor ESET slechts enkele minuten geduurd, Kort nadat de DNS records waren gewijzigd zijn deze hersteld. Het kan zijn dat op bepaalde plaatsen wat langer de defaced pagina te zien was, dat heeft betrekking op het hoe snel de DNS wijzigingen worden doorgevoerd op lokale caches, ed.
Als hackers je DNS omzetten naar een eigen server en daar een TTL van een jaar op zetten, dan komt deze entry in
caches van resolvers en klanten terecht en kan daar een jaar blijven staan.
Dan kun je wel binnen een paar minuten het probleem opgelost hebben, maar daarna moet je al die klanten nog gaan
uitleggen hoe ze hun eigen cache kunnen flushen, en dat ze hun provider moeten bellen dat die de cache van hun resolver
moeten gaan flushen.
Een tijdje geleden had je het probleem dat op deze manier de DNS van een hoster gehacked was en hoewel dat na
enige tijd was opgelost heeft het nog een dag geduurd voordat alles weer normaal was. En dat alleen maar omdat de
hackers een TTL van een dag gebruikt hadden. Dat doen ze de volgende keer wellicht niet meer!
Security bedrijven hebben toch als specialiteit security?
Hoe kan het dan toch nog gebeuren als je al gewaarschuwd was doordat het anderen ook was overkomen?
Waarom moet ik als gebruiker dergelijke bedrijven nog serieus nemen als zij waarschuwingen niet oppikken, preventief weten te voorkomen?
Het eerste slachtoffer heeft een zeker excuus, de anderen die daarna volgen, alsnog ook slachtoffer worden niet meer, punt uit.
Hoe kan het dan toch nog gebeuren als je al gewaarschuwd was doordat het anderen ook was overkomen?
Waarom moet ik als gebruiker dergelijke bedrijven nog serieus nemen als zij waarschuwingen niet oppikken, preventief weten te voorkomen?
Het eerste slachtoffer heeft een zeker excuus, de anderen die daarna volgen, alsnog ook slachtoffer worden niet meer, punt uit.
14-10-2013, 17:11 door
Righard J. Zwienenberg
Door Anoniem: "Maar hoe zit het met de virusbescherming?
Als men het domein kan omleiden dan wordt ook het downloaden van virus signatures omgeleid.
Dit zal in ieder geval tot uitstel van updates leiden en als je pech hebt zelfs tot downloaden van een malafide update
die je hele systeem omzeep helpt.
Als men het domein kan omleiden dan wordt ook het downloaden van virus signatures omgeleid.
Dit zal in ieder geval tot uitstel van updates leiden en als je pech hebt zelfs tot downloaden van een malafide update
die je hele systeem omzeep helpt.
Het is mogelijk dat er geprobeerd wordt een update binnen te halen van een update-server met het nieuwe (na de hijack) IP nummer. Maar er zijn dan 2 mogelijkheden:
1. Op het IP nieuwe is geen update server. De ESET software schakelt om naar een voor geprogrammeerde update server om de updates te halen.
2. Op het nieuwe IP adres is wel een update server. De ESET software is intelligent genoeg om te zien dat dit geen legitieme update server is en zal niets downloaden van deze server, waarna de ESET software omschakelt om naar een voor geprogrammeerde update server te gaan om de updates te halen. Zelfs in het geval dat er wel iets gedownload wordt, dan nog loopt de gebruiker geen gevaar. Legitieme downloaded/update paketten hebben verschillende veiligheidsmechanismen ingebouwd. Het missen van deze mechanismen betekent een “rogue update” en de update wordt niet geinstalleerd. De ESET software schakelt om naar een voor geprogrammeerde update server om alsnog de legitieme updates te halen.
Dus in beide scenarios is er niets aan de hand met betrekking tot de updates!
Beetje voorlichting aan de klanten door de internetsecurity-bedrijven over het gebeurde en hoe klanten hun eigen cache kunnen moeten flushen zou geen kwaad kunnen.Immers,niet iedereen heeft evenveel verstand van internet(security) en computers.De meeste mensen zullen niet weten dat ze hun cache moeten flushen,laat staan hoe men dat kan doen.
15-10-2013, 09:03 door
Righard J. Zwienenberg
Door Anoniem: Security bedrijven hebben toch als specialiteit security?
Hoe kan het dan toch nog gebeuren als je al gewaarschuwd was doordat het anderen ook was overkomen?
Waarom moet ik als gebruiker dergelijke bedrijven nog serieus nemen als zij waarschuwingen niet oppikken, preventief weten te voorkomen?
Het eerste slachtoffer heeft een zeker excuus, de anderen die daarna volgen, alsnog ook slachtoffer worden niet meer, punt uit.
Hoe kan het dan toch nog gebeuren als je al gewaarschuwd was doordat het anderen ook was overkomen?
Waarom moet ik als gebruiker dergelijke bedrijven nog serieus nemen als zij waarschuwingen niet oppikken, preventief weten te voorkomen?
Het eerste slachtoffer heeft een zeker excuus, de anderen die daarna volgen, alsnog ook slachtoffer worden niet meer, punt uit.
Wellicht moet je eerst door hebben wat er gebeurd is voordat je zo van de toren blaast!
Het zijn hier niet de security bedrijven die "gehacked" zijn, het is de registrar waar de domeinen geregistreerd staan. Daar hebben de security bedrijven niets mee te maken. Het zijn de registrars die laks met verzoeken tot wijzigingen van de gegevens omgaan.
En ja... Security bedrijven hebben als specialisatie security... Zoals ik eerder al schreef, de updates van ESET liepen gewoon door omdat wij ooit bedacht hebben dat eea zou kunnen gebeuren, buiten onze controle/schuld om. Gewoon een stukje pro-activiteit.
"Vorige week wisten de aanvallers de DNS van Rapid7.com en Metasploit.com te wijzen door een wijzigingsverzoek naar de registrar te faxen." Dit moet toch niet voor kunnen komen zonder verificatie van de klant?
Door Righard J. Zwienenberg:
2. Op het nieuwe IP adres is wel een update server. De ESET software is intelligent genoeg om te zien dat dit geen legitieme update server is en zal niets downloaden van deze server, waarna de ESET software omschakelt om naar een voor geprogrammeerde update server te gaan om de updates te halen. Zelfs in het geval dat er wel iets gedownload wordt, dan nog loopt de gebruiker geen gevaar. Legitieme downloaded/update paketten hebben verschillende veiligheidsmechanismen ingebouwd. Het missen van deze mechanismen betekent een “rogue update” en de update wordt niet geinstalleerd. De ESET software schakelt om naar een voor geprogrammeerde update server om alsnog de legitieme updates te halen.
Dus in beide scenarios is er niets aan de hand met betrekking tot de updates!
Door Anoniem: "Maar hoe zit het met de virusbescherming?
Als men het domein kan omleiden dan wordt ook het downloaden van virus signatures omgeleid.
Dit zal in ieder geval tot uitstel van updates leiden en als je pech hebt zelfs tot downloaden van een malafide update
die je hele systeem omzeep helpt.
Als men het domein kan omleiden dan wordt ook het downloaden van virus signatures omgeleid.
Dit zal in ieder geval tot uitstel van updates leiden en als je pech hebt zelfs tot downloaden van een malafide update
die je hele systeem omzeep helpt.
2. Op het nieuwe IP adres is wel een update server. De ESET software is intelligent genoeg om te zien dat dit geen legitieme update server is en zal niets downloaden van deze server, waarna de ESET software omschakelt om naar een voor geprogrammeerde update server te gaan om de updates te halen. Zelfs in het geval dat er wel iets gedownload wordt, dan nog loopt de gebruiker geen gevaar. Legitieme downloaded/update paketten hebben verschillende veiligheidsmechanismen ingebouwd. Het missen van deze mechanismen betekent een “rogue update” en de update wordt niet geinstalleerd. De ESET software schakelt om naar een voor geprogrammeerde update server om alsnog de legitieme updates te halen.
Dus in beide scenarios is er niets aan de hand met betrekking tot de updates!
Wij draaien zelf met ESET antivirus en als ik het update mechanisme goed begrijp kan een hacker gewoon een copie
maken van een update server, de DNS namen naar deze server omzetten en dan zal ESET antivirus niks in de gaten
hebben en denken dat er op dat moment gewoon geen update is. Ook niet omschakelen, want die server ziet er goed
uit.
De aanvaller kan dan vervolgens virussen in omloop brengen die door ESET niet herkend worden omdat de klanten geen
updates meer krijgen. Deze situatie duurt minstens enkele dagen, dan komt er wel een rood icoontje om aan te geven
dat er enige tijd geen updates geweest zijn.
Noem het maar "niks aan de hand"...
Door Anoniem: Beetje voorlichting aan de klanten door de internetsecurity-bedrijven over het gebeurde en hoe klanten hun eigen cache kunnen moeten flushen zou geen kwaad kunnen.Immers,niet iedereen heeft evenveel verstand van internet(security) en computers.De meeste mensen zullen niet weten dat ze hun cache moeten flushen,laat staan hoe men dat kan doen.
Ja bovendien is dat helemaal niet voldoende want de meeste mensen zullen gebruik maken van een recursive resolver
van hun provider, en die cached ook. Dus EERST moet DAAR de cache leeg gemaakt worden, en DAN pas moet je
je eigen cache leeg maken, en dan is het pas opgelost.
Toen dit in Nederland speelde (waardoor bijvoorbeeld conrad.nl naar malware verwees) duurde het bijna de volle 24 uur
voor de resolver cache bij XS4ALL geflushed werd (toen het al bijna geen zin meer had). Men was daar niet op de hoogte
van het probleem. Ik neem dus aan dat er vele andere providers zijn waar dit ook niet gedaan was, want XS4ALL is vaak
toch wel wat actiever dan gemiddeld.
En dan was deze hack nog maar beperkt tot 24 uur omdat de hackers zo dom geweest waren om een TTL van 24 uur
in hun trojan DNS server te zetten. Hadden ze daar 1 jaar in gezet dan waren er nu nog steeds mensen die niet bij
conrad.nl kunnen komen.
Bedenk dat er geen mechanisme is waarmee een DNS server kan announcen "alle caches flushen graag". Je bent dus
helemaal afhankelijk van de timeout en eventuele slimmigheden in de resolvers (zoals limiteren van de TTL).
27-10-2013, 11:59 door
d4mn
Door pe0mot:
Ik denk dat het asymetrische key gedeelte van de certificaten dit wel afvangt. Je kan naar de verkeerde site gaan, maar de secret key die bij je publieke key hoort staat daar gelukkig niet.
Door Anoniem: Het wordt pas echt interessant als de URL's aanpassen van waar de definities staan...dan kan je wellicht op een handige manier malware verspreiden.
Mag nog geen ramp zijn.Ik denk dat het asymetrische key gedeelte van de certificaten dit wel afvangt. Je kan naar de verkeerde site gaan, maar de secret key die bij je publieke key hoort staat daar gelukkig niet.
Tenzij ..... (vul maar in)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.