Sites kunnen Trojaans paard herbergen

Deskundigen waarschuwen voor

25 juni 2004 | Jamie Biesemans Veiligheidsexperts waarschuwen dat ogenschijnlijk betrouwbare sites door georganiseerde criminelen worden gebruikt om binnen te breken bij surfers. Ze zouden daarbij geholpen worden twee recent ontdekte fouten in Internet Explorer waarvoor nog geen patch beschikbaar is.

De waarschuwing komt van securitydeskundigen van onder meer Symantec. Zij geloven dat de criminelen het gemunt hebben op webservers omdat ze langs deze weg achterdeuren op de pc's van bezoekers kunnen aanbrengen. Surfers merken er niets van want op eerste zicht lijkt alles in orde met de site die ze bezoeken.

Hoeveel servers al ten prooi zijn gevallen aan de inbrekers, is onbekend. "Het is nog niet op epidemische schaal, maar het komt voor", zegt senior director of engineering van Symantec Alfred Huger. Er zijn allerlei sites onder de slachtoffers, zegt Brent Houlahan van NetSec, en niet enkel kleinere: "Er zijn veilingsites bij, websites die prijzen vergelijken, en financiële instellingen."

Ook het Internet Storm Centre geeft toe dat ook er ook bij grotere sites een probleem is. "We geven geen lijst van de sites die geïnfecteerd zijn om verdere misbruiken te vermijden, maar de lijst is lang en bevat bedrijven waarvan je zou verwachten dat ze hun systemen met patches veilig houden."

Tegen de eerste stap in de aanval valt er meestal iets te doen. Om in te breken op servers, buiten hackers meestal al lang bekende lekken in software uit waarvoor doorgaans oplossingen zijn. Daarna is het eigenlijk te laat, want om binnen te breken bij surfers via de geïnfecteerde server worden twee fouten in IE gebruikt. En daarvoor zijn er geen oplossingen. Surfers kunnen dus moeilijk hun pc beschermen tegen de aanvallen. Een kant-en-klare oplossing is er niet; wellicht het gemakkelijkste is overschakelen op een ander browsermerk. Belgische veiligheidsbedrijf Ubizen kwam al eerder met die suggestie op de proppen.

Het zou ook wel kunnen dat de criminelen een nog niet bekende fout in Internet Information Server (IIS) gebruiken om webservers over te nemen, zeggen deskundigen.

Bezoekers aan de overgenomen sites worden ongezien omgeleid naar een site in Rusland. Zonder dat ze het merken, wordt dan een Trojaans paard, RAT, geïnstalleerd. Die houdt alle toetsinslagen bij en stuurt ze door naar de hackers. De criminelen hopen wellicht op deze manier gevoelige informatie vast te krijgen, zoals paswoorden en kredietkaartnummers. De techniek dient mogelijk ook om pc's om te vormen tot spamservers.

Veiligheidsexperts tasten nog in het duister over de identiteit van de groep achter de inbraken. De vermoedens wijzen in de richting van de georganiseerde misdaad in Rusland, zegt Symantec.

Met een bijdrage van Rob Lemos, CNet. Lees meer artikels over : browser, mafia, lek

bron: Smart Business Strategies