image

Hackers: website Ashley Madison was slecht beveiligd

zondag 23 augustus 2015, 08:16 door Redactie, 23 reacties

De beveiliging van Ashley Madison, de gehackte website voor vreemdgangers, was ver onder de maat, zo stellen de hackers die de hack uitvoerden. Vorige maand werd de website gehackt, waarbij de gegevens van zo'n 32 miljoen mensen, alsmede allerlei bedrijfsgegevens werden buitgemaakt.

De data werden deze week deels online gezet. Inmiddels is er 30GB aan gestolen data gepubliceerd. In een interview met Vice Magazine laten de hackers weten dat ze nog 300GB aan e-mails van werknemers en documenten van het interne netwerk hebben. Ook zouden ze tienduizenden foto's van abonnees van de website in handen hebben, alsmede sommige chatgesprekken en berichten. Een derde van de afbeeldingen zouden foto's van mannelijke geslachtsdelen zijn die ze niet zullen publiceren, wat ook geldt voor de meeste e-mails van de werknemers van het bedrijf.

The Impact Team, zoals de hackers zich noemen, hekelen vooral de afwezige beveiliging van Ashley Madison. "We hadden ons best gedaan om de aanval ondetecteerbaar te maken, maar toen we binnenkwamen bleek dat er geen beveiliging was om te omzeilen." De beveiliging van de website wordt door de hackers als "slecht" omgeschreven. "Er was geen monitoring. Geen beveiliging. Het enige was een gesegmenteerd netwerk." Verder was het ook eenvoudig om roottoegang op de servers van Ashley Madison te krijgen, zo merken ze op. Wat betreft de toekomst sluiten de hackers niet uit dat ze ook andere websites, bedrijven en mogelijk corrupte politici zullen hacken.

Reacties (23)
23-08-2015, 08:30 door karma4
"roottoegang op de servers" Duidt op een bepaald OS dat altijd weggezet wordt als veilig. Benieuwd naar de details.
23-08-2015, 08:34 door Anoniem
Dat de beveiliging ver onder de maat is, en dat de hackers daarom dit bedrijf hebben gehackt, is nog te begrijpen.
Maar dat dezelfde hackers dit als argument gebruiken om hun diefstal en verspreiding van de door hen buitgemaakte gegevens te rechtvaardigen, is natuurlijk een gotspe.
We zien iedere keer weer dat dit soort criminelen zich trachten voor te doen als een soort Robin Hood.
Het extreem linkse hackers-collectief Anonymous heeft zelfs al eens opgeroepen tot een digitale Holocaust van de staat Israel.
Wie sympathie en rechtvaardiging voor dit soort figuren toont of zelfs bepleit, is minimaal moreel dwalende.
23-08-2015, 08:54 door yobi
Het OS waar karma4 denk ik op doelt, is niet veiliger dan andere systemen. Op internet worden web-servers continu aangevallen. Vaak draait de web-server onder een root-account. Poorten onder de 1024 (http poort 80; https poort 443) mogen dan bijvoorbeeld niet door een normale gebruiker worden opengezet. Er zijn wel constructies voor om dat te omzeilen. Bijvoorbeeld de web-server op 8080 laten draaien en via een NAT-regel poort 80 aan de buitenkant naar poort 8080 op het interne netwerk laten wijzen.

Monitoring is een ander probleem. Veel bedrijven hebben wel apparatuur staan, maar niemand controleert de logbestanden.
23-08-2015, 08:55 door [Account Verwijderd]
[Verwijderd]
23-08-2015, 09:39 door Anoniem
Door yobi: Vaak draait de web-server onder een root-account. Poorten onder de 1024 (http poort 80; https poort 443) mogen dan bijvoorbeeld niet door een normale gebruiker worden opengezet. Er zijn wel constructies voor om dat te omzeilen. Bijvoorbeeld de web-server op 8080 laten draaien en via een NAT-regel poort 80 aan de buitenkant naar poort 8080 op het interne netwerk laten wijzen.

Ik zie dat de kennis van de materie totaal afwezig is. Lijkt wel een beetje op de beweringen over Windows die je hier
vaak ziet, en die totaal nergens op gebaseerd zijn. Men roept maar wat, zonder zich er in verdiept te hebben.
23-08-2015, 09:39 door karma4 - Bijgewerkt: 23-08-2015, 10:20
Door Anoniem: Wie sympathie en rechtvaardiging voor dit soort figuren toont of zelfs bepleit, is minimaal moreel dwalende.
Nee, beslist geen sympathy voor die hackers, het zijn gewoon "bad "guys". Om dat als argument te gebruiken om niets aan security awareness en niets aan een behoorlijke security inrichting is net zo verkeerd. Gelegenheid maakt de dief.

Vandaag, 08:54 door yobi Poorten onder de 1024 (http poort 80; https poort 443) mogen dan bijvoorbeeld niet door een normale gebruiker worden opengezet ...
Monitoring is een ander probleem. Veel bedrijven hebben wel apparatuur staan, maar niemand controleert de logbestanden
Dank je Yobi,
Je noemt een mitigatie voor poort 80 als root. (shellshock). Het onderdeel (webserver) process dat de data schrijft/leest op het filesystem hoeft niet onder root (het zijn gescheiden processen). Toch wordt die aanname vaak genomen.
Dat logging monitoring niet gedaan wordt tja.... het is duur kost mankracht.

Vandaag, 08:55 door Muria Bij afwezige beveiliging...
Yup, als je iets zelf niet waardevol vindt en dan dat soort beleid "(want dat is wel zo gemakkelijk)" voert moet je niet raar opkijken als een ander dat wel waardevol vindt, het zich toeeigend.
23-08-2015, 09:44 door Anoniem
Door karma4:
Door Anoniem: Wie sympathie en rechtvaardiging voor dit soort figuren toont of zelfs bepleit, is minimaal moreel dwalende.
Nee, beslist geen sympathy voor die hackers, het zijn gewoon "bad "guys". Om dat als argument te gebruiken om niets aan security awareness en niets aan een behoorlijke security inrichting is net zo verkeerd. Gelegenheid maakt de dief.

Nee het is eerst de verrotte mentaliteit die er is, en dan pas het plan om te gaan inbreken.
Die hackers zijn door en door slecht en ze moeten gepakt worden. Allerlei goedmakerij eromheen slaat echt nergens op.
Als er groepen zijn die alleen maar kijken hoe ze spullen van anderen kapot kunnen maken dan moeten die uit de
samenleving verwijderd worden, want anders kan die niet goed voortbestaan. Het is niet goed als iedereen alleen maar
bezig moet zijn met dichttimmeren.
23-08-2015, 09:44 door [Account Verwijderd]
[Verwijderd]
23-08-2015, 12:19 door Anoniem
"roottoegang op de servers" Duidt op een bepaald OS dat altijd weggezet wordt als veilig. Benieuwd naar de details.

Je kunt elk OS veilig of onveilig maken als je wilt. Er bestaan besturingssystemen met de hoogste veiligheidsclassificatie (dus vele malen beter dan Windows, Linux en Unix), maar ook hier geldt: als je er een zooitje van maakt kan iedereen wel binnenkomen. Veiligheid hangt af van de code en vooral van de gebruiker. De mens is nog altijd de zwakste schakel in de wereld van de security zo leert de ervaring helaas.
23-08-2015, 15:11 door Wim ten Brink
Het probleem is vooral dat het lastig is om experts te vinden die een goede beveiliging kunnen opzetten. Er zijn miljoenen websites online en al die sites hebben beveiliging nodig, maar het aantal experts is vrij beperkt, mede omdat het zo'n complex gebied is. Vaak zie je dan ook dat systeem-beheerders ooit iets is aangeleerd en ze het truukje gewoon blijven herhalen omdat "het zo moet". Net getrainde chimpanzees.
Beveiliging is vaak maatwerk dat goed ingesteld moet worden op de eisen binnen een bedrijf en daarna continu in de gaten gehouden moet worden en eventueel aangepast moet worden waar nodig. Dit betekent eigenlijk dat je diverse accounts wilt hebben met ieder een eigen wachtwoord waarbij iedere account weer een specifieke taak heeft. Heb je b.v. een database server met 5 databases dan moet je voor iedere database weer een aparte account hebben waarmee de beheerders van die database hun updates kunnen doen. En een tweede account voor de eventuele web applicaties die gebruik maken van deze databases. Gewoon beperkte rechten en vooral ook zorgen dat ieder wachtwoord uniek is en men maandelijks het wachtwoord moet aanpassen naar een ander, uniek wachtwoord. Maar goed, zo kan ik wel even doorgaan en dan zul je zien dat er genoeg mensen zijn die het er niet mee eens zijn...
-
Maar het probleem is niet alleen dat er weinig experts zijn, er zijn ook enorm veel kwakzalvers (bij gebrek aan een beter woord) die denken te weten hoe het moet maar het eigenlijk niet kunnen. Je gevoel van veiligheid is dan spontaan voorbij op het moment dat hun onkunde naar voren komt.
23-08-2015, 16:39 door karma4
Door Anoniem: Nee het is eerst de verrotte mentaliteit die er is, en dan pas het plan om te gaan inbreken. ... .
Eens met die verrotte mentaliteit. van de `bad guys`
Ik heb het over `wees vertrouwd maar vertrouw niemand` en `zoals de waard is vertrouwt hij zijn gasten`. Je kan niet alles dichttimmeren er is een kosten-baten risico-impact analyse bij nodig (CIA BIA).

Dat gaat verder dan de chimpansee aanpak zoals Wim ten Brink (software engineer en cgi artiest) aangeeft. Meerdere accounts (Segregation of duties) met beperkte rechten ingperkt tot hetgeen nodig is, niet meer. Ik ben het met hem eens.
En ook met "genoeg mensen zijn die het er niet mee eens zijn..." .

Het is net zo'n verrotte mentaliteit bij al die "kwakzalvers". Snel Goedkoop en Goed, je kunt ze niet alle drie hebben wel met alle drie fout zitten.
23-08-2015, 16:58 door Anoniem
Door karma4:
Door Anoniem: Nee het is eerst de verrotte mentaliteit die er is, en dan pas het plan om te gaan inbreken. ... .
Eens met die verrotte mentaliteit. van de `bad guys`
Ik heb het over `wees vertrouwd maar vertrouw niemand` en `zoals de waard is vertrouwt hij zijn gasten`. Je kan niet alles dichttimmeren er is een kosten-baten risico-impact analyse bij nodig (CIA BIA).

Door de mentaliteit van die hackers moet alles bomvrij beveiligd worden.
Vergelijk het met je huis of auto. Ik kan zo aantonen dat die slecht beveiligd zijn. Gewoon een baksteen door de ruit
gooien. Pats, alles ligt open!! Slecht beveiligd man! Wat heb jij een slechte expert ingehuurd!
Ik zal eens gauw wat jatten en dan jou daarmee chanteren. Waarom heb je geen kogelvrij glas?

ZO gaat het op internet ook. Alleen worden degenen die dat doen dan opgehemeld in bepaalde kringen.
23-08-2015, 18:01 door karma4
Door Anoniem: Door de mentaliteit van die hackers moet alles bomvrij beveiligd worden.
Vergelijk het met je huis of auto ....
Nee het gaat niet om een bomvrije beveiliging, die wordt ook niet vereist.

Ter vergelijk: Voor je huis of auto, een SGK richtlijn http://www.politiekeurmerk.nl/keurmerk/over-het-keurmerk/beveiligingsrichtlijn-en-de-productenlijst/
Voor de ICT heb je NEN 7510 (health) en ISO27k (algemeen) met notities vanuit b.v. NCSC Owasp en Sans.
De hoofdstukken met onderwerpen bij ISO27k is geklassicifeerd als "public" http://www.iso27001security.com/html/27002.html . Het voeren van meerdere "service accounts" en "privileged accounts" is daarin gewoon benoemd bij bepaalde hoofdstukken (9.2 14.2) als een waardevolle praktische invulling.

In de praktijk krijg je dan reacties dat het "te moeilijk" is. Het is niet nodig is om aan een adequate ICT inrichting te doen, het kan allemaal veel simpeler. Uhhh? Dat geluid komt dan uit een beheerders hoek met minder interesse in bedrijfsbelangen.
Waarom zou je nu thuis een deur op slot draaien en een behoorlijk slot gebruiken? Verdedig je nu echt dat insluiping (niet afgesloten deuren) het zelfde is als inbraak? De shovel hou je niet zo maar tegen maar de gelegenheidsdief wel.
24-08-2015, 09:18 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: Nee het is eerst de verrotte mentaliteit die er is, en dan pas het plan om te gaan inbreken. ... .
Eens met die verrotte mentaliteit. van de `bad guys`
Ik heb het over `wees vertrouwd maar vertrouw niemand` en `zoals de waard is vertrouwt hij zijn gasten`. Je kan niet alles dichttimmeren er is een kosten-baten risico-impact analyse bij nodig (CIA BIA).

Door de mentaliteit van die hackers moet alles bomvrij beveiligd worden.
Vergelijk het met je huis of auto. Ik kan zo aantonen dat die slecht beveiligd zijn. Gewoon een baksteen door de ruit
gooien. Pats, alles ligt open!! Slecht beveiligd man! Wat heb jij een slechte expert ingehuurd!
Ik zal eens gauw wat jatten en dan jou daarmee chanteren. Waarom heb je geen kogelvrij glas?

ZO gaat het op internet ook. Alleen worden degenen die dat doen dan opgehemeld in bepaalde kringen.

Een vergelijking met huis auto en baksteen is veel te simpel. Bij een bankautomaat verwacht je meer beveiliging dan bij een huis. Bij een site als Ashley Madison, met dat soort privacy gevoelige persoonsgegevens verwacht je maximale beveiliging. Die was er blijkbaar niet, dus zijn ze laakbaar (en aansprakelijk).
24-08-2015, 09:21 door Anoniem
er zijn iets van 7.000.000.000 mensen, en als er maar een slecht is en een beetje handig, moeten alle firewalls en muren en grenzen en wat al niet meer net iets handiger zijn. Niet zeuren over mentaliteit en wat er allemaal zou moeten zijn, maar accepteren dat er slechte mensen zijn, en nog es een heleboel ook, en dat daar ook hele handige bijzitten.

Vervolgens up je je security hoger dan de buurman, zodat de naargeesten daar inbreken, en jou nog even met rust laten.
NEN en ISO stellen je in staat om je attacksurface te verkleinen, en de impact en detectie na de onvermijdelijke hack te beperken.
De echte goeie bad-guys worden na de arrestatie aan de AIVD toegevoegd met een sociale halsband. En dan heb je ze alsnog aan de buitenkant van je perimeter. (tot je ze aan de binnenkant hebt)

roosjes verwelken, scheepjes vergaan, zit niet te zeiken, maar doe er wat aan.
24-08-2015, 11:58 door Anoniem
Door karma4: "roottoegang op de servers" Duidt op een bepaald OS dat altijd weggezet wordt als veilig. Benieuwd naar de details.
Het was Windows Server
24-08-2015, 12:28 door Anoniem
vrijwel ALTIJD ALLEMAAL WINDOWS:
http://techrights.org/2015/08/20/ashley-madison-microsoft-windows/#hide
24-08-2015, 12:47 door Anoniem
De SSL is zo te zien wel goed voor elkaar ("A" grade van SSLLABS). Hier schermden ze ook mee: "100% safe".
Maar dit incident bewijst maar weer eens dat veiligheid niet alleen maar afhangt van de SSL kwaliteit.
Iets wat experts natuurlijk allang wisten, maar wat ongetwijfeld een aantal "stoutertjes" die hier geen weet van hadden
over de streep zal hebben getrokken...
(overigens haast niet te geloven dat zoveel personen hun partner bedriegen. Erg slap, en bevordert i.h.a. security niet...)

Goeroehoedjes
24-08-2015, 13:05 door _R0N_
Ach een lekke apache dat onder root gestart is is genoeg..
Of elke andere lekke service die van buiten benaderbaar is..

Ieder OS is lek of veilig, naar welke kant de wijzer gaat ligt aan de beheerder..

Er zijn er genoeg die wanen zich veilig "omdat Linux veilig is" maar vergeten dat je er wel wat voor moet doen.
24-08-2015, 14:17 door Anoniem
Even een vraagje vooraf: zijn dit nou die zgn.ethical hackers die deze hack en gegevensdiefstal uitvoerden? Het lijkt me niet,want er werden gegevens gestolen en gepubliceerd.
24-08-2015, 14:20 door Anoniem
Door _R0N_: Ach een lekke apache dat onder root gestart is is genoeg..
Of elke andere lekke service die van buiten benaderbaar is..

Ieder OS is lek of veilig, naar welke kant de wijzer gaat ligt aan de beheerder..

Er zijn er genoeg die wanen zich veilig "omdat Linux veilig is" maar vergeten dat je er wel wat voor moet doen.

Het was geen Linux maar Windows is hierboven vastgesteld: Vandaag, 11:58 door Anoniem
24-08-2015, 16:23 door karma4 - Bijgewerkt: 24-08-2015, 17:09
Door Anoniem: Het was geen Linux maar Windows is hierboven vastgesteld: Vandaag, 11:58 door Anoniem
Kijk eens wat rond op die techrights.org site: [ur] http://techrights.org/2015/08/21/epo-business-methods-and-algorithms/ [/url] Ze zijn faliekant tegen een onafhankelijk Europa I.Opstelten is een corrupte ambtenaar (F.Teeven bonnetjesaffaire)
https://en.wikipedia.org/wiki/Stuxnet zou alleen windows zijn. Het ging om de PLC's te bereiken waar windows stations met programmeeromgeving voor gebruikt worden (een tussenstation). Net zoals: de "Two websites in Denmark and Malaysia were configured as command and control servers for the malware, allowing it to be updated, and for industrial espionage to be conducted by uploading information. Both of these websites have subsequently been taken down as part of a global effort to disable the malware". Die webservers moisten de boel afleveren.

Gezien de eenzijdigheid van de berichtgeving op de site (Linux promotor), moeten we helaas skeptisch blijven. Het is nu net zoiets als dat de NRA beweert dat hoe meer wapens er rond gaan en klaar voor gebruik zijn hoe veiliger het is.

Ja er zijn Windows bestanden gelekt. Dat hadden de hackers ook al aangegeven. Ze konden overal bij, er was geen beveiliging. Ze konden bij alle office bestanden en servers. Ja ze zullen windows (office) gebruiken.

De vraag is echter: hoe de hack heeft plaatsgevonden.
Een andere link http://blog.erratasec.com/2015/08/notes-on-ashley-madison-dump.html bcrypt...
25-08-2015, 10:00 door [Account Verwijderd] - Bijgewerkt: 25-08-2015, 10:03
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.