Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Submitter: ikvanwinsum

Whitehathacker Orange Tsai ontdekte sporen van een backdoorscript op de bedrijfsservers van Facebook. Via het script op de servers van de socialmediagigant wisten hackers vermoedelijk wachtwoorden en gebruikersnamen van medewerkers in handen te krijgen.

FacebookOrange kwam op het spoor van de kwetsbaarheden door via een omgekeerde whois-zoekactie de domeinnamen van Facebook door te lichten. Hij kwam daar een domeinnaam tfbnw.net tegen, wat voor 'The Facebook Network' staat. Vervolgens ontdekte hij vpn.tfbnw.net, schrijft hij op zijn blog.

Daarna zocht hij verder binnen de ip-adressen van Facebook en kwam op het domein files.fb.com tussen verschillende klasse-c-ip-adressen uit. Het files-domein werd door Facebook-werknemers gebruikt voor het delen van bestanden via Accellions Secure File Transfer-applicatie FTA. Orange ontdekte in totaal zeven bugs in FTA en kon via de kwetsbaarheden verder de servers van Facebooks medewerkers binnendringen.

Door bestaande log-data door te nemen op de servers, ontdekte Orange dat er een op php-gebaseerde backdoor bestond, ook wel bekend als PHP Web Shell. Deze shell zou opgezet kunnen zijn door een hacker. Via de hack zouden gegevens van zo'n 300 medewerkers in handen gekregen zijn.

Nadat Orange voldoende informatie had verzameld, lichtte hij het Facebook Security Team in. Voor het vinden en melden van de bug kreeg Orange 10.000 dollar. Orange zelf werkt voor een Taiwanese beveiligingsfirma Devcore.

Facebook reageerde later op Hacker News met de mededeling dat het bedrijf niet de volledige controle over alle software heeft. Ook zouden de systemen volgens de Facebookmedewerker los staan van andere systemen, ofwel de systemen die gebruikt worden voor de site zelf. In de reactie maakt de medewerker van Facebook duidelijk dat wat Orange ontdekte, voortkwam uit onderzoek van een andere beveiligingsonderzoeker die meedoet aan het bounty program van Facebook.

Moderatie-faq Wijzig weergave

Reacties (31)

is hij op dit punt "Door bestaande log-data door te nemen op de servers, ontdekte Orange dat er een op php-gebaseerde backdoor bestond, ook wel bekend als PHP Web Shell." al niet "genoeg" bezig geweest, en ga je dan niet op black hat verder? hij is immers "binnen", hij vind een serieus "spoor" van eventuele vorig hacks, en gaat het exploieteren om zelf verder te zoeken? Dat noem ik niet echt white hat meer....
Uit het artikel:

"In de reactie maakt de medewerker van Facebook duidelijk dat wat Orange ontdekte, voortkwam uit onderzoek van een andere beveiligingsonderzoeker die meedoet aan het bounty program van Facebook."

en op Hacker news:

"This is Reginaldo from the Facebook Security team. We're really glad Orange reported this to us. On this case, the software we were using is third party. As we don't have full control of it, we ran it isolated from the systems that host the data people share on Facebook. We do this precisely to have better security, as chromakode mentioned. After incident response, we determined that the activity Orange detected was in fact from another researcher who participates in our bounty program. Neither of them were able to compromise other parts of our infra-structure so, the way we see it, it's a double win: two competent researchers assessed the system, one of them reported what he found to us and got a good bounty, none of them were able to escalate access."


Witte of zwarte hacker, dit was dus gewoon toegelaten door Facebook zelf.
OddesE werdt hier naar beneden gemod maar maakte dezelfde opmerking als onze interne security man: zou ik ook zeggen als ik Facebook was. Laat ik hem ff quoten om uit te leggen dat er meer achter zit:
- from the article:
According to Facebook security engineer Reginaldo Silva, the password-slurping malware was installed by another security researcher who had earlier poked around within Facebook's system in an attempt to snag a bug bounty.

"We're really glad Orange reported this to us. In this case, the software we were using is third party. As we don't have full control of it, we ran it isolated from the systems that host the data people share on Facebook. We do this precisely to have better security," said Silva.

but this makes no sense....
in the access log in the blog post it is clearly shown that the other guy regularly downloaded the credentials...
I guess FB didn't want to admit that much. ;)
(freaxje merkte dit ook op hieronder, had ik niet gezien)

Als je achter een bounty aanzit ga je, na een inbraak, wellicht wat rondzoekenen kijken wat er gaande is - dat mag op zich nog. Maar data downloaden, en al helemaal maandenlang passwords sniffen en downloaden, dat is echt geen white-hat meer en dat Facebook dat "another security researcher" noemt is echt wel PR.

Nu we toch aan het quoten zijn vindt ik deze opmerking van Lukas ook wel mooi, temeer daar Accellion hun product specifiek als erg 'secure' verkoopt (de naam, he?):
I like how they also use PHP... They hide this fact very well.
Sales often gets to hear from competitors: THEY USE PHP IT'S INSECURE
Well. Others do as well they just hide it and it is insecure. Meh. We're pretty fine.
Kijk eens naar wat de hacker schreef over de Accellion code:
But from the fragments of source code mentioned in the Advisory, I felt that with such coding style there should still be security issues remained in FTA if I kept looking.
Lijkt mij weer zo'n geval van 'security through obscurity' leads to less security. Nee, open source projecten zijn niet ALTIJD veiliger of beter. ownCloud schrijft zat slechte code - maar die wordt dan gevonden, uitgebreid (en in de pers) bekritiseerd en gerepareerd. Linkje naar een voorbeeld: https://news.ycombinator.com/item?id=11467747
(en nee, dit is niet alleen precies positief over wat we doen. Maar projecten die dit soort aandacht niet krijgen (en wij zijn een groot project; EN we betalen ervoor) kun je feitelijk nog heel wat minder vertrouwen)

Er is een reden waarom je altijd als 1 van de belangrijkste redenen om iets niet te open-sourcen te horen krijgt 'maar de kwaliteit van de code is zo slecht': de kwaliteit van gesloten code is vaak erg slecht! En dat gaat natuurlijk net zo goed op voor 'security' code. Niet altijd. Wel bijna.

[Reactie gewijzigd door Superstoned op 26 april 2016 09:18]

Dat maandenlang sniffen en downloaden was weliswaar door een andere researcher of inbreker gedaan, niet door de persoon uit dit artikel. Wat die andere inbreker betreft zou ik zeggen: schuldig aan computervredebreuk. Deze onderzoeker die onder het bug bounty programma onderzoek deed heeft de sporen van die inbreker gevonden en keurig gerapporteerd.

Moest die vorige ook van een bug bounty programma geweest zijn, dan heeft Facebook's staff bijzonder weinig moeite gedaan om de tooling van die vorige op te ruimen.

Voor mij zou enkel en alleen een volledige herinstallatie van het OS, alle software en de master boot record voldoende zijn. In geval van hardware i.p.v. een virtual machine zou ik waarschijnlijk zelfs de hardware vervangen.
Ja, we hadden het inderdaad over de andere hacker, niet degene die de disclosure deed. En als dit was blijven hangen zou ik als security head mijn team flink op de kop geven ...
Zou ik ook zeggen als ik Facebook was...
Je quote selectief. Hij brak in, zag o.a. logbestanden, en ontdekte dat er mogelijk iemand voor hem was geweest. Nergens staat dat hij die backdoor ook daarna zelf gebruikt heeft.
Klopt, ik heb net zijn blog gelezen en na daadwerkelijk in te breken door source code te analyzeren en een remote execution fout in de PHP code te vinden heeft hij gewoon heel braaf wat dingen geprobeerd. Log files van apache (cat opsturen over de remote execution) bleken leesbaar en daar zag hij URL aanvragen met parameters die verwezen naar files op het FS. Dus heeft hij een keer ls en cat opgestuurd op die files en daar bleken een aantal interessante tools geschreven in PHP (en executable vanaf de webserver) te staan. Hij heeft ook bv. de private SSL keys proberen te catten maar dat gaf permission denied.

Alles lijkt onder het bug bounty programma te zijn gedaan.

De vorige, waarvan hij sporen heeft gevonden, lijkt echter wel verder gegaan te zijn. Oa. keylogger ge´nstalleerd, files (php scripts) geschreven, etc. Maar zelfs dat vind ik onder de noemer bug bounty programma toegelaten.
Ik zou zeggen dat voor zoiets Ą10.000 wat weinig is. Facebook zijnde zou ik hier heel wat meer voor betalen. :)
Toen ik het bedrag 'aan het lezen' was, had ik nog een 0 extra verwacht.
Dit inderdaad. Zo'n laag bedrag zal veel hackers er niet van weerhouden om deze ontdekkingen ergens anders te slijten. Met een jaaromzet van zo'n 12,5 miljard dollar is dit erg karig.. :/

[Reactie gewijzigd door matroosoft op 25 april 2016 18:21]

Nouja laag is 10.000 nou ook weer niet, ik zou er verdomd gelukkig mee zijn. Maar zo'n grote hack, waar je zo ver binnen weet te komen vind ik wat vreemd qua contrast wat sommige mensen verdienen aan kleinere exploits.
Als je het artikel leest dan staat er wel duidelijk vermeld dat dit een op zich staan systeem is wat niet gekoppeld is aan de andere systemen van Facebook. De omvang is daarmee beperkter dan wanneer het een lek zou zijn in het systeem van Facebook waar daadwerkelijk alle data op staat en je bijvoorbeeld toegang krijgt tot de gegevens van alle gebruikers.
Dus het is misschien een kleinere hack als het doet voorkomen en dan is die 10.000 best redelijk.
Hier het verhaal van de pentester, voor de ge´nteresseerden:

http://devco.re/blog/2016...-backdoor-script-eng-ver/
DIe link staat ook al in het artikel :)
En wanneer gaan ze het bruteforcen van sociale media fixen.. Sta me nog versteld hoe wachtwoorden gekraakt worden die vrijwel random gegenereerd zijn
Waar haal je dat vandaan?
Zit regelmatig op TS met mensen en eentje daarvan weet elke keer mijn password. Natuurlijk puur voor de gein maar toch. Hij zegt dat hij een bruteforce methode gebruikt
Als hij elke keer je wachtwoord weet zal jij elke keer een voorspelbaar wachtwoord hebben, het ergens opschrijven waar hij bij kan of heeft hij toegang tot je pc...
Het bruteforcen van social media is (zonder bugs) niet zomaar mogelijk, na een paar pogingen krijg je time outs en uiteindelijk een blokade, als hij 1 keer je wachtwoord door puur geluk in enkele pogingen 'brute forced' kan dat, maar keer op keer dan gebruikt hij toch echt iets anders en zal je naar je eigen beveiliging moeten kijken...

(Edit: phishing vergeten...)

[Reactie gewijzigd door RGAT op 25 april 2016 19:32]

En niet te vergeten de mail/notificatie die je krijgt van fb als je account op een ander device is gebruikt. Zou je apparaat maar eens checken op keyloggers en geen opgeslagen wachtwoorden gebruiken.

Dat laatste natuurlijk tegen puddi puddin

[Reactie gewijzigd door mrdemc op 25 april 2016 19:58]

Ja hoor brute force?

Weet je zeker dat je nooit een "hotgirl.jpg.exe" van hem gehad hebt waar een keylogger in verstopt zat?

Brute force op FB is niet mogelijk aangezien ze dit blokkeren.

Ik zou je PC maar een checken als begin...
Ik ben niet gek ik weet wel wat ik aan klik. :) :) Dan moet er een andere manier zijn waardoor hij meerdere malen mijn pass weet.
Ik zou SUPERantispyware eens draaien, vond bij mij(jaren geleden) op al mn systemen trojans en keyloggers. En ik weet heel goed wat ik doe met mn PC. Virus scanner zei niks, spybot S&D vond niks.
Facebook reageerde later op Hacker News met de mededeling dat het bedrijf niet de volledige controle over alle software heeft.
WTF? Dus het grootste sociale netwerk ter wereld heeft niet de volledige controle over hun software? Kan iemand mij dit uitleggen?
Omdat het niet "hun" software is.
Zelfs de grootsten in de markt zullen nooit ßl hun tooltjes intern ontwikkelen; het kost gewoon klauwen met geld om eigenlijk constant het wiel opnieuw uit te vinden. Dus ja, facebook heeft vast nog wel meer third party applicaties voor intern gebruik draaien. Dat heeft tegenwoordig zo ongeveer iedereen wel :)
Dit is een tool om bestanden te delen binnen bedrijven. Een soort Dropbox voor heet bedrijfsleven dus. Aangezien die functie niet de core business van Facebook is, is het voor hun niet de moeite waard om zelf een team een competitieve versie te laten bouwen en onderhouden. Dat team kan veel beter aan features werken voor Facebook zelf. Net zoals Facebook niet hun eigen mijnen explodeert om hun eigen cpu's te kunnen bakken voor hun eigen servers. Je moet ergens de grens trekken.
Net zoals Facebook niet hun eigen mijnen explodeert om hun eigen cpu's te kunnen bakken voor hun eigen servers. Je moet ergens de grens trekken.
Waarom niet? Leuk man, vuurwerk!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True