Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties

Een hacker, bekend als Phineas Fisher, heeft een gedetailleerde beschrijving gepubliceerd van zijn aanval op het Italiaanse bedrijf Hacking Team in 2015. Hij beschrijft hoe hij te werk ging en welke tools hij inzette om 400GB aan gegevens buit te maken.

De naam van de hacker is waarschijnlijk een woordspeling op de FinFisher-malware, die wordt geleverd door het Duitse bedrijf Gamma International. Dit bedrijf was eerder doelwit van dezelfde hacker. Het onlangs gepubliceerde verhaal is een vertaling van een stuk dat oorspronkelijk in het Spaans verscheen. De hacker geeft aan dat hij zijn werkwijze voor deze aanval heeft aangepast, zodat hij niet aan de hand van zijn techniek geïdentificeerd kan worden. Het relaas begint met een weergave van de werkwijze en er worden algemene tips gegeven, zoals het versleutelen van harde schijven als veiligheidsmaatregel.

Ook gaat de hacker in op zijn infrastructuur, die bestaat uit zowel stabiele als gehackte servers. Daarnaast maakt hij gebruik van domeinnamen, om een gegarandeerde tunnel te hebben vanuit het gehackte netwerk naar command and control-servers. Om informatie over het doelwit te verzamelen prijst de hacker de veelzijdigheid van Google in combinatie met een aantal specifieke zoektermen.

Nadat Fisher genoeg informatie had verzameld kon hij beginnen het netwerk van Hacking Team binnen te dringen. Hij koos ervoor om geen gebruik te maken van spear phishing, omdat het Italiaanse bedrijf zelf deze techniek van gerichte phishing-aanvallen vaak gebruikte. Ook overwoog hij toegang te kopen van Russische partijen, die toegang zouden hebben tot nagenoeg alle Fortune 500-bedrijven. Hacking Team was echter een te kleine partij voor deze aanpak. Hem bleef niets anders over dan tot dan toe onbekende kwetsbaarheden, oftewel zero days, te zoeken in de systemen die op de servers van Hacking Team aanwezig waren, waaronder het contentmanagementsysteem Joomla en de e-mailsoftware Postfix.

Uiteindelijk koos hij ervoor om dergelijke kwetsbaarheden te zoeken in embedded devices die een bepaalde functie uitvoeren, zoals een router. Na twee weken had hij een lek gevonden dat hem in staat stelde om op afstand code uit te voeren op het apparaat door middel van rce. Nu hij toegang had, kon hij de rest van het Hacking Team-netwerk verkennen. Zo vond hij een iscsi-apparaat dat hem naar een aantal databases leidde. Daarin vond hij back-ups die gehashte wachtwoorden bevatten, onder andere van een lokale beheerder. Aan de hand daarvan kwam hij in het bezit van meer wachtwoorden.

Hierna was hij in staat om de e-mail en bestanden van het bedrijf te downloaden, waarna hij deze in 2015 via een torrentbestand openbaar toegankelijk maakte. In totaal zou de hack hem ongeveer honderd uur gekost hebben. Na deze gebeurtenis leek het alsof Hacking Team gestopt was, maar later waren er verschillende aanwijzingen dat het bedrijf nog steeds actief is en spionagetools aan overheden en andere partijen verkoopt. Ook besloot de Italiaanse regering onlangs dat het bedrijf zich alleen nog maar op Europese overheden mag richten.

Moderatie-faq Wijzig weergave

Reacties (54)

Blijkbaar hebben Hacking Team medewerkers geen recht op privacy meer dat hun namen en passwords hier worden geplaatst ?
Mwah, het zijn niet de volledige namen en die wachtwoorden zullen nu toch nergens meer gebruikt worden mag ik aannemen.
Mwah, het zijn niet de volledige namen
Geen volledige namen? Een voorbeeldje. Met een achternaam + "Hacking Team" kan je aan enorm veel informatie komen. De eerste letter van de gebruikte voornaam is alleen maar een bonus om het te kunnen verifiëren.

Dit kan mogelijk de betreffende personen schaden. Het vertelt dat ze zowel bij Hacking Team gewerkt hebben als dat sommige personen onveilige wachtwoorden hadden.

Slecht puntje voor T.net. Dit toont een afwezigheid van journalistieke professionaliteit. De afbeelding voegt niets toe aan de inhoud van het artikel terwijl het toch persoonsgegevens bevat en anderen kan benadelen. Of die mensen het verdienen of niet is een hele andere discussie en hoeft niet gevoerd te worden door journalisten.

Het argument "anderen doen het ook" is natuurlijk geen argument om de kwaliteit van je eigen content te verlagen naar dat van een ander.

[edit]
Voor de duidelijkheid: ik geef geen oordeel over de acties van Hacking Team en wat voor hun terecht of onterecht is. Ik wijs T.net er alleen op dat zij dit professioneler kunnen aanpakken.

[edit2]
Voorbeeld verwijderd wegens correctie van nieuwsartikel door T.net.

[Reactie gewijzigd door The Zep Man op 18 april 2016 11:25]

Het NRC heeft een ombudsman die artikelen waar discussie over ontstaat toetst tegen de het NRC beleid t.a.v. kwaliteit en integriteit. Door deze (zelf-) reflectie neemt de kwaliteit van de gepubliceerde artikelen alleen maar toe en kan ook het beleid aangepast worden al naar gelang de omstandigheden en tijdsgeest.

Misschien een idee voor t-net?
Leuk idee en zou idd heel goed zijn.
De media van tegenwoordig zijn meer copy past geworden. Artikel komt ergens binnen, vertalen en hup het net op.
Feiten checken is er vaak niet eens meer bij, het wordt klakkeloos overgenomen en nadenken, geen tijd, tijd is geld en we moeten artikelen hebben.
Het hangt er vanaf welke media je tot je neemt natuurlijk.

Arstechnica en lwn.net publiceren minder artikelen dan Tweakers.net en nu.nl, maar zitten dichter bij de bron en hebben meer diepgang.

Heise.de is groot genoeg om zowel artikelen met diepgang als een klakkeloze nieuwsticker aan te bieden.

Tot ergens in 2007 (?) stond er een bronvermelding in de ondertitel van Tweakers' artikelen, de afgelopen tien jaar (op de kop af) moet het het doen naar hoofdzakelijk links naar voorgaande Tweakers-artikelen en zo nu en dan een externe link, bij de gratie.
Ik vind dat je een terecht punt maakt. De gegevens zijn weliswaar beschikbaar in de bron, maar dienen hier alleen ter illustratie van de gekozen wachtwoorden. Ik wilde dit eerst in de tekst benoemen, maar vond de afbeelding sprekender. Ik zal hem vervangen.
Op het moment dat jij voor een schimmig bedrijf werkt dat zich duidelijk niet aan mensenrechten houdt vind ik dat jouw privacy niet zo belangrijk is. Je hebt gegokt dat je leuk kon verdienen bij een schimmig bedrijf en nu staan je gegevens op straat. Jammer voor jou. Wat Hacking Team doet is vele malen erger, en schaadt veel meer mensen. Op het moment dat je ethisch blijft terwijl de andere partij dat totaal niet is, win je veel minder. Vandaar ook deze hack zelf (en recent ook Panama Papers), iets waar ik een voorstander van ben.
"Met een achternaam + "Hacking Team" kan je aan enorm veel informatie komen."

Als je google searches voor gedeeltelijke data hier al gaat benoemen als privacy gegevens, dan kan je net zo goed dit hele artikel niet plaatsen. Even google gebruiken namelijk, en ik heb de namen alsnog. Vindt dat ja je kan er via google meer achter komen een slecht argument.
Wat denk je hoeveel privé gegevens "dank zij" hacking team op straat liggen of bij een dubieuze overheid. Als je voor zo'n bedrijf gaat werken mag ik aannemen dat je zelf paranoia moet zijn qua beveiliging, dus als je dat niet bent: pech gehad.

[Reactie gewijzigd door CopyCatz op 18 april 2016 11:04]

Daar komt het argument weer omdat hacking team het doen mag een anders dat ook. en hup hier gewoon alles neerzetten met namen.

Ik weet niet hoe oud je bent maar dat soort argumenten komt uit de kinder zandbak of de onderbuik.
Ik weet niet hoe oud jij bent, maar "onderbuikgevoelens" begint ook vrij gedateerd te raken als tegenargument..
Ja die kennen we oog om oog tand om tand.
Eerwraak is er ook zo eentje.

Maar gelukkig zijn er nog mensen die hier van houden. Stel je voor een samenleving waar alleen vrede is, dat wordt toch echt saai, dus vooral doorgaan met dit soort zaken dan blijft het leuk.

Uh totdat het jou overkomt en je begint te piepen maar dan zijn er mensen zoals als ik die naar jou kunnen roepen koekje van eigen deeg.
Ik hack geen mensen.
Waarom zou ik een ander bewust ellende willen bezorgen?
Dat is denk ik ook min of meer of meer het doel, om het 'immorele' gedrag van bedrijven zoals deze af te straffen zeg maar. 4chan doet dat soort zaken constant, als een soort internet witte ridders. Die lui zien alleen de ironie van hun acties niet echt in (of het is gewoon voor de lulz , zeker in het geval van 4chan).
Als 4chan het doet is het over het algemeen een goede rule of thumb om precies het omgekeerde te doen. Het is in ieder geval een bijzonder slechte reden om daarom het als Tweakers ook te doen. Er is gewoon geen enkele reden voor een Tweakers om dit te publiceren tbh.
Nou Tweakers doet niks verkeerd hoor. Ze plaatsen gewoon een voorbeeld van de ruim en gemakkelijk te verkrijgen gepubliceerde data, dat is alles. Maar goed, ze hebben het al weggehaald, vond ik niet nodig, maar blijkbaar zeuren er een hoop mensen over. Dus kunnen ze de discussie maar beter vermijden.
Je maakt de veronderstelling dat het de eerste keer is dat een dergelijk bedrijf wordt gehackt,
maar dat hoeft niet.

Het is wel een gegeven dat het de eerste keer is dat het bij het grote publiek bekend is.

De keus om in casu naam en toenaam bekend te maken is dan eens geen vreemde optie. Er wordt dan even op je gespuugd en gescholden maar tussen het grote publiek ben je relatief veilig omdat men weet wat je gedaan hebt. Kwalijker wordt het als je een bepaalde positie hebt en je krijgt vervolgens visite van onbekende mensen.

Heel belangrijke gegevens zijn al bekend bij verschillende partijen en daar zijn 'Russen' echt niet uniek in. Het klinkt altijd zo mooi als de wereld is verdeeld in grote partijen maar dat is onzin.


En het risico lopen we in Nederland ook. We denken dat we het allemaal prima hebben geregeld,
alleen tonen de aangiftes weer aan dat er heel veel bekend is. En dat is niet eens het grootste issue.
Probleem is dat de pool die uit de bak mag vissen steeds groter wordt en het een kwestie van tijd is voordat er een (gruwelijke) fout wordt gemaakt. En voor Henk, Ingrid, Ali of Fatima zal het relatief weinig impact hebben,
maar BN'er, politici, maar ook mensen waar je een gruwelijke hekel aan hebt, daar kun je de gegevens met een beetje moeite aanschaffen. Naam, adres, woonplaats zal wel bekend zijn, vrouw, (klein)kinderen, broers, zussen etc inc geboorteplaats is ook geen probleem, afgeronde opleidingen, auto's in bezit, vermogen, hypotheken, aandelen, etc.

Helaas staan zowel burger als politici veel te weinig stil bij dergelijke gevaren en wordt er zelfs links en rechts goedkeurend gereageerd terwijl je het als signaal moet oppakken en gelijk je eigen systemen eens moet doorspitten.
De kennis bij verschillende partijen wordt steeds groter wordt en dat zijn echt geen lieverdjes die je even op de koffie wilt hebben.
Journalisten rapporteren, het is niet aan hen om te gaan censureren. Voorbeeld: met het satirisch gedicht over Erdogan, kon je om het uur op elk journaal het gedicht horen of waren het wel de journalisten die het woord geitenneuker in de mond namen.
Sowieso als Admin P4ssword gebruiken, tja, iets met een open deur intrappen...
Uit de Engelse vertaling van de bron:
Many have made fun of Christian Pozzi's weak passwords (and of
Christian Pozzi in general, he provides plenty of material [6][7][8][9]). I
included them in the leak as a false clue, and to laugh at him. The reality is
that mimikatz and keyloggers view all passwords equally.
Hieruit blijkt dus, ondanks dat P4ssword erg simpel is het geen verschil heeft gemaakt bij de hack. De hacker heeft dit bewust erbij gezet om autoriteiten (en hacking team zelf denk ik) op een dwaalspoor te zetten.

Erg vet om te lezen, die blogpost. Zouden meer hackers moeten doen!

[Reactie gewijzigd door ApexAlpha op 18 april 2016 13:13]

Goh, ik vraag me af wat de voornaam is van gebruiker a.mino met wachtwoord A!e$$andra. Of van gebruiker l.invernizzi met wachtwoord L0r3nz0123!.

Overigens zijn beiden wel bekende leden van Hacking Team zo te zien aangezien ze het op hun LinkedIn hebben staan.
Waarom is dit opeens een probleem? De informatie (aka het plaatje) is al publiekelijk beschikbaar. Het enige wat Tweakers doet is het nieuws (inc plaatje) aan ons voorschotelen.

Als het zo'n probleem is moet je contact opnemen met iemand die het plaatje als eerst op internet heeft gezet. Of nog beter, met de hacker die deze gegevens buit heeft gemaakt.

[Reactie gewijzigd door batumulia op 18 april 2016 10:53]

Had een rechter daar pas niet zelfs een uitspraak over gemaakt over een vergelijkbaar geval met GeenStijl? Dat de site zelf niet aansprakelijk is, aangezien de content al gepubliceerd is zonder dat de site het zou vermelden.
T is wel heel off-topic maar dat ging over auteursrechtelijk beschermd materiaal: nieuws: Advocaat-generaal: links naar auteursrechtelijk beschermd materiaal geen inbreuk
"linken naar" en "plaatsen van" materiaal zijn niet dezelfde dingen.
Die zullen toch allemaal al zijn veranderd gok ik ;)
Inderdaad niet helemaal netjes om dit zo te plaatsen, maar aan de andere kant mag men er wel vanuit gaan dat deze wachtwoorden inmiddels aangepast zijn. Me dunkt.
Die namen zijn van mensen in Italie, de wachtwoorden zijn van een hack die plaats heeft gevonden in 2015, en sindsdien allang gepubliceerd zijn op het internet.
Die wachtwoorden zijn dus allang gewijzigd (gedwongen vanwege publicatie en/of wachtwoorden-beleid), de namen zelf zijn niet interessant omdat je niet weet wie er achter zit en welke verwntwoordelijkheden heeft binnen de organisatie.
Ik zie het probleem dus niet zo...
Het "leuke" is natuurlijk wel om wachtwoord vormen terug te zien, waarvan men denkt deze uniek zijn. Terwijl ze met wat social enginering (facebook scrub) toch behoorlijk wat dichter bij zijn om te raden. Met de info via https://wikileaks.org/hackingteam ter bevestiging:
"A!e$$andra" vorm van eigen voornaam.
"Ettore&Bella0314" naam van familie en maan/jaar van wijziging?
"Blu3.B3rry!" waarschijnlijk de BB specialist / admin :D
"L0r3nz0123!" vorm van eigen voornaam.
Dat is captain hindsight spelen. En dat is over het algemeen niet zo zinvol...

"Ettore&Bella0314" is leuk achteraf te lezen van Facebook, maar vooraf weet jij niet wat de volgorde en mogelijkheden zijn en /of er l33tsp33k inzit.
Dit soort wachtwoorden ga je echt niet zomaar terughalen uit een Facebook scrub hoor. Daarvoor zijn er gewoon nog steeds teveel mogelijkheden.
Volgens mij heeft niemand die op het internet zit echt bepaald recht op privacy, tenzij je daar zelf voor zorgt. (Beetje als je voordeur wijd open laten terwijl niemand thuis aanwezig is...)

Jammer genoeg, in dit geval, zijn het experts die de 0day exploits hebben gevonden en daar misbruik van hebben gemaakt i.p.v. het melden daarvan aan desbetreffende software giganten.

Daarnaast hebben hackers die hun handen konden krijgen op zulke exploits lekker hun gang kunnen gaan.

Najah...

Eigen schuld, Dikke bult!

[Reactie gewijzigd door DKSCC op 18 april 2016 15:10]

Echt.

Ik moet het hele artikel nog even lezen wat vast en zeker een smakelijk item wordt in combinatie met een kop koffie. Maar als ik alleen al naar sommige wachtwoorden kijk dan reageer ik tenenkrommend. Mijn Low Tier wachtwoorden zijn nog beter dan sommige van de admin wachtwoorden in de lijst. Als je professionaliteit, inzicht en skill kunt afleiden uit de wachtwoorden dan zou je kunnen zeggen dat sommige van die jokers niet echt heel vaardig kunnen zijn; of gewoonweg wel de scriptingskills hebben maar zelf niets geven om veiligheid.

Erg interesssant om dit allemaal te lezen. Dat zeker.

[Reactie gewijzigd door Auredium op 18 april 2016 11:26]

Een deel zal ook gewoon programmeurs zijn, niet per definitie beveiligingsexperts ...
Onzin. Als je daar werkt, dan mag dit niet gebeuren.
Programmeurs zouden juist wél beveiligingsexpert moeten zijn. Immers het is hun code die geëxploiteerd wordt. Daarnaast is iedereen met een account op het netwerk van hun werkgever verantwoordelijk voor een wachtwoord dat moeilijk te kraken is.

Maar wat zie ik vaak:
- medewerkers willen het niet al te moeilijk
- nadenken over digitale beveiligen is vervelend
- wie zou ons nou willen hacken?
Ik heb het gisteren helemaal doorgelezen en, afgezien van de tragisch simpele wachtwoorden, was het nog best een klus om binnen te komen (en onopgemerkt te blijven). Er zijn een aantal foutjes gemaakt door Hacking Team maar als deze hack iets laat zien is het wel dat beveiliging tegen hackers van dit kaliber gewoon erg moeilijk is.
Lees voor de verandering ook het webwereld artikel, een beetje loze website met teveel paginas en reclame, maar deze keer imho een beter overzicht. http://webwereld.nl/secur...werd-hacking-team-gehackt
Van de bron:
Many have made fun of Christian Pozzi's weak passwords (and of
Christian Pozzi in general, he provides plenty of material [6][7][8][9]). I
included them in the leak as a false clue, and to laugh at him. The reality is
that mimikatz and keyloggers view all passwords equally.
]
P4assword als wachtwoord van een sysadmin die spionagetools levert. Het is bijna een grap.
Als ik de lijst bekijk dan zie ik 4 leden met een wachtwoord zonder speciaal teken. Dus 1 die bestaat uit alleen cijfers en letters. Die wachtwoorden zijn een stuk makkelijker te kraken.

En iemand die P4ssword gebruikt en werkt bij Hackingteam... dan vraag je er wmb om hoor ;)
Het klinkt als inbrekers die thuis zelf de achterdeur open laten staan...
ach een Hackje van een dubieuze partij als Hacking-Team is niet zo interessant.
Het zinnetje in dit artikel "Ook overwoog hij toegang te kopen van Russische partijen, die toegang zouden hebben tot nagenoeg alle Fortune 500-bedrijven. " vind ik een stuk interessanter.
Enorm interessante lectuur. Ik zou wel meer van dit soort "verhalen" willen lezen, maar door dat al te zeggen gaat er waarschijnlijk bij de FBI ergens een lampje branden. :+
Heb je ook het artikel gelezen ? Hij/Zij is binnen geraakt via router ... daar heb je het al routers met hun closed source ...

Ik heb geen liefde voor Joomla maar opensource maakt het niet onveiliger.
Router was maar een voorbeeld van een embedded device, hij vertelt zelf niet via welk apparaat hij binnen is gekomen.
Klopt, de kwetsbaarheid zit nog in dat device dus hij wil dat niet aan de grote klok hangen.
Het is hem niet gelukt via Joomla binnen te komen. Hij schrijft zelf ook dat je daar vaak niets aan hebt omdat websites meestal door derden worden gehost en je dan dus een hoster kraakt, niet het doelwit.

Mailservers zijn dan een beter doelwit omdat die wat vaker lokaal worden gedraaid (zoek naar een MX record om de IP range die het doelwit op kantoor gebruikt te achterhalen). Maar uiteindelijk heeft hij dus geen van beiden gebruikt en gekozen een backdoor in een firmware te schrijven en die firmware te uploaden naar een device dat van buiten bereikbaar was.

[Reactie gewijzigd door Maurits van Baerle op 18 april 2016 10:58]

In het artikel staan nergens dat hij een kwetsbaarheid in Joomla heeft gebruikt, alleen dat hij er naar heeft gekeken. Uiteindelijk is gebruikt gemaakt van kwetsbaarheden in embedded devices, niet van Joomla.

Spreekt dan toch juist vóór Joomla?
Maar je kan het ook omdraaien. Experts hebben nu de kans om de broncode te bekijken en eventueel aan te passen/issues aan te maken
dat heeft niets met Joomla te maken, dat heeft te maken met hoe het zich identificeert. _elke_ online software waarbij je op welke manier dan ook een respons kunt triggeren die aangeeft welke versie het is, is een potential way in. Je hoeft maar doodsimpel te gaan zoeken daarna op "<naam applicatie> + <versienummer> + <exploit>" en het levert je mogelijk al een way in op :)

Of het nu IIS is, of een SQL-omgeving of Joomla, open source is het issue niet, die versierespons is het probleem ook nog eens niet, het grootste probleem is er wanneer blijkt dat je versie niet gepatched is voor iets / je achterligt met updates.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True