"Beginnersfout nekte Brenno de Winter"
Het Amersfoortse beveiligingsbedrijf ISSX heeft de server van Brenno de Winter gehackt om de IT-journalist een lesje te leren, ook al was de aanval niet persoonlijk bedoeld. Dat zegt directeur Ronald Kingma in een interview met Security.nl. Het bedrijf wist via een onbekend lek in de TWIG webapplicatie toegang tot de server van De Winter te krijgen, die zelf een aantal configuratiefouten had gemaakt. "We hebben niet zijn e-mail gezien", zegt Kingma, die opmerkt dat dit een beetje wordt opgeblazen door de media. Er is dan ook geen e-mail geopend, hoewel dit wel had gekund. "Dan hadden wij verder moeten gaan, maar dat hebben we niet gedaan."
Het doel van de operatie was het testen van de veiligheid van de Winter zijn servers. Die rapporteerde via Lektober elk dag een lek in de website van een overheidsinstantie of bedrijf. Daarbij zou de journalist hoog van de toren hebben geblazen. "We wilden zien hoe hij het zelf had gedaan", gaat Kingma verder. Via het TWIG-lek kon men toegang tot een configuratiebestand krijgen waar de gebruikersnaam en wachtwoord van zijn database in stond. De Winter had phpMyAdmin publiek toegankelijk op het internet staan. "Op die manier konden wij inloggen en al zijn databases bekijken."
De gebruikte zero-day kwetsbaarheid in TWIG heeft het bedrijf zelf ontdekt en houdt niet verband met een lek dat in 2007 op de Full-Disclosure mailinglist werd gerapporteerd. De kwetsbaarheid is inmiddels door ISSX aan TWIG gerapporteerd. De software werd mede door Brenno de Winter ontwikkeld.
Integer
Het beveiligingsbedrijf benadrukt dat het normaal geen websites of servers van anderen hackt. "We zijn integer en professioneel genoeg en houden ons aan de geheimhoudingsovereenkomst." In dit specifieke geval wilde de beveiliger een vuist tegen Lektober maken, dat veel te ver zou zijn gegaan. In eerste instantie wilde men de aanval anoniem uitvoeren, maar later besloot men de sporen toch niet te wissen. De Winter ontdekte een IP-adres van het bedrijf in de serverlogs.
"Wij kunnen het wel via anonieme proxies en Tor-netwerken doen, daar hebben wij ook de kennis van, maar wij hebben het opzettelijk van ons eigen IP-adres gedaan." Het bedrijf had de intentie om De Winter vandaag te bellen en verdere uitleg te geven. "Alleen is het nieuws iets anders gelopen dan bedoeld."
Sommige klanten van ISSX zouden het een "strakke actie" vinden. "Die staan er ook achter", merkt Kingma op. "De andere kant hebben we nog niet gehoord, klanten die vinden dat het vertrouwen een beetje weg is." De Telegraaf-journalist die door ISSX werd ingelicht zou geen persoonlijke of gevoelige informatie hebben ontvangen. Volgens Kingma was niet de persoon De Winter het doelwit, maar "Brenno als woordvoerder van Lektober."
Lekken
Het beveiligingsbedrijf ontdekte meer systemen van De Winter die aan het internet hangen en waar zich kwetsbaarheden in bevinden. "Er waren dus meerdere manieren om binnen te komen." Het bedrijf maakte een document waarin het alle kwetsbaarheden heeft beschreven. "Dat moet de Winter nu oppakken." Kingma stelt dat de aanval niet uit eigen belang is gedaan. "Het is jammer genoeg snel in de media geëxplodeerd." Daarbij heeft de directeur ook zijn vraagtekens over de vermelding dat het om een cyberaanval op De Winter zou gaan.
Verder stelde de journalist dat de aanval zondagochtend zou hebben plaatsgevonden, maar dat was niet het geval. "De echte hack heeft niet op zondagochtend plaatsgevonden, dus mogelijk is er ook iemand anders die iets bij hem gedaan heeft."
Via de aanval was het mogelijk om volledige controle over de server te krijgen, maar dat heeft het bedrijf bewust niet gedaan. "Die mogelijkheid was er wel, maar dan zou je een streepje te ver gaan. We konden via een truc het configuratiebestand tevoorschijn toveren. Zijn website draait met de user root naar de database toe, iets wat niet verstandig is."
Beginnersfout
Naast de gemaakte screenshots van de database is ook het passwd bestand opgevraagd. "Je zou Netcat kunnen achterlaten zodat er een reversed shell wordt opgezet. zover zijn we niet gegaan." Iedereen met een beetje kennis van IT zou echter weten dat als je root en toegang tot phpMyAdmin hebt je nog veel meer zou kunnen doen, laat Kingma weten.
Ook systeembeheerders kunnen een les uit de aanval leren, namelijk het niet online plaatsen van applicaties die niet op het internet horen. "En alleen de poorten openzetten die je echt nodig hebt, zoals poort 80 en 443." Op infrastructuur niveau zouden beheerders naar servers en services moeten kijken of daar geen kwetsbaarheden in aanwezig zijn.
"Bij hem was het een opeenstapeling van meerdere kwetsbaarheden. Eigenlijk een beginnersfout. Een phpMyAdmin zet je niet op het internet. Ook het gebruik van de TWIG applicatie was geen slimme zet. Er zouden nog veel meer lekken in zitten, waaronder SQL Injection. "Dat is ook het stukje als je heel hard roept dat je alles van beveiliging weet en waar je je allemaal aan moet houden, maar als je dat zelf niet doet, is dat jammer."
Rijk rekenen
Zoals gezegd was De Winter één van de ontwikkelaars van TWIG. "Ooit heb ik zelf mee ontwikkeld aan het project en ik heb er een band mee. Eigenlijk had ik de software al moeten deactiveren. Nogal dom om het niet te doen. Toch had ik niet gerekend op een 0-day lek. Ik rekende mijzelf iets te makkelijk rijk met het feit dat er geen bekende lekken waren met TWIG", laat hij tegenover Security.nl weten.
Wat betreft de communicatie met tipgevers zou die nooit in gevaar zijn geweest. "Als mensen zich per mail melden dan verdwijnen die mailtjes al snel naar een server, die niet online toegankelijk is. Liever communiceer ik via andere kanalen. Andere e-mailaccounts op servers als het moet, al jaren crypt ik in ieder geval gevoelige mail. Ik gebruik diverse Jabber-accounts, crypted telefoongesprekken. Dus ik varieer nogal. Dat doe ik bewust, omdat ik besef dat ik kwetsbaar ben voor gerichte aanvallen." Daarnaast gebruikt De Winter ook PGP voor de reguliere communicatie.
Rootkit
Na de hack heeft de journalist zijn logs veiliggesteld, iets wat ook al automatisch gebeurde. Daarnaast heeft hij een onderzoek gestart waar de aanval vandaan kwam en of hij nog dingen over het hoofd had gezien. Verder wijzigde De Winter zijn wachtwoorden. "Daarnaast ben ik een zoektocht naar rootkits gestart en heb een herinstallatie van de server gepland. Ik heb ook in de configuratie dingen gevonden die wel beter konden. Phpmyadmin heb ik verwijderd. Dat beschouw ik zelf wel als een misser dat ik dat niet eerder heb gedaan."
Ook De Winter merkt op dat er geen e-mails zijn gestolen. "Ze hadden toegang tot de interface, maar nog niet tot IMAP (e-mail) zover ik kon zien. Maar ik heb in de melding naar buiten wel het ergste gemeld. Daar moet je gewoon vanuit gaan. Dan kan het altijd meevallen." Voor de toekomst wil De Winter kijken of hij sneller op dit soort incidenten kan reageren. "Op zich was de aanval woensdag wel te detecteren geweest. Dan was de aanval mislukt. Ik blijf wel realistisch. Iemand die mij moet hebben zal dat wel lukken. Dus kijk ik ook om misschien toch minder via mijn eigen servers te doen. Maar dit voorkomen kun je niet."
Voor systeembeheerders heeft De Winter ook nog een advies. "Niet veel meer dan waakzaam zijn voor ISSX of andere beveiligingsbedrijven."
Iedereen maakt fouten, niemand is perfect. Maar zodra je naar anderen gaat wijzen, dat ze wat fout doen, moet je wel zeker zijn dat je niet dezelfde fouten hebt gemaakt. Dat zul je de rest van je carrière wel mee blijven dragen want je geloofwaardigheid is toch wel enigszins, Brenno.
Voorlopig je maar even op de WOB verzoeken storten en even niets met ICT doen, lijkt me carrière technisch erg verstandig.
Ook op Brenno's Lektober valt (viel..) een hoop af te dingen. Sommige lekken zijn sensatiebelust of vereisen MITM om uitgebuit te kunnen worden, wat niet echt makkelijk te verkrijgen is. Maar hoe dan ook hebben Brenno en Webwereld wel altijd gewacht totdat de betrokken (lees: gehackte) partij het probleem opgelost had.
Jammer dat Webwereld (en Brenno?) dan weer als de gebeten hond reagere met kreten als 'cyberattack' en er ongezond veel aandacht aan besteden. Goed dat Security.nl enige nuance weet te brengen door Kingma te interviewen. Die wens ik overigens veel succes met z'n business en vraag me af hoelang hij nog CISSP 'in good standing' is.
Toch wat gemist in de goede omgang vrienden. Met u doe ik geen zaken.
Ogh en die poort 80, daar gaat het nou de hele tijd over. Alles gaat over poort 80, dus ook alle SQL en XSS lekken.
"Alleen wat je nodig hebt"" zit op applicatieniveau. Dus zoals de PHPadmin open zetten. Ja op poort 80/443
Ik ben benieuwd wat Arnoud Engelfriet hier van vindt...
"Als mensen zich per mail melden dan verdwijnen die mailtjes al snel naar een server, die niet online toegankelijk is"
Iemand dit volledige toegang heeft kan dat ook. Die berichten zijn dan al lang opgeslagen voor je ze hebt verplaatst.
"Daarnaast gebruikt De Winter ook PGP voor de reguliere communicatie"
Waarom verplaats je dan berichten, wat is het probleem dan?
"Ook De Winter merkt op dat er geen e-mails zijn gestolen. Ze hadden toegang tot de interface, maar nog niet tot de IMAP (e-mail) zover ik kon zien."
Dus wat je niet ziet is niet gebeurd? Gevalletje DigiNotar-redeneren.Je kunt b.v. via een database volledige OS-toegang verkrijgen en alles direct manipuleren, zonder de bedoelde interfaces. Daar zie je niets van.
"Maar dit voorkomen kun je niet"
Je kunt niet alles voorkomen: 100% veiligheid bestaat niet. Maar dit prutswerk was zeker wel te voorkomen geweest.
"Voor systeembeheerders heeft De Winter ook nog een advies. Niet veel meer dan waakzaam zijn voor ISSX of andere beveiligingsbedrijven."
Triest verhaal. Dat zou iemand eens andersom op moeten schrijven: de systeembeheerders van aan de schandpaal genageld bedijf X hebben ook nog een advies. Waakzaam zijn voor Brenno de Winter of andere 'so called' IT-jhoernalisten. De wereld zou te klein zijn...
Ze versterken alleen maar Brenno's statement dat security te vaak wordt onderbelicht ...
"Wij kunnen het wel via anonieme proxies en Tor-netwerken doen, daar hebben wij ook de kennis van, maar wij hebben het opzettelijk van ons eigen IP-adres gedaan."
Jaja slap excuus, waarom zijn de adressen van de eerste aanvallen dan wel vanaf Tor?, het was gewoon een faal van jullie kant dat jullie vuln. scanner de proxy oversloeg.
Oh en noemen jullie een lek uit 2001(!) een 0-day, wel even de goede CVE erbij pakken heren. http://www.cvedetails.com/cve/CVE-2001-1348/
En een lek ontdekken met een fuzzer...knap hoor.
"Op die manier konden wij inloggen en al zijn databases bekijken."
Vertel er ook meteen bij dat je een kopie hebt gemaakt.
Verder is het natuurlijk erg slordig van Brenno, ben ik het helemaal mee eens. Alleen het doel van jullie actie snap ik niet helemaal... Lektober heeft securityaudits weer helemaal hot gemaakt, auditrequest komen met bakken binnen en dan gaan jullie doodleuk de journalist pesten die dit voor jullie regelde.
Wat zullen de klanten vinden als jullie straks de certificering kwijt zijn. Ik denk dat de grote SOCKS jongens massaal gaan opzeggen.
Kennen jullie het spreekwoord "Don't shoot the messenger"?
Het is een verschil tussen informatie wat op Brenno's server staat en wat op "grote publieke server" staan.
Brenno is voor het publiek, ISSX voor ......
@SKH
Verder is het natuurlijk erg slordig van Brenno, ben ik het helemaal mee eens. Alleen het doel van jullie actie snap ik niet helemaal... Lektober heeft securityaudits weer helemaal hot gemaakt, auditrequest komen met bakken binnen en dan gaan jullie doodleuk de journalist pesten die dit voor jullie regelde.
Wat zullen de klanten vinden als jullie straks de certificering kwijt zijn. Ik denk dat de grote SOCKS jongens massaal gaan opzeggen.
Kennen jullie het spreekwoord "Don't shoot the messenger"?
ze hebben al gereageerd, dat hun klanten het best goed vinden. Waarschijnlijk omdat het vak mensen zijn die tijd en geld steken in het beveiligen en voorkomen van dit soort knullige acties. je hebt zeker wel gelijk dat je nooit 100% veilig bent, maar een vakman zou toch zeker wel dit soort knullige foutjes tegen zijn gegaan mag ik hopen.
-en ja misschien maken ze het "hot" zo hot dat ze eigenlijk iedereen aansporen tot het vinden van lekken in overheid sites en wie weet wat nog meer. niet zoals het bedoelt is! eigenlijk zetten ze deze Testers in een zwartlicht. dus een hele goede actie eigenlijk van ISSX.
Ja, als je meer info hebt over dit 'Oude jongens krentenbrood' clubje, opgericht door ex medewerkers van justitie, die alle interesant opdrachten krijgen zonder dat er een europeesche aanbesteding is waar andere ook een eerlijke kans hebben, dan horen wij dat natuurlijk graag......
Echt moet ik zeggen dat het handelen van ISSX erg sneu is ..... wat mij betreft komen dan ook niet mee rin beeld om uberhaupt nog mee samen te werken! Kinderachtig is het enige woord wat ik er voor over heb.
Als zij net als Brenno hadden willen handelen dan hadden zij het lek geconstateerd en Brenno ff een mailtje gestuurd. Wel grappig om te lezen hoe meneer Kingma iets wat krom is recht probeert te lullen ....... wat mij betreft EPIC FAIL !
Waar ethisch hacken in ieder geval nog gemotiveerd wordt door "edele doelen", zoals maatschappelijke bewustwording, wijzen op gebreken in beveiliging, of anderszins, lijkt deze hack louter gemotiveerd door kinderachtige wraakgevoelens op z'n ergst, of door ten minste door onterechte frustratie.
Dat is niet de houding van een ethische hacker. Ook het feit dat éérst de publiciteit gezocht is, en pas daarna de gehackte partij is geïnformeerd is zeker niet zoals Webwereld en Brenno de Winter hebben gehandeld. Bij Lektober zijn veel partijen vóóraf geïnformeerd over de actie (zoals de samenwerking met VNG en KING), daarna zijn betrokkenen vóóraf geïnformeerd over het daadwerkelijke lek, en pas daarna is tot publicatie overgegaan. En zelfs daarbij is volstrekte zorgvuldigheid toegepast. Zie bijvoorbeeld het artikel over de lekkende escortservice, waarvan de naam nog steeds niet is vrijgegeven.
Van een professioneel beveiligingsbedrijf verwacht ik een minstens zo zorgvuldige professionele houding. Dat het bedrijf zich tijdens de hack vernoemde naar het drietal Kwik, Kwek en Kwak is veelbetekenend in dezen. Het ging bij de hack van deze K3 om een agressieve hack, bedoeld om illegale activiteiten te ontplooien. Niet de Robin Hood houding waar ISSX zich op laat voorstaan. En iets dat bij een beetje security deskundige toch bekend zou mogen worden verondersteld.
ISSX heeft zich door haar actie van het afgelopen weekend laten kennen als een kleinzielig, ondeskundig en weinig professioneel bedrijf. Als een stampvoetend klein jongetje, wiens speeltjes afgenomen worden. Je zult er klant zijn, en een onenigheid hebben over een openstaande factuur... Wat dan? Gaat je hele hebben en houden naar de Telegraaf?
Achteraf zegt Kingma dat het allemaal zo'n vaart niet liep. Hij had zelf later contact willen opnemen met De Winter. En dat ze normaal niet hacken. Dat de referentie aan K3 toeval was. Tja, achteraf zijn we allemaal Einstein.
Inmiddels (1 november) is gebleken dat het bedrijf de volledige database heeft gedownload, naast mogelijk nog ander materiaal. Dat gaat verder dan lekken opzoeken en aanwijzen. Dat heet computervredebreuk, en is diefstal. Meneer Kingma heeft De Winter laten weten het materiaal "binnenkort" te zullen vernietigen. Maar meneer Kingma vergeet uit te leggen waarom meneer Kingma dat materiaal moest hebben. En Waarom hij het niet onmiddellijk vernietigt. En dat maakt deze hack tot een ordinair misdrijf.
Ik weet één ding zeker. Als ik als IT-manager opdrachtgever was van ISSX, dan zou dit een behoorlijk dringende reden zijn de contracten maar eens open te breken. Mijn bedrijfsjurist zou er al bovenop zitten. En als ik nog geen opdrachtgever was van ISSX, dan zou ik het nu zeker niet worden.
Op je ICT-beveiliger moet je kunnen bouwen. Op hun technische expertise. Op hun inhoudelijke expertise. Op hun kalmte en rust bij calamiteiten. Op hun integriteit.
En dat kan bij dit bedrijf niet. Echt niet.
Waar ethisch hacken in ieder geval nog gemotiveerd wordt door "edele doelen", zoals maatschappelijke bewustwording, wijzen op gebreken in beveiliging, of anderszins, lijkt deze hack louter gemotiveerd door kinderachtige wraakgevoelens op z'n ergst, of door ten minste door onterechte frustratie.
Dat is niet de houding van een ethische hacker. Ook het feit dat éérst de publiciteit gezocht is, en pas daarna de gehackte partij is geïnformeerd is zeker niet zoals Webwereld en Brenno de Winter hebben gehandeld. Bij Lektober zijn veel partijen vóóraf geïnformeerd over de actie (zoals de samenwerking met VNG en KING), daarna zijn betrokkenen vóóraf geïnformeerd over het daadwerkelijke lek, en pas daarna is tot publicatie overgegaan. En zelfs daarbij is volstrekte zorgvuldigheid toegepast. Zie bijvoorbeeld het artikel over de lekkende escortservice, waarvan de naam nog steeds niet is vrijgegeven.
Van een professioneel beveiligingsbedrijf verwacht ik een minstens zo zorgvuldige professionele houding. Dat het bedrijf zich tijdens de hack vernoemde naar het drietal Kwik, Kwek en Kwak is veelbetekenend in dezen. Het ging bij de hack van deze K3 om een agressieve hack, bedoeld om illegale activiteiten te ontplooien. Niet de Robin Hood houding waar ISSX zich op laat voorstaan. En iets dat bij een beetje security deskundige toch bekend zou mogen worden verondersteld.
ISSX heeft zich door haar actie van het afgelopen weekend laten kennen als een kleinzielig, ondeskundig en weinig professioneel bedrijf. Als een stampvoetend klein jongetje, wiens speeltjes afgenomen worden. Je zult er klant zijn, en een onenigheid hebben over een openstaande factuur... Wat dan? Gaat je hele hebben en houden naar de Telegraaf?
Achteraf zegt Kingma dat het allemaal zo'n vaart niet liep. Hij had zelf later contact willen opnemen met De Winter. En dat ze normaal niet hacken. Dat de referentie aan K3 toeval was. Tja, achteraf zijn we allemaal Einstein.
Inmiddels (1 november) is gebleken dat het bedrijf de volledige database heeft gedownload, naast mogelijk nog ander materiaal. Dat gaat verder dan lekken opzoeken en aanwijzen. Dat heet computervredebreuk, en is diefstal. Meneer Kingma heeft De Winter laten weten het materiaal "binnenkort" te zullen vernietigen. Maar meneer Kingma vergeet uit te leggen waarom meneer Kingma dat materiaal moest hebben. En Waarom hij het niet onmiddellijk vernietigt. En dat maakt deze hack tot een ordinair misdrijf.
Ik weet één ding zeker. Als ik als IT-manager opdrachtgever was van ISSX, dan zou dit een behoorlijk dringende reden zijn de contracten maar eens open te breken. Mijn bedrijfsjurist zou er al bovenop zitten. En als ik nog geen opdrachtgever was van ISSX, dan zou ik het nu zeker niet worden.
Op je ICT-beveiliger moet je kunnen bouwen. Op hun technische expertise. Op hun inhoudelijke expertise. Op hun kalmte en rust bij calamiteiten. Op hun integriteit.
En dat kan bij dit bedrijf niet. Echt niet.
Ik word zo moe van al die "moralfags" in de wereld.
Niemand verplicht je het te lezen. En schelden... Feel free, maar het zegt meer over jou dan over mij.
Ik word zo moe van al die "moralfags" in de wereld.
Niemand verplicht je het te lezen. En schelden... Feel free, maar het zegt meer over jou dan over mij.
Voor jou noem ik het dan moraalridders. Morraalridders zijn dus irritante mensen.
Dus je hebt het moeilijk met iemand die een coherente mening op meerdere lokaties plaatst, je hebt moeite met het feit dat iemand een klungel een klungel noemt, je hebt er moeite mee dat iemand er zoiets als een moraal op na houdt, je hebt er moeite mee dat iemand je wijst op de zwakheid van dat eeuwige gescheld.... Wat een zwaar leven zul je leiden. En dan ook nog anoniem moeten razen.
Tis wat.
Klopt, maar ik heb niet het idee dat Brenno aangifte doet, dus ik verwacht geen vervolging.
Klopt, maar ik heb niet het idee dat Brenno aangifte doet, dus ik verwacht geen vervolging.
Er is geen aangifte nodig om tot een vervolging te komen. OM kan ook zelf besluiten om er een zaak van te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
