image

FBI waarschuwt voor aanval op verkiezingssystemen

maandag 12 september 2016, 10:37 door Redactie, 4 reacties

De FBI heeft vorige maand gewaarschuwd voor aanvallen op regionale verkiezingssystemen in de Verenigde Staten, waarbij aanvallers middels sql-injectie wisten binnen te dringen. In augustus werd er al over de waarschuwing bericht, maar die is nu door de website Public Intelligence online gezet (pdf).

Daardoor zijn ook de technische details beschikbaar geworden. Volgens de FBI heeft eind juni een onbekende aanvaller de website van een regionaal verkiezingskantoor via een een 'vulnerability scanner' op kwetsbaarheden gescand en daarbij een sql-injectie-kwetsbaarheid aangetroffen. Via sql-injectie is het mogelijk om toegang tot databases en ook volledige controle over websites en/of systemen te krijgen.

Twee weken na de scan werden gegevens uit de database gestolen. De aanvallers gebruikten de penetratietesttools Acunetix, SQLMap en DirBuster. Aan de hand van de informatie die de aanvallers in de logbestanden aanvaller achterlieten zijn verschillende ip-adressen geïdentificeerd. Andere verkiezingskantoren zijn gevraagd om in hun eigen logbstanden op deze ip-adressen en andere informatie die op een aanval kan duiden te zoeken.

Verder adviseert de FBI dat overheidsdiensten hun websites op kwetsbaarheden scannen en gevonden beveiligingslekken verhelpen. Er moet met name op sql-injectie-kwetsbaarheden worden gelet. Ook waarschuwt de opsporingsdienst voor shared hosting-omgevingen waarbij de overheidswebsite naast websites van anderen op dezelfde server draait. Door een aanval op deze websites zou ook de overheidswebsite risico kunnen lopen. Tevens wordt aangeraden om gebruikersinput te valideren, het databasemanagementsysteem met minimale rechten te laten werken, logging op web- en e-mailservers in te schakelen en verschillende websecurity-gerelateerde zaken door te voeren.

Reacties (4)
12-09-2016, 10:45 door Ron625
Zou de burgemeester van Rotterdam,Ahmed Aboutaleb, dit ook gelezen hebben?
12-09-2016, 11:19 door Anoniem
SQL injectie en gebruikers input validatie is al meer dan 10 jaar bekend als ingang voor lekken.
En nog erger, het lijkt erop dat zelfs script kiddies dit kunnen, aangezien er gebruik is gemaakt van bestaande tools....

Het is toch pijnlijk te lezen dat een organisatie die de (grootste) verkiezing moet organiseren, 10 jaar achterlopen met hun websites. Daarmee winnen we zeker wel de cyberoorlog.

TheYOSH
12-09-2016, 11:44 door Reinder
Weet iemand beter om exact wat voor systemen het gaat? Wat mij ervan bijstaat was dat het de database betrof met mensen die zich geregistreerd hadden als kiezer, en niet een of ander systeem voor electronisch stemmen. Het blijft uiteraard een enorme flater, zo'n systeem zou natuurlijk niet kwetsbaar moeten zijn voor dergelijke aanvallen, als je moet aanraden om "gebruikersinput te valideren" dan is dat een teken aan de wand.
12-09-2016, 13:36 door Anoniem
Dergelijke demonstraties van incompetentie zijn en blijven een dagelijkse werkelijkheid zolang verantwoordelijke personen hier niet echt op afgerekend worden. Ook binnen de betrokken organisaties zijn er de lui op hoger management niveau die telkens maar wegkomen met "Ich habe es nicht.... "
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.