Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

De hacker die in 2011 de systemen van de voormalige certificaatverstrekker Diginotar wist binnen te dringen, gebruikte vermoedelijk een gat in de cms-software DotNetNuke. De website van Diginotar draaide op een sterk verouderde versie van DotNetNuke.

Dat meldt Nu.nl op basis van een onderzoeksrapport van ITsec, een beveiligingsbedrijf dat door Diginotar werd ingeschakeld om te achterhalen hoe de vermoedelijk Iraanse hacker binnen wist te dringen en vervolgens vervalste certificaten kon genereren. De onderzoekers van ITsec concludeerden dat de aanvaller vermoedelijk gebruik heeft gemaakt van een gat in DotNetNuke, een content management systeem waarop de website van Diginotar draaide. Het cms zou sinds 2008 niet meer zijn bijgewerkt, waardoor er zeker 30 patches niet waren uitgevoerd en de website een makkelijke prooi was voor aanvallers.

Nadat de hacker toegang had tot de webserver van Diginotar zou hij ongemerkt malware hebben gebruikt om wachtwoorden te verzamelen. De hacker wist uiteindelijk enkele beheerdersaccounts in handen te krijgen, mede omdat de systeembeheerders voor relatief zwakke Windows-wachtwoorden hadden gekozen. De vermeende hacker publiceerde onder andere het wachtwoord 'Pr0d@dm1n’. De hacker zou uiteindelijk toegang hebben verkregen tot twee systemen waarmee certificaten aangemaakt konden worden.

Diginotar slaagde er aanvankelijk in om de inbraak op zijn kritieke systemen een maand stil te houden. Een Iraanse internetgebruiker kwam er echter achter dat er gerommeld was met enkele ssl-certificaten. Hierdoor zou de Iraanse overheid enige tijd in staat zijn geweest om onder andere versleuteld dataverkeer van Gmail-gebruikers af te tappen. Nadat de inbraak bij Diginotar bekend werd, ging het snel bergafwaarts met de certificaatverstrekker; in september vorig jaar werd het bedrijf failliet verklaard.

Gerelateerde content

Alle gerelateerde content (33)

Reacties (39)

Reactiefilter:-139039+123+23+30
Moderatie-faq Wijzig weergave
niet updaten is 1, maar overal hetzelfde wachtwoord!! dat een beheerder zelfs een dergelijk wachtwoord in een cms systeem typed.. dat is iets wat ik altijd probeer de vermijden.. en als de beheerders nu hun wachtwoorden in een Secret Server (tool) zouden plaatsen. en dat die voor hun het wachtwoord automatisch gaat aanpassen , dan sluit je dergelijke dingen wel uit ;) een enterprise password management oplossing is dan geen overbodige luxe!!

[Reactie gewijzigd door mccs op 19 november 2012 15:19]

Toch wil ik dan weten hoe de vork in de steel zit. Mijn oma snapt nog dat oude software gebruiken zonder al te veel steekhoudende argumenten gewoon geen goed plan is.
Als systeembeheerder met meer dan 5 minuten ervaring waar dan ook en wat verantwoordelijkheidsgevoel krijg je toch jeuk op plekken waar je niet kan krabben als je ziet dat er ergens ernstig antieke software staat te draaien? Dat keer 1000 als je bedrijf zich bezigd met beveiliging? En als dat dan intern gebruik is dan is dat nog daar aan toe, maar als dat direct aan internet hangt?

Ik zou wel eens de hele situatie willen weten dat maakt dat dit zo is. Geloof er helemaal niets van dat dit op het bordje komt van 1 persoon.
Ook dat die website van ze aan hun netwerk hangt vind ik raar. Ik schop websites so veel mogelijk buiten de spreekwoordelijke deur, infra technisch.

[Reactie gewijzigd door Alpha Bootis op 19 november 2012 13:46]

Dat hangt vooral van de grootte van het bedrijf af.

In grote multinationals geld inderdaad het verhaal van erwinb. Als beheerder bepaal je niet welke software er draait. Zo hadden ze een jaar of 2 geleden bij een grote Nederlandse bank nog steeds redhat 3 systemen staan. Als beheerder kun je dat oude zooi vinden die allang al vervangen hoort te zijn door een versie waar nog tenminste support op zit, maar zie het maar eens door de papiermolen heen te krijgen. Voor 1 server is dat al een probleem, laat staan voor het vervangen van alle oude machines.
Om het nog maar niet eens te hebben over het draaien van XP met IE6 op de werkplekken...

Ik werk nu bij een veel kleiner bedrijf want die grote bedrijven cultuur spreekt me niet aan, en hier is het veel platter. Ik bepaal zelf de patch strategie. Het management heeft geen interesse om zich met dat soort details bezig te houden. Ze willen een stabiel serverpark, en hoe we dat met de IT afdeling voor elkaar krijgen mogen we zelf uitzoeken. Alleen als er geld uitgegeven moet worden bemoeien ze zich er mee.

Het ergste wat je denk ik als beheerder kan overkomen is een klein bedrijf met grote-bedrijven mentaliteit. Wel de nadelen van grote bedrijven en bemoeizuchtig management, maar niet de voordelen. Ik heb nog een half jaar ergens gewerkt waar het kleiner was dan m'n huidige baan, maar waar de baas het nodig vond om zich te bemoeien met patches en andere details. We hadden daar maar 2 echte Linux beheerders, maar af en toe voelde ik me meer een helpdesk medewerker...
en dan je notitieboekje erbij halen om in te loggen ? en deze vervolgens ergens laten slingeren?
Ahh het probleem van "niet-updaten"

Tijd lang problemen gehad met een paar hosting providers die PLESK niet hebben geŁpdate (zowel privť als op werk) waardoor er allemaal gaten misbruikt werden door dit soort lui.

Alle sites hadden virussen/malware.

Na tig gesprekken heen en weer waarin 100% van de hosting providers mij/ons de schuld gaf dat we virussen op onze pc hebben en die via de ftp op de server zijn gekomen.

Na dagen offline te hebben gestaan, werd er pas toegegeven dat PLESK niet gepatched/geŁpdate was. Terwijl dat al vanaf dag 1 duidelijk was.

Wat ik wil zeggen is misschien is het gewoon "onkunde" van de beheerder wat een groot gevaar altijd is en blijft
Het ergste aan dit hele verhaal is, dat men bij DigiNotar dit een maand stil heeft gehouden, terwijl er waarschijnlijk mensen in Iran een maand lang bekend waren bij de autoriteiten. Je eigen hagje redden terwijl er mensen vermoord/gemarteld worden door jouw geprutst vind ik nog het kwalijkst. Je zou de verantwoordelijken hiervoor gepast moeten straffen indien het bekend is wat de gevolgen hiervan geweest zijn. Fouten maken is menselijk, maar als je bewust ervoor kiest om andere levens op het spel te zetten moet ter verantwoording geroepen worden.
Helemaal gelijk! Ik ben echt geen expert, maar ik wel wel ervaring met het opzetten van Apache2 op VPS voor klanten, en ik kan me gewoon niet voorstellen hoe DigiNotar zo heeft kunnen verzaken. Ik bedoel, ik ben autodidact, heb hier nooit enige opleiding voor gevolgd, je mag van mensen die bij een bedrijf als DigiNotar het netwerk beheren (en hiervoor zijn opgeleid?) toch verwachten dat ze hun security op orde hebben. De zaken die ik hierboven lees, dit is gewoon basis..

Mijn klanten krijgen netjes een account opgeleverd op de VPS, locked in hun directory, met een password van 20 chars long. Het sudo password staat veilig opgeborgen hier, mochten er problemen zijn.
Als het Windows OS net zo beroerd gepatched was als het CMS dan is het natuurlijk niet verrassend dat ze (local) admin access wisten te krijgen. Een enkele ongepatchte privilege escalation vulnerability is daarvoor al genoeg.

Zelfs als dat niet het geval is dan kan biedt een gekraakt systeem natuurlijk een prima uitgangspunt voor het verkrijgen van toegang tot de rest van het netwerk. Je zal vaak toegang hebben tot bestanden en databases (met een beetje mazzel met wachtwoorden die ook op andere systemen werken) en je hebt de mogelijkheid om lokaal applicaties te starten die op zoek gaan naar andere kwetsbaarheden op het netwerk.
Je hebt volkomen gelijk
Directeur/ eigenaar van Diginotar was Tony de Bos, ook werkzaam als CDA politicus, opdrachtgever voor Digid was Minister Donner ook van het CDA.Toeval natuurlijk.
Ik zit te zwammen, sorry

[Reactie gewijzigd door blobber op 18 november 2012 23:30]

Certificates zijn geen internetbeveiliging an sich. Ze zeggen alleen: volgens deze partij (diginotar, versign, thawte) ben jij verbonden met <hostname>. Dat hele systeem is nog altijd gebaseerd op vertrouwen.

Ja, die verbinding is versleuteld, wat in principe voorkomt dat iemand luistervinkt. Maar als het certificaat nep is, of de CA gecompromitteerd... Dan is dat een wassen neus van ongekende proporties.
Gezien het overhied was, vermoed ik dat het hele beheer uitbesteed was aan een van de grotere beheer clubs van nederland.
Al met al komt de handelswijze van Diginotar, of iig haar IT-afdeling, toch wel enigszins amateuristisch over allemaal...
Vandaar dat het mis ging en ze dus nu niet meer bestaan.
Iedereen heeft het hier over Diginotar, maar stel dat Diginotar een van de vele SSL providers op het lijstje van de vermeende hacker was? En dat deze hacker nu nog steeds bezig is ze allemaal na te lopen op lekken en wachtwoorden sniffen met malware? Het houdt hier in ieder geval niet op.
Toch is het zwak.... een wachtwoord gebaseerd op woorden, maar dan sommige letters vervangen door cijfers of andere tekens (zoals een a door @ bijvoorbeeld) is wel erg basic allemaal.

Dit hadden gewoon lange wachtwoorden moeten zijn met allerlei cijfers en letters (zowel klein als hoofdletters), en bij voorkeur ook vreemde tekens, en geen delen van woorden.
Ok er zijn betere wachtwoorden maar zwak zou ik het niet noemen.
Brute forcen (waaronder een dictionary attack ook valt) doe je dan normaal gesproken ook niet via een normale (user) interface maar op password hashes of iets dergelijks.
Ja, en ze hadden ook nog allerlei commerciŽle klanten. Wat is je punt?
Bovendien staat DigiD los van Diginotar.
Als je hetzelfde wachtwoord gebruikt voor het bijhouden van de content van de webserver als de admin account op die server heeft, ben je zwaar het haasje. Ongeacht welke privileges je webserver dan heeft. Het kan ook zijn dat ze een privilege-escalation bug hebben gebruikt toen ze met de rechten van de webserver konden werken.

Bovendien, de webserver kan meestal gewoon bij bestanden met een lees-permissie voor "overig", dus xx4 in linux termen. Als je dan niet iets als SELinux hebt draaien, kan de webserver dus ook het wachtwoordbestand uitlezen. De aanvaller kan dan vervolgens een offline aanval doen tegen die bestand en wachtwoorden achterhalen. Die wachtwoorden werden blijkbaar hergebruikt over verschillende werkstations/servers, dus dan gaat het hard.
Wat mij verbaasd is dat in het artikel wordt 'geklaagd' over een 2008 geupdate CMS en dat men daardoor is binnen gekomen. Nou weet ik niet hoe het zit bij IIS of windows server, maar bij een secure OS, als je het CMS kraakt, kraak je een web applicatie. Dus worst case scenario, heb je toegang tot dingen waar de webserver toegang tot heeft. Aangezien je webserver un-privilidged draait heb je dus ook zo goed als nergens toe gang tot.

Apache op linux achtigen, draait als user apache. De user apache mag buiten de websites eigenlijk helemaal niets. Dus hoe in hemelsnaam, krijgt een dotnetnuke toegang tot lokal admin? Ik mag er vanuit gaan dat ze local admin rechten 'gekraakt' hadden en vervolgens daarmee malware geinstalleerd om de wachtwoorden daadwerkelijk te verkrijgen?

Ik weet ook dat er genoeg mensen geloven dat Windows veilig genoeg is voor een web-facing server, maar als je der mate 'belangrijk' iets doet, vind ik dat toch slordig. Slordig beheer houd overigens nix tegen, dat is wel weer duidelijk.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Besturingssystemen

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True