Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

25-09-2014, 23:12 door [Account Verwijderd], 14 reacties
[Verwijderd]
Reacties (14)
26-09-2014, 00:25 door Anoniem
De 'enige Malle Waren' die ik na uitschakelen van de diverse addons / extensies aantref zijn

- Canvas tracking techniek
"This website (www.telegraaf.nl) attempted tp extract HTML5 canvas image data, which may be used to uniquely identify your computer."

- Extra cookie melding bij een niet vertoonde advertentie?
"Om dit element te tonen dient u cookies te accepteren voor de telegraaf. Dit kan in verschillende niveaus. Klik hier voor meer informatie."
Diverse dingen geprobeerd, kreeg het element niet zichtbaar, laat het erbij (verder niet mijn voorkeur nieuws medium, was evengoed wel benieuwd).

De op zich correct ogende (niet eerder geziene aanpak) doet er daarbij eigenlijk er niet meer zo toe. De cookie melding is buiten elke verhouding en nogal 'misleidend' als je tegelijkertijd op de achtergrond het veel zwaardere persistente canvas tracking lijkt toe te passen.

Canvas tracking valt trouwens ook onder de cookie wet.
ICT Recht - Ook canvas fingerprinting valt gewoon onder de cookiewet
25 juli 2014 door Arnoud Engelfriet
https://cookierecht.nl/cookiewet/ook-canvas-fingerprinting-valt-gewoon-onder-de-cookiewet/

Cookies of Canvas tracking?
De laatste is minder onschuldig en persistenter.
"Webgl" in je browser disabelen schijnt te helpen als je niet via Persistente Canvas Tracking Techniek in 'de database wil'.

Deze canvas tracking aanpak geldt ook voor o.a. "Buienradar" en nog een paar bekende / grote websites.
26-09-2014, 07:43 door [Account Verwijderd]
[Verwijderd]
26-09-2014, 08:08 door [Account Verwijderd]
[Verwijderd]
26-09-2014, 16:20 door regenpijp
Het kan een FP zijn op een APK file
VB: https://www.urlquery.net/report.php?id=1411075930062

Normaal gesproken zou Linux geen target moeten zijn van malvertising
26-09-2014, 16:39 door Anoniem
Door regenpijp:
https://www.urlquery.net/report.php?id=1411075930062
Iemand heeft nog wat achterstallig huiswerk open staan / niet opgelet

Melding
This Connection is Untrusted

You have asked "browser" to connect securely to www.urlquery.net, but we can't confirm that your connection is secure.

Normally, when you try to connect securely, sites will present trusted identification to prove that you are going to the right place. However, this site's identity can't be verified.
What Should I Do?

If you usually connect to this site without problems, this error could mean that someone is trying to impersonate the site, and you shouldn't continue.

www.urlquery.net uses an invalid security certificate. The certificate is only valid for urlquery.net (Error code: ssl_error_bad_cert_domain)

Technical Details

Connection Not Encrypted
The website www.urlquery.net does not support encryption for the page you are viewing.
Information sent over the internet without encryption can be seen by other people while in transit.

@ Ts, wat voor / welke files downloadde je browser dan?
26-09-2014, 21:15 door [Account Verwijderd]
[Verwijderd]
26-09-2014, 22:12 door [Account Verwijderd]
[Verwijderd]
27-09-2014, 09:59 door [Account Verwijderd]
[Verwijderd]
28-09-2014, 19:33 door Anoniem
BOOMads?... Klinkt als iets uit het Midden-Oosten. Het schijnt BOOMing business te zijn daar tegenwoordig.
Maar alle gekheid op een plofkip die van zijn stokje is gevallen (en bij de wee: een engelstalige kalkoen is ook prima):

in allerijl op 25/9 's avonds laat nog even een "scriptshot" van de startpagina van telegraaf.nl gemaakt.
Dit zojuist wat nader bekeken, maar niets verontrustends ontdekt.
Het enige wat direct aan "media.boomads.com" was gerelateerd, waren vier verwijzingen naar .jpg plaatjes.
Even gescreend met clamav en op .elf signature (7F 45 4C 46) (scriptshot en de vier "naar beneden gehaalde" plaatjes),
maar niets schokkends gevonden. (in de webpagina stond wel heel vaak "self" (egoïstich kreng!...) maar dus geen ".elf").
Maar inderdaad: je kunt het maar beter wat in de gaten houden.
En misschien moet je voor de zekerheid even kijken of je DNS-instellingen (router) niet zijn aangetast?
29-09-2014, 07:38 door [Account Verwijderd]
[Verwijderd]
29-09-2014, 16:02 door [Account Verwijderd]
[Verwijderd]
30-09-2014, 19:10 door Anoniem
Sapperdeflap, das toch mooi dat je een reproduceerbaar bestand hebt gevonden Old Oak!
Ga die .jpg eens openen met een hex-editor. Dan vind je op regel 0x690: 7F 65 4C 46.
En in mijn bericht van 28/9 19:33 had ik als signature voor een .elf bestand genoemd: 7F 45 4C 46.
Bijna hetzelfde dus.
Maar kijk in een ASCII tabel, dan is hexadecimaal 45 4C 46 gelijk aan ASCII "ELF".
En hexadecimaal 65 4C 46 is gelijk aan... "eLF" in ASCII!
Knorretje snorretje zal wel niet hoofdlettergevoelig controleren, en dus ook "eLF" als een mogelijk .ELF bestand beschouwen. Vandaar het alarm. Vermoedelijk inderdaad een FP, veroorzaakt door pixeldata die heel toevallig de gedaante heeft aangenomen van de signature voor een .ELF -bestand. Dat zou alles verklaren.

Wel een goeie trouwens!
En ook een instinker, want de volgende keer kun je nu gemakkelijk denken: "O, 't zal wel weer zo'n FP zijn."
Maar je kunt nooit weten...
02-10-2014, 02:16 door Anoniem
Mogelijke malware via Telegraaf.nl via ads

26 september, 23:12 door Old Oak

Hoi,

FYI, ik was wat aan het surfen en nadien even logfiles doorlopen en snort had een prio 1 melding. Na wat uitzoekwerk and playback van de sites die ik bezocht had kwam ik terecht bij een repeatable snort melding op telegraaf.nl

Snort melding ET Policy executable and linking format (ELF) file download, PRIO 1. via ipadres 83.66.162.75 en was toen nog resolvable naar media.boomads.com later kreeg ik domain not resolvable.

Ik hou niet zo van executable downloads, zeker niet voor wat tekst en plaatjes ;-)

Mijn client is standaard Ubuntu met firefox (De eerste keer met adblocker/noscript en geen flash etc.) Ik heb zo geen windows of mac bij de hand, dus weet niet wat die doen.

My 2ct's...

Leuk dat er meerdere mensen zijn die de moeite nemen om even verder te kijken, dank daarvoor.
@ cya, for'mallie' known as "Old Oak"
Wat is het nut van het verwijderen van dit topic en ook nog het veranderen van de accountnaam?

Je mankeert een topic waar reageerders moeite in hebben gestoken, moeite om zich in je vraag te verdiepen, antwoorden die ook voor anderen interessant kunnen zijn moeten het dan doen zonder de originele vraag.

'enige Malle Waren'
Het veranderen van je accountnaam voor het opheffen ervan maakt de eigen gegeven reacties niet onvindbaar.
Opmerkelijke actie.

Helaas zijn het wel erg vaak deze vlotte halers die dit gedrag vertonen, je bent er niet alleen voor jezelf!
Dit soort binnenzeilen en weer vertrekken van het forum met achterlaten van broken topic's, maakt het idee alleen maar sterker om niet/nooit meer op een eerste forumvraag van een net aangemaakt account te reageren.

Slechte zaak.
02-10-2014, 11:54 door Anoniem
Door Anoniem:
26 september, 23:12 door Old Oak
...
Leuk dat er meerdere mensen zijn die de moeite nemen om even verder te kijken, dank daarvoor.
@ cya, for'mallie' known as "Old Oak"
Wat is het nut van het verwijderen van dit topic en ook nog het veranderen van de accountnaam?

Je mankeert een topic waar reageerders moeite in hebben gestoken, moeite om zich in je vraag te verdiepen, antwoorden die ook voor anderen interessant kunnen zijn moeten het dan doen zonder de originele vraag.

'enige Malle Waren'
Het veranderen van je accountnaam voor het opheffen ervan maakt de eigen gegeven reacties niet onvindbaar.
Opmerkelijke actie.

Helaas zijn het wel erg vaak deze vlotte halers die dit gedrag vertonen, je bent er niet alleen voor jezelf!
Dit soort binnenzeilen en weer vertrekken van het forum met achterlaten van broken topic's, maakt het idee alleen maar sterker om niet/nooit meer op een eerste forumvraag van een net aangemaakt account te reageren.

Slechte zaak.
+1

Zeer irritant inderdaad, ik ben zelf ook overgestapt van een account naar anoniem, maar dat betekent niet dat ik mijn oudere bijdragen dan ook maar gelijk wil verwijderen.
Niet in het minst omdat je met account ook een behoorlijke mate van anonimiteit kunt behouden, ik zie dan ook het nut er niet van in. Behalve als het doel 'trollen' is natuurlijk...

Het ergste van alles is nog wel dat het mij demotiveert om constructief op nieuwe topics te reageren, wat anon@02:16 ook al aanhaalt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.