"De Winter had geen Twig moeten gebruiken"
IT-journalist Brenno de Winter had de hack van zijn server kunnen voorkomen als hij geen software uit 2005 had gebruikt die niet meer werd ondersteund. Dat zegt Frank van Vliet, CTO van certificeringsautoriteit Certified Secure. "Iedere website op het internet is afhankelijk van software die door anderen is ontwikkeld. Denk hierbij aan het besturingssysteem van de webserver. Verder maken veel websites ook gebruik van een standaard product, zoals Wordpress, Drupal, Plone, PHPBB en ook het door De Winter gebruikte Twig", merkt Van Vliet op.
Voor de beveiliging van de website is het dus belangrijk om de beveiligingsupdates van alle software direct te installeren. "Zie ook het verhaal over Cheaptickets.nl waar dit misging en de version maddness hackme. Maar wat als die updates niet worden ontwikkeld?", stelt Van Vliet de vraag.
Ondersteuning
"Iemand moet de beveiligingsupdates ontwikkelen en producten als Wordpress hebben daarom een actief team dat zich hier mee bezig houdt. Voor een product als Twig is op hun website te lezen dat de laatste update in 2005 is uitgekomen", gaat Van Vliet verder. Hij merkt op dat de kennis over computerbeveiliging de afgelopen jaren enorm is toegenomen en daarmee de kans dat een product uit 2005 nu, anno 2011, kan worden beschouwd als 'zo lek als een mandje'.
"Het is daarom geen verrassing dat bij De Winter het database wachtwoord via dit pakket achterhaald schijnt te zijn. Het is een duidelijk voorbeeld waarom het belangrijk is om alleen producten te gebruiken die door een actief team worden bijgehouden en waarvoor beveiligingsupdates worden aangeboden."
Illegaal
Wat betreft de actie van het Amersfoortse beveiligingsbedrijf ISSX dat bij De Winter inbrak, is dit volgens ICT-jurist Arnoud Engelfriet strafbaar. "Het is computervredebreuk om binnen te dringen in iemands mailserver, ook als daarbij geen mailberichten daadwerkelijk worden ingezien", zo laat hij tegenover Security.nl weten.
Engelfriet stelt dat op grond van de vrije meningsuiting (nieuwswaarde) heel soms zo'n hack toch mag, als er geen andere manier is om het betreffende nieuwsartikel te onderbouwen of aan het licht te brengen. "Nieuwe Revu mocht de mailbox van Jack de Vries kraken om het nieuwsitem te brengen dat deze zijn mailbox slecht beveiligde. Maar ze mochten niet in de mailbox snuffelen want dat was niet meer journalistiek relevant."
"In dit geval is de nieuwswaarde dat de man achter Lektober die zo veel lekken aan de kaak stelt, zelf ook niet helemaal veilig is. Dat is denk ik wel een rechtvaardigingsgrond, hoewel ik er ook een ondertoon van "terugpakken" in proef", zegt Engelfriet.
Aangifte
De Winter gaf aan dat hij zelf geen aangifte gaat doen. In theorie kan het Openbaar Minister ook zonder aangifte optreden. In de praktijk gebeurt dat volgens de ICT-jurist nooit. "Want onderdeel van de tenlastelegging moet zijn dat er 'wederrechtelijk' oftewel zonder recht (toestemming) is binnengedrongen. En dat kun je niet bewijzen zonder verklaring van de eigenaar dát hij het niet toestond."
De gehackte IT-journalist kan wel een schadevergoeding eisen, hoewel het aantonen van geleden schade niet zal meevallen. Wat betreft het eerst informeren van de Telegraaf adviseert Engelfriet altijd responsible disclosure. "Eerst het slachtoffer informeren en een kans geven het lek te herstellen, en pas daarna publiek gaan met het lek." Ook maakt het niet uit dat er geen gegevens zouden zijn gestolen. "In de Revu-zaak was het onderscheid wel relevant, omdat het nieuwsfeit daar ging om de vraag of de mailbox beveiligd was."
(1) Grote aantallen bedrijven werden en worden gekraakt door niet-journalisten waarna privacygevoelige gegevens op straat komen te liggen of "slechts" in verkeerde handen vallen; denk bijv. maar aan Sony en de DigID risico's na de DigiNotar kraak. Dat bedrijven met een Thuiswinkel waarborg de privacyregels aan hun laars lappen is ook geen nieuws (zie mijn bijdrage in http://security.nl/artikel/38940/1/Negeren_Windows_updates_nekt_CheapTickets.nl.html). De vraag of onze gegevens bij de overheid en marktpartijen veilig zijn, lijkt me dus terecht. Als vervolgens uit journalistiek onderzoek, uitgevoerd door de Winter, blijkt dat onze gegevens inderdaad onvoldoende beveiligd zijn, heeft deze man een punt: hij komt op voor het algemeen belang - ook al breng hij het wat sensationeel naar de mening van velen.
(2) Als ISSX, op een journalistieke wijze, aan wil tonen dat de Winter zelf zijn zaakjes niet voor elkaar heeft, dan heb ik daar best begrip voor (sterker, ik ben er persoonlijk ook niet vies van). Velen hebben al geschreven "wie kaatst..". Aan de andere kant is de proportionaliteit van het aantonen dat een journalist z'n beveiliging niet op orde heeft m.i. van een geheel andere orde dan gemeentes en vliegmaatschappijen. Sterker, dit wordt natuurlijk een geheel ander verhaal als ISSX de kraak op verzoek van (of in opdracht van) één of meer van de tijdens Lektober getroffen overheden of bedrijven heeft uitgevoerd (dan wel een relatie heeft met die overheden of bedrijven, bijv. doordat ISSX daar de zaken in beheer heeft of had).
Persoonlijk ben ik niet geïnteresseerd of ISSX haar beveiliging op orde heeft, maar wel wat haar echte drijfveer was voor de Brenno-hack... Weet iemand meer?
Misschien is het vakgebied niet zo stoffig als menig mens zou denken; ik vind het zelf altijd wel spannend en interresant.
Pure passie van mijn kant en een rel als deze wakkerd dat alleen maar aan
:)
Mijn dank gaat dan ook uit naar Brenno de winter , Webwereld, Security.nl en ISSX; hoemeer aandacht voor deze problematiek deste eerder de overheid inziet dat er iets moet veranderen: Niet lullen maar poetsen! ga al die website nou onderhand zelf eens controleren op lekken. Het is echt te belachelijk voor woorden dat het nodig is dat derde dat doen. Ga gewoon aan het werk!!! alles controleren!!!!! Ja, vervelend hé!?!?!? dat er van een ambtenaar ook verwacht word dat hij werkt!!! niet de juiste kennis? een paar ITers een halve dag bijscholen zou meer als voldoende zijn mijn inziens
volgende keer graag 7 jaar eerder NALATIGE laml#ll3n!!
Geen idee, maar ik vind de aktie misplaatst. Brenno is geen beveiliger, en pretendeert niet dat bij hem alles op orde is. Daarnaast hoeft het systeem van een journalist niet net zo goed dichtgetimmerd te worden als bijvoorbeeld een EPD, een OV-Chipkaart, of DigiD. Zou ISSX wel eens gehoord hebben van een "risk assessment" ?
Ter info, met iedere scanner zoals nessus was het gat eenvoudig gevonden.
Maar waar gaat het nu om. Bij inhuren van pentest organisaties hebben we het over TRUST.
Op deze manier van werken zal ISSX voor veel klanten geen trusted partner zijn.
Feit is dat TWIG, een programma waar De Winter zelf aan heeft meegeschreven boordevol discutabele technieken zit.
Zoals bijvoorbeeld:
- het niet gebruiken van parametrized queries
- het gebruik van extract op oa POST GET en COOKIES. 1x een initialisatie vergeten en je bent toast.
- includes gevoelig voor null byte poisoning in combi met bovenstaande (pas gefixt in php 5.3.4)
Als je hier aangifte van doet, wordt er duidelijk gevraagt of jij toestemming gegeven hebt voor de inbraak of niet. als dat niet zo is, is er al vast gesteld dat jij nooit toestemming hebt gegeven. dat staat in de meeste verklaringen bij dit soort aangiften.
Er zal maar een mail van pompidompie in staan met zijn echte naam/gegevens
Of hoe je inbreekt in gemeente x (niet gemeld want er waren maar x dagen in lektober)
Feit is dat TWIG, een programma waar De Winter zelf aan heeft meegeschreven boordevol discutabele technieken zit.
Zoals bijvoorbeeld:
- het niet gebruiken van parametrized queries
- het gebruik van extract op oa POST GET en COOKIES. 1x een initialisatie vergeten en je bent toast.
- includes gevoelig voor null byte poisoning in combi met bovenstaande (pas gefixt in php 5.3.4)
Dat betekent dat Brenno dus wel degelijk op de hoogte had kunnen zijn van de problemen met deze software. Grin. Practice what you preach... Uiteraard is het een mooi voorbeeld van prioriteit. Een fundamenteel probleem bij vrijwel alle organisaties.
Een risicoanalyse zoals eerder genoemd is uiteraard onzin bij een persoon. Patch management is hier het devies dus domweg google sites oid gaan gebruiken dat is dan maar de oplossing. Zelf software draaien is eigenlijk niet meer verantwoord door alle tools en script kiddies out there. Dat is de lesson learned!
Schandalig scriptkiddie-gedrag van een bedrijf wat miljoenen van jouw en mijn belastingcenten binnenharkt, ieder jaar opnieuw.
Als je iemand te grazen neemt moet je eigen gedrag vlekkeloos zijn, en eerst de Telegraaf bellen en niet je slachtoffer (dat kwam er achter doordat de Telegraaf wederhoor ging doen) is alles behalve vlekkeloos en uiteindelijk je eigen graf graven.
Beschamend.
Als je hier aangifte van doet, wordt er duidelijk gevraagt of jij toestemming gegeven hebt voor de inbraak of niet. als dat niet zo is, is er al vast gesteld dat jij nooit toestemming hebt gegeven. dat staat in de meeste verklaringen bij dit soort aangiften.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
