vrijdag 18 februari 2011

Frauderen met jouw/de ov-chipkaart: makkelijk, gevaarlijk, snel op te lossen!

De OV-chipkaart is nu inmiddels wel geheel ontleedt. En voor iedereen zou het nu mogelijk zijn om met simpele software gratis te reizen, maar is dit wel zo?
Reizen met die gehackte ov-chipkaart blijkt nog niet zo makkelijk. Jouw 'hack' kan namelijk op verschillende manieren eenvoudig ontdekt worden door Trans Link Systems. En ga er maar vanuit dat je hard aangepakt zal worden.

Aller eerst zijn er verschillende typen kaarten en verschillende manier van inchecken.
Zo bestaan er anonieme ov-chipkaarten en persoonlijke ov-chipkaarten. En zo 'moet' je bij het instappen van een bus/tram/metro inchecken onder toeziend oog van een bestuurder/conducteur of gaan de metro poortjes niet open zonder dat je heb ingecheckt. In deze gevallen ontkom je dus niet aan inchecken. Bij de NS echter word je nergens gedwongen in te checken, dat maakt reizen met de NS een stuk fraude gevoeliger aangezien niet inchecken betekend dat je reis en kaart gegevens niet direct bekend worden bij TLS.

Les 1: Ga nooit met een persoonlijke ov-chipkaart frauderen. Mocht het door TLS ontdekt worden, ben je natuurlijk meteen het haasje! Lang speur werk zal niet nodig zijn, aangezien je zelf je gegevens aan TLS verstrekt hebt.
Om deze reden valt de eergister gepresenteerde ov-studenten-chipkaart hack in feite meteen al af.
Frauderen met het ov studenten product kan echter wel. Je zou namelijk een studenten product op een anonieme kaart kunnen zetten. Dit zal wellicht werken bij de bus/tram/metro. Maar in de trein zal de conducteur dit natuurlijk direct zien omdat een anonieme kaart en persoonlijke kaart qua uiterlijk zeer veel verschillen.
Een andere optie is je eigen studenten ov kaart gebruiken (Wordt afgeraden, zie les 1) en daarmee wisselen tussen week en weekend ov. Belangrijk is daarbij dat je NIET incheckt (enkel via OVStation.exe is mogelijk). Zodra je incheckt worden je kaart gegevens namelijk bekend bij TLS en deze kunnen keurig zien of jij recht heb op een weekend of week OV. Zien zij hierbij iets afwijkend zal er ongetwijfeld direct politie bij je op de stoep staan. (Zie ook Les 1).
Wil je dus frauderen met het ov studenten product en reis je met zowel trein, bus, tram en metro zal je in het bezit moeten zijn van 2 kaarten. Je eigen persoonlijke ov-chipkaart, te gebruiken bij de NS. Vergeet hierbij alsjeblieft niet dat je absoluut NIET mag inchecken (enkel via OVStation.exe is mogelijk). En je anonieme ov-chipkaart voor in de bus/tram/metro, enige nadeel hiervan is dat deze kaart (enkel je anonieme kaart dus) binnen 1-2 dag geblokkeerd zal worden. Of het dus rendabel is iedere keer een anonieme ov-chipkaart te kopen (kosten: 7,50) en deze aan te passen om hem vervolgens weer weg te kunnen gooien is maar de vraag.

Frauderen met de anonieme ov-chipkaart reizend enkel met de NS lijkt nog het meest rendabel. Om niet ontdekt te kunnen worden moet je wel een aantal punten niet vergeten. Zo mag je nooit inchecken met je kaart, doe je dit wel zal je kaart slechts 1-2 dag werken. Wat je moet doen is via het programma OVStation.exe zelf inchecken bij een station naar keuze. Zorg dat je voor de terug reis, op de plaats van bestemming, ook in het bezit bent van een reader. Neem dus je reader + software mee, of zorg dat je op locatie al de apparatuur hebt staan. Zodat je ook voor de terug reis wederom zelf kan inchecken bij je vertrekkende station. Via deze manier van frauderen word er geen enkele data aan TLS prijs gegeven, en deze zullen je anonieme kaart dus ook niet kunnen blokkeren dan wel een spoor van jouw reis traject/patroon ontdekken.
Bovenstaande manier werkt echter helaas niet voor het reizen met de bus/tram/metro, aangezien je hierbij altijd moet inchecken. En door het inchecken zal altijd het kaart id bekend worden bij TLS en deze kunnen eenvoudig weer na gaan of de reis die je heb afgelegd volgens de regels is gegaan of niet.
Constateert TLS dat er iets niet klopt aan een anonieme OV-chipkaart zal deze kaart geblokkeerd worden en word deze niet meer geaccepteerd. Vervolgens zal de recherche het wel moeilijk hebben jou op te sporen. Politie kan wellicht naar een vast reis patroon kijken, of beveiligings beelden van een aanwezige camera raadplegen bij de automaat waar de kaart gekocht is. Een andere mogelijkheid is wellicht dat men de corresponderende pin transactie kan raadplegen tijdens het kopen van de anonieme ov-chipkaart. Echter is mij niet bekend of het ID van de kaarten en de verkoop punten überhaupt ergens geregistreerd wordt.

Hoe kan de ov-chipkaart nu nog verbeterd worden?
Er zijn wellicht een aantal simpele manieren om deze ov-chipkaart alsnog veiliger te maken.
De makkelijkste manier is wellicht het registreren van de kaart id's en op de kaart aanwezige producten door de trein conducteurs, en deze data vervolgens aan TLS door te sluizen. Aangezien dit al bij de poortjes gebeurt in bussen en trams moet het ook mogelijk zijn conducteurs met dergelijke apparatuur uit te rusten. Hiermee sluit je gelijk al het grootste gapende gat. Wanneer dit gebeurt, en ervan uitgaande dat iedere reiziger minimaal 1x tijdens zijn reis met de trein gecontroleerd word door een conducteur kan je dan dus maximaal 1 dag genieten van je gehackte ov-chipkaart. Dit maakt het reizen met de gehackte kaarten al gelijk een stuk minder rendabel, aangezien iedere dag een nieuwe kaart aangeschaft moet worden, wat telkens 7,50 kost.
Een andere mogelijkheid is nog ongebruikt geheugen op de Mifare Classic chip. Wellicht kan deze ruimte gebruikt worden om bepaalde sleutels naar toe te schrijven en een ander systeem van inchecken/producten te hanteren. Dit zal wel een update van alle toegangs poortjes van TLS met zich mee brengen, en de vraag is maar of dat bij al deze poortjes in 1x lukt en mensen niet ongewenst geweigerd worden. Deze laatste aanpassing kan er voor zorgen dat alle reeds bekende software als OVSaldo.exe en OVStation.exe direct onbruikbaar gemaakt kunnen worden. Ik ben op de hoogte dat er zeker op de anonieme kaarten nog vrij geheugen op de chips bevindt. Dus deze laatste optie is zeker mogelijk. Ook is het voor TLS mogelijk alle poortjes met nieuwe software eenvoudig te updaten, dit hebben ze namelijk al eens vaker gedaan.
Ik ben dan ook van mening dat een creatieve geest het probleem met deze ov-chipkaart eenvoudig moet kunnen oplossen!

woensdag 16 februari 2011

Hoofd Israelische strijdkrachten pronkt met Stuxnet

Een video boodschap afgespeelt tijdens een pensionerings feestje van de Israelische strijdkrachten doet het vermoeden stijgen dat Israel achter Stuxnet zit.

De video van Lieutenant General Gabi Ashkenazi zijn operationele successen bevatte referenties welke zouden wijzen richting Stuxnet, meld de Israelische krant Ha'aretz.
Direct na het gedeelte met mysterieuze referenties richting Stuxnet, volgt een boodschap van Meir Dagan, hoofd van de Israelische geheime dienst de Mossad gedurende vrijwel de gehele periode dat Gabi Ashkenazi hoofd was van de Israelische strijdkrachten.

Dit alles doet het vermoeden dat Israel achter Stuxnet zit steeds verder rijzen.

donderdag 10 februari 2011

Chinese hackers belagen energiebedrijven en gebruiken Nederlandse C&C's

McAfee heeft een white paper uitgebracht: Global Energy Cyberattacks: "Night Dragon"
McAfee verwerkt dagelijks bijna 55000 virussen/malware. Omdat dit zo'n groot aantal is, is het moeilijk gecoördineerde aanvallen hieruit op te maken/zichtbaar te maken. Toch willen ze aandacht geven aan 1 aanval. Het zou hier gaan om een grote aanval welke duidelijk zou weergeven hoe cybercrime zich van hobbyist naar een professionele activiteit heeft ontwikkeld.

In het rapport word een gedetailleerd overzicht weergegeven van de gebruikte tools en werkwijze. Hierin komt duidelijk naar voren wat de werkwijze is van de criminelen, en hieruit kan inderdaad duidelijk worden opgemaakt dat deze aanval uitgevoerd is door hobbyisten, welke nu blijkbaar hun activiteiten op een professionele manier ontplooien.

De gebruikte tactieken/technieken/software zijn in sommige gevallen wellicht al zo'n 10 jaar oud, dit valt niet te verifiëren uiteraard. Echter worden er vooral tools gebruikt die algemeen bekend zijn in de hackers wereld en welke misschien al bestempeld kunnen worden als 'out-dated'. Er zijn slechts enkele modificaties gevonden op de gebruikte tools welke als 'uniek' bestempeld kunnen worden. Verder word er simpel weg gebruik gemaakt van bestaande technieken, deze worden gebundeld, wat het een krachtige constructie maakt. De gebruikte aanvals tactieken zijn:
- Social Engineering
- Spearphising attacks
- Exploitation of Microsoft Windows operating system vulnerabilities
- Microsoft Active Directory compromises
- Remote Administration Tools (RATs)

Gebruikte techniek/software:
- SQL Injection Attacks
- reduh
- WebShell
- ASPXpy
- zwShell / gh0st
- Exploits
- Zero-day malware
- gsecdump
- Cain & Abel
- PSexec.exe

Verder werd er gebruik gemaakt van Command and Control servers gekocht in Amerika en gehackte servers in Nederland. Het is McAfee niet gelukt enige betrokkenen hiervan te achterhalen. Wat zij wel hebben kunnen achterhalen is de persoon verantwoordelijk voor de gekochte C&C servers in Amerika. Deze persoon komt uit Heze City, Shandong Province, China. Hoogstwaarschijnlijk heeft deze persoon niets met de aanvallen te maken. Dit omdat deze persoon slechts hosting services aanbied, echter doet hij dit wel met een advertentie banner waarop staat: "Hosted Servers in the U.S. with no records kept". Waarbij die laatste zin natuurlijk een crimineel oog doet glunderen.
Ook bleek dat er vooral van de voorziene data gebruikt werd gemaakt tussen 9:00 a.m. to 5:00 p.m. Beijing time. Wat zou suggereren dat de criminelen actief zijn gedurende kantoor tijden.

Ik ben erg benieuwd waar de gehackte servers in Nederland afkomstig zouden zijn. (Toch niet weer leaseweb?)
En ik vind het erg frappant dat er bij een dergelijke, klaarblijk belangrijke klus slechts alleen tijdens kantoor uren gewerkt word. Dit lijkt te duiden op weinig betrokkenheid? Of zou de opdracht gever simpel weg niet genoeg betaald hebben?
Iemand die onder het motto "Omdat het kan" bezig was lijkt het me ook niet, aangezien die juist niet onder kantoor tijden werken.

Vrij duidelijk is in ieder geval wel dat de chinezen van hun hobby hun werk gemaakt hebben en blijkbaar ook instaat zijn hiermee geld te verdienen.
In Nederland is de kennis en techniek die deze criminelen gebruiken ook zeker aanwezig, maar blijkbaar is de moraal van de Nederlander nog dermate hoog dat hier niet in bedrijfsverband geld mee word verdient. Of het is natuurlijk een strategische set van de olie multinationals om een partij in China te prefereren.
Vraagtekens alom natuurlijk.

De gebruikte aanvals tactiek:

De kranten berichten overigens vooral dat de Chinezen -> energiebedrijven hebben aangevallen. De strekking van het gehele paper gaat daar volgens mij niet over. Wat uit de paper kan worden geconcludeerd is dat de hackaanval van Chineze origine is, en dat hier blijkbaar een particulier bedrijf voor verantwoordelijk is. En omdat er vooral tijdens kantoortijden actief gewerkt werd schept dit de verwachting dat dit alles gebeurt is 'in opdracht van'. Ook blijken vooral de grote energie bedrijven doelwit geweest te zijn.
Wat een belangrijkere conclusie is uit het paper lijkt me het feit dat personen die vroeger hacken als hobby hadden, en dit alleen deden, nu blijkbaar verenigd zijn ondergebracht en hun criminele activiteiten in groepsverband weten te ontplooien. En hierbij nog altijd te werk gaan op de manier zoals vroeger gebruikelijk was.