Nieuws
image

"ING-hacker" versleutelde zoekopdrachten niet

maandag 18 juni 2012, 15:47 door Redactie, 17 reacties

De 30-jarige Rotterdammer die een miljoen rekeningnummers van ING-klanten verzamelde, heeft zijn Google zoekopdrachten niet versleuteld. Davy de V. werd vorige week opgepakt. Uit de tap die Justitie liet plaatsen bleek volgens het Openbaar Ministerie dat hij zocht op trefwoorden die met hacken te maken hadden, aldus Saskia Belleman, rechtbankverslaggever van de Telegraaf. Google biedt een versleutelde versie van de zoekmachine aan, zodat derden de inhoud van de zoekopdrachten niet kunnen achterhalen.

Voorarrest
De rechter oordeelde vandaag dat het voorarrest van de verdachte wordt verlengd. Daardoor kon informaticastudent De V. zijn tentamen niet maken. Volgens de advocate van de Rotterdammer zou er geen herhalingsgevaar zijn, maar de rechter zag dat anders.

De V. moest vorig jaar voor een ander vergrijp terecht staan en werd in oktober 2011 in verband met school vrijgelaten, maar ging direct door met het uitvoeren van aanvallen. Daarvoor misbruikte hij volgens het OM zelfs de computer op zijn stageadres, zo laat Belleman via Twitter weten.

Opleiding
De advocate van de Rotterdammer stelde verder dat het testen van de beveiliging van netwerken deel uitmaakt van De V.'s IT-opleiding. Het OM wilde De V. wel vrijlaten, maar alleen onder streng toezicht van de Reclassering. De Rotterdammer wilde daar niet aan meewerken.

Reacties (17)
18-06-2012, 15:56 door Anoniem
Overigens schrijft mevrouw Belleman ook dat deze student de namen en rekeningnummers wilde misbruiken om periodiek bedragen van de rekeningen af te schrijven door middel van automatische incasso. En aangezien je daarvoor in Nederland enkel op papier een bewijs van machtiging nodig hebt en de banken ongegeneerd die opdrachten uitvoeren zouden heel veel personen het haasje kunnen zijn indien De V. toegang had tot een rekening met die incassomogelijkheid. Iets waar je niet al te moeilijk aan kunt komen via een bank, omdat een bank daar flink aan weet te verdienen - zowel de service, het incasseren als het storneren levert de bank geld op. Ik lees alleen nergens of De V. ook al toegang had tot zo'n rekening.
18-06-2012, 16:30 door Anoniem
Davy de V. bestelde ook onder valse naam 5000 kilo kaas, en 6000 kilo tegels.

Rofl, dat zou zo een grap van mij zijn geweest, maar goed ik heb geen miljoen bankrekeningen van de ING XD
18-06-2012, 16:34 door [Account Verwijderd]
[Verwijderd]
18-06-2012, 16:40 door Anoniem
Da's dan toch raar. Google doet standaard SSL. Zou hij misschien Bing of wat anders gebruikt hebben? :P
18-06-2012, 17:18 door Whoops
Door Peter V:
Via de persvoorlichting van de ING heb ik verzocht of en zo ja mijn bankgegevens zijn bemachtigd door De V. De ING beweert namelijk op de eigen website dat er 'maar' 1280 bankgegevens van houders zouden zijn geoogst, en ik wilde weten of ik bij die 1280 gecompromitteerde gegevens zat.

De persvoorlichting zou het voor mij gaan uitzoeken en deze week moet ik bericht krijgen.
Wat heb je aan deze informatie?
Ga je daadwerkelijk handelen indien je naam op de lijst staat?
Bijvoorbeeld een nieuw rekeningnummer aanvragen?
18-06-2012, 18:30 door [Account Verwijderd]
[Verwijderd]
18-06-2012, 20:33 door Anoniem
van nu.nl -> Volgens het OM zocht De V. op internet volop naar informatie over hacken. De verdachte stelt echter dat hij meer wilde weten over beveiliging van websites voor zijn studie.

Is vast een van die 'bijzondere' mensen die hier op de site altijd info voor hun 'studie' vragen :p
18-06-2012, 21:46 door quikfit
[/quote]Via de persvoorlichting van de ING heb ik verzocht of en zo ja mijn bankgegevens zijn bemachtigd door De V. De ING beweert namelijk op de eigen website dat er 'maar' 1280 bankgegevens van houders zouden zijn geoogst, en ik wilde weten of ik bij die 1280 gecompromitteerde gegevens zat.

De persvoorlichting zou het voor mij gaan uitzoeken en deze week moet ik bericht krijgen.[/quote]
Denk je echt "eerlijk" antwoord te krijgen?
19-06-2012, 01:51 door Sokolum

Uit de tap die Justitie liet plaatsen bleek volgens het Openbaar Ministerie dat hij zocht op trefwoorden die met hacken te maken hadden

Euhm, de hack is gepleegd en later is de tap geplaatst? Ik volg dat niet. Is het niet zo dat je je eerst op onderzoek gaat hoe je een hack kunt plegen en daarna gaat hacken? Dus waar komt die tap dat ineens vandaan? Mis ik hier iets?

Of werd hij al getapt voordat hij ging hacken?
19-06-2012, 04:25 door Anoniem
Laatste keer dat ik een tap plaatste... zoop ik het vat leg :)
19-06-2012, 09:02 door Anoniem
Hij heeft blijkbaar nog niet van TOR gehoord....
19-06-2012, 09:37 door Anoniem
Door rookie: Bijna een jaar lang heeft deze pc-crimineel een miljoen queries kunnen uitvoeren bij ING, zonder dat één security professional (met ongetwijfeld legio bla-bla-certificaten) is wakker geworden.

Het probleem zit m niet in de certificeringen. Die stellen inderdaad vaak niet meer voor dan een boekje uit je hoofd leren en wat theoretische blabla toepassen terwijl de praktijk veel ingewikkelder is. Het probleem zit in de bewuste keuze van management bij veel organisaties om de kop in het zand te steken. Bij veel grote ondernemingen heeft de business het uiteindelijk voor het zeggen wat logisch is. Vaak echter is men zich onvoldoende bewust van de risico's. Die worden vaak behoorlijk "onderschat" omdat dergelijke risico's de business case van een dienst negatief beinvloeden. Men kiest er dus voor om te gaan werken op een bepaalde manier en hoopt er dan mee weg te komen in sommige gevallen.

Banken hebben het financieel zwaar nu en dus is het bezuinigen geblayen. IT beveiliging en compliance krijgen ook klappen. Bovendien worden veel hogere management functies bezet door personen die KPI's hebben die in strijd zijn met de werkellijke inhoud van hun functie. Hierdoor worden ze gedwongen dingen te doen die niet echt slim zijn. Als men het niet wil doen krijgt men een schop onder zijn hol en komt de volgende "manager" op de plek terecht. Vaak kiest men dan voor mensen die niet echt inhoudelijk sterk zijn en goed te "managen" zijn. Dat werkt makkelijker. De gevolgen laten zich raden...
19-06-2012, 09:59 door Anoniem
Door rookie: Bijna een jaar lang heeft deze pc-crimineel een miljoen queries kunnen uitvoeren bij ING, zonder dat één security professional (met ongetwijfeld legio bla-bla-certificaten) is wakker geworden.

Sinds wanneer zitten dat soort securitypro's op dat niveau te kijken? Die zijn alleen bezig met beleid en het afhandelen incidenten met malware / verloren usb-sticks.
19-06-2012, 10:48 door Anoniem
Wat een onzin in het artikel. Of je de SSL versie van Google gebruikt of niet, dat maakt in dit geval geen klap uit omdat de zoekquery als query-string (GET) wordt meegegeven in de URL:

https://www.google.nl/#hl=nl&output=search&q=hoe+leer+ik+hacken&oq=hoe+leer+ik+hacken&aq=f

De tap zal vanwege SSL de inhoud van de packets niet kunnen zien, maar wel de request URL waar de zoekterm in zit (dan ben je er dus ook).
19-06-2012, 12:43 door Whoops
Door Anoniem: Wat een onzin in het artikel. Of je de SSL versie van Google gebruikt of niet, dat maakt in dit geval geen klap uit omdat de zoekquery als query-string (GET) wordt meegegeven in de URL:
Onzin, de GET requests zijn ook secure:
http://stackoverflow.com/questions/323200/is-a-https-query-string-secure

Moderne browser veroorzaken overigens geen "referrer leakage" bij het verlaten van een HTTPS websites.
19-06-2012, 22:48 door Anoniem
Door rookie: Bijna een jaar lang heeft deze pc-crimineel een miljoen queries kunnen uitvoeren bij ING, zonder dat één security professional (met ongetwijfeld legio bla-bla-certificaten) is wakker geworden.
Zijn er bij ING nog securityprofessionals? Of zijn deze weggesaneerd omwille van de bonussen van de directie?
20-06-2012, 08:18 door Anoniem
Door rookie: Bijna een jaar lang heeft deze pc-crimineel een miljoen queries kunnen uitvoeren bij ING, zonder dat één security professional (met ongetwijfeld legio bla-bla-certificaten) is wakker geworden.


Hangt er maar net vanaf in hoeverre dergelijke gedragingen gelogt wordt. 'Security pro's' zijn meestal niet de mensen die logfiles aan het analyseren zijn. Overigens is het bevragen binnen de ING webapplicatie van een rekeningnummer geen verdacht gedrag, maar er zou wel een triggger moeten staan op de hoeveelheid bevragingen. Een overschrijding van ingestelde waarde zou tot een incident moeten leiden. Maar dan nog, zijn het nog steeds geen 'Security Pro's' die daarop gaan zitten letten. Daar hebben we techneuten voor zoals sysadmins die het incident moeten rapporteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search