Adobe reader is een mooie nieuwkomer (bij manier van spreken): 45 bugs die patches kregen nadat ethical hackers en Crackers de gaatjes ontdekt hadden. Internet Explorer mocht er 30 noteren, Powerpoint, Word en Excel samen niet minder dan 41. Adobe Reader ligt 10x hoger onder vuur dan MS Office… wat we natuurlijk kunnen verklaren vanuit het succes dat de Reader geniet bij wereldwijde PC gebruikers. Een groot probleem is natuurlijk dat Reader de mogelijkheid biedt om Java scripts uit te voeren vanuit een PDF file en dat je een link kan maken met externe databases om bepaalde inhoud binnen te halen en te tonen. Dit zet zoveel deuren open voor Crackers dat het sluiten van de ramen compleet overbodig is geworden. Adobe Reader werd in 2009 universeel en stilzwijgend verkozen tot leukste speelterrein voor bug hunters, Crackers en Hackers. Adobe is zich bewust van de situatie en stelde een team samen dat ervoor zorgt dat er gedurig upgrades en zogenaamde veiligheidspatches ter beschikking komen. Uiteraard konden we in 2009 weer de nodige Cracker Kits aanschaffen… ze werden bekend onder de namen ‘T-IFramer’, ‘Liberty Exploit Systems’ en ‘Elenore’ (om er een paar te noemen). Voor een goede 300 a 500 Dollar kreeg je een volwaardige ‘doe het zelf’ kit in handen die je lichtjes diende aan te passen aan je eigen wensen en doelen. Wel opvallend: deze kits misbruikten vooral fouten en openingen in Adobe reader en in mindere mate van Internet Explorer, MS Office, Firefox en … Quicktime! Firefox mocht in 2009 trouwens een goede 102 bugs in orde brengen. Dit lijkt veel t.o.v. de andere, commerciële, programma’s, maar we mogen niet vergeten dat bugs in zogenaamde ‘open source’ software veel sneller opduiken (en toegegeven worden). De reden waarom Crackers zich meer en meer concentreren op programma’s i.p.v. het Windows of Linux besturingssysteem (OS) ligt in het feit dat deze laatsten tegenwoordig sneller ge-update worden en dat ze ondertussen enkele decennia van aanvallen achter de rug hebben, wat de makers er toe heeft aangezet doeltreffender te programmeren (wat niet wil zeggen dat beide niet meer onder vuur liggen natuurlijk). Nog een reden waarom Crackers zich meer toeleggen op gewone software is dat de meeste gebruikers veel te laks omspringen met het updaten en upgraden van de software die op hun computer draait. Voor het besturingssysteem willen ze nog wel moeite doen (in zoverre het OS de updates zelf al niet naar de PC stuurt zoals Windows) maar voor een programma update moeten ze meestal wat meer moeite doen, en dat komt er niet altijd van vanwege allerlei uiteenlopende redenen. Crackers weten dat natuurlijk ook.

Een makkie... Bekend Hacker Samy Kamkar gaf een demonstratie met een stukje Javascript dat in principe makkelijk kan weggestopt worden in een pagina op zijn website (voor een demonstratie moest ik nu wel op een ‘verzend’ knop klikken). Heel ingenieus en zondermeer doeltreffend, alhoewel het zeker niet altijd zal werken. Hij demonstreerde met een Belkin N1 draadloze router maar zei dat hij zeker is dat andere routers op dezelfde manier kunnen bedot worden ( hij vertelde er meteen bij dat de Airport Extreme router alvast mee op het lijstje met successen staat). Het script zal de bezoeker van de website dwingen om een verborgen formulier te verzenden via poort 6667 (de standaard poort voor IRC). D.m.v. een verborgen waarde zal het formulier het slachtoffer dwingen een direct client to client (DCC) connectie te maken, en verscheidene routers zoals de Belkin sturen DCC connecties nu net naar het slachtoffer zijn intern systeem. Door gebruik te maken van NAT traversal krijgt de binnendringer toegang tot gelijk welke open poort van het systeem (en dan begint het pas). Geeft dit reden tot grote ongerustheid? Ja en neen, maar het toont toch maar weer eens hoe snel bepaalde zekerheden of overtuigingen kunnen verdwijnen. Ik heb nog steeds vrienden die zeggen dat het feit dat ze een router installeerden ruim voldoende is om 100% gerust te zijn dat niemand hun systeem kan binnendringen.

Een politiek geïnspireerde Cracker die op Twitter gevolgd kan worden onder de naam Jester, heeft het klaargespeeld om solo slim cyber oorlogje te spelen. Vanuit één enkele Linux server voert hij denial of service (ddos) aanvallen uit op zorgvuldig geselecteerde doelen. Vroeger werd ook al bewezen dat dit principieel mogelijk is, maar meestal was het dan met halve of hele super computers die (uiteraard) met supersnelle T1 lijnen met het net verbonden waren. Jester gaat over anonine.com om zijn identiteit geheim te houden (en waar hij meervoudige IP sessies kan opstarten over één enkele internet verbinding) en legt enkel sites plat die banden hebben met al-Qaeda en Jihad terroristen. In een Email gebruikte hij uitdrukkingen zoals ‘a rather famous’, ‘kinda’, ‘amongst other places’. Is dit bewust gedaan om ons op een dwaalspoor te zetten of een aanwijzing? Zijn aanvallen zijn in ieder geval succesvol en hij zegt dat de tool die hij nog aan het perfectioneren is, alleszins op een goedkope Linux machine zonder speciale specificaties draait met een internet verbinding met lage bandbreedte.

Mogen wij onze regeringsleden die we te pas en te onpas met GSM’s in de weer zien in de media even verwittigen dat de encryptie, gebruikt door GSM operatoren, gekraakt werd? Op 28.12.2009 maakte ik hier al melding van op mijn website, misschien toch nog eens even herhalen? Vandaag kwam het even in het nieuws doordat een rapport van Israëlische onderzoekers bevestigden dat ook zij de encryptie hadden gekraakt. Zolang alle operatoren de nieuwe 128bit encryptie niet implementeerden is enige voorzichtigheid toch geboden. (zie ook 28.12)

Een Duitse groep veiligheidsonderzoekers heeft een belangrijke lek gevonden in de methode die Kingston, Sandisk en Verbatim gebruiken in hun USB drives met ingebouwde encryptie. Deze USB sticks hadden droegen het Amerikaanse FIPS 140-2 certificaat, maar dat was hen toegekend op basis ban het feit dat ze een 256bit AES encryptie gebruiken. Hoe werd het gekraakt? Simpel: al snel had men door dat de paswoord verificatie steeds dezelfde string doorstuurde wanneer een correct paswoord werd ingegeven. Wanneer je deze string dus op gelijk welke andere USB sleutel losliet waarvan je het paswoord niet kende, gingen alle deuren open (ongelooflijk dat niemand bij de fabrikanten daar aan dacht, ha!). Zo kan iedereen dus een Cracker worden in vier seconden (ik heb het getimed). Alle drie de fabrikanten hebben de USB sticks ondertussen uit de handel genomen en bieden een omruil mogelijkheid aan.