Onderzoeker vindt publiek toegankelijke server met geheime NSA-bestanden

Beveiligingsonderzoeker Chris Vickery heeft in zijn zoektocht naar onbeveiligde servers een verzameling documenten aangetroffen die toebehoren aan het Amerikaanse leger en de NSA. Sommige bestanden hadden kenmerken als 'top secret'.

Volgens de onderzoeker behoren de gegevens toe aan INSCOM, waarin zowel het leger als de NSA is vertegenwoordigd. Hij zegt aanwijzingen te hebben gevonden dat de server in kwestie door Invertix werd beheerd, een INSCOM-onderaannemer die inmiddels niet meer bestaat. In totaal ging het om 47 bestanden en folders, waarvan er drie te downloaden waren. Vickery vond de bestanden in september op een onbeveiligde AWS-S3-server. Iedereen die over de juiste url beschikte, kon de inhoud van deze bucket zien.

Onder de te downloaden bestanden was een ova-bestand met een Linux-virtual machine en zes bijbehorende partities met groottes tussen de 1GB en 69GB. Deze vm droeg de naam ssdev en diende om bestanden van een Pentagon-server te halen. Vickery schrijft dat de meeste bestanden in de vm alleen toegankelijk waren als er een verbinding naar het Pentagon was opgezet. Uit de eigenschappen van de bestanden was op te maken dat het ging om documenten met kenmerken als 'top secret' en 'noforn', wat betekent dat het geheime bestanden zijn die niet met buitenlandse bondgenoten gedeeld mogen worden.

Verder vond de onderzoeker privésleutels en gehashte wachtwoorden van Invertix-beheerders, die mogelijk verdere toegang tot systemen bieden als ze nog geldig zijn. De twee andere bestanden waren een readme-bestand en een jar-bestand voor trainingsdoeleinden. Een folder binnen de vm bevatte bestanden die bedoeld waren voor gebruik met Red Disk. Volgens een artikel van The New York Post was dat een systeem om militairen in Afghanistan toegang te geven tot een 'cloudomgeving' met inlichtingendatabases.

Vickery schrijft in zijn blogpost dat hij vaker onbeveiligde servers met gevoelige gegevens vindt, maar dat dit de eerste is waarbij hij geheime overheidsinformatie aantrof. Eerder trof hij bijvoorbeeld een server aan met informatie over 198 miljoen Amerikaanse kiezers.

Screenshot van de Inscom-bestanden

IT-banen

Reacties (55)

Electrifying 29 november 2017 10:57

Bij dit soort massive failures vraag ik me af wat er zo moeilijk aan is om dit soort servers gewoon achter een VPN te gooien. Dan is een deel van het probleem al “opgelost”, zonder dat het het teveel “moeite” oplevert voor de eindgebruiker.

Aikon @Electrifying • 29 november 2017 11:13

'Achter een VPN' is een vrij loze term. Dat je normaliter deze servers alleen via een VPN-verbinding kon bereiken was wellicht ook wel de bedoeling, maar dat heb je met misconfiguraties nou juist, dan kan je e.e.a. omzeilen zoals hier het wellicht geval is. Daar helpt geen VPN-verbinding tegen.

Verwijderd @Aikon • 29 november 2017 12:09

Waarschijnlijk is het ongeveer gegaan zoals: de server stond eerst in/achter een VPN of VPN achtige oplossing. Bert Ambetanteheerder heeft dat een paar jaar geleden goed en veilig ingesteld.

Toen kwam Jantje Speciaal. Jantje Speciaal gelooft niet in documentatie lezen of procedures volgen. Jantje weet het altijd beter. Want Jantje is superman. Denkt Jantje Speciaal.

Meneer kolonel Strepen Opzijnvest vindt Jantje wel handig. Jantje is manipuleerbaar door tegen Jantje te bevestigen dat Jantje superman is. Dus Strepen Opzijnvest vertelt Speciaal Jantje: zet die server eens zo en zo en zo zodat zus en zus en zo wel kan want volgens Bert Ambetanteheerder kan dat niet want dat iets over gevaarlijk. Maar Opzijnvest weet het beter want Opzijnvest is kolonel. Ambetanteheerder moet zwijgen en Opzijnvest gaat het wel aan Speciaal Jantje vragen.

Jantje de superman zwiert de beveiligde server uit de VPN beveiliging voor Opzijnvest zijn mannetjes.

De vijand heeft ook zo'n speciaal mannetje in dienst. Die noemt Rutofsky Spezcial. Spezcial hackt kei hard de server die Opzijnvest zijn mannetjes gebruikt.

Dus nu gaat Opzijnvest dan maar janken bij politici en propagandisten om Rutofsky Spezcial's land zwart te maken. Want het kan niet zijn dat kolonel Opzijnvest verantwoordelijk zal gehouden worden.

Edwin @Verwijderd • 29 november 2017 13:36

Leuk omschreven en op de namen na zou het zo best eens gegaan kunnen zijn.

Verwijderd @Kain_niaK • 29 november 2017 14:15

Het is geschreven voor Jip en Janneke.

Flamesz @Electrifying • 29 november 2017 11:11

Een machine achter een VPN gooien kan je zo doen als je hem zelf beheert, maar dit betreft een AWS (Amazon Web Services) server en bevind zich dus in de "cloud".

LiquidCrystal @Flamesz • 29 november 2017 11:49

De machines van Amazon bevinden zich standaard achter een firewall en word pas toegankelijk wanneer de eigenaar/beheerder poorten op die firewall (webinterface van Amazon) open zet.

Bij de uitrol van een nieuw machine staan, zover ik weet bij een Windows machine alleen poort 3389 (rdp) en voor Linux poort 22 (ssh) open. Verder staan er dan nog geen andere poorten open.

Een webserver e.d. worden dan pas toegankelijk wanneer poorten 80 en 443 worden open gezet.

Er is dus blijkbaar iemand geweest die hiervoor handmatig wijzigingen heeft aangebracht, waardoor dit bereikbaar werd.

WienerBlut @LiquidCrystal • 29 november 2017 11:54

Het ging hier om een S3 bucket, die beveilig je met policies of natuurlijk met Security Groups wanneer het een endpoint in een VPC heeft. Het is in dit geval geen server geweest.

edit: foute info doorgehaald

[Reactie gewijzigd door WienerBlut op 23 juli 2024 16:04]

Tadango @Flamesz • 29 november 2017 11:17

En daarom heb je een private cloud...

WienerBlut @Tadango • 29 november 2017 11:42

Ook een private cloud kan je verkeerd configureren, het is duidelijk dat dit gewoon een fout is... tenzij het een bewust lek is natuurlijk.

nephilimcrt @Tadango • 29 november 2017 14:50

Welk probleem lost een 'private cloud' op, dan? In het midden gelaten dat ik 'private cloud' een bullshit marketingterm vind, kun je een AWS of Azure subscriptie net zo goed of slecht beveiligen als een 'private cloud'.

De term 'private' dient alleen maar om hosting te verkopen aan bedrijven die niet de publieke cloud in willen, omdat ze denken dat Amazon en/of Microsoft hun bestandjes dan gaan doorspelen aan de CIA of Rusland of dergelijke onzin.

Tozz @nephilimcrt • 29 november 2017 17:12

Geen onzin. In vrijwel alle hosting contracten voor omgevingen die persoonsgegevens is het hosten van die data buiten de EU uitgesloten cq. verboden.

Het is heel erg lastig om bij een partij als Amazon, Google of Azure af te dwingen en te garanderen dat je data niet buiten de EU staat. Het is niet te controleren als afnemer terwijl je er wel verantwoordelijk voor bent. Een partij buiten de EU hoeft zich ook niet te houden aan de GDPR, want die geldt alleen in Europa. Mogelijk kan een partij buiten de EU zich er ook niet aan houden, omdat de GDPR conflicteert met bijvoorbeeld Amerikaanse wetgeving die stelt dat bepaalde gegevens overhandigd moeten worden als de staat er om vraagt. Kortom, door dit conflict bestaat simpelweg de mogelijkheid dat je data niet legaal buiten de EU en/of bij een niet-Europese organisatie kunt hosten omdat de amerikaanse partij in kwestie niet kan voldoen aan de eis, omdat die conflicteert met nationale Amerikaanse wetgeving.

Het is niet voor niets dat de grote US cloud partijen zich zo verzetten tegen de Patriot Act. Ze verliezen er omzet door.

Om deze reden wordt er veel gebruik gemaakt van 'private clouds', puur om aan het privacyvraagstuk te kunnen voldoen.

[Reactie gewijzigd door Tozz op 23 juli 2024 16:04]

Tozz @nephilimcrt • 14 december 2017 15:28

Wellicht. Maar afgezien dat je aangeeft dat je het een bullshit term vind ging je reactie over dat het onzin is niet de publieke cloud in te willen.

bush @Flamesz • 29 november 2017 11:15

een server in de cloud kan je ook achter een VPN zetten (ten minste toch in Azure)

Electrifying @Flamesz • 29 november 2017 17:02

I stand corrected. Wist niet dat het om een Amazon Web Service ging. Dacht dat het om hosting vanuit de US GOV ging.

djwice

@Electrifying • 1 december 2017 21:56

Wat dacht je er van gewoon cognito te gebruiken en multifactor authenticatie, en encryptie op de S3 op basis van KMS, waarbij je via de juiste rollen en permissies gebruikers toegang geeft.

Resultaat cloudtrail laat zien welke persoon op welk moment welk bestand decrypt. Zet je er een CloudWatch het alert op als dat wordt gedaan, om te kijken of de inrichting en het gebruik nog klopt met de need-to-know.
Of zelfs een Step-Fuction er tussen waarbij een 2e persoon toestemming moet geven voordat de file gedecrypt wordt.

wouterg00 29 november 2017 10:56

Hoe kan het dat deze onderzoeker zo succesvol is? Eerst die informatie over de kiezers, nu dit. Zoekt hij de links zelf op, of krijgt hij een tip van een anoniem persoon? Hoe komt hij achter de URL?

Martinusz @wouterg00 • 29 november 2017 10:59

Ik vermoed dat het zo'n beetje zijn werk is, als jij je 40 uur per week alleen met dit soort zaken bezig kunt houden, ga je vast ook wel wat vinden

watercoolertje @wouterg00 • 29 november 2017 11:25

Een url van zn vps is op een klein stukje random tekens meestal heel logisch opgebouwd. Bijv. 3jbab36wjs.aws.com je kan makkelijk een scanner maken die 1000000den van die urls op beschikbaarheid scant en je op de hoogte stelt als er 1 online is.

Dat was zijn 'werk' dan ook, hij was dan ook niet specifiek naar deze content op zoek.

Dit gericht zoeken is bijna niet te doen, maar dit in je zoektocht naar wat anders tegen komen lijkt mij prima mogelijk.

[Reactie gewijzigd door watercoolertje op 23 juli 2024 16:04]

bbob

Verenigde staten
Netwerk en systeembeheer

@wouterg00 • 29 november 2017 11:26

Goede vraag waarop hij alleen het antwoord weet maar denk niet dat hij het zal vertellen.

Maar goed je kan natuurlijk denken stel dat iemand hem de info geeft. Het enigste dat hij dan doet is het in de openbaarheid brengen. Met de info zelf doet hij niets.

Als hij zo goed is, zouden chinezen of russen het misschien ook al gevonden hebben en wel al verder gekomen zijn met logins.

Wat het natuurlijk laat zien is dat het wel een beetje een zooitje is. Dat krijg je natuurlijk met zo veel diensten en dan onderaannemers die weer toegang tot die info hebben.

monojack @wouterg00 • 29 november 2017 11:41

Is hij wel succesvol? Misschien gaat dit maar over een fractie van de gevallen en is een team uit >vul een land naar keuze in< met veel meer middelen vele succesvoller maar houden ze die info voor zichzelf.

__fred__ @wouterg00 • 29 november 2017 11:47

Niet zo moeilijk op aws (of azure). Ze werken met urls op een amazon domein:

http://<bucket>.s3.amazonaws.com of http://s3.amazonaws.com/<bucket>

Waarbij je <bucket> vervangt voor de zelfgekozen naam voor de bucket. Gewoon namen testen dus, en als je er een tegenkomt die publiek is: bingo.

In dit geval was een afkorting INSCOM onderdeel van de bucketnaam. Als je dus een afkortingenlijst van de amerikaanse overheid neemt, dan ben je al een heel eind als je gaat proberen.

[Reactie gewijzigd door __fred__ op 23 juli 2024 16:04]

Stoelpoot @wouterg00 • 29 november 2017 12:32

Als ik kijk naar Troy Hunt (beveiligingsonderzoeker die onderhand met elke data breach wel weer in het nieuw komt) krijgen ze idd vaak van een anonieme bron een lead waar ze dan zelf verder mee gaan qua onderzoek.

Verwijderd 29 november 2017 11:17

reken maar dat er ook honeytraps online staan met false information.

ToolkiT @Verwijderd • 29 november 2017 12:28

Dat was ook mijn eerste gedachte..

Ex-KPN-er 29 november 2017 10:55

"....Maar vertrouw ons nu maar; en maak een mooie backdoor voor ons zodat we alle telefoons kunnen uitlezen. Gaat vast goed; geen probleem; die backdoor houden we echt geheim hoor; we hebben alles onder controle..."

Pffff... Stelletje prutsers weer bij de USOverheid..

Verwijderd @Ex-KPN-er • 29 november 2017 11:10

was het maar alleen in de us dan viel het nog mee ..
denk dat de Nederlandse beveiligingen niet veel beter zijn

Iblies @Ex-KPN-er • 29 november 2017 11:34

Die laatste opmerking kun je achterwege laten.

GBA die door heel veel instanties wordt gebruikt. Naam, adres, geboorteplaats, ouders, familie, etc.

https://www.bkwi.nl/producten/suwinet-services

Suwinet Services zijn primair bedoeld voor UWV, SVB en de gemeentelijke sociale diensten, maar inmiddels maken ook andere overheidsorganisaties gebruik van Suwinet Services.

Daarnaast heb je lokale overheden die toegang hebben tot heel veel databases.

Op papier wordt het allemaal heel mooi neergezet,
maar de vraag moet allang worden omgedraaid. Wat moet een overheid met de data? Waarom zouden ze het moeten bewaren tot in eeuwigheid. Etc. Etc.

En dat geld voor alle branches binnen overheid en bedrijfsleven, wie heeft welke informatie en wat doet die er mee en wanneer worst het weer verwijderd.

djwice

@Iblies • 1 december 2017 21:59

Wat dacht je van de GGD informatie die op postcode cijfers + geboortedatum publiek wordt gemaakt #openOverheid.

RobinJ1995

@Ex-KPN-er • 29 november 2017 11:02

Iedereen die gelooft dat die informatie die zo waardevol is publiek kan maken binnen zo'n grote organisatie maar geheim kan houden van iedereen buiten die organisatie is een prutser, dat is niet beperkt tot overheden.

En meestal is de mens de zwakste schakel

Mensen zijn lui en willen niet elke keer op een VPN inloggen, 3 verschillende wachtwoorden ingeven die ze elke maand moeten veranderen, en de 2 factor authentication code van hun telefoon ophalen. Dan komt er al snel een kopie van die bestanden ergens op een kwasie onbeveiligd systeem voor "convenience".

[Reactie gewijzigd door RobinJ1995 op 23 juli 2024 16:04]

Zoop @RobinJ1995 • 29 november 2017 11:09

En daarnaast natuurlijk ook bewuste lekken zoals snowden enzo, of verkoop op zwarte markt

[Reactie gewijzigd door Zoop op 23 juli 2024 16:04]

Zebby 29 november 2017 12:10

Ik vind het eigenlijk meer bijzonder dat er überhaupt gevoelige data van het type "TOP SECRET" wordt geplaatst op een Amazon server.

Verwijderd @Zebby • 29 november 2017 15:09

Het is bijzonder, maar ik vind het niet meer bijzonder dat het gebeurt. Er gebeuren al maar meer bijzondere dingen wat betreft (non-)gegevensbeveiliging en het afwimpelen van verantwoordelijkheid. Dus je hebt helemaal gelijk dat het bijzonder is dat er überhaupt gevoelige data van het type "TOP SECRET" wordt geplaatst op een Amazon server. Maar ik ben er niet door verrast dat één en ander zo loopt, dus kan ik het niet meer bijzonder vinden dat het gebeurd is.

Zeg maar dat er een enorme hoeveelheid incompetentie aan de knoppen zit. Die incompetentie is van een schurftig niveau. Plus ze trekken er zichzelf ook schurftig weinig van aan. Is en/of vind ik dat kwalijk? Jazeker. Verschiet ik er nog van? Al jaren niet meer.

Slavy 29 november 2017 11:09

Het ziet er ook lekker gestructureerd uit.

WillySis @Slavy • 29 november 2017 12:03

Het lijkt sterk op het werk van een ontwikkelaar die wat bestanden heeft gekopieerd. Die mappen en bestanden kunnen dus heel andere informatie bevatten dan in werkelijkheid. Ik de praktijk werken ontwikkelaars echter vaak met spullen die al voor handen zijn.

Hydranet 29 november 2017 12:50

Weet iemand hoe onderzoekers zulke urls vinden. Schrijven ze een script die ze over het hele internet los laten en alles afscannen of hoe zit dat?

tc-t 29 november 2017 11:04

Kunnen we een manier vinden om Kaspersky daar de schuld van te geven ?

EDIT: Off-topic, serieus? De Amerikanen hebben bij elk mogelijk lek of dataverlies geprobeerd iemand anders - bij voorkeur de Russen, en meer bepaald Kaspersky - de schuld te geven.

[Reactie gewijzigd door tc-t op 23 juli 2024 16:04]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (55)

Sorteer op:

Weergave: