Nederlander hackt site Microsoft

Een week na de vorige hack-actie op Microsoft was het gisteren alweer raak. De Nederlandse hacker Dimitri was het gelukt via de Unicode-bug het netwerk op te komen. Microsoft had deze bug al eerder erkend en er ook een patch voor uitgegeven. Vreemd genoeg was de patch niet geïnstalleerd op de betreffende eigen server. Dom, dom, dom. Hierdoor kon onze landgenoot Microsoft's publieke webpagina's veranderen, of de bestanden die te downloaden zijn aanpassen. Verder kreeg hij toegang tot bepaalde gecodeerde files, die de belangrijkste wachtwoorden bevatten. Hij zal er echter geen werk van maken deze bestanden te decoderen:

One week after Microsoft reported an intrusion into its corporate networks, another hacker claims to have penetrated the company's Web servers on Friday. The Dutch hacker, using the alias Dimitri, says Microsoft failed to install a patch for a known bug in its Internet Information Server and has not sufficiently secured its Web servers.

Dimitri says he gained access to several of Microsoft's Web servers and was able to upload a short text file boasting of the hack to a page on Microsoft's public site. He could alter files on Microsoft's download site, he says. "I could add Trojan horses to software that Microsoft customers download," Dimitri says.

Dimitri also claims he downloaded files containing administrative usernames and passwords to the server. The encrypted files could be decoded with a tool called the L0ft crack, he says, but says he will not decode them.

Wij danken cyber_jimmy voor de tip.

IT-banen

Reacties (77)

EfBe 4 november 2000 10:04

'de webserver'. Er staat 1400 webservers in een cluster daar. Conxion waar Microsoft ALLE downloadable spullen heeft staan is een NT dozencluster waar geen webserver op staat, en wordt gehost door ConXion corporation, niet door MS zelf.

Al met al lijkt het me dat meneer is ingebroken op een servertje die wel in het ms network zat maar niet de main webservers. Althans, dat concludeer ik uit de pcworld tekst opgetekent uit de mond van dit scriptkiddie.

Verder kun je met de UNICODE bug files lezen die leesbaar zijn voor het IUSR_ account en dan ook nog alleen op dezelfde partitie. Het lijkt me _ERG_ sterk dat een file, gecrypt, met passwords op de webserver partitie stond.

ik geloof er geen moer van.

Verwijderd @EfBe • 4 november 2000 10:37

Hoe weet jij dit allemaal eigelijks ? Want als jij weet hoe het allemaal zit daar, dan zullen er meer mensen zijn die dat weten. Dan lijkt het me niet moeilijk om toch binnen te komen. Als het toch bekend is dan is alles wel te omzeilen. Mits je de juiste mensen kent en oveer de juiste kennis beschikt.

Ik ben gewoon benieuwd hoe jij dit allemaal weet. Moet ik denk ik ook maar MSCE worden ofzo ?.

EfBe @Verwijderd • 4 november 2000 15:11

Hoe ik dit weet? dit is algemene info die gewoon beschikbaar is. Ik lees al een jaar of 4 de MSDN website (daarvoor de developer afdeling van microsoft.com) ong. elke dag, en als ze dan die info posten kom je dat geheid tegen. Verder helpt het lezen van newsletters als win2kmagazine (voorheen NTmagazine) ook

Net zoals elk groot bedrijf met een WAN is het mogelijk om via via wel op dat netwerk te komen. Toen ik nog consultant was en bij defensie zat kon ik ook alle plannen inkijken, die alleen voor 'kolonels en hoger' beschikbaar waren. Op een gegeven moment blijft het mensenwerk en security KAN wel strakker geregeld worden maar dan gaat men de regels niet meer naleven omdat die strakke security 'te lastig' is. Het vinden van de juiste balans is dan hetgeen waarnaar je moet zoeken.

Bij MS heb je net als bij andere grote WANs verschillende ringen van security. Je begint buitenin en hoe meer privileges je krijgt hoe meer je mag en je je naar binnenste ringen mag verplaatsen. hackt iemand een doos in de buitenste ring, dan is dat wellicht jammer, maar niet zo schadelijk. Het is wel nauwelijks te voorkomen ivm de balans tussen 'aanvaardbare hinder door security rules' en 'security-quality'.

Dat Conxion de spullen host van MS is niet zo vreemd. Conxion is daar nl. specialist in. Zij hebben de hardware om 10.000 tot 15.000 FTP connecties TEGELIJK aan te kunnen, per subdomain. Dat lijkt weinig maar het is een inmens aantal. De grootste FTP site ter wereld, walnut creek, heeft per class maar 3000 connecties als ik het goed heb. Dus waarom zou je zelf dat allemaal gaan doen, als je dat gewoon kunt inkopen. Veel bedrijven doen dat. Sun bv host zn javaforums extern bij een daarin gespecialiseerd bedrijf (wat weer NT dozen draait en kritiek veroorzaakte

).

Feit is ook dat nog geen enkele andere toonaangevende newsagency over deze 'hack' heeft bericht. Meestal staan CNet en zdnet vooraan bij het rapporteren van dit soort news, en terecht. Nu zwijgen ze, wellicht omdat het veel minder erg is dan het in eerste instantie lijkt (bv doordat een webserver van een medewerker is gehackt, niet een of meerdere van de 1400 webservers van microsoft.com)

Verwijderd @EfBe • 4 november 2000 15:19

kleine update: wallnut creek en freesoftware.com de twee grootste ftp servers ( in gigabytes per dag, niet in aantal concurrent users), kunnen allebei maximaal 5000 ftp connecties aan. nog altijd minder dan conxion dus..

Verwijderd @EfBe • 5 november 2000 16:55

Nou dan denk ik dus, aangezien jij er ook veel van afweet, dat het GEEN bullshit is. Juist omdat het algemeen info is. Dat jij het ongeveer weet hoe het zit wil niet zeggen dat andere mensen dan lullen.

Dus het lijkt me meer een combinatie van al het genoemde. Want waarom zouden zij onzin verkopen als al dat informatie openbaar is ? Het logica om aan te nemen dat he gelul is ontbreekt mij.

De beste beveiliging die je kunt hebben is GEEN aansluiting op't net, want alle andere beveiligingen zijn te omzeilen. Hoe erg je ook je best doet. En ik denk dat er meer slimme mensen (hackers) zonder een baan rondlopen (IT studenten bijv. ) Dan dat er security mensen zijn. Dus al met al moet het gewoon niet echt moeilijk zijn om waar dan ook binnen te dringen. Tja als jij al zoveel gevoelige info kan geven dan moet er vast wel meer gevoelige info te vinden zijn, en dan geloof ik niet dat een aantal mensen zitten te liegen.

Ik denk eerder (zoals het vaker gaat ) dat mensen de boel minder erg over willen laten komen. Anders is het een afgang gewoon en dus niet goed te praten.

In inbraak bij heb pentagon vind ik bijv. erger en niet een software bedrijf die aan de top staat. Maar dit geeft ook aan hoe serieus ze hun klanten nemen.

Verwijderd @Verwijderd • 4 november 2000 10:53

Hoe weet jij dit allemaal eigelijks ? Want als jij weet hoe het allemaal zit daar, dan zullen er meer mensen zijn die dat weten. Dan lijkt het me niet moeilijk om toch binnen te komen. Mits je de juiste mensen kent en oveer de juiste kennis beschikt.

DAT zou inderdaad een mogelijkheid zijn voor een hele 'goede' hacker, dat ben ik met je eens. Het gaat hier echter om een ongelukkig vergeten patch voor IIS. Als ik een scan zou uitvoeren of een groot aantal servers om te zien wie die patch niet heeft geinstalleerd, dan zijn die niet op een hand te tellen vermoed ik zo. De reden dat het hier zo sensationeel wordt gebracht is omdat MS producten tegen zichzelf worden gebruikt. Nou ja, sensationeel... Ik vind er eigenlijk weinig sensationeels aan...

picobyte @Verwijderd • 4 november 2000 13:14

Wat ik er van vindt is dat Microsoft in de eerste plaats zijn internetsite zelf moet beheren!
Dat is voor een toko als Microsoft met veel internetproducten gewoon HET! visitekaartje van het bedrijf.
Ten tweede moet de beveiliging bij wijze van gewoon beter zijn als die van de nederlandsche bank.
Temeer omdat veel consumenten met weinig computerkennis autodownload (bv mediaplayer codecs)en accept all cookies van Microsoft aan hebben staan.
Je moet er toch niet aan denken dat daar ineens iets van een trojan of virus tussen zit

En als ze dan die Microsoft internet server niet dicht kunnen timmeren dan kunnen ze altijd nog www.sambar.com Sambar downloaden

mullah @Verwijderd • 5 november 2000 13:17

cookies en trojans...

sorry hoor maar met cookies kun je niet veel meer dan een lullig stukje tekst bewaren, die hebben er dus wat dit betreft er niks mee te maken

Verwijderd @EfBe • 4 november 2000 10:32

Of 't hele verhaal nu helemaal of maar een beetje waar is, één ding staat als een paal boven water: MickeySoft is voor de tweede keer in korte tijd op een èrg lullige manier in het nieuws!

Zelfs al draait M$ die servers niet zèlf, dan nog moeten ze van diegene die dat wèl doet verlangen dat 't goed & veilig gebeurt, lijkt me zo! De kennis om dat te doen hebben ze - als software-ontwikkelaar - toch zeker in huis.

Dit soort nieuws is natuurlijk héél gênant voor MickeySoft, en als dit vaker blijft gebeuren dan maken ze zich toch echt steeds belachelijker, en dat zal toch op termijn z'n negatieve gevolgen voor de onderneming hebben!

Dit soort incidenten zijn nóóit goed voor het consumentenvertrouwen!

Verwijderd @Verwijderd • 4 november 2000 13:09

Het is trouwens Microsoft..

* 786562 Rene

Verwijderd @raptorix • 6 november 2000 01:48

Neuh, ik wil niet populair doen hoor, en ik kan het woordje MicroSoft echt wel schrijven.

't Is alleen dat ik door de jaren heen een soort allergie tegen MS heb ontwikkeld, vooral tegen de arrogantie waarmee wordt opgetreden, en met name ook tegen de verre van uitgebalanceerde software die men uitlevert.

Tevens erger ik me rot aan het monopolistisch gedrag van MS en de misleidende reclamecampagnes - zoals onlangs over zogenaamd 'illegale' software! Nou, mijn Linux is ècht helemaal legaal hoor!

Ik hoop dat je hier wat aan hebt, 't zijn ècht geen excuses hoor, maar misschien snap je een beetje meer van m'n beweegredenen.

Helsie @raptorix • 6 november 2000 09:58

Ik zie nergens beweegredenen staan om het bedrijf anders te noemen.

Hengst @EfBe • 4 november 2000 10:46

Dit is natuurlijk een heel erg sterk verhaal, maar misschien is het geen broodje aap, interessantere info is misschien van wie Conxion is......

Verwijderd @Hengst • 4 november 2000 10:58

Euhm.... NEE, Conxion is NIET van Microsoft. De enige banden die die twee bedrijven onderhouden is een klant relatie.

grimlock @EfBe • 4 november 2000 11:13

Waarschijnlijk dat ze zijn vergeten om het Administrator password aan te maken tijdens de installatie, zodat je gewoon de c$ kan benaderen

Laurent @grimlock • 4 november 2000 11:24

Was het maar zo makkelijk

picobyte @EfBe • 4 november 2000 13:25

Verder kun je met de UNICODE bug files lezen die leesbaar zijn voor het
IUSR_ account en dan ook nog alleen op dezelfde partitie. Het lijkt me _ERG_
sterk dat een file, gecrypt, met passwords op de webserver partitie stond.

Uhhm asl ik het goed heb heeft ConXion dus ook de fout met de SQL passwords van een paar weken terug op zijn geweten

Als dat zo is zie ik ze er ook wel voor aan om de webshare op dezelfde partitie te zetten als de systeemfiles!
Waardoor het weer wel mogelijk is om bij belangrijke files te komen.

Mischien hebben ze zelfs het IUSR_account teveel rechten gegeven omdat ze anders het een of andere script niet konden draaien

Verwijderd @EfBe • 4 november 2000 16:34

ScreamOnline een scriptkiddie???

HAHAHAHAHAHAHAHAHAHA

Verwijderd @EfBe • 11 november 2000 09:05

Je hebt (bijna

) helemaal gelijk. Maar wanneer je MS heet en graag NT/2000 wil verkopen als veilig webbased OS dan mag je zulke 'foutjes' niet maken. En wat met de gebruikers die gewoon een NT webservertje draaien????

Als Jantje Jansen zo'n foutje maakt, ala. Maar MS....

Verwijderd 4 november 2000 09:53

* 786562 ProxyNa die publieke afgang zou je toch denken dat alles drie dubbel gecontroleerd wordt en de boel wordt dichtgespijkerd.

Microsoft geeft zich zelf een brevet van onbekwaamheid hiermee, en verwacht dat anderen dan ook nog met hun software aan de slag gaan. Ik zou denken dat als dit maar te vaak gebeurd dit wel in de MS aandelenkoers af te lezen wordt.

acq @Verwijderd • 4 november 2000 10:15

Je zou toch denken dat Microsoft zelf het beste het gevaar van hun bugs kent. Kennelijk vinden ze die bugs en patches zelf maar kul.

Ondervinden ze zelf eens aan den lijve hoe irritant en lek die software van hun bij tijd en wijle is

Verwijderd @Verwijderd • 4 november 2000 10:51

Voordat je zoiets geregeld hebt in zo'n bedrijf, gaan er eerst een vergadering of 5 door alle niveau's aan vooraf....dat kost veel tijd....vandaar dat ze nog niet zover waren....

Verwijderd @Verwijderd • 4 november 2000 09:59

Microsoft failed to install a patch for a known bug in its Internet Information Server and has not sufficiently secured its Web servers.

Hopelijk gaan ze nu eens wat meer aandacht besteden aan bugfixes.

Verwijderd 5 november 2000 14:09

---Quote Harvester---

Nou ja, anyway, dat hij dat soort tools nodig heeft, en dat hij gebruik maakt van een bekende bug waarvoor de patch -toevallig- niet op de MS server geinstalleerd is, bewijst dat hij niet echt een 1337-hacker is, om het zo maar eens te zeggen.

---End quote Harvester---

Over dat bekende bug was ik wel mede oprichter daar van hoor. Maar goed...Ik neem aan dat je dat al wist...Want ik neem aan dat je genoeg securityfocus leest.

Maar goed. Bedankt voor de leuke reactie's. Ik heb ook hele leuke reactie's gekregen van Microsoft (not). Want zoals jullie weten is dit niet de eerste keer :-) Overgens ook leuk dat jullie opmerkte dat ik in het blad Netgeneration sta. Leuke foto huh? :-)))

In ieder geval..Blijf posten. :-)

Groetjes,

Dimitri.

Verwijderd 4 november 2000 09:52

Go, Dimitri !!!

Reactie voor Microsoft : Zouden ze niet gewoon de boel open moeten zetten voor iedereen ?? en gewoon tol vragen ?? Want ze zijn zo LEK als een zeef.. en zo verdienen ze er misschien nog iets aan

:P;-)

Verwijderd 4 november 2000 11:44

dom dom dom.... dat hij de password files heeft gedownload. Ook al zegt hij dat hij ze niet zal decoderen, Microsoft kan daar natuurlijk niet vanuit gaan.

Hij kan hierdoor wel eens diep in de problemen komen.

knutsel smurf 4 november 2000 11:12

Ik vind dat een echte hacker ook geen dingen moet gaan aanpassen of stelen hij moet gewoon aangeven hoe je het beter kan beveiligen. Wat dat betreft is dit toch op een best redelijk manier gebeurd, en mag microsoft blij zijn dat er niets gestolen is

Bigs @knutsel smurf • 4 november 2000 11:28

Nah, hij kon waarschijnlijk gewoon nergens bij (zie reaktie van Otis), maar om toch een beetje stoer te doen zegt ie dat ie expres nix heeft gedaan

.

Echte scriptkiddie

Vrieskist 4 november 2000 11:24

wie stuurt ff een mail naar microsoft waarin staat dat zonealarm gratis te downloaden is op www.zonealarm.com

Verwijderd 4 november 2000 12:08

Gaap, anders zoek je even een baan die betaald wordt...

* 786562 Rene

Ook al zegt hij dat hij ze niet zal decoderen, Microsoft kan daar natuurlijk niet vanuit gaan.

Voordat hij ze gedecodeerd heeft, zijn ze al 50 keer veranderd denk ik zo...

Verwijderd 4 november 2000 12:12

Kan M$ eindelijk eens goed z'n ISA (Internet Security and Acceleration) Server gaan promoten

botoo

4 november 2000 12:24

Het is niet zo vreemd dat MS vaak gehackt wordt, ik vermoed dat er wereldwijd elke dag duizenden pogingen gedaan worden, dat er zo nu en dan een geslaagde actie plaatsvind is te verwachten, sterker nog, dat is onvermijdelijk.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (77)

Sorteer op:

Weergave: