[SEC] Kaspersky reageert op lekken in website

Klantendatabase Kaspersky door hacker gestolen
08-02-2009,11:06
Een Italiaanse hacker beweert de website van de Russische virusbestrijder Kaspersky Lab te hebben gehackt, waarbij hij onder andere toegang tot de klantendatabase had. Via SQL-injectie lukte het de aanvaller om toegang tot de database van de Amerikaanse website te krijgen. Daarin stond informatie over gebruikers, activatiecodes, lijsten met bugs, beheerders, gegevens over de webshop en nog veel meer. Als bewijs zijn er verschillende screenshots geplaatst, hoewel de aanvaller geen persoonlijke informatie online zette. "Voor deze keer zal ik, voor redenen die ik niet hoef uit te leggen, geen screenshots met persoonlijke informatie of activatie codes publiceren." Wel heeft hij de lijst met database tabellen online gezet en dat is een behoorlijke lijst.

Unu, zoals de hacker zich noemt, is niet over de beveiliging van Kaspersky's site te spreken. "Kaspersky is een van de leiders op de security en anti-virus markt. Het lijkt erop dat ze niet eens hun eigen databases kunnen beveiligen. Het lijkt ongelooflijk, maar het is helaas waar." Andere beveiligers houden nog een slag om de arm, maar merken op dat de geplaatste screenshots en informatie legitiem lijken. "Ik hoop dat Kaspersky beheerders dit lek snel dichten, aangezien ze een grote klantengroep hebben, en het lijkt erop dat al die klanten gecompromitteerd zijn", zegt Gunter Ollmann van IBM.

Het is niet voor het eerst dat een website van Kaspersky het doelwit van hackers is. Vorig jaar werd de webwinkel, Roemeense, Franse en Maleisische websites van het anti-virusbedrijf gehackt en het jaar daarvoor waren de Australische en Braziliaanse versies aan de beurt. Sinds 2000 zijn de sites van de virusbestrijder tenminste 36 keer gekraakt geweest.

Weer beveiligingslek op Kaspersky website
Gisteren,15:12
Twee weken na de vondst van een ernstig beveiligingslek in de website van Kaspersky Lab, hebben hackers weer een probleem op de site van de Russische virusbestrijder aangetroffen. Dit keer gaat het om een cross-site scripting lek op Kaspersky.com, wat aanvallers kunnen gebruiken voor phishingaanvallen of het stelen van creditcardgegevens, zo laat de Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp tegenover Security.nl weten. Hij noemt het belachelijk dat anno 2009 en zeker in het geval van Kaspersky er zulke lekken in de website zitten. "Zeker nadat ze vertelden dat alles dicht was."

Volgens de onderzoeker had men met een scanner dit soort lekken in een "uurtje" kunnen vinden. Wat betreft het MySQL-injectie lek had dat gebruikt kunnen worden voor het stelen van activatiecodes. "Misschien komt men zo wel aan die illegale kaspersky sleutels." Van Den Heetkamp acht het goed mogelijk dat er nog meer lekken op de website aanwezig zijn. Een screenshot van het lek is op het sla.ckers forum te vinden.

Een van de bezoekers van het forum merkt op dat het om anti-virusbedrijven gaat, die alleen maar in anti-virus zijn gespecialiseerd. "Ze denken alleen aan de beveiliging die ze kennen. Geef ze een virus en ze vinden het, maar als het gaat om webapplicatie beveiliging dan weten ze daar niets vanaf."

Kaspersky ontkent lekken, noemt SQL-injection niet ernstig
10-02-2009,09:35
De Russische virusbestrijder wiens website dit weekend werd gehackt ontkent dat de aanvaller data heeft gestolen en noemt SQL-injectie geen ernstig beveiligingslek. De aanvaller wist via SQL-injection informatie over gebruikers, activatiecodes, lijsten met bugs, beheerders, gegevens over de webshop en nog veel meer zaken op te vragen. Hacker "Unu" informeerde eerst het anti-virusbedrijf, maar kreeg geen antwoord, waarop hij besloot het probleem wereldkundig te maken. Toen kwam Kaspersky wel in actie. "De site was alleen voor een korte tijd kwetsbaar en we hebben direct actie ondernomen en het lek was binnen 30 minuten na detectie gedicht. Het lek was niet ernstig en er is geen data gecompromitteerd geweest", aldus een woordvoerder.

In werkelijkheid was de website dus al geruime tijd kwetsbaar en werd er ondanks verschillende pogingen niet gereageerd op het probleem. Daarnaast is SQL-injectie een zeer ernstig probleem, wat ook de hacker in kwestie opmerkt. "Dit beveiligingslek had ernstig kunnen zijn als een kwaadwillend iemand dit had gebruikt, omdat er vertrouwelijke informatie zoals gebruikersnamen, e-mails, wachtwoorden, codes, MySQL gebruikers en hun wachtwoorden waren te achterhalen." Unu laat verder weten dat hij bewust geen informatie heeft gestolen, aangezien dat niet zijn bedoeling was.

Fout van ander
Roel Schouwenberg, senior virus analist bij Kaspersky, laat weten dat het probleem zich bevond in de code die door een "subcontractor" voor de Amerikaanse afdeling was ontwikkeld en niet door de standaard code controle was gegaan. De code was zo'n tien dagen in gebruik voordat de aanvaller het ontdekte en was vijf uur na de detectie van de aanval verholpen en niet 30 minuten zoals de woordvoerder vertelde. Wat betreft het informeren van Kaspersky zou dat pas een uur voor de bekendmaking gedaan zijn. De virusbestrijder heeft inmiddels de bekende beveiligingsonderzoeker David Litchfield ingeschakeld om het incident te onderzoeken. "Moraal van het verhaal? Zelfs mensen in de beveiligingsindustrie hebben wel eens een slechte dag en maken fouten", gaat Adam O'Donnell verder.

Op het eigen blog geeft de virusbestrijder toe dat het mazzel heeft gehad dat de aanvallers meer geïnteresseerd in "roem" dan het veroorzaken van schade waren. Daarnaast laat het incident zien dat veilig ontwikkelen en programmeren een top prioriteit voor webontwikkeling moet zijn. Als laatste is het een les dat men alle code en processen moet checken, checken en nog een keer moet checken.

Analyst's Diary - What really happened to usa.kaspersky.com/support
VitalyK February 09, 2009 | 21:25 GMT

We have seen quite a few different and controversial comments regarding the recent attack on usa.kaspersky.com/support. People have questions and want answers: what really happened and what risk did the penetration create?

As a member of group dealing with the incident analysis I would like to share our results.

We confirm that the vulnerability existed in the new version of usa.kaspersky.com/support. We analyzed the log files and found requests with SQL injection. There were several attackers with IP addresses from Romanian ISPs. The requests were initially made with an automated tool - the screenshots showed that the hackers used a variant of an Acunetix tool.

Once the initial probes told the attackers that this section was vulnerable they attempted to manually exploit the vulnerability to get data about the structure of the database. They used an Information_Schema database to query existing table names and table columns. After collecting field names the attackers made a few attempts to extract the data from tables. Those queries failed because the attackers specified the wrong database. The attackers stopped after they got only the column and table names from the database and decided to go for glory. No data modification queries UPDATE,INSERT,DELETE... were logged.

After conducting the attack, the attackers decided to show off their ‘great code of ethics’ by sending Kaspersky an email - on a Saturday to several public email boxes. They gave us exactly 1 hour to respond. And posted on their blog without having received a response.

To sum up:


1. We are lucky the hackers proved to be more interested in fame than in causing damage
2. Secure development MUST be a key priority for web development - anywhere, anytime and all the time, and
3. It is a lesson to us all - check, check and re-check your processes and your code.

Kaspersky hacker: Database exposed for days

Security Co. mum on Jedi mind trick

By Dan Goodin in San Francisco

Posted in Security, 9th February 2009 07:10 GMT

Some 24 hours after a hacker claimed to hack a Kaspersky website and access a database containing proprietary customer information, the security provider issued a terse statement confirming it had experienced a security issue.

"On Saturday, February 7, 2009, a vulnerability was detected on a subsection of the usa.kaspersky.com domain when a hacker attempted an attack on the site," read the statement, which was released Sunday afternoon.

"The site was only vulnerable for a very brief period, and upon detection of the vulnerability we immediately took action to roll back the subsection of the site and the vulnerability was eliminated within 30 minutes of detection. The vulnerability wasn't critical and no data was compromised from the site."

That tells part of the story, but here's the part Kaspersky leaves out. According to an admin named Tocsixu at the site that exposed the breach, the hacker who originally discovered the vulnerability did so days earlier and only went public after getting no response from more discreet communiques with Kaspersky employees.

"I have sent emails to info@kaspersky.com, forum@kaspersky.com, and webmaster@kaspersky.com warning Kasperky [sic] about the problem but I didn't get any response," Unu, the hacker, said in an email. "After some time, still having no response from Kaspersky, I have published the article on hackersblog.org regarding the vulnerability."

Tocsixu also took issue with the characterization that the data wasn't actually compromised or that it wasn't critical.

"This vulnerability could have been critical if it were to be exploited by someone bad intended because several sensitive informations could have been extracted, like usernames, emails, passwords, codes, mysql users & passwords, etc.," Tocsixu told El Reg.

"Indeed, no data was compromised from the site because that is not Unu's (our) intention. No sensitive information from the site was stored, legit Kaspersky users can rest assured."

Kaspersky has repeatedly declined to provide details about the breach, including how long its website was vulnerable or exactly when it closed the vulnerability. It didn't respond to email requesting comment on Tocsixu's claims.

SQL injections are like Jedi mind tricks. With the wave of a hand and a discreetly placed suggestion - in this case SQL database commands buried deep inside a long URL - hackers are able to turn weak-minded websites against themselves. Often, the compromise is fairly innocuous and comes in the form of a simple site defacement. Not so with the SQL injection that visited Kaspersky.

It allowed any Jedi knight who knew the secret passphrase to trick the website into dumping entire tables in its database.

"This was a typical UNION injection attack that enables SELECT statements to be poisoned with information from foreign tables," according to one Reg reader account that was confirmed by Tocsixu.

The reader, who was able to duplicate the attack Unu laid out here, continued:

"Once you find the number of columns in the initial SELECT statement (using ORDER BY injection attacks) you can basically get access to the information_schema database, find out table and column names and then you're home free. Big whoopsie for Kaspersky. This was active the entire day yesterday [Saturday]."

No doubt, it's been a tough week for Kaspersky, and it sure didn't help that many of the company's employees happened to be in Puerto Rico this weekend for a partner conference. But Kaspersky does itself no favors by being so stingy with details of this attack. And as is now clear, hackers bearing proof of the pwnage are more than willing to do the talking.

[ Voor 91% gewijzigd door Bor op 24-02-2009 21:25 ]

Weer SQL-injectie op Kaspersky websites
Ondanks alle negatieve publiciteit rondom het SQL-injectie lek op usa.kaspersky.com, zijn de internationale websites van de Russische virusbestrijder nog steeds lek. Soortgelijke aanvallen zijn uit te voeren op Kaspersky Iran (kasperskylabs.ir), Taiwan (web.kaspersky.com.tw) en Zuid Korea (kasperskymall.co.kr). Tevens zijn ook cross-site scripting (XSS) aanvallen en Iframe url Injectie mogelijk, aldus onderzoekers van TeamElite. Eind februari vonden ze ook XSS-lekken op kaspersky.com en de Braziliaanse site van de beveiliger. Via de lekken kunnen aanvallers kwaadaardige Iframes injecteren en vertrouwelijke data stelen.

"Ondanks het feit dat het om reseller websites gaat die door lokale bedrijven beheerd worden, gebruiken ze wel de naam en bekendheid van een beveiligingsbedrijf, en door te laten zien dat men niet over de meest basale security kennis beschikt, door dit soort eenvoudige webapplicatie lekken te verhelpen, kan men de integriteit van het merk en waar in de eerste plaats voor staat ondermijnen", zegt Dancho Danchev.

F_J_K schreef op donderdag 12 maart 2009 @ 18:43:
Er is in de Philips fabriekshal nooit een lampenbolletje gesprongen. Bij MS draait er vast ergens Unix, de auto van Eric S. Raymond bevat vast closed source software. Of serieuzer: er is geen 100% beveiliging en een websitetje is bepaald geen core business.