Belangrijk: Voor het goed functioneren van nrc.nl maken wij gebruik van cookies (meer informatie).
Hiervoor hebben wij wel eerst je toestemming nodig. Klik op de groene knop als je hiermee akkoord gaat.

Alle alarmbellen gingen af: wat gebeurde er dinsdag op nrc.nl?

chrome-480x318
door

Wie dinsdag nrc.nl of nrcnext.nl probeerde te bekijken, stuitte op bovenstaand rood scherm: doe het niet, het kost je je computer. Veel browsers gaven de melding dat onze sites potentieel gevaarlijk waren, met mogelijke identiteitsdiefstal tot gevolg. Wat ging er mis?

Eerst dit: wie dinsdag na zeven uur ‘s ochtends toch onze site bezocht, liep geen risico. Dat wil niet zeggen dat zo’n alarmerende melding van je browser iets is om voortaan te negeren. Neem het altijd serieus. Ook nu was er wel degelijk iets aan de hand geweest op nrc.nl en nrcnext.nl, zij het niet meer na zevenen.

Twitter avatar tomvonk Tom Vonk @pvdp Ik kreeg een melding van Chrome dat nrc.nl zeer waarschijnlijk malware bevat... 13 november

De rode schermen

Het begon zo. Toen ik om half zeven wakker werd en m’n telefoon bekeek, kreeg ik twee tweets van lezers die tegen zo’n rood scherm aanliepen. Ook de dienstdoende redacteur van nrc.nl hing aan de bel. Onze techneuten kwamen er zeer rap achter dat er iets mis wat met een of meerdere advertenties op, in elk geval, nrc.nl. Omdat je het maar nooit weet, zijn binnen een half uur nadat mijn wekker ging alle advertenties uitgezet, ook op nrcnext.nl. Nu de advertenties uitstonden was het gevaar in elk geval geweken en kon, wat er ook aan de hand was met de reclames, niets waar wij de herkomst niet van kenden nog ongewild de wereld inkomen.

Bij het in alle rust uitzoeken van het probleem bleek een vermoeden te kloppen. Het probleem bevond zich niet op de NRC-sites zelf, maar iemand heeft rond 1.00 uur ‘s nachts toegang weten te krijgen tot een server van een externe partij, die onze advertenties verzorgt. We weten nog niet precies hoe het kan dat die toegang verkregen is, maar wel waarom. De hacker heeft enkele codes (javascripts om precies te zijn) van advertenties weten aan te passen, waarmee het mogelijk was een kwetsbaarheid in Java (een door bijna alle computers te lezen programmeertaal) te exploiteren. En niet op een kinderachtige manier. De geïnstalleerde malware is een Sinowal-trojan, specifiek gemaakt om bankgegevens te stelen. De ‘exploit’, zoals dat heet, wordt door nog maar weinig virusscanners opgepikt en is daarom vermoedelijk niet eerder opgemerkt.

Het kan de beste overkomen: van zo’n zelfde stuk malware was NU.nl eerder dit jaar slachtoffer. Webwereld heeft er een helder stuk over geschreven, op basis van een analyse van Mark Loman van Surfright. Hij zegt:

“Slechts 4 van de 44 virusscanners op VirusTotal herkennen deze variant. Dat betekent dat de kans bijzonder groot is dat iedereen die de NRC-sites heeft bezocht voordat de advertenties zijn verwijderd, is besmet”, aldus Loman, die bevestigt dat de malware in advertenties van derden zat verstopt en dus niet op de NRC-websites zelf.

Via de gewraakte advertentie wordt toegang gezocht via een externe malafide website. Deze maakt op zijn beurt weer contact met de exploit-kit. Vermoedelijk gaat het om een stukje Javascriptcode die de aangepaste versie van Sinowal-trojan probeerde te installeren.”

Wie heeft risico op besmetting gelopen?

Ik heb geen idee hoeveel mensen mogelijk bloot hebben gestaan aan een digitale infectie, en wil iedereen die in de nacht van maandag op dinsdag of dinsdagmorgen een van onze sites heeft bezocht daarom nogmaals op het hart drukken de virusscanner nog eens flink aan het werk te zetten.

Kies voor een scanner van Avast, GData (waarvan een gratis proefversie te downloaden is) en Kaspersky Lab, want andere scanners herkennen deze Sinowal nog niet. Dit alles geldt in principe voornamelijk voor Windows-gebruikers. Wie met een Mac of met Linux werkt heeft een kleinere kans om getroffen te zijn.

Om zeven uur uitgeschakeld, maar de hele dag op rood

Naast de zorg over iedereen die mogelijk door een onschuldig bezoek aan een site waar wij zo hard aan werken is geraakt door dit virus, duurde het ook nog eens heel erg lang voordat de meldingen verdwenen. Dat komt omdat de meeste browsers (in elk geval Safari, Firefox en natuurlijk Chrome) gebruik maken van de database van Google om na te gaan of sites wel of niet zonder kleerscheuren te bezoeken zijn.

Bij Google scant men (automatisch) elke 24 uur of dit zo is. We hebben Google gevraagd of er iets rapper naar gekeken kon worden, om zo de wereld duidelijk te maken dat we weer helemaal veilig zijn. Via de zeer behulpzame mensen van Google Benelux werd Google in Mountain View ingeschakeld, waar ze zo vriendelijk waren extra scans uit te voeren. Maar daar gaat tijd over heen. Daarom kon pas na het aanbreken van de avond, rond zeven uur ‘s avonds (dus twaalf uur nadat bij ons de stekker uit de bron van infectie was getrokken) het sein brand meester worden gegeven en gaven browsers geen melding meer van schadelijke content op nrc.nl of nrcnext.nl.

Balen

Het spreekt voor zich dat ik enorm baal van de inbraak. Achteloze bezoekers liepen gevaar, het vertrouwen in onze site(s) is beschadigd, en onze inkomsten liepen een flinke deuk op. Toch ben ik blij dat we snel hebben kunnen handelen. Doordat ik al vroeg berichten kreeg van oplettende lezers hebben we de schade weten te beperken. Je moet er niet aan denken dat zo’n gat open blijft staan en duizenden mensen via onze site blootgesteld werden aan zo’n potentieel destructief virus.

Het spreekt ook voor zich dat we hebben besloten om ons advertentiebeleid te herzien, zodat deze specifieke methode van digitaal inbreken in elk geval niet meer bij ons mogelijk is.

Nogmaals mijn welgemeende excuses voor eventueel aangericht ongemak.

Geplaatst in:
Algemeen
Lees meer over:
malware
nrc.nl
nrcnext.nl
Sinowal
virus

78 reacties op 'Alle alarmbellen gingen af: wat gebeurde er dinsdag op nrc.nl?'

Otto Moerbeek

Ik blijf toch het zekere voor het onzekere nemen en adblocker gebruiken, want wie zegt dat deze nieuwe advertentieleverancier zijn zaakjes wèl op orde heeft?

Benjamin

Man man man… Als je er geen verstand van hebt doe dan ook geen suggesties. Microsoft Security Essentials is ongeveer het beste (gratis) antivirus pakket verkrijgbaar voor Windows en heeft Sinowal al sinds 11 mei 2011 in hun virusdefinities staan. Beetje gevaarlijk om als nitwit mensen aan bepaalde software pakketten te helpen.
http://goo.gl/bxXnD

johan j

@otto ad-blockers maken weinig verschil in dit geval.

Maar wat een andere partij oplevert is me niet helder. Alles is hackbaar, dus andere provider verandert weinig. Maak liever met huidige partij betere afspraken. Ze zullen zelf ook geschrokken zijn.

Peter van der Ploeg
Peter van der Ploeg

@Benjamin, mijn informatie is gebaseerd op het advies van VirusTotal (van Google). Bij mijn beste weten geen nitwits. Maar evengoed dank voor je aanvullende informatie.

Peter van der Ploeg
Peter van der Ploeg

@Otto, ik snap die reflex absoluut, maar een adblocker kost ons, uiteindelijk, ons brood. En dan is er helemaal geen nrc.nl meer. Dit kan elke site gebeuren. Wij doen er echt alles aan om dit in de toekomst te voorkomen. En een adblocker lost bovendien lang niet alles op.

LAZ

Bugje: vanaf http://www.nrc.nl/apps/bigboard/ kom ik op een andere website terecht als ik op de link naar dit artikel klik.

michael breedveld

ik ben meestal niet zo vroeg, maar een proefversie aanbieden voor pc’s is pas compleet als er ook een pakket voor mac’s wordt aangeraden. of doet dit virus niks met apple computers?

Piet Mal

G-data bleek voor mij een ramp. Na installatie en herstart bleef mijn computer eeuwig hangen in de opstartfase. G-data verwijderen via ‘programma’s en onderdelen’ was geen optie. Ik kon het eenvoudigweg niet bereiken. Zelfs taakbeheer of afsluiten was teveel gevraagd. Veilige modus hielp ook al niets.

Ik had eerder al Avast geprobeerd. Maar Avast installeert ongevraagd Chrome en stelt deze zonder toestemming in als standaardbrowser. Ik zit niet op die privacy-minnende wereldverbeteraars van Google te wachten.

Onlangs stond er een interessant artikel in de N.Y Times* Je vraagt je af of zo’n radicaal nieuw ontworpen computer er ooit zal komen. Zullen computer-experts en ontwikkelaars van anti-virus- en anti-malware-software bereid zijn om hun belangen op te geven? Zij bestaan immers bij de gratie van onveilige computers. Ik vrees dat hun macht wel eens groter zal blijken dan ons leken lief zou moeten zijn.

Misschien een interessant vraagstuk voor deze krant om uit te diepen? U heeft wat goed te maken…

*
http://www.nytimes.com/2012/10/30/science/rethinking-the-computer-at-80.html?pagewanted=all&_r=0

Rick Lowden

Wat mij overigens wel opvalt is dat de NRC site niet reageert tijdens het openen en het laden van de advertenties, hetgeen toch zeker 4,5 seconden duurt, behoorlijk irritant en je vraagt je af waarom?

Jori Stam

Wat een overdreven gedoe :’)

Catharina

@ Piet Mal,
even vinkje voor de Chrome-optie verwijderen bij de installatie van Avast. Je kunt kiezen. Mij bevalt Avast prima.

willem henk

Belangrijke aanvulling is dat de malware gebruik maakte van gaten in Adobe Flash en Java, die op vrijwel alle PC’s draaien. Voor het gat in Flash is al een tijd terug een update gevonden, bij Java dacht ik ook maar dat is minder duidelijk. Gebruikers die deze programma’s up to date houden, liepen dus waarschijnlijk geen risico.
Java kun je sowieso beter van de PC gooien, het wordt vaak standaard meegeleverd maar je hebt het vrijwel niet nodig en het is zo lek als een mandje.

joostamsterdam

Wat moeten we doen om van die vreselijke advertenties (geldt trouwens voor alle kranten-sites) te worden verlost?

Martin

Ik blij dat ik Linux gebruik!

Uit veiligheid heb ik gister toch nrc.nl maar gemeden.

Overigens bedankt voor de uitleg over wat is gebeurd.

rob aalbers

@Peter vd Ploeg, zoals eerder gemeld, dank voor snelle reacties, openheid en nu een “nabeschouwing” waarin je nog meer duidelijkheid geeft. Toch steun ik Otto in het gebruik van adblock (uitgebreid met noscript, verbod op iframes en pop-up-windows, geen Java, linux met virusscanner enz). Als abonnee voel ik me niet schuldig over “broodroof”. Dergelijke maatregelen vormen mijn laatste verdedigingslinie tegen rommel van sites (of third-parties) die steken laten vallen. Ook helpen ze nog niet bekende malware te voorkomen. Dus niet zeuren over het verdienmodel van NRC waarbij overigens ook gegevens terecht komen bij commerciele partijen (op deze pagina bv “scorecard research beacon”.

Constant Thunnissen

Ooit werd Windows 95 gelanceerd. Ook toen al was de reactie: Windows 95 kan nog steeds niet wat Apple Macintosh 84 al kon. Daar is nog niets in veranderd. Windows is en blijft een houtje-touwtje systeem en het blijft sappelen. Heel diep ergens in de krochten van elk Windows programma zit nog een heel klein MS-DOS mannetje verstopt die de zaak verstiert en dan erg moet giechelen. Het enige goede dat Windows heeft gebracht is de Bill & Melinda Gates Foundation.

B. Zerkowitz

“De hacker heeft enkele codes (javascripts om precies te zijn) van advertenties weten aan te passen, waarmee het mogelijk was een kwetsbaarheid in Java (een door bijna alle computers te lezen programmeertaal) te exploiteren.”

Is ook bekend welke versie van java wordt geexploiteerd?
Zijn Win users met de meest recente versie van Java ook kwetsbaar geweest?
Overigens vind ik een adblocker volkomen legitiem indien sites niet kunnen garanderen dat banking trojans niet zullen worden geserveerd aan de lezer.

Otto Moerbeek

Ik kan de post van rob aalbers volledig onderschrijven. adblock is slecht één van de maatregelen die ik tref.

Advertenties zijn hinderlijk en verlengen de laadtijd van pagina’s; advertentiesyndicaten plegen regelmatig inbreuk op privacy. Ik betaal al voor de nrc, dus ik vind niet dat ik ook maar iemand benadeel.

Dirk

>>Rick Lowden

Dit heeft te maken met alle advertentie en statistiekscripts in de pagina’s. Ik heb er ook meerdere malen over gemaild maar nooit antwoord gekregen. Daar heeft men geen tijd voor. Men moet natuurlijk gratis werken om gratis nieuws te verstrekken (maar niet heus)
Later was het plots weg. Een NRC administrator was er in nrc lab blog reuze trots op dat ze na een jaar hadden weten weg te halen.
Nu is het weer terug en zul je met een site en adblocker in de weer moeten om het weg te drukken.
Noscript in Firefox helpt ook.
Lees hier maar even verder:
http://www.nrc.nl/nrclab/2012/06/05/nrc-nl-en-de-cookiewet/

Paul van Zweeden

Benjamin heeft 100% gelijk.
Download “Microsoft Security Essentials” , install it and restart .
Problem solved !

http://www.microsoft.com/security/portal/Definitions/ADL.aspx

tomaasj

Ubuntu

Appie Verschoor
appie

@Rik Lowden, wat helpt bij het volgen van het draadje van Dirk is dat hij zich daar ‘Antje Hage’ noemt. Wat wél zou helpen, is bij dit soort klachten merk browser, os, type verbinding en pagina te noemen waar je denkt dat je onduldbare laadtijden krijgt. Met algemene klachten als deze, waarbij we in het wildeweg een beetje rondklikken om te zien of we het na kunnen spelen kunnen we niet zo veel.

Rick Lowden

@ Appie Verschoor, het was meer een observatie dan een gerichte klacht, maar goed, bij deze de gevraagde info: ie9/win7-64/20mbs/hoofdpagina en alle volgende pagina’s
Het is niet zozeer ‘t wachten op zich, dan wel het gevoel dat ‘t onnodig is….

Appie Verschoor
appie

Als de advertenties weer aan staan zullen we er eens naar kijken, nu is het een seconde en de hele pagina staat, (Win-vista, IE9, 20Mbs). Mijn vermoeden is dat het vooral gebeurt als er Silverlight wordt gestart (Publieke omroep video’s) of Flash voor het eerst wordt aangeroepen, dat kan even duren. Vooral Silver Light.

Henk Koning

Ik vind dat dergelijke bekende, veel gebruikte sites, als nrc of nrcnext, of het reclame buro waar ze gebruik van maken, zélf een technisch volledig onafhankelijke controle moeten opzetten, zodat ze er zélf binnen een minuut achter komen dat er iets fout is en de boel afsluiten.

Jan lid

Gewoon een mac kopen.

Peter van der Ploeg
Peter van der Ploeg

@Otto Moerbeek: van de inkomsten die NRC Handelsblad en nrc.next genereren, wordt nrc.nl niet bekostigd. Nrc.nl wordt bekostigd met de inkomsten die nrc.nl genereert.

@B. Zerkowitz: Kijk even bij Surfright voor meer informatie over deze specifieke exploit.

@Constant Thunnissen: Het punt is niet dat Apple machines hier tegen bestand zijn – dat is niet zo. Deze specifieke exploit is gericht gemaakt voor Windows. Het kan zijn dat Macgebruikers de malware wel hebben binnengehaald, alleen omdat het script niet specifiek voor Windows is geschreven, kan er weinig gebeuren. Dat Windows vaker wordt getroffen door malware en virussen, komt eigenlijk vooral omdat er veel meer mensen zijn die Windows gebruiken, en daar dus ook meer virussen voor worden geschreven. (Het is precies wat Joop Arends schrijft)

@Rob Aalbers: Wij delen geen informatie met commerciële partijen in de zin die jij bedoelt. Wij verzamelen informatie over het bezoek van gebruikers om er bijvoorbeeld voor te zorgen dat advertenties worden ‘gecapped’. Dat zorgt ervoor dat je niet bij élk bezoek een advertentie krijgt, maar slechts na (bijvoorbeeld) vijf pagina’s. Adblock en noscript helpen (vaak, soms wel) lang niet altijd tegen dit soort malware. Zeker deze niet. En: nogmaals, ik snap het echt – begrijp me niet verkeerd – maar ons verdienmodel is nu eenmaal gebaseerd op advertenties op nrc.nl. Die blokkeren is echt broodroof.

@Joostamsterdam: Alleen sites bezoeken waar je rechtstreeks voor betaalt is de oplossing.

@Willem Henk: bij mijn weten is de laatste versie van Java veilig – maar ik durf daar op dit moment niet m’n hand voor in het vuur te steken.

@Henk Koning, dat laatste is eigenlijk precies wat we hebben gedaan. Zelf alles onafhankelijk in de hand houden, dat is bijna niet mogelijk. Of ook nrc.nl moet er een veel te dure paywall tegenaan zetten – wat ook wij niet willen. Vergelijk het met de krant: de drukkerij (en vele andere afdelingen in het proces van het maken van een krant) is ook niet van ons.

rob aalbers

Hoewel het geen security-forum is:

Degenen die zich met linux veilig wanen: de Java-exploit geldt blijkbaar ook voor ons: http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-5076.html

En nee, MS essentials kende de signatures niet: http://webwereld.nl/nieuws/112450/malware-nrc-nl-blijkt-agressieve-bankrover-sinowal.html. Het betreft hier een steeds veranderende “familie”. Deze versie is voor het eerst gespot op 11-11-2012. MS geeft het sinds 14-11-2012 opgenomen in de nieuwste definities: http://www.microsoft.com/Security/portal/Threat/Encyclopedia/Entry.aspx?Name=Exploit%3AJava%2FCVE-2012-5076.A&ThreatID=-2147299272.

Dat is nog altijd beter dan de linux-scanners.

Door bezoekje in de genoemde tijd, is systeem (zonder Java) “on probation”. Zwerft er echt geen JRE rommel meer rond?

Is er meer bekend over bv. files die worden toegevoegd/gedownload?

Malware infecteert MBR, dus voor de zekerheid maar eens CD-boot en vergelijken met backup. Voor de pinguins: dd if=/xxx/naam_mbr_backup of=/dev/sda bs=512 count=1 (backup maken gaat andersom maar pas op: dd vereist denken, dan pas tikken en nog eens lezen voor de enter). Of data migreren en Clonezilla image terugzetten.

Schat mijn risico niet hoog. Toch kost het tijd en een boel “gedoe” om zeker te zijn van veiligheid. En na een besmetting met geraffineerde malware/virussen weet je bijna nooit echt zeker dat je systeem weer “schoon” is na het gebruik van virusscanner/verwijdertools. Een nieuwe installatie of gebruik van een disk-image geven die garantie wel, maar zijn veel werk.

Kennen de contracten van NRC boete-clausules voor de advertentie-bedrijven indien zij malware serveren ?

En hoe reageert NRC wanneer een (betalende) klant de malware niet zelf kan verwijderen en dit door een professional laat doen a EU 75,- ?

Harm ten Napel

Praat toch alsjeblieft niet over ‘techneuten’ dat is zo’n irritante stuip van alfa hoofden die zelf nog geen spijker in een muur kunnen slaan om een schilderij op te hangen. Die mensen heten technici of analisten.

Piet de Vries

Fijn dat je zo betrokken reageert. Ook over jullie verdienmodel en implicaties.

rob aalbers

@Peter vd Ploeg, totdat ik exact kan nalezen wat welke “3rd party” aan gegevens verzamelt en wat zij ermee doen, blijf ik mijn bedenkingen houden bij de “tracker-bedrijven”. Noem het maar paranoia, maar elke keer dat een stukje code wordt uitgevoerd, gaan mijn IP, browser-header en nog wat kleinigheidjes zoals de pagina die ik opvraag (=wat ik lees) naar de betreffende partij. Dat is inherent aan het opvragen van de gegevens van hun server. Die gegevens hoeven jullie helemaal niet te delen. En die bedrijven gebruiken die gegevens (samen met-, of net als jullie: om “de website te personaliseren / optimaliseren”, lees: klantsegmentatie en toegesneden advertenties. Daarnaast zijn veel van deze trackers actief op een groot aantal websites naast NRC. En ga ik er voor het gemak maar van uit dat die gegevens door de tracker worden gecombineerd (zelfde IP-adres, zooo simpel en verleidelijk).Tenzij je ze dat contractueel expliciet verboden hebt ?

Ten aanzien van de ad-en scriptblockers: wanneer jullie mij een 100% garantie kunnen geven ten aanzien van de veiligheid, zal ik overwegen te leren leven met knipperende en flitsende afleidingen van jullie artikelen en helpen zo inkomsten te genereren.
Tot die tijd is elk beetje veiligheid dat ze me bieden welkom. Verdediging in lagen is een goed IT-principe.

rob koopman

De alarmbellen mogen bij het NRC best wat harder afgaan, blijkbaar dringen ze niet door. Ik verwacht de eerste paar weken een paarse banner met een waarschuwing op de voorpagina met een link naar een pagina met instructies hoe de troep te detecteren en te verwijderen.

bas welsink

Gelukkig heb ik MCafee en maak ik mij nooit zorgen, maakt tenminste niet een slome duikelaar van je computer en houd ook nog eens alles tegen :) En nee dit is geen reclame maar gewoon harde feiten.

bas welsink

rob koopman Internet is eigen riscico, iedereen kan gehackt worden, zelfs en juist Apple en Microsoft omdat zij natuurlijk een heleboel gegevens hebben die goud waard zijn. De advertenties waardoor de website van NRC geregeld worden gaan via een externe website en worden hier alleen maar weergegeven waardoor ook de scripts hier terecht komen waardoor u een virus kan oplopen. NRC heeft hier verder vrij weinig te controlleren. Over die banners, mensen (vooral ouderen) vinden dat hun handje maar moet vastgehouden worden en voor alles beschermd moeten worden. Maar zo werkt het niet, de eerste keer fietsen wordt ook niet de hele tijd je hand vast gehouden dus get over it. Maarja tegenwoordig willen ouderen een soort heiligen aura om zich heen hebben en is alles wat nieuw is natuurlijk slecht in deze maatschappij.

bas welsink

En mensen, het internet is meer dan headertjes ip adresjes etc… En u zou eens moeten weten wat voor mogelijkheden dit bied bij bijv. web winkels. Maar daar heeft u vast niet aan gedacht. Internet is altijd geweest zoals het is, waarom moeten mensen die er zo min mogelijk mee te maken willen hebben het willen veranderen. Er valt nog prima zonder te leven.

bas welsink

Henk Koning wat denkt u wel niet wat dat kost. Overal ligt een risico ook het internet. Spendeer gewoon een paar eurotjes per jaar aan een knappe virusscanner (en laat hem ook daadwerkelijk een aantal keren p/m scannen in plaats van alleen realtime) en je bent van dat gejank vanjezelf af. Heb zelf ook een keer ongemerkt een virus gehad maar toen was ING er ook zo bij en blokkeerde de boel voordat het fout ging, ga er maar vanuit dat als je eigen scan het niet lukt dat de banken het iniedergeval wel kunnen. En voor belangrijke spullen moet je gewoon een hele aparte computer nemen waar je gewoon alleen maar op websites van je bedrijf komt of gerelateerde websites. Makkelijk zat.

Frans Sijtsma

Al sinds gisteren is de gegeven link van gdata vanuit hier, Indonesia, niet te bereiken. Google browser geeft het aan als onvindbaar. Via een andere laptop (apple) lukt dat wel. Wat kan er aan de hand zijn?

Han Thomas

Allereerst vind ik het ontzettend goed om zo duidelijk en open te zijn over wat er aan de hand was. Hulde.

Ik snap ook het nut van advertenties. Kunnen advertenties niet beter in eigen beheer, en vanaf eigen servers geserveerd worden? Dan heb je veel meer controle over je site.

Otto Moerbeek

Verzin een ander verdienmodel, waarbij je niet afhankelijk bent van dubieuze derde partijen en irritante reclames. Zie het algemene gebruik van adblockers en dergelijke als een signaal van gebruikers: wij moeten die troep die ook nog eens beveiligings- en privacy risico’s met zich meebrengen niet.

Sander van der Linden

Ik kon niet nalaten om te lachen om de ellende van de wereld die Windows heet. Met een Mac heb je daar in elk geval geen last van. En nee, een Mac is niet onkwetsbaar voor virussen maar is voor de scriptkiddies én de Oostblokse virusbakker nog even geen interessant target. Toch jammer dat een groot, zoniet het grootste gedeelte van je system resources opgaan aan beveiliging, terwijl er geen sprake is van afdoende zekerheid. En ook nee, het nieuwe Windows verlost je niet van deze shit, hoe apart de interface ook is.

Hans

Inmiddels wordt ook de hoofdpagina van Vrij Nederland door Google geblokkeerd

David Dylan

Dit is zeker niet de eerste keer. Ik ben al een aardig poosje manager in het e-wereldje en advertentie-boeren hebben mij meermalen mijn nachtrust gekost. Het is een wereld van fly-by-night cowboys met meestal zeer competent personeel dat van hun management de zaak niet dicht mag spijkeren laat staan dat ze malafide adverteerders weren. Er zijn er maar een paar (iets) beter.

Je haalt als site externe content binnen en moet er maar op vertrouwen dat daar niks naars tussen zit.

Meestal leg ik zsm een direct lijntje met een competente nerd aan hun kant, daar kan ik tenminste mee praten en even een WhatsAppje naar iemand met de handen aan de knoppen gaat meestal sneller dan via de receptie een of andere stropdas uit een meeting laten roepen.

Je krijgt pas echt door wat voor figuren denken snel rijk te worden van online wanneer je voor een beetje druk bezochte site werkt. Uiteindelijk liet ik de (dagelijkse) telefoontjes aanpakken door een van de vormgevers. Die dame kon nogal, eh, ‘direct’ zijn. Heerlijk mee gelachen.

Netjes dat jullie direct openheid van zaken geven, en excuses aanbieden, maar het kan iedereen overkomen zolang de advertentieboeren prijsvechtertjes zijn. En als iemand die via een SSH tunnel met een noodgang voor het omvallen van de servers uit IceSave advertenties heeft lopen uitzetten weet ik goed hoe jullie techneuten zich gevoeld hebben. Jullie hebben toch wel wat extra koffie rondgebracht?

Michiel Kanis

Heldere reactie waarin verantwoordelijkheid wordt afgelegd en genomen, netjes!

Dirk

Het is in de web-wereld klassiek om de problemen aan de spullen van de klant te wijten.

Het aardige is wanneer je een willekeurige feedback geeft aan de schrijver van een NRC krantenartikel dat je dan een bedankje of antwoord krijgt. Wanneer het een web-only ding is krijg je helemaal geen antwoord. En kun je voor Euro 400 per jaar de bout hakkelen. Het lijkt wel de bezorgpost. Vooral niet bellen over een niet bezorgde krant. Je krijgt hem toch niet. En je moet blij zijn dat je hem de andere dagen wel hebt gekregen. En morgen moet je maar afwachten.

Mijn meldingen in het verleden over de page-opening lock-up waren zeer gedetailleerd.
De vertraging werd vooral veroorzaakt door de sample-software van het http://www.nrc.nl/apps/bigboard/

In IE kun een zwartelijst met onveilige sites aanmaken. Die laat je blokkeren. Zet daar alle google-ads doubleclicks. Ook van NRC zelf kun je een hele lijst inzetten. Vergeet ook disqus.com niet. Dit scheelt enorm.
Hoewel die bij theAtlantic.com nauwlijks voor problemen zorgt. Ook het edit scherm van Disqus is bij NRC waardeloos terwijl het bij de the Atlantic gewoon praktisch en goed is.

In firefox kun je een adblocker en site-blocker met zo’n zelfde lijst activeren.
Op langzame lijnen scheelt het laadtijd. En bij snelle lijnen vermindert het de lock-up.

Erik

Ik ga niets zeggen over de kwaliteit van de hier besproken virusscanners, maar dit MBR-virus is vaak te verwijderen met :
(AvastMBR)
http://public.avast.com/~gmerek/aswMBR.htm
en/of (TDSSkiller)
http://support.kaspersky.com/faq/?qid=208283363
tip : (Hitmanpro)
http://www.surfright.nl/nl/
Deze utils werken zelfstandig zonder windows installatie. Deinstallatie van de bestaande virusscanner is niet nodig.

Robert

Ik vind dit netjes transparant uitgelegd, probleem ook 30 minuten na kennis daarvan opgelost. Prima!
Dat de browsers daar niet meteen op reageren is logisch, en in dit geval jammer voor nrc, want het probleem lag blijkbaar niet bij hun.

jan

Beste mensen van de NRC,

Een los artikeltje is toch onvoldoende!

Graag een grote banner op de site deze hele week met waarschuwing + uitleg om welke variant het nou precies ging, met een heldere uitleg hoe je deze kunt verwijderen en hoe je kunt zien of je wel of niet besmet bent.

Dit is een onduidelijk artikel waar je toevallig tegenaan moet lopen, en waar je de technische informatie moet zoeken en er belangrijke technische informatie gewoon niet in staat.

Kunnen jullie niet als de drommel melden om welke variant van deze trojan het precies ging?!!!

Dan kunnen mensen ook fatsoenlijk verder controleren of ze wel of niet besmet zijn.

Paul Martinus

@Peter van der Ploeg “broodroof”
Hè? In de papieren versie sla ik ALTIJD ALLE advertenties over.
Is dat broodroof?

jan

Titel is verwarrend ook: Alle alarmbellen gingen af: wat gebeurde er dinsdag op nrc.nl?

Typische linkbait titel, waarvan ik als lezer snel denk .. ach .. het zal wel.

Suggestie: “NRC site had virus, Controleer uw computer”

J. van Winterswijk

Wonende in the Far East heb ik al ruim voor 7 uur nederlandse tijd de krant gelezen. Mijn vraag is dus nu of in het buitenland wonende lezers ook zijn blootgesteld of dat die wegens aangepaste advertenties de boot gemist hebben. Nog een vraag, het lukt me niet om gdata te laten proef draaien, en ik wil ook niet mijn huidige anti-virus programma er af gooien. Is het mogelijk dat de NRC als goedmaker zelf een programmaatje aanbiedt, waar specifiek op dit virus gezocht en geelimineerd kan worden?
Nog een vraag, als de krant advertenties van buiten op de site zet kan de krant dan zelf niet een scanner tussen de advertentie en de site zetten, en dan zelf de scan per minuut of per 5 minuten laten uitvoeren ipv google dat eens per 24 uur te laten doen?

Hans van Dijk

Onvoorstelbaar dit. Niet dichtgetimmerd aan de kant van de advertentiesite en niet van de kant van de NRC-site. U hebt er kennelijk geen idee van hoe slecht uw digitale organisatie is. En nog ontkent u dat er iets moet gebeuren ‘want anders verdient onze site niets meer met advertenties’. Of: don’t underestimate the power of denial. Uw krant en uw site bestaan over twee jaar niet meer, dat kan ik u verzekeren.

S. Dijkstra

Alleen maandagnacht en dinsdagochtend?
De waarschuwing van Google in Firefox meldt o.a.:

“Over the past 90 days, http://www.nrc.nl appeared to function as an intermediary for the infection”

Ziet Peter van der Ploeg hier iets over het hoofd of neemt Google een wel erg ruime marge?

Al met al heeft de NRC hier het gebruik van Ad Blockers flink gepromoot.

Peter van der Ploeg
Peter van der Ploeg

@S. Dijkstra: Het is een ruime marge. Als ze zouden zeggen ‘ergens in de laatste tien jaar’, zou het ook kloppen.

J. van Winterswijk

@Peter van der Ploeg,

als het niet te veel moeite is zou u wellicht ook de naam van de file kunnen doorgeven zodat het virus handmatig verwijderd zou kunnen worden. Bij voorbaat veel dank.

André Noniem

Ik begrijp de broodroofreactie van de webredactie wel, maar het is niet terecht om de problemen van het verdienmodel af te schuiven op de gebruiker, zeker niet als deze ook abonnee is van de papieren én de digitale editie van de krant. Ook snap ik waarom de webredactie erop hamert dat nrc.nl niet de papieren/digitale krant is, maar ik vind ook dat ik daar als abonnee geen onderscheid in hoor te maken.

Advertenties blokkeren of niet blokkeren? Wanneer ik advertenties die via derde partijen aangeleverd worden blokkeer via bijvoorbeeld AdBlock Plus, dan wordt mijn gebruikerservaring beter. De pagina’s zijn qua opmaak zoveel schoner! En in de trein is het een zegen dat de pagina’s sneller laden en niet hangen op externe aanbieders. Het ad-block model heeft voor nrc.nl een wezenlijk nadeel; de reclames worden door mijn browser niet aangevraagd, en er wordt dus ook geen vergoeding betaald.

Een alternatief zou zijn om de advertenties wel binnen te halen — ondanks de bandbreedteverspilling — maar ze in de browser niet te tonen. Voor zover nrc.nl en de adverteerder weten blokkeer ik niets en laadt ik netjes de reclame in, maar ik kies er voor hem niet te tonen op mijn scherm. Is er nu nog sprake van „broodroof”? Ik mag de advertenties in de papieren NRC toch ook overslaan?

Ik ben als gebruiker absoluut bereid om de advertenties van het NRC voor lief te nemen, maar niet als deze via-via worden aangeleverd zonder redactionele controle. Biedt ze aan via het eigen domein (nrc.nl) en kies ze uit met dezelfde zorg als de papieren/digitale krant.

Harry Otten

Heel vervelend zoiets, maar nog vervelender is dat NRC momenteel niet te downloaden is omdat username en password niet meer herkend worden. Jammer als je in het buitenland zit.

Joop

Opeens is username/paswoord combinatie niet meer geldig op mijn iPad bij het downloaden. Toch geen relatie met deze hack?

thomas broerse

Kwalijk vind ik het dat blijkbaar een virusscanner als Avast dit virus wel weet te herkennen, maar de securitysoftware van zowel nrc als van haar leverende partijen niet. Dat is een slechte zaak. Dat zou betekenen dat ik nrc.nl nu in een andere risicocategorie moet gaan onderbrengen en vooraf extra maatregelen moet gaan nemen voordat ik nrc.nl ga bezoeken. Een Adblocker of een extra malware scanner is dan het resultaat. Of ik stop helemaal met nrc.nl. Kortom nrc.nl: ga dit oplossen en val ons niet lastig met termen als broodroof. Jullie zullen er voor moeten zorgen dat de kans om gehacked te worden stukken lager is dan blijkbaar nu.

huubd

Bedankt voor de betrokken reakties NRC :-) Echter van deze zin kan ik (Apple gebruiker) geen brood bakken:Het kan zijn dat Macgebruikers de malware wel hebben binnengehaald, alleen omdat het script niet specifiek voor Windows is geschreven, kan er weinig gebeuren.

europeaan

Dank voor uitleg. Maar wat heb ik mij geergerd aan het woord “techneuten”. Als NRC en de IT-bedrijven geen technici in dienst hadden gehad was NRC definitief uit de lucht geweest. Excuses aan die mensen voor het neerbuigend woordgebruik is op zijn plaats.

Georg

Oplettende lezers hebben dit helemaal niet aangekaart… Google heeft dit gedaan, lezers kwamer er pas achter toen het allang te laat was.. Beetje rare afsluiting van t artikel

Gijs

Ik krijg overigens nog steeds/weer een melding van kwaadaardige software op jullie site van mijn virusscanner. Echter niet op de hoofdpagina,maar enkel op de pagina van de NEXT-Checkt over miljonairs…??

rob aalbers

Inmiddels zijn we 2, bijna 3 dagen verder en we hebben allemaal even stoom afgeblazen (meer of minder on-topic). Een poging enkele lijnen te ontwaren:

De boosheid hangt samen met grote betrokkenheid bij de site (als verlengstuk van de krant). Wij verwachten als lezers lux, libertas en vooral perfectie. Dit is toch geen obscuur blaadje, dit is de NRC! Dank, medewerkers van krant en site voor uw streven daarnaar. Vergeef het ons lezers wanneer wij 99% niet goed genoeg vinden.

Veeleisend zijn wij ook over uw verdienmodel. Advertenties tegenhouden, maar ook niet willen dat de kosten voor onze (papieren/digitale) krant met honderden procenten stijgt. Wij willen tegen alle logica van ons hoog opgeleide verstand dat u alles wat wij via de site voorgeschoteld krijgen, scant met alle bestaande virusscanners en met alle detectiemethoden die ooit nog zullen worden uitgevonden. Daarnaast zou wellicht een paragnost ingehuurd kunnen worden (of stelt dit onze wetenschappelijk gevormde mening toch teveel op de proef?). En natuurlijk zien wij allemaal dat u dan nog steeds veel geld kunt verdienen aan alle advertenties die wij blocken.
Bovendien is NRC toch in staat om een eigen weg te gaan in een wereld waarin de klanten smeken om advertentieruimte? In deze tijden van crisis moet elk bedrijf tenslotte veel adverteren om nog iets te verkopen. Gouden tijden voor de NRC. Val aan, wij staan achter u!

Als NRC lezer zijn wij verlicht en genieten van onze (virus)vrijheid op respectievelijk onze windows-, mac-, linux-, IOS- of Android systemen die perfect beschermd worden door de goden van de binaire intelligentie die Mcafee, MS Essentials, Avast of HitmanPro heten. Bovendien hanteren wij allemaal een scheiding van systeem en data, hebben backups van beiden en kunnen een systeem fluitend even opnieuw installeren. Daarom hebben wij geen last gehad van de besmetting van de site en hoeven wij ons geen zorgen te maken of boos te worden.

Lees de reacties nog eens en ga terug naar mijn 2e alinea…..

Welterusten, tot de volgende keer.

rob aalbers

Kan het niet laten: mij is inmiddels duidelijk dat nrc.nl los staat van nrc handelsblad of -next. Toch voelt dat niet zo. Ik benader de pdf-download van mijn digitale krant via nrc.nl. Voor mij zijn jullie 40 jaar een (1) “merk” gekenmerkt door drie letters: “NRC”.
Dit digitale gezeur is onbelangrijk. Zonder zijn kennis, begrijp ik echter wel de zorgen van Geert Mak. Als NRC dreigt “leeggezogen” te worden, zijn er belangrijker zaken dan het wel of niet blocken van advertenties. Sterkte,

lizzy

Excuses voor het ongemak….Ik zeg bedankt voor het ongemak….
Mijn PC is gecrashed op die zogenaamde fijne virusscanner die jullie aanbeveelde!

willy

en nu voor deze lezer die weinig van computers begrijpt en wel in de betreffende periode de nrc site heeft bezocht; hoe controleer ik, firefox gebruiker, op een simpele manier of mijn computer besmet is ???

Otto Moerbeek

Zolang de site de naam en veel van de inhoud deelt met de krant zie ik het als één geheel. En ik denk velen met mij.

Peter van der Ploeg
Peter van der Ploeg

@Willy: bij VirusTotal (een site gelieerd aan Google) vind je een lijst met virusscanners die dit virus oppikken. Bij ‘result’ zie je welke scanner resultaat geeft. De andere scanners hebben geen nut in dit geval. Gebruik een van die (vier) scanners, installeer ‘m en laat hem scannen.

@Lizzy: Dat is vervelend. We hebben Gdata (daar gaat het om, denk ik?) hier geprobeerd zonder problemen. Ik ga ‘m nog eens laten draaien.

@Rob Aalbers: als je ooit hoort van klanten die smeken om advertentieruimte, stuur ze alsjeblieft door.

@Huubd: Elk programma (dus ook virussen en malware) moet worden geschreven voor een specifiek besturingssysteem. Je kan op een Mac een programma installeren dat speciaal gemaakt is voor Windows, maar het daadwerkelijk gebruiken zal niet lukken. Zo werkt het ook met dit soort malware. Een Mac-gebruiker kan het hebben binnengehaald (hoewel die kans al wat kleiner is op de doorgaans beter beveiligide Macs), maar het virus kan met zo’n computer weinig, want het is speciaal geschreven voor Windows. De meeste virussen en malware zijn overigens geschreven voor Windows, omdat daar de meeste gebruikers (particulieren, maar ook bedrijven) mee werken. Daarmee hebben criminelen dus de grootste kans van slagen.

@Thomas: Je punt is duidelijk, en je hebt natuurlijk gelijk. Net zoals elk bedrijf zijn wij afhankelijk van leveranciers (de suggestie die ik her en der zie dat NRC z’n eigen advertenties zou moeten hosten is niet houdbaar: geen enkel bedrijf, ook niet de hele grote jongens, hebben die expertise en capaciteit), maar dat wil niet zeggen dat ik de verantwoordelijkheid af wil schuiven. Die ligt bij ons, en bij niemand anders. Dit kon elke site gebeuren, en gebeurt elke site ook zo af en toe. Net zoals bij elk groot bedrijf wel eens fysiek wordt ingebroken, ondanks de beveiligingsmaatregelen. Zoals ik al schreef: wij gaan op zoek naar een beter beveiligde manier van werken.

@J. van Winterswijk: Iedereen die tussen de uren die ik noemde onze site heeft bezocht liep risico, dus ook uit het buitenland. Aan grenzen heeft een virus maling. Virusscanners maken is echter beter in handen bij bedrijven die daar in gespecialiseerd zijn.

Dan nog dit: Wie problemen heeft met de digitale editie: mail even naar service@nrc.nl. Problemen met inloggen heeft niets te maken met de malware afgelopen dinsdag. Het virus kan geen tablets hebben beschadigd, en ook de digitale editie is vrij van malware.

K Tjoelker

Sorry, ik heb geen tijd om alle reacties te lezen dus wellicht verval ik in herhaling.

In de eerste plaats is de NRC natuurlijkverantwoordelijk voor alles wat er op zijn site staat, ook als dat van externe aanbieders komt.

In de tweede plaats vraag ik me af over die controle door bijvoorbeeld Google: als die slechts een keer per 24 uur gebeurt, dan is er dus ook veel kans dat de waarschuwing er veel te laat op terecht komt.

In de derde plaats moet je voor het downloaden en installeren vaak je bestaande virusbescherming uitzetten, toch? Daarmee loop je dus nog veel meer risico op besmetting.

Met vriendelijke groet

edward de leau

“maar een adblocker kost ons, uiteindelijk, ons brood.”

Het is vrij eenvoudig een stukje code toe te voegen die geen content meer laat zien, of een boodschap indien er een adblocker actief is, ik gebruikte: http://antiblock.org/

Ik heb ook een WordPress plugin gemaakt: http://edward.de.leau.net/anti-ad-block-software-plugin-for-wordpress-20120802.html

Werkt goed. Een gebruiker kan hem ook niet disablen door bijvoorbeeld in de client een stukje code te skippen omdat hij dynamisch html elementen genereert. D.w.z. dan werkt het 1 keer maar de volgende keer zou hij weer moeten zoeken naar dat stukje code in de bron code :)

Maar ja… je krijgt zoveel klachten van mensen die je site nu niet meer gaan bezoeken… dat ik hem maar weer heb uitgezet.

Daarentegen stegen de advertentie inkomsten wel want blijkbaar zijn er toch mensen die per se iets willen lezen.

S

McAffee blockeert nrc.nl nog steeds op mn pc. Weet iemand wanneer dit ophoudt?

Martin Tournoij

Het *echte* probleem blijft toch dat Java vaak standaard geïnstalleerd staat en in de browsers aan staat.
Op een aantal specifieke sites na, wordt dit bijna nergens meer gebruikt. Waarom moet dit aan staan? Java is inmiddels Flash voorbij geschoten als grootste bron van beveiligingslekken. Zie:
http://www.securelist.com/en/analysis/204792250/IT_Threat_Evolution_Q3_2012#4

Advies is dus vooral om Java (NIET te verwarren met Javascript, dit is iets compleet anders) in je browser uit te zetten.

erik

Ook bij mij blokkeert mc Afee nog steeds de site van de digitale editie. Loop ik nog gevaar???

Peter van der Ploeg
Peter van der Ploeg

@Erik, @S.: ik hoor het meer, en alleen maar over McAfee. Het is moeilijk te zeggen waarom die waarschuwingen blijven bestaan. Wellicht dat McAfee uit een verouderde database informatie haalt, maar zeker weten doe ik het niet. Je loopt in elk geval geen gevaar.

Frans Sijtsma

Toch nog maar een keer. Op mijn laptop krijg ik de melding dat gdata onvindbaar is. Via een andere laptop is gdata zonder meer te vinden. Ook een bericht versturen naar service@nrc.nl lukt niet. Kan dit een gevolg zijn van het virus? Of komen de verbindingen niet tot stand omdat ik in Indonesië woon?

Thijs Kentie

En ja, mijn computer was besmet. Ik bezocht de NRC-site tussen half zeven en zeven uur. Nieuwste versie van Security Essentials vond drie virussen. En dat op een computer die in geen jaren besmet was. Maar nu: ik kan op deze computer geen gebruik meer maken van webmail van Gmail en Google Agenda. Wat is het probleem?

Peter van der Ploeg
Peter van der Ploeg

@Thijs Kentie: dat is vreemd. Ik heb, ben ik bang, geen idee. Het enige dat je via nrc.nl opgelopen kan hebben is de Sinowal malware (de andere twee, drie virussen die je vond komen niet bij ons vandaan). En die zou daar geen invloed op moeten kunnen uitoefenen.

Peter van der Ploeg
Peter van der Ploeg

@Frans Sijtsma: Dat is voor ons van afstand niet te zien. Wij hebben Gdata op verschillende machines geprobeerd, en het werkte prima. Waarom een mailtje niet verstuurd kan worden is een raadsel.