Skip to content

Trautwein Interactive

Sections
Personal tools
You are here: Home » Weblog Kees » topics
« May 2012 »
Su Mo Tu We Th Fr Sa
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
 

Weblog Topics

Defaced vervolg

Filed Under: beveiliging browsers

De voorbeelden die ik gaf zorgen dat een hacker een PC met Windows met Internet Explorer kan overnemen nadat de computer een besmette site heeft bezocht en het besmette plaatje of scriptje heeft geladen.

Vandaag blijkt dat ook de nieuwste versie van OS X voor de macintosh, versie 10.4 alias Tiger, ook vatbaar is voor een speciaal aangepast plaatje. Hoewel de hacker geen controle krijgt over de bezoekende macintosh, kan het inlezen van zo'n plaatje wel de Apple browser Safari  en andere applicaties zoals de Finder en Voorvertoning crashen. Het probleem zit blijkbaar in de gemeenschappelijke Image Display engine ImageIO, die met zulke plaatjes crasht en alle applicatie die ervan afhankelijk zijn, volgen dat voorbeeld. Na het bezoek kunnen de applicaties zonder problemen weer worden opgestart.

Browsers zoals Firefox, Mozilla, Netscape en Camino die gebaseerd zijn op de Gecko engine gebruiken ImageIO niet en zijn onkwetsbaar voor deze exploit.

Macintosh gebruikers met Tiger kunnen met Safari het weblog van de uitvinder van dit probleem bezoeken. Ten overvloede: PAS OP: deze link bezoeken met Safari zal Safari, Voorvertoning, en de Finder laten crashen.

defaced

Filed Under: beveiliging browsers
Black Hacker

Defaced

Vanmorgen bleek een site van een leverancier van een klant van mij "defaced" te zijn, door iemand die claimde uit Turkije te komen. De site draaide op het open source systeem Mambo, waarin regelmatig problemen worden gevonden. Belangrijkste reden daarvoor is dat Mambo niet ontwikkeld is met veel aandacht voor veiligheid en dat het heel veel gebruikt wordt, waardoor hackers en hackertjes zoals script kiddies veel aandacht hebben voor dit systeem.

Een andere systeem waar ik vaak problemen mee heb gehad is PHPbb, een forum oplossing geschreven in PHP en MySQL.

Het blijkt toch heel moeilijk voor veel programmeurs om in PHP en MySQL een flexibel en toch veilige oplossing te schrijven. Vooral systemen die een paar jaar geleden kleinschalig zijn begonnen, toen veiligheid nog niet zo'n groot probleem was en hun makers enthousiaste hobbyisten, blijven vaak kwetsbaar omdat de gemeenschap de stap niet maakt naar een nieuw ontwerp gericht op veiligheid.

Slimme hackers

Hoewel defacing van vervelend is en afbreuk doet aan de naam van een organisatie zijn script kiddies meestal geen groot probleem. Alle bezoekers zien meteen dat de site niet de normale is en waarschuwen de eigenaar.

Een groter probleem wordt het als de hacker in kwestie wat slimmer is dan de gemiddelde schreeuwlelijk. Zo'n hacker kan dan bijvoorbeeld kwaadaardige code installeren die hem toegang blijft geven tot de website, bijvoorbeeld door usernames/wachtwoorden van iedereen die inlogt te verzamelen. Een andere mogelijkheid is het opzetten van een deel van de website voor eigen gebruik om bijvoorbeeld illegale software op te slaan. Dit nieuwe adres wordt uitgewisseld met vriendjes en het bedrijf betaalt voor het netwerkverkeer en opslagruimte.

Tot slot worden er regelmatig problemen met javascript code, of gevonden in browsers, met name Internet Explorer. Niet lang geleden bleek bijvoorbeeld dat het mogelijk was een JPG-plaatje te maken dat als het door Internet Explorer werd ingelezen, een hacker toegang gaf tot de totale PC. Oplettende lezertjes zien de mogelijkheden al. Een hacker vervangt op een bestaande site een belangrijk plaatje door een gemanipuleerd jpg-plaatje met hetzelfde uiterlijk en krijgt op die manier toegang tot de PC's van alle bezoekers. De beheerder van zo'n site met wel erg oplettend zijn om te zien dat zijn plaajte vervangen is door een ander.

Update: Deze post stond nog geen vijf minuten op mijn site toen ik bij webwereld een artikel las, waarbij gemanipuleerde ActiveX code binnen Internet Explorer een PC open zet voor een hacker. En zoals hierboven beschreven, duikt deze code inderdaad op bij normale websites, waar hackers blijkbaar toegang toe hebben.

Oplossing

De beste oplossing is om een goed en veilig webplatform met veilige componenten te gebruiken. Mambo, en veel andere oplossingen, zowel open source als closed source zijn niet veilig en kunnen alleen voor eenvoudige dingen worden gebruikt door beheerders die de site goed in de gaten houden op manipulatie. Helaas kiezen bedrijven met wenig kennis juist voor dergelijke eenvoudige systemen met als gevolg dat een dergelijke site onbetrouwbaar is.

Verder is het noodzakelijk zeer regelmatig te updaten. Vrijwel ieder CMS of ontwikkelplatform heeft een announce mailing list waar nieuwe updates en secrity problemen worden gemeld. De systeembeheerder van uw bedrijf moet zich daarop abonneren om op de hoogte te blijven. En als er een probleem is, update dan de site snel voordat een hacker uw site heeft gevonden.

Maar ook de bezoeker heeft een eigen verantwoordelijkheid. Update de browser waarmee u werkt altijd als de maker ervan aangeeft dat er een veiligheidsprobleem is. Gebruik ook het liefste veilige browsers. Helaas is Internet Explorer 6 een browser die veel veiligheidsproblemen kent. Op dit moment is Firefox een betere keus. De browser kent minder veiligheidsproblemen, die bovendien vrijwel nooit zo ernstig zijn als in Internet Explorer en altijd heel snel worden opgelost.

Controle, controle

Filed Under: beveiliging

Van 28 tot en met 31 juli vind het vierjaarlijkse What The Hack plaats. Deze keer gaat de discussie onder andere over het uithollen van de rechtstaat, de bewaarplicht en het misbruik van technologie. Dat zijn zeer actuele onderwerpen, waarvoor slechts weinig belangstelling bestaat bij de grote media. Ik sta op het standpunt dat er in kringen van welingelichte hackers heel veel kennis bestaat over aan IT gerelateerde problematiek. De samenleving kan veel leren door onder andere bij dit soort mensen te rade te gaan.
(N.B. Ik zag dat deze op IT gebied zeer ontwikkelde groep, Plone heeft gekozen voor zijn website.)wikitree

Ik wil het hebben over de overcompensatie die de overheid aan de dag legt bij het bestrijden van het misbruik van het internet. Laten we ons tot de overheden beperken en de de wetgeving rond de entertainment industrie in de Verenigde Staten buiten beschouwing laten (daarover schrijf ik nog een andere keer). Ik wil wat voorbeelden geven van het gevaar dat een overheid vormt die grote hoeveelheid gegevens verzamelt over burgers en organisaties, zonder dat die een overtreding hebben begaan of een misdrijf hebben gepleegd.

In het verleden was een gegronde verdenking noodzakelijk om gegevens van mensen te mogen verzamelen. Bovendien was de hoeveelheid opvraagbare gegevens beperkt. Daarnaast waren er allerlei praktisch problemen. Het was tot voor kort onmogelijk van alle burgers allerlei informatie te verzamelen en er daarna nog nuttige informatie uit te halen. De nog steeds stormachtige ontwikkeling van de IT heeft een aantal van die beperkingen echter opgeheven. Daarvoor is helaas geen terughoudendheid in de plaats gekomen van de kant van de wetgever.

In Nederland en Europa is dat zichtbaar in allerlei antiterreur wetgeving, waarbij diverse aftap-mogelijkheden worden verruimd. Wist u dat verhoudingsgewijs nergens in de wereld zoveel telefoongesprekken worden afgeluisterd als in Nederland? Ook in de Verenigde Staten zijn sinds 2001 de meest uiteenlopende privé gegevens door politiediensten opvraagbaar. Zo zijn bibliotheken verplicht exact bij te houden welke boeken een persoon heeft geleend. Het idee is dat op die manier mensen met een extremistische inslag geindentificeert kunnen worden, voordat ze een aanslag hebben gepleegd. Wat het in de praktijk kan gaan betekenen is dat het lezen van bepaalde boeken, de lezer op een lijst plaatst van staatsgevaarlijke individuen.

Nadat het Internet in de jaren negentig een vrijplaats was, worden er nu wetten uitgevaardigd die de overheid een ongekende inzicht geven in de gedragingen van zijn burgers. Omdat het gebruik van internet steeds belangrijker wordt voor bedrijven en voor alle burgers, vindt binnenkort vrijwel alle communicatie over het internet plaats. Televisie, radio en telefonie zullen binnen 10 jaar deel uit maken van het internetverkeer net zoals nu websites, e-mail en dergelijke. Dat betekent dat wetgeving die de overheid inzicht geeft in het internetverkeer, buitengewoon veel invloed heeft op het leven en werken van alle nederlanders.

Binnen de E.U. ligt er nu het bewaarplicht wetvoorstel dat alle providers verplicht alle internetverkeer gedurende een jaar vast te leggen. Binnen Nederland is er sprake van alle internetverkeer 3 jaar te laten vastleggen. Is deze maatregel in verhouding met de dreiging waarvoor de samenleving staat? De criminaliteit loopt in Nederland en de meeste andere europese landen al jaren terug. Nieuwe maatregelen hiervoor lijken om die reden onnodig.
De maatregel wordt meestal verklaard vanuit de dreiging van het terrorisme. Het is bekend dat terroristen het internet veel gebruiken voor comunicatie met de buitenwereld, maar ook tussen terroristische cellen onderling. Maar ligt het niet voor de hand dat dergelijke lieden onmiddelijk zullen overstappen op andere methodes als de overheid zicht krijgt op deze communicatiemethoden? Er zijn tenslotte buitengewoon veel hi- en lowtech alternatieven om in het geniep berichten uit te wisselen of om een aanslag te claimen.

Als het niet helpt tegen profesionele criminelen en terroristen, wat is dan het concrete gevolg van een deze wet? Vanaf het ingaan ervan kunnen  politie- en andere diensten vrij  beschikken over het online gedrag van alle nederlanders. Er is geen enkele garantie waar deze informatie voor gebruikt gaat worden.

Ik ben erg bang dat dergelijke maatregelen, die genomen worden om een concrete dreiging op dit moment het hoofd te bieden, die dreiging niet zullen tegenhouden of bemoeilijken, maar wel zeer schadelijke bijeffecten hebben, nu of in de nabije toekomst. Denk maar eens een scenario in waarbij een politieke partij via verkiezingen aan de macht komt met denkbeelden waar u het helemaal niet mee eens bent, bijvoorbeeld eentje aan het uiterste linker- of rechterzijde van het spectrum. Bent u er zeker van dat al uw online gegevens dan ook in goede handen zijn?

echelon afluister apparatuur Na bovenstaand voorbeeld van de gevaren voor de burger, komt het volgende voorbeeld uit de schimmige spionage wereld. Hieruit blijkt dat ook het bedrijfsleven zich ernstig zorgen moet maken over overheden die over allerlei interne bedrijfgegevens beschikken.

Hoewel officieel altijd ontkend, bestaat er in de Verenigde Staten vrijwel zeker een afluisternetwerk Echelon, dat beheerd wordt door het N.S.A. Het is ooit opgericht om communicatie van amerika's vijandige mogendheden te onderscheppen, maar wordt zeer waarschijnlijk onder andere ingezet om op grote schaal de communicatie binnen de E.U. te volgen. Er zijn aanwijzingen dat deze informatie onder andere wordt gebruikt om de amerikaanse industrie te bevoordelen bij (internationale) aanbestedingen. Een tijdlang bleken details van  aanbiedingen van niet amerikaanse ondernemingen opvallend vaak bekend bij amerikaanse concurrenten, met name bij projecten die de amerikaanse overheid als belangrijk ziet. Zelfs als dit gerucht niet waar is, zou het de nederlandse indsutrie aan het denken moeten zetten, wat de gevolgen zijn van een overheid hier en in het buitenland die hun interne communicatie volgt.

Het dagblad NRC heeft een dossier over Echelon, waarin de vaste kamercommisie van Justitie de zorgen van de E.U. nader onderzoekt over de economische gevolgen van dit netwerk en betrokkenheid van Nederland erbij.  Deze afwachtende of zelfs wantrouwende houding van de regering ten opzichte van het stelselmatig afluisteren van dataverkeer is sindsdien volledig omgeslagen.

Wat ik mis in de discussie over terreurdreiging en criminaliteit is de vraag of de genomen maatregelen proportioneel zijn. Want een aantal voorstellen heeft zeer verstrekkende gevolgen voor onze manier van leven in de komende jaren.

Het is duidelijk dat terrorisme op dit moment een groot probleem is. Maar laten we het ook niet groter maken dan het is: In de jaren zeventig en tachtig is deze situatie ook al voorgekomen.  In veel europese landen was er toen ook terrorisme op grote schaal met als doel de samenleving te destabiliseren: Ministers en zakenlieden werden ontvoerd en vermoord en er waren talrijke bomaanslagen in de centra van belangrijke steden. Maar de samenlevingen zijn nooit instabiel geraakt en vrijwel alle terreurbewegingen zijn met bestaande wetgeving onder controle gebracht. Deze terreurbewegingen bestaan niet meer. Hun leden zijn dood of opgepakt en daarvan hebben de meesten hun spijt betuigd over hun daden in het verleden. De beschaafde landen hebben die strijd gewonnen. Laten we dus het hoofd koelhouden en het niet te veel door de waan van de dag op hol laten brengen.

Helaas zal een bijeenkomst als What The Hank slecht heel weinig directe invloed politieke invloed uitoefenen. Hackers zijn een alternatieve subcultuur waar de politiek op dit moment niet mee geassocieerd willen worden. Aangezien ook de gewone burger niet lastig wil worden gevallen met dergelijke zorgen, zitten de privacy beschermers op dit moment in het verdomhoekje. Ik denk dat dat een slechte zaak is. Wellicht dat het bedrijfsleven zich deze problematiek moet aantrekken. Want ook dat heeft heel veel te verliezen als alle interne informatie onder ogen komt van buitenstaanders. Want vergeet niet, een belangrijke eigenschap van digitale informatie is dat het kopieren ervan buitengewoon simpel is. De informatie die 's ochtends bij een overheidsinstantie is, kan morgen bij een krant of uw concurrent liggen.

Funda en veiligheid

Filed Under: beveiliging

Dit is een repost van een artikel uit februari 2005. Ik denk dat de analyse nog steeds interessant is.

Wat is er gebeurd?

Privè gegevens van bezoekers van de Funda site kwamen op straat komen te liggen, door fouten in de opzet en het beheer van de Funda applicatie.

Op Funda worden huizen te koop aangeboden door bij Funda aangesloten makelaars. Hoewel er heel veel sites in dit genre bestaan is Funda met afstand de grootste en daardoor het best bezocht. Ik kom er zelf ook regelmatig.

Afgelopen maandag 21 februari is gebleken dat de email adressen van 6651 gebruikers en een bestand met daarin alle wachtwoorden door Google zijn geïndexeerd en daardoor voor iedereen beschikbaar zijn op het web. Op verzoek van Funda heeft Google de gegevens snel verwijderd, maar op allerlei websites zijn deze twee lijsten nu beschikbaar.

De schade

Het belangrijkste is denk ik de schade die het imago van Funda heeft opgelopen. Blijkbaar zijn de persoonlijke gegevens van hun klanten daar niet veilig.

Ook het imago de ontwikkelaars van Funda loopt een flinke deuk op. Blijkbaar was de beveliging van zo'n bekende site te simpel. Uit de lijst met wachtwoorden blijkt bovendien dat de beveiliging op dat gebied van een bedroevend niveau was. Als voorbeeld: het wachtwoord van de database van funda was: funda. Als dat je beveiliging is, laat de wachtwoorden dan maar helemaal weg.

De e-mail adressen van de klanten zouden doorverkocht kunnen aan spammers, waarna deze adressen met spam worden gebombardeerd. Dat is in theorie een probleem, maar ik denk dat de meeste spam filters deze overlast binnen de perken zullen weten te houden. Niettemin is het vervelend te weten dat je actieve e-mail adres op het web beschikbaar is.
Ik gebruik zelf op het web nooit eeb belangrijk email adres. Ik heb een aantal mail adressen dat ik gebruik om me aan te melden op sites en waar ip spam op verwacht. Op die manier houdt ik de e-mail adressen die ik veel gebruik zo veel mogelijk vrij van spam.

Tot slot kunnen de wachtwoorden misbruikt worden door hackers om toegang te krijgen tot de systemen van Funda en andere klanten van deze provider. Ik hoop dat alle wachtwoorden op de lijst ondertussen zijn veranderd, want anders gaat dat vroeg of laat problemen opleveren.

Oorzaken

De oorzaak van dit alles is te vinden in een matige opzet en een samenloop van omstandigheden.
Uit de persberichten komt naar voren dat de Funda site is gemigreerd naar een nieuwe server. Daarbij traden problemen op, die na twee weken waren verholpen.

Ik stel me voor dat een deel van de processen niet werkte en dat de beheerders dachten dat de beveiliging van de mapwaar deze bestanden stonden een probleem vormde. Daarom hebben ze bij het oplossen de map waar deze bestanden uitkomen expres toegankelijk gemaakt.

Toen gingen er vier dingen mis.

eerste fout

De beheerders namen het risico de map lange tijd open te laten. Ik denk dat ze het risico laag inschatten dat iemand in 24 uur toevallig een kijkje zou nemen. Ze hadden echter zo'n belangrijke map slechts heel even open mogen zetten voor een korte test en dan weer dicht moeten maken.
Het is natuurlijk mogelijk dat ze zich er niet van bewust zijn geweest dat ze deze map beschikbaar maakten.

tweede fout

De beheerders waren het bestaan van de Google-bots even vergeten.
Google gebruikt zogenaamde bots, kleine zelfstandige programma's die het hele web afzoeken op zoek naar webpagina's. Alle informatie die zo'n bot vindt, wordt door het ding toegevoegd aan de grote Google database. Hierna is die informatie beschikbaar vooriedereen die op een site van google de juiste zoeksleutel intikt.

Hoe vaak deze bots langskomen is afhankelijk van de site en het toeval. Soms zie je ze dagen niet, dan weer komen er meerdere per dag langs. In de 24 uur dat deze directory open gestaan zou hebben is er blijkbaar een botje langsgekomen die deze informatie heeft gevonden en toegevoegd aan de Google database.

derde fout

Er is een grote configuratie fout gemaakt door de gevonden files op die plaats neer te zetten.
Het is streng verboden om bestanden met gevoelige informatie ergens neer te zetten waar de webserver bij kan. Dergelijke bestanden mogen niet tussen de gewone HTML-files staan. Ze moeten altijd op een deel van de server staan waar ze niet direct beschikbaar zijn voor de web-processen. Een speciaal programma dat door de webserver wordt aangeroepen mag de gegevens ervan manipuleren, maar de webserver zelf kan niet zelf doen. Als deze opzet was gekozen had de bot deze bestanden niet kunnen bereiken, onafhankelijk van de rechten van de map.

vierde fout

Op de Funda website was er een pad naar de bestanden in deze directory, anders had de google-bot ze niet kunnen vinden. De bot kan files slecht op twee manieren vinden:
  1. Als de bot de locatie van te voren wist. Dat wist het ding niet want de bestanden waren net nieuw.
  2. Als er een verwijzing bestond vanaf een eerder geindexeerde pagina naar deze files.
Mijn gok is dat er een harde verwijzing stond naar de gewraakte map en dat de Funda webserver op aanvraag een lijst geeft van alle files in de directory. De bot heeft vervolgens deze files netjes geindexeerd. Ook dit is te wijten aan een fout van de ontwikkelaars/systeembeheerders. Op een veilige site is het onmogelijk een overzicht van de inhoud van een map te krijgen.

Oplossingen

Het bovenstaande laat zien hoe belangrijk het is om de beveiling van gegevens goed aan te pakken. Voor veiligheid bestaan geen waterdichte oplossingen. Net zo min als in het echte wereld is de cyberwereld compleet veilig te maken. De enige goede oplossing bestaat uit een aantal stappen:
  1. Maak het indringers zo moeilijk mogelijk te maken. Beveilig alle gegevens en machines op meerdere niveaus. Natuurlijk doe je een veiligheidstest als een dergelijke site wordt opgeleverd. Maar de opzet moet zodanig zijn dat ook aals er fouten worden gemaakt met de configuratie of ergens files worden neergezet die er niet mogen zijn, dat niet tot rampen leidt.
  2. Houdt je beveiliging up-to-date. Voorbeelden hiervan: Ruim je webserver steeds op. Verwijder log- en dumpfiles. Houdt bij welke exploits gebruikt worden. Schrijf robot.txt files om Google te verbieden bepaalde dingen te indexeren en beveilig deze onderdelen extra goed.

De gegevens van een webapplicatie moeten altijd op meerdere manieren beveiligd worden.
  • Kies goede usernamen en wachtwoorden. Verander deze zeer regelmatig en zeker nadat een personeelslid de organisatie heeft verlaten.
  • Zorg dat de webserver goed beveiligd is.
  • Alle bestanden die niet direct door de webserver benadert hoeven te worden moeten onbereikbaar zijn voor die server. Apart geschreven programma's mogen die verplaatste bestanden vervolgens ophalen onder strenge voorwaarden
  • Geef minimale rechten aan alles wat nodig is.
 
 
Powered by Plone

This site conforms to the following standards: