Nederlanders ontdekken beveiligingsgat in Lotus Notes

Chicken schrijft: "Opnieuw internationale faam! Nu geen onhandige Wim Kok , maar een leuke tentoonspreiding van hackers kwaliteiten. Op de Defcon beurs in Las Vegas liet een aantal mensen afkomstig van Trust Company uit Den Haag zien dat het mogelijk is de inhoud van de Notes database te lezen met gebruikmaking van een lek in de beveiliging. Wereldwijd heeft Notes zo'n 56 miljoen gebruikers, onder meer omdat het de veiligste software ter wereld zou zijn:

Een groot aantal banken, waaronder ABN Amro en Fortis, de vijf grote, wereldwijd opererende accountantskantoren, waaronder Ernst & Young en PriceWaterhouseCoopers, maar ook multinationals als Philips, Heineken en Nutreco gebruiken Lotus Notes voor hun interne dataverkeer. Dat geldt ook voor overheidsorganen als de Belastingdienst in Nederland en de Amerikaanse inlichtingendienst CIA. [break]
Lotus Notes bar
[/break] Wereldwijd heeft Lotus Notes ruim 56 miljoen gebruikers. Dat komt volgens de woordvoerster van Lotus Notes Nederland doordat die erop kunnen rekenen dat de software "absoluut veilig" is. "Lotus Notes staat zelfs bekend als de veiligste software ter wereld", zegt Wouter Aukema, mede-eigenaar van Trust Factory, het bedrijf dat het afgelopen weekeinde op Defcon heeft gedemonstreerd hoe het voor hackers mogelijk is om 'in te breken' in een Lotus Notes- systeem. Aukema liet ook een verklaring zien van Lotus, waarin het bedrijf het bestaan van de lekken erkent. Voor een officiële reactie was Lotus niet bereikbaar.

"Bedrijven en overheden varen blind op de veiligheid van Lotus Notes. Dat vertrouwen is onterecht." Met het door The Trust Factory gevonden lek kunnen hackers zich toegang verschaffen tot gevoelige informatie, zegt Aukema. The Trust Factory heeft een aanval op een Lotus Notes-systeem gedemonstreerd, zonder dat de exacte technische details werden prijsgegeven.

Ga voor het hele bericht naar de site van NRC Handelsblad

Door Daniel Kegel

Feedback • 01-08-2000 02:22 48

01-08-2000 • 02:22

48

Lees meer

Software

Reacties (48)

-Moderatie-faq
48
48
34
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
Tachyon 1 augustus 2000 02:44
The Trust Factory heeft een aanval op een Lotus Notes-systeem gedemonstreerd, zonder dat de exacte technische details werden prijsgegeven.
Da's vreemd; in een demonstratie wil je aantonen dat er een beveiligingslek zit in een veilig geacht stukje software en vervolgens leg je NIET uit hoe je het precies hebt gedaan. Je vraagt je af wat Trust Company wil bereiken met het achterhouden van deze info?
Verwijderd @Tachyon1 augustus 2000 03:32
Omdat anders iedere wanna-be hacker cq cracker het meteen gaat proberen op de dichtsbijzijnde lotus notes server waar ze op kunnen komen.
Verwijderd @Verwijderd1 augustus 2000 08:37
Nou en? Des te meer druk zit er voor de leverancier achter om een patch uit te brengen.
Als men dat niet deed, dan zat je nu nog met een enorm lek in Foutloek.
iceblink @Verwijderd1 augustus 2000 10:41
Het is 1 ding om een patch te maken. Het inlichten van je klanten en verspreiden van de patch is een 2e...
Verwijderd @Verwijderd1 augustus 2000 12:18
Het is een hele normale zaak (en ook een hele goede gewoonte) om zulke gegevens pas na dat de patch is uitgekomen te onthullen.
Ik denk niet dat hen het in dank afgenomen wordt als bedrijven en zelfs overheidsinstellingen in de problemen komen door informatie over een leak.
localhost @Verwijderd1 augustus 2000 18:51
Klopt. Voor 95% van de "gevonden" fouten bestond al jaren een oplossing. Dus communiceren

Maar als je echt iets fout wil instellen, lukt dat toch wel.
Voorbeeld:
chmod 666 /etc/shadow
Roland684 @Verwijderd2 augustus 2000 00:41
Met outlook hebben ze die aanpak gevolgd omdat die patch al jarenlang uitbleef... ondanks herhaaldelijk aandringen.
Je moet ze wel even de tijd geven om een patch te maken, maar daar moeten ze ook niet al te lang mee wachten, en dat was in het geval van outlook wel het geval.

Aan de andere kant... ze hebben al verteld dat er een gat is, en wat het kan, een beetje hacker heeft het dan zelf ook al snel uitgevogeld. Maar voor de 'good guys' valt er toch al geen eer meer mee te behalen nu het bekend is.
Verwijderd @Tachyon1 augustus 2000 13:45
Aukema liet ook een verklaring zien van Lotus, waarin het bedrijf het bestaan van de lekken erkent.
Lotus weet al waar het lek zit. Het heeft dus geen enkel zin voor Trust om het openbaar te maken hoe notes te hacken valt, daar zouden ze alleen maar anderen mee benadelen. Dus laten ze alleen zien dat het mogelijk is. Ze spelen het netjes IMO.
localhost @Verwijderd1 augustus 2000 18:33
Ze werken momenteel zelfs samen aan een oplossing.

Leuk voor voor een net startend bedrijf.

Zie www.trust-factory.com
Trust Factory has already made ... IRIS & ... Lotus aware of the security problems ... we are currently working with them to achieve a swift and solution to the problems.
IRIS is het bedrijf dat Lotus Domino/Notes in opdracht van Lotus ontwikkeld.
Verwijderd 1 augustus 2000 08:53
Hmm ja,
gister is ook bekend gemaakt dat een paar nederlanders zijn opgepakt i.v.m. een mogelijke kidnapping van Milosevic. Bron: het altijd betrouwbare ministerie van informatie van voormalig Joegoslavie.

Wat ik er mee wil zeggen is: de geleverde informatie is wel erg karig. Het enige wat duidelijk is is dat het om Notes gaat en dat het om nederlanders gaat. Maar welke versie (4 of 5), welk platform, gaat het om een applicatie of de server, wat gebeurt er als Notes achter een firewall zit en slechts de Http en Shttp poorten open staan, wordt er gebruik gemaakt van additionele software (Domino.doc, domino workflow etc.)
Of is het een goedkoop publiciteitsstuntje.... Ik had nog nooit van trust Company gehoord.

Ik wil best geloven dat er problemen kunnen zijn, maar het kan ook gewoon een baggerapplicatie zijn geweest met een slechte ACL. Zie bijv. veel te lange link Dit is dus een feature, geen bug!

Overigens zijn er op packetstorm.securify.com wel wat Notes/Domino security issues te vinden. De meeste hebben te maken met de SMTP-MTA van versie 4.

Ik denk er vooralsnog het mijne van.
Jeroen 98675432 @Verwijderd1 augustus 2000 10:27
Dit is gedemonstreerd op Defcon in Las Vegas, zo'n beetje de grootste conventie op het gebied van beveiliging, hacking, cracking, etc. Hier zal het dus heus niet gaan om een eenvoudig gaatje wat door onzorgvuldig gebruik open is blijven staan, maar om een serieus lek.

Dit is eveneens door Lotus bevestigd, dus moet het wel iets bijzonders zijn. Lotus heeft een goede naam hoog te houden, anders hadden ze meteen wel een persbericht de deur uit gedaan, om aan te tonen dat het om een instelfout of een feature gaat, in plaats van een veiligheidslek.

Overigens hoor ik steeds vaker dat Lotus Notes Webservers worden beveiligd met een aparte Linux Firewall
FoolZero 1 augustus 2000 11:45
Nu blijkt, dat het 'lek' veroorzaakt wordt, door onzorgvuldigheid/onkunde van de beheerders.

Van de Nederlandse Lotus site:
Tijdens een hackersconferentie is beweerd dat inbreuk op Lotus Domino/Notes mogelijk is. Echter, de beweerde kwetsbaarheid bestaat alleen in zeer specifieke gevallen, waarbij een combinatie van (standaard) beveiligingsmogelijkheden van Lotus Notes onbenut zijn gelaten.
De genoemde beveiligingsproblemen zijn daarom uiterst eenvoudig te voorkomen. Dit is mogelijk door de configuratie van het totale systeem in te stellen volgens de richtlijnen die Lotus meegeeft in de bijbehorende documentatie. In versie 4.6 en hoger van Lotus Domino/Notes kunnen systeembeheerders in zeer korte tijd centraal een beveiligde configuratie instellen en zo het genoemd probleem teniet doen.
Zo dus hieruit blijkt, dat iig de administrator goed zorg moet dragen voor een veilig systeem.

Dus heren SA-wannabees wederom de boodschap RTFM!!! :P

[flamemodus]
En om terug te komen om de flames hierboven. Notes is meer dan een mail programma!
[/flamemodus]
Woonjas @FoolZero1 augustus 2000 18:10
De reaktie van Lotus heeft het voorlopig alleen nog maar over een configuratie instelling volgens de richtlijnen van Lotus.

Allemaal erg leuk, maar ... ik heb nog steeds niks gehoord over een fix die ervoor zorgd dat OLE/Notes-C API zich naar de ECL instellingen schikken (voor diegenen die niet zo thuis zijn binnen notes/domino: de ECL definieert wie er bepaalde functies mogen uitvoeren op/in de notes client, zoals toegang tot het filesysteem).
Het is dus nog steeds mogelijk om via een email attachment(word doc met vbscript bijvoorbeeld) of een email met een URL die men dan opent om het een en ander aan VBscript te laten draaien wat binnen de security context van de gebruiker op de server toch nog leuke dingen kan doen.. te denken valt bijvoorbeeld aan een domino variant van het I love you virus...
localhost @Woonjas1 augustus 2000 21:56
Men (Lotus) geeft eigenlijk als oplossing: "Notes afsluiten voordat je een ander pakket opstart."
Verder geeft men toe dat wanneer je vanuit Notes in Internet Explorer komt, je eigenlijk onveilig bezig bent.

De vraag is of je dit een oplossing is...

Je zou ook al je Win.* stations de deur uit kunnen doen en ze inruilen voor een Unix of Mac doos met Lotus Notes Client.
Rembert 1 augustus 2000 17:41
Hoe zit het met Notes: er is een ID file welke door de notes client wordt gebruikt en waarmee je toegang verkrijgt op servers, databases enz. Er is ook een http password waarmee je toegang krijgt tot domino (ook tot je ID file?)

Als je een stukje code in een E-mailtje weet te bakken waarmee je velden uit een person document in de names.nsf kunt rippen dan kun je hiermee sowieso zijn encrypted http password ophalen en mogelijk ook zijn notes ID (die niet altijd in het person document zit).

De codering van Notes is niet bijster sterk, 30 bit RSA oid dacht ik. Dus het http password is vast net als passwd eenvoudig te hacken. De ID file heb je dan niet eens meer nodig, tenzij je met een echte Notes client e.e.a. wil doen. Er zijn trouwens vast kuddes gebruikers die voor hun ID hetzelfde ww gebruiken als voor hun http toegang.

Is de ID file met een ander toegangscode beveiligd, dan wordt het moeilijker, maar uit het nrc artikeltje begrijp ik dat ze deze locking van de ID file (waarin dus de keys zitten voor onder meer toegang tot notes servers) hebben weten te omzeilen? Is knap...

Al met al... het lijkt erop dat met name de beveiliging via domino niet al te best is... Het is me niet helemaal duidelijk of de hack nu via een browser wordt uitgevoerd of via een client. Het lijkt erop dat het gewoon via de browser gebeurt.
localhost @Rembert1 augustus 2000 21:28
er is een ID file welke door de notes client wordt gebruikt en waarmee je toegang verkrijgt op servers, databases enz.
Deze ID is alleen geldig met een wachtwoord. En op servers die jou als gebruiker binnenlaten. Wil je inbreken, dan zal je dus de juiste ID en een Internet IP adres van een server moeten hebben (of modem nummer).
Er is ook een http password waarmee je toegang krijgt tot domino (ook tot je ID file?)
Bij verkeerd geconfigureerde systemen kan je ook zonder password een ID file binnenhalen met je webbrowser... Vaak met www.webservernaam.tld/names.nsf/people?openview
http (zonder ssl) werkt met cleartext. Mocht je systeem goed geconfigureerd zijn, dan kan je door het password te "sniffen" inderdaad dit gebruiken om toegang te krijgen tot "names.nsf" (dit is de userlist van Lotus Notes)
Als je een stukje code in een E-mailtje weet te bakken waarmee je velden uit een person document in de names.nsf kunt rippen dan kun je hiermee sowieso zijn encrypted http password ophalen en mogelijk ook zijn notes ID (die niet altijd in het person document zit).
Dit is zeer eenvoudig. Ik heb dit als test een jaar geleden al eens gedaan. Je kan de *.id file vaak gewoon in de lokale "data directory" vinden en naar jezelf laten opsturen. De eindgebruiker heeft dit niet in de gaten. Maar hiermee heb je het password nog niet.
De codering van Notes is niet bijster sterk, 30 bit RSA oid dacht ik. Dus het http password is vast net als passwd eenvoudig te hacken. De ID file heb je dan niet eens meer nodig, tenzij je met een echte Notes client e.e.a. wil doen.
Je kan dit http password upgraden naar een "more secure format". Deze heeft meer veel meer "bits".

Oud HTTP password: D818898A2C5D3B2AA63C9D585F7D58FB
Upgraded HTTP password #1: GAgcbNdQFNPK5MLuPKpR
Upgraded HTTP password #2: GTa3gIjIOhB8nDwhbvh0
Upgraded HTTP password #3: GfW+yaN5zXJ+fIIR1XtN

(Alleswachtwoorden zijn hier "tweakers.net" zonder "")
Is de ID file met een ander toegangscode beveiligd, dan wordt het moeilijker, maar uit het nrc artikeltje begrijp ik dat ze deze locking van de ID file (waarin dus de keys zitten voor onder meer toegang tot notes servers) hebben weten te omzeilen? Is knap...
Normaal gesproken kan je uit Lotus Notes "uitloggen" door op F5 te drukken. Ook wel locken genoemd. Maar blijkbaar is dit dus geen echte "lock", met een speciale tool (draaien op dat werkstation, als het OS niet gelocked is. bv. in NT of X-Server) kan je toch de password "hash" te weten komen.

De "hash" is overigens niet gelijk aan de "http password hash" ook al gebruik je hetzelfde wachtwoord. Voor http en je ID file.
Al met al... het lijkt erop dat met name de beveiliging via domino niet al te best is... Het is me niet helemaal duidelijk of de hack nu via een browser wordt uitgevoerd of via een client. Het lijkt erop dat het gewoon via de browser gebeurt.
De eerste open gaten kunnen in de webserver zitten. Bv. names.nsf open en UserID file is nog aanwezig en je weet het wachtwoord van deze ID en je mag als deze user op de webserver inloggen. Dan heb je toegang met je Notes Client, dan kan je alle andere password hashes downloaden (kan niet via web, tenzij heel erg verkeerd geconfigureerd), mits deze nog in het oude format staan (zie boven) en dus niet "salted" zijn.
Verwijderd 2 augustus 2000 00:09
ah eindelijk de bedrijfswebzijde gevonden www.trust-factory.com/

effe quoten
We are now poised to speak during the UBER HAXORS track of presentations at DEFCON, on July 29th. During this presentation, we will cover general security configurations and common misconfigurations in Lotus Notes & Domino servers. In addition we will present several security vulnerabilities and exploits and relate how such vulnerabilities could be used in a practical implementation of Information Warfare.
Trust Factory has already made Charlie Kaufman at IRIS Associates & Kevin Lynch at Lotus aware of the security problems we will be demonstrating at DEFCON, and we are currently working with them to achieve a swift and solution to the problems
Reeds vermeld in deze postingserie is een link naar de ppt-presentatie.
oke, leuk verhaal met tips voor beheerder,
maar mis alleen nog het achive a solution to the problems, want die problems ben ik effe kwijt.

In mijn optiek is het helke verhaal gewoon een presentatie over common beveiligingsissues bij Lotus en hoe ze te voorkomen. Alle media-aandacht is wellicht wat overdreven.
localhost @Verwijderd2 augustus 2000 07:46
In mijn optiek is het helke verhaal gewoon een presentatie over common beveiligingsissues bij Lotus en hoe ze te voorkomen. Alle media-aandacht is wellicht wat overdreven.
95% was al bekend. Men heeft echter wel wat nieuwe dingen gevonden (o.a. Locken met F5, Notes API).

Alleen is het verhaal nu wel helemaal compleet, ze hebben wel degelijk zeer goed werk geleverd. Een soort "roundup" dus.
MetalStef 1 augustus 2000 10:23
Lotus Notes veilig? Hmm, ja. Omdat niemand precies weet hoe het werkt...

Ik mail dagelijks met Hopeless Notes, en ik verbaas me er nog steeds over dat het forwarden van een mail gaat met: Action - Forward en het replyen moet met Create - Reply.
En zo zijn er nog veel meer onlogische manieren om dingen te doen.

Dit is een pakket wat logisch is voor de ontwerpers ervan en niet voor de gebruikers ervan.

MetalStef

* 786562 MetalStef
Verwijderd @MetalStef1 augustus 2000 10:40
Het niet gebruikersvriendelijk zijn van Notus Lotes ;) heeft niets te maken met de beveiliging. Notes is inderdaad behoorlijk onprettig in het gebruik. Het feit dat je weinig hoort van beveiligingsproblemen komt doordat het minder wordt gebruikt dan Outlook en daarbij ook nog eens minder wordt gebruikt door domme gebruikers.

En aan dat laatste draagt wellicht de slechte gebruikersvriendelijkheid bij. Ze hebben het gewoon zo lastig te gebruiken gemaakt dat domme gebruikers er niet mee om kunnen gaan. Briljant: De irritante interface is dus de beste beveiligingsfeature van Notes!!! :)
ziekloon @Verwijderd1 augustus 2000 10:49
Inderdaad, Notes wordt nauwelijks gebruikt door thuisgebruikers en kleine bedrijfjes. En inderdaad, de gebruikers(on)vriendelijkheid heeft niks te maken met security.
Maar als je het nieuwsitem goed leest dan zie je dat het JUIST in gebruik is bij de grote bedrijven die gebaat zijn bij een afdoende security. Drie keer raden waarom er dus meestal wordt gekozen voor de combo Domino/Notes....

Overigens: Als Outlook bestemd is voor domme gebruikers dan is dat des te meer reden om voor Notes te kiezen ;)

* 786562 ziekloon
Verwijderd @ziekloon1 augustus 2000 12:53
Ter ondersteuning, ik ken een redelijk groot bedrijf (laat ik het omschrijven als een internationaal, wereldwijd bedrijf wat allerlei refelectoren maakt, waterdicht ademend spul voor bijvoorbeeld schoenen en allerlei plakspul) en die werken dus met Lotus Notes.

Dit ter illustratie van hetgeen ziekloon hier aangeeft (alleen jammer dat ie Outlook naar beneden moet trappen).

Overigens begint de bedrijfsnaam met een '3' ;)

[stukje off topic]
Voor dit soort discussie gaat altijd op: ieder systeem heeft zijn voor- en nadelen.

Persoonlijk ben ik van mening dat je de security binnen Outlook voor een groot gedeelte goed kunt regelen ('t kost je wat moeite, maar het kan, "wij" hebben nooit problemen met Outlook).
Ik ken Notes niet, dus daar kan ik geen uitspraak over doen.
Jeroen 98675432 @MetalStef1 augustus 2000 10:56
Opvallend dat er veel personen schijnbaar nog met hopeloos verouderde Notes versies werken. Gebruiksgemak, compleet met knoppen en al zit prima in elkaar, als je tenminste een versie hebt, waarbij het eerste cijfer een 5 is... ;)
Overigens kun je met behulp van SmartIcons zelf naar hartelust knoppen, toeters en bellen ontwerpen in Notes.

Als ik Outlook versie 2.3 gebruik, wil dit toch ook niet zeggen dat Outlook in zijn algemeen gebruiksonvriendelijk is....
MetalStef @Jeroen 986754321 augustus 2000 11:34
Bolus Notes zal vast wel beter zijn geworden sinds versie 5.x maar een hoop van die grote bedrijven (in ieder geval Philips) werken nog met versie 4.6.x (lang niet zo oud als LookOut 2.3). En dat is huilen met de pet op, ook al kun je van die mooie knopjes maken.

Overigens in Notes helemaal niks voor thuisgebruikers, tenzij die er een Domino-server bij hebben. Notes gaat op een heel andere manier met mail om dan een dedicated mail-pakket.
Neem als voorbeeld dit mail-adres wat gebruikt wordt om mail te versturen van Notes naar Notes: MetalStef/ALM/BE/GROOTBEDRIJF. Als je gaat mailen van SMTP naar Notes wordt het gewoon MetalStef@grootbedrijf.com.

MetalStef
Jeroen 98675432 @MetalStef1 augustus 2000 12:06
Het probleem zit dus bij je baas, die nog even geen zin heeft in upgrades (en dus licentiekosten) van Lotus Notes.

Overigens is Notes vanaf versie 5 prima geschikt voor thuisgebruikers. Deze werkt met POP3, IMAP, SMTP enzovoorts, net zoals Outlook. Ook nieuwsgroepen kun je er mee lezen. Hiervoor is geen Domino Server nodig, (gewoon een normaal E-mail adres: naam@domein.com) de instellingen zijn hetzelfde in te stellen zoals bij Outlook, zij het op andere plaatsen. Wat dat betreft is Notes inderdaad een onoverzichtelijk doolhof.
ziekloon @MetalStef1 augustus 2000 10:39
Tja. Als je met de batavieren-versie van Notes werkt dan schiet het inderdaad niet erg op... }>
Ter info: Inmiddels zitten we met Lotus Notes op versie 5.04. En tenzij je Notes volkomen idioot hebt geconfigureerd (je kan namelijk zo'n beetje alles zelf inrichten) staan er gewoon keurige knoppen in beeld om te replyen, forwarden, attachen etc. etc.
Overigens zijn de mail-faciliteiten Notes slechts een onderdeel van het produkt.

* 786562 ziekloon
FoolZero 1 augustus 2000 02:29
Hmmmm, een kwalijke zaak...

Overigens betekent dit natuurlijk niet meteen, dat alle banken/bedrijven direct in gevaar zijn, want voordat de hacker bij de Notes server is, zal deze eerst door een aantal andere (hopelijk betere) beveiligingen heen moeten, zoals bijvoorbeeld een firewall.


* 786562 FoolZero
Rembert 1 augustus 2000 11:55
Sja...

Iedereen die wel eens een Notes server heeft opgebouwd weet ook dat het configureren van Notes niet echt simpel is. Tevoren manuals doorspitten is toch wel aanradertje. Voor je het weet heb je anders je names.nsf via domino beschikbaar gemaakt voor het internet - da's zoiets als het volkomen verwijderen van je voordeur :o

Maar als je de setup van de server goed doet, dan is het relatief veilig. Maar als je slim ontwerpt, dan zet je natuurlijk de bestanden met vertrouwelijke info die alleen vanuit het interne netwerk gezien moet worden niet op je notes server die verbinding heeft met de boze buitenwereld. Toch?

En moet er eeen deel van die informatie toch buiten beschikbaar zijn, dan repliceer je alleen die data die buiten beschikbaar moet zijn. Da's nou net een van de sterke kanten van notes.
Verwijderd 1 augustus 2000 13:03
Ook op de internationale site kan je de reaktie van Lotus lezen www.lotus.com/security
Chicken 1 augustus 2000 16:21
Het NRC heeft een vervolgartikel geschreven over het beveiligings"gat".
Geloof me, als je even de moeite neemt om dat artikel te lezen, dan kun je gerust zeggen dat dit nooit een feature van Notes is geweest. (tenzij men graag password-bypass operations toestaat ;))

www.nrc.nl/W2/Nieuws/2000/08/01/Vp/07.html

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq