News items for tag security - Koos van den Hout

2021-06-03 New (for me) bitcoin extortion spam, quite well-known for others 3 months ago
Cybercriminal New bitcoin extortion spam coming in for wallet 122F3j5EfUKnuKjFY54pCE43C793eVPSTY. I got it in English, but given the reports it was also sent out in at least one other language.

Which means the author has no idea who pays, but just likes a filled bitcoin wallet.

Tags: , ,
2021-06-02 Uncomplicated Firewall (UFW) : don't confuse it or you will be locked out 3 months ago
I am looking at better protection inside my home network since there is a mix of "trusted" and "not so trusted" devices in the house. I consider devices that just need Internet access to talk to some server out there (the well-known "cloud" better known as "Someone else's computer") and are (mostly) black boxes untrusted compared to systems that are installed with a known operating system and where I can control what they can and can't do.

One of the things I wanted to improve are local host-based firewalls. The firewall in the router linux machine is the result of years of fine-tuning and experience so I manage that by hand. But for somewhat standard hosts I want simple firewalls that are easily managed.

I tried ufw, the Uncomplicated Firewall and on the first (test) machine it went fine without a problem. On the second machine where there are already a few active firewall rules managed by fail2ban something hickupped and before I knew it ufw managed to leave me with an unreachable machine.

The error message from ufw-init was something about being unable to initialize firewall rule ufw-track-output and the net result was that the machine became unreachable. I needed console access to get back in again. Removing/purging the ufw package didn't help, after reinstalling it and trying again the same error came up and the system was unreachable again.

It turns out ufw leaves its own rules in iptables/ip6tables active (prefixed with 'ufw') and this confused ufw-init. I tried removing them by hand (lots of work) or with a very small shell script, but in the end rebooting the machine and only reinstalling ufw after that reboot got me back to a normal usable situation.

Tags: , ,
2021-05-31 Ik probeer een oplichtingsmailtje te melden bij ABN-AMRO, maar... 3 months ago
Volgens Phishing en andere fraude melden - ABN AMRO kan ik het doorsturen naar een speciaal daarvoor ingericht adres. Helaas...
   ----- The following addresses had permanent fatal errors -----
<valse-email.at.abnamro.nl>
    (reason: 553-Message filtered. Refer to the Troubleshooting page at)

   ----- Transcript of session follows -----
... while talking to cluster1.eu.messagelabs.com.:
>>> DATA
<<< 553-Message filtered. Refer to the Troubleshooting page at
<<< 553-https://knowledge.broadcom.com/external/article?legacyId
<<< 553 =TECH246726 for more information. (#5.7.1)
554 5.0.0 Service unavailable
Helaas lukt dat niet, want er zit blijkbaar iets te goeie spamfiltering op dat adres.

Tags: , ,
2021-05-23 New bitcoin extortion spam, known wallet 3 months ago
Three new messages with bitcoin extortion in this morning. All hoping to receive funds at bitcoin address 1L2UavMTrhpCXWn9LvqhCqRSvxYzfQsBw4. This is funny, I've seen this address before, right at the beginning of 2021: New year, new scams - Koos van den Hout but it still hasn't received anything. Good.

Analyzing the headers show a lot of dead ends again. One sample:
Received: from evanwiggs.com (evanwiggs.com [68.171.49.21])
        by mxdrop304.xs4all.net (8.14.9/8.14.9/Debian-xs4all~5) with ESMTP id
        14N7DOiH028056
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=FAIL)
        for <.....@..........>; Sun, 23 May 2021 09:13:27 +0200
Received: (qmail 5080 invoked from network); 23 May 2021 03:13:26 -0400
Received: from unknown (HELO test3.novalocal) (123.156.225.126)
        by evanwiggs.com with SMTP; 23 May 2021 03:13:26 -0400
The host in the middle was different for each attempt, but the 'test3.novalocal' was the same in all three. I'm guessing it is a fake Received header. An online header analyzer agrees with this.

When I search for the name .novalocal it seems related to openstack installations.

Update 2021-05-29: Hello whoever is behind wallet 1L2UavMTrhpCXWn9LvqhCqRSvxYzfQsBw4, please give up!

Tags: , ,
2021-05-07 Anti-spam measures blocking legitimate e-mail 4 months ago
I am using fail2ban to deal with spamming attempts. Some of the spam senders are quite good at trying the same stupidity again 3 minutes later because the error codes are just for non-criminal mail senders. My logs kept filling up with the same stupidity over and over and over again. So I set up fail2ban to block the offending IPs to keep my logs readable.

But this stopped e-mail based alerts from a certain service. I know, e-mail isn't instant messaging.

The error message was:
gosper sm-mta[14317]: ruleset=check_relay, arg1=xx.xx.xx.xx, arg2=xx.xx.xx.xx, relay=xx.xx.xx.xx [xx.xx.xx.xx], reject=421 4.3.2 Connection rate limit exceeded.
This triggered fail2ban directly because I didn't expect normal traffic to exceed this, but the alerts from the service could. So I whitelisted the sending IP in the sendmail access config to make sure the notifications flow.

I also updated the specific bit of fail2ban configuration to only block this after three errors.

Tags: , ,
2021-05-01 Chantage met bitcoin gaat stug door 4 months ago
Cybercriminal Ik hoop dat er eens echt een van de oplichters die de mailtjes 'ik heb al je gegevens en een video van je, betaal in bitcoin om van me af te komen' verstuurd opgepakt wordt. Ze zijn irritant en ik mag regelmatig aan mensen uitleggen waarom het onzin is, energie die ik liever aan andere dingen zou besteden.

Vandaag weer een verse lading in de mailbox. Het lijkt soms wel of er aan het begin van de maand nieuwe oplichters ergens beginnen, want ik zag hetzelfde aan het begin van januari 2021 in het engels. Misschien begint er een verse groep oplichters aan het begin van de maand. "Welkom in je nieuwe baan, succes met oplichten!"

Deze maand weer in goed nederlands, met een wat professionelere toon. Niet van dat gezellige oplichten zoals in maart maar hier is over de tekst nagedacht door iemand die nederlands spreekt en schrijft.
Hallo Laat me me eerst even voorstellen - ik ben een professionele programmeur, die in zijn vrije tijd gespecialiseerd is in hacken. En jij hebt deze keer de pech mijn volgende slachtoffer te worden en ik heb zojuist het Besturingssysteem en je apparaat gehackt.

Ik heb je een aantal maanden geobserveerd. Simpel gezegd heb ik je toestel met mijn virus geïnfecteerd terwijl je je favoriete pornosite aan het bezoeken was.

Ik zal proberen de situatie in meer detail uit te leggen, als je niet echt bekend bent met dit soort situaties. Het Trojaanse virus geeft me volledige toegang tot en controle over je toestel. Vandaar dat ik alles op je scherm kan zien en openen, de camera en microfoon aan kan zetten en andere dingen kan doen, terwijl jij niets door hebt.

Bovendien heb ik ook toegang tot je hele contactenlijst op sociale netwerken en je apparaat.

Je vraagt je misschien af - waarom heeft je antivirus dan tot nu toe geen kwaadaardige software gedetecteerd?

- Mijn spyware gebruikt een speciaal stuurprogramma, dat een handtekening heeft die regelmatig bijgewerkt wordt, hierdoor kan je antivirus het gewoon niet opmerken.

Ik heb een videoclip gemaakt waarin je op het linkergedeelte van het scherm aan het rukken bent, terwijl het rechtergedeelte de pornovideo toont die je op dat moment aan het bekijken was. Een paar muisklikken zouden voldoende zijn om deze video door te sturen naar al je contactenlijst en sociale media vrienden. Ik kan ze zelfs uploaden naar online platforms voor publieke toegang.

Het goede nieuws is dat je dit nog steeds kunt voorkomen: Alles wat je moet doen is 1250 EUR aan bitcoin overmaken naar mijn BTC wallet (als je niet weet hoe dat moet, doe dan wat zoekwerk online - er zijn genoeg artikelen die het stap-voor-stap proces beschrijven).
De bitcoin adressen zijn 14y2t9ahbTDLaG5kuMMdY9dG9TgNNcNEJM en 1Ef22Z8MKmZUVePpESGgeNv2bZFNbMpRsr. Beide mailtjes zijn overigens exact hetzelfde, dus of het dezelfde oplichter is of dat er andere schrijvers dan oplichters zijn is de vraag.

Want ze verbergen zichzelf wel goed. Als ik de bron IPv4 adressen nazoek zijn het allemaal consumentenaansluitingen in andere landen waar shodan verder niets over weet. Dus dat wijst vast naar computers met malware er op waarvan de eigenaars geen idee hebben wat er mis is. En traceren van wie een bitcoin wallet is is ook een uitdaging.

Tags: , , ,
2021-04-27 Played in the HackTheBox & CryptoHack Cyber Apocalypse 2021 4 months ago
A CTF or Capture the flag is an information security competition where puzzles are offered that have to be solved with techniques from information security. This can range from a simple knowing where to look for clues in data to having to use the latest exploit techniques against systems to get access. The solution is usually a digital 'flag' that proves you solved the puzzle.

A co-worker who has been at the 'receiving end' a few times of the CTF challenges the SURFcert team creates with some help of me invited a number of people at work to the HackTheBox & CryptoHack Cyber Apocalypse 2021.

And I decided to join! We dove into the challenges a number of evenings. I solved a few hardware challenges on my own, and I did parts in solving other challenges. I learned about .sal files and logic analyzers. And I learned cracking a (not too big) public RSA key is doable these days.

Where others wrote bits of python to solve things I used grep and awk. But in the end we got there.

Our team ended in the top 6% which is not bad for doing this on weekday evenings besides our jobs and other bits of life. I posted about this on linkedin in Dutch: Collega Simon Kort BICT nodigde mij uit voor het meedoen in deze CTF.

Tags: ,
2021-04-10 Cleanup of my gpg private key 5 months ago
I learned about changes in GPG needing some updates to private keys so I loaded the private key for 0x5BA9368BE6F334E4 in a backup keyring and tried to find out what needs to be done. The explanation at Fixing old SHA1-infested OpenPGP keys seems to have the important parts.

Make sure the preferences are set correctly (no SHA1) and do a 'clear' on the key. I took the chance to change the expiry date to something a bit more in the future, set the e-mail address that I now use as primary and updated the weblink to my homepage to https://idefix.net/.

I also updated the details on PGP - Koos van den Hout so these can be verified.

Tags: ,

IPv6 check

Running test...
, reachable as koos+website@idefix.net. PGP encrypted e-mail preferred. PGP key 5BA9 368B E6F3 34E4 local copy PGP key 5BA9 368B E6F3 34E4 via keyservers

RSS
Meningen zijn die van mezelf, wat ik schrijf is beschermd door auteursrecht. Sommige publicaties bevatten een expliciete vermelding dat ze ongevraagd gedeeld mogen worden.
My opinions are my own, what I write is protected by copyrights. Some publications contain an explicit license statement which allows sharing without asking permission.
Other webprojects: Camp Wireless, wireless Internet access at campsites, The Virtual Bookcase, book reviews
This page generated by $Id: newstag.cgi,v 1.34 2020/12/31 15:36:31 koos Exp $ in 0.019821 seconds.