Op de Black Hat Security Conference kwamen we te weten dat bedrijven zoals Cisco geheime achterdeurtjes inbouwen in hun producten, zodat de FBI en andere ordehandhavers stiekem het surfgedrag van personen, verdacht van criminele activiteiten, kunnen bespioneren. Op zich is dit al iets om even over na te denken, maar wat blijkt? Als we enkele veiligheidslekjes in Cisco’s architectuur bij elkaar nemen, komen we al snel tot de vaststelling dat het voor een Cybercrimineel helemaal niet zo moeilijk hoeft te zijn om datzelfde deurtje te openen. Veel Cisco routers blijken bijvoorbeeld nu nog altijd kwetsbaar voor een oude bug uit 2008, omdat zoveel administrators de patch van Cisco gewoon (nog altijd) niet installeerden. Cisco is niet de enige firma met producten met achterdeurtjes. Alle bedrijven die actief zijn in het netwerk segment zijn wettelijk verplicht achterdeurtjes in te bouwen. Om aan te tonen dat dit artikel niet louter theoretisch is, vermeld ik tenslotte nog even dat het geweten is dat de Google Cracks in China vergemakkelijkt werden door Google’s regels en procedures rond het delen van informatie met Amerikaanse ordehandhavers. Elke deur heeft een slot, en elk slot…

Vandaag hebben Amerikaanse beveiligingsexperts, politie en internet aanbieders in een gezamenlijke boodschap medegedeeld dat de Mariposa Botnet door hen platgelegd werd. Deze botnet (of beter de malware die met de botnet communiceerde) was aanwezig in niet minder dan de helft van de 1.000 grootste Amerikaanse bedrijven. Alles samen waren iets minder dan 13 miljoen computers geïnfecteerd in 190 verschillende landen. Er zijn duizenden dergelijke netwerken met computers die op het eerste zich normaal functioneren maar die van op afstand gecontroleerd worden. We noemen dat soort PC’s dan ook robots of bots. Voor het neerhalen van Mariposa werkten de FBI, enkele particuliere onderzoekers en de Spaanse politie nauw samen, en met succes. De bende achter Mariposa bestond uit slechts drie man, die enkele miljoenen Dollars wisten buit te maken. Op het net gebruikten ze pseudoniemen zoals Ostiator, Netkairo en Johnyloleante. Wat specialisten verontrust is dat de drie mannen helemaal niet technisch onderlegd zijn en dat al hun tools en technieken gewoon gekocht waren van black hat hackers op het internet. Toen een eerste server werd platgelegd, probeerde een kopstuk van de bende wanhopig om de controle over de server te heroveren, dit zonder zijn IP adres te maskeren. Dit maakte het voor de onderzoekers natuurlijk iets makkelijker om hem bij de kraag te vatten. De malware werd hoofdzakelijk verspreid via file-sharing programma’s en links die verzonden werden via MSN instant messaging. Het zal u niet verbazen dat er ook een versie van Zeus gebruikt werd.

Een recent onderzoek in Engeland bracht aan het licht dat niet minder dan 4 miljoen Britten toegaven dat ze het draadloos netwerk van de buren gebruiken zonder dat deze daar toelating voor geven. De schuldigen vonden de situatie keineig, de slachtoffers iets minder. Ze hebben wel een leuke naam bedacht voor het fenomeen, namelijk ‘piggybacking’. Niet moeilijk, als er zoveel mensen mee actief zijn is een koosnaampje eigenlijk een noodzakelijkheid. Nochtans is dit fenomeen niet zo ongevaarlijk… wat als deze parasieten obsceen materiaal a volonté downloaden op het abonnement van iemand anders?, wat als de internet verbinding dient om allerlei illegale cracks e.d. mee uit te voeren? En wat als de verbinding dient om identiteitsdiefstal mee te plegen? Misschien toch eens iets opsnorren over draadloos netwerk beveiliging?

Gisterennacht is het aantal actieve servers van de beruchte Zeus Botnet gedaald van 249 tot 181, en dit omdat hun internet provider in Kazakstan niet langer met het net verbonden is. De stekker is er dus uit, en dat is goed nieuws voor een deel van de honderdduizenden slachtoffers met wie Zeus contact maakte over die ISP. Zoals u misschien al weet is Zeus vooral geïnteresseerd in bankgegevens en login namen en paswoorden van zowat alles waar ingelogd moet worden. Dit is dus goed nieuws maar geen buitengewoon spectaculair goed nieuws, vanwege de eenvoudige reden dat de malware nog steeds op de slachtoffers hun computers aanwezig is. Zodra de criminelen nieuwe servers operationeel hebben begint het spelletje opnieuw. Mag ik terloops nog even opmerken dat het een goed idee zou zijn om zo dadelijk uw anti malware programma nog eens te draaien? Misschien net voordat u de computer afzet, laat het programma gewoon lopen terwijl u iets anders doet en kom dan wat later nog eens kijken. Simpelz.