Cisco komt tot schikking met hacker

Spreekverbod over aanvalsmethode



Spreekverbod over aanvalsmethode


Beveiligingsexpert Michael Lynn, die deze week een presentatie gaf over de manier waarop lekken in Cisco-routers kunnen worden misbruikt, is met het bedrijf overeengekomen hier voortaan over te zwijgen.

Lynn had naar eigen zeggen een hackmethode gevonden waarmee het complete internet zou kunnen worden lamgelegd door Cisco-routers te hacken. En hij was vastbesloten zijn vondst te delen met de wereld. Hij had daarvoor een presentatie gepland op de Black Hat-conferentie die deze week in Las Vegas werd gehouden. Zijn werkgever, Internet Security Systems, legde hem een spreekverbod op. Maar Lynn nam simpelweg ontslag, en hield zijn presentatie toch.


Fabrikant Cisco was echter 'not amused', en probeerde de beveiligingsexpert via de rechter een zwijgverbod op te leggen. Volgens Cisco heeft Lynn door het decompileren van het router-besturingssysteem illegaal informatie verkregen, en deze vervolgens in strijd met het auteursrecht verspreid.

Een gang naar de rechter gaat zelfs Michael Lynn te ver. Hij koos eieren voor zijn geld en trof een schikking met Cisco. De organisatie van de Black Hat-conferentie, Cisco en Lynn zelf zullen niet meer in het openbaar spreken over Lynns presentatie. Ook zal Lynn al het door hem verzamelde 'bewijsmateriaal' over de Cisco-routers teruggeven aan het bedrijf, samen met de video-opnames die van zijn presentatie zijn gemaakt.

Spijt van zijn actie heeft de beveiligingsexpert echter niet. "Het was de juiste beslissing om de presentatie te houden. Ik denk niet dat het in het belang van het land zou zijn geweest om nog een jaar te wachten met het naar buiten brengen van mijn bevindingen, terwijl een router-virus een serieuze bedreiging kan vormen voor het internet."

In zijn presentatie liet Lynn zien hoe iemand Cisco's Internetwork Operating System (IOS) kan hacken en zo controle kan krijgen over de router waarop IOS draait. Routers (die internetverkeer doorleiden) zouden zo zelfs kunnen worden vernietigd.

Lynn gaf toe dat zijn presentatie hackers op ideeën kan brengen. "Ik heb daarom slechts 5 procent van de informatie gegeven die nodig is om zo'n aanval werkelijk te kunnen uitvoeren." Deelnemers aan de conferentie menen echter dat beveiligingexperts de aanval eenvoudig kunnen reproduceren op basis van Lynns informatie.

Cisco zegt evenwel tevreden te zijn met de schikking. Het bedrijf beloofde zeer snel met een beveiligingsadvies te komen over de kwestie. Het lek zelf is door Cisco al gedicht in de laatste versie van IOS.

Met een bijdrage van Joris Evers, CNet

Hackers richten zich vaker op toepassingen

Den Haag, 8.05 uur - In het tweede kwartaal van dit jaar hebben softwareleveranciers volgens een telling van het Sans Institute 442 nieuwe internetgerelateerde bedreigingen voor computers gemeld en gedicht. Dat was 11 procent meer dan in het eerste kwartaal van dit jaar, en 20 procent meer dan in het tweede kwartaal van 2004. De toegenomen bewustwording van het beveiligingsvraagstuk heeft de trendmatige groei van het aantal lekken in software dus nog niet kunnen keren, constateert het instituut.

Het instituut, dat zich specialiseert in beheersvraagstukken, constateert dat de virusschrijvers zich steeds vaker concentreren op toepassingen als iTunes en RealPlayer, hoewel de webbrowsers hun populariteit in deze kringen nog niet verloren hebben. Het baart het instituut zorgen dat overal beveiligingslekken opduiken waar de hackers maar hun aandacht op richten. Als voorbeeld noemt het backupsoftware van Computer Associates en Veritas, die eerder dit jaar patches moesten uitbrengen.

Het Sans Institute constateert tevens dat patchen niet populair is. Veel bedrijven en de meeste thuisgebruikers laten dat achterwege vanwege de tijd en de kosten die ermee gemoeid zijn, en omdat patches nogal eens de werking van voor de gebruiker belangrijke programma's verstoren. (Jelle Wijkstra)

Beveiliging dvd-audio gekraakt

Zoals video-dvd's gecodeerd zijn met Content Scrambling System, zo zijn audio-dvd's beveiligd met Copy Protection for Pre-Recorded Media, ofwel CPPM. De bedoeling van CPPM is ervoor zorgen dat audio-dvd's alleen afgespeeld kunnen worden op geautoriseerde apparatuur en dat de media niet zomaar gekopieerd kunnen worden. CPPM was tot op heden niet gekraakt, maar daar is sinds kort verandering in gekomen. Het uit de weg ruimen van de kopieerbeveiliging wordt gedaan via het patchen van WinDVD versie 5, 6 en 7, waarna het mogelijk is de audiodata op te slaan in niet beveiligde wav-bestanden. Het patchen van WinDVD is noodzakelijk omdat op die manier de CPPM-beveiligde content gedecodeerd wordt, daarnaast wordt het via de crack mogelijk om de data op te slaan, iets wat normaliter niet mogelijk is omdat de audiostream dan direct afgespeeld wordt.

Er zijn echter nog wel enkele problemen. De eerste is dat het digitale Verance-watermerk, dat is ingebed in het audiosignaal, niet verwijderd kan worden. Als een dvd met dvd-audio-content gekopieerd wordt, dan wordt dus ook dit watermerk meegekopieerd. Als de dvd vervolgens wordt afgespeeld en de dvd-speler merkt dat het watermerk niet overeenkomt met decodeercodes die zijn opgeslagen, zal de speler na enkele seconden stoppen met het afspelen van de dvd. Een ander probleem is dat toekomstige dvd-audio-content niet afgespeeld zal kunnen worden via WinDVD. De reden hiervoor is dat audio-dvd-content alleen afgespeeld kan worden op apparatuur die in staat is via unieke sleutels de media key uit het Media Key Block te krijgen. Toekomstige WinDVD-releases zullen beschikken over andere unieke sleutels, waardoor de bestaande hack nutteloos wordt.

Lek gevonden in veelgebruikt compressieprogramma

Den Haag, 9.54 uur - Een beveiligingsdeskundige uit het Gentoo Linux-team heeft een fout gevonden in zlib. Zlib is een veelgebruikte open-sourcecomponent voor het comprimeren en decomprimeren van gegevens.

Uit tests bleek dat één van de bewerkingen die de compressiemodule uitvoert, niet checkt of de binnenkomende data valide zijn. Daardoor kan een 'buffer overflow' uitgelokt worden, en dat is een gekend mechanisme om van buitenaf code binnen te smokkelen op een computer. In het geval van zlib is het de vraag of langs die weg de computer ook daadwerkelijk overgenomen kan worden. Vast staat wel dat het mechanisme gebruikt kan worden om de computer te laten crashen.

De compressie/decompressiebibliotheek wordt niet alleen in veel open-sourcetoepassingen gebruikt, maar wordt ook toegepast door leveranciers van fabrikanteigen software en bijvoorbeeld ook in de Xbox-spelcomputer en in mobiele telefoons.

De fout schuilt in versie 1.2.2 van zlib, en waarschijnlijk ook in oudere versies. Momenteel wordt gewerkt aan een nieuwe versie, die de fout elimineert. Fabrikanten die zlib hebben toegepast, kunnen het benutten van het lek ook voorkomen door zlib op iets andere wijze te implementeren in hun software. Voor de meeste Linux-distributies, inclusief Suse, Red Hat, Gentoo, en Debian, is zo'n aangepaste versie inmiddels beschikbaar, evenals voor FreeBSD.

Microsoft onderzoekt de kwestie nog, meldt CNet. De versies van Windows die nog ondersteund worden, zijn in ieder geval niet gevoelig voor misbruik van het zlib-lek. Microsoft past zlib ook toe in Office, MSN Messenger en Internet Explorer. (Jelle Wijkstra)

Amerikaanse wifi-hacker voor de rechter

Vrijdag 8 juli 2005, 12:40 - In Florida is een man op gepakt die vanuit zijn auto iets te opvallend aan het inbreken was op het wifi-netwerk van het huis tegenover hem. De rechtszaak tegen de man begint maandag.


De 40-jarige Benjamin Smith liep tegen de lamp toen hij zijn auto voor het huis van Richard Dinon parkeerde. Smith zat met een laptop in zijn sportauto. Dinon voelde op een bepaald ogenblik nattigheid omdat Smith telkens zijn notebook dichtklapte, als Dinon naar het raam liep.

Omdat Dinon bang was dat Smith illegale praktijken via zijn netwerk zou uitvoeren, belde hij de politie. Toen deze arriveerde, werd hij in de kraag gegrepen. Hij bleek toegang te hebben tot het wifi-netwerk van Dinon.

Tegen Smith is een aanklacht ingediend wegens het ongeautoriseerd toegang verschaffen tot een netwerk. Op maandag 11 juli dient de eerste hoorzitting als voorbereiding op de rechtszaak.

Volgens Gartner-analist Ken Dulaney is niet Smith maar Dinon in deze kwestie verwijtbaar. "Hij had zijn wlan-systeem beter moeten beveiligen. Het is zijn eigen schuld dat hij dit zo open liet."

Oude virussen zorgen voor de meeste overlast

Vrijdag 8 juli 2005, 13:33 - De inmiddels al weer twee jaar oude wormen Sasser, Slammer en Blaster zijn vandaag de dag nog altijd goed voor 83 procent van het virusverkeer.


De varianten van de Sasser-worm zijn het eerste kwartaal van dit jaar met 50 procent de grootste boosdoener, gevolgd door de afgeleiden van Slammer (29 procent) en Blaster (4 procent). Dit blijkt uit meetgegevens van Internet Security Systems.

Uit dezelfde meetgegevens blijkt dat er in de eerste drie maanden van dit jaar 1024 nieuwe beveiligingslekken en kwetsbaarheden in hard- en software zijn ontdekt.

Volgens de onderzoekers is dit een stijging van 32 procent ten opzichte van dezelfde periode een jaar geleden. Niet alleen zijn er meer kwetsbaarheden ontdekt, ook duiken er steeds eerder exploits op om die lekken te kunnen misbruiken.
Klik Hier!

"Het rapport geeft goed weer dat traditionele antivirusoplossingen alleen bekende virussen tegenhouden en niet bestand zijn tegen snel verschijnende varianten daarvan", verklaart Jos Nijsen, directeur van de Nederlandse ISS-vestiging.

"Bedrijven doen er goed aan ook te kijken naar preventieve oplossingen die op basis van het gedrag van een virus in quarantaine bepalen of netwerkverkeer wordt doorgelaten of geblokkeerd."

Rechter veroordeelt auteur Sasser-worm

Vrijdag 8 juli 2005, 14:24 - Een Duitse rechter heeft Sven Jaschan veroordeeld tot een voorwaardelijke celstraf vanwege het maken en versturen van de Sasser-worm.


Jaschan is, zoals zijn advocaat ook bepleitte, volgens het jeugdstrafrecht vervolgd omdat hij ten tijde van zijn arrestatie zeventien jaar was. De rechter heeft bij zijn veroordeling ook rekening gehouden met de niet-criminele achtergrond en de sociale omstandigheden van Jaschan.

Jaschan is in vier gevallen schuldig bevonden voor datamanipulatie en in drie gevallen wegens computersabotage. Hij krijgt daarvoor één jaar en negen maanden voorwaardelijke celstraf met een proeftijd van drie jaar. Wel moet hij dertig uur dienstverlening doen. Tegen de virusmaker was drie jaar voorwaardelijke celstraf en 200 uur dienstverlening geëist.

De inmiddels 19-jarige Jaschan bekende deze week zijn daden voor de rechter. Volgens het Openbaar Ministerie zijn er 142 bedrijven die een aanklacht hebben ingediend na de virusuitbraak. De totale schade die de worm heeft aangericht wordt geschat op 130.000 euro.

De eerste Sasser-worm werd eind april vorig jaar gesignaleerd. De worm maakte misbruik van het zogenoemde lsass-lek (local security auhtority subsystem service) in Windows, waarvoor Microsoft op 13 april van dat jaar een patch had uitgebracht. De worm besmette honderdduizenden computers waarop de patch nog niet was geïnstalleerd.

Waarschuwing voor nieuwe Trojaanse-uitbraak

Vrijdag 8 juli 2005, 11:10 - Virusexperts waarschuwen voor een grootschalige uitbraak van twee nieuwe Trojaanse paarden. Wereldwijd zijn de paarden al opgedoken.


MessageLabs heeft naar eigen zeggen al 54.000 exemplaren van de nieuwe Trojaanse paarden geblokkeerd via zijn netwerk. Het gaat om de programma's Downloader.abc en Downloader.xz. Zij komen per e-mail binnen.

De bewuste mailtjes lijken voor de onoplettende gebruiker berichten te zijn van een systeembeheerder. Als onderwerp staat er 'Spam report'. De ontvanger wordt gevraagd het bijgevoegde document te openen en te confirmeren. Dit om in het vervolg spamproblemen te voorkomen.

Wie dat niet doet, laat de beheerder geen andere mogelijkheid de online dienst voor de gebruiker af te sluiten, zo stelt de e-mail. Wie het document echter daadwerkelijk opent, activeert het Trojaanse paard en installeert hiermee een achterdeur in zijn pc. Een bekende truc, maar wel een die nog altijd werkt.

MessageLabs classificeert het uitbraakniveau van de twee paarden als 'hoog'.

FBI slaat voortvluchtige spammer in de boeien

Spamhaus helpt FBI bij klopjacht


Een opmerkelijke samenwerking tussen de FBI en Spamhaus heeft geleid tot de arrestatie van de voortvluchtige spammer Christopher Smith.

Smith werd eind vorige week gearresteerd op de luchthaven van Minneapolis. De FBI arresteerde hem toen hij uit een vliegtuig stapte, dat afkomstig was uit de Dominicaanse Republiek. Smith was naar het exotische vakantieland gevlucht nadat de Amerikaanse autoriteiten eerder dit jaar, in het kader van een onderzoek naar de illegale verkoop van geneesmiddelen via het internet, zijn bezittingen in beslag hadden genomen.

De Amerikaan is geen onbekende voor het anti-spambedrijf Spamhaus. Om zijn illegale medicijnen aan de man te brengen, verstuurde Smith ontelbare spamberichten. "Hij stond in onze toptien van spammers", aldus Steve Linford van Spamhaus. Smith gebruikte onder meer servers in China en Maleisië om zijn illegale handel draaiende te houden. "Smith probeerde op een gegeven moment zelfs de domeinnaam Spamhaus.org.uk te registreren, om via dat adres spam te versturen en de reputatie van ons bedrijf door het slijk te halen", vertelde Linford.

Volgens Linford keerde Smith terug naar de Verenigde Staten omdat hij blijkbaar iets vergeten was. "Hij is gewoon ongelooflijk dom geweest", meent Linford.

Smith wordt onder meer beschuldigd van het illegaal handelen in medicijnen, het bezitten van vervalste documenten en het niet naleven van zijn borgvoorwaarden. Een aanklacht wegens het versturen van spam is er voorlopig niet, maar dat is voor Linford geen probleem:" In de cel is in de cel".

Met een bijdrage van Will Sturgeon, Silicon.com

Turken werken aan alternatief internet buiten VS-controle

In Turkije is een groepering opgericht die zich wil inzetten voor het ontwikkelen van een alternatief internet dat niet onderworpen is aan de controle van de Verenigde Staten. Een groepering onafhankelijke operators, The Public-Root, is al bezig met het inrichten van een netwerk met dertien rootservers in tien verschillende landen, waaronder Turkije. Op dit netwerk eindigen de adressen niet met een top-level domein als .com of een landcode, maar op een bedrijfs- of persoonsnaam. Het oorspronkelijke doel van dit netwerk was dan ook het gebruik van gemakkelijk te onthouden adressen met intuïtieve namen, maar ondertussen groeit ook de interesse van landen die niet gesteld zijn op de inmening van de Amerikaanse overheid in het internet. ICANN-woordvoerder Kieran Baker benadrukt dat het oprichten van alternatieve netwerken wel voordelen kan bieden, maar dat alle voordelen van het traditionele internet, waaronder de wereldwijde bruikbaarheid, verloren gaan. Gebruikers zouden bijvoorbeeld bij het intypen van één naam, afhankelijk van het netwerk waarop ze ingelogd zijn, een compleet andere website te zien kunnen krijgen.

Hacker kan Unix-pc overnemen door lek in Acrobat Reader

Donderdag 7 juli 2005, 08:49 - Linux- en Unix-gebruikers die gebruikmaken van Acrobat Reader 5 worden door beveiligingsexperts van iDefense gewaarschuwd voor kwaadaardige pdf-bestanden.


In de Adobe Acrobat Reader voor Unix zit een beveiligingslek dat hackers in staat stelt de macht over een pc over te nemen. Het slachtoffer hoeft hiervoor alleen maar een speciaal gecreëerd pdf-bestand te openen. Deze kan eenvoudig per mail worden toegezonden of door de gebruiker via een link op een site worden geopend.

Bij het openen van een pdf-bestand wordt de functie 'UnixAppOpenFilePerform' uitgevoerd. Het is mogelijk gebleken om tijdens dit proces een buffer overflow te veroorzaken en eigen codes op de pc van het slachtoffer uit te voeren.

Het lek, dat is ontdekt door experts van iDefense, komt voor in Acrobat Reader 5.x voor Unix en Linux. Nieuwere versies blijken wel beschermd te zijn tegen een dergelijke aanval.

Volgens deskundigen brengt het lek risico's met zich mee omdat pdf een populair bestandsformaat is onder Unix-gebruikers en omdat de hacker geen exacte adressen op de pc van het slachtoffer hoeft te kennen.
Klik Hier!

Wel krijgt het slachtoffer twee foutmeldingen voordat een hacker toegang kan krijgen. Maar het wegklikken van deze foutmeldingen houdt de aanvaller niet tegen.

IDefense raadt Unix- en Linux-gebruikers aan over te stappen op het gebruik van Acrobat Reader 7.0.

Student veroordeeld voor modificeren Xbox

n het Verenigd Koninkrijk is een 22-jarige student veroordeeld tot een taakstraf van 140 uur voor het modificeren van Xbox-consoles. De man voorzag de consoles van een modchip en een harde schijf van 200GB, waar hij zo'n 80 spelletjes op installeerde. De gemodificeerde consoles verkocht hij vervolgens voor omgerekend 560 euro. Het te koop aanbieden van de consoles deed hem de das om, want iemand van de Britse waakhond van de gamesindustrie, de Entertainment & Leisure Software Publishers Assocation (Elspa), ontdekte het handeltje en bracht de bevoegde instanties op de hoogte. De man kreeg naast een taakstraf ook een boete van zo'n 1100 euro, en z'n materiaal - twee pc's en printers, drie Xbox-consoles en 38 harde schijven - werd in beslag genomen door het gerecht.

De veroordeling is de eerste in haar soort en kan een belangrijk precedent scheppen voor soortgelijke zaken. 'Dit is een duidelijk signaal dat het modificeren van consoles een crimineel feit is en ook als dusdanig bestraft zal worden', stelde een woordvoerder van de Elspa. 'Het is een van onze prioriteiten en het is goed dat het dat voor de rechtbanken ook is.' Het modificeren van videospelletjes is sinds 2003 strafbaar in het Verenigd Koninkrijk, doordat het land toen de copyrightrichtlijnen van de Europese Unie goedkeurde. Die richtlijnen stellen dat het onwettig is om kopieerbeveiligingen te omzeilen, iets waar ook het modificeren van gameconsoles kennelijk toe gerekend wordt. Op basis van die richtlijnen had een rechter in het VK vorig jaar al beslist dat het verkopen van modchips illegaal is.

Een modchip voor de Xbox

Verspreider Sasser-worm bekent schuld

Den Haag, 17.08 uur - Een Duitse tiener heeft vandaag voor een rechtbank bekend dat hij verantwoordelijk was voor de verspreiding van de Sasser-worm, die vorig jaar zeker 18 miljoen computers in de wereld besmette. Dat heeft een woordvoerder van de rechtbank in Verden meegedeeld. De verdachte is nu negentien jaar.

De jongen is aangeklaagd wegens onder meer computersabotage. Met zijn activiteiten heeft hij voor vele miljoenen schade aangericht. Hij hoeft alleen terecht te staan voor de schade die hij heeft aangericht bij drie gemeenten en een radiozender in Duitsland. Internationale concerns zagen af van een aanklacht.

De jongen werkt nu overigens voor een Duits bedrijf dat software maakt om wormen en virussen buiten de deur te houden. (anp)

Maker van Sasser-virus voor de rechter

Den Haag, 8.49 uur - De schrijver van het Sasser-virus, dat een jaar geleden miljoenen Windows-computers over de hele wereld lamlegde, moet zich vandaag in Verden in het Duitse Nedersaksen voor de rechter verantwoorden. De verdachte, Sven J. uit Rotenburg an der Wümme, wordt onder meer beschuldigd van wijziging van gegevens, computersabotage en hinderen van publieke bedrijven.

Verwacht wordt dat J. zijn tegenover de politie afgelegde bekentenis voor de rechter zal herhalen. Het proces wordt zonder publiek gevoerd, omdat de verdachte vorig jaar nog minderjarig was. De maximumstraf die hij kan krijgen is vijf jaar gevangenis.

Het Sasser-virus dreef in het voorjaar van 2004 miljoenen Windows-gebruikers tot wanhoop. Besmette computers bleven keer op keer opstarten en waren niet te gebruiken. Bovendien verspreidde het virus zich automatisch naar andere e-mailadressen, door gebruik te maken van lekken in Windows 2000 en XP. (anp)