Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Bron: WebWereld

Dat het erg verstandig is om je website en servers goed te beveiligen en Admin-accounts van een password te voorzien, bleek afgelopen weekend weer; voorlichtingssite Euro.nl en Spaarbeleg.nl zijn gehacked. De hacker van Euro.nl, die zich Floppy Robby noemt, kwam vrij eenvoudig binnen:

De kraak van euro.nl kun je volgens hacker Robby eigenlijk geen kraak meer noemen. "Het was kinderlijk eenvoudig om binnen te komen. De webserver en de Microsoft SQL-server (database-server, red.) staan op dezelfde machine, er is geen firewall omheen gezet en de Super Administrator-user is niet van een wachtwoord voorzien. Dan vraag je om moeilijkheden".

Spaarbeleg.nl werd opengelegd door ene Haca, die gebruik maakte van de nu toch wel erg bekende Unicode-bug. In no-time lag de zaak open, en kon er naar hartelust in de bestanden gerommeld worden.

Moderatie-faq Wijzig weergave

Reacties (45)

....in het verleden behaalde resultaten bieden geen garantie voor de toekomst.........
behalve bij spaarbeleg dan.
:)
Dit toont toch maar weer de gevaren van het internet. Nu zin het nog vrij onschuldige sites, maar wat als het weer een keertje lukt op een belangrijke site. Maar wat me opvalt is dat er zo veel sites zijn waar je als hacker heel makkelijk op kan komen. Denken de webmasters niet aan de beveiligingen enzo of zijn ze gewoon laks??
Denken de webmasters niet aan de beveiligingen
Eerlijk gezegd begin ik me bij dit soort berichten wel eens af te vragen of dit soort veroorzaakt wordt door het point en click interface. Elk bedrijf denkt nu dat ze hun systeembeheerder ook wel een webserver kunnen laten beheren want dat is makkelijk point and click met windows.

Ik vermoed dat op deze manier veel mensen zonder al te veel kennis hun server aan het internet hangen.

De dure unix specialist mag dan misschien wel wat duurder zijn, maar die had geen default password laten staan of een lang bekende bug niet gefixt.
Daar hebben we hem weer, ik geloof dat ik al eerder in discussie met jou ben geweest als ik me niet vergis, nogmaals sqlserver is helemaal via commandlines te configureren als je een type arm wilt hebben moet je dat ook gewoon gaan doen, echter dit heeft niks met interfaces te maken maar gewoon met ondeskundigheid, tenminste ik kan me niet voorstellen dat je het vergeet om er een wachtwoord op te zetten, oja ik heb goed nieuws voor je sqlserver 2000 vraagt op dit moment bij de installatie al of je je account wilt wijzigen en een password zetten, kan je tenminste niet meer zeggen dat het een fout is van ms.
ik geloof dat ik al eerder in discussie met jou ben geweest
Heb ik vorige keer al gezegd dat je de kern van de posting hebt gemist?

Het gaat er niet om dat het _kan_ via de commandline, het gaat erom dat het niet _moet_, en dat daardoor het management een ondeskundig persoon aan het apparaat zet "want die kan ook klikken".

En wat SQLserver allemaal wel of niet doet kan me niet zoveel boeien, het gaat om het idee.
Als er geen password op een account zit kan dat naar mijn mening nooit de schuld zijn van een leverancier. Of dat nou een database account is of een inlogaccount. Het is wel belachelijk dat als je de guest account aanzet onder NT, je met iedere willekeurige naam in kan loggen.

Volgens mij is het zo dat een Unix beheerder over het algemeen anders met een systeem om zal gaan dan een Windows beheerder, omdat je om een Unix systeem te beheren veel dieper in het systeem zelf zit, en je kennis ook veel dieper gaat. Ik zeg niet dat een Windows beheerder niets weet, ik zeg alleen dat de grens om een Windows systeem te beheren lager ligt dan om een Unix systeem te beheren.

We hebben het toch ook allemaal geaccepteerd dat je een keer in de zoveel tijd moet rebooten en een herinstallatie om de zoveel tijd accepteren we toch ook terwijl dat niet zo zou moeten zijn.
Een dure WindowsSpecialist ook niet
Een dure WindowsSpecialist ook niet
Klopt, maar wat ik dus zei is dat bedrijven geen specialist meer inhuren voor de taak, ze denken dat hun eigen systeembeheerder het wel kan. En dat komt door het easy looking uiterlijk.
Klopt, maar dat is dan niet zo zeer een fout die je de beheerder kan aanwrijven. Dit is (zoals zo vaak) een fout op management nivo. Die willen voor een dubbeltje op de eerste rang zitten. Alles moet altijd gisteren af zijn en voor de helft van het geld. En daarna janken dat het niet veilig is, of dat het budged toch overschreden is als er een systeembeheerder zit die WEL oplet en de zaak goed wil regelen.
Dat de bugfix op de dag dat hij uitkomt, geinstalleerd wordt spreekt voor zich. Dat de bugfix vervolgens niet blijkt te werken, kunnen de meeste beheerders niet weten. Dat je de patch die bij Security Bullitin 57 en 78 hoort niet werkt (en dat je dus met de hand de .exe moet uitpakken en de .dll kopieren) kan je nite weten als je daar niet de juiste apparatuur/software voor hebt. Dat is dus waarschijnlijk ook het geval geweest bij de MS servers.....
Dat zal ook wel een beetje te maken hebben met het tekort aan IT'ers in NL. :(
Iedereen die tegenwoordig ook maar ooit een beetje met een netwerk heeft gespeeld word al binnengehaald als 'systeembeheerder' terwijl die lui alleen maar weten hoe je sommige beveiligingen kan omzeilen, en niet hoe je die juist kan dichtgooien, laat staan hoe ze weten de echte scriptkiddies en hackers ooit buiten te houden...
Iedereen die tegenwoordig ook maar ooit een beetje met een netwerk heeft gespeeld word al binnengehaald als 'systeembeheerder'
Dat heeft niet alleen te maken met het 'gebrek' aan IT'ers, maar natuurlijk - en misschien in dit geval juist wel - óók met falend management bij de betreffende organisaties! IT-beleid en zéér zeker ook e-commerce beleid wordt natuurlijk in eerste instantie op/uitgezet door managers - en vervolgens slecht geďmplementeerd door te krap bezette IT-afdelingen en óók nog eens door personeelsfunctionarissen die niet gehinderd zijn door enige kennis van zaken!

Op die manier haal je dus ook niet de juiste mensen binnen, en dan zijn problemen voorgeprogrammeerd!
Zaag een (niet-IT) manager maar eens door over het te voeren IT-beleid! Grote kans dat de betreffende persoon denkt dat 't allemaal 'kinderlijk eenvoudig' te doen is (jaja, de reclamecampagnes van MS en Co missen hun doel niet hoor)!

't Zit 'm in volgens mij dus ook niet in de uitvoerende IT'ers maar zéér zeker ook in gebrekkig en overhaast uitgevoerd beleid!


* 786562 Reinaert
Dit toont niet de gevaren van internet. Dit toont de stupiditeit van de heren technici daar.

Das nogal een verschil.
Microsoft Security Bulletin (MS00-078)
- --------------------------------------

Patch Available for "Web Server Folder Traversal" Vulnerability

Originally posted: October 17, 2000
www.microsoft.com/technet/security/bulletin/fq00-078.asp

erg makkelijk om Ms nu nog de schuld te geven...
Maar euhm,
Hoe lang was die bug al bekend? Voor dat ze er een patch voor uit brachten?
En is ie ook al leverbaar (of was dat al zo op 17-10-2000) in andere talen dan engels?

Dus niet zomaar MS verdedigen, zij hebben (heel bot gezegd) de bug ten slotte gemaakt, terwijl ze de boel als veilig verkopen...

En ja, ik weet heus wel dat de unix-wereld net zoveel bugs bevat, maar daar wordt dat gelukkig ook (meestal) openlijk toegegeven...
A patch that was released in August 2000 for a different vulnerability provides complete protection against this vulnerability as well, and customers who have installed it do not need to take any additional action.
En ja er zijn localized patches beschikbaar......

Eerste reports in de bugtraq mailing lijsten was rond 17 Oktober, maar met een patch van 15 augustus was het probleem reeds verholpen...
Maar euhm,
Hoe lang was die bug al bekend? Voor dat ze er een patch voor uit brachten?
En is ie ook al leverbaar (of was dat al zo op 17-10-2000) in andere talen dan engels?

Dus niet zomaar MS verdedigen, zij hebben (heel bot gezegd) de bug ten slotte gemaakt, terwijl ze de boel als veilig verkopen...

En ja, ik weet heus wel dat de (opensource) unix-wereld net zoveel bugs bevat, maar daar wordt dat gelukkig ook (meestal) openlijk toegegeven...
Hallo gassies,

Weet je wat ik belachelijk vind?
Dat niemand met z'n fikke van iemand anders spullen kan afblijven. Vind dit gewoon erg associaal. Wat zou jij er van vinden als er een of andere idioot even een bom onder je auto of huis gooit? Is precies hetzelfde als dat crackers gedrag. Waarom zeg ik crackers en niet hackers. Omdat hackers geen schade aanbrengen maar zich gewoon niet aan de wet op de privacy houden. En ja beveiligen is in een zekere zin wel nodig omdat anders beginnende gebruikers je spullen zouden mollen. Zie het zo je moet eerst een rijbewijs halen voordat je een auto mag besturen.

Mzzl Tweakies
Groot gelijk. Geen rookmelder in je huis hebben betekent niet dat elke idioot maar de zaak ik de fik moet gaan steken.

Wat bezielt al die hackers, crackers enzovoort ? Gaan ze ook 's nachts alle deuren van de straat langs om te voelen of ze wel op slot zitten ? En als er een open staat gaan ze dan binnen briefjes leggen dat ze voortaan de deur op slot moeten doen ?
Ik word echt GEK van die vergelijking met het huis. Dat is toch lang niet hetzelfde? Ik vind fysieke inbraak toch heel wat anders als virtuele inbraak. Bij een virtuele inbraak ben je niks meer als wat 1's en 0's.

(dit is natuurlijk wel een gevoelskwestie)
Een huis is ook niet meer dan een hoop planken en een hoop beton en nog wat bouwmateriaal bij elkaar... oftewel dat gaat ook niet op, wil ik zeggen; de data in een computer is meer dan 1en en 0en.
Als je moeite hebt gestopt in het opbouwen van een grote een database van whatever, dan ben je toch mooi verdrietig als alles ineens verwijderd is.
Een quote van hun site:
Via de onder hackers populaire site 'WebWereld' is Spaarbeleg geattendeerd op een 'beveiligings' fout in onze internetsite. Spaarbeleg neemt dit soort berichten altijd uiterst serieus en heeft direct actie ondernomen.
Het betrof hier een fout in de door Microsoft aangeleverde software, waardoor de server van buitenaf toegankelijk is geweest. De geconstateerde beveiligingsfout is niet langer aanwezig in onze site. Dit is ook door WebWereld bevestigd. U hoeft zich geen zorgen te maken. Op geen enkele wijze is het mogelijk geweest invloed uit te oefenen op de klantenbestanden. Geen van uw persoonlijke gegevens zijn zichtbaar geweest voor derden. Spaarbeleg doet er alles aan om de beveiliging van uw gegevens te garanderen.
Toch grappig om te zien dat de fout "in de door Microsoft aangeleverde software" zat en dat Webwereld met hackers wordt geassocieerd is helemaal :'(

Heeft Microsoft het weer gedaan terwijl het gewoon aan de systeembeheerder lag.


edit:

typo
Maar dit staat er op de site van webwereld....

//quote//

Haca heeft overigens geen veranderingen aangebracht op de website van Spaarbeleg. Controle door de webwereld-redactie wees inderdaad uit dat het eenvoudig was om bij Spaarbeleg binnen te komen.

//quote//

Ik bedoel maar...
Toch gaat er nog wel een keertje iets fout denk ik...
Als het nou echt ZO simpel blijkt om grote organisaties binnen te gaan en er wordt blijkbaar zo weinig aandacht aan besteedt...Kwaadwillenden hadden dus alles mooi op straat (internet) kunnen gooien....
Nou vraag ik me toch af of dit rechtelijk gezien als inbraak gezien wordt: als je je huis niet op slot doet wordt er namelijk ook niet van inbreken gesproken maar van nalatigheid, en aangezien hacken in Nederland onder dezelfde regeling als inbreken zit :y) ....
(volgen jullie het een beetje?)...
Het is wel te volgen hoor :)

Maar wie is er dan de schuldige? Mijn mening is dan toch dat een hacker opzettelijk binnenkomt. Als je je huis niet op slot doet, kan iedereen naar binnen komen. Een hacker moet wel degelijk kennis hebben van zaken om zoiets te doen. Dit vind ik persoonlijk dus niet echt nalatig. (ok in sommige gevallen wel)
Het was kinderlijk eenvoudig om binnen te komen.
Dat moet dan ook wel een kind zijn als ie zich Floppy Robby noemt :*)
Tis denk ik meer een Sloppy Robby :)
Ik denk dat ze hem dan ook wel snel zullen vinden ;)
Zo zo wat een grote mond.

Heb jij in je leven al eens iets interessants gedaan?
hey 'tis nog een tweaker ook 8-)

maar ookal is de site van euro.nl niet echt boeiend het behoord toch enigzins beveiligd te zijn
geen firewall en geen password betekend gewoon dat de systeem beheerder loopt suffen en laks is (of het bedrijf wou geen geld uitgeven voor een firewall)
en op deze manier word ze effe wakker geschud en gestraft voor hun nalatigheid..

IT personeel tekorten of niet .. passwords en firewalls zijn primaire behoeften als je gebruik maakt van internet
Dat vraag ik me ook af !?
Hahaha wat een sukkels zeg }>
Iedereen weet toch onderhand wel dat er van die 'hacktools' roeleren op het net :?
Ennuh daar zitten standaard al reeds voor gecompileerde scripts in om M$software te detecteren en te verdelgen zodat iedereen met teveel tijd naar hartelust kan gallen op het net }>
Ach, die zogenaamde hack bij Spaarbeleg is wel errug overdreven. Hij kon binnen komen, een paar dingen zien, maar niets boeiends, en meer niet. Dat het in het nieuws komt is puur en alleen omdat het een bank is. Haca heeft niets aangepast, omdat dat niet kon. Zo simpel is het. Hij is niet beleefd geweest ofzo, hij kon et niet. (niet mbv de unicode bug iig).

Ik heb inside info van Spaarbeleg, wat Haca voor elkaar heeft gekregen is puur en alleen omdat hij een scriptkiddie is die goed oplet, en bereid is veel te proberen. Dat hij een statisch IP nummer heeft is alleen maar handig voor het bedrijf die de site beheerd :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True