zondag 25 september 2011

Anonymous beschikt over database gepensioneerde KLPDers

Hacker Goo door de bocht. De beste man heeft mij gecontact om te vertellen dat Anonymous beschikt over de database van de website vvg-klpd.nl (inmiddels offline).
Leuk een database van ex-klpd-ers zou je zeggen. Echter waren er wat opmerkelijke dingen aan de hand met deze database. Zo stonden hier de wachtwoorden in plaintext opgeslagen. En waren de bankrekening nummers keurig aan de personen gekoppeld.
Omdat ik Mister Goo niet meteen geloofde vroeg ik hem mij 1 regel bewijs te laten zien, en dit heeft hij dan ook gedaan. Waardoor ik kan bevestigen dat het klopt.

De hack is gedaan via een dood eenvoudige SQL injectie, en ik neem aan, gezien onderstaande tweet, al geruime tijd geleden.

Hieruit kunnen we verder opmaken dat de site direct daarna offline gehaalt is. De vraag is nu of de gebruikers ook ingelicht zijn over deze hack. Lijkt me wel zo fijn om te weten wanneer werkelijk al je gegevens mogelijk op straat liggen. Slingerd de discussie over de meldingsplicht weer lekker aan.

Fascinerend is het feit dat Anonymous heeft besloten deze gegevens niet via een pastebinntje publiekelijk te maken. Maar dat is misschien ook wel logisch na de 15 jaar cel die Cody Kretsinger aka Recursion staat te wachten nadat deze de gegevens van sony WEL publiekelijk maakte.

Goed, nu de Nederlandse tak van Anonymous in het bezit is van de gegevens van ex-klpders inclusief hun bankgegevens, kunnen ze waarschijnlijk allen snel samen koffie drinken.

vrijdag 23 september 2011

LulzSec Recursion gepakt via HideMyAss.com

Groot nieuws! Wederom is een LulzSec member opgepakt. In dit geval zou het gaan op Recursion, echte naam: Cody Kretsinger. Hij zou het brein zijn achter de Sony hack.

Verhaal is op dit moment dat Recursion een private VPN zou hebben geregistreerd bij HideMyAss.com onder de username "recursion" (HEUL SLIM!). Een site die "Protect your online privacy" als slogan heeft. Via deze VPN zou Sony gehacked zijn. De FBI heeft op zijn beurt bij HideMyAss.com aangeklopt en de gegevens opgevraagd welke HideMyAss.com keurig verstrekt heeft. Erg nasty en vervelend voor Recursion. Aangezien hij zich veilig waande via deze aangeboden "Protect your online *fail* privacy".

Nu is het natuurlijk behoorlijk nieuws dat een site die een dergelijke service aanbiedt zomaar ip-adressen/log gegevens/adres gegevens/ dan wel bankgegevens van zijn gebruikers aan de FBI verstrekt. Maar misschien is het nog wel belangrijker te weten dat er meer LulzSec members zijn die HideMyAss.com gebruikten als VPN. Zie hieronder een chatlog:
Jun 03 22:44:15 Neuron: Sabu: did we lose people?
Jun 03 23:28:15 storm: agreed
Jun 03 23:28:16 storm: did we?
Jun 03 23:31:10 Sabu: yeah
Jun 03 23:31:18 storm: who?
Jun 03 23:31:23 Sabu: recursion and devurandom quit respectfully
Jun 03 23:31:27 Sabu: saying they are not up for the heat
Jun 03 23:31:32 Sabu: you realize we smacked the fbi today
Jun 03 23:43:08 sabu: clean your box out, make sure any sensitive info you have encrypted on a usb stick
Jun 03 23:43:12 sabu: stay behind your vpn
Jun 03 23:43:16 sabu: from now on your vpn is your weapon
Jun 03 23:43:23 sabu: without your weapon you are nothing
Jun 03 23:43:30 sabu: without you it is notihng blah blah blah
Jun 03 23:43:34 neuron: haha
Jun 03 23:43:39 sabu: and dont do nothing we dont approve of
Jun 03 23:44:04 neuron: Alright right now.. My "hackbox" has 512 aes encryption on the entire harddrive
Jun 03 23:44:18 neuron: two passwords and truecrypt on info concerning anything hacking related
Jun 03 23:44:24 neuron: and my vpn is HideMyAss




Om nog even door te gaan over dit subject, verbaast het mij nog steeds dat het Nederlandse lid Joepie91 / 92 nog steeds niet is opgehaald voor een verhoortje. Nu is bekend dat deze jongen zich strikt binnen de regeltje van de arm der wet houdt. Maar hij blijft zo'n beetje als enige van de groep gespaard. Moge hij van geluk spreken!

zaterdag 17 september 2011

Kinderporno filter van LeaseWeb nuttig?

Geweldige promo stunt van LeaseWeb natuurlijk. Een kinderporno filter.
Ze schijnen als hoster nogal eens met kinderporno te maken hebben, en dat vinden ze niet leuk natuurlijk (logisch...). Enfin, perfect dat ze daar iets aan willen doen. Dus hoppa we regelen een filter in samenwerken met het KLPD. Ministertje erbij die de boel het start sein geeft. TOP!.... al die publiciteit.

Want zoals we van KPN inmiddels weten is Deep Packet Inspection helemaal niet toegestaan. Hoe lossen ze dat op bij LeaseWeb? De klant mag zelf bepalen of het filter aan staat of niet. Goed, nu zijn er vast vele pedo's die zeggen dat ze geen pedo zijn, maar een filter aan zetten om hun eigen bestanden te laten controleren. Nee, mijn instinct zegt dat een beetje pedo dat toch niet zo snel zal doen.

Websites waarbij het de bedoeling is kinderporno te plaatsen zullen dus sowieso niet slachtoffer van dit filter worden. Wie kunnen we hier dan wel mee opsporen?
Dat zullen mogelijk pubers zijn die kinderporno op websites pleuren om mensen te shockeren, zoals dat een gewoonte is op 4chan bijvoorbeeld. Daarbij houden 14 jarige pubers ook wel van plaatjes van de wat jongere meisjes, immers, meestal valt de mens op leeftijd genoten en niet altijd op GILFs. Papa van deze pubers kan dus nog wel eens de lul worden.
Verder is het natuurlijk wel handig voor bijvoorbeeld image upload sites die niet gedient zijn van dit soort plaatjes, maar dat is puur uit eigen belang. Niet omdat ze zo graag zien dat die pedo's gepakt worden.


De techniek erachter.
De exacte techniek is mij niet bekend. Maar wat ik begrijp is dat er een hash van een geupload plaatje wordt gemaakt, deze hash wordt richting een server van het KLPD gestuurd. Welke vervolgens antwoordt met JA, het is kinderporno. Of NEE, dit plaatje is mij niet bekend. Wanneer het antwoord JA is wordt ook nog even het ip-adres van de uploader door gestuurd naar Fox-IT, oftewel: meldpuntcybercrime.nl (zie mijn eerdere blogs).
Uit bovenstaande omschrijving kan ik alleen maar op maken dat het HTTP verkeer 'afgeluisterd' wordt. En daar zit dan al gelijk weer een zwakte. Immers, pedo's zijn heul handig met internet en die sturen hun plaatjes natuurlijk niet via HTTP. Daar hebben ze allerlei andere truckjes voor, zoals bijvoorbeeld HTTPS.
Uit het feit dat het ip-adres direct naar het meldpuntcybercrime.nl mee wordt gestuurd maak ik op dat het HTTP verkeer afgeluisterd wordt, immers uit zo'n pakketje kan je het ip-adres halen. Als dit zou gebeuren nadat bestanden verzonden via HTTPS en dus ontsleuteld heb je het gekoppelde ip-adres er niet meer bij. Kan wel uiteraard, maar dan moet je een ingewikkelde constructie opbouwen, een waarvan ik denk dat de klanten van LeaseWeb zeggen: "laat maar zitten dat filter".

Neemt niet weg dat dit natuurlijk een mooi initiatief is. Perfect idee, database die bij KLPD draait, HTTP request en je weet meteen of een plaatje bekend is bij politie of niet. Eigenlijk zouden ze sowieso een programma moeten opstarten om deze techniek bij meerdere bedrijven toe te passen. Hopen dat het ip-adres van de database server niet uitlekt, de server niet gehacked wordt, nog dat pedo's er op welke manier dan ook hun voordeel mee kunnen doen.
Jammer is het gewoon dat de Nederlandse wet het op dit moment niet toestaat dit soort projecten op grote schaal te implementeren.

zaterdag 3 september 2011

Karma voor de Nederlandse overheid #DigiNotar

Even een in mijn ogen heerlijk blogje over het gevoerde beleid van de overheid.

24 augustus heeft de Nederlandse overheid 5 hackers veroordeelt tot voorwaardelijke gevangenis straffen van 3 maanden voorwaardelijk. Hiermee zorgende dat deze 5 personen vrijwel zeker nooit meer terecht kunnen in de security/beveiliging wereld evenals werken voor de overheid. Immers zijn er strikte screenings procedures welke door gespecialiseerde bedrijven worden uitgevoerd en een eventueel strafblad komt hierbij altijd naar boven. Een punt achter de carrière in de security/beveiliging industrie of een emigratie naar een ander land is de enige optie die de overheid hen biedt.
Opmerkelijk is het dan ook wel te noemen dat juist 1 van deze hackers met het eerste Nederlandse berichtje over de vervalste certificaten van *.google.com komt.
Hackers zien blijkbaar wel direct in welk gevaar bepaalde dingen vormen. Daar kan de overheid zelf nog wat van leren...

Snijdt de overheid zichzelf nu niet in de vingers? Karma?