Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 39, views: 28.908 •

De hacker die in 2011 de systemen van de voormalige certificaatverstrekker Diginotar wist binnen te dringen, gebruikte vermoedelijk een gat in de cms-software DotNetNuke. De website van Diginotar draaide op een sterk verouderde versie van DotNetNuke.

Dat meldt Nu.nl op basis van een onderzoeksrapport van ITsec, een beveiligingsbedrijf dat door Diginotar werd ingeschakeld om te achterhalen hoe de vermoedelijk Iraanse hacker binnen wist te dringen en vervolgens vervalste certificaten kon genereren. De onderzoekers van ITsec concludeerden dat de aanvaller vermoedelijk gebruik heeft gemaakt van een gat in DotNetNuke, een content management systeem waarop de website van Diginotar draaide. Het cms zou sinds 2008 niet meer zijn bijgewerkt, waardoor er zeker 30 patches niet waren uitgevoerd en de website een makkelijke prooi was voor aanvallers.

Nadat de hacker toegang had tot de webserver van Diginotar zou hij ongemerkt malware hebben gebruikt om wachtwoorden te verzamelen. De hacker wist uiteindelijk enkele beheerdersaccounts in handen te krijgen, mede omdat de systeembeheerders voor relatief zwakke Windows-wachtwoorden hadden gekozen. De vermeende hacker publiceerde onder andere het wachtwoord 'Pr0d@dm1n’. De hacker zou uiteindelijk toegang hebben verkregen tot twee systemen waarmee certificaten aangemaakt konden worden.

Diginotar slaagde er aanvankelijk in om de inbraak op zijn kritieke systemen een maand stil te houden. Een Iraanse internetgebruiker kwam er echter achter dat er gerommeld was met enkele ssl-certificaten. Hierdoor zou de Iraanse overheid enige tijd in staat zijn geweest om onder andere versleuteld dataverkeer van Gmail-gebruikers af te tappen. Nadat de inbraak bij Diginotar bekend werd, ging het snel bergafwaarts met de certificaatverstrekker; in september vorig jaar werd het bedrijf failliet verklaard.

Gerelateerde content

Alle gerelateerde content (33)

Reacties (39)

Jouw stelling dat een beheerder iemand die is alleen zaken uitvoert welke er aan hem opgedragen wordt is naar mijn mening niet juist. Natuurlijk zijn er 1e en 2e lijns mensen die domweg alleen maar opgedragen taken uitvoeren maar een echte Systeem beheerder is er om er voor te zorgen dat dit soort dingen in de gaten worden gehouden, worden aangekaart en opgelost. Als je denkt dat de directie zich bezig moet houden met patch mgmt dan begrijp je volgens mij weinig van een organisatie. Een directie kan bijv. wel een security officer aanstellen die audits of controles uitvoert. Maar nogmaals, als beheerder hoor je dit soort dingen ook in de gaten te houden, pro-actief te handelen en een change in te dienen of dit te adresseren bij het management zodat er wat aan gedaan wordt.
Ik denk dat jullie beiden een beetje gelijk hebben.
Ik geloof niet dat de stelling van erwinb is dat een beheerder alleen zaken uitvoert welke aan hem opgedragen wordt, maar wel dat Management uiteindelijk alles beslist. Ik heb genoeg IT bedrijven gezien waar er inderdaad door de beheerders bepaalde zaken gesignaleerd worden, maar dat Management -meestal vanwege budgettaire redenen- toch iets anders beslist.
Bovendien kom ik ook vaak beheerders tegen die graag de zaak willen verbeteren, maar geen tijd krijgen om iets anders te doen dan brandjes blussen.
Daarom is role based beheer zo gek nog niet. Dan kan een wachtwoord van 1 admin nog niet voldoende zijn om door het hele netwerk te gaan. Hoewel ik vaak zie dat beheerders werkzaamheden uitvoeren met het "Administrator" account.

Er zijn verschillende scenario's te bedenken maar je moet beheer functioneel scheiden. Want waarom heeft een content beheerder admin priveleges nodig, waarom heeft een DBA root/admin priveleges nodig en waarom heeft een systeembeheerder toegang nodig tot databases, content en netwerk componenten.

Bij kleine organisaties liggen veel rollen bij een paar personen maar bij grotere o0rganisaties is dat zeer goed te scheiden. Daarnaast kan je je infrastructuur ook nog opdelen in verschillende lagen, op netwerk niveau kan je gaan tieren maar ook op applicatie niveau.

En het excuus "omdat het makkelijk" is om overal admin toegang te hebben is het meest domme wat je kan hebben. Als IT beheer makkelijk zou zijn, zou iedereen het kunnen. IT is voor het gemak van de gebruikers niet voor de beheerders.

Daarnaast is het vreemd dat blijkbaar beheer en gebruik niet gescheiden waren. Blijkbaar hadden de accounts van de website gewoon admin rechten binnen het netwerk. Volgens mij is het goed gebruik dat iedere beheerder twee persoonlijke accounts heeft, 1 voor normaal office werk, en een beheer account met de daar aan gekoppelde rollen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013