Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 39, views: 28.857 •

De hacker die in 2011 de systemen van de voormalige certificaatverstrekker Diginotar wist binnen te dringen, gebruikte vermoedelijk een gat in de cms-software DotNetNuke. De website van Diginotar draaide op een sterk verouderde versie van DotNetNuke.

Dat meldt Nu.nl op basis van een onderzoeksrapport van ITsec, een beveiligingsbedrijf dat door Diginotar werd ingeschakeld om te achterhalen hoe de vermoedelijk Iraanse hacker binnen wist te dringen en vervolgens vervalste certificaten kon genereren. De onderzoekers van ITsec concludeerden dat de aanvaller vermoedelijk gebruik heeft gemaakt van een gat in DotNetNuke, een content management systeem waarop de website van Diginotar draaide. Het cms zou sinds 2008 niet meer zijn bijgewerkt, waardoor er zeker 30 patches niet waren uitgevoerd en de website een makkelijke prooi was voor aanvallers.

Nadat de hacker toegang had tot de webserver van Diginotar zou hij ongemerkt malware hebben gebruikt om wachtwoorden te verzamelen. De hacker wist uiteindelijk enkele beheerdersaccounts in handen te krijgen, mede omdat de systeembeheerders voor relatief zwakke Windows-wachtwoorden hadden gekozen. De vermeende hacker publiceerde onder andere het wachtwoord 'Pr0d@dm1n’. De hacker zou uiteindelijk toegang hebben verkregen tot twee systemen waarmee certificaten aangemaakt konden worden.

Diginotar slaagde er aanvankelijk in om de inbraak op zijn kritieke systemen een maand stil te houden. Een Iraanse internetgebruiker kwam er echter achter dat er gerommeld was met enkele ssl-certificaten. Hierdoor zou de Iraanse overheid enige tijd in staat zijn geweest om onder andere versleuteld dataverkeer van Gmail-gebruikers af te tappen. Nadat de inbraak bij Diginotar bekend werd, ging het snel bergafwaarts met de certificaatverstrekker; in september vorig jaar werd het bedrijf failliet verklaard.

Gerelateerde content

Alle gerelateerde content (32)

Reacties (39)

niet updaten is 1, maar overal hetzelfde wachtwoord!! dat een beheerder zelfs een dergelijk wachtwoord in een cms systeem typed.. dat is iets wat ik altijd probeer de vermijden.. en als de beheerders nu hun wachtwoorden in een Secret Server (tool) zouden plaatsen. en dat die voor hun het wachtwoord automatisch gaat aanpassen , dan sluit je dergelijke dingen wel uit ;) een enterprise password management oplossing is dan geen overbodige luxe!!

[Reactie gewijzigd door mccs op 19 november 2012 15:19]

Toch wil ik dan weten hoe de vork in de steel zit. Mijn oma snapt nog dat oude software gebruiken zonder al te veel steekhoudende argumenten gewoon geen goed plan is.
Als systeembeheerder met meer dan 5 minuten ervaring waar dan ook en wat verantwoordelijkheidsgevoel krijg je toch jeuk op plekken waar je niet kan krabben als je ziet dat er ergens ernstig antieke software staat te draaien? Dat keer 1000 als je bedrijf zich bezigd met beveiliging? En als dat dan intern gebruik is dan is dat nog daar aan toe, maar als dat direct aan internet hangt?

Ik zou wel eens de hele situatie willen weten dat maakt dat dit zo is. Geloof er helemaal niets van dat dit op het bordje komt van 1 persoon.
Ook dat die website van ze aan hun netwerk hangt vind ik raar. Ik schop websites so veel mogelijk buiten de spreekwoordelijke deur, infra technisch.

[Reactie gewijzigd door Alpha Bootis op 19 november 2012 13:46]

Ahh het probleem van "niet-updaten"

Tijd lang problemen gehad met een paar hosting providers die PLESK niet hebben geüpdate (zowel privé als op werk) waardoor er allemaal gaten misbruikt werden door dit soort lui.

Alle sites hadden virussen/malware.

Na tig gesprekken heen en weer waarin 100% van de hosting providers mij/ons de schuld gaf dat we virussen op onze pc hebben en die via de ftp op de server zijn gekomen.

Na dagen offline te hebben gestaan, werd er pas toegegeven dat PLESK niet gepatched/geüpdate was. Terwijl dat al vanaf dag 1 duidelijk was.

Wat ik wil zeggen is misschien is het gewoon "onkunde" van de beheerder wat een groot gevaar altijd is en blijft
Het ergste aan dit hele verhaal is, dat men bij DigiNotar dit een maand stil heeft gehouden, terwijl er waarschijnlijk mensen in Iran een maand lang bekend waren bij de autoriteiten. Je eigen hagje redden terwijl er mensen vermoord/gemarteld worden door jouw geprutst vind ik nog het kwalijkst. Je zou de verantwoordelijken hiervoor gepast moeten straffen indien het bekend is wat de gevolgen hiervan geweest zijn. Fouten maken is menselijk, maar als je bewust ervoor kiest om andere levens op het spel te zetten moet ter verantwoording geroepen worden.
Wat mij verbaasd is dat in het artikel wordt 'geklaagd' over een 2008 geupdate CMS en dat men daardoor is binnen gekomen. Nou weet ik niet hoe het zit bij IIS of windows server, maar bij een secure OS, als je het CMS kraakt, kraak je een web applicatie. Dus worst case scenario, heb je toegang tot dingen waar de webserver toegang tot heeft. Aangezien je webserver un-privilidged draait heb je dus ook zo goed als nergens toe gang tot.

Apache op linux achtigen, draait als user apache. De user apache mag buiten de websites eigenlijk helemaal niets. Dus hoe in hemelsnaam, krijgt een dotnetnuke toegang tot lokal admin? Ik mag er vanuit gaan dat ze local admin rechten 'gekraakt' hadden en vervolgens daarmee malware geinstalleerd om de wachtwoorden daadwerkelijk te verkrijgen?

Ik weet ook dat er genoeg mensen geloven dat Windows veilig genoeg is voor een web-facing server, maar als je der mate 'belangrijk' iets doet, vind ik dat toch slordig. Slordig beheer houd overigens nix tegen, dat is wel weer duidelijk.
Helemaal gelijk! Ik ben echt geen expert, maar ik wel wel ervaring met het opzetten van Apache2 op VPS voor klanten, en ik kan me gewoon niet voorstellen hoe DigiNotar zo heeft kunnen verzaken. Ik bedoel, ik ben autodidact, heb hier nooit enige opleiding voor gevolgd, je mag van mensen die bij een bedrijf als DigiNotar het netwerk beheren (en hiervoor zijn opgeleid?) toch verwachten dat ze hun security op orde hebben. De zaken die ik hierboven lees, dit is gewoon basis..

Mijn klanten krijgen netjes een account opgeleverd op de VPS, locked in hun directory, met een password van 20 chars long. Het sudo password staat veilig opgeborgen hier, mochten er problemen zijn.
Als het Windows OS net zo beroerd gepatched was als het CMS dan is het natuurlijk niet verrassend dat ze (local) admin access wisten te krijgen. Een enkele ongepatchte privilege escalation vulnerability is daarvoor al genoeg.

Zelfs als dat niet het geval is dan kan biedt een gekraakt systeem natuurlijk een prima uitgangspunt voor het verkrijgen van toegang tot de rest van het netwerk. Je zal vaak toegang hebben tot bestanden en databases (met een beetje mazzel met wachtwoorden die ook op andere systemen werken) en je hebt de mogelijkheid om lokaal applicaties te starten die op zoek gaan naar andere kwetsbaarheden op het netwerk.
Als je hetzelfde wachtwoord gebruikt voor het bijhouden van de content van de webserver als de admin account op die server heeft, ben je zwaar het haasje. Ongeacht welke privileges je webserver dan heeft. Het kan ook zijn dat ze een privilege-escalation bug hebben gebruikt toen ze met de rechten van de webserver konden werken.

Bovendien, de webserver kan meestal gewoon bij bestanden met een lees-permissie voor "overig", dus xx4 in linux termen. Als je dan niet iets als SELinux hebt draaien, kan de webserver dus ook het wachtwoordbestand uitlezen. De aanvaller kan dan vervolgens een offline aanval doen tegen die bestand en wachtwoorden achterhalen. Die wachtwoorden werden blijkbaar hergebruikt over verschillende werkstations/servers, dus dan gaat het hard.
Iedereen heeft het hier over Diginotar, maar stel dat Diginotar een van de vele SSL providers op het lijstje van de vermeende hacker was? En dat deze hacker nu nog steeds bezig is ze allemaal na te lopen op lekken en wachtwoorden sniffen met malware? Het houdt hier in ieder geval niet op.
Ok er zijn betere wachtwoorden maar zwak zou ik het niet noemen.
Uhm zwak is het wel: Dit is een wachtwoord uit een bekend wachtwoord woordenboek voor hackers. Een Bruteforcedictionary-attack met de 3 bekendste woordenboeken zou deze dus met gemak hacken.

Ik gok dat je met een beetje botnet van 100 pc's binnen ongeveer 3 dagen binnen bent (wel afhankelijk van de beveiliging)

Zeker als cerificaat verstrekker en beveiliger hadden ze dit gewoon moeten weten (sterker nog een beetje security speciaalist heeft dit woordenboek op school gehad, en waarschijnlijk ook uit zijn hoofd moeten leren--> zo was hij waarschijnlijk ook aan dit wachtwoord gekomen ;) )
Zelfs als ze een super goed bedacht paswoord hadden gekozen, waren ze er volgens mij aan voor de moeite omdat er malware werd ingeschakeld.
Voor zover uit het rapport op te maken is, is het enige doel van die malware geweest om passwords te pakken te krijgen. Er is immers een file met password-hashes gevonden.

Als ze éénmaal die passwords hadden, stond zowat het hele network voor ze open. Hetzelfde local administrator password werd immers op bijna alle servers gebruikt.... ook al een flinke blunder overigens, op elke server dient het local admin account een ander password te hebben...
Daarom is role based beheer zo gek nog niet. Dan kan een wachtwoord van 1 admin nog niet voldoende zijn om door het hele netwerk te gaan. Hoewel ik vaak zie dat beheerders werkzaamheden uitvoeren met het "Administrator" account.

Er zijn verschillende scenario's te bedenken maar je moet beheer functioneel scheiden. Want waarom heeft een content beheerder admin priveleges nodig, waarom heeft een DBA root/admin priveleges nodig en waarom heeft een systeembeheerder toegang nodig tot databases, content en netwerk componenten.

Bij kleine organisaties liggen veel rollen bij een paar personen maar bij grotere o0rganisaties is dat zeer goed te scheiden. Daarnaast kan je je infrastructuur ook nog opdelen in verschillende lagen, op netwerk niveau kan je gaan tieren maar ook op applicatie niveau.

En het excuus "omdat het makkelijk" is om overal admin toegang te hebben is het meest domme wat je kan hebben. Als IT beheer makkelijk zou zijn, zou iedereen het kunnen. IT is voor het gemak van de gebruikers niet voor de beheerders.

Daarnaast is het vreemd dat blijkbaar beheer en gebruik niet gescheiden waren. Blijkbaar hadden de accounts van de website gewoon admin rechten binnen het netwerk. Volgens mij is het goed gebruik dat iedere beheerder twee persoonlijke accounts heeft, 1 voor normaal office werk, en een beheer account met de daar aan gekoppelde rollen.
Er is ook gewoon nog het 'point of no return'.

Als een hacker binnen je netwerk actief is en elke mogelijkheid aangrijpt om zich verder te verspreiden heb je een serieus probleem. Doordat je hacker weet welke beveiligsmiddelen je hebt aanstaan kun je daar weer omheen werken.

Stel je hebt virusscanner 'X'. Als hacker installeer je dan gewoon een server met die virusscanner en gaat opzoek naar de beste malware die niet gedetecteerd wordt. Zo kun je een vroege detectie voorkomen, helemaal als je de updates goed bijhoud weet je sneller dan de systeembeheerder of jouw malware problemen gaat geven.

Daarnaast werkt eigenlijk systeembeheer altijd met een (netwerk)directory waar vanuit bestanden worden gehaald (updates/installaties/,,,). Zet je daar je 'payload' ergens bij en ook op systemen waarvan je het wachtwoord (nog) niet hebt staat je malware.

Vergeet niet dat Diginotar niet door 'een rondzwervend virus' is geraakt, maar bewust en langdurig onder vuur heeft gelegen. Ik ken maar weinig organisaties die daar tegen bestand zijn.
Akkoord maar we hebben het hier over een bedrijf wat nota bene internetbeveiliging als core business heeft! Mensen die zich hiervoor laten betalen, als full-time job.. Dan is het toch veelzeggend als je 30 patches achterloopt?
Certificates zijn geen internetbeveiliging an sich. Ze zeggen alleen: volgens deze partij (diginotar, versign, thawte) ben jij verbonden met <hostname>. Dat hele systeem is nog altijd gebaseerd op vertrouwen.

Ja, die verbinding is versleuteld, wat in principe voorkomt dat iemand luistervinkt. Maar als het certificaat nep is, of de CA gecompromitteerd... Dan is dat een wassen neus van ongekende proporties.
Toch is het zwak.... een wachtwoord gebaseerd op woorden, maar dan sommige letters vervangen door cijfers of andere tekens (zoals een a door @ bijvoorbeeld) is wel erg basic allemaal.

Dit hadden gewoon lange wachtwoorden moeten zijn met allerlei cijfers en letters (zowel klein als hoofdletters), en bij voorkeur ook vreemde tekens, en geen delen van woorden.
en dan je notitieboekje erbij halen om in te loggen ? en deze vervolgens ergens laten slingeren?
Niet helemaal dus, xkcd geeft een voorbeeld: http://xkcd.com/936/
En toch gaat het stripje van XKCD niet helemaal op als wetenschap, maar inderdaad je zou je nog verbazen hoesnel een dictionary brute-force attack gaat op zo'n relatief kort wachtwoord.

[Reactie gewijzigd door GewoonWatSpulle op 18 november 2012 17:21]

En daarom dien je na 3 foute wachtwoorden het account (tijdelijk) te blokkeren :)
Brute forcen (waaronder een dictionary attack ook valt) doe je dan normaal gesproken ook niet via een normale (user) interface maar op password hashes of iets dergelijks.
Zowel het niet patchen als het gebruik van (zeer) zwakke wachtwoorden is bij elk bedrijf al een forse blunder, waar toch serieuze consequenties aan zouden moeten hangen. Maar bij een bedrijf dat certificaten uitdeelt is dat al helemaal onvergeeflijk. Daar zou je toch iets andere eisen aan mogen stellen dan aan een doorsnee bedrijf.

Ook dat de malware niet opgemerkt is bij controles is op zijn minst opvallend te noemen. Werd er sowieso wel een virusscanner gebruikt? Het ging immers om al tijden bekende malware die de lokale SAM-database onder handen nam. Vrij basic allemaal...

Al met al komt de handelswijze van Diginotar, of iig haar IT-afdeling, toch wel enigszins amateuristisch over allemaal...

[Reactie gewijzigd door wildhagen op 18 november 2012 16:02]

Al met al komt de handelswijze van Diginotar, of iig haar IT-afdeling, toch wel enigszins amateuristisch over allemaal...
Vandaar dat het mis ging en ze dus nu niet meer bestaan.
En die beheerders zijn nu ergens anders in dienst?
Gezien het overhied was, vermoed ik dat het hele beheer uitbesteed was aan een van de grotere beheer clubs van nederland.
Gezien het overhied was, vermoed ik dat het hele beheer uitbesteed was aan een van de grotere beheer clubs van nederland.
Het was geen overheid, de overheid was alleen één van hun klanten.
Directeur/ eigenaar van Diginotar was Tony de Bos, ook werkzaam als CDA politicus, opdrachtgever voor Digid was Minister Donner ook van het CDA.Toeval natuurlijk.
Ik zit te zwammen, sorry

[Reactie gewijzigd door blobber op 18 november 2012 23:30]

Ja, en ze hadden ook nog allerlei commerciële klanten. Wat is je punt?
Bovendien staat DigiD los van Diginotar.
Je hebt volkomen gelijk
Het heeft niets met de beheerders te maken. Management beslist de regels tot patchen. Beheerders voeren alleen het changemanagement uit.
De directie van een dergelijk bedrijf zou nooit meer aan de bak mogen komen. Landen als iraan nemen het niet al te nauw als het op mensenrechten aan komt. De mensen waarvan het e-mail verkeer is onderschept hebben/hadden dan ook te verzen voor de gevolgen.
Jouw stelling dat een beheerder iemand die is alleen zaken uitvoert welke er aan hem opgedragen wordt is naar mijn mening niet juist. Natuurlijk zijn er 1e en 2e lijns mensen die domweg alleen maar opgedragen taken uitvoeren maar een echte Systeem beheerder is er om er voor te zorgen dat dit soort dingen in de gaten worden gehouden, worden aangekaart en opgelost. Als je denkt dat de directie zich bezig moet houden met patch mgmt dan begrijp je volgens mij weinig van een organisatie. Een directie kan bijv. wel een security officer aanstellen die audits of controles uitvoert. Maar nogmaals, als beheerder hoor je dit soort dingen ook in de gaten te houden, pro-actief te handelen en een change in te dienen of dit te adresseren bij het management zodat er wat aan gedaan wordt.
Ik denk dat jullie beiden een beetje gelijk hebben.
Ik geloof niet dat de stelling van erwinb is dat een beheerder alleen zaken uitvoert welke aan hem opgedragen wordt, maar wel dat Management uiteindelijk alles beslist. Ik heb genoeg IT bedrijven gezien waar er inderdaad door de beheerders bepaalde zaken gesignaleerd worden, maar dat Management -meestal vanwege budgettaire redenen- toch iets anders beslist.
Bovendien kom ik ook vaak beheerders tegen die graag de zaak willen verbeteren, maar geen tijd krijgen om iets anders te doen dan brandjes blussen.
Dat hangt vooral van de grootte van het bedrijf af.

In grote multinationals geld inderdaad het verhaal van erwinb. Als beheerder bepaal je niet welke software er draait. Zo hadden ze een jaar of 2 geleden bij een grote Nederlandse bank nog steeds redhat 3 systemen staan. Als beheerder kun je dat oude zooi vinden die allang al vervangen hoort te zijn door een versie waar nog tenminste support op zit, maar zie het maar eens door de papiermolen heen te krijgen. Voor 1 server is dat al een probleem, laat staan voor het vervangen van alle oude machines.
Om het nog maar niet eens te hebben over het draaien van XP met IE6 op de werkplekken...

Ik werk nu bij een veel kleiner bedrijf want die grote bedrijven cultuur spreekt me niet aan, en hier is het veel platter. Ik bepaal zelf de patch strategie. Het management heeft geen interesse om zich met dat soort details bezig te houden. Ze willen een stabiel serverpark, en hoe we dat met de IT afdeling voor elkaar krijgen mogen we zelf uitzoeken. Alleen als er geld uitgegeven moet worden bemoeien ze zich er mee.

Het ergste wat je denk ik als beheerder kan overkomen is een klein bedrijf met grote-bedrijven mentaliteit. Wel de nadelen van grote bedrijven en bemoeizuchtig management, maar niet de voordelen. Ik heb nog een half jaar ergens gewerkt waar het kleiner was dan m'n huidige baan, maar waar de baas het nodig vond om zich te bemoeien met patches en andere details. We hadden daar maar 2 echte Linux beheerders, maar af en toe voelde ik me meer een helpdesk medewerker...
Misschien. Maar staat waarschijnlijk niet zo goed op je CV, als je bij diginotar hebt gewerkt. En dat verzwijgen is ook geen goed idee. Ik zou gewoon met de billen bloot gaan en je best doen om ergens aan de bak te gaan. Ik neem aan dat een bedrijf ook wel begrijpt dat dit niet alleen te wijten is aan alle medewerkers van Diginotar...
Ze hebben er in ieder geval hopenlijk wat van opgestoken en zullen denk ik na zo een onderzoek dit nooit meer laten gebeuren.
Denk niet dat diginotar maar 1 beheerder in dienst had.. dus ik vermoed dat daar wel omheen valt te praten.

Het staat op zich wel spectaculair op je CV hebt staan dat je beheerder was bij een club met miljoenen omzet, die failliet is gegaan door wanbeheer !

..of je de vacature daarmee binnensleept betwijfel ik :+

[Reactie gewijzigd door sarcast op 18 november 2012 16:43]

Denk niet dat diginotar maar 1 beheerder in dienst had.. dus ik vermoed dat daar wel omheen valt te praten.
Soms is het verbazingwekkend wat bedrijven allemaal doen met 1 admin. Veel bedrijven zijn van het "If it ain't broke, don't fix it principe" en moeten eerst eens zwaar tegen de lamp lopen voor ze beseffen dat de IT afdeling toch wel belangrijk is.

Ik ken een bedrijfje met een vrij complexe structuur dat alles met 1 admin deed. Die mocht ook de IT van de klanten beheren. Nu zijn ze met twee, maar dat is mijn ogen nog steeds onvoeldende om op de hoogte te blijvan security problemen op elk niveau, firewall, webservers, etc. Disaster recovery is ook enorm belangrijk, net als het testen van de normale backups.

De vraag is dus of diginotar heeft zitten besparen op zijn IT afdeling of dat ze admins in dienst hadden die er de kantjes afliepen. In dat geval ligt de verantwoordelijkheid bij het hoofd van de IT afdeling.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013