'Standaardwachtwoorden Zoom-meetings waren binnen enkele minuten te kraken'

De standaardwachtwoorden van Zoom-meetings waren binnen enkele minuten te kraken, zegt een Britse beveiligingsonderzoeker. De wachtwoorden bestonden uit een zescijferige code en de dienst beperkte het herhaaldelijk invoeren van wachtwoorden amper. De fout is nu gefikst.

Beveiligingsonderzoeker Tom Anthony schrijft op zijn blog dat de webclient van Zoom checkt of een wachtwoord dat de gebruiker invoerde voor een Zoom-meeting klopte of niet, door het gebruik van twee http-requests. In het eerste http-request wordt een combinatie van een gebruikers-id en een wachtwoord gestuurd, met het tweede http-request checkt Zoom of dit eerder gestuurde wachtwoord klopt. Anthony schrijft dat met dit proces het wachtwoord al te kraken zou zijn, maar dat het relatief lang zou duren omdat de gebruiker iedere keer zou moeten wachten tot de server een wachtwoord gecheckt heeft. Door het gebruik van zescijferige standaardwachtwoorden, waren er maximaal een miljoen mogelijke standaardwachtwoorden.

Anthony kwam erachter dat je als gebruiker een nieuw gebruikers-id kon aanvragen, door het sturen van cookieloze http-requests. Op die manier kon de onderzoeker meerdere id's aanvragen, waarmee hij iedere keer een uniek wachtwoord kon testen. Via een Python-script wist hij zo met honderd threads 25 wachtwoorden per seconden te checken. Met de clouddienst AWS wist hij in 25 minuten 91.000 wachtwoorden te controleren. Als hij zijn script had verbeterd en vier tot vijf AWS-servers had gebruikt, claimt Anthony dat hij binnen enkele minuten ieder wachtwoord had kunnen kraken. Dit heeft hij niet getest om 'de Zoom-dienst niet te storen', wel zegt hij tijdens eerdere pogingen nooit gethrotteld of geblokkeerd te zijn.

Herhaalde Zoom-meetings gebruiken volgens Anthony daarnaast altijd hetzelfde wachtwoord, wat het probleem groter zou maken. Ook meetings die nog niet waren gestart, maar al wel waren ingepland, waren volgens Anthony vatbaar voor misbruik. Zoom gebruikte wel een cross-site request forgery-token die misbruik tegen zou moeten gaan, maar deze wist Anthony eenvoudig te omzeilen.

De onderzoeker nam op 1 april contact op met Zoom om het probleem kenbaar te maken. Hij adviseerde onder meer om het standaardwachtwoord langer te maken en het herhaald invoeren van een wachtwoord te beperken. De videobeldienst haalde de webclient een dag later offline, op 9 april was deze gefikst en weer online gezet. Zoom heeft volgens Anthony nooit gecommuniceerd wat de dienst aanpaste, wel moeten gebruikers inmiddels ingelogd zijn om deel te nemen via de webclient en bevatten standaardwachtwoorden nu ook letters. Hiermee is de fout volgens Anthony niet meer te misbruiken.

Zoom heeft sinds de uitbraak van het coronavirus een enorme stijging gezien in het aantal gebruikers. Hieronder vallen ook politici, zo gebruikte het Britse kabinet de videobeldienst voor besprekingen. Tegelijkertijd bleek de dienst veel beveiligingslekken te kennen, waar het bedrijf eerder haar excuses voor heeft aangeboden.

Reacties (33)

hans3702 31 juli 2020 00:20

Via een Python-script wist hij zo met honderd threads 25 wachtwoorden per seconden te checken. Met de clouddienst AWS wist hij in 25 minuten 91.000 wachtwoorden te controleren. Als hij zijn script had verbeterd en vier tot vijf AWS-servers had gebruikt, claimt Anthony dat hij binnen enkele minuten ieder wachtwoord had kunnen kraken.

Met max 999.999 codes kom ik toch uit op 999999/25 = ca 40.000 sec ==> 666,666 min ==> ruim 11 uur met een AWS server en dus met 4 tot 5 kom je op ruimt 2 tot 2,5 uur uit voor alle codes, als je aanneemt dat de code random zijn dan denk ik dat je gemiddeld gemiddeld op 50% uit komt dus 75 min bij een code uit een miljoen.

"binnen enkele minuten te kraken" waren nog wel wat voorwaarden aan verbonden. dan moet je het Phyton script nog wel een factor 20 versnellen of er 20 maal zo veel AWS servers voor inzetten ( met een bot netwerk moet het met een boel besmette computers wel snel kunnen)

"Standaardwachtwoorden" als het voor de organisator mogelijk was om een een alternatief WW in te geven wat uit meer / andere tekens bestaat, was de veiligheid ook door de organisator te verhogen. Voor geplande meetings was/ is dat mogelijk ( zie link naar Tom blog)

When a user creates a new meeting, Zoom auto generates a link for people to join, in the form (dummy data below):
https://zoom.us/j/6180863...6UDhwaDVJR3FJRzUyZUI3QT09
It contains both the meeting ID and the auto generated password.

Daarnaast zou je denken dat je toch ook nog het meeting ID moet weten om te kunnen inloggen, . Dus hoewel mogelijk vraag ik mij af hoe realistisch het in de praktijk is.

Het is al een bug die 4 maanden geleden is opgelost dus is het niet meer te testen/ controleren. Is het een beetje zoom "pesten" al is wel weer aardig om te zien dat een 3 keer fout inloggen op systemen en dan ene timeout of ban een must is al zal deze persoon daar anders over denken
https://www.dailymail.co....onds-trying-break-in.html

djwice

@hans3702 • 31 juli 2020 06:38

Als hij gewoon aws lambda inzet, kan hij in een paar seconden 1.000 servers draaien.
Als hij zijn script niet verbeterd is dat 25.000 checks per minuut.
Of wel 40 minuten per miljoen.

Kosten: $0.34 per miljoen checks.

Hij kan een verzoek doen om meer dan 1.000 tegelijk te kunnen gebruiken dat is in 15 minuten gegegeld.

Je factor 20 is daarin een goede schatting. Voor mensen onbekend met AWS, opschalen naar 20.000 lambda's en die 2 minuten draaien kost ook slechts $0.34. Dus financieel heel haalbaar voor de onderzoeker. Het opschalen naar zoveel tegelijk duurt wel een aantal seconden.

[Reactie gewijzigd door djwice op 23 juli 2024 17:08]

drdelta @hans3702 • 31 juli 2020 10:04

Je berekening gaat er van uit dat je altijd alle mogelijkheden moet gokken voordat je het juiste wachtwoord tegenkomt, wat is volgens mij waarschijnlijk onwaarschijnlijk.

hans3702 @drdelta • 31 juli 2020 13:06

Met max 999.999 codes kom ik toch uit op 999999/25 = ca 40.000 sec ==> 666,666 min ==> ruim 11 uur met een AWS server en dus met 4 tot 5 kom je op ruimt 2 tot 2,5 uur uit voor alle codes, als je aanneemt dat de code random zijn dan denk ik dat je gemiddeld gemiddeld op 50% uit komt dus 75 min bij een code uit een miljoen.

Waarschijnlijk maar 50% van mijn bericht gelezen, gezien de reactie lijkt 100% mij onwaarschijnlijk :-)

drdelta @hans3702 • 31 juli 2020 14:26

Hah! Daar heb ik inderdaad overheen gelezen.

Sorry!

martenjacobs @drdelta • 31 juli 2020 11:43

Klopt, gemiddeld genomen zal je de helft moeten proberen (uitgaande van een goede willekeurige distributie natuurlijk)

[Reactie gewijzigd door martenjacobs op 23 juli 2024 17:08]

MotorLum 30 juli 2020 21:17

Wellicht snap ik die man niet helemaal. De master orginzer van de zoom meeting ziet wie er is ingelogd. Hij kan dan toch die persoon de toegang ontzeggen omdat die niet op zijn lijst van uitgenodgden staat? Ik zeg niet dat die zwakke pw goed zijn, ik zeg alleen dat ik in mijn eigen zoom gebruik niet zie hoe hier misbruik van gemaakt zou kunnen worden omdat de master bepaalt of er iemand toegang heeft of niet na inloggen.

Polydeukes @MotorLum • 30 juli 2020 21:27

In veel gevallen zal misbruik inderdaad opvallen. Maar ik kan me situaties bedenken waarbij de host niet alle deelnemers kent of wanneer de groep zo groot is dat 't niet opvalt.
In beginsel moet de beveiliging gewoon beter op orde zijn en door dit soort "foutjes" neemt 't vertrouwen in Zoom als veilige dienst niet toe.

sapphire @Polydeukes • 30 juli 2020 22:18

Alsof de standaard gebruiker zich überhaupt druk maakt of zoom een veilige dienst is?

Ik werk voor een grote zorginstelling waar we aan het begin van het corona-gebeuren iPads leverde voor groepen om te beeldbellen. Systeem beheer was netjes op de hoogte van zoom en de, toenmalige, tekortkomingen. Had netjes onderzoek gedaan en 2 apps uitgekozen die gebruikt gingen worden. Netjes voorgeïnstalleerd, stap voor stap handleiding/uitleg met plaatjes erbij, serieus kind kan de was doen.

Lever je zo'n ding uit, eerste vraag "kan er zoom op"

Polydeukes @sapphire • 30 juli 2020 22:40

Een gemiddelde gebruiker wellicht niet, maar dat is geen reden om willens en wetens onveilige apps toe te staan.

djwice

@Polydeukes • 31 juli 2020 06:51

Mensen hebben ook privé devices, via WiFi worden die "gewoon" gebruikt om met collega's te video bellen. Via welke app dan ook die als handig wordt gezien.

Met de huidige middelen is zo iets in een paar minuten opgezet: ok jongens dit werkt niet (tool van it hapert beeld of geluid), we switchen , zie linkje in de chat, tot zo!

En 5 minuten later zit de hele vergadering in de andere app. En als het goed werkt en de volgende keer het it, ding weer hapert, is de vergadering definitief overgezet.

[Reactie gewijzigd door djwice op 23 juli 2024 17:08]

Polydeukes @djwice • 31 juli 2020 07:53

Dus: zorg dat "het IT-ding" niet hapert 😉

latka @MotorLum • 30 juli 2020 21:29

Herinner je je nog de meeting van Boris Johnson en zijn kabinet: onderin de lijst een anonieme iphone. Het is wel een probleem want niet iedereen zit op te letten of er geen ongenode gasten in de meeting zitten.

dakathefox @MotorLum • 30 juli 2020 21:36

Nee, dat hoeft niet. Als de groep wat groter is, dan kun je al snel ongezien participeren in de call. Naam van een willekeurige medewerker opgeven, webcam uit en dan hoeft niemand dat te zien.

djwice

@MotorLum • 31 juli 2020 06:44

Heel simpel: hacker is binnen, slaat snel alle namen op. Maakt nieuwe identiteit en logt in met een van de namen in de lijst.

Mensen gebruiken soms 2 devices één voor audio één voor video, dus is de organisator niet snel gealarmeerd als twee gebruikers dezelfde naam hebben.

[Reactie gewijzigd door djwice op 23 juli 2024 17:08]

Eupeodes

@MotorLum • 31 juli 2020 08:12

Wat te denken van mensen die binnen komen, camera en microfoon aan, en meteen allemaal ongepaste dingen gaan zeggen of laten zien. Natuurlijk, dan kan je die mensen er weer uit gooien, maar je meeting is dan toch al verstoord geraakt.

tonkie_67 @MotorLum • 31 juli 2020 12:35

In een kleine meeting waar je iedereen persoonlijk kent geen probleem hoewel naam ook niets zegt: die vul je in.
Maar ook bij oude zoom waren er redelijk wat extra maatregelen te nemen als je je defaults wijzigde of naar advanced ging... maar heel veel mensen gebruikten de relatief onveilige system defaults

Bergen 31 juli 2020 01:07

Door het gebruik van zescijferige standaardwachtwoorden, waren er maximaal een miljoen mogelijke standaardwachtwoorden.

Ik moest denken aan het kraken van WPS (je weet wel, routers met een wps-knopje om te verbinden). Een WPS-code is 8 cijfers dus je zou verwachten dat er 100.000.000 combinaties zijn. Maar het laatste cijfer is een checksum, en de andere 7 cijfers worden in twee stappen gecontroleerd: eerst de eerste vier cijfers (10.000 combinaties) en dan de laatste 3 cijfers (1000 combinaties). In totaal hoeft een aanvaller dus hooguit 11.000 combinaties te proberen. Gemiddeld heb je na 50% beet, dus in de praktijk hoef je gemiddeld maar 5500 combinaties te proberen. Geautomatiseerd natuurlijk; niet met de hand. (Dus, schakel WPS uit in je router.)

[Reactie gewijzigd door Bergen op 23 juli 2024 17:08]

_Thanatos_ @Bergen • 31 juli 2020 10:33

Verbinden mbv WPS werkt alleen als je dat knopje indrukt toch? En dan een paar minuten erna.

Bergen @_Thanatos_ • 31 juli 2020 10:45

Klopt. Maar een aanvaller heeft dat knopje niet nodig. Als WPS is ingeschakeld op je router kan een hacker je wifi-wachtwoord eenvoudig achterhalen, zonder dat knopje in te drukken. Dit werkt overigens niet op alle routers.

_Thanatos_ @Bergen • 31 juli 2020 10:48

Wist ik niet. Ik dacht dat enkele minuten na gebruik van WPS dat het helemaal uitgeschakeld werd... Wat slecht van die routers/AP's eigenlijk. Zullen wel die beta-routers van Ziggo zijn (ik heb de mijne teruggestuurd en Ziggo de huid volgescholden). Of die goedkope flutdingen van Telfort.

Ik mag toch hopen dat routers/AP's van een degelijk merk gewoon veilig zijn?...

Bergen @_Thanatos_ • 31 juli 2020 11:01

Moderne accesspoints zijn wel bestand tegen deze vorm van aanvallen. Maar er staan ontzettend veel oude routers bij mensen thuis, en ook veel routers van grote bekende merken waren/zijn vatbaar. Als je zeker wilt zijn over je eigen router kun je het zelf gaan proberen natuurlijk. Jezelf proberen te hacken is niet strafbaar. Google naar "wash reaver".

Unsocial Pixel 30 juli 2020 20:56

Netjes opgelost, wel weer een erg laks "foutje". Zoiets basaals als dit kan tegenwoordig toch echt niet meer?

Unsocial Pixel @Verwijderd • 30 juli 2020 22:34

Bij geen enkel bedrijf dat ik ken herken ik dat beeld en overal waar ik ooit gesolliciteerd heb werd wel een redelijk niveau programeren verwacht,dus ik denk niet dat dat de reden is.

BLACKfm @Verwijderd • 31 juli 2020 00:49

Je hebt een -1, maar er zit vast een kern van waarheid in. Zoom ligt nogal onder de loop wegens corona, en het is al een paar keer mis gegaan terwijl het toch hele simpele beveiligingszaken zijn.

Aan de andere kant zijn de gebruikers niet bepaald 'tech savvy' en wordt laagdrempeligheid dan liever gezien dan hele lastige inschrijformulieren, aanmeldschermen en ander opsmuk.

De beveiliging zo instellen dat je met een 6 cijferige pincode kunt inloggen is redelijk laagdrempelig. Dat je vervolgens geen beveiliging inbouwt op het mis hebben van de code en dit kunt brute forcen is gewoon super dom. Daar heeft de gebruiker overigens helemaal geen hinder van. 3x fout is 1 minuut wachten, na 1 minuut mag je het nog 1x proberen en dan ben je een half uur gelocked van die zoomsessie. Na de eerste 2-3 fouten neem je denk ik wel even contact op met de initiatiefnemer van de zoomsessie.

Er zullen genoeg 'nietszeggende' diensten zijn die door bepaalde omstandigheden ineens heel populair worden. Daar is de beveiliging misschien ook niet direct op en top.
En voor hele grote en/of privacygevoelige projecten gaat het bij de grote spelers anders ook vaak zat mis. De overheid is dan een open deur wat dat betreft, met alle corona gerelateerde websites als prima voorbeeld.

_Thanatos_ 31 juli 2020 10:27

Gefikst?

Nou dan ga ik de auto even waksen. Ekstra goed poetsen. En ja, dat zeg ik ekspres zo.

Maar is dit serieus zo'n risico? Zijn er echt mensen die "inbreken" op een meeting waar iedereen vertelt wat ie aan het doen is, waar besluiten worden genomen die niet worden negeleeft, waar afkortingen en acroniemen worden gebruikt waar niemand wat van snapt, waar dingen 3x (sorry, 3ks natuurlijk) op een andere manier worden verteld omdat je het dan maar gezegd hebt, en waar vervolgens iedereen nóg een keer omstebeurt om de mening wordt gevraagd?

Of breken ze vooral in om privégesprekken af te luisteren? Verjaardagen, koetjes en kalfjes, en bekvecht-relaties? Interessant...

Hoe dan ook moet je de provider van online meetings ook maar vertrouwen. Ik vind het eigenlijk veel minder erg als een ongeauthorizeerd persoon opeens bij de meeting zit, dan dat een megalomaan bedrijf met kweetniet-hoeveel horsepowers meeluisters en ieder uitgesproken wordt naar tekst omzet en er allerlei algoritmes op loslaat. Dat is veel zorgelijker.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 03:14]

bkor @_Thanatos_ • 31 juli 2020 10:35

Het oorspronkelijke artikel vertelt dat de Engelse overheid Zoom gebruikt voor vergaderingen. Verder hebben ze de meeting code zichtbaar op wat screenshots. Dat was de hele aanleiding om dit te gebruiken.

Naast onbelangrijke zaken wordt Zoom jammer genoeg ook vaak gebruikt voor veel gevoelige zaken. En elk bedrijf of organisatie heeft toch nog de plicht om een minimale beveiliging te voldoen. Moedwillig Zoom blijven gebruiken ondanks alle waarschuwingen dat het onveilig is, tjah. Indien er nog wat persoonsgevoelige informatie werd gedeeld zal je toch moeten kijken of dat allemaal nog voldoet aan de wetgeving.

_Thanatos_ @bkor • 31 juli 2020 10:43

Ik weet niet hoe het in de UK zit, maar als de overheid iets te verbergen heeft, dan is dat een kwalijkere zaak dan dat iemand zichzelf bij zo'n meeting kan uitnodigen.

Als het om veiligheid van persoonsgegevens gaat, dan kun je dus geen enkele clouddienst meer gebruiken. Er staan persoonsgegevens van medewerkers en klanten in die diensten opgeslagen, en ook al zijn die diensten NU veilig, ze kunnen morgen gecomprimtteerd worden. En dat staat nog los van het feit dat veel van die diensten US-based zijn, en de privacyregels daar "iets" minder streng zijn.

_Thanatos_ @B_ernd • 31 juli 2020 12:57

Fixen betekent niet drugs inspuiten. Dat is flauwekul. Ja ik zie dat je bron dat zegt, maar het is onzin.

Los daarvan, "fixen" is gangbaarder, en ik weet echt wel dat "fiksen" toegelaten is. Maar ik probeer te zeggen dat als we de X willen uitbannen, dan moeten we dat goed doen, of niet doen. En we moeten dan ook van de Q en de C af. Met een zogenaamd fonetisch alfabet heb je geen letters nodig die in alle gevallen door een andere letter (of letters) kunnen worden opgevangen.

Tot die tijd schrijf je ook niet kado, buro, odeklonje, trotwaar, of juderans.

Op dit item kan niet meer gereageerd worden.

'Standaardwachtwoorden Zoom-meetings waren binnen enkele minuten te kraken'

Lees meer

Interview: Zoom in 2020

Reacties (33)

Lees meer

Interview: Zoom in 2020

Reacties (33)

Sorteer op:

Weergave: