image

Fabrikant kassasystemen gebruikt al 25 jaar zelfde wachtwoord

zaterdag 25 april 2015, 07:07 door Redactie, 12 reacties

Eén van de grootste leveranciers van kassasystemen gebruikt al 25 jaar hetzelfde wachtwoord, zo stellen twee beveiligingsonderzoekers. Het wachtwoord "166816" zou al sinds 1990 standaard worden ingesteld en bij 90% van de klanten van deze leverancier is het wachtwoord niet gewijzigd, aldus David Byrne en Charles Henderson tijdens hun presentatie op de RSA Conferentie in San Francisco.

De afgelopen jaren wisten aanvallers regelmatig toegang tot met name Amerikaanse kassasystemen te krijgen, waar vervolgens de gegevens van miljoenen credit- en debitcards werden buitgemaakt. "In veel van deze incidenten waarover je in het nieuws hoort, of misschien niets over hoort, zijn de gebruikte kwetsbaarheden die de oorzaak van het incident zijn relatief eenvoudig", aldus Henderson, zo meldt SC Magazine.

Veel kassasystemen zouden voor het uitrollen zeer afhankelijk van wachtwoorden zijn. Het is echter lastig om wachtwoorden op het endpoint te beveiligen, merkten Byrne en Henderson op. Tijdens hun presentatie (pdf) lieten de onderzoekers ook een voorbeeld van een gehackte winkel zien waar het beheerderswachtwoord al negen jaar niet was veranderd.

De aanvallers wisten de winkel waarschijnlijk te vinden toen ze een andere winkel hackten die dezelfde leverancier voor het kassasysteem gebruikte. Verder werden kassasystemen met lege wachtwoorden aangetroffen. Ook hekelen de onderzoekers dat leveranciers de kassasystemen vaak onder een beheerdersaccount laten draaien. "Leveranciers beweren vaak dat dit vereist is, maar het zijn leugens. Het is gewoon een excuus voor luie programmeurs."

Reacties (12)
25-04-2015, 09:35 door Anoniem
Ook hekelen de onderzoekers dat leveranciers de kassasystemen vaak onder een beheerdersaccount laten draaien. "Leveranciers beweren vaak dat dit vereist is, maar het zijn leugens. Het is gewoon een excuus voor luie programmeurs."

Ok maar dan wil ik toch wel 2 situaties onderscheiden:
1. de leverancier beweert dat het als admin moet draaien maar dat is helemaal niet zo
2. het moet als admin draaien omdat de programmeurs lui geweest zijn

Die 2e situatie daar kun je als klant toch maar weinig aan doen? Soms kan het nog oplossing bieden om hier of daar
een bestand of directory writable te maken, maar op een gegeven moment houdt het gewoon op. Je kunt dan alleen nog
maar kiezen tussen als admin draaien of de software niet gebruiken, en dat laatste is vaak geen optie.

Inderdaad is situatie 1 ook vaak het geval. Ik ben op het moment bezig met een geval waar Adobe Premiere niet wil
draaien en als je op internet zoekt met de melding waar het op stuk loopt dan vind je een antwoord wat kennelijk van
een Adobe medewerker komt, en die zegt dat je het als administrator moet draaien omdat het anders niet werkt.
Dat soort prutswerk zou je van een grote fabrikant niet verwachten, en het is in mijn geval ook niet het probleem
(het lost het probleem niet op), maar dit staat wel op de forums dus mensen gaan dat dan voor waar aannemen.
25-04-2015, 11:54 door Anoniem
Ik gebruik ook al jaren hetzelfde wachtwoord en dat is geheim.
25-04-2015, 12:34 door Anoniem
als klant kun je er heel veel aan doen. gewoon geen kassa systeem kopen van die slikke verkoper in zijn audi a6 (dat geeft al aan dat het een 13-in een dozijn verkoper is) en eerst een systeem zien draaien voordat je het koopt. wellicht moet de aanschaf van zo'n systeem niet door een bonenschuiver gemaakt worden maar door mensen die er ook daadwerkelijk mee moeten werken (kassiers) mensen die het moeten onderhouden (it girls) EN degene die de bonen moeten schuiven.

maar zoals vaak zijn bonenschuivers autistische narcisten die elke verantwoordelijkheid buiten zichzelf plaatsen en zeker geen invloeden en meningen van buitenaf willen binnen laten.
25-04-2015, 14:06 door karma4
Vandaag, 09:35 door Anoniem
Ok maar dan wil ik toch wel 2 situaties onderscheiden:
1. de leverancier beweert dat het als admin moet draaien maar dat is helemaal niet zo
2. het moet als admin draaien omdat de programmeurs lui geweest zijn
Maakt toch weinig verschil. In beide gevallen is de software/ondersteuning van de leverancier onvoldoende. Hij gaat voor de winst op zijn verkoop, niet op de betrouwbaarheid in jouw omgeving. Je moet iets hebben wat aan normale eisen voldoet. De enige opties die je hebt zijn:
- andere leverancier zoeken
- leverancier aansprakelijk maken voor (mogelijke) gevolgschade

Het is soms, alleen als je groot genoeg bent, mogelijk om samen aan een oplossing die voldoet te werken.
Al je klein bent of consument kun je alleen blij zijn met consumentenrecht.
25-04-2015, 15:04 door Anoniem
Ik zie het vaak genoeg op mijn werk. Een van onze leveranciers maakt als enige in Nederland een software pakket dat door praktisch elk bedrijf in onze branche wordt gebruikt. Dit omdat het aanschaffen van een zelfde pakket in het buitenland, of maatwerk, veel duurder is door de aanpassingen die dan moeten worden gedaan om aan de strenge regel- en wetgeving te kunnen voldoen. Het gevolg is dat dit bedrijf allerlei absurde eisen kan gaan stellen. Bijvoorbeeld 4k schermen, geen ondersteuning voor virtualisatie. Verder is er nagenoeg geen documentatie, en als het er al is dan is het verouderd. En voor sommige functies eisen ze minimaal local admin rechten.

We hebben daarom extra eisen gesteld, waar dit bedrijf dan zeer moeilijk over doet. Na jaren zeuren hebben we bijvoorbeeld eindelijk officieel virtualisatie ondersteuning gekregen. Terwijl we dit 'stiekem' al jaren deden zonder enig probleem.
25-04-2015, 21:25 door Anoniem
Door Anoniem: Ik gebruik ook al jaren hetzelfde wachtwoord en dat is geheim.
Dat is toeval! Dan gebruik je hetzelfde wachtwoord als ik!
26-04-2015, 09:13 door Anoniem
Door Anoniem:
Door Anoniem: Ik gebruik ook al jaren hetzelfde wachtwoord en dat is geheim.
Dat is toeval! Dan gebruik je hetzelfde wachtwoord als ik!
Door Anoniem:
Door Anoniem: Ik gebruik ook al jaren hetzelfde wachtwoord en dat is geheim.
Dat is toeval! Dan gebruik je hetzelfde wachtwoord als ik!

Lol.
26-04-2015, 19:23 door Anoniem
Gebrek aan onontkoombare persoonlijke verantwoordelijkheid/aansprakelijkheid die leidt tot snelle onvermijdbare strafmaatregelen van een dermate omvang dat zij iedere vorm van eerder behaalde winst ruimschoots teniet doen leidt tot niets anders dan onverantwoord (ook wel: inhalig) gedrag. Ten koste van velen, en vaak ook, indirect, de maatschappij als geheel.

Keihard aanpakken en afstraffen.

Simpel gezegd. Zodra de eerste 10 tot 20 "snelle jongens" al hun binnengehaalde vermogen (ten koste van anderen) kunnen inleveren en tot de bedelstaf worden veroordeeld, dan zal de rest heel snel maatregelen treffen.

Anders gezegd, op een dergelijke achterbakse manier rijk worden is gelijk te stellen aan verregaande bewuste uitkeringsfraude. Parasitair gedrag.
Immers, het kost de maatschappij, indirect, bakken met geld en het dient nergens toe anders dan de verrijking van een individueel persoon. Verregaande verrijking van een individueel persoon zou nooit mogen ten koste van de samenleving. Enkel ten bate van de samenleving.

En als een individu in staat is de samenleving te verrijken dan mag dat zeker ruimschoots beloond worden.
Graag zelf. Hoe meer personen gestimuleerd worden om schandalig rijk te worden, zolang de samenleving er maar beter van wordt, hoe beter.

Dien je wel heel scherp te stellen wat de definitie is van: waar de samenleving beter van wordt.
De samenleving is namelijk alles en iedereen. Met vrije marktkeuze. En een echte democratie. En rechtstaat.

Althans, zo zeggen de verkiezingsbeloften.
26-04-2015, 22:33 door Anoniem
Door Anoniem:
Dat is toeval! Dan gebruik je hetzelfde wachtwoord als ik!

Het is in elk geval makkelijk te onthouden... ;)
27-04-2015, 10:56 door Joep Lunaar
Al het gedoe met onwillige leveranciers - zoals aanpassen van wachtwoordprocedure of verwijderen onzinnige vereisten voor admin-rechten - zijn bij open source produckten nauwelijks denkbaar. Zeker gaat dit op voor de onderdelen die de (on)veiligheid van een systeem betreffen. Eist dus openheid !
27-04-2015, 21:38 door Anoniem
Door Anoniem:

maar zoals vaak zijn bonenschuivers autistische narcisten die elke verantwoordelijkheid buiten zichzelf plaatsen en zeker geen invloeden en meningen van buitenaf willen binnen laten.

Het maakt op mij een serieuzere indruk als je geen aandoeningen als scheldwoord gebruikt. Bovendien is dit een absurde combinatie.

Het verbaast me trouwens ook dat dit langs de moderator komt, mag ik dan ook allerlei enge ziektes als scheldwoord gaan gebruiken om mijn argumenten te "versterken"?

Het is hier geen GeenStijl.
28-04-2015, 10:06 door Anoniem
Door Anoniem:
Door Anoniem: Ik gebruik ook al jaren hetzelfde wachtwoord en dat is geheim.
Dat is toeval! Dan gebruik je hetzelfde wachtwoord als ik!

Hoe hebben jullie het opgelost met de nieuwe wachtwoord policies?
Ik heb noodgedwongen mijn wachtwoord moeten veranderen naar Geheim1!
Het wordt er allemaal niet makkelijk op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.