CIA simuleert grootschalige hackaanval

Amerikanen vrezen voor digitale Pearl Harbor

De CIA hield deze week een grootschalige oefening om te ontdekken hoe goed Amerika bestand is tegen een online aanval van cyberterroristen. De Amerikanen willen zich met dergelijke oefeningen voorbereiden op een mogelijke digitale 'Pearl Harbor'. De Amerikaanse inlichtingendiensten vrezen vooral voor een internetaanval van een groep als Al-Quada, mogelijk ter ondersteuning van een aanslag.

De CIA-simulatie kreeg de ronkende naam Silent Horizon mee en in totaal namen ongeveer 75 mensen aan de oefening deel. Tijdens de oefening werd een hackaanval gesimuleerd, uitgevoerd door verschillende anti-Amerikaanse groepen, waaronder anti-globalisten.

Ondanks de CIA-oefening is er binnen de inlichtingendiensten geen overeenstemming over het feit dat politieke hackers zo’n groot gevaar vormen. Vlak na de terroristische aanvallen van september 2001 was dat nog wel het geval. Presidentsadviseur Richard Clark omschreef toen het spookbeeld van een elektronische Pearl Harbor - een verwijzing naar de destructieve Japanse verrassingsaanval uit 1942. Clarks voorspellingen leverde hem in 2001 de verantwoordelijkheid op voor het beveiligen van de Amerikaanse internetinfrastructuur. In 2003 werd hij vervangen door een topman van Symantec.

Experts twijfel echter of terreurgroepen over voldoende kennis beschikken om een grootschalige hackaanval uit kunnen voeren. Bruce Schneier, toonaangevend cryptograaf en veiligheidsexpert, gelooft bijvoorbeeld dat terroristen eerder voor 'echte' terreur zullen kiezen. Vorige week bevestigde Brian Nagel, assistent-directeur van de Amerikaanse Geheime Dienst, in een Reuters-interview dat er voorlopig geen link gelegd kan worden tussen terroristen en hackers.

Dagelijks 172.000 nieuwe zombie-pc's

Besmetting loopt spuigaten uit

Cijfers van spambestrijder CipherTrust leveren een verontrustend beeld op: dagelijks vallen ruim 172.000 computers ten prooi aan aanvallen, en veranderen in willoze zombiemachines. De Amerikaanse overheid komt in actie.

CipherTrust houdt statistieken bij over zombiemachines en de besmettingsgraad loopt flink op: in april werden dagelijks nog 150.000 nieuwe zombies gemeld, het grootste deel is afkomstig uit China, waar veel nieuwe pc's worden aangeschaft.

Adblock
Twintig procent van de nieuwe besmettingen komt uit de Verenigde Staten en vijftien procent uit China. Andere zombies komen uit Europese landen. De (25 landen grote) Europese Unie staat in CipherTrusts ZombieMeter bovenaan met 26 procent aandeel in het aantal actieve zombies.

Zombie-pc's worden door criminelen gebruikt om websites lam te leggen (voor afpersing) of - wat vaker voorkomt - massaal spam te versturen voor klanten die bij reguliere internetaanbieders niet meer aan de bak komen.

Om de overlast tegen te gaan zijn de Amerikaanse Federal Trade Commission en diverse instellingen begonnen met een wereldwijde campange onder de klinkende naam Operation Spam Zombies. Er worden ruim 3000 internetaanbieders en bedrijven aangeschreven met het verzoek besmette machines van het net te koppelen, zolang ze gevaar en overlast opleveren.

Daarnaast formuleert Operation Spam Zombies tips hoe risico's zijn te vermijden en pleit de FTC voor "eenvoudige gereedschappen" die gebruikers kunnen inzetten om hun machine weer uit het zombie-collectief te bevrijden.

Het enorme aantal besmette machines wereldwijd betekent een flinke belasting voor de internetverbindingen en overlast voor vrijwel alle internetgebruikers. Voorzichtige schattingen in maart 2005 spraken nog van zo'n 1 miljoen besmette machines, maar gezien de snelheid waarmee dagelijks nieuwe zombies worden geworven, lijkt dat inmiddels een achterhaald getal.

VS sluiten BitTorrent-netwerk af

Den Haag, 10.00 uur - De Amerikaanse autoriteiten hebben een computernetwerk platgelegd waarop illegale kopieën te vinden waren van Revenge of the Sith, de vorige week uitgebrachte laatste episode van de Star Wars-saga. Het gaat om het Elite Torrents-netwerk, dat gebruik maakte van BitTorrent-technologie voor het verspreiden van software en muziek- en filmbestanden onder zijn leden.

Elite Torrent had volgens de autoriteiten meer dan 133.000 deelnemers die gezamenlijk 17.800 filmtitels, muziekstukken en softwarepakketten in de aanbieding hadden. Directe aanleiding voor het ingrijpen was, dat de Star Wars-film al zes uur voor de officiële première op het Elite Torrent-netwerk circuleerde. Revenge of the Sith werd de eerste 24 uur 10.000 maal van het netwerk gedownload.

De autoriteiten namen de belangrijkste server van het netwerk in beslag en deden huiszoeking bij een tiental personen die verdacht worden van betrokkenheid bij het netwerk. Het was de eerste keer dat de autoriteiten optraden tegen mensen die BitTorrent-technolologie gebruiken voor het distribueren van computerbestanden. (Jelle Wijkstra)

Burgemeester Boxtel verbiedt bekende hackersbijeenkomst

De burgemeester van de gemeente Boxtel wil geen vergunning geven voor What The Hack, één van de bekendste hackersbijeenkomsten ter wereld.

Burgemeester Jan van Homelen heeft de organisatie van What The Hack laten weten dat hij de 'ernstige vrees' heeft dat 'de openbare orde en veiligheid in gevaar komen'.

"Dit hebben we in zestien jaar tijd nog nooit meegemaakt", zegt organisator Rop Gonggrijp. Gonggrijp, die eind jaren tachtig het hackersblad Hack-Tic uitgaf en aan de wieg stond van internetaanbieder XS4ALL, organiseert sinds 1989 om de vier jaar hackersbijeenkomsten.

"De burgemeester heeft misschien een beetje een raar beeld van wat wij, hackers, daar komen doen", meent Gonggrijp. What The Hack stapt naar de rechter om alsnog een vergunning te krijgen voor het evenement dat tussen 28 en 31 juli in Liempde (gemeente Boxtel) moet plaatsvinden.

"Het gaat in onze gemeenschap tegenwoordig eigenlijk slechts zijdelings over inbreken of computerveiligheid", probeert Gonggrijp de burgemeester gerust te stellen. "En als onze bezoekers al met die thema's bezig zijn werken ze voor de overgrote meerderheid echt al jaren bij beveiligingsbedrijven."
Zaklamp

Eerdere bijeenkomsten verliepen altijd uiterst gemoedelijk. De laatste bijeenkomst, Hackers At Large 2001 (HAL2001), vond plaats op de campus van de Universiteit Twente. "Bij HAL2001 werd de hele nacht alcohol geschonken en bestond de beveiliging uit twee man met een zaklamp", zegt Gonggrijp.

In een brief aan burgemeester Van Homelen wijst de organisatie erop dat er nooit sprake is geweest van 'enige verstoring van de openbare orde, laat staan gevaar voor de veiligheid'. "Diverse edities van het evenement zijn keerpunten geweest in de ontwikkeling van de Europese internetcultuur."
Adblock

De bijeenkomst in 1993, Hacking at the End of the Universe (HEU), speelde bijvoorbeeld een belangrijke rol bij de doorbraak van internet in Nederland. De organisatoren van HEU hadden enkele maanden eerder XS4ALL opgericht, de oudste Nederlandse internetaanbieder voor particulieren. Op HEU werd De Digitale Stad (DDS) bedacht: voor veel Nederlanders de eerste kennismaking met internet.
Internationaal

De bijeenkomsten die elke keer een andere naam hebben, staan internationaal hoog aangeschreven. Van over de hele wereld trekken hackers naar Nederland om te discussiëren over techniek, beveiliging, politiek en privacy.

Bekende beveiligingsexpert geven op de bijeenkomsten acte de présence. Zo waren bij HAL2001 onder meer Phil Zimmermann (de bedenker van PGP-encryptie), Emmanuel Goldstein (uitgever van het bekende hackersblad 2600) en Andy Müller van de Duitse Chaos Computer Club (CCC) aanwezig.

Voor What The Hack staan onder meer presentaties op het programma over de Europese plannen voor softwarepatenten, draadloos internet in ontwikkelingslanden en de onveiligheid van biometrische identificatie.

Phishingaanvallen steeds geavanceerder

Extra gegevens achterhaald via gestolen informatie


Ze weten uw naam, ze weten waar u woont, ze weten bij welke bank u klant bent... en nu willen ze uw geheime code om uw bankrekening te plunderen. Neen, we spreken hier niet over de belastingdienst, maar over de cybercriminelen die steeds geavanceerdere phishing-technieken inzetten om financiële informatie van internetgebruikers te bemachtigen.

Experts van het beveiligingsbedrijf Cyota waarschuwen voor een nieuwe vorm van phishing. In plaats van op goed geluk massaal frauduleuze e-mailberichten te versturen, verzenden oplichters een gepersonaliseerde e-mail naar potentiële slachtoffers.


Alles wijst erop dat de e-mail door de bankinstelling van het slachtoffer is verstuurd: de e-mail is in de huisstijl van de bank opgesteld en vermeldt netjes naam, adres en zelfs rekeningnummer van de ontvanger. In het bericht wordt de klant vriendelijk verzocht om eventjes de pincode van zijn bankpas te bevestigen, of de CVD-code van zijn creditcard te registreren. Die CVD-code is een reeks cijfers op de achterkant van de creditcard en dient als extra beveiliging ten behoeve van online aankopen.

Een link in het bericht stuurt de nietsvermoedende klant vervolgens door naar een website, waar hij de gevraagde gegevens kan invullen in een formulier. De website lijkt weliswaar sterk op die van de bank, maar is in feite een vervalsing, opgezet door criminelen. Die gebruiken de ontfutselde gegevens om de bankrekening te plunderen of aankopen te verrichten met de creditcard van het slachtoffer.

Volgens Cyota is de nieuwe tactiek bijzonder succesvol: "Het slaagpercentage is opmerkelijk. Mensen verwachten nog altijd een brute aanval op hun bankgegevens, maar ze zijn niet voorbereid op een geavanceerde phishingaanval die gebruikmaakt van zoveel persoonlijke informatie."

Cyota vermoedt dat de persoonlijke informatie afkomstig uit gestolen klantengegevens, die door criminele bendes worden doorverkocht. Phishers gebruiken die informatie om nog meer vertrouwelijke gegevens te bemachtigen, zoals creditcardnummers of wachtwoorden voor internetbankieren. Cyota weigerde de namen vrij te geven van bestolen banken, maar volgens het beveiligingsbedrijf bevinden zich enkele van de grootste financiële instellingen van de Verenigde Staten in het gezelschap.

Met een bijdrage van Matt Hines, News.com

De HyperThreading-'bug' uitgelegd

Tot nu toe hebben we gezien dat het mogelijk is voor twee threads om op een zeer vernuftige manier met elkaar te communiceren door op een van te voren afgesproken manier samen te werken. Is het dan ook mogelijk om gegevens uit een andere thread te krijgen zónder dat deze daaraan meewerkt? Het antwoord daarop is nee. Er zit geen bug in de hardware, dus als het operating systeem aangeeft dat iets niet gelezen mag worden, dan kan dat ook niet gelezen worden. Waarom dan toch de ophef? Omdat iemand met zeer specifieke kennis over de implementatie van een encryptie-algoritme én informatie over het moment waarop dit wordt uitgevoerd een idee kan krijgen van wat er achter gesloten deuren gebeurt. Dit gaat op een manier die veel lijkt op de geheime kanalen. In dit geval is er echter geen 'verzender' die expliciet gegevens aan het versturen is, maar wordt er simpelweg geluisterd naar de ruis veroorzaakt door het encryptieproces. Zometeen zullen we zien hoe het uitvoeren van 1024-bit RSA-encryptie met OpenSSL eruit ziet voor een cache-spion.

In het onderstaande plaatje zijn op de x-as alle cachelijnen die in de gaten worden gehouden uiteengezet. De y-as is het verloop van de tijd gemeten in klokcycles, waaraan te zien is dat het plaatje slechts gegevens verzameld over een zeer korte periode representeert (500.000 cycles worden er door een 2,8GHz-processor binnen 0,2 milliseconde doorheen gejaagd). De kleur van de blokjes geeft aan hoe kort of lang het steeds duurde voor iedere cachelijn beschikbaar was. Hieruit is met een redelijk grote mate van nauwkeurigheid af te leiden of ze wel of niet uit het cache werden gegooid door het encryptieproces. De schaal loopt van een wit blok (120 cycles) tot een zwart blok (170+ cycles). Omcirkeld zijn de patronen die interessant zijn voor iemand die wil proberen om de key te achterhalen.

De reden waarom de omcirkelde lijntjes informatie bevatten over de gebruikte sleutel is de manier waarop het RSA-algoritme door de makers van OpenSSL is geïmplementeerd. Omdat deze vorm van encryptie rekenkundig behoorlijk zwaar is wordt de berekening zo ver mogelijk geoptimaliseerd, onder andere door de wiskundige handeling x := a^d mod p om te schrijven naar een hele serie kwadrateringen en een vermenigvuldiging. Een andere optimalisatie is dat de getallen waarmee vermenigvuldigd moet worden van te voren worden uitgerekend en in een tabel worden gezet, zodat ze herbruikt kunnen worden in plaats van keer op keer opnieuw uitgerekend moeten worden. Hierdoor kan de afluisterthread makkelijk herkennen wanneer vermeningvuldigd wordt, want zodra er een waarde uit die tabel gehaald wordt moet er iets van hem uit het cache verwijderd worden om er plaats voor te maken. Uit iedere vermeningvuldiging (en het aantal kwadrateringen dat eraan vooraf ging) kan een bit van de sleutel worden afgeleid. Op deze manier kunnen er in goede omstandigheden zo'n 200 bits van beide 512-bit exponenten worden blootgelegd. De rest gaat verloren in de ruis die wordt veroorzaakt door andere threads.

Op dat moment is er nog steeds niet genoeg informatie beschikbaar om de complete sleutel te achterhalen, maar door goed te kijken naar de volgorde waarin de verschillende multipliers gebruikt worden kunnen meer gegevens afgeleid worden. Hier komt een hoop onzekerheid bij kijken (onder andere omdat het niet zeker is dat dezelfde waarde steeds op dezelfde plek in het cache komt te staan), maar geschat wordt dat voor de helft van de vermenigvuldigingen het aantal mogelijke multipliers teruggebracht kan worden tot twee. Statistisch gezien zou dat genoeg data moeten zijn om van beide delen nog eens 110 extra bits te bepalen, waarna in totaal dus ongeveer 310 van de 512 bits van beide exponenten beschikbaar zijn. Dit is voor crypto-analisten wèl genoeg informatie om de sleutel in relatief korte tijd te kunnen breken.

Oplossingen

Er worden door de ontdekker van het (potentiële) probleem een aantal verschillende oplossingen aangedragen om computers tegen dit soort aanvallen te kunnen verdedigen. De processor zou bijvoorbeeld aangepast kunnen worden om te voorkomen dat threads elkaars gegevens continu uit het cache kunnen wippen. In latere steppings van de Pentium 4 is dat overigens al zo, dus wat dat betreft hoeft men zich sowieso al geen zorgen meer te maken. Verder zou de hardware het zo vaak en nauwkeurig opmeten van alle latencies kunnen tegenhouden, maar dit kan natuurlijk compatibiliteitsproblemen opleveren en is dus geen realistische optie. Volgens de auteur kan daarom beter een oplossing gezocht worden aan de kant van de software. Een vrij complexe maar effectieve oplossing zou zijn dat de scheduler geen twee threads met verschillende rechten tegelijk laat draaien op dezelfde processor. Simpeler is echter een soort "secure mode" in het leven roepen voor threads, waarin iedere keer standaard het hele cache geflushed wordt, zodat er geen enkel herkenbaar patroon wordt achtergelaten.

Conclusie: Storm in een glas water

Hoewel de 'exploit' van HyperThreading zeker interessant en slim genoemd kan worden, is het concept van dit soort zogenaamde timing-aanvallen bij lange na niet nieuw te noemen. Andere onderzoekers hadden soortgelijken technieken om informatie over geheime sleutels te achterhalen al eerder gedemonstreerd op systemen met twee fysieke processors, en onder bepaalde gecontroleerde condities schijnt het zelfs met een enkele single-threaded processor mogelijk te zijn. HyperThreading kan het misschien dan wel makkelijker maken om het te doen, maar het blijft een zeer ingewikkelde methode waar een diepgaand begrip van de hardware, het gebruikte algoritme en de implementatie daarvan nodig is. Verder is timing cruciaal en zijn bijna onrealistisch gunstige omstandigheden nodig om een 'schoon signaal' af te kunnen tappen. Al met al hoeft het gemiddelde bedrijf zich weinig zorgen te maken over de veiligheid van zijn servers met HyperThreading. Voor de echte securityfreaks is het echter wel leuk hersenvoer .

Bron: Tweakers.net

Internetpiraten weer veroordeeld

Den Haag, 7.48 uur - In Groot-Brittannië heeft de rechter een aantal leden van de groep DrinkOrDie (Drink of sterf) veroordeeld tot gevangenisstraffen variërend van anderhalf tot tweeëneenhalf jaar. Het gaat om vier Britse leden van deze groep, die vertakkingen heeft over de hele wereld.

DrinkOrDie is een zogeheten warez-gemeenschap, een groep mensen die het een sport vinden om beveiligde software zo snel mogelijk te kraken. De van beveliging ontdane pakketten worden vervolgens gedistribueerd via netwerken.

Ruim drie jaar geleden kwam de groep voor het eerst in het nieuws, ook met een veroordeling van een aantal leden. Pikant detail bij de rechtszaak in het Verenigd Koninkrijk: een van de veroordeelden werkte als IT-manager bij een grote internationale bank. (Richard Keijzer)

Quantumcryptografie toegepast op videostromen

Wetenschappers bij Toshiba zijn erin geslaagd quantumcryptografie in te zetten voor het versturen van geluid en video over een optische verbinding. Deze techniek werd vorige week al besproken, maar nu zijn de onderzoekers er dus effectief in geslaagd om ze succesvol in te zetten. De single-photon encryptie, zoals de technologie heet, is compatibel met standaard IP-verkeer en kan op commerciële glasvezelnetwerken ingezet worden. De demonstratie bestond uit twee belangrijke aspecten. Ten eerste werd er aangetoond dat er grote hoeveelheden data gecodeerd werden en ten tweede werd bewezen dat het mogelijk is de encryptiesleutel regelmatig te wijzigen. Volgens de onderzoekers is communicatie via quantumcryptografie per definitie veilig. Doordat elke bit gecodeerd wordt op een enkele photon, worden afluisterpogingen onmiddellijk opgemerkt door de zender en ontvanger. Toshiba's Quantum Key Server is in staat honderd keys per seconde te genereren, zodat elk frame in een videobestand met een eigen key versleuteld kan worden..

Onderzoek: Toyota Prius níet gevoelig voor computervirussen

donderdag, 12 mei 2005, 11:56 - Autobezitters kunnen opgelucht ademhalen. Zelfs een auto die is voorzien van een computer, kan niet geïnfecteerd raken met een Bluetooth-virus.

Dat heeft het antivirusbedrijf F-Secure vastgesteld na uitgebreid onderzoek met een door Toyota ter beschikking gestelde Toyota Prius. F-Secure doet verslag van het onderzoek op zijn weblog.

Bij de test probeerden de medewerkers van F-Secure de auto onder meer te besmetten met het Cabir.B- en Cabir.H-virus. Deze virussen verspreiden zich via mobiele telefoons die zijn voorzien van Bluetooth.

"Het kwam niet als een verrassing dat we de auto niet konden besmetten", schrijft F-Secure. "Maar de Prius deed het nog beter dan we hadden verwacht. Het maakte niet uit wat we deden, de auto reageerde in het geheel niet op Bluetooth-verkeer."

De virusbestrijders werden nog wel even op het verkeerde been gezet toen tijdens de testen het systeem van de auto crashte. Zelfs de sloten deden het niet meer. De boordcomputer meldde: "The transmission lock mechanism is abnormal. Park your car on a flat surface, and fully apply the hand brake."

Deze problemen bleken echter niet te zijn veroorzaakt door een virus of Bluetooth-verkeer, maar door een stroomtekort. Alle intensieve onderzoeken van de virusdeskundigen hadden de batterij van de computer uitgeput.

Het onderzoek van F-Secure is een reactie op geruchten die enkele maanden geleden circuleerden. Bluetooth-virussen zouden de boordcomputers van auto's van Lexus/Toyota kunnen infecteren. Een virus zou onder meer gevolgen kunnen hebben voor het navigatiesysteem van de auto's. Toyota ontkende het gevaar destijds al.

Gevaar Sober.p nog niet geweken

1 op 20 mails bevat virus


De nieuwste variant van het Sober-virus blijkt hardnekkiger dan de meeste experts aanvankelijk verwachtten. In plaats van snel uit te sterven, is het onding juist op grotere schaal verspreid. Inmiddels zou ongeveer 5,4 procent van alle mailtjes Sober.p bevatten, zo becijfert virusbestrijder Sophos.

Dat is verbazend, want technisch verschilt deze p-variant nauwelijks van zijn voorgangers. En hoewel die in hun eerste gedaante veel slachtoffers maakten, waren de latere varianten veel minder succesvol. Een mogelijke reden waarom Sober.p er wel in slaagt om veel pc's te infecteren, is een goed uitgekiende social engineering strategie. Een deel van de mails waarin Sober.p zich verstopt, belooft de surfer namelijk gratis tickets voor het WK voetbal in 2006.

Na een computer te hebben geïnfecteerd gaat Sober.p op zoek naar mailadressen van nieuwe slachtoffers. Omdat het virus deze adressen ook gebruikt als afzender, lijkt het alsof gebruikers wier pc niet besmet is er toch last van hebben. En dat zorgt weer voor nog meer mailverkeer, mede dankzij behulpzame antivirusscanners die de zogenaamd besmette gebruiker inlichten over diens probleem.

Daarnaast probeert Sober.p volgens sommige bronnen veiligheidssoftware zoals antivirusscanners en de firewall van Windows XP uit te schakelen. Hierdoor worden besmette pc's kwetsbaar voor hackaanvallen die niet rechtstreeks zijn toe te schrijven aan het Sober-virus.

Uit gegevens van Panda Software blijkt echter weer dat de nieuwe Sober vorige week woensdag piekte en rond zaterdag al een stuk zeldzamer was. Volgens dezelfde virusbestrijder zou het virus het meest voorkomen in Zwitserland, op de voet gevolgd door de Filippijnen, Duitsland, Nederland en Panama.