Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lijst met 50.000 inloggegevens van bedrijven met Fortinet-vpn verschijnt online

Hackers hebben een lijst online gezet met inloggegevens van bijna 50.000 domeinen die zijn buitgemaakt via een bug in de Fortinet-vpn. Daar zit al sinds vorig jaar een bekende bug in, maar tientallen banken en overheden hebben die niet gepatcht.

De lijst werd ontdekt door beveiligingsonderzoeker Bank_Security die zich vaker bezig houdt met specifiek dit soort problemen. Hij ontdekte een forum waar een lijst rondging met 49.577 domeinen met de inloggegevens in plaintext erbij. De meeste daarvan zijn van bedrijven, maar in ongeveer vijftig gevallen zou het gaan om Amerikaanse overheidsorganisaties en grote banken. De inloggegevens zijn bedoeld voor toegang tot de vpn-dienst van de banken.

De onderzoeker zegt tegen Bleeping Computer dat de gegevens afkomstig zijn door een bekend lek in Fortinets FortiOS SSL-vpn uit te buiten. Daarin zit een lek, CVE-2018-13379, waarmee aanvallers via een zelfgemaakte http-header toegang kunnen krijgen tot de vpn. Het lek kwam in september van vorig jaar aan het licht, en geldt voor FortiOS 6.0.0 tot 6.0.4, FortiOS 5.6.3 tot en met 5.6.7, en FortiOS 5.4.6 tot 5.4.12. Daarvoor is al sinds die tijd ook een patch beschikbaar, maar veel bedrijven hebben die nog niet doorgevoerd. Ook in Nederland bleken destijds veel bedrijven kwetsbaar te zijn. Onder andere het Nationaal Cyber Security Centrum waarschuwde daarvoor. Het is niet bekend of er ook Nederlandse bedrijven in de huidige lijst staan.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

23-11-2020 • 07:33

95 Linkedin

Reacties (95)

Wijzig sortering
Als je data na het uitbrengen van de patch nog gelekt is, eigen schuld van een bedrijf.
Ik wil je er even op wijzen dat de patch alleen beschikbaar is voor bedrijven met een lopend supportcontract. En die zijn behoorlijk prijzig. Die grote bedrijven hebben die sowieso, en is het langzame updaten absoluut aan te rekenen, maar midden- en kleinbedrijf zonder supportlicentie heeft gewoon geen legitieme manier om aan updates te komen. Heel vreemd beleid van Fortinet.
Daar had je als bedrijf over moeten nadenken voordat je een closed-source VPN ging inzetten. Als je vervolgens tegen onverwacht hoge kosten oploopt, dan is dat jouw probleem en jou verantwoordelijkheid.

Ga anders naar Open VPN, welke veiliger is (openbaar gereviewed) en welke je gratis kunt inzetten voor alle doeleinden. Als je daarbij ook nog een grafische management tool wilt, kun je Soft Ether gebruiken.

[Reactie gewijzigd door Eonfge op 23 november 2020 11:06]

Ga anders naar Open VPN, welke veiliger is (openbaar gereviewed) en welke je gratis kunt inzetten voor alle doeleinden.
Er is geen echte rede om te bedenken dat open source veiliger is dan closed source. Visa versa ook niet. Zeker niet als je na gaat dat een groot deel van de issues met Fortinet komen door beheer problematiek.

Kijk maar naar de lijst van issues in het verleden met bijv. OpenSSL. Een willekeurig bericht uit 2015:
nieuws: OpenSSL bevat een of meer kritieke lekken

Als je zegt "openbaar gereviewed" dan zou je denken dat een bug als dat allang gevonden zou zijn maar die zat er waarschijnlijk al vanaf het begin af aan in. De grote grap met "openbaar gereviewed" is dat het een redelijk fabeltje is, er zijn maar weinig projecten waar dat (veel) mee gebeurd. De rest is vaak dat de (paar) ontwikkelaars het zelf doen, en dan kom je toch op hetzelfde effect uit als met closed source.

Een quote van OpenSSL ontwikkelaars:
Think about it, OpenSSL only has two [fulltime] people to write, maintain, test, and review 500,000 lines of business critical code.
Ik zeg niks negatiefs over OpenSource software, het is een mooi initatief, en afhankelijk van de grote van het project is het wel zo dat er een kans is dat meerdere ontwikkelaars zich bezig houden met pull requests. Maar bij grote bedrijven is dat ook vaak weer niet anders.

Dus dat.

Mijn voorkeur zou uit gaan naar projecten als .NET Core waar er een betaald team de code beheren maar dat iedereen kan bijdragen. Best of both worlds. Imho.

[Reactie gewijzigd door Da_Teach op 23 november 2020 14:56]

Natuurlijk worden er bugs gevonden, en sommige worden pas naar jaren ontdekt. Dit is alleen niet anders voor closed-source software. Idem voor reviews. Hoeveel closed-source developers hier hebben daadwerkelijk ooit een volledige code-audit gedaan? De verplichte code-review bij het mergen met Git is voor de meeste al een papieren taak.

Zodra je dus concludeert dat zowel closed source als open source bugs hebben, en dat in beide gevallen er met de pet naar wordt gegooit als het op reviewen aan komt, dan gaat het hem vooral in het ontwikkelproces zitten.

De veiligheid van open-source software zit hem in het netwerk dat om het ontwikkelproces hangt. Volgens een meta-analyse stapelt dit voordeel zich over tijd op en is open-source code netto veiliger.
In this section, we can conclude that by keeping the source code opened for any system. It first increases the exposure and then there lies more information regarding vulnerabilities which are available to the attackers. But the exposure appears to be low with closed source systems, but the exposure actually will be more. As for the open source software, only interested parties can access the openness of any system. In the future by keeping the source open the security increases.
https://www.researchgate....Y_OF_OPEN_SOURCE_SOFTWARE
Don't get me wrong, ik ben het in grote delen met je eens. Maar dan voornamelijk als je kijkt naar projecten waar de kern van de ontwikkelaars betaald worden door een bedrijf. Bijv. .NET Core, en blijkbaar als ik @bvdli zijn antwoord lees ook OpenVPN.

Maar het idee dat open source per definitie veiliger is klopt gewoon niet. Kijk verder dan het handjevol grote pakketten zoals OpenVPN, kijk eens naar de wat kleinere waar 1 of 2 ontwikkelaars aan werken in hun vrijetijd. Je gaat er dan impliciet vanuit dat andere mensen uit zich zelf gaan mee draaien in dat ontwikkelproces, door bijvoorbeeld een 'indepent code review' te doen. Dat is gewoon een fabeltje, niemand gaat voor zijn lol 500.000 regels code doorlopen. (en btw met 'handjevol' bedoel ik dat er *veel* meer kleine projecten zijn dan grote projecten zoals openvpn)

Zeker als enterprise gebruiker moet je kijken naar de omvang van de organisatie waar je mee gaat werken (zei het een open source community of een closed source commercieel bedrijf).

Mijn mening is dat bij beide met voldoende omvang de code quality en maintenance wel goed zit. In beide gevallen zal je security issues tegen komen en in beide gevallen worden deze opgelost zodra men deze tegenkomt. Een pull request / code review nalopen in beide gevallen geeft zo goed als dezelfde uitkomst.

Maar dat zorgt er niet voor dat opensoure "per definitie" of "netto" veiliger is. Het betekend dat code waar een subtantiele organisatie achter zit (community of bedrijf) veiliger is.
Het verschil tussen closed- en open source is dat closed source leveranciers meestal contractuele verplichtingen hebben om bugs binnen een bepaalde tijd op te lossen. Bij open source ben je altijd afhankelijk van de community. En voor de mainstream applicaties is de community groot genoeg dus dat zal meestal wel lukken maar bij de wat kleinere projecten moet je maar hopen dat developers het oppakken.
OpenVPN gebruikte voorheen OpenSSL , maar tegenwoordig wordt Mbed TLS gebruikt.

Zowel Mbed TLS als OpenVPN programmeurs zijn betaald door respectievelijk ARM en OpenVPN .
Het voordeel van de service kopen is dat je een support contract kan krijgen.
Voor management zijn open source knutselprojecten meestal een no-go, al is het 10x beter dan een betaald product.
Het een sluit het ander niet uit. Je kunt premium support contracten regelen bij allemaal partijen, zoals een Red Hat, en hier in Nederland kun je prima om te tafel met andere leveranciers en consultancy partijen.

Daarnaast, heb je de voorwaarden van partijen zoals FortiNet daadwerkelijk gelezen? Ze nemen nergens verantwoordelijkheid voor en ze geven je juridisch geen voet om op te staan. Waar open-source tools je geen garantie bieden, zeggen open-source tools ook niet dat ze op elk moment, om welke rede dan ook, hun dienst mogen beëindigen.

Wat er meer mee speelt, is dat management vaak geen gedegen IT achtergrond heeft en dat er in die bestuurslaag veel cargo-culting bestaat. Als bedrijf X het doet, zal het wel goed zijn.
Als je dat toch niet doet omdat het te duur is dan heeft het geen zin dat je die optie hebt. Dan had je beter voor Open VPN kunnen kiezen.
Je kunt je bedrijfsvoering dan ook niet op knutselprojecten baseren. Ik heb het ook van de andere kant een tijdje geleden onderzocht (als leverancier van software). Soms kan het verleidelijk zijn om een stukje open source te gebruiken richting een klant, maar als je je dan vervolgens verdiept in de contracten die er zijn afgesproken, dan loop je vaak tegen clausules aan die je met open source niet kunt garanderen. Je kunt geen back-to-back agreements maken met al je leveranciers, en dat zitten er domweg te grote risico's aan om het te leveren. Dan kan je beter een stukje closed source inkopen met end-to-end ondersteuning (en een escrow contract voor het geval de leverancier omvalt).
Er bestaan toch ook genoeg (goede) betaalde providers? Wat ik lees is klantonvriendelijk. Teveel focus op hunzelf, en niet naar de klant, vandaar de hoge kosten. Wat blijkbaar niet op orde is, is het Service Level Agreement.

[Reactie gewijzigd door Luxicon op 23 november 2020 14:44]

gewoon OpenVPN roepen is gewoon verkeerd. Net een VPN oplossing dient te worden bekeken op voorhand. Daar komt net de sterkte van je IT-departement in beeld. Het hangt van zoveel af dat nu gewoon roepen dat je dit met OpenVPN niet zou hebben gewoon belahcelijk is. Ook de "closed source" vs "open source" en zomaar even zeggen dat dat veiliger is is belachelijk. Want dat is evengoed afhankelijk van bovenvermeld IT departement. OpenVPN had in het verleden ook issues, als de IT'ers daar ook niets mee doen zit je alsnog met een probleem.
Dat is geen vreemd beleid, dat is het verdienmodel. Je gebruikt zo'n router en neemt daar support op. Zodra je hiermee stopt dan houd dat op. Deze support gaat veel verder dan wat je kan verwachten in een huis-tuin-keuken router. Hierdoor is support ook een stuk duurder.

Zodra je geen support afneemt, kun je het beste de hardware ook niet meer gebruiken voor mission critical zaken.
De firmware/software zou eigenlijk gewoon niet onder dat verdienmodel moeten vallen. Garantie, hardwarevervanging, up-to-date signatures, support bij configuratie etc, dat allemaal wel, maar firmware/software (waar zulke kritieke lekken in kunnen voorkomen) zou niet het verdienmodel moeten zijn.

En om eerlijk te zijn, fortinet's software updates zijn nu niet echt het geld waard; gemiddeld gezien zitten er nauwelijks nieuwe features in en is het merendeel bugfixes. Als je apparaat uberhaubt die nieuwe software kan draaien..
Nou dan denk ik dat wij een meningsverschil hebben. Laat ik er duidelijk over zijn dat ik uiteraard niet verwacht dat ze klanten onbetaald gaan ondersteunen. Maar het oplossen van kritieke vulnerabilities is echt belangrijk voor de algemene "internetveiligheid", so to speak. Cisco bijvoorbeeld is bereid een patch te verschaffen buiten een support contract om als je daarmee een kwetsbaarheid wil verhelpen.
Is het geen groter risico voor de algemene internet veiligheid als bedrijfjes dingen gebruiken die ze niet kunnen betalen?
Is het geen groter risico voor de algemene internet veiligheid als bedrijfjes dingen gebruiken die ze niet kunnen betalen?
Eigenlijk wel, maar ik heb nog nooit van m'n leven een organisatie gezien die z'n IT kon betalen. Overal is het halfbakken, tegen beter weten in, roeien met de riemen die je hebt, IT is duur en zit vol fouten. Toch kun je niet zonder. Er is geen goed antwoord.
De gaten die we vinden zo snel mogelijk dichtstoppen is vaak het beste wat we kunnen doen.
Dan ben jij niet bij de juiste bedrijven geweest. Ik ken genoeg bedrijven die er wel serieus mee om gaan.
Zelfs als bedrijf mag je verwachten dat je product werkt zoals verwacht. Bij dit soort kritieke vulnerabilities is gewoon sprake van een ondeugdelijk product, dit dient de fabrikant te fixen.

Dat je geen support krijgt en niet aan het handje wordt meegenomen om de fix te installeren is een ander verhaal. Maar dat ze je chanteren om een critical fix te installeren is echt beneden peil.

Het gaat hier niet om producten van 10+ jaar oud ofzo.
Bij het aanschaffen van het product weet je wat de voorwaarden voor softwareupdates zijn, niks chantage aan. Kan/wil je dat niet betalen, dan is dat niet het juiste product voor jou maar kan je beter gaan kijken naar iets anders.
Onzin.
Dat kan voor nieuwe features, maar kritieke kwetsbaarheden dienen gewoon opgelost te worden.

Stel dat je een auto koopt: na 3 jaar zijn je navi kaarten verouderd en updates moet je betalen. Prima. Van diezelfde auto blijkt de airbag het niet te doen door een constructiefout. De vervanging dien je zelf te betalen: prima. Oh wacht...

Je mag van een product verwachten dat je het een bepaalde tijd kunt gebruiken. Dat er bij veel bedrijven een lucratief support contract onder zit doet daar niets aan af. Zelfs als je zegt dat je geen updates krijgt: dat mag gewoon niet. Tenzij natuurlijk vooraf bekend was dat deze kwetsbaarheid er in zat en dit ook zo is doorgegeven aan de koper.

Ook al zijn bedrijven niet zo goed beschermd als consumenten, dit kun je Fortinet gewoon aanrekenen.
Zelfs als je zegt dat je geen updates krijgt: dat mag gewoon niet.
Ja, dat mag wel.
Ja, dat mag wel.
Uit: https://www.absoluteadvoc...initie%20Non-conformiteit
In de wet is geregeld dat een gekocht product aan de tussen koper en verkoper gesloten koopovereenkomst moet beantwoorden. Als dat niet het geval is, is het geleverde product non-conform.

Een product beantwoordt niet aan de overeenkomst indien deze niet de eigenschappen bezit die men op grond van de overeenkomst mag verwachten. Hierbij geldt dat een koper in ieder geval mag verwachten dat het product voor normaal gebruik geschikt is. Ook mag de koper verwachten dat het product voor bijzonder gebruik geschikt is indien dit bij het sluiten van de koopovereenkomst is afgesproken. Bij de beoordeling hiervan spelen de aard van het product en de mededelingen die de verkoper heeft gedaan een rol.
Gezien je op basis van het huidige lek het product eigenlijk weg moet gooien mag het dus niet. Ook niet als de verkoper in de koopovereenkomst zet dat er geen updates worden uitgebracht.
Gelukkig is dit een enterprise product, en is een geldig supportcontract onderdeel van "normaal gebruik".
Ik denk dat je daar een hele mooie paper over kunt schrijven.
Dit zijn echt de kip ei verhalen en vragen en dus zeer interessant.
Het zou een mooie optie zijn om bij zulke lekken zonder support contract een patch te kunnen verkopen.
Aan de andere kant; je koopt een duur apparaat, mag je ook wel verwachten dat je software een beetje secure is, zeker bij een firewallboer.
Dit soort zaken dragen zeker niet bij aan de reputatie van zo'n firewallboer. Afgelopen jaar paar serieuze kwetsbaarheden, vals gevoel van veiligheid. Je had er net zo goed een switch kunnen neerzetten.

Naar mijn mening is het gevaarlijker dat grote machtigere bedrijven zaken niet regelen die ze horen te regelen, zoals patchen, life cycle management. (opruimen van oude rommel en niet gesupporte software) en kwetsbaarheden tests.
Ik vind dat huilie doen omdat ze te grazen genomen worden, terwijl ze weten de bovenstaande zaken makkelijk hadden kunnen doen zo ongelooflijk triest.
In de praktijk beginnen consumenten wel geen vertrouwen meer in jouw VPN oplossing te houden als je niet continue update.
Dat ze geen maintenance betalen denkt de klant niet aan, hij ziet enkel het resultaat en schade, die bij een concurrent misschien niet gebeurd, denk aan open source oplossingen
Ook bij Cisco moet je goed je best doen om die patch te krijgen (je moet sws je best doen om bij Cisco iets te vinden).
Maar kleine bedrijfjes hebben doorgaans kleine firewalls, en die kunnen die 100 euro per jaar best ophoesten.
Voor de algemene internetveiligheid is het mijns inziens beter dat kleine bedrijven zich bezig houden met hun core business en als dat niet netwerkbeheer/firewallbeheer is dit uitbesteden aan een MSP of zakelijke ISP. Daarmee voorkom je ook de discussie over support kosten, die zitten gewoon in de maandprijs verwerkt.

Tegen de kortingen die MSP's en ISP's krijgen op hardware en support kan een klein bedrijf immer nauwelijks op. Dus dan kun je er beter van "genieten" door een relatief lage, vaste maandprijs.
Daarmee voorkom je ook de discussie over support kosten, die zitten gewoon in de maandprijs verwerkt.
Tuurlijk, je kan elke discussie in dezen afschuiven naar 'je moet gewoon meer betalen'.
Als het waar is wat Monchrome schrijft ("...de patch is alleen beschikbaar voor bedrijven met een lopend supportcontract"), vind ik dat dat niet klopt. Security-updates zouden m.i. altijd gratis beschikbaar moeten zijn. Je verdienmodel (deels) baseren op (updates voor) fouten in je eigen software, vind ik verwerpelijk.
Natuurlijk, het kost een fabrikant geld om je software bij te werken als er gaten gevonden zijn. Maar dan had je maar niet van die brakke software moeten schrijven...
Zelfs de beste software is niet foutloos. Het businessmodel verschilt gewoon per bedrijf, de ene biedt relatief gezien goedkoper hun hardware hardware en vereist een support contract voor de updates en de ander verkoopt duurdere hardware en levert de patch gratis.

Heeft niets met brakke software te maken.
Het businessmodel verschilt gewoon per bedrijf
Ja, en?
Ik ben er voorstander van dat updates voor het dichten van gevonden gaten gratis moeten zijn. Wettelijk.
En dat mag, ben daar ook niet op tegen, maar het is in ieder geval op dit moment niet de realiteit.
Ha,

Je kunt stellen dat zo'n kwetsbaarheid een defect is in het originele apparaat dat je hebt gekocht. Een auto krijgt ook een terugroepactie buiten de reguliere support om, wanneer er een defect in zit die de verkeersveiligheid beinvloed.

De fabrikant maakt de patch hoe dan ook. Ik vind dat ze die ter beschikking zouden moeten stellen aan iedereen, niet alleen klanten met support.
Als belangrijke patches zowel aan betalende als niet betalende klanten ter beschikking worden gesteld, waarom zouden klanten dan nog betalen voor support?

Vergelijken met een auto raakt kant noch wal. Dat is hetzelfde als een terugroepactie op gaan starten voor een oldtimer, omdat er geen ABS systeem op zit. Die auto rijd ook nog gewoon op de openbare weg, net als die router nog steeds actief is op het internet.

Als je dit soort support gaat afdwingen, dan dwing je ontwikkelaars ook om véél minder produkten uit te brengen, want elk produkt kost jaren later nog bakken geld aan support en patches en onoplosbare en overwachte beveiligingsrisico's. Kans bestaat zelfs dat het met de huidige hardware niet eens is op te lossen. Dat valt toch niet te verkopen?

Als je als bedrijf een router koopt voor 5 jaar, moet je daar gewoon 5 jaar support bij inrekenen. Als je dat niet wilt, dan moet je op zoek gaan naar een alternatief, maar dan kan je nog wel eens van een koude kermis thuiskomen.
Als belangrijke patches zowel aan betalende als niet betalende klanten ter beschikking worden gesteld, waarom zouden klanten dan nog betalen voor support?
Precies: je betaald support. Ondersteuning dus. Dat kan zijn dat je recht hebt op nieuwe features. Het kan zijn dat je ondersteuning krijgt als er ergens een missconfiguratie is of er iets plots niet meer werkt door een configuratiefout. Het kan zijn dat er een dienst geleverd wordt die kijkt of alle patches wel geïnstalleerd zijn. Noem het maar op. Daar betaal je support voor. En ná de lifecycle van een product kan support er voor zorgen dat je nog recht hebt op bepaalde kritieke patches die je anders niet meer had. Maar dat mag niet zo zijn bij een product welke je een maand daarvoor hebt aangeschaft.
Vergelijken met een auto raakt kant noch wal. Dat is hetzelfde als een terugroepactie op gaan starten voor een oldtimer, omdat er geen ABS systeem op zit. Die auto rijd ook nog gewoon op de openbare weg, net als die router nog steeds actief is op het internet.
Mijn Mitsubishi Galant uit 2003 werd in 2017 nog teruggeroepen omdat de airbag mogelijk niet goed functioneerde. Dit is bij een Firewall minder, maar zeker geen paar maanden.

Je vergelijking met ABS raakt kant nog wal: dat zou in het geval van een Firewall een feature zijn die later is toegevoegd. Dat heeft niets met de originele functionaliteit te maken.
Als je dit soort support gaat afdwingen, dan dwing je ontwikkelaars ook om véél minder produkten uit te brengen, want elk produkt kost jaren later nog bakken geld aan support en patches en onoplosbare en overwachte beveiligingsrisico's. Kans bestaat zelfs dat het met de huidige hardware niet eens is op te lossen. Dat valt toch niet te verkopen?
Jawel hoor. Cisco doet dit, CheckPoint doet dit in mindere mate, Microsoft doet dit, etc.. En als reactie op je 1e zin: dan dwing je ontwikkelaars om veel minder producten uit te brengen. Klopt. Lijkt me ook goed, als je telkens producten op de markt brengt om deze te vervangen door een andere als er bugs in blijken te zitten dan vraag je daar ook om. Het testen van software lijkt tegenwoordig wel gedaan te worden door de eindgebruiker. Slechte zaak.
Als je als bedrijf een router koopt voor 5 jaar, moet je daar gewoon 5 jaar support bij inrekenen. Als je dat niet wilt, dan moet je op zoek gaan naar een alternatief, maar dan kan je nog wel eens van een koude kermis thuiskomen.
Die afweging is aan het bedrijf zelf. Maar je dient in beginsel wel een deugdelijk product te kopen. Stel je voor dat ik dé Expert ben op het gebied van Fortigates. Niemand weet er meer van. Ik heb nooit ondersteuning van een helpdesk ofzo nodig: die bellen mij. Vervolgens moet ik een support contract afsluiten om toegang te krijgen tot een kritieke fix?

Cisco, Microsoft, Checkpoint, etc.. Allemaal bedrijven die kritieke fixes leveren buiten een support contract om. Daar zit natuurlijk wel een grens aan: als je product meer dan 10 jaar oud is en je het hebt aangeschaft nadat de end of life al bekend was bijvoorbeeld. Maar daarvan is hier geen sprake.
Dat is geen vreemd beleid, dat is het verdienmodel. Je gebruikt zo'n router en neemt daar support op. Zodra je hiermee stopt dan houd dat op. Deze support gaat veel verder dan wat je kan verwachten in een huis-tuin-keuken router. Hierdoor is support ook een stuk duurder.

Zodra je geen support afneemt, kun je het beste de hardware ook niet meer gebruiken voor mission critical zaken.
Er moet gewoon een nieuwe wet komen zodat de bedrijven worden gedwongen om een gratis patch voor iedereen uit te brengen. NIEMAND mag daar om geld vragen, want veiligheid is 10000000% keer belangrijker dan geld!
Tenzij een product End of Life bereikt, dan is het niet meer nodig... De klanten kunnen beter zo snel mogelijk nieuwe producten aanschaffen.
Je snapt dan zelf wel dat als jij voor onbeperkte tijd gratis patches wil ontvangen op je product, dat dan ook dat product een factor 10 duurder gaat worden, want dan wordt het support contract gewoon meegerekend in de aanschafprijs. Die programmeurs die de patches schrijven willen daar namelijk ook gewoon loon voor hebben.

Dus uiteindelijk betaal je het toch wel. Daarnaast komt dan de EOL gewoon veel eerder (want anders worden de producten te duur) en mag je elke 3 jaar een nieuw product kopen.

Dat jij geen support contract koopt is een bewuste keuze bij de aanschaf. Jij wil geen geld betalen voor support en de programmeurs betalen om die patches te schrijven.
Je snapt dan zelf wel dat als jij voor onbeperkte tijd gratis patches wil ontvangen op je product, dat dan ook dat product een factor 10 duurder gaat worden, want dan wordt het support contract gewoon meegerekend in de aanschafprijs. Die programmeurs die de patches schrijven willen daar namelijk ook gewoon loon voor hebben.

Dus uiteindelijk betaal je het toch wel. Daarnaast komt dan de EOL gewoon veel eerder (want anders worden de producten te duur) en mag je elke 3 jaar een nieuw product kopen.

Dat jij geen support contract koopt is een bewuste keuze bij de aanschaf. Jij wil geen geld betalen voor support en de programmeurs betalen om die patches te schrijven.
De meesten betalen geen support meer omdat hun support prijzen belachelijk en buiten proporties te hoog zijn. Daarmee geven ze een middelvinger aan dure support, wel zonde van hun support imago.
Het zal hen zwaar schaden, want daarna gaan ze hun producten niet meer afnemen... gevolg bedrijf failliet.
Dus als ze slim waren, moeten ze gewoon gratis support blijven geven, de klanten gaan het meer waarderen, dus het bedrijf verkoopt meer producten door de waardering van de klanten!
De verkoop van de hardware verdienen veel bedrijven maar weinig geld aan. De support daarvan moeten die bedrijven het hebben. Zomaar roepen dat de support maar gratis moet getuigt niet van heel veel inzicht i.m.h.o. & n.o.f.i.
Zo'n ding kopen zonder supportcontract, da's pas vreemd beleid. Van de klant. Koop het dan niet. Je weet gewoon dat zo'n ding weinig nut heeft voor je security als je 'm niet laat supporten. Misschien heel even, maar je hebt toch echt updates nodig om 'm, tsja...hoe zal ik het zeggen...up to date te houden...
Daarnaast zitten alle NGFW oplossingen bij Fortigate (Antivirus/Web filtering etc) in bundels (mogelijk alleen het eerste jaar kosteloos na aanschaf). Zonder deze bundels ben je een stuk kwetsbaarder dan met.
Fortinet is in mijn ogen juist een van de goedkopere oplossingen, zowel qua producten als qua support kosten.

Daarnaast, ondanks dat het technisch mogelijk is, ben je als bedrijf natuurlijk niet al te slim bezig als je een product aanschaft zonder daar support bij aan te schaffen.

In mijn ogen is er geen echt excuus om niet te hebben gepatched behalve organisatorisch wanbeleid of luie sysadmins.
Fortinet was één van de goedkopere oplossingen. Dat zijn ze intussen niet meer, en zeker de prijzen van hun support swingen de laatste jaren de pan uit. Wij gaan alvast de markt nog wat grondiger verkennen voor onze volgende firewall.
Dat is bij mijn weten het beleid van elke software leverancier die met perpetual en support contracten werkt, en is geen excuus voor het niet patchen.
Behoorlijk prijzig? Voor een instapmodel firewall zoals een 60E kost dit zo'n 125 euro per jaar. Voor een mid range model zoals een 100E zo'n 375 euro per jaar. Dat zijn toch geen astronomische bedragen en daarvoor krijg je ook 24x7 support en hardware insurance.
Dit beleid is overigen ook zeer gewoon en wordt door de meeste bedrijven zo gevoerd.
Inderdaad heel vreemd beleid van Fortinet. Dit geeft het merk toch niet bepaald een betere naam. Aan de andere kant, stond vroeger de download pagina niet toe het bestand te downloaden, maar gaven ze wel de sha1 van de files vrij. Die hashes waren perfect om te googlen en ergens anders binnen te trekken. Vervolgens kon je valideren of het legitiem was met de sha1. Niet chique, absoluut, maar hun beleid is dat ook niet.

Blijft belachelijk dat ze een kritische patch niet gewoon simpelweg uitleveren. Dat ze het voor oude hardware niet maken, fair enough, maar simpelweg wel maken maar niet verspreiden is belachelijk.

Disclaimer voor moraal de ridders; Dit was voor een fortinet die afgedankt was en niet zakelijk werd gebruikt
Dit is wel een simpele stelling. Je slot is verouderd, dus je fiets is gestolen, eigen schuld. Zo makkelijk is het niet altijd om altijd 100% up to date te zijn.
Ik beheer meerdere fortigates. Zo makkelijk is het bij fortinet dus wel.
Grote organisaties: gewoon onderhoud aankondigen, verwachte downtime is geen, want deze bedrijven gebruiken een fortigate HA cluster.
Kleine bedrijven, opbellen, uitleggen en een afspraak maken om de fortigate remote te updaten.
Aankondigen dat er op genoemde datum en tijdstip (bij voorkeur dus in de vroege avonduren) even geen internet verbinding is en natuurlijk afspreken dat je naar de locatie kunt komen en dat er op dat moment een contactpersoon aanwezig is, mocht er iets mis gaan met de update (wat mij nog nooit is overkomen in ruim 8 jaar met gewerkt te hebben met dit merk).
Dat is wel erg kort door de bocht: patch komt 9:00 uit, dan verwacht jij dat de hele wereld gepatcht heeft tegen 10:00?

Zo werkt dat niet in de echte wereld: patchen wordt ingepland gezien service onderbrekingen aangevraagd moeten worden en vaak gaat er een testprocedure aan vooraf.

Daarenboven worden een hoop bugs pas ontdekt nadat ze "in het wild" misbruikt worden, dus kan je hoe snel je ook patcht toch nog getroffen worden daardoor.

Anderzijds is er uiteraard geen excuus om een jaar of meer achter te lopen met patches.
In dit geval 12 maanden. Moet toch genoeg zijn om de patch te draaien indien beschikbaar.
Anders opzoek naar een andere vpn concentrator. Wat ook wel moet lukken in 12 maanden.
Zie mijn laatste paragraaf: inderdaad geen excuus om meer dan een jaar achter te lopen.

Ik heb gewoon bezwaar tegen de ingesteldheid "even snel patchen, rebooten en mocht het niet werken dan stap ik vandaag nog over naar iets anders". Dat gaat thuis, maar niet op een bedrijf.
Gelukkig is het relatief eenvoudig om een Fortigate te patchen en/of een rollback te doen.
Een MKB-er heeft dan misschien een Fortigate enkel uitgevoerd, maar als je wat groter bent, zul je een HA active-passive Fortigate opstelling hebben.
Daarbij kun je dus gewoon de passieve node updaten en rebooten, failover doen, daarna de andere node updaten. Downtime voor een geplande failover is minder dan een halve seconde.Daar merk je tijdens een VC weinig tot niets van.
De schuld ligt natuurlijk bij de hackers. Maar eens dat je als bedrijf verantwoordelijk bent voor het up-to-date houden van je software, zeker VPN software.
Waar kan ik die lijst vinden/controleren of een bedrijf er tussen staat?
Geen idee of het mag, maar er staan alleen maar IP's op, dus echt een probleem is het niet lijkt me:

*knip*

Admin-edit:Nee dat zien we liever niet. Als onze redactie zo'n directe link niet geeft naar zo'n lijst, dan vermijden we deze ook in de reacties.

[Reactie gewijzigd door Cloud op 23 november 2020 09:34]

Het beleid is om het niet te noemen, IP adressen kunnen dmv rdns ook makkelijk vertaald worden naar bedrijfsdomeinnamen. Daarbij noem je nu het directe adres van targets. waarbij met DNS deze makkelijker naar een andere bestemming gerouteerd kunnen worden.
Bedankt voor het delen :)
Daar ben ik ook benieuwd naar..
Ik neem aan dat deze lijst op korte termijn wel weer in https://haveibeenpwned.com/ wordt opgenomen.
Dat denk ik niet, er staan namelijk geen e-mail adressen in de lijst.
De site heeft ook een password database waar je mee kunt matchen.
Ja, maar dat zegt niet veel over om welk account het gaat. m.a.w. je kan er niet mee achterhalen of jij impacted bent.

Er zijn alternatieven zoals spycloud welke meer en betere inzichten bieden.
Als het goed is zegt het exact over welk account dat gaat, je hebt als het goed is een uniek wachtwoord per account. Want wachtwoorden recyclen, dat doen we niet, toch? ;-)
Dat betekend nog steeds niet dat het MIJN account is. Odds are dat iemand anders het zelfde wachtwoord heeft gebruikt. Daarnaast, het gaat hier om bedrijven en VPN accounts van medewerkers (en die zijn echt voornamelijk niet random generated).

Tuurlijk, als iedereen een random generated >20 karakter wachtwoord gebruikt zou het mogelijk zijn, maar dat is niet zo.

[Reactie gewijzigd door Jay-v op 23 november 2020 10:23]

Odds are dat iemand anders het zelfde wachtwoord heeft gebruikt
Dan is je wachtwoord waarschijnlijk niet goed genoeg.
Ik ken de Forinet VPN software niet, dus vul me vooral aan, maar is het niet zo dat bij de meeste VPN software de username/pass)(/key) aangeleverd wordt door een netwerk beheerder?
Meestal kunnen gebruikers dit soort wachtwoorden niet kiezen/wijzigen zou ik denken (om dit soort dingen ook te voorkomen natuurlijk).

Maar het kan dat ze dit 'user friendly' gemaakt hebben, met dergelijke gevolgen.
Nee, vaak gaat dit via Radius (AD, NPS), of via pin+token (RSA / Yubi etc).
Ja, maar dat zegt niet veel over om welk account het gaat. m.a.w. je kan er niet mee achterhalen of jij impacted bent.
Je kunt wel achterhalen of jouw password breached is. En als jouw wachtwoord in zo'n lijst opduikt is het sowieso verstanding om 'm te veranderen, of dat wachtwoord nou ook daadwerkelijk van jouw account was of niet.
Ik baseer me op de tweets van die onderzoeker, die deelt het forum waar het op staat zelf niet. Zelfs als hij dat wel zou doen is het ons beleid om het dan niet zelf te noemen vanwege de veiligheid.
Dus je plaatst er wel een screenshot bij van bv 'nulled.Xx' of 'hackforums.xx' ?

De username van de poster staat in het plaatje. De topic van zijn post staat in het plaatje. Zelfs mijn 9 jarige zou die twee gegevens aan elkaar kunnen koppelen.

Dan halen jullie linkjes weg onder het mom van de veiligheid maar dat is gewoon kul. Het plaatje geeft alle info die ieder nodig heeft.

Daarbij zijn er 1000 sites zoals deze hierboven en op alternatief internet eea i2p/tor/freenet waar dagelijks dit soort dingen worden gepost. Nog niet eens hebben over shodan.hq wat heel het internet afscanned op bv versies van bepaalde software.

Enige wat deze persoon heeft gedaan is een scriptje geschreven wat de info uitleest zodat hij er wat geld mee kan verdienen en het is meteen 'nieuwswaardig' hier op tweakers.

Gaan we straks ook nog berichten krijgen over Terminal service computers (port 3389) waar men NTLA uit heeft staan en je dmv 5x shift een command prompt kan krijgen ?

Typisch tweakers. scheinheilig doen over veiligheid en regeltjes ,maar intussen zelf amper de scope kennen van wat ze in een plaatje laten zien.
Als mede-Tweakers de link al kunnen vinden, mensen met kwaad in de zin komen er dan ook wel achter.

Ik snap de keuze vanuit Tweakers.net, maar het is een beetje security through obscurity idee dit.
Dat mensen het zelf kúnnen vinden is voor ons geen argument om het maar te doen. Ik heb ook niet de illusie dat het hiermee een goedbewaard staatsgeheim blijft maar het is gewoon beleid niet naar dergelijk materiaal te linken.
ik weet dat het vanwegen het beleid niet in het artikel komt, maar ik hoop dat er een medetweaker is die dit toevallig ook weet.
In het verleden heeft tweakers al eens reacties aangepast, omdat die linkte naar data.
Dus hoop daar maar niet te hard op.


/edit *lol*
@Volk heeft dus een admin-edit te pakken, voor het plaatsen van een link.
Volk in 'nieuws: Lijst met 50.000 inloggegevens van bedrijven met Fortinet-vp...

[Reactie gewijzigd door wica op 23 november 2020 20:13]

Dit heeft NIETS met censuur te maken, tweakers is een online technieuws/review bedrijf en mag zelf bepalen wat er wel en niet op hun platform komt. Wanneer leren mensen is dat een reactie mogelijkheid onder een nieuwsartikel gewoon aan de voorwaarden van het bedrijf moet voldoen?
"Dat is niet aan jullie om te bepalen!" dat is het juist!
En voor de mensen die deze lijst zoeken, kijk op tor/darknet.
Dat is hetzelfde als zeggen dat men de lijst op het internet moet zoeken. Ik hoef in ieder geval niet in de keukenkastjes te kijken maar verder ben ik vrij weinig in de juiste richting geholpen. ;)
De lijst is geindexeerd door een derde partij:
*edit* zie dat admins de lijst eerder al verwijderd hebben. Check https://twitter.com/_IntelligenceX voor de geindexeerde links voor de geinteresseerde.

Lees hieronder dat het, zelfs als het openbaar was, niet gedeeld zou worden vanwege de veiligheid. Ons moederbedrijf heeft een Fortinet VPN endpoint dus voor de veiligheid wou ik het juist in zien. Gelukkig staan wij er niet tussen. Hoop dat het posten van de links geen regels overtreedt.

[Reactie gewijzigd door noskill op 23 november 2020 11:15]

Een VPN met simpele wachtwoorden ipv 2 factor authentication is ook vragen om problemen lijkt me.
Een systeem die wachtwoorden in plaintext opslaat is al sinds 1980 niet nodig en niet veilig.

Mijn msx-2 computer had een wachtwoord beveiliging die al niet in plaintext was. Die is met de huidige systemen eenvoudig te kraken, maar toch is ze niet eenvoudig terug te converteren.

De wachtwoord systemen van unix en minix uit die tijd (dus ruim voor Linus met Linux begon) hadden ook al een wachtwoord versleuteling die geen plaintekst wachtwoorden gebruikt.

In alle gevallen wordt het wachtwoord gecontroleerd door de versleutelde wachtwoorden te vergelijken. In veel gevallen is die versleuteling niet eens terug te rekenen naar het originele wachtwoord.

En over 2fa en mfa authenticatie: Met een vpn verbinding ben je nog niet binnen in de systemen, de vpn toegang is vaak onderdeel van de mfa: Eerst toegang tot de vpn en daarna doorgaan naar de systemen.
Die bug hebben we bij alle klanten (toen ik nog werkte bij mijn vorige werkgever) allemaal gepatcht begin september 2019, toen zijn we enkele avonden bezig geweest met meerdere personen om iedereen te patchen. Dacht even dat het om een nieuwe ging.
Ik sta er niet van te kijken. Ook een tijdje het genoegen mogen hebben om dit te gebruiken en ik vond het een houtje-touwtje systeem. Gaf me absoluut niet het gevoel dat het veilig was.
In dit geval ligt het probleem totaal niet bij Fortigate. Die hebben het al lang en breed opgelost.
Je moet je gewoon zorgen gaan maken om het patch beleid bij bedrijven. En dan nog verbaasd zijn als ze ineens ransomware op de systemen hebben dat tonnen kost om te verwijderen en de systemen weer opnieuw op te zetten en alsnog te gaan patchen.

Bij Windows patches en 3rd party software precies hetzelfde. De meeste bedrijven halen het gewoon niet om patches binnen een maand uit te rollen. Een groot deel patched na meer dan 90 dagen pas. Dan ben je gewoon 2,5 maand vatbaar voor een exploit. Gemiddeld duurt het 14 dagen voor een exploit is geschreven en gebruikt wordt in aanvallen nadat een patch uitgebracht is en bekend is wat die patch doet.

En dit is niet de eerste keer dat we dit zien. Vorig jaar december was precies hetzelfde toen de Citrix gateway een probleem had. Ja het was een vervelende tijd rond kerst, maar dat is geen excuus om een high priority patch niet in te schalen en gelijk uit te rollen rond die tijd of in ieder geval de workaround (die maar een paar minuten kostte om te implementeren en geen downtime had) gewoon niet door te voeren.

Een jaar niet updaten terwijl er een patch is, is gewoon not done. Ik kan gewoon geen medelijden hebben met de bedrijven die nu in deze lijst staan.
Mja maar dit gaat ook om hoe makkelijk het is om nieuwe updates uit te rollen en hoe makkelijk je in kunt springen op problemen. Het bouwt ook allemaal weer eigen protocollen die dan weer matig getest worden, waardoor je al snel je netwerk open zet voor hackers.

Tuurlijk, dit valt ook bij de bedrijven aan te rekenen, maar veel van dit soort deuren zou ook helemaal niet open mogen staan.
Leuk, wij gebruiken fortinet. En omwille van een fusie en dus mensen die op meerdere domeinen werken moeten ze tijdelijk hun wachtwoorden niet veranderen omdat de eindgebruikers niet altijd kunnen bijhouden waar welk wachtwoord van toepassing is. Los van dat we het fixen had de IP lijst dus direct een meerwaarde kunnen zijn om te zien of we er tussen zitten. Maar die blijkt nergens meer te vinden. :/
Deze bug is alleen op jullie van toepassing als de software op jullie Fortigates al anderhalf jaar niet geupdatet is. Ik acht de kans dan ook klein dat jullie getroffen zijn.
De reacties over wel of geen support zijn wel grappig eigenlijk. Zeker in de wetenschap dat veel mensen hier hun salaris te danken hebben aan service- en supportcontracten die hun werkgever met klanten heeft afgesloten.
Worden wachtwoorden de dag van vandaag nog altijd in plaintext opgeslagen?

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True