11/15/2007

Vlaamse overheid publiceert nog altijd formulieren met metadata

door mailforlen: Dinsdag 31 Oktober 2006, 9:25 archief be.theinquirer.net

UPDATE NOVE 2007  WE HEBBEN DE TEST OPNIEUW GEDAAN EN HET IS NOT ALTIJD ZO DAT TEVEEL METADATA OP DE FORMULIEREN STAAT

In metadata van documenten kan je lezen wie het document wanneer heeft gemaakt en wanneer het werd aangepast. Tevens bevat het document soms een Unique Identifiier (een nummer eigen aan het document) waardoor het document getraced kan worden op basis daarvan.

Het is met grote trots dat Minister Bourgeois de portaal van de formulieren van de Vlaamse Overheid presenteerde. Portaal is echter een groot woord voor een verzameling links naar alle formulieren die op het steeds grotere oerwoud van websites van de Vlaamse Overheid staan. Er gaat immers geen week voorbij of daar wordt een nieuwe website van, voor of met de Vlaamse Overheid gelanceerd of van onder het stof gehaald. En op veel van die websites staan formulieren in alle vormen en formaten.

Het is direct duidelijk dat dit slechts een minimale aanpak is want de formulieren staan er in de meest verschillende formaten (en zelden in meerdere formaten van hetzelfde document) en zelfs de links worden op een verschillende manier aangemaakt (sommige kan je direct downloaden, terwijl andere eerst een pagina van de website openen).

Eerlijkheidshalve gaf Minister Bourgeois toe dat slechts een minimaal aantal formulieren toegankelijkheidsvriendelijk waren en dat dit moest verbeteren.

We zouden echter theinquirer niet zijn als we niet eens onder de moterkap gingen kijken. Met het gratis tooltje scrubber kan je immers bij Worddocumenten metadata snel ontdekken. Je zou natuurlijk verwachten dat formulieren en documenten op het internet gekuisd zouden zijn van dergelijke informatie. Maar niets is minder waar. Sommige websites hebben wel sommige meta-informatie verwijderd, maar er is hier geen algemene controle geweest. Dit betekent dat men in andere belangrijker documenten misschien nog andere informatie kan vinden die dan wel het niveau van het voorbeeld zullen overstijgen. Aangezien deze informatie samen met het document wordt meegeleverd is het publiek. Sommige persoonsgerichte informatie werd evenwel door ons vervangen door xxxx.

Het soort informatie dat gepubliceerd werd bij sommige formulieren kan je hieronder vinden

DOC SCRUBBER v1.1
Analysis Performed at 16:05:56 on 30/10/2006
File Analyzed: xxxxx.doc

Title: Elegante brief
Author: xxxxxxxxxxx
Company: Microsoft Corporation
Keywords:
Subject:
Comments:
Template Used: Elegante brief
Application: Microsoft Word 8.0
Created: 5/10/2004 14:57:00
Last Saved: 5/10/2004 14:57:00
Last Edited By: DPO0703
Last Printed: 23/11/2001 8:17:00
Page Count: 1
Word Count: 895
Character Count: 5104
Revision Count: 2
Total Editing Time (minutes): 0

Unique Identifier (GUID): {22EAE91A-D748-11D5-B6BF-0000E88D77C3}
Recent Hyperlinks List: Not Found.

Revision Log: Found 10 hidden revision(s)
"xxxxxxx" edited file: "C:TEMPAutoHerstel-versie van aanvraag pakket lassen.asd"
"xxxxxxxxx" edited file: "C:WINNTProfilesESF003Bureaubladaanvraag pakket lassen.doc"
"xxxxxxxxxx" edited file: "C:TEMPAutoHerstel-versie van aanvraag pakket lassen.asd"
"xxxxxxxxx" edited file: "C:TEMPAutoHerstel-versie van aanvraag pakket lassen.asd"
"xxxxxxxxx" edited file: "C:TEMPAutoHerstel-versie van aanvraag pakket lassen.asd"
"xxxxxxxxx" edited file: "C:TEMPAutoHerstel-versie van aanvraag pakket lassen.asd"
"xxxxxxxxxxx" edited file: "C:TEMPAutoHerstel-versie van aanvraag pakket lassen.asd"
"xxxxx2" edited file: "G:BO2VSMITSWalteraanvraag pakket lassen.doc"
"XXXXXX3" edited file: "bru000center01cOND_DBOPublicmodulariseringprojectgroepenmechatronicadocumentenmech-elekaanvraag pakket lassen.doc"
"XXXXX4" edited file: "BRU000CENTER02CINTERDPTFormulierenDirect0 DOCUMENTEN1458.doc"

Sommige documenten zoals deze hieronder bleken iets beter gekuisd en daar zag je niet de structuur van de pc zoals hierboven. Je leest daar immers dat documenten op de C staan en via de G waarschijnlijk gedeeld of getransporteerd worden. Tevens heb je al de naam van de profile van een gebruiker van een pc waardoor je bij een targeted aanval (die gericht zijn op heel specifieke personen en diensten en steeds meer voorkomen) nog enkel een emailadres nodig hebt. Voor de installer van je malware heb je al voldoende specifieke informatie. Targeted attacks zijn trouwens moeilijker tegen te houden met algemene antiviruscontroles.

DOC SCRUBBER v1.1
Analysis Performed at 16:07:07 on 30/10/2006
File Analyzed: xxxxx.doc

Title: Titel
Author: xxxxxxx
Company:
Keywords:
Subject:
Comments:
Template Used: Normal.dot
Application: Microsoft Word 10.0
Created: 23/05/2006 8:45:00
Last Saved: 23/05/2006 8:45:00
Last Edited By: xxxxxx
Last Printed: 7/09/2004 8:22:00
Page Count: 1
Word Count: 1820
Character Count: 10010
Revision Count: 2
Total Editing Time (minutes): 0

Unique Identifier (GUID): Not Found.
Recent Hyperlinks List:
Hyperlink #1: mailto:xxxxxxxxx
Hyperlink #2: mailto:xxxxxxxxx
Hyperlink #3: xxxxxxxxx

Revision Log: None Found.

De enige manier voor de Vlaamse Overheid om dit te vermijden is door alle formulieren op 1 centrale server te bewaren en de verschillende websites daarnaar te laten linken (ipv omgekeerd). Op deze manier kan je centraal niet alleen zorgen voor veiligheidscontroles, maar tevens alle formulieren leveren in verschillende formaten en misschien kan men dan zelfs via vb. de digitale identiteitskaart vele formulieren invullen zonder steeds dezelfde informatie opnieuw te moeten ingeven. Toch voor de gratis publicaties.

Permalink | |  Print |  Facebook | | | | Pin it! |

Test uw (open) proxy vooraleer u begint

door mailforlen: Vrijdag 10 November 2006, 1:13 archief be.theinquirer.net

In theorie lijkt het erop alsof een Open Proxy een server is die je toelaat om anoniem te surfen. Het verhaal is echter veel complexer dan dat en overigens dient men ermee rekening te houden dat een Belgische Open Proxy haar logfies zal moeten afgeven aan politionele diensten.

Een proxy laat je toe om je computer iets beter verborgen te houden van anderen omdat je zo zonder je eigen IP adres op een site komt en omdat je zo ook geen scripts, cookies en andere installaties op jouw computer krijgt. Het grote nadeel is dat als de proxy daar niet op voorzien is, het je traffiek sterk zal verminderen.

Men dient er echter ook mee rekening te houden dat je surfgedrag op een andere computer staat waarvan je niet altijd weet wie ze beheert. Het kan tevens ook zijn dat de open proxy niet met die bedoeling werd opgezet en dus een verkeerde configuratie is. Na verloop van tijd kan de betrokkene dan klacht neerleggen en de logfiles overmaken aan politionele diensten die het dan in het kader van hetzij welk onderzoek zouden kunnen gebruiken. Het is tevens gevaarlijk als belgische webmaster om je proxy open te laten staan voor de rest van het internet omdat je hiermee traffiek aantrekt die strafbaar kan zijn. Tevens kan de vloed van binnenkomende (en weer vertrekkende) traffiek je eigen traffiek sterk verstoren. Dit is zeker het geval indien je gebruikt wordt door een botnet om aan klikfraude te doen (duizenden sites bezoeken permanent dezelfde serie commerciële sites opnieuw).

Dus zelfs als het idealiter is om een proxie te gebruiken dicht bij huis zodat je je snelheid behoudt, kan je dit om veiligheidsredenen misschien slechts doen indien je proxy software op je eigen computer installeert om daar al te filteren (met de nodige vertraging). Zoals hier http://www.spszone.com/anguest/buy.htm

Het is wel interessant voor bepaalde sites of beperkte periodes. Niet alle proxy servers zijn trouwens even anoniem. Je kan dit hier testen.

Webmasters van Belgische sites kunnen zichzelf zoeken als proxy in de gespecialiseerde sites of het ip adres van hun range of servers te tikken in Google gevolgd door proxy. Ze kunnen hun eigen proxies ook testen met deze webservices http://spamlinks.net/prevent-secure-proxy-test.htm De proxy kan immers voor heel wat illegale activiteiten gebruikt worden en als je in een blacklist terecht komt dan is het heel moeilijk om daar uit te geraken.

Permalink | |  Print |  Facebook | | | | Pin it! |

Illegale Belgische medicijnsites worden niet geblokkeerd

door mailforlen: Maandag 30 Oktober 2006, 9:59 archief be.theinquirer.net

update november 2007 dit is nog altijd niet veranderd

Het is eenvoudig om met een paar klikken populaire medicijnen zonder doktersvoorschrift te kopen op het internet, maar of je er ook beter van wordt en er een besparing mee doet is een andere vraag. Met de massale verdeling van Belgische gratis internetdomeinen zijn het aantal apotheek- en medicijnsites hier enorm toegenomen.

Volgens de Europese wetgeving kan de Belgische overheid zich hier niet tegen verzetten, maar ze kan wel regels opleggen. De regels die hier gelden zijn dat het om medicijnen moet gaan die zonder doktersvoorschrift kunnen worden bekomen (en dit zijn er in België minder dan elders) en dat de online verkoper verbonden moet zijn aan een echte apother in België. (vb http://www.pharmacy-berlaymont.be/FR/main/index.htm)

Maar de Belgische overheid staat niet helemaal machteloos tegenover de massa internationale sites die op het internet medicijnen verkopen. Ze kan immers een beroep doen op het Koninklijk Besluit van 7 mei 2003 waarbij de Directie Controle en Bemiddeling van de FOD Economie een werkelijke bevoegdheid heeft gekregen om in fine vanuit België de toegang tot sites te versperren die het algemeen belang in België ernstig zouden schaden
(antwoord op parlementaire vraag) Maar men heeft daar nog bijna geen gebruik van gemaakt.

Sinds de gratis verdeling van Belgische websites zijn er nu echter ook Belgische (.be) websites die medicijnen verkopen zonder aan de voorwaarden te voldoen. Dit begint met de spamblogs en de pseudo-search engines die je doorverwijzen naar internationale sites waarvan de ene al minder geloofwaardig is dan de andere.
Het betreft dan enerzijds medicijnsites zoals onder andere http://phentermine4you.be/cheapest-online-pharmacy-phentermine.shtml, maar je vindt dergelijke sites voor hetzij welke 'medicijn'.
Tevens zijn er nu ook Belgische versies van globale online winkels van dergelijke 'medicijnen' zoals onlinepharm.be en vb. ipharmacy.be

Deze zouden op basis van de bovenstaande wetgeving van het Belgische web kunnen worden gehaald - al was het om de geaggregeerde Belgische apotheek- en gezondheidssites die wel aan deze regels voldoen een betere zichtbaarheid te kunnen geven.

Bronnen

http://www.nieuwsblad.be/Article/Detail.aspx?articleID=go6ra7jg interessant artikel

https://portal.health.fgov.be/pls/portal/url/ITEM/FD07780... Een gids van het ministerie (Word formaat)

Een interessant overzichtje

Indien u klachten hebt, kunt u hier terecht

FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu
Directoraat-generaal Geneesmiddelen
Bischoffsheimlaan 33
1000 Brussel
Tel: + 32 (0)2 227 55 44
Fax: + 32 (0)2 227 56 46
E-mail: info.dgg@health.fgov.be

Permalink | |  Print |  Facebook | | | | Pin it! |

11/14/2007

update Staatsbladclip website kan schade toebrengen aan uw computer

Het is Google die het zegt

de website is niet het staatsblad maar wordt door velen in de administraties gebruikt alsof het het staatsblad is omdat deze site zoveel gemakkelijker is dan de officiële website van het staatsblad zelf, waarover we maar even zwijgen.

Het is een dienst van Telenet  "ter illustratie van zijn Internet-gebaseerde betrouwbare opslagdiensten. Deze diensten maken gebruik van TrustClips: gegarandeerd onbreekbare Internet referenties naar bestanden die opgeslagen zijn in het beveiligd data center van Telenet"

Het Belgisch Staatsblad dagelijks in uw mailbox - overzichtelijk ...

Deze site kan schade toebrengen aan uw computer.
Dagelijks alle wetten, decreten, besluiten, verdragen, benoemingen en arresten uit het Belgisch Staatsblad in uw mailbox. Doorzoek het Belgisch Staatsblad ...
www.staatsbladclip.be/ -
Het toont nogmaals aan waarom je goed moet opletten hoe je in Google verschijnt want de stopbadware.org waar Google op vertrouwt om aan te duiden welke sites gevaarlijk zijn voor de gewone gebruikers, kent er al langer weinig van. Het staatsblad is trouwens niet de enige site die hierdoor genekt wordt. Vergeet trouwens niet dat buiten de VS Google in veel landen tot 80% van de zoektraffiek vertegenwoordigt.

Permalink | |  Print |  Facebook | | | | Pin it! |

Gratis website tellertjes wijzen hackers de weg

door mailforlen: Vrijdag 6 Oktober 2006, 7:51  archief be.theinquirer.net

De eerste regel van beveiliging is dat je zo weinig mogelijk informatie publiek maakt. Hoe minder hoe beter en als die informatie dan nog fout is of regelmatig wijzigt is het nog beter. Maar nogal wat trackers en tellers bevatten teveel informatie die kan gebruikt worden tegen de betreffende sites of bezoekers.

Het viel me op bij het bekijken van de traffiek op sommige tellertjes dat daar nogal wat informatie stond waarvoor je normaal eerst een scan nodig had. Het was bijna een sniffer. Je vond er op sommige het IP adres, tevens het soort pc en de browser samen met het domeinnaam. Dit laatste heb je niet echt nodig, want ieder adres vermelding van de ISP kan een vast aanvalbaar IP adres zijn.

Sommige tellertjes zijn beter en verstoppen het ip-adres of maken het enkel zichtbaar indien de eigenaar van de site zich aanlogt. Andere geven het IP adres afzonderlijk van hetzij welke andere informatie.

De gratis tellertjes die teveel informatie publiekelijk publiceren zijn de volgende http://www.jouwstats.nl - http://viewstat.hotstat.nl - http://stats.go-west.nl - http://webstats.netlogics.nl - http://www.i-mining.nl - http://www.ipstat.com - http://extremetracking.com - http://www.cqcounter.com - http://www.belstat.be - http://www.onestat.com

Om je een idee te geven van wat je hier kan vinden.(We hebben voor de veiligheid van de betrokkenen sommige delen van hun adres vervangen door xxx. Indien je op zoek bent naar oude windowsservers interesseren vaste IP adressen je vast en zeker en dan vindt je vb 82.xxx.46.23 (MS Internet Explorer 6 Windows 2000). Als je zoek bent naar een proxyserver vind je die hier : 'proxy.xxxx.nl (MS Internet Explorer 6 Windows XP)' of met deze google hack tegen een tellertje (allinurl: site:http://www.cqcounter.com/?sts,l20proxy). Je kan ook zo mailservers vinden zoals deze mail.niexxxxxxrgh.nl (MS Internet Explorer 6 Windows 2000).

Je kan ook IP-adressen vinden waarme je kan scannen rond bepaalde netwerken want alle pc's op een netwerk achter een firewall gebruiken meestal 1 vast IP adress om op het internet te surfen. Je kan interesse hebben voor een school of universiteit omdat die soms minder goed beveiligd zijn of hun gebruikers en bezoekers teveel vrijheid laten. (vb 134.58.253.114 BE - katholieke universiteit leuven ) Je voorkeur kan uitgaan naar het Belgische netwerk voor ministeries en onderzoeksinstellingen (vb 193.191.138.240 BE - belnet) of naar specifieke ministeries (193.191.211.132 BE - federaal ministerie van tewerkstelling en arbeid ) en internationale instellingen (158.169.131.14 BE - commission europeenne) of bedrijven (194.29.98.144 ZA - network of electrabel ).

Met een beetje geluk kan je ook het IP adres vinden van de persoon die zijn blog of site aanpast en dan weet je waar je kan beginnen als je de site of pc wilt overnemen.

Indien u ervan uit gaat dat al deze gepubliceerde ip adressen optimaal beveiligd zijn, dan gelooft u nog in sinterklaas, sprookjes, spam en ministeriële proefballonnetjes.

Het is ook op een andere manier interessant. Als je het Ip adres van een dergelijk netwerk of een onderdeel ervan in Google intikt, dan kom je soms rare dingen tegen zoals vb. een anonieme persoon van de Nationale bank (193.53.59.162 BE - national bank of belgium) die op een investeringsforum commentaar plaatst over aandelen..... Dit is immers het nadeel van je personeel het internet vrij te laten gebruiken.

Wat kan je hiertegen doen ?

Het internet staat vol met dergelijke sniffers, die niet altijd publiekelijk zijn. In eerste instantie zou men toch 2 maal moeten nadenken vooraleer men deze informatie publiekelijk beschikbaar maakt. In tweede instantie zouden Internet Providers zoals Belgacom en Telenet hun klanten achter proxies moeten steken die de link tussen IP adres en klant verbreken en alle overbodige informatie (browser, OS, cookies, javascript, ....) eruit filteren. Ten derde kan je zelf proxies gebruiken.

Permalink | |  Print |  Facebook | | | | Pin it! |

update Nederlandse spionage bij 'ITsecurity gebuisd' persbureau

Een leuk en interessant verhaaltje waar de pers van lijkt te smullen, maar waar securitymensen een aantal lessen uit zouden moeten trekken.

Het verhaaltje gaat over twee ex-journalisten die voor een minister gaan werken (gebeurt wel meer dat heen en overweer geloop zonder veel deontologische problemen....) en dan hun oude paswoorden gebruiken om vanop afstand in te loggen op het systeem en te controleren of de artikels wel werden aangepast zoals beloofd werd. Ze zeggen dat ze niet de intentie hadden om meer te doen en dat ze er niet bij hadden nagedacht (dat gebeurt wel meer ). Op basis van de informatie - nogal verspreid en verward soms- kan men volgende eerste bedenkingen maken.

Het woord aansprakelijk is een zwaar geladen term die hier niet stricto senso juridisch moet gebruikt worden vandaar dat we het gewijzigd hebben in nalatigheid. Zaken die hadden moeten gebeuren, zijn niet gebeurd en dus zijn zaken gebeurd die normaal niet hadden moeten gebeuren.

Ten eerste is het persagentschap ook erg nalatig want ze heeft de paswoorden niet gewijzigd na het vertrek van het personeelslid en dit op een systeem dat van buitenaf beschikbaar was ? Het is natuurlijk een groot administratief probleem maar de veiligheidsconsequenties zijn dan ook enorm.

Ten tweede is het persagentschap ook erg nalatig omdat het tevens geen goede logging en monitoring bijhoudt omdat deze praktijk maanden heeft geduurd. Men had dit al eerder moeten gezien hebben, zeker op een systeem dat van buiten inlogt.

Ten derde is het persagentschap ook erg nalatig omdat het op dergelijke belangrijke documenten geen bijkomende gepersonaliseerde bescherming had gezet zodat de collega's zonder rechten op dat document er niet zomaar aan zouden kunnen. Dit is vooral belangrijk indien de twee voorafgaande monitoring en beschermingsmethoden administratieve en praktische problemen of vertragingen zouden kennen.

In juridische termen zou zoiets kunnen genoemd worden nalatigheid, gebrek aan goed beheer van gegevens zoals van een huisvader verwacht wordt..... maar hiervoor moet je wel over alle technische details beschikken en dat hebben we hier dus niet.

De ex-journalisten zijn sukkels omdat ze niet beseffen dat alles wat je doet ergens gelogd wordt. Binnen je netwerk het gevoel en het besef creeëren dat alles wat je doet gelogd wordt (en bepaalde zaken gemonitored) beschermt de mensen ook tegen dergelijke onozelheden omdat ze weten dat dit op andere netwerken ook wel het geval zal zijn. Niemand zegt het graag, niemand weet het graag, maar van alles wat je doet blijft wel ergens normaal een spoor na.

Het is natuurlijk ook een bewijs van de 'bij ons gebeurt zoiets niet' mentaliteit die wel in meer bedrijven en beslissingscentra heerst. Better be prepared than sorry. Misschien was er ergens een ITsec guy in dat persbureau dat al maanden-jaren om meer security vroeg. We wensen hem dan ook alle success toe met de revalorisatie van zijn job.

Permalink | |  Print |  Facebook | | | | Pin it! |

De beste GRATIS security-hacking tool is Belgisch

door mailforlen: Woensdag 20 September 2006, 1:02 archief be.theinquirer.net

Men zal misschien eerst denken aan enkele grote opensource projecten, maar deze software is zo geweldig omdat het zoveel functies omvat in 1 interface en slechts 25MB neemt en op windows draait.

Hoeveel keer lopen de securitymensen niet rond met een laptop of usb stick of dvd met tientallen verschillende gratis tools (soms honderden MB's met een linux erbij) om security analyses te doen of gebruiken ze veel te dure software.

En dan kom je via forums op de hype van het moment. Deze tool is zelfs met alle gebreken iets dat het werk van securitymensen zoveel gemakkelijker maakt. Met deze 'Net tools' kan je immers zo maar eventjes min of meer 150 verschillende analysetools gebruiken (waarvan je sommige juridisch niet tegen andere sites mag gebruiken in België). De andere emailbombing tools op de site vallen daar ook onder. Het is tevens spijtig dat de help via IRC moet gebeuren want dit is securitywise niet aangeraden. Het is niet bedoeld voor beginnelingen en veronderstelt toch een zekere kennis van de verschillende aparte tools.

Het is freeware (geen open source) maar hopelijk kan het een echt groter platform worden voor connecties naar andere security tools en online opzoekservices/rss feeds. Er zijn geen comptabiliteitsproblemen met java want het is in .net geschreven.

Deze 21 jarige student (zoon van een Iraanse vluchtelinge) heeft hiermee een mijlpaal gezet waarop we fier kunnen zijn en we kunnen hem dankbaar zijn dat het gratis is. Hopelijk voor ons wordt hij niet te snel weggekocht.

Het downloaden van deze tool is op eigen verantwoordelijkheid en kan door uw antivirus of netwerkbeheerder niet aanvaard worden. U mag deze tool enkel gebruiken tegen andere machines indien u daar de uitdrukkelijke toestemming voor hebt van hun eigenaar of dit uitdrukkelijk tot uw job behoort.

http://users.pandora.be/ahmadi/ 

Permalink | |  Print |  Facebook | | | | Pin it! |

11/13/2007

Google hacking voor peuters

 door mailforlen: Woensdag 20 September 2006, 1:37 uit archief be.theinquirer.net

We gaan Google niet hacken, maar via Google kan je wel nagaan of administrator pagina's wel goed beveiligd zijn. Dit wil zeggen of Google niet gewoon de login is voorbijgestoken......

Wat zou u denken van pagina's met alle scripts van de website ?
Wat zou u denken van pagina's met alle paswoorden van de website ?
Wat zou u denken van pagina's met alle inhoudsmappen van de website ?
Wat zou u denken van pagina's met alle licentienummers ?

Dit alles kan je vinden met enkele gewone opdrachten via Google en u zal verbaasd staan wat we allemaal kunnen - konden vinden. Sommige operatoren van Belgische websites zijn ondertussen reeds gewaarschuwd en hebben de nodige maatregelen genomen.

Ga naar Google advanced Search
beperk de zoekopdrachten tot het domein waarvoor je verantwoordelijk bent (vb appeltjes.be)
vul niets in en vraag alle pagina's. Dit geeft u een overzicht van alle pagina's die Google kent van deze site.

Indien u teveel pagina's hebt, dan gebruikt u woorden in de links of pagina's van de website waarvoor u verantwoordelijk bent en waarvan u NIET wilt dat ze in Google staan. Indien ik vb op mijn site na de login pagina's heb waar in de url staat 'yoursite' dan zoek ik op yoursite.

Mijn 2 favourieten
allinurl: "admin" site:.be -- de .be dient u te vervangen door uw site en de admin door de file die u niet wenst te zien in Google resultaten
allinurl: ".exe" site:.be -- de .be dient u te vervangen door uw site en de exe door de file die u niet wenst te zien in Google resultaten

Permalink | |  Print |  Facebook | | | | Pin it! |

De Nar en de Prinses (Belgian Hacking)

door mailforlen: Vrijdag 28 Juli 2006, (archief be.theinquirer.net)

Herinnert u ze nog ? Redattack en Gigabyte. De nar die superhacker van België wou worden en in zijn eigen web verstrikt geraakte en Gigabyte de vlijtige prinses die zoveel kode schreef dat ze er maar virussen mee schreef en ook in het juridisch web verstrikt geraakte. (Hacking in Belgium part 1) Version 27 juli 2006 - ongoing story

Het is weer een tijdje geleden, maar in 1999-2000 waren de belgische en de internationale (computer)pers regelmatig gevuld met artikels over Redattack (alias Frans Devaere) en Gigabyte. Het contrast tussen beide kon niet groter zijn. Redattack (24 jaar) zocht direct de media op met potsierlijke verklaringen over de algehele vervuiling van het internet met kinderporno ("EERSTE WERELDWIJDE STICHTING TEGEN INTERNETVERVUILING!!!") en de hackablility van centrale domeinservers, electriciteitscentrales en banken (zonder het bewijs te leveren dat dit meer was dan een paar paswoordtruuks en scriptkiddie tools).

Gigabyte was een jongedame die sinds haar 6 jaar met computerkode speelde ipv barbies en sinds haar 14e deel uitmaakte van het virusteam Metaphase VX ipv de balletklas. Ze was de belgische Clijsters van de virusprogrammering, maar zoals sommige pubers ging ze te ver in haar experimenten en was ze zich niet altijd bewust van de enorme machine die overheid en bedrijfswereld in gang kunnen zetten als zij iets of iemand het zwijgen willen opleggen.

Dit gebeurde toen ze de nooit tegengesproken internetsecurity guru Cluley.van Sophos (het soort mensen dat door hun permanente aanwezigheid in de media soms vergeten hoe relatief it-wijsheid is) publiekelijk aanviel en Microsoft met de eerste sharpeikode virus publiekelijk aan de lachpaal nagelde. Microsoft had immers verklaard dat men voor de C#-taal, 'Sharpei' geen virus kon schrijven. Vandaag zou niemand nog dergelijke verklaringen durven af te leggen, maar toen dacht men dat veilige kode mogelijk was. Dat ze deze virussen overigens op een website zette (coderz.net, vandaag in handen van domeintraffikanten en popupblasters), maakte de zaak nog erger. Vandaag bestaan er nog een aantal dergelijke websites die we hier om juridische redenen niet kunnen vermelden. (zoekterm is 'virii collection')

Met Redattack ging het ondertussen van kwaad tot erger en op het einde werd hij er al dan niet terecht van beschuldigd (en voor veroordeeld) alles en nog wat te hebben binnengebroken. Hij ontkende soms in alle toonaarden en zei dat anderen zijn naam misbruikten, dat zijn computer gehacked was (nou ja de server van zijn site was een NT4....) maar registreerde wel zijn naam als handelsmerk en probeerde er geld uit te slaan. Op zijn ondertussen verdwenen website redattack.be zou hij een internationale campagne beginnen. De hoon van het echte hackersmilieu, waar gigabyte sinds lang het respect had verdiend, en van de IT pers, die in tegenstelling tot de populaire pers wel het onderscheid wist te maken tussen hype (FUD vandaag genoemd) en IT kennis kwam hem wel duur te staan. Gigabyte schreef zelfs een virus voor hem. Hij probeerde een eigen beveiligingsfirma comset.be op te richten, maar die is ook verdwenen. De naam Degraeve brengt dan ook op het internet geen contactgegevens meer op. Een virtueel spook uit het verleden, een schaduw nog van zichzelf.

Redattack was er door alle mediaheisa op de vtm en in de populaire pers de aanleiding voor dat professoren, ministers en politie-officieren de tijd en moed vonden voor het schrijven en stemmen van een digitale paniekwet in 2000 die dit allemaal zou heel erg strafbaar maken. Door deze wet is het voor iedere hacker, scanner, scriptkiddie redelijk gevaarlijk om sites op de eigen nationale bodem nog aan te vallen (of hiervoor geen zombies of proxies te gebruiken). Gigabyte werd op valentijnsdag 2004 in beschuldiging gesteld op basis van deze wet en wacht op haar proces dat haar een enorme boete en vele jaren gevangenisstraf kan opleveren. Het is nog niet duidelijk wanneer dit proces zou plaatsvinden.

Aan de ene kant heb ik wel zin om haar te vragen hoe ze het stelt en wat ze doet, maar aan de andere kant denk ik dat we haar best even met rust laten en hopen dat ze ondertussen interessant werk heeft, nog met kode kan prutsen voor een echte werkgever en zo kan hopen dat men van deze komende rechtszaak geen publiekelijke voorbeeldszaak gaat maken waar ze harder voor gestraft zal worden dan in feite zou moeten (een alternatieve straf is hier meer op zijn plaats indien men toch absoluut wilt blijven vervolgen). Indien ze vandaag hetzelfde zou gedaan hebben, zou ze tot 25.000 Euro per nieuw virus hebben gekregen van respectabele securityfirma's en haar eventuele boete zou peanuts zijn in verhouding met haar salaris. Vandaag zou ze kunnen gebruik gemaakt hebben van de kennisgevingsprocedures bij o.a. Microsoft en zou ze bedankt geweest zijn door Microsoft voor haar 'ontdekkingen'. Vandaag zou ze de wereld rondreizen en lezingen geven en boeken schrijven over hoe eenvoudig het is om in die miljoenen tekens kode onvoorspelbare dingen te zien of te veroorzaken.

Enkele interessante links

http://www.nwo.net/osall/News/The_Belgians/the_belgians.html

http://www.g4tv.com/techtvvault/features/37399/Female_Hacker_Packs_Punch.html
http://www.g4tv.com/techtvvault/features/43290/Belgian_Law_Bites_Gigabyte.html?detectflash=false&

Permalink | |  Print |  Facebook | | | | Pin it! |

Open DNS structuur van belgisch internet is zwaard van Damocles

door mailforlen: Zaterdag 29 Juli 2006, 11:07 (archief be.theinquirer.net)

De Open DNS servers op het Belgische Internet geven aanvallers de mogelijkheid om op een zeer eenvoudige en goedkope wijze specifieke sites of onderdelen van het belgische internet volledig uit te schakelen of te verstoren of de traffiek af te leiden naar hun eigen servers. Online Controletool aanwezig.(Safe Belgisch Internet 1 ) ongoing story - version2 - 30 juli 2006

Het CERT (het centrale veiligheidstoezichtcentrum van het Internet) heeft verleden jaar gewaarschuwd dat de ISP's en de belangrijke websites op het Internet hun DNS server moeten aanpassen om te voorkomen dat grote aanvallen (zoals op de centrale DNS servers van het hele internet) op onderdelen van het internet of op heel specifieke sites zoals banken niet meer zo eenvoudig zouden zijn. Een studie toonde immers aan dat 70% van alle DNS servers nog open stond.

Volgens enkele opzoekingen via de hieronder aanwezige tool hebben in België veel belangrijke ISP's, overheidsdiensten (tax on web en vb senaat) en commerciële sites hun DNS nog altijd niet beveiligd tegen dit soort aanvallen. Ze kunnen ook een onderdeel worden van dergelijke aanvallen. In de wereldwijde studie staan volgende belgische diensten aangeduid als open scarlet - EVONET - NRB-ISP - Geotronics - INterxion - Portima assurnet - hostit belgium - kangaroot networks

Indien een DNS server open staat laat hij recursive opzoekingen toe. Normaal gezien geeft een DNS enkel een vertaling van een webadres vb www.zot.com naar een server vb 194.15.43.3 waarvoor hij verantwoordelijk is. Voor alle andere verwijst hij door naar de DNS server die voor dat domein verantwoordelijk is. Bij een open DNS server mag iedereen opvragingen doen voor alle domeinen en kan hij dus gemakkelijk gebruikt worden voor een grote aanval op een andere server. Indien deze aanval dan nog handig gecodeerd is dan kan ze - zelfs zonder behulp van een netwerk van zombies-computers (gehackte computers) - zodanige vormen aannemen dat de traffiek zo groot wordt dat internetverkeer steeds minder mogelijk wordt.

Men kan immers met spoofing (vervalsen van herkomst) het doen lijken alsof de server die je wenst aan te vallen de DNS opvragingen doet en dus de enorme hoeveelheid antwoorden moet ontvangen. Door speciale codering kan je een datapakketje van 70 bytes een datapakket van 4.000 bytes laten terugsturen naar dat adres wat kan leiden tot enorme traffiek. Bij een grote DNS aanval op de centrale infrastructuur van het internet begin 2006 had men met 2 gigabites per seconde DNS aanvalstraffiek af te rekenen. Dit kan het internetverkeer op zijn minst sterk verstoren.

Het grootste probleem is dat je DNS traffiek niet kan blokkeren omdat je anders ook normale traffiek zult onderbreken en omdat mensen het niet meer gewoon zijn om in ip adressen te surfen ipv domeinnamen en ze deze ip adressen niet meer kennen.

Dit is zeker niet het enige probleem en de enige aanval met DNS traffiek, maar het is momenteel het meest dringende. Net zoals in het begin van internet mailservers open stonden om alle mail sneller te laten gaan maar dan werden gesloten omdat ze enkel nog spam bedienden, moeten open DNS servers afgesloten worden omdat ze een handige tool zouden worden voor oplichters, afpersers en zombienetwerken. Iemand of een instelling moet hiervoor de verantwoordelijkheid krijgen en we kunnen niet wachten tot DNSsec of de nieuwe (maar dure) DNS apparaten oplossingen kunnen bieden.

Indien iedere netwerkmanager zijn eigen DNS controleert of u voor u ergens klant bij wordt en de nodige correcties laat aanbrengen dan staan we al een stuk verder in afwachting van een georganiseerde officiële opruimaktie.

Hoe te gebruiken ?
U vult de naam in van een domein in dit formaat vb skynet.be en klikt op DNS report en dan krijgt u in een nieuw scherm een serie antwoorden met uitleg en kleuren die het belang van de misconfiguraties van uw DNS zullen onderlijnen.





Goede DNS informatie
* RFC Text 1035
* goede serie links
* mailinglist over problemen en issues met dns servers

Over recursive Open DNS
* Training cert
* Nieuws over Recursive Open DNS
* goed artikel
* goed begrijpbaar artikel
* goed begrijpbaar interview

Hoe dit oplossen
* Bsisdocument CERT met links naar technische Info

* Hoe communiceer je de wijziging aan je gebruikers en contacten

Waar problemen met DNS recursive DDOS aanvallen melden
ICANN Security and Stability Advisory Committee ssac@icann.org

Permalink | |  Print |  Facebook | | | | Pin it! |

11/12/2007

Thesis online over Belgische cybercrime wetgeving

nederlandstalige thesis over cybercrime 2002

en vooral de Belgische cybercrime wetgeving

http://www.ethesis.net/cybercrime/cybercrime_inhoud.htm

Permalink | |  Print |  Facebook | | | | Pin it! |