Nieuws

Kaspersky beschouwt GeenStijl script als malware

maandag 22 september 2008, 14:24 door Redactie, 21 reacties

De Russische virusbestrijder Kaspersky Lab heeft een script dat shockblog GeenStijl gebruikte om de database van weblog Geencommentaar.nl te vervuilen als malware bestempeld. De laatste legde een database aan met 2000 IP-adressen van GeenStijl-bezoekers die een petitie hadden ondertekend. GeenStijl sloeg daarop terug met een JavaScript dat de database van Geencommentaar met willekeurige ip-adressen vulde.

"We vernamen de situatie tussen GeenCommentaar en GeenStijl en het klonk als een DDoS aan de kant van GeenStijl. Daarop onderzochten we de code en bleek dat die automatisch werd uitgevoerd als iemand de site bezocht. Dat gegeven deed ons besluiten hiervoor detectie toe te voegen," zegt senior virusanalist Roel Schouwenberg tegenover Security.nl. Het script van het shockblog, dat inmiddels weer is verwijderd, werd gedetecteerd als Trojan-Clicker.JS.Small.p. Gebruikers van Kaspersky die de site bezochten toen het script er nog stond kregen een waarschuwing.

Op GeenCommentaar loopt de discussie of GeenStijl zich niet aan computercriminaliteit schuldig maakte. Schouwenberg houdt zich in het midden: "GeenCommentaar is met het gebruik van de IP-database ook niet correct geweest. Voor zover ik heb gelezen is GeenCommentaar al aan het kijken of ze stappen kunnen / willen ondernemen. Ik ben geen jurist en kan dus niet goed inschatten hoe dit in de rechtszaal beoordeeld zou worden, maar vanuit een technisch perspectief gezien is dit een DDoS."

Vertrouwen in OV-chipkaart opgezegd

Supermarkt bespuit overvallers met DNA-verf

Reacties (21)

22-09-2008, 14:39 door Consultant

GeenStijl uit de lucht?

22-09-2008, 15:02 door Eerde

...maar vanuit een technisch perspectief gezien is dit een DDoS

Onzin, het was gewoon een beveiliging tegen het illegaal aanleggen van een database van slinks (of illegaal) verkregen IP-adressen, waarvan het bewaren en zeker het verspreiden ook al illegaal is.

Een beveiliging dus, nix anders.
Lange leve GS ;)

22-09-2008, 15:12 door Anoniem

Een duidelijke uitspraak: DDos, dus illegaal.

22-09-2008, 15:23 door Anoniem

De database is niet gevuld met valse adressen, zoals GeenStijl beweert. Er werden query's uitgevoerd met random adressen. Een poging tot schrijven zou computervredebreuk geweest zijn.

Het aanleggen van een database met ip-adressen van zich misdragende bezoekers gebeurt door veel weblogs, ook GeenStijl. GeenCommentaar houdt vol dat de manier waarop zij dit bestand beschikbaar stelt te rechtvaardigen valt op basis van de wet bescherming persoonsgegevens. Deze maakt een uitzondering als het 'algemeen belang' betreft, bijvoorbeeld voor het bijhouden van ip-adressen van spammers. Volgens GC neemt cybervandalisme, vaak op instigatie van GS, vormen aan die een actie als deze tot algemeen belang maakt.

22-09-2008, 15:27 door Anoniem

Eerde, dit meen je toch niet serieus? Je gaat spam toch ook niet met spam bestrijden? Als iedereen zo zou denken en voor eigen rechter zou gaan spelen, is het einde zoek.
Jij mag dit dan zien als beveiliging, maar ik benader het toch liever als beveiligings issue. Dus DDos.

22-09-2008, 16:07 door Lamaar

Door Eerde

...maar vanuit een technisch perspectief gezien is dit een DDoS

Jij bij GeenStijl. Waarom verbaast mij dat niet?

22-09-2008, 16:57 door Preddie

heeft de geencommentaar.nl de gebruikers laten weten dat ze een database bij hielden? en zo ja was er voor de gebruikers de mogelijkheid om dit te mijden? Wanneer dit niet zo is lijkt mij dat zij de privacy van die gebruikers schenden?

22-09-2008, 17:01 door Anoniem

Door Predjuhheeft de geencommentaar.nl de gebruikers laten weten dat ze een database bij hielden? en zo ja was er voor de gebruikers de mogelijkheid om dit te mijden? Wanneer dit niet zo is lijkt mij dat zij de privacy van die gebruikers schenden?

Aangezien Geenstijl geen rechterlijke macht is zijn dit gewoon 2 verschillende zaken.

22-09-2008, 19:30 door Anoniem

Van reaguurders reabotjes maken valt m.i. onder computercriminaliteit.

22-09-2008, 19:55 door Anoniem

elke apache log bevat dergelijke data - begrijp dat nou eens

22-09-2008, 22:37 door Anoniem

Het was een scriptje van 5 regels. Hij is nu verwijderd, dus het lijkt mij dat het een volgende keer wel op een andere manier geschreven zou worden. Ik begrijp het nut van deze virusdefinitie dan ook niet.

22-09-2008, 23:09 door [Account Verwijderd]

[Verwijderd]

23-09-2008, 08:02 door Anoniem

De Braatolizer was iets anders. Mensen moesten daar zelf handelingen voor uitvoeren. Technisch kwam het resultaat inderdaad neer op een DDoS.

23-09-2008, 09:04 door Darkman

Er staat in het artikel een link naar [url=http://webwereld.nl/articles/52808/blog-biedt-filter-tegen-geenstijl-vandalen.html]webwereld[/url].
Als je deze leest wordt duidelijk dat geencommentaar.nl zelf verantwoordelijk is voor de problemen.

Een technisch expert waar Webwereld vrijdag mee sprak, steunt de lezing van Geenstijl. De shockblog heeft gebruikgemaakt van de functies van de api die Geencommentaar zelf beschikbaar heeft gesteld. Geenstijl heeft geen aanval op de webservers van de site uitgevoerd.

Omdat de database van Geencommentaar toestond dat er ip-adressen aan werden toegevoegd, heeft de site de problemen aan zichzelf te wijten. Geenstijl voegde middels de api extra ip-adressen aan de database toe. Doordat de database veel groter werd, kostte het ook veel meer rekenkracht om er gegevens in op te zoeken. De server van Geencommentaar kon daarop de databaseverzoeken niet meer op tijd verwerken.

23-09-2008, 13:18 door Anoniem

@Darkman:

Mwah: Wie is de "expert", en waarom is hij technisch en niet juridisch, en heeft hij het over "Omdat de database van Geencommentaar toestond dat er ip-adressen aan werden toegevoegd", terwijl dat niet het geval is of was.

23-09-2008, 13:53 door Anoniem

Tis een afkorting van Trojan-Clicker.JavaScript.Small.penis?
Sorry voor de onderbroekenhumor, maar zo'n inkoppertje mag je niet missen :P

23-09-2008, 23:31 door Anoniem

Geenstijl moet de wereld wel erg rechts zijn gaan vinden, dat ze kennelijk geen inhoudelijke onderwerpen meer weten?

24-09-2008, 00:11 door [Account Verwijderd]

[Verwijderd]

24-09-2008, 12:18 door Anoniem

Door K0MP0D

Door AnoniemDe Braatolizer was iets anders. Mensen moesten daar zelf handelingen voor uitvoeren. Technisch kwam het resultaat inderdaad neer op een DDoS.

natuurlijk was de braatolizer iets anders, maar dat gaat het niet om. Ik reageerde zoals duidelijk is (toch?? toch?)op spam met spam bestrijden.

En jammer dat men niet verder komt dan : technisch wel/geen DDos! Ik mis de inhoudelijke onderbouwing

Oke geen probleem
Wat is een DDOS:

Short for Distributed Denial of Service, it is an attack where multiple compromised systems (which are usually infected with a Trojan) are used to target a single system causing a Denial of Service (DoS) attack.

bron: http://www.webopedia.com/TERM/D/DDoS_attack.html

Wat is een DOS:

Short for denial-of-service attack, a type of attack on a network that is designed to bring the network to its knees by flooding it with useless traffic.

Nu gaan we eens kijken hoe dit past bij de actie van Geenstijl. Zij hebben een scriptje geschreven die een netwerk service overspoelde met onbruikbaar en ongewenst verkeer.
Verder hebben ze alle bezoekers van de Geenstijl website het scriptje laten draaien zonder dat zij daar melding van hebben gemaakt en zonder de mogelijkheid om te weigeren. Dat is volgens mij een trojan-gedrag en dat zou moeten worden afgevangen door de virusscanners.

Oke de definitie van trojan is eigenlijk iets complexer en er zit wel een duidelijk grijs gebied.

24-09-2008, 23:13 door spatieman

vreemde zaak.
GS bezoekers worden op de website van geencommentaar geweerd als zijn GS doen bezoeken..
Betekend dat geen commentaar dus ZELF eigenlijk schuldig is aan IP mining..

25-09-2008, 22:31 door Anoniem

Beetje kinderachtig van GeenCommentaar. Ik denk dat de gemiddelde GeenCommentaar lezer als linkse rakker tegen het bijhouden is van DNA ivm privacy ed. Maar dan wel een database met GeenStijl bezoekers? Erg tegenstrijdig en erg richting ofwel extreem rehts, ofwel communistisch...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer