Peters Blog

on Security and More

Gevaar!

5/Sep 2003 By P. Peters
Internet Access Facilities Achterkrant security

Ja, het is een gevaarlijke maand geweest op Internet. Het begon met een uitbraak van de Blaster worm en voor die uitgewoed was, kwam een nieuwe versie van Sobig om de hoek kijken. En alsof het nog niet genoeg was is er gedurende de laatste week van augustus een aanval geweest op servers die lijsten bijhouden met IP- adressen van spammers.

Blaster

Blaster maakt misbruik van een lek in een bepaalde applicatie op Microsoft Windows systemen. Deze applicatie wordt voor zeer veel toepassingen gebruikt. Denk hierbij bijvoorbeeld aan popups, mail uitwisselen met een Exchange server. Maar ook andere zaken zijn van deze applicatie afhankelijk. Bij wat testen is bijvoorbeeld gebleken dat na een crash van de applicatie het niet meer mogelijk is om informatie uit het clipbord te krijgen (met Ctrl-V).

Maar het probleem ligt niet zo zeer bij het crashen van zo'n applicatie. Het lek zorgt er voor dat er andere programma's op de computer kunnen worden opgestart waarmee de computer van afstand overgenomen kan worden. En de manier waarop die programma's op de computer komen, was ook nieuw bij deze worm. Terwijl normaal gesproken die programma's op een bepaalde site staan, zorgde Blaster zelf voor de verspreiding. Omdat die programma's toch reeds op de besmette machine staan, is het eenvoudig om de net besmette machine die programma's gewoon op te laten halen.

Sobig

Het andere probleem van afgelopen maand werd weer eens een keer via e-mail verstuurd. Daarvoor werd een oud virus uit de stal gehaald en daar enige aanpassingen op aangebracht. Omdat het virus via e-mail wordt verstuurd, was er een andere methode nodig om de benodigde programma's geïnstalleerd te krijgen. Dat werd bij Sobig.F opgelost door die programma's van een website te halen. Dat bleek uiteindelijk niet te werken omdat het gelukt was om die websites tijdig uit de lucht te halen.

Sobig werd ook verstuurd met de bedoeling om programma's op de besmette computers te laten draaien. Het belangrijkste programma dat op een besmette machine zou moeten worden geïnstalleerd was een open relay/proxy. Op die manier zouden spammers niet meer afhankelijk zijn van de onkunde van de beheerders van die machines in de hoop dat die onkunde zou leiden naar een onbeschermd systeem. Nee, de spammers installeerden het zelf. Met als bijkomende voordeel dat de door hen besmette machines alleen door henzelf te gebruiken zouden zijn en niet door hun concurrenten.

Spammen lijkt voor bepaalde mensen nog steeds voldoende geld op te leveren om door te gaan met hun crimineel gedrag. En als je een eigen, geheim netwerk hebt opgebouwd, sta je sterker dan je concurrent en kun je nog meer klanten geld aftroggelen. Ik noem het aftroggelen, want naast de standaard rommel voor Viagra, vergroting van lichaamsdelen, loterijen e.d. blijken er toch nog steeds 'gerespecteerde' organisaties overgehaald te worden door dergelijke criminelen om een 'mailing' de deur uit te doen. Meestal komen de spammers met verhalen over toestemming van degenen wiens e-mail adres in de lijst staat. Dat is echter zelden het geval. Trap er dus niet in en controleer alles uitgebreid.

Bescherming

Zoals in de vorige Achterkrant al aangegeven, neemt het aantal gebruikers van onze anti-spam en anti- virus scanner toe. Om het u eenvoudig te maken om de aanvraag te doen, hebben we een antwoordkaart bijgevoegd. U hoeft alleen maar uw klantnummer in te vullen en aan te vinken dat u wenst opgenomen te worden in onze scanner. Een ondertekening is daarna voldoende om het verzoek te bekrachtigen.

Indien u over één of meer @iaf.nl adressen beschikt, zullen we al die adressen automatisch opnemen. Deze dienst is voor gebruikers van @iaf.nl adressen gratis. Indien u aankruist dat uw eigen domeinen gescand moeten worden, nemen we al uw domeinen op. In dat geval worden alle adressen @uw-domein gescand. Indien u uitzonderingen op één van bovenstaande situaties wenst, laat ons dat even per e-mail weten.

Zoeken

Wilt u wat meer weten over het gebruik van de scanner bij IAF dan raad ik u aan om even naar onze website te surfen en daar in het zoekveld 'mailscanner' in te vullen. Als u datzelfde invult bij een zoekmachine zoals Google, vindt u meer informatie over de scanner en de schrijver, Julian Field.

Julian Field

Op een bijeenkomst voor academische beveiligingsteams eind september zal Julian aan de verzamelde gasten uitleggen hoe een en ander werkt. Voor de UT heb ik zelf een presentatie gemaakt. De Achterkrant op onze site bevat de link hier naartoe.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.

More Reading
Newer// Voor niets druk gemaakt
Older// Welkom (terug)

Copyright; 1995 - 2015 Peter Peters. All rights Reserved.