Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Joost Schellevis

Redacteur

2011: alles is te hacken

De toekomst

Het is moeilijk te zeggen of 2012 een veiliger jaar wordt dan 2011. Moeilijk vooral omdat we enkel af kunnen gaan op de beveiligingsproblemen die in de media komen. Beveiligingslekken en virussen die respectievelijk in de doofpot worden gestopt en onder de radar blijven, komen niet in dit jaaroverzicht voor, maar vormen ook een bedreiging.

Wat we wel weten, is dat de overheid in 2012 maatregelen gaat nemen om cybercrime tegen te gaan. Half januari wordt het cyber security center van de Nederlandse overheid officieel geopend. Dat centrum, waarin onder meer Govcert in opgaat, moet de digitale beveiliging van de overheid coördineren en bedrijven helpen bij beveiligingsproblemen. Ook komt er een meldplicht voor datalekken, waarbij bedrijven de overheid op de hoogte moeten stellen wanneer klantgegevens worden buitgemaakt.

Dat zal er wellicht toe leiden dat bedrijven meer gaan samenwerken, zowel met elkaar als met de overheid, om te pogen het onstaan van datalekken en beveiligingsproblemen te voorkomen. Wat het niet gaat voorkomen is het bestaan van datalekken en beveiligingsproblemen: die zullen er ook in 2012 blijven. Sql-injecties, mobiele virussen, gehackte certificaat-autoriteiten, buffer overflows - we zullen er in 2012 meer dan genoeg nieuwsberichten over kunnen schrijven.

Reacties (39)

Wijzig sortering
Tja we kunnen altijd nog terug naar 1985 met Michael J. Fox. Maar ik denk dat aan de ene kant de gebruikers 'willen leren' maar dat 13-jarige script kiddies 3x zoveel informatie verwerken. En dan krijg je problemen als zo iemand het slechte pad op gaat.

Maar ik vind 'Hacken' zo'n gehypt woord. beveiliging 101. Ik bedoel als systeem/netwerk beheerder behoor je te weten of je safe of niet bent.

Maar leuk artikel enzo verder :)

[Reactie gewijzigd door Brazza op 31 december 2011 14:17]

Ansich vind ik hetgeen je zegt "...Ik bedoel als systeem/netwerk beheerder behoor je te weten of je safe of niet bent...."
Dat, zoals kenbaar gemaakt door Mrgrafx, werkt inderdaad alleen maar als je weet wat voor lekken er zijn. Microsoft brengt vaak genoeg nieuwe updates naar buiten, om de oudere en 'niet' bekende lekken te dichten.

Zelf ben ik ook informatiebeveiliging, in opleiding danwel. Foute informatie

Inderdaad goed artikel. Even een 'mooie' terugblik op het jaar.

Edit: MySQL was fout van mij. Zat zelf niet op te letten.

[Reactie gewijzigd door Dutchiee op 31 december 2011 19:27]

En toch zie ik zelf ook vaak dat er veel proberen zijn in MYSQL databases.
Incorrect. Er zijn veel problemen waardoor databases uitgelezen kunnen worden. Meestal MySQL, omdat dat gewoon veel gebruikt wordt. Maar het probleem zit niet in MySQL. Het probleem zit in de applicatie die MySQL aanspreekt. MySQL ziet geen verschil in, en mag geen verschil zien, in:
SELECT post_date, article FROM news WHERE article_id = '1'
en
SELECT post_date, article FROM news WHERE article_id = '-1' UNION SELECT username, password FROM users -- a'

Dit simpele SQL Injection probleem kan op twee manieren worden voorkomen, de "correcte" manier van controleren of het in de request opgegeven id wel een integer is (m.a.w. valideer de input of het geldige waardes zijn). Of de, over het algemeen veiligere, manier van escaping, in PHP met mysql_real_escape_string, waarmee backslashes voor quotes worden gezet en de DB deze ook leest als tekst en niet als "speciaal karakter" (begin/einde string). Deze manier is veiliger dan input validatie omdat input validatie niet altijd kan (als het gewoon over tekst gaat dus), en input validatie vergeten kan worden bij aanroep X of Y. Als je altijd doet escapen is er geen kans dat er een pad door de code is waarbij de validatie niet, of incorrect, plaatsvind. Daarnaast is escapen niet in alle programmeertalen mogelijk (via interne functies), en is er alleen de optie voor prepared statements. Een optie die overigens door de meeste programmeertalen ondersteund wordt. Bij prepared statements zeg je simpelweg tegen de database: Ik heb deze query, en op plek X moet dadelijk een waarde komen die ik je later ga aanleveren. Op dat moment weet de database precies wat de query is, bv: SELECT post_date, article FROM news WHERE article_id = ? en dat er op de plaats van de ? later een waarde wordt aangeleverd. Bv 1. Op het moment dat dan toch iets als -1' UNION SELECT username, password FROM users -- a erdoor komt, gaat de database dus zoeken naar de waarde -1' UNION SELECT username, password FROM users -- a in de article_id kolom, in plaats van dat er een extra stuk code aan de query wordt geplakt.

De databases, inclusief MySQL, hebben met prepared statements dus een goed wapen tegen SQL injection (naast andere voordelen die het bied), alleen wordt het te vaak niet toegepast, waardoor lekken ontstaan in de applicatie en de (hele) database uitgelezen kan worden. Maar dit probleem zit dus niet in de database zelf. Deze verwerkt alleen maar de gegevens en voert bij SQL injection netjes de query uit die aan hem wordt gevraagd om uit te voeren.

Edit: ACM beat me to it :( In het vervolg sneller tikken.

[Reactie gewijzigd door RobertMe op 31 december 2011 18:39]

Wow thnx....
ik krijg nu zowaar eens een smile op mijn face als ik dit lees...

Dat is nu eens een post waar de n00b's wat aan hebben; en de echte IT-bloedigen een bijzonder goed en sereen gevoel bij krijgt..

Er zijn dus toch mensen die het snappen :)

(en sorry als het offtopic is; maar hij slaat de spijker precies op de kop

ontopic dan maar:

99% van alle 'hacks' zijn MAKKELIJK te voorkomen; maar kosten net even dat stapje meer als iemand zal doen die de kennis wel leert; maar er geen gevoel bij heeft..

en kom alsjeblieft niet aanzetten met 'mijn baas blabla' want je bent of een it-PROFESSIONAL of je bent het niet. Ook een hersenchirurg zal dingen weigeren als zijn manager/baas iets idioots wil)
Ik ben met je eens dat met een beroep/functie bepaalde minimum vereisten komen.
Maar je kan het niet op op persoon schuiven, en verwachten dat die het wel allemaal in zijn eigen tijd oplost.

Inderdaad een hersenchirurg krijg je waarschijnlijk niet zo gek dat hij moedwillig schade toebrengt, net zoals je een IT'er niet zo gek krijgt een Stichting te hacken. Kleinere ethische "overtredingen" komen echter overal voor, IT'ers die patches niet doorvoeren of code niet 100% controleren komt geregelt voor, want er is tijdsdruk en geld tekort. Lame excuus, maar denk eens aan die 2 ziekenhuizen die geen patienten aannemen omdat een zorgverzekeraar er niet voor wenst te betalen. (budget 2011 op)

Is dat "minder" erg? Het moge dan geen acute gevallen zijn, maar is er niet een kleine kans dat het toch mis gaat? (Kwaaltjes hebben de neiging erger te worden als je er niets aan doet, en een arts die je niet kent interpreteerd je misschien toch net ff slechter)

Je moet denk ik eerder de "schuld" leggen bij de manager/baas/opdrachtgever/wetgever die bewust de keuze maken om de professional iets wel of niet te laten doen.
Overigens is het wel de taak van de specialist om leidinggevende te wijzen op problemen, maar als die er vervolgens voor kiezen om er geen tijd aan te besteden dan komt het niet terug op het bordje van de specialist.

(overigens betekent "Professional" niets anders dan dat je je geld ermee verdient, onbetaald = amateur, betaald = professioneel)

[Reactie gewijzigd door Rapier op 2 januari 2012 01:16]

Die SQL-injection zit doorgaans niet in de MySQL-database... Maar in de software die ermee communiceert. Het is ook niet echt relevant dat het een MySQL-database is, dezelfde problemen bestaan voor elke variant waarbij een statement uit een communicatietaal samengesteld wordt aan de hand van (blijkbaar ongecontroleerde) gebruikersinvoer. Als een hacker domweg toegang tot je database heeft, dan is er geen reden alternatieve SQL in andere queries in te injecteren ;)
"...behoor je te weten of je safe of niet bent."

Dat werkt alleen als je weet waartegen je je moet/kunt beschermen. Een onbekend lek blijft lekken (denk aan je wasmachine...).Het blijft een soort haasje-over gebeuren, alleen loopt de anti-virus/beveiligingsbranche bijna per definitie achter op de hackers & malwaregasten.
Ik vraag me echt af waardoor het komt dat Android en Windows zoveel malware en virussen hebben, terwijl Apple in vergeljking er maar weinig heeft. Een argument is natuurlijk dat Android en Windows meer domineren, maar de iPhone heeft toch ook een behoorljk aandeel en daar hoor je zowat nooit wat van :s. Is hun software dan zo goed?

On topic: goed overzicht, het toont des te meer aan dat websitesbeter beveiligt moeten worden. Gezien het grote aantal sites zullen er altijd (helaas) wel een paar hackbaar blijven. Zeker wanneer je bedenkt hoe snel de techniek zich ontwikkelt. Een site onderhouden kost soms veel geld, zeker als het niet is bijgehouden... En dus doen ze het maar niet, met gevolg dat ineens veel gegevens op straat liggen :s

[Reactie gewijzigd door South_Styler op 31 december 2011 14:53]

heel simpel op een android kan je buiten de Market programma's installeren en de programma's in de Market worden niet gecontroleerd op malware, terwijl op een iPhone moet je via de App Store en die programma's worden gecontroleerd op malware en virussen door Apple.
Onthoud hierbij echter wel dat wanneer er een jailbreak is toegepast, i.c.m. software om die IPA's buiten iTunes om te installeren, gemodificeerde IPAs evengoed geinstalleerd kunnen worden. Daarbij was de 4.0 jailbreak van Comex gebasseerd op een fout in de PDF parsing van iOS, en die exploit kon toen ook gebruikt worden door anderen om er wel een kwaadwillende payload mee op te sturen (en met die PDF exploit kan er rootaccess verkregen worden, dus een kwaadwillende payload kan ook redelijk wat schade aanrichten). Daarnaast verscheen in Cydia ook een package om de PDF exploit te dichten, dus werd er toen een exploit gebruikt, om die exploit te dichten.

Wat me toen wel zorg baarde was dat die jailbreak open-source werd uitgebracht (voor zover ik weet staat het project op Sourceforge onder de codenaam 'star'), waardoor iedereen die exploit voor andere doeleinden kon gebruiken.
Mooie opsomming!

Ik zie inderdaad heel veel mooie nieuwe web2.0 websites, maar helaas zijn er nog te weinig (web)ontwikkelaars met verstand van Informatie Beveiliging.

Ook de hele mind-set is bij de meesten niet goed. Ik heb genoeg opmerkingen gehoord:
-PhpMyAdmin is juist handig, wie gebruikt dat nou?
-HTTPS, ach wie gaat mij nou sniffen?
-Emergency plan? Ach, we zie dan wel!
-Patch plan? Die lekken lopen toch niet zo'n vaart..
-Event logs bekijken? Waarom, teveel werk!
-Poorten dicht gooien? Services op andere poorten draaien?
-IP-adres filtering?
-Etc. etc.

Vind ik toch jammer. 99% van de fouten kunnen voorkomen worden door logisch na te denken. Natuurlijk is een 0-day-exploid erg lastig, maar een SQL injection is gewoon slordig.
phpmyadmin, wanneer goed geconfigureerd, is gewoon net zo veilig als elk ander (mini)DBMS imo
Ik heb vaak genoeg het antwoord "wie doet dat nou?" gekregen. Soms lijken mensen niet te begrijpen dat het internet 24-uur per dag draait en veel lekken geautomatiseerd gevonden kunnen worden.
Dus dan kun je lijkt me beter het zekere voor het onzekere nemen en je spulletjes op orde hebben. Hoewel de meeste data lekken volgens mij door interne mensen gedaan worden, dus ergens zul je een goede verhouding moeten vinden.
Ik ben persoonlijk hobby sitebeheerder van een kleine site. Ik heb vrij goede basiskennis van html en ondertussen al wat basis php. Maar het probleem blijft dat ik als hobbyist nooit zeker weet of ik goed werk en daar ook de tijd niet voor is. Ik heb dit al aangebracht bij het bestuur en hun logisch antwoord is dat er a) geen belangrijke gegevens op de site staan en b) content eigenlijk belangrijker is dan code/beveiliging. Daarom is het opstellen van een emergency plan ook te tijdrovend, logs ook te tijdrovend. Alle sql query's worden wel zo goed mogelijk opgevangen door het php-framework met ingebouwde functies maar ik vermoed dat niet alles dicht staat. Nu voor volgende versies wordt gekeken naar een overstap naar joomla en onze eigen functies te vervangen door ingebouwde modules van joomla. Met nog verreiste van https en software zo veel mogelijk up to date samen met gesanitisede sql query's hoop ik al toch wat aanvallen af te houden.
Ik heb een vraag over de DigiNotar kwestie. Notarissen gebruiken de certificaten om bijv digitaal met het kadaster te communiceren. Er zijn nog tientallen van dit soort communicatie's mbv diginotar certificaten. Zijn die transacties in de tijd tussen de hack en het vervangen van de certificaten onbetrouwbaar??
Het punt is: dat weet je niet. En dat maakt het nou net zo vervelend, als een mechanisme dat gebaseerd is op vertrouwen, gecompromitteerd is.
Ze zijn niet 100% betrouwbaar, omdat alle diginotar-certificaten dus vervalst zouden kunnen zijn. De vervalsingen zijn (voor zover bekend) alleen in Iran gebruikt, dus als er na de de bekendmaking van de diginotar-faal geen nieuwe certificaten meer zijn verstrekt is de kans klein dat de certificaten op dat soort plekken terecht is gekomen.
We beginnen ons langzaam te beseffen wat voor schade er kan worden aangericht door hackers, maar ik heb sterk het gevoel dat we daar nog geen passende maatregelen tegenover stellen. Ik vrees dat de huidige trend zich in 2012 zal voortzetten en dat we aan het einde van dit jaar een soortgelijke lijst zullen krijgen, met meer nadruk op mobiele telefoons en cloud applicaties.

Die laatste categorie loopt een heel ander risico: cloud applicaties draaien op gevirtualiseerde hardware en ik ben bang dat het hackers op een gegeven moment gaat lukken om in te breken op de laag hieronder. De economische gevolgen van het "uit moeten zetten" van een complete cloud zijn aanzienlijk, dus ik hoop dat ik ongelijk krijg.
Het gevaar op mobiele apparaten is nu al duidelijk dat het niet alleen vanuit hackers en malware komt, maar ook vanuit de provider/fabrikant/overheid. Kijk naar CarrierIQ en dat onze eigen overheid nu al probeert spyware op computers van verdachten te installeren.
Dat zal alleen maar erger worden en de mobieltjes zullen zeker niet ontzien worden.

Een cloud die offline moet wegens een hack acht ik voor 2012 ook niet onwaarschijnlijk. Maar met een beetje pech zou het ook wel eens kunnen zijn dat blijkt dat er massaal enkele overheden meekijken met onze cloud-data. Hoe dan ook, de kans is inderdaad zeer aanwezig dat "cloud" over een jaar een heel andere smaak geeft bij velen.
Het gevaar op mobiele apparaten is nu al duidelijk dat het niet alleen vanuit hackers en malware komt, maar ook vanuit de provider/fabrikant/overheid. Kijk naar CarrierIQ en dat onze eigen overheid nu al probeert spyware op computers van verdachten te installeren.
Dat zal alleen maar erger worden en de mobieltjes zullen zeker niet ontzien worden.
Ik mis dan ook een groot stuk over het 'hacktivism' in Nederland in dit artikel.

Dit jaar zijn we bijvoorbeeld met Stichting Hxx als grote groep naar het Chaos Communication Camp 2011 in Finowfurt gegaan, één van de grootste hacker-conferenties van de wereld, en we gaan voor 2013 weer een soortgelijk evenement in Nederland organiseren als vervolg op Hacking At Random (2009) en What the Hack (2005). Stichting HXX is de overkoepelende organisatie van de Nederlandse hackerspaces en -groepen en is ook de organisatie die achter dit soort evenementen zit. Sinds Hacking At Random is de hele hacker-scene daardoor ook 'serieus' geworden.

Dit jaar zijn er bijvoorbeeld ook veel hackerspaces, plaatsen waar 'hackers' (op deze FP, beter, Tweakers genoemd) hun projecten kunnen opzetten en onderling informatie uit kunnen wisselen. Voorbeelden hiervan zijn de ACKSpace in Heerlen, de RevSpace in Den Haag, Tkkrlab in Enschede en #42 in Arnhem. Een volledig overzicht vind je op de site van de VNHO, http://www.hackerspaces.nl

Wat ik ook mis is een hoop nieuws over de jacht op klokkenluiders en journalisten. Waar is het verhaal over Bradley Manning en de (eventuele) uitlevering van Julian Assange, het opvragen van Twitter-gegevens van Rop Gonggrijp en alle berichten van 'hacker-journalist' Brenno De Winter?

De keerzijde van de medaille mag ook worden belicht, en ik vind het nog altijd schandelijk dat we als hackers met lui als Anonymous, LulzSec en virusbouwers op één hoop worden gegooid.

[Reactie gewijzigd door Stoney3K op 1 januari 2012 20:15]

Wat een jaar!!
Op naar 2012, hopelijk een jaar met nog meer hacks!
* haalt de champagne boven *
Hopelijk niet, op die manier krijgen we alleen maar meer wetten om de vrijheid op internet in te perken.
True true, m'n post was sarcastisch bedoeld. :)
Okay je kan ook niet alles weten, daar moet ik jullie ook wel in gelijk geven. Zoals dat printer gedoe nu. Maar ik wilde een punt maken over hacken, als sys/net beh. heb je dat vast wel eens geprobeerd. Niet dat je met een standaard Win Xp firewal denk dat je safe zit ;)
"Beveiligingslekken en virussen die respectievelijk in de doofpot worden gestopt en onder de radar blijven, komen niet in dit jaaroverzicht voor, maar vormen ook een bedreiging."

Ik krijg meer het omgekeerde beeld. AV leveranciers zijn constant bezig om FUD (Fear Uncertainty and Doubt) de media in te stuwen zodat iedereen hun nieuwe spul gaat kopen.
Zodra de media gaat begrijpen dat security toch echt van OS leveranciers en software schrijvers moet komen en niet meer van 'add-on' AV software, dan krijgen we pas een goed beeld van (in)security.
...het stelen van geld van bankrekeningen, het versturen van spam of het locken van een pc totdat de gebruiker een geldbedrag overmaakt.
Misschien dat dat ook voorkomt, maar een belangrijker voorkomend probleem is het locken van bestanden (en dus niet van de PC zelf).
Dit artikel bulkt van de eigenbelang uiteraard. Men beperkt zich hier tot een beschouwing van wat er gebeurde anno 2011. Wat men niet doet is de dieper liggende vraag stellen, de vraag die je dient te stellen voordat je in de problemen raakt qua beveiliging. We kunnen er lekker in mee gaan maar ik wil liever een analyse van de mate waarin het allemaal zo noodzakelijk en/of onvermijdelijk is dat er zo veel zaken zijn die te hacken zijn. M.a.w. moeten we blijven ontwikkelen in een richting waarin privacy en de gevolgen van schendingen daarvan o.a. door hacking steeds groter worden.
De tijd dat technorealisme aanwezig zou moeten zijn in de ICT ligt alv er achter ons maar ik zie nauwelijks enig beef bij ontwikkelaars en admins en bedrijven etc. hoe kritiek de situatie is en hoe schrijnend het is om te moeten vaststellen dat bijna dagelijks privacy onder druk komt te staan.

Is dat wat we willen? Ik niet. De ICT in ons leven raakt te belangrijk.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Autosport

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True