Do we have a non-disclosure agreement with Belgium Defense?

"He who plays with the devil, could burn his fingers." 

Lots of people know this application: "HijackThis". Whenever you get stuck with your PC for some reason, some tech people will ask you to pull a HijackThis report. Nothing wrong at first sight.

But HijackThis grabs a lot of information. Information about your IE settings and thus about proxyserver definitions, etc...:

 IE - HKU\S-1-5-21-1935655697-343818398-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1935655697-343818398-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost;*.mil.intra;portal.mil.be;dghr.mil.*;http://intranet;http://10.999.0.999;intranet.mil.intra
IE - HKU\S-1-5-21-1935655697-343818398-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = proxyREMOVED:REMOVED

The example above was found back on a Dutch computerforum where they were discussing about the ecops virus. Information that should be covered in a non-disclosure agreement as it contains a small part of network-design information. And that agreement was never signed between the "Belgian Defense" and "The Internet".

If you look to the export, I could also tell that Belgian Defense has Dell machines with next info:

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000813 | Country: België | Language: NLB | Date Format: d/MM/yyyy

1,99 Gb Total Physical Memory | 1,24 Gb Available Physical Memory | 62,09% Memory free
3,33 Gb Paging File | 2,69 Gb Available in Paging File | 80,71% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 21,68 Gb Total Space | 0,04 Gb Free Space | 0,18% Space Free | Partition Type: NTFS
Drive D: | 50,00 Gb Total Space | 0,16 Gb Free Space | 0,33% Space Free | Partition Type: NTFS
Drive G: | 15,62 Gb Total Space | 3,49 Gb Free Space | 22,32% Space Free | Partition Type: FAT32
Drive H: | 465,76 Gb Total Space | 224,79 Gb Free Space | 48,26% Space Free | Partition Type: NTFS

Computer Name: LAPTOP-XXXXXX | User Name: XXXXXX | Logged in as Administrator. 

Next items are installed: F-Secure, Java 6 runtime, Windows Defender, Azureus VUZE remote, Adobe Reader 9, Free YouTube to MP3 Converter, ICQ lite, ... And this poor guy, Patrick, likes to read "De standaard" as this was set as his homepage in IE8.

I suppose any hacker  would benefit if having such information to make a custom virus. And when he will pretend to be the helping hand of this "soldier in need" at the forum, it will be easy social engineering to hand over the virus to get triggered in the military network. Think about the MiniDuke or the ATP1 report.

So if they are so free to provide all this info to the public, I'm not surprised that they got infected with the ecops virus. 

And maybe also some nice side note. Keep in mind that also copy-write organizations like BRAIN or BAF might be reading this info and find it interesting when someone would have torrent software (Azureus) or Youtube-mp3 convertors on their machine.

Belgische overheden aangevallen met kwetsbaarheid in Adobe Reader

The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A MicroBackdoor

Onderzoeksrapport Kaspersky : here
 

Kwaadwillenden hebben een kwetsbaarheid in Adobe Reader gebruikt om verschillende overheden aan te vallen, waaronder een Belgische overheidsinstelling of ambassade. Ook een onderzoeksinstituut en een zorgverlener zouden met succes zijn aangevallen.

In totaal zijn 59 unieke slachtoffers in 23 landen aangevallen, waaronder in België maar ook in de Verenigde Staten, Duitsland en Ierland, blijkt uit het onderzoeksrapport van Kaspersky. Of het daarbij gaat om unieke geïnfecteerde pc's of om geïnfecteerde instellingen, is niet duidelijk. Zeker is wel dat er naast overheden ook denktanks, een onderzoeksinstituut, een 'sociale instelling' en een zorgverlener met succes zijn aangevallen. De getroffen instellingen worden niet bij naam genoemd.

De aanval, door Kaspersky 'MiniDuke' genoemd, zou in de afgelopen week hebben plaatsgevonden, waarbij de aanvallers een recent ontdekt lek in versies 9, 10 en 11 van Adobe Reader gebruikten. Dat lek, waarvan al bekend was dat het actief werd misbruikt, maakt het mogelijk om de sandbox te omzeilen. De sandbox moet juist voorkomen dat beveiligingsproblemen in software gevolgen kunnen hebben voor de rest van het besturingssysteem. Op dit moment duurt de aanval nog steeds voort; volgens Kaspersky hebben de cybercriminelen op 20 februari nog nieuwe malware uitgebracht. Om de malware te verspreiden, gebruikten de aanvallers social engineering, waarbij ze hun doelwitten ertoe verleidden om een e-mailbijlage met een besmet pdf-bestand te openen.

Welk doel de malware dient en of deze wordt gebruikt om bijvoorbeeld documenten te stelen, is onduidelijk. Wat wel duidelijk is, is dat het gaat om een gerichte aanval, die volgens Kaspersky-ceo Eugene Kaspersky bovendien 'erg ongebruikelijk' is. "Ik herken deze stijl van programmeren uit het eind van de jaren negentig en het begin van dit millennium", zegt hij in een verklaring. Hij spreekt van een groep 'elite-, oldschool-malwareschrijvers' die in het verleden 'zeer effectief' waren in het ontwerpen van complexe virussen.
Na infectie wordt in assembly geschreven malware op de computer geplaatst, die al zijn communicatie met de buitenwereld versleutelt met een voor die machine unieke code. Opvallend is dat de malware zichzelf uitschakelt wanneer deze detecteert dat deze in een virtuele omgeving wordt gedraaid. Beveiligingsonderzoekers gebruiken virtuele machines juist om malware in een beveiligde omgeving te kunnen onderzoeken.

Draait de malware niet in een virtuele machine, dan wordt Twitter gebruikt om nieuwe instructies te downloaden. Die instructies worden geplaatst op speciaal aangemaakte accounts. Is Twitter niet beschikbaar, of zijn die accounts verwijderd, dan wordt de Google-zoekmachine gebruikt, maar hoe dat precies werkt, is onduidelijk. Als de malware nieuwe instructies heeft ontvangen, wordt een als een .gif vermomde backdoor op de computer geplaatst. Die is op zijn beurt weer in staat om nieuwe malware te downloaden. De backdoor maakt verbinding met twee command-and-control-servers, in Turkije en Panama.


source:  tweakers.net

Sensitive data on personal home folders found thanks to Google!

I can imagine that there are some people who make use of a mailing list. A way to quickly communicate in case certain events happen. These mailing lists are mostly to be used for personal reasons. And as for this personal reason, they get stored on a personal share on the network. Also known as your personal home folder. So far nothing wrong.

But what happens if these personal homefolders are browsable from the internet?

As from that moment, we have generated a data leak.

This is a situation which I bumped into with a Belgian Governmental organization, which I will not mention by name as they are very collaborative to get the problem fixed. The content of info which I read via a cached Google page, was of a similar kind of data leak to that what I found earlier this year with "dghr.mil.be". Names,location,phone, job title, email, etc... Nothing special you would think but still useful information for identity theft and surely a good case for the Belgian Privacy Commission.

But who is to blame?

Looking to the information published on the site, it seems that the purpose of the server is rather to provide a presentation of staff. Staff can publish an introduction about themselves and maybe, if allowed, their academic work.
So the sysadmin could claim that it's the users mistake to have published some internal data.
But if we look to the URL it seems to switch to a commonly used format for personal home folder http://<server>/~<username>
So maybe the user was not aware that his private folder was open to the public.

What can we learn from this? And what did we propose to the organization involved?

1. Make clear guidelines about which location on the network will be made public.
2. Disable directory browsing to avoid Google/people to snoop around and harvest information which might store sensitive data.
3. Regularly perform audits. This can be done automated. Screening of content which only triggers an alarm toward the user. Then this user can decide if their might be a security violation.

Security is as strong as it's weakest link.