image

Grootste datalek Singapore door reeks beveiligingsmissers

donderdag 10 januari 2019, 15:30 door Redactie, 16 reacties

Het grootste datalek in de geschiedenis van Singapore waarbij de gevoelige gegevens van 1,5 miljoen patiënten werden gestolen was mogelijk door een reeks beveiligingsmissers op allerlei niveaus, zo blijkt uit een rapport dat een onderzoekscommissie vandaag heeft gepubliceerd (pdf).

Het rapport, dat voor it-professionals zeker de moeite waard is om te lezen, laat zien hoe de aanvallers binnenkwamen, zich door de verschillende systemen konden bewegen en uiteindelijk toegang kregen tot een database met allerlei gevoelige informatie, waaronder diagnoses, uitslagen, gezondheidsproblemen, medische waarschuwingen, allergieën, klinische informatie, medicatie en persoonsgegevens. Volgens de onderzoekscommissie hadden de aanvallers het specifiek voorzien op de persoonlijke en medische data, waaronder het medicijngebruik, van de Singaporese premier.

De database werd beheerd door SingHealth, de grootste zorgaanbieder in Singapore en onderdeel van het ministerie van Volksgezondheid. De aanvallers kregen rond 23 augustus 2017 voor het eerst toegang tot een SingHealth-computer, waarschijnlijk door een phishingmail. Er is bewijs dat de aanvallers phishingmails verstuurden waardoor er malware op een werkstation kon worden geïnstalleerd. De computer die als eerste werd geïnfecteerd werd echter in oktober 2017 door SingHealth uitgefaseerd en kon niet meer worden onderzocht.

Op een ander werkstation dat een dag later besmet raakte werden verschillende sporen aangetroffen, waaronder een publiek beschikbare hackingtool en een remote access trojan (RAT). Volgens de onderzoekscommissie konden de aanvallers op 1 december 2017 een hackingtool op het werkstation installeren via een beveiligingslek in Outlook, waarvoor Microsoft een beveiligingsupdate beschikbaar had gemaakt. Deze update was echter niet geïnstalleerd. De onderzoekscommissie ontdekte dat op het moment van de initiële infectie de meeste versies van Microsoft Office bij SingHealth niet up-to-date waren en kwetsbaarheden bevatten.

Rol van het it-personeel

Naast de technische aspecten van de aanval, waarbij het 454 pagina's tellende rapport ingaat hoe de aanvallers de inloggegevens van beheerders wisten te verkrijgen en zich door verschillende systemen konden bewegen, is er ook aandacht voor de rol van het it-personeel. Het personeel beschikte volgens de onderzoekscommissie over onvoldoende bewustzijn, training en middelen om de eigen bevindingen op waarde te schatten en op de aanval te reageren.

Verschillende beheerders zagen namelijk wel verdachte activiteit op de Citrix-servers die SingHealth gebruikte, maar konden de beveiligingsgevolgen niet inschatten. De beheerders besloten hun bevindingen ook niet te escaleren. Daarnaast ontbrak er een framework voor het melden van incidenten. Ook het hogere management kon de gevolgen van de aanval niet goed inschatten. Zo hadden de Security Incident Response Manager (SIRM) en Cluster Information Security Officer (CISO) van SingHealth een verkeerd begrip van wat een beveiligingsincident was.

De SIRM besloot zijn incidentmelding uit te stellen omdat dit extra druk op hem en zijn team zou plaatsen als het management achter de situatie zou komen. Ook werd er besloten om het incident niet te escaleren omdat men bang was voor een vals alarm. Verder bleek de CISO de impact van de aan hem gepresenteerde informatie niet te begrijpen en besloot hij ook geen stappen te nemen om dit wel te doen.

De database-applicatie die SingHealth gebruikte bleek een kwetsbaarheid te bevatten waardoor de aanvallers de inloggegevens van de database wisten te bemachtigen. De organisatie was echter niet onbekend met kwetsbaarheden in het eigen netwerk. Tijdens een penetratietest in begin 2017 waren namelijk al verschillende kwetsbaarheden in het netwerk gevonden die mogelijk ook door de aanvallers zijn gebruikt. Het gaat onder andere om zwakke beheerderswachtwoorden en netwerkscheiding van gevoelige systemen. Een deel van deze kwetsbaarheden was op het moment van de aanval nog niet verholpen.

Volgens de onderzoekscommissie hadden de misconfiguraties en kwetsbaarheden voor de aanval verholpen kunnen worden, wat het een stuk lastiger voor de aanvallers zou hebben gemaakt. Verder bleek dat het it-personeel signalen van de aanval niet herkende. De onderzoekscommissie doet dan ook verschillende aanbevelingen in het rapport, waaronder het trainen van het personeel en het verbeteren van de "cyberhygiëne" onder personeel.

Reacties (16)
10-01-2019, 15:54 door Anoniem
This report contains sensitive information, and is hence classified 'Top Secret'.

Het begint al goed. Nu de rest nog lezen.

Peter
10-01-2019, 16:50 door karma4
Prachtig document.
Bijna een complete handleiding om beveiliging in te richten.
10-01-2019, 19:57 door [Account Verwijderd]
Door karma4: Prachtig document.
Bijna een complete handleiding om beveiliging in te richten.

Mijnheer heeft die 454 pagina's alweer gelezen en begrepen hoor.
11-01-2019, 06:06 door karma4 - Bijgewerkt: 11-01-2019, 06:12
Door [Account Verwijderd]:
Door karma4: Prachtig document.
Bijna een complete handleiding om beveiliging in te richten.

Mijnheer heeft die 454 pagina's alweer gelezen en begrepen hoor.
Ik ben begonnen met part VII inhoudsopgave pagina van 213. De aanbevelingen en die langs de iso27001 (Strategy) 27002 (taktics) te leggen. Deze lopen zo te zien alle IT specifieke zaken langs.(16 aanbevelingen en dat zal nog niet uitputtend zijn. Wat er niet in zit de fysieke benaderingen, die blijven voor ICT-ers meestal buiten beeld .
Vandaar "een bijan complete handleding".

Aanbeveling #5 trok meteen de aandacht. Een van de onderwerpen waar ik vaak naar verwijs. pag 298 is teller 321 in pdf
Onder 40.2 regel 875 is een bekende maar 878 hoort er net zo goed bij (te vaak genegeerd) 884 het bekende admin standaard password.
Met 40.5.1 895 "Server local administrator accounts are a security problem because one set of login credentials is typically used by many IT administrators. This can make it difficult or even impossible to implement an identity-based access management policy because the specific person gaining access to a server cannot be tracked at any given time."

909 "Locking down service accounts must be a basic component of the hardening strategy for servers. An inventory of all existing service accounts must be created, and existing privileges should be reviewed with the view to granting the least privileges necessary."

Het leest snel als er veel bekends in voor komt. Wat er niet staat is waarom het zo neergezet is. Managers beleidskeuzes budgetten time to market.
11-01-2019, 08:51 door Anoniem
Eh... de fout is dat die gegevens er ZIJN.
11-01-2019, 10:00 door Anoniem
Je kunt de denkwereld van Europa niet projecteren op Azië, als je de denkwereld van Azië zou kennen dan zou je de (verkeerde!) beslissingen begrijpen.Dit is veel meer een cultureel ding dan een beveilingingsding. Dat verander je niet zo maar. Been there, done that. Het management wordt liever voorgelogen dan dat het management met de billen bloot moet, AKA gezichtsverlies leidt. Dat het gezichtsverlies nu veel groter is, tekent het onbegrip.
11-01-2019, 11:19 door Anoniem
Door Anoniem: Je kunt de denkwereld van Europa niet projecteren op Azië, als je de denkwereld van Azië zou kennen dan zou je de (verkeerde!) beslissingen begrijpen.Dit is veel meer een cultureel ding dan een beveilingingsding. Dat verander je niet zo maar. Been there, done that. Het management wordt liever voorgelogen dan dat het management met de billen bloot moet, AKA gezichtsverlies leidt. Dat het gezichtsverlies nu veel groter is, tekent het onbegrip.

Ik ken iemand in Singapore en die bevestigt dit wel een beetje.
Daarnaast nemen Singaporeanen zelf geen acties. Ze moeten verteld worden wat ze moeten doen.
Standaard grapje: "Als je Singapore wilt veroveren, hoef je alleen de hoogste militair te vermoorden. De rest blijft dan gewoon op opdrachten wachten."

Peter
11-01-2019, 12:17 door karma4
Door Anoniem: Je kunt de denkwereld van Europa niet projecteren op Azië, als je de denkwereld van Azië zou kennen dan zou je de (verkeerde!) beslissingen begrijpen.Dit is veel meer een cultureel ding dan een beveilingingsding. Dat verander je niet zo maar. Been there, done that. Het management wordt liever voorgelogen dan dat het management met de billen bloot moet, AKA gezichtsverlies leidt. Dat het gezichtsverlies nu veel groter is, tekent het onbegrip.

Ja, je hebt gelijk, de paar persoonlijke ervaringen in die zelfde culturele verschillen die je noemt.
De overeenkomst is dat ook in de westerse wereld managers liever voorgelogen willen worden dat het allemaal fantastisch gaat ook al dreigt het mis te gaan. Het gevolg is door onbegrip dat het ook mis gaat.

Wat ook wel opvallend is dat ze minder problemen hebben om alles met de namen van de personen te noemen.
De vaak aangehaalde Vivek is bijvoorbeeld directeur van mandriant een onderdeel van Fireeye.
11-01-2019, 15:03 door IvanSS
Het woord database komt heel vaak voor (SCM database) in het rapport. Om welke database gaat het eigenlijk? Oracle, MSSQL, Mysql??
11-01-2019, 17:31 door Anoniem
@ IvanSS van 15:03

De site draait op Citrix Netscaler. 593 door te voeren verbeteringen is nogal een fors aantal:
https://webhint.io/scanner/c7ce43ea-6cb1-4937-b16f-45eaf6ae2726
waarvan 369 security gerelateerde aanbevelingen: https://webhint.io/scanner/c7ce43ea-6cb1-4937-b16f-45eaf6ae2726#Security
Uit het Upguard rapport: https://webscan.upguard.com/#/https://www.singhealth.com.sg/
Samengevat de ergste missers:
Kwetsbaar voor man-in-the-middle aanvallen, vanwege HSTS header niet gezet voor preload list inclusie.
Kwetsbaar voor cross-site aanvullen, want HttpOnly cookies niet gebruikt.
Namelijk aangetroffen: set-cookie (TS010cf509): TS010cf509, set-cookie (BIGipServer~Common_SP~F5_POOL_PaaS_SP_SHS_SHSANON_PRD_80): BIGipServer~Common_SP~F5_POOL_PaaS_SP_SHS_SHSANON_PRD_80 secure; HttpOnly;
Aangetroffen lichtvaardige SPF filtering, daardoor openstaand voor het verzenden van frauduleuze mails.
Verwacht - contains all, aangetroffen: ~ contains all. E-mails van een niet geldig domain kunnen nog steeds binnenkomen op deze manier.
Geen DNSSEC.

Zie ook: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fwww.singhealth.com.sg%2F
en D-graad beveiliging hier: https://observatory.mozilla.org/analyze/www.singhealth.com.sg

Dit kan dus al direct bekend zijn via een paar eenvoudige openbare 3rd party cold reconnaissance website scan rapportjes,
zoals die voor ieder te interpreteren valt.
Zie ook: https://tls-observatory.services.mozilla.com/static/certsplainer.html?id=27159409

Men kan met deze beveiligingsmissers dus wel even aan de slag.

luntrus
11-01-2019, 21:23 door karma4 - Bijgewerkt: 11-01-2019, 21:25
Door IvanSS: Het woord database komt heel vaak voor (SCM database) in het rapport. Om welke database gaat het eigenlijk? Oracle, MSSQL, Mysql??
paragraaf 832 page 287 (pdf 310) geeft wat houvast. Het his systeem met de dbms is allscript. Als je ooit bij epic of chipsoft wat nagezocht hebt weet je dat er met dat systeem een dbms meekomt.
Veel belangrijker dan een database is de opmerking daar wat de iso27k betekent. Het is een intern ISMS gebeuren voor Allscripts interne IT en zegt niets over het product (COTS software) zelf en niets over de SCM applicatie omgeving.
Dat er wat over gezegd wordt op die manier geeft aan dat er foute verwachtingen gewekt zijn en dat de externe leverancier met zijn software niet op de vereiste wijze een invulling aan beveiligingsbeleid heeft gegeven.
Het geheel valt onder. RECOMMENDATION #4: ENHANCED SECURITY CHECKS MUST BE PERFORMED, ESPECIALLY ON CII SYSTEMS , deze loopt daar naar aanbeveling #7

Loop dan even de keyfindings door (vi paging 12 pdf) let op het teniet gedaan zijn van de netwerksegmentatie door een paln om servers bij een externe partij te plaatsen (provider the cloud).

Wil je toch persé naar de te techniek. https://www.allscripts.com/news-insights/blog/blog/2018/01/3-billion-data-shares-and-counting in deze zelfde link kun je lezen dat allscripts de optie met api's (open source) voor derde partijen heeft opengezet. T"Today, more than 6,000 third-party developers work within the Allscripts Developer Portal to deploy solutions using FHIR-enabled and Allscripts’ proprietary APIs." doorklikken …

Allscripts now offers three distinct ways to connect with our solutions:
Developer Open Access Account – Free and open to any individual or company who would like to use Allscripts FHIR® ©-enabled APIs, no approval or testing required.
https://developer.allscripts.com/Content/fhir/ het datamodel en hoe die te benaderen is openbaar en niet geheim.

Als de wijze van data ophalen bekend is en je hebt een toegang om binnen te komen dan ligt snel alles open.
12-01-2019, 10:59 door -karma4 - Bijgewerkt: 12-01-2019, 11:01
Volgens de onderzoekscommissie konden de aanvallers op 1 december 2017 een hackingtool op het werkstation installeren via een beveiligingslek in Outlook, waarvoor Microsoft een beveiligingsupdate beschikbaar had gemaakt. Deze update was echter niet geïnstalleerd.

Root cause: combinatie van gebruik van Microsoft software en luie updaters. What else? Next...
12-01-2019, 13:04 door karma4
Door The FOSS: Root cause: combinatie van gebruik van Microsoft software en luie updaters. What else? Next...
Nope root cause envangelisten die verkochten dat je niets aan beveiliging hoefde te doen, Nog steeds die F en O?
Het FO (Functioneel Ontwerp)moet ook dat deel invullen.
Niet zeggen omdat iedereen het kan zien zal het wel goed zitten en doen wij niets.

root cause: Free and open zelfde letters andere betekenis ander resultaat. Blijft dooretteren
12-01-2019, 14:19 door -karma4 - Bijgewerkt: 12-01-2019, 14:21
Door karma4:
Door The FOSS: Root cause: combinatie van gebruik van Microsoft software en luie updaters. What else? Next...
Nope root cause envangelisten die verkochten dat je niets aan beveiliging hoefde te doen,

Root cause: we zijn het eens; Microsoft evangelisten die ongetwijfeld gebruik hebben gemaakt van de hen bekende middelen Microsoft OEM- en andere chantage.

Door karma4: Het FO (Functioneel Ontwerp)moet ook dat deel invullen.

Dat je dergelijke documenten op bureaus hebt zien liggen tijdens je werkzaamheden als schoonmaker wil nog niet zeggen dat je er iets vanaf weet. Laat staan dat je dergelijke documenten zou hebben geschreven.
12-01-2019, 17:39 door karma4
Door The FOSS:
Root cause: we zijn het eens; Microsoft evangelisten die ongetwijfeld gebruik hebben gemaakt van de hen bekende middelen Microsoft OEM- en andere chantage
.
Het gaat hiier om Allscripts. Met de nalayse van vijf vooraanstaande instituten (de namen achter die vijf onderzoekers) is gehakt gemaakt van de werkwijzes. Die komen verdacht veel overeen met het FOSS evangelie.
- https://www.security.nl/posting/587922/ISO+standaarden+voor+management De eerste 6 kritische verbeteradviezen komen hoofdzakelijk uit de ISO27001 voor en gedeeltelijk uit de ISO27002.

Dat je dergelijke documenten op bureaus hebt zien liggen tijdens je werkzaamheden als schoonmaker wil nog niet zeggen dat je er iets vanaf weet. Laat staan dat je dergelijke documenten zou hebben geschreven.

Als de rommel van FOSS evangelisten en andere vendor-lockins moet zien op te ruimen moet je inderdaad op een punt beginnen voordat je daaraan toe komt. Laat ik nu niets met Microsoft hebben eerder met een gedegen opzet van informatie. Je bewijst telkens weer het gevaar van FOSS envangelisme in dat rapport over wat er allemaal mis ging zijn daar premie de correlaties van te zien.
13-01-2019, 12:33 door -karma4
Dat zeg ik: Microsoft evangelisten die ongetwijfeld gebruik hebben gemaakt van de hen bekende middelen Microsoft OEM- en andere chantage.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.