Grootste datalek Singapore door reeks beveiligingsmissers
Het grootste datalek in de geschiedenis van Singapore waarbij de gevoelige gegevens van 1,5 miljoen patiënten werden gestolen was mogelijk door een reeks beveiligingsmissers op allerlei niveaus, zo blijkt uit een rapport dat een onderzoekscommissie vandaag heeft gepubliceerd (pdf).
Het rapport, dat voor it-professionals zeker de moeite waard is om te lezen, laat zien hoe de aanvallers binnenkwamen, zich door de verschillende systemen konden bewegen en uiteindelijk toegang kregen tot een database met allerlei gevoelige informatie, waaronder diagnoses, uitslagen, gezondheidsproblemen, medische waarschuwingen, allergieën, klinische informatie, medicatie en persoonsgegevens. Volgens de onderzoekscommissie hadden de aanvallers het specifiek voorzien op de persoonlijke en medische data, waaronder het medicijngebruik, van de Singaporese premier.
De database werd beheerd door SingHealth, de grootste zorgaanbieder in Singapore en onderdeel van het ministerie van Volksgezondheid. De aanvallers kregen rond 23 augustus 2017 voor het eerst toegang tot een SingHealth-computer, waarschijnlijk door een phishingmail. Er is bewijs dat de aanvallers phishingmails verstuurden waardoor er malware op een werkstation kon worden geïnstalleerd. De computer die als eerste werd geïnfecteerd werd echter in oktober 2017 door SingHealth uitgefaseerd en kon niet meer worden onderzocht.
Op een ander werkstation dat een dag later besmet raakte werden verschillende sporen aangetroffen, waaronder een publiek beschikbare hackingtool en een remote access trojan (RAT). Volgens de onderzoekscommissie konden de aanvallers op 1 december 2017 een hackingtool op het werkstation installeren via een beveiligingslek in Outlook, waarvoor Microsoft een beveiligingsupdate beschikbaar had gemaakt. Deze update was echter niet geïnstalleerd. De onderzoekscommissie ontdekte dat op het moment van de initiële infectie de meeste versies van Microsoft Office bij SingHealth niet up-to-date waren en kwetsbaarheden bevatten.
Rol van het it-personeel
Naast de technische aspecten van de aanval, waarbij het 454 pagina's tellende rapport ingaat hoe de aanvallers de inloggegevens van beheerders wisten te verkrijgen en zich door verschillende systemen konden bewegen, is er ook aandacht voor de rol van het it-personeel. Het personeel beschikte volgens de onderzoekscommissie over onvoldoende bewustzijn, training en middelen om de eigen bevindingen op waarde te schatten en op de aanval te reageren.
Verschillende beheerders zagen namelijk wel verdachte activiteit op de Citrix-servers die SingHealth gebruikte, maar konden de beveiligingsgevolgen niet inschatten. De beheerders besloten hun bevindingen ook niet te escaleren. Daarnaast ontbrak er een framework voor het melden van incidenten. Ook het hogere management kon de gevolgen van de aanval niet goed inschatten. Zo hadden de Security Incident Response Manager (SIRM) en Cluster Information Security Officer (CISO) van SingHealth een verkeerd begrip van wat een beveiligingsincident was.
De SIRM besloot zijn incidentmelding uit te stellen omdat dit extra druk op hem en zijn team zou plaatsen als het management achter de situatie zou komen. Ook werd er besloten om het incident niet te escaleren omdat men bang was voor een vals alarm. Verder bleek de CISO de impact van de aan hem gepresenteerde informatie niet te begrijpen en besloot hij ook geen stappen te nemen om dit wel te doen.
De database-applicatie die SingHealth gebruikte bleek een kwetsbaarheid te bevatten waardoor de aanvallers de inloggegevens van de database wisten te bemachtigen. De organisatie was echter niet onbekend met kwetsbaarheden in het eigen netwerk. Tijdens een penetratietest in begin 2017 waren namelijk al verschillende kwetsbaarheden in het netwerk gevonden die mogelijk ook door de aanvallers zijn gebruikt. Het gaat onder andere om zwakke beheerderswachtwoorden en netwerkscheiding van gevoelige systemen. Een deel van deze kwetsbaarheden was op het moment van de aanval nog niet verholpen.
Volgens de onderzoekscommissie hadden de misconfiguraties en kwetsbaarheden voor de aanval verholpen kunnen worden, wat het een stuk lastiger voor de aanvallers zou hebben gemaakt. Verder bleek dat het it-personeel signalen van de aanval niet herkende. De onderzoekscommissie doet dan ook verschillende aanbevelingen in het rapport, waaronder het trainen van het personeel en het verbeteren van de "cyberhygiëne" onder personeel.
Het begint al goed. Nu de rest nog lezen.
Peter
Bijna een complete handleiding om beveiliging in te richten.
Bijna een complete handleiding om beveiliging in te richten.
Mijnheer heeft die 454 pagina's alweer gelezen en begrepen hoor.
Bijna een complete handleiding om beveiliging in te richten.
Mijnheer heeft die 454 pagina's alweer gelezen en begrepen hoor.
Vandaar "een bijan complete handleding".
Aanbeveling #5 trok meteen de aandacht. Een van de onderwerpen waar ik vaak naar verwijs. pag 298 is teller 321 in pdf
Onder 40.2 regel 875 is een bekende maar 878 hoort er net zo goed bij (te vaak genegeerd) 884 het bekende admin standaard password.
Met 40.5.1 895 "Server local administrator accounts are a security problem because one set of login credentials is typically used by many IT administrators. This can make it difficult or even impossible to implement an identity-based access management policy because the specific person gaining access to a server cannot be tracked at any given time."
909 "Locking down service accounts must be a basic component of the hardening strategy for servers. An inventory of all existing service accounts must be created, and existing privileges should be reviewed with the view to granting the least privileges necessary."
Het leest snel als er veel bekends in voor komt. Wat er niet staat is waarom het zo neergezet is. Managers beleidskeuzes budgetten time to market.
Ik ken iemand in Singapore en die bevestigt dit wel een beetje.
Daarnaast nemen Singaporeanen zelf geen acties. Ze moeten verteld worden wat ze moeten doen.
Standaard grapje: "Als je Singapore wilt veroveren, hoef je alleen de hoogste militair te vermoorden. De rest blijft dan gewoon op opdrachten wachten."
Peter
Ja, je hebt gelijk, de paar persoonlijke ervaringen in die zelfde culturele verschillen die je noemt.
De overeenkomst is dat ook in de westerse wereld managers liever voorgelogen willen worden dat het allemaal fantastisch gaat ook al dreigt het mis te gaan. Het gevolg is door onbegrip dat het ook mis gaat.
Wat ook wel opvallend is dat ze minder problemen hebben om alles met de namen van de personen te noemen.
De vaak aangehaalde Vivek is bijvoorbeeld directeur van mandriant een onderdeel van Fireeye.
De site draait op Citrix Netscaler. 593 door te voeren verbeteringen is nogal een fors aantal:
https://webhint.io/scanner/c7ce43ea-6cb1-4937-b16f-45eaf6ae2726
waarvan 369 security gerelateerde aanbevelingen: https://webhint.io/scanner/c7ce43ea-6cb1-4937-b16f-45eaf6ae2726#Security
Uit het Upguard rapport: https://webscan.upguard.com/#/https://www.singhealth.com.sg/
Samengevat de ergste missers:
Kwetsbaar voor man-in-the-middle aanvallen, vanwege HSTS header niet gezet voor preload list inclusie.
Kwetsbaar voor cross-site aanvullen, want HttpOnly cookies niet gebruikt.
Namelijk aangetroffen: set-cookie (TS010cf509): TS010cf509, set-cookie (BIGipServer~Common_SP~F5_POOL_PaaS_SP_SHS_SHSANON_PRD_80): BIGipServer~Common_SP~F5_POOL_PaaS_SP_SHS_SHSANON_PRD_80 secure; HttpOnly;
Aangetroffen lichtvaardige SPF filtering, daardoor openstaand voor het verzenden van frauduleuze mails.
Verwacht - contains all, aangetroffen: ~ contains all. E-mails van een niet geldig domain kunnen nog steeds binnenkomen op deze manier.
Geen DNSSEC.
Zie ook: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fwww.singhealth.com.sg%2F
en D-graad beveiliging hier: https://observatory.mozilla.org/analyze/www.singhealth.com.sg
Dit kan dus al direct bekend zijn via een paar eenvoudige openbare 3rd party cold reconnaissance website scan rapportjes,
zoals die voor ieder te interpreteren valt.
Zie ook: https://tls-observatory.services.mozilla.com/static/certsplainer.html?id=27159409
Men kan met deze beveiligingsmissers dus wel even aan de slag.
luntrus
Veel belangrijker dan een database is de opmerking daar wat de iso27k betekent. Het is een intern ISMS gebeuren voor Allscripts interne IT en zegt niets over het product (COTS software) zelf en niets over de SCM applicatie omgeving.
Dat er wat over gezegd wordt op die manier geeft aan dat er foute verwachtingen gewekt zijn en dat de externe leverancier met zijn software niet op de vereiste wijze een invulling aan beveiligingsbeleid heeft gegeven.
Het geheel valt onder. RECOMMENDATION #4: ENHANCED SECURITY CHECKS MUST BE PERFORMED, ESPECIALLY ON CII SYSTEMS , deze loopt daar naar aanbeveling #7
Loop dan even de keyfindings door (vi paging 12 pdf) let op het teniet gedaan zijn van de netwerksegmentatie door een paln om servers bij een externe partij te plaatsen (provider the cloud).
Wil je toch persé naar de te techniek. https://www.allscripts.com/news-insights/blog/blog/2018/01/3-billion-data-shares-and-counting in deze zelfde link kun je lezen dat allscripts de optie met api's (open source) voor derde partijen heeft opengezet. T"Today, more than 6,000 third-party developers work within the Allscripts Developer Portal to deploy solutions using FHIR-enabled and Allscripts’ proprietary APIs." doorklikken …
Allscripts now offers three distinct ways to connect with our solutions:
Developer Open Access Account – Free and open to any individual or company who would like to use Allscripts FHIR® ©-enabled APIs, no approval or testing required. https://developer.allscripts.com/Content/fhir/ het datamodel en hoe die te benaderen is openbaar en niet geheim.
Als de wijze van data ophalen bekend is en je hebt een toegang om binnen te komen dan ligt snel alles open.
Root cause: combinatie van gebruik van Microsoft software en luie updaters. What else? Next...
Het FO (Functioneel Ontwerp)moet ook dat deel invullen.
Niet zeggen omdat iedereen het kan zien zal het wel goed zitten en doen wij niets.
root cause: Free and open zelfde letters andere betekenis ander resultaat. Blijft dooretteren
Root cause: we zijn het eens; Microsoft evangelisten die ongetwijfeld gebruik hebben gemaakt van de hen bekende middelen Microsoft OEM- en andere chantage.
Dat je dergelijke documenten op bureaus hebt zien liggen tijdens je werkzaamheden als schoonmaker wil nog niet zeggen dat je er iets vanaf weet. Laat staan dat je dergelijke documenten zou hebben geschreven.
Root cause: we zijn het eens; Microsoft evangelisten die ongetwijfeld gebruik hebben gemaakt van de hen bekende middelen Microsoft OEM- en andere chantage
Het gaat hiier om Allscripts. Met de nalayse van vijf vooraanstaande instituten (de namen achter die vijf onderzoekers) is gehakt gemaakt van de werkwijzes. Die komen verdacht veel overeen met het FOSS evangelie.
- https://www.security.nl/posting/587922/ISO+standaarden+voor+management De eerste 6 kritische verbeteradviezen komen hoofdzakelijk uit de ISO27001 voor en gedeeltelijk uit de ISO27002.
Als de rommel van FOSS evangelisten en andere vendor-lockins moet zien op te ruimen moet je inderdaad op een punt beginnen voordat je daaraan toe komt. Laat ik nu niets met Microsoft hebben eerder met een gedegen opzet van informatie. Je bewijst telkens weer het gevaar van FOSS envangelisme in dat rapport over wat er allemaal mis ging zijn daar premie de correlaties van te zien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
