Grootschalige hack e-banking en e-commerce

SilentStorm tipte ons omtrent een artikeltje op Slashdot waarin een grootschalige Windows NT hack uit de doeken gedaan wordt. Een groep Oost-Europese hackers blijkt hiermee in ongeveer een jaar tijd zo'n miljoen creditcard-nummers en andere klantgegevens te hebben 'verzameld' van in totaal ongeveer 40 websites van banken en e-commerce bedrijven die gebruik maakten van IIS, MS SQL Server en Windows NT. De hackers maakten daarbij gebruik van reeds bekende security-issues in Microsoft's software, waarvoor overigens door MS reeds patches beschikbaar waren gesteld, en die ook al lang in de Security Bulletins bekend gemaakt zijn.

Dat maakt de hele zaak natuurlijk op z'n minst curieus: de betrokken banken en e-commerce bedrijven blijken hun zaakjes dus niet goed te hebben beveiligd of op z'n minst hun software niet up-to-date te hebben gehouden. De FBI heeft een onderzoek ingesteld, en komt zelfs met informatie naar buiten, ondanks het feit dat het onderzoek nog niet afgerond is. Ook wordt een stukje software aangekondigd waarmee systemen moeten kunnen worden gecontroleerd:

"Within a day or two, the Center for Internet Security will release a small tool that you can use to check your systems for the vulnerabilities and also to look for files the FBI has found present on many compromised systems...

"The Center's tools are normally available only to members, but because of the importance of this problem, the Center agreed to make the new tool, built for the Center by Steve Gibson of Gibson Research) available to all who need it." [break]Microsoft brengt op haar website onder meer het volgende bericht, met de nadrukkelijke oproep de betreffende software toch maar te upgraden:[/break] Microsoft shares the FBI’s and NIPC’s concern regarding these attacks, and strongly urges customers to stay current on security patches. Microsoft is committed to providing customers with detailed information about vulnerabilities and how to protect against them. We have recently changed our security bulletin format to provide better, clearer information about vulnerabilities and the risk they pose, and we are delivering tools that will help customers ensure that their systems are up to date. However, only our customers can install the patches on their systems.

Het artikel op Slashdot kun je hier vinden. Meer info vind je op de site van SANS, en tenslotte geeft ook Microsoft nog de nodige informatie.

Reacties (61)

Jaymz 9 maart 2001 08:47

Dit heeft volgens mij niet zozeer te maken met de (on) betrouwbaarheid van de e-commerce, maar meer met de luie (wizard??) beheerders.

Net als ik over windows/linux systemen denk: "'T is zo veilig als de vent/vrouw die achter de knoppen zit"

Anton @Jaymz • 9 maart 2001 09:18

Het heeft niet zozeer me de 'luiheid' te maken, als wel met de manier waarop patches voor NT/IIS/SQL e.d. moeten worden geinstalleerd. Die vereisen namelijk altijd een reboot, en dat is een beetje lastig voor het beschikbaar houden van je site. Patches op unix bakken vereisen hooguit het herstarten van een daemon, wat niet meer dan 10 seconden hoeft te duren. Dus logisch dat veel beheerders dat niet willen.

Er komt tevens bij dat het voor veel beheerders volgens mij vrij onbekend is dat die Security Bulletins bestaan, want Microsoft zelf geeft er ook niet veel ruchtbaarheid aan. Dan zouden ze namelijk toegeven dat ze een slecht product verkopen. Dat is wel verkeerd natuurlijk, bij unix-varianten wordt er altijd een extra cd meegeleverd met alle tot dan toe bekende patches, en informatie waar nieuwe patches te vinden zijn.

EfBe @Anton • 9 maart 2001 10:10

Onzin. NT security patches moet je inderdaad draaien met een reboot tot gevolg. IIS updates vaak ook, SQLserver updates NIET. Ik begrijp het gezeur nooit over die reboot. Als je je kernel moet patchen moet je ook rebooten. Soms MOET je je systeem even offline gooien. En ik weet niet wat erger is: offline gaan omdat je gehackt bent of offline gaan omdat je een security patch hebt geinstalleerd. DIe dingen kun je bv ook op een tijdstip draaien dat het niet zo erg is om even offline te gaan (ja die tijdstippen zijn er altijd) .

Er komt tevens bij dat het voor veel beheerders volgens mij vrij onbekend is dat die Security Bulletins bestaan, want Microsoft zelf geeft er ook niet veel ruchtbaarheid aan.

Dit is dus ECHT onzin. Het internet is doorweekt van het woord 'security' en MS is echt veel in het nieuws geweest mbt bugs en security flaws met veelal links naar patches en security docs. Er is een compleet sitedeel op www.microsoft.com aan security gewijd met erg veel documentatie omtrent hoe alles is dicht te spijkeren, bv hoe je sqlserver moet beveiligen. In de documentatie die bij de producten zit staat OOK veel over security in, waar je meer info kunt ophalen over security bij microsoft etc. ze hebben echt bakken met docs online staan omtrent hoe en wat, pagina's met de laatste patches etc etc. En als je dat NIET snapt dan ga je naar www.securityfocus.com en lees je DAAR de security docs over hoe alles is dicht te zetten en waar patches voor welke gaten zijn op te halen. Je moet echt blind zijn wil je daar overheen kijken, zeker als 'deskundige', wat je een systeembeheerder toch wel kunt noemen, tenminste op het gebied van het OS waar hij het beheer van doet, toch?

Als je dan als beheerder het nog weet klaar te spelen dat je SQLserver nog op poort 1433 zit met een leeg password op 'sa' mja, dan vraag je er wel om, niet? (vergelijkbaar geval: een beheerder die Red Hat 6.1 uit de doos installeert zonder patches op te halen).

Maar goed, ik kom ook vaak bij klanten en dan vragen ze me eerst "welke software moet er op onze NT4 webserver draaien voor jouw applicatie" en als ik dan roep "servicepack 6a, hotfixes e.d." dan trekken ze wit weg... "hebben we niet geinstalleerd". Ik denk dan... "WAT?!" De reden waarom is steevast: "ja dan gaat ie down en crasht ie". Mja, ik heb echt geen zin meer in het ontkrachten van dat soort indianeverhalen hoor, het is mijn verantwoordelijkheid niet maar van die systeembeheerder. Het is hun VAK notabene. Ik ben de gehele dag bezig met het bouwen van software en ik weet MEER over die zut dan de gemiddelde systeembeheerder die er de gehele dag boven op moet zitten. Dat is toch raar?

naja... hopelijk verandert het wanneer elke beheerder een "critical update notice" krijgt op zn win2k doos zodat hij weet dat hij iets moet doen *zucht*

Cookie @EfBe • 9 maart 2001 14:12

Ik ben de gehele dag bezig met het bouwen van software en ik weet MEER over die zut dan de gemiddelde systeembeheerder die er de gehele dag boven op moet zitten. Dat is toch raar?

Het is niet jofel, maar wel enigszins verklaarbaar. Jij bent een architect/ontwerper cq bouwmeester van een 'fabrieksgebouw'. Voor de poorten van zo'n fabrieksterrein zitten soms alleen portiers, of er rijden wat security-gasten rond over het terrein in een autootje, maar die zijn niet altijd allemaal op de hoogte van alle kanalen, leidingen en constructiedetails, zoals jij dat bent. Nou zijn veel netwerkbeheerders niet enkel portiers, maar manager/medewerker bedrijfsonderhoud en bedrijfsbeveiliging. En daar heb je lichten én mindere goden tusssen lopen.

Als je geen software-ontwerper bent, maar alleen wat ervaring van buitenaf hebt als user en een omscholingscursus gedaan hebt, heb je vaak toch minder diepe inzicht in bepaalde dingen. De grootste factor is betrokkenheid met de materie en actief zijn. Maar veel mensen hebben iets behoudends over zich en hebben niet voortdurende de neiging dingen die werken te veranderen. Dat streng behoudende kan zowel een goede eigenschap zijn, als het gaat om de stabiliteit van een systeem te bewaren (niet meteen de allernieuwste soft- en hardware erin pleuren en dan maar kijken of het werkt), maar op het gebied van de beveiligingslekken en wegwerken van bugs, enz., kan een afwachtende passieve houding schadelijk zijn. Alertheid is geboden, niet alleen voor portiers...

egeltje @Anton • 9 maart 2001 09:50

Zonder in een vervelende Windows/Unix discussie te willen komen, maar het herstarten van een NT service ( = +/- Unix daemon) is vaak genoeg. Het dialoogje liegt wel dat je moet rebooten, maar dat is iets wat een beetje beheerder wil voorkomen. En 10 seconden down is net zo erg als 5 minuten down...

Een beetje beheerder mag niet zo naief zijn dat hij denkt 'ik koop iets en dat blijft voor altijd goed'. Hij/zij moet wel een beetje actief op zoek naar patches en security info. Als een hacker _echt_ binnen wil komen, gaat hem dat uiteindelijk wel lukken, maar bijblijven met de patches houdt in ieder geval de script-kiddies en newbies buiten de deur.

Qman @Jaymz • 9 maart 2001 09:01

Absoluut, je kunt alles zo veilig maken als je het zelf wilt. Als jij je linux-bak met alle standaard users / passwds laat staan, dan ben je ook de pineut. Win NT heeft echter het voordeel dat het ook "click-and-go voor randdebielen" is. Vervelende is echter dat dit dus ook de wizard-beheerders in de hand werkt die niet eens snappen wat security betekent.

Verder zijn er natuurlijk ook altijd beheerders die wel goed hun werk doen en ook al is het verrot lastig om je NT bak dicht te timmeren, het is echt wel te doen!

rafe |IA 9 maart 2001 09:41

Het is helaas zo dat veel beheerders wachten op de service-packs, want dan is 1 reboot voldoende.. blijkt dus dat dat niet voldoende is.... er zitten sites tussen die versies van IIS gebruiken van 1998 e.d. (dat is dus vorige eeuw!...

Toch is niet elke beheerder een wizard-man.. vaak hebben de heren (en een enkele dame) gewoon geen tijd...

Al met al dus een slechte zaak voor e-commerce en e-banking.... zo wordt het nooit wat!

Verwijderd @rafe |IA • 9 maart 2001 11:11

Toch is niet elke beheerder een wizard-man.. vaak hebben de heren (en een enkele dame) gewoon geen tijd...

Het is gewoon de PLICHT van een beheerder om een wizard-man/vrouw te zijn, te worden of het in ieder geval te willen worden.

Hij/zij is verantwoordelijk voor het goed beheren van de systemen die onder zijn/haar beheer vallen, een beetje serieus beheerder is iemand die zorgt dat zijn/haar systemen up-to-date zijn, alle (relevante) (hot-)fixes / patches / updates.

Dat van geen tijd hebben is de meest ranzige smoes die ik wel vaker hoor "sorry, druk, druk, druk...", zonder dat zo iemand zich besteft dat als je nu geen tijd er in steekt om je OS en applicaties bij te houden, je later in de tijd gewoon nat gaat, als dan een keer je server onderuit kachelt, ben je heel veel verder van huis, zie je server dan maar eens snel en stabiel in de lucht te krijgen.

Systeem beheren is echt wel wat anders (zeker tegenwoording en sterk afhankelijk van het OS) dan op een paar knopjes drukken, want anders zouden die functies vervuld worden door de eerste de beste schoolverlater met een tiepdiploma en de praktijk laat zien dat dat niet zo is, toch?

Cookie @Verwijderd • 9 maart 2001 13:47

Dat van geen tijd hebben is de meest ranzige smoes die ik wel vaker hoor "sorry, druk, druk, druk...",

Vind ik ook, als je tijd hebt voor T.net/GoT, heb je ook tijd voor wat anders

Verwijderd @Verwijderd • 9 maart 2001 19:19

Hoe moet iemand die het te druk heeft (die situatie is NIET ondenkbaar, komt namelijk enorm vaak voor) nog meer tijd maken voor dat soort zaken.

Security excessen zijn vaak meer te wijten aan HRmanagement wat kant nog wal raakt dan aan lakse admin's.

Een datzelfde HRmanagement zorgt er ook voor dat die extra tijd ook niet als extra inzet gedaan word.

We leven niet allemaal in een utopie, als je admin word van een bestaande situatie is die tijd er vaak simpelweg niet. En het is heel moeilijk om een slecht opgezet systeem om te buigen in een veilige en werkende situatie zonder dat je normale werkzaamheden daar onder lijden.

'Geen tijd, druk druk druk' is absoluut geen zwakke smoes.

Fijn 60+ uurtjes draaien en daarnaast ook nog doodgaande servers redden. Nee, ik heb t inderdaad erg rustig gehad een tijd terug. Human resource mismanagement at it's best!!!!

Persoonlijk getinte reactie? Hell yeah, van die over 1 kam scherende opmerkingen zijn niet inzichtvol maar gewoon simpelweg kortzichtig.

spook 9 maart 2001 08:29

Ik blij dat ik geen creditcard heb

. Hieruit blijkt wel weer dat de securety van persoons gegevens bar slecht is. Zelf bij dit soort informatie worden de lekken niet gedicht en wij moeten geloven dat internet veilig is? Lekker online bestellen en bankieren.

DynaMikeY @spook • 9 maart 2001 09:32

Ik blij dat ik geen creditcard heb . Hieruit blijkt wel weer dat de securety van persoons gegevens bar slecht is. Zelf bij dit soort informatie worden de lekken niet gedicht en wij moeten geloven dat internet veilig is? Lekker online bestellen en bankieren.

Dat die gasten creditcard gegevens hebben is natuurlijk een kwalijke zaak.

Maar creditcardmaatschappijen werken op basis van vertrouwen. Als jij op je maandafrekening een aankoop/betaling ziet staan waar jij het niet mee eens bent, dan draaien ze die zonder pardon terug, en krijg je meteen je geld terug, zonder ellenlang gezeik. Immers, ZIJ moeten JOUW onschuld aantonen, en niet jijzelf.

Meeste creditcardmaatschappijen hebben dus ook flink wat 'detectives' rondlopen, en hun 'hit ratio' is behoorlijk hoog.

Neemt uiteraard niet weg dat de creditcard maatschappijen schade lijden, en dit op een of andere manier op de klant verhaald zal worden.

* 786562 DynaMikeY

Verwijderd @DynaMikeY • 9 maart 2001 10:35

Die fraude is er al jaren (telefonische bestellingen met een credit card) en de grote maatschappijen hebben dat allang ingecalculeerd.
Met internet wordt het allemaal echter wel heel makkelijk en ik kan begrijpen dat ze daar bang voor zijn.

Misschien dat in de toekomst bestellingen uit Oost Europa geweigerd worden (net als American Express nu al weigerd zaken te doen met sex sites).

Had de ABN AMRO niet een plannetje voor een online only credit card, waar dan hopelijk extra beperkingen opzitten tegen misbruik?

Gemak dient de mens en voorlopig blijf ik gewoon online bestellen.

Verwijderd @DynaMikeY • 9 maart 2001 09:54

Maar creditcardmaatschappijen werken op basis van vertrouwen. Als jij op je maandafrekening een aankoop/betaling ziet staan waar jij het niet mee eens bent, dan draaien ze die zonder pardon terug, en krijg je meteen je geld terug, zonder ellenlang gezeik. Immers, ZIJ moeten JOUW onschuld aantonen, en niet jijzelf.

Ik wil hier even een opmerking over plaatsen, bij de meeste creditcard maatschappijen is het zo als je aangeeft dat je dat dus niet gekocht hebt alles boven de 1000,00 gulden door hun wordt vergoed. Moet je dus nog steeds 1000 piekjes dokken.
Dus bij verlies/diefstal van kaart kan je tot 1000 piek betalen alles daarboven wordt vergoed door creditcard maatschappij.
Je hebt ook creditcards waardit bedrag lager is. Maar dan betaal je meestal een hoger rente percentage.

Meestal heb je ook een aflever adres waar je makkelijk langs kan gaan. Heb je tenminste altijd een beetje de buurt waar je moet zoeken. Want er zijn weinig mensen die een paar 100 km verder op een aflever adres geven.

DynaMikeY @Verwijderd • 9 maart 2001 11:00

Waar haal je dat bedrag van 1000 gulden vandaan?

Ik heb al 4 jaar een creditcard van Visa, en ik ben dat nog nergens tegengekomen.

Dit staat er in de voorwaarden:

10.2 Als de Card-houder een betaling (geheel of gedeeltelijk)bij een Visa Acceptant op andere gronden dan onder artikel 10.1 genoemd betwist, dient de Card-houder dit binnen drie maanden na datum van het rekeningoverzicht waar de betwiste betaling op vermeld is, schriftelijk aan Visa Card Services kenbaar te maken. Indien de Card-houder binnen veertien dagen na datum van het rekeningoverzicht Visa Card Services heeft geïnformeerd, zal het bedrag, onder voorbehoud, op de Visa Card gecrediteerd worden, waarna een onderzoek volgt ter beoordeling of de klacht al dan niet terecht is. Na het verstrijken van de termijn van veertien dagen wordt eerst het onderzoek ingesteld voordat Visa Card Services, bij terechtheid van de klacht, het bedrag zal crediteren. Na de periode van drie maanden geldt de inhoud van de rekeningoverzichten als door de Card-houder te zijn goedgekeurd. Visa Card Services is bevoegd na deze termijn rekenfouten te herstellen.

Na te lezen op:

http://www.originalvisa.nl/particulier/algemene_voor waarden/frame/algemene_voorwaarden.asp

De kaart is van de maatschappij, zij schieten het bedrag als het ware voor.

Je kunt het vergelijken met een bank, jij hoeft toch ook niet te betalen als de bank beroofd wordt? Omdat je daar een rekening hebt lopen?

Dachtutnie

Verwijderd @Verwijderd • 9 maart 2001 12:32

Zover ik weet, heb het niet na getrokken maar komt uit een oude economie les van vier jaar geleden waar we creditcards moest natrekken om te kijken welke voordelig uit pakte.

Daar bleek dat als je creditcard onrechtmatig gebruikt wordt (denk aan diefstal) voordat je aan hun hebt doorgegeven dat je weet dat iemand anders over je kaart beschikt je maximaal voor ƒ 1000,- aansprekkelik bent alles wat er boven valt zal door de creditcard maatschappij worden vergoed. Dus als je het eenmaal hebt gemeld aan hun dan zal je kaart worden geblokeert en zijn hun zelf voor alle transacties op jouw creditcard rekening aansprakkelijk.

Het stukje wat jij quote uit de algemene voorwaarden zegt hier in princiepe niks over maar zegt ook niet dat jij zelf niet aansprakkelijk bent. Het geeft alleen aan dat zij het bedrag zullen crediteren (niet aan wie) beteknt dus, zoals ik het zie, dat zij aan de indiener van de rekening uit betalen en nog geen rente rekenen over dat bedrag aangezien je hebt gemeld dat je deze transactie niet hebt gemaakt. Zij gaan dan dit uit zoeken, hierna echter komt mijn verhaal in werking. Dat is wat ik denk te weten hier over.

Eigenlijk zou je hier even over moeten bellen met zo'n financiele wizzard bij zo'n maatschappij.

Even een voorbeeld wat er dan gedaan kan worden als je jouw voorwaarden interpreteerd zoals ik denk dat jij het doet.

Je gaat naar een winkel in bv. belgie of duitsland een beetje ver dus. Zorgt dat daar geen camera's aanwezig zijn of je vermomd je zelf. Hier koop je een stel Alpha bakjes (als je het doet moet je het goed doen

) en dan bel je gelijk in een telefooncel na de transactie naar een telefoonnummer in nederland waar je aan een vriend doorgeeft dat hij uit een telefooncel moet bellen naar de creditcard maatschappij om door te geven dat je creditcard gestolen zou zijn. Zit dus maar een paar minuten verschil in. Dan zou jij gewoon naar huis rijden en zorgen dat je een geldig alibi hebt denk aan ziek of iets dergelijks. Heb je gratis zomaar aan aantal systemen die je dan wel nog even tijdelijk moet opslaan vanwege controle e.d.

Trouwens erg offtopic geworden maar ja.. En een slecht voorbeeld bij het terug lezen..

it0 @spook • 9 maart 2001 11:49

American express bied de mogeljkheid om eerst bij een tijdelijk credit card nummer te halen wat vervolgens maar 1 keer te gebruiken is maar hackers hebben iig niks aan dat nummer....

Vond ik wel slimme oplossing.. nu de andere credit cards nog..

Maar ik ben met je eens dat de huidige zwakte van credit cards is niet het invoeren van CC gegevens over het internet maar dat ze via een achterdeur worden gekaapt...

The Source @spook • 9 maart 2001 09:34

Wat maakt het uit... Je hoeft niet bang te zijn voor diefstal van geld op je rekening. Mocht er geld worden afgeschreven dan neem je gewoon contact op met de creditcard maatschappij. Dan krijg je het bedrag zonder meer terug.

De creditcard maatschappijen maken natuurlijk winst op het betalingsverkeer met hun betaalmiddel. Mocht de onveilingheid veel negatief in het nieuws komen dan kunnen ze hun marktaandeel in de betaalmiddelen markt wel vergeten.

yossarian @spook • 10 maart 2001 01:16

Puntjes:
1. Dit is geen kwetsbaarheid van de creditcard, maar is volledig te wijten aan de nalatigheid van de sysop die zijn softwaresecurity niet up-to-date houdt.
2. Creditcardnummers over een telefoonlijn roepen is nog veel risicovoller.
3. Betalen bij een creditcard-automaat met van die door-druk carbonnetjes is nog weer risicovoller.

Verwijderd 9 maart 2001 08:36

Alweer een gegeven waaruit blijkt dat e-banking / e-commerce lang niet zo veilig is als men zegt dat t is. dit is toch wel iets om zeer zeker in overweging te nemen als je erover denkt om aan e-banking/e-commerce te gaan doen. Je zou hieruit ook af kunnen leiden dat het internet nog niet geschikt is voor dit soort dingen. Het lijkt haast wel of iedereen alles veel te snel wil.

cappie 9 maart 2001 11:12

Ik ben geen security expert, maar het verbaast me eigenlijk niks dat die e-commerce shit zo ongelovelijk on-secure is. De meeste e-commerce applicaties worden in ZO'N korte tijd ontwikkeld, dat er niet eens genoeg tijd is om het helemaal 'mongool-proof' te maken. (en dus ook niet hack-proof)

Ik heb zelf ook wel es wat e-commerce dingen gebouwd voor het bedrijf waar ik werk, en dat ook onder een zware tijdsdruk.. Ik zou niet graag verantwoordelijk willen worden gehouden voor eventuele consequenties als die shit wordt gehacked.

(nou is het risico dat ze bij belangrijke data komen wel heel erg klein, want het wordt getransferred naar een andere webserver die op het LAN daarachter staat

)

E-commerce system zijn prima, mits de developer weet wat 'ie doet, en zolang het niet is gebouwd onder een f*cking hoge pressure van Marketing.

Crazy D @cappie • 9 maart 2001 14:11

E-commerce system zijn prima, mits de developer weet wat 'ie doet, en zolang het niet is gebouwd onder een f*cking hoge pressure van Marketing.

Hmmm ja en zolang de systeembeheerder de webserver maar up-to-date houdt met patches ed. Tuurlijk kan de developer er wel rekening mee houden, maar als de systeembeheerder bv. (simpel voorbeeld) het wachtwoord leeg laat, kun je als developer nog zo goed je best doen.....

Verwijderd 9 maart 2001 08:34

Banken zijn vaak bang dat de patches weer nieuwe fouten veroorzaken .... en daarmee dus de bestaande lekken incalculeren. Jaja, daar zijn we mooi klaar mee.

henk jansen @Verwijderd • 9 maart 2001 09:36

bij banken zijn er vast geen domme systeembeheerders. ik neem aan dat daar wel mensen werken met echte kennis. en die weten net zo goed dat alles top beveiligd moet zijn. die banken hadden dit moeten dichten want ze weten dat ze hack gevoelig zijn en kunnen zo'n risico als dit niet lopen. een hacker maakt vaak gebruik van bugs dus..

* 786562 henk

Bobco @henk jansen • 9 maart 2001 10:58

bij banken zijn er vast geen domme systeembeheerders. ik neem aan dat daar wel mensen werken met echte kennis

En dat blijkt er nog wel eens aan te ontbreken. Security moet je echt goed bijhouden en het is vaak geen eenvoudige klus om alle in het tempo te testen waarmee ze uitkomen. Een groot bedrijf heeft vaak hele strikte procedures als het gaat om wijzigingen in software en daar hoort vaak een lang testtraject bij.

Het is voor grote bedrijven dus erg belangrijk om produkten te kiezen waarvaan later niet meer al te veel geklust moet worden.

Misschien wordt het eens tijd voor een soort KEMA-keur voor websites. Een onafhankelijke organisatie die in de gaten houdt of sites niet nog steeds de bekende lekken open hebben staan.

Verwijderd 9 maart 2001 11:07

Well it finally happened. The Big One. A successful coordinated hacking attempted on over 40 companies in the United States, and an unknown total worldwide. The Secret Service and FBI apparently just brought the information out from under media blackout this evening, and as you'd expect, Ars has been on the scene for over a day now! (At the time of this writing [Thursday], the Washington Post is the only online news publication that has any information on this, and we've got more information than they have...) Here's the official FBI Post ( http://www.fbi.gov/pressrm/pressrel/pressrel01/nipc0 30801.htm ).

edit: ellendige haakjes ook altijd

Verwijderd @Verwijderd • 9 maart 2001 11:29

Als je dan via de FBI Press Release doorklikt naar:

http://www.nipc.gov/warnings/advisories/2001/01-003. htm

Daar staat een rededelijk volledig artikel over wat nu precies het probleem is, hoe je het in een aantal gevallen kunt detecteren en (wat nog belangrijker is) welke maatregelen je kunt treffen.

Typisch een artikel wat een beheerder MOET lezen.

Verwijderd 9 maart 2001 14:10

Het is zeer vervelend, dat deze hack plaatsvindt, en het geeft een schokkend beeld van de realiteit, dat mensen die computers bedienen toch de fouten maken.

Een probleem echter binnen het bankwezen is dat moderne transactie 24 uur per dag wereldwijd plaatsvinden. Een server kun je dan niet platgooien, omdat hij moet rebooten. Dit is naar mijn mening de grootste flaw binnen MS produkten.

Tevens is het installeren van servicepacks en het opleveren van gehaast gemaakte software een ander probleem, vanwege de tijdsdruk.

Verwijderd @Verwijderd • 9 maart 2001 15:02

[off-topic]

Dit is naar mijn mening de grootste flaw binnen MS produkten.

lees deze dingen over MS Cluster Server dan ook eens.

MS Cluster Server Is a Standard Element of Windows NT Server Enterprise Edition:
http://www.microsoft.com/technet/winnt/winntas/prodf act/idccs.asp

Creating a Highly Available Web Site:
http://www.microsoft.com/ISN/downloads/CrWeb.doc

Clustering Architecture:
http://www.microsoft.com/ntserver/ntserverenterprise /techdetails/prodarch/ClustArchit.asp

Dus, MS is ook wel bezig met Availability-issues.
[/off-topic]

Verwijderd 9 maart 2001 08:56

Met I-Pay/SET heb je dit probleem niet.

Hier krijg je een persoonlijke "calculator" thuisgestuurd, samen met de I-Pay/SET software. Dit is bijna onmogelijk te kraken, omdat elke calculator zijn eigen algoritme heeft. Jammer dat I-Pay/SET (Interpay/ Secure Electronic Transaction) niet grootschaliger is opgezet... Er doen nu nog maar een paar webwinkels aan mee, dus kun je er bijna nergens mee betalen.

Zie ook deze en deze links.

alt-92 @Verwijderd • 9 maart 2001 13:20

En wat gebeurt er met die gegevens nadat je die versleuteld en wel hebt doorgegeven?

Juist ja, die staan op een DBserver die niet gepatched is.

Tel daarbij op de tegenwoordige trend om maar weer te bezuinigen op in-house IT (ingegeven door de huidige beurstrend?) en de lagere prioriteit die wordt gegeven aan security ( Dit is geen gelul! ) omdat de boel snel online moet staan...

Voorbeeld: e-commerce applicatie wordt met deadline uitgebracht omdat Marketing loopt te bleren.
SysAdmin geeft te kennen dat de beveiliging van de koppeling DBMS <--> app nog te wensen overlaat, en dat hij liever een hotfix test en eroverheen zet, maar beslissing wordt toch genomen om systeem alvast online te zetten.

Marketing/Managers happy, en de sysadmin weet dat elk moment de pleuris uit kan breken maar krijgt geen toestemming om de boel te patchen ' omdat het teveel omzet/tijd gaat kosten' en het als ingecalculeerd risico wordt gezien (hogerop).

Uitgelulde sysadmin van goeie wil.

Verwijderd @alt-92 • 9 maart 2001 13:26

Er worden geen gegevens gepost.
Alleen de code wordt verstuurd via het internet.

Het algoritme voor deze code zit in een calculatortje en is voor elk persoon verschillend. Men kan dus nooit achter jouw algoritme komen, tenzij ze je calculator jatten....

Voor de duidelijkheid: je geeft geen gegevens door, je tikt alleen je pin in.

EDIT: even iets verduidelijkt

alt-92 @Verwijderd • 9 maart 2001 14:05

Het gaat om de beveiliging van het back-end.
Kun je nog zo'n mooi systeem hebben op je front-end, als het achterliggende systeem niet goed beveiligd is ben je nog nergens.

Vergelijk het met een kluis met wanden en plafonds van 3mtr. dik. Waar zit de zwakke plek? De vloer.

Bobco @alt-92 • 9 maart 2001 13:30

Voorbeeld: e-commerce applicatie wordt met deadline uitgebracht omdat Marketing loopt te bleren

Dat komt me erg bekend voor. Over het algemeen is er zeker aan het einde van een project nooit meer tijd om zaken die fout zijn op te lossen. Op dat moment is de deadline al bij iedereen bekend en wordt de druk op de projectleiding vaak te groot om de rug recht te kunnen houden en te zeggen: we zijn nog niet klaar, eerst gaan we ook de security goed regelen.

Dit is weer zo'n voorbeeld van de vaak wat vreemde manier waaroip er met techniek in het algemeen wordt omgegaan. Techneuten wekken vaak de indruk dat alles mogelijk is, marketeers geloven daar graag in maar beseffen niet dat zoiets tijd kost. Zeker een aspect als security is voor een marketeer niet relevant: iemand kan toch iets bestellen? Daarmee is voor hem/haar aan de belangrijkste voorwaarde voldaan.

Ik werk al een tijdje in de automatisering en ik blijf me over dit verschijnsel verbazen. Volgens mij heeft het ook te maken met de manier waaarop een project wordt aangestuurd: uiteeindelijk bepaalt degene die het geld heeft of iets in produktie gaat of niet. In vrijwel alle gevallen is de geldschieter de marketing/produktontwikkelingsafdeling. En hun belang verschilt nu eenmaal van het belang van de techneut die zich bewust is van de risico's maar vaak slecht gehoord wordt.

Als je hier denkt frustraties te lezen dan heb je gelijk.

Bezulba 9 maart 2001 09:47

ik denk niet dat het aan het feit ligt dat de server gereboot moet worden voor die patch.. dat doe je gewoon een keertje om 3 uur 's nachts als je minimun users erop heb zitten.. binnen 5 min is ie weer up... tis gewoon de onwetendheid van de systeembeheerders die denken.. nt is mooi geinstalleerd zo ik hoef er nixs meer aan te doen... maar ja blijkbaar gaat dat dus niet zo heel erg goed

arnob @Bezulba • 9 maart 2001 09:58

ik ben het met je eens, behalve dat een reboot van een server geen 5 min duurt. Voordat een server door z'n POST is is die al 5 min verder, dan SCSI adapterS en dan volumeS en dan OS starten. Die moet weer initten, warm lopen (db's) etc..

EfBe @arnob • 9 maart 2001 12:41

Ik weet niet waar jij je hardware koopt, maar mijn dual p3-933 server met uw160 scsi-2 disks is echt binnen 5 minuten up and servin'. (win2k server/sqlserver2000/AD/iis5 etc etc)

Elke keer een chkdsk schedulen wanneer je reboot, kost inderdaad wel tijd. Maar niet nodig indien je gewoon normaal afsluit.

Verder kunnen beheerders veel tijd besparen door eens wat readme's te lezen die bij bv service packs zitten. De meest gehoorde klacht van 'admins' is dat service packs allerlei zaken weer kapot maken en ze daardoor de sp's niet installeren.

LAUWE LOENE! Het is ONZIN om nu nog te gaan gillen dat SP6a niet werkt op je bak en je daarom de service packs niet installeert, laat staan hotfixes. De readme en KB artikelen erover vertellen je de uitzonderingen, de workarounds (lotus notes, compaq network cards e.d.) en dus hoe je het op moet lossen. Het is pure paranoia dat je een hotfix niet installeert op een productieserver 'omdat die hotfix steevast iets anders niet meer laat werken'.

Nee, het is anders: een hotfix die ervoor zorgt dat een productieserver niet meer werkt geeft aan dat de admin die server niet goed heeft ingericht. Te vaak kom ik bij bedrijven waar een batterij NT servers staan die gewoon aan internet hangen met alleen SP3 of SP4 en geen security fixes of wat dan ook, laat staan dat er services zijn uitgezet omdat je die NIET gebruikt op een internet server (zoals de server service e.d.). Steevast het repliek "Ja maar service packs zorgen ervoor dat wat er op draait niet werkt en dat moeten we eerst testen ...".

Wat uiteraard erger is dan de server maar ongepatcht aan het internet te laten hangen... Mocht er worden ingebroken dan zeg je als systeembeheerder toch gewoon tegen je baas dat je er niets aan kon doen en dat Microsoft maar betere software moet maken?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (61)

Sorteer op:

Weergave: