Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties
Bron: Security Focus

Wederom is er een lek in Hotmail gevonden waardoor Hotmail-gebruikers de e-mail van anderen kunnen lezen. Een hacker van de groep Root-Core vond het gat en geeft nadere uitleg op zijn site. Hoewel het dus mogelijk is voor Hotmail-gebruikers om berichten van andere Hotmail-accounts op te vragen is er geen direct gevaar. Omdat elk bericht een ID met zich meedraagt bestaande uit een getal van 9 + 2 cijfers, is de kans betrekkelijk klein dat er snel informatie op straat komt te liggen. Er zit weinig logica in de opbouw van de message-ID's zodat elk getal handmatig geprobeerd zou moeten worden. Om je hierbij enigzins te 'helpen' is er op de site van Root-Core wel een scannertje te vinden .

Of het 'truukje' nog lang zal werken is onduidelijk, Microsoft is door Root-Core direct ingelicht over het veiligheidsgat. [Update], volgens de laatste info van Root-Core is het opvragen van andermans berichten niet meer mogelijk. Meer informatie lees je bij Security Focus, opgestuurd door Wouzer en Jep.

MSN Hotmail interface juli '01
Moderatie-faq Wijzig weergave

Reacties (61)

Ik snap niet dat Hotmail / Microsoft altijd het doelwit is. Natuurlijk zijn ze de grootste, maar juist daarom besteden ze extra veel aandacht aan beveiliging.

En aangezien zelfs die beveiling, volgens mijn redenering dus een hele goede, wederom niet toereikend blijkt te zijn, vraag ik me serieus af hoe het met de duizenden andere, gratis emailproviders gesteld is.
Er zijn ook gratis e-mail verstrekkers die het uitstekend doen. MyRealBox van Novell heeft geen spam-problemen en heeft een uitstekende security.

Het vervelende is dat Microsoft als leverancier van Hotmail ook verantwoorderlijk is voor zeer belangerijke projecten als Microsoft Passport. Alle Hotmail gebruikers hebben nu ook een Microsoft Passport account. MS Passport als centraal inlog-systeem is een zeer gewild doelwit van hack-pogingen.

De berichten over Hotmail en andere Microsoft producten zetten je wel aan het denken over Microsoft Passport. Pas is er door een groep onderzoek gedaan naar de opzet van MS Passport (dus niet naar de implementatie, die ook nog bugs kan bevatten). Ze hebben op een zeer professionele en onafhankelijke manier het MS Passport systeem beoordeeld: http://avirubin.com/passport.html

Op GoT is naar aanleiding van dit artikel trouwens een interessante discussie gestart, met tot nu toe nog niet al te veel input :) :
is dit nu een lek in de software op de hotmail servers? die draaiden toch onder FreeBSD of iets dergelijks? Of is het wel een fout van Microsoft's eigen software?
De meeste servers van hotmail zijn inmiddels gewoon Windows. Al schijnt er nog wel eens eentje niet windows tussen te zitten, maar dat heb ik alleen van horen zeggen. :)
de servers zelf draaien op freeBSD, enkel de main gateway draait op windows2000 professional (daarom wordt je je na inloggen direct doorgerout naar van die subdomeinen als law5.hotmail.com)

echterdit betreft geen hack op OS-level, het betreft gewoonweg een domme fout doordat op basis van de messageID's berichten op te vragen zijn.

kennelijk zit er geen authenticatie op het moment van opvragen van de berichten content, dat is een hele slordige fout, en doet veel vrezen voor de betrouwbaarheid van .NET, immers de core van hotmail is daarop gebaseerd, als daaromtrend problemen zijn met de authenticatie is dat een heel groot probleem.

overigens is het http-protocol op het gebied van authenticatie ook niet altijd even krachtig, reden voor IBM om een specifiek protocol te ontwikkelen met meer authenticatie-methodes
en doet veel vrezen voor de betrouwbaarheid van .NET
Dit probleem heeft weinig met de betrouwbaarheid van .NET te maken. De .NET CLR levert slechts op een zeer laag niveau (niet bedoeld als slecht niveau) beveiliging. Dit is in feite hetzelfde als de beveiliging in het Java platform (zonder uitspraak te doen over de verschillen in beveiliging).

Dit is gewoon een grove implementatie fout in Hotmail, die elk platform zou moeten toestaan. Een framework of platform kan hier niet op controleren. Een Hotmail systeem gebaseerd op Java Servlets zou exact dezelfde fout kunnen bevatten als de implementatie maar slecht is.
Dat het op een basis van ID gebeurt heeft er waarschijnlijk mee te maken dat dit nodig is voor mensen die browsers gebruiken die geen cookies ondersteunen, dit betekent dat je dus gebruik gaat maken van een ID. Deze ID is dan op dat moment het enige punt waarop te controlleren is. Overigens hebben zoveel grote sites dit mechanisme. Dat er kennelijk manieren zijn om dit ID te 'raden' is niet zo mooi.
sjors,
als ze gebruik zouden maken van een simpel session id is dit probleem al niet aan de order.

je kunt met een lange session id string (26*2+10 (uppercase/lowercase/cijfers) ^ 30 tekens bijv. =) heeeeeeeeeeeel veel combinaties maken die echt niet met louter proberen geraden worden... dat werkt toch wel iets mega veel veiliger dan een message id.

zo'n id geef je gewoon mee in urls natuurlijk, en dus heb je geen cookie nodig.
info behorende bij je session id sla je gewoon lekker op in je database...
Dan moet je toch maar eens wat gaan lezen over session id's, een session id is een koppeling tussen een id op de server en de user, echter hiervoor moet nog steeds gebruikt worden gemaakt van een client side cookie, echter ik meen dat nieuwere versies van IE een soort van tussenoplossing hebben waar geen echt cookie meer wordt gezet.

Ik heb even een artikel voor je opgezocht waar het wordt uitgelegt :

http://www.4guysfromrolla.com/ASPScripts/PrintFAQ.as p?FAQID=30
Ook bij browsers die geen cookies gebruiken kan je ook gebruik maken van session ID's. Je moet dan wel gebruik maken van server-generated pages, bijvoorbeeld met php of asp. De session ID's moet je dan in de URL meegeven, bijvoorbeeld index.php?ID=12345
De webserver krijgt zo het ID en bouwt aan de hand daarvan de pagina op. Bovendien kan het ID dan ook aan de links die op de gemaakte pagina staan worden meegegeven, zodat het aan eventuele opvolgende pagina's weer wordt doorgegeven
dank je wel freak...
tis nu duidelijk, sjors ? prima ventje, je hebt nog veel te leren ;) *tap* *tap*
...waarop Microsoft/de overheid klacht zal indienen wegens schending van de DMCA ofzo...

Ik vraag me trouwens af hoeveel van die miljoenen Hotmail gebruikers weten dat de service zo lek is als een zeef; zulke security-related berichten halen toch nooit de gewone media. Diegenen die het lezen, zijn zowiezo al slim genoeg om geen account te nemen bij Hotmail :)
Och, ik vind dat hotmail het best aardig doet. Ze zijn gewoon de grootste en daarmee ook een gewild doelwit voor hackers. Best netjes hoe snel ze het weer hebben opgelost toch?
Je neemt toch zowizo enkel een freemail (hotmail) voor onbelangrijke dingen ? Ik kan me niet voorstellen dat iemand die zo'n belangrijke info in zen mailbox krijgt geen pop account met ssl gebruikt. Je weet op voorhand (door het lezen van de user agreement) dat hotmail niet verantwoordelijk is voor zulke dingen.

Mijn hotmail adressen mogen ze in elk geval rustig hacken :)
Nou wat mij beterft mogen jullie mn junkmail allemaal lezen hoor ;) Maar of je er iets boeiends tussen vind vraag ik mij af }>
Ik heb het net dus geprobeerd (ooooooh!! dat mag niet!!! :) ) En volgens mij werkt het niet meer. Op de site van root-core staat ook al dat het gat zeer waarschijnlijk al gedicht is door Hotmail..
De kans dat je een message vind is ook zeer klein. Op securityfocus is al dit al lang besproken en al oud nieuws. Het ID is een unix time stamp (waarschijnlijk) dus je zou op een paar miliseconde nauwkeurig moeten gokken wanneer een berichtje is aangekomen van iemand anders.

Bad luck dus. :)
Ha, maar niet als je je eigen meelbox probeert te hacken. Dan kun je van te voren namelijk uitzoeken van het MSG id is :)
Maar goed, zelfs dan werkt het niet..
dat lijkt me heel erg twijfelachtig
een UNIX timestamp is allerminst een ID immers in zijn geheel niet uniek, daarnaast betreft een unix timestamp het aantal secondes na 1jan1970, en er draaien waarschijnlijk nogal veel processen binnen 1 seconde op alle hotmail-servers.

een redelijk goede methode om een lastig te raden, uniek ID te maken is een timestamp, het processID en ip aan elkaar zetten en dat dan md5 hashen.

zoiets is lastig te raden en uniek echter nog altijd van buitenaf op te vragen, en dat is de grootste blunder, als microsoft slim was werkten ze met een betere authenticatie, verwerken van het IP van de client in de request en vervolgens een serverside controle van dit IP en of die persoon onlangs legaal ingelogd is, en dus recht heeft dat bericht te lezen.

als dat niet gebeurt (wat kennelijk dus niet zo is) is dat erg amateuristisch
From that link change values:
MSG943322803%2e16 (Message id number, its simply a counter. %2e=.)
username (Hotmail account name to view)
het ID is dus een dom countertje ... tja daar heeft iemand zitten slapen :Z
Gelukkig dat er hackersgroepen zijn die dit naar buiten brengen. Scripkiddies/crackers zouden het voor andere doeleinden hebben gebruikt.
Gelukkig dat er hackersgroepen zijn die dit naar buiten brengen. Scripkiddies/crackers zouden het voor andere doeleinden hebben gebruikt
Beetje overbodige info, echte hackers hacken niet om aan allerlei informatie te komen en die te gaan verkopen, maar om het publiek te informeren van gaten in belangrijke software en daardoor dus het publiek te beschermen. (Die hacken dus uit een soort van idealisme).

Crackers proberen ook om allerlei gaten e.d. te vinden maar die gaan de verkregen info verkopen, dus die zijn puur voor hunzelf bezig.

Hackers zijn goed, op crackers :r ik.
Beetje overbodige info, echte hackers hacken niet om aan allerlei informatie te komen en die te gaan verkopen, maar om het publiek te informeren van gaten in belangrijke software en daardoor dus het publiek te beschermen. (Die hacken dus uit een soort van idealisme).
Volgens mij is het doel van de hacker niet om het publiek te beschermen hoor. Ze proberen een gat te vinden in een beveiliging onder het mom van 'alles is kraakbaar', en tegelijkertijd proberen ze de eersten te zijn die het gat vinden. Waarom? Omdat het hun hobby is, ze vinden het leuk om te doen, en het geeft ze een kick om het gat te vinden (wat ik me goed voor kan stellen).

De gevonden informatie verkopen ze niet door of gebruiken ze niet voor verkeerde doeleinden, maar sturen ze op naar het bedrijf zodat ze er een oplossing voor kunnen vinden. Ze hacken dus om het hacken, en niet om kwaad te doen, en DAT is wat een hacker een hacker maakt, en geen cracker.

Dat daarbij het publiek beschermt wordt, is volgens mij maar een bijkomstigheid.

Maar goed, ik ben geen hacker (of cracker :)), dus ik kan er ook naast zitten, maar mijn programmeerervaring leert dat deze theorie best wel eens de goede kan zijn ;)

.edit: typo
Hackers zijn goed, op crackers ... ik.

...maar voor hun 'cracks en patches' zijn ze zeker wel goed genoeg?!
ja :+


Maar dat zegt Beavis toch niet?!
Die hacken dus uit een soort van idealisme
Ik betwijfel dat ze in het weekend ook checken op industrietereinen of de panden wel goed afgesloten zijn. Idealisme? Eerder narcisme.
Mooi dat even uitlegt wat ik al zei... :P
En waar denk je dat diezelfde scriptkiddies op dit moment massaal heen surfen? :( Hopelijk is Microsoft een beetje snel met het verhelpen van deze security flaw. Ah, het is al gefixed zie ik.

[10 minuten later] Best wel slecht dat ik weer slechte beoordelingen krijg op mijn reaktie die 10 minuten geleden nog zinvol was, maar nu bekend is geworden dat het al weer is opgelost is het ineens weer overbodig. Daar gaat m'n karma! :)
Zoals al is gezegd, is het lek al gedicht.
Software is nooit waterdicht te krijgen. Sterker nog: het merendeel van alle internet services kijkt niet eens alles na. Ik kan op sommige site makkelijk hun 'members only' groepen benaderen, en gebruiken...

Goed dat het opgelost is.
Software is nooit waterdicht te krijgen
Dat lijkt mij niet. Het probleem is echter dat veel systemen via een houtje-touwtje constructie beveiligd zijn en niet by-design.

Stel je voor dat je een kast aan het bouwen bent. Je kunt dan wat planken tegen elkaar zetten en er net zo lang op allerlei plekken spijkers inslaan totdat de kast niet meer uit elkaar lijkt te vallen, maar dat schiet niet op. Ooit leg je er een boek teveel in en flikkert heel de zooi alsnog inelkaar.

Software kan wel degelijk bewijsbaar veilig worden gemaakt. Het probleem is alleen dat dat in de praktijk in veel gevallen nog niet werkt.
"Software kan wel degelijk bewijsbaar veilig worden gemaakt"

probleem is dat veiligheid relatief is: het kan hooguit in praktijk veilig genoeg zijn, maar nooit onkraakbaar.
Dat geldt voor boekenkasten en bvb ook voor woningen: met een voldoende groot breekijzer kom je heus wel binnen, het kost alleen zo veel moeite, en door de benodigde tijd is de pakkans zo groot, dat men er niet aan begint (of slechts zeer zelden een poging doet, die dan meestal faalt - en als het lukt dan ben je maar 1 woning binnen gekomen..).

Zo ook met software, met het grote verschil dat je daarbij 'van op afstand' en vanuit je luie stoel te werk kan gaan. Tijd is veel minder een probleem dan bij fysieke inbraak, en de pakkans is zowiezo veel kleiner omdat je niet ter plaatse bent.
Daardoor is de drempel voor kraken/hacken heel erg veel lager dan bij 'echte' inbraak.
Bovendien valt er vaak veel meer te halen; niet 1 enkele creditcard, maar gegevens van duizenden creditcard houders. Dat maakt 'virtueel inbreken' nog aantrekkelijker.

Om dit veilig te maken zou het evenveel lastiger gemaakt moeten worden, als dat het aantrekkelijker is (dan 'fysiek inbreken'). Om de vergelijking met een woning door te trekken: 10 meter dikke muren van gewapend beton, een "blastdoor" als voordeur, geen schoorsteen, geen kelder-raampjes... etc.

Zoals blijkt uit het grote aantal virtuele inbraken (of het nou voor de sport is of voor gewin) en het aantal tijdig ontdekte gaten, is de meeste software nog lang niet veilig genoeg.
Het gaat er uiteraard om welke aannames je maakt. In vrijwel alles systemen (uh... vrijwel alle ;) ) is de gebruiker de zwakste schakel. Over die gebruiker moet je bepaalde aannames maken. Onder die aannames valt het uitstekend te bewijzen dat een systeem 100% veilig is.

In veel systemen zal het toch zo blijven dat een inbraak via brute-force altijd mogelijk blijft. In die gevallen kan je uiteraard niet de veiligheid van het systeem bewijzen, maar wel belangrijke uitspraken doen over de te verwachten tijd die nodig is om het systeem te breken.
Gelukkig dat er hackersgroepen zijn die dit naar buiten brengen. Scripkiddies/crackers zouden het voor andere doeleinden hebben gebruikt.
Als je dan als hacker zo idealistisch bent en het voor de kick van het vinden van een lek doet, waarom moet je er dan een 'scannnertje' bij doen?
Om je hierbij enigzins te 'helpen' is er op de site van Root-Core wel een scannertje te vinden
Ik vind de nieuwe layout trouwens niet echt ok van hotmail, en dat het nu met MSN (microsoft) is gaan samen werken vind ik ook niet echt motiverend om er nog een e-mail adres aan te vragen.
Mmmm. Hotmail is altijd al van Microsoft geweest hoor. Is echt niet iets van de laatste weken!
Mmmm. Hotmail is altijd al van Microsoft geweest hoor. Is echt niet iets van de laatste weken!
Sorry hoor, maar Hotmail is ooit zelfstandig begonnen, met Unix systemen. Het heeft Micro$oft dan ook veel tijd gekost om alle unixmachines te vervangen door Windhoos. Er gaan nog steeds verhalen de ronde dat ze nog steeds niet alle computers naar Windhoos hebben overgezet...
even voor de duidelijkheid... Hotmail draait op W2K. Misschien dat ze nog een paar BSD doosjes ergens voor gebruiken, maar de hoofdaplicatie draait op W2K dozen (hebben ze zelfs een heel document over op hun site)
Van Microsoft wil alleen maar zeggen dat dat de eigenaar is en niets over het OS. Mijn PC is ook niet van MS omdat daar Windows op draait....
Microsoft is zwaar over de zeik, omdat hun email dienst [hotmail] niet kan functioneren zonder de FreeBSD servers. Ik ben benieuwd wat voor OS[en] ze nu draaien op hun arsenaal aan servers.
Volgens de Root-Core site is het lek al gedicht door M$.
Volgens mij hebben ze de scanner weggehaald en is het gat alweer gedicht :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True