Exclusief
De website van verzekeraar Unive is gekraakt en gegevens van klanten waren voor een ieder bereikbaar. Wij ontvingen in dit verband de volgende verklaring van krakersgroep Hit2000:
Al enige tijd toont Hit2000 aan hoe gebrekkig de beveiliging op het internet
is. Helaas is 100% beveiliging niet mogelijk. Wel is het streven daar naar
voor Hit2000 een uitgangspunt.
Wij hebben aangetoond dat het internet als infrastructuur afhankelijk is van
enkele strategische punten. Door deze knooppunten over te nemen, kan men bijcomplete organisaties, en of landen het gebruik van internet controleren,overnemen, muisbruiken of zelfs afsluiten. Voorbeeld hiervan is DNS.BE, deroot-nameserver van de belgische internetdomeinen.
Door deze lak aan veiligheid kunnen klanten, clienten, patienten en andere
afhankelijken van deze organisaties ernstig gedupeerd raken. Dit vinden wij
naast een kwalijke zaak een ernstig probleem, dat aan de aandacht moet
worden gesteld om te kunnen worden opgelost.
Hier doe je niet zomaar iets tegen, het vereist kennis en expertise om de
veiligheid op een maximaal niveau te krijgen. Helaas ontbreekt bij veel
organisaties deze expertise. Om de noodzaak hiervan aan te tonen hebben wijde rol van toezichthouders op de veiligheid op ons genomen.
Wij hebben om bovengenoemde redenen besloten om alle servers in Nederland en Belgie op zeer korte termijn te controleren op basisbeveiligingen. Technisch staat dit project in de startblokken. We wachten nog op het startschot in de vorm van groen licht van onze juridische adviseurs.
De verantwoordelijke beheerder zal bij het vinden van gebreken tijdens onze controle worden gewaarschuwd. Deze gegevens zullen onder geen beding publiek worden gemaakt. Wel zullen de gegevens in annonieme vorm worden gebruikt voor het samenstellen van een algemeen rapport over beveiliging op het internet.
Wij hopen hiermee de samenleving een dienst te kunnen bewijzen. Wij
betreuren het dat de overheid niet met dit soort initatieven begint. We
hopen dat de overheid dit project dan ook positief ontvangt en inziet dat
initiatieven als deze gesteund moeten worden.
Momenteel zijn er al enkele grote verzekeringsmaatschappijen die contact
hebben gehad met onze crewmembers. De 4 betrokken organisaties hebben
daarbij hulp gekregen om de beveiliging tot een adequaat niveau op te
werken.
Sinds dit weekend is er daar weer 1 bij gekomen:
Dit lek is ons, HIT2000 anoniem gemeld. Na verificatie van het lek konder er
binnen enkele seconden een aantal bestanden zichtbaar worden gemaakt.
http://www.unive.nl/hoi/Univedecember.DAT SQL database dump van Decembermet daarin door bezoekers van site in gevulde gegevens en aanvragen voor informatie, informatie die erg gevoelig is voor misbruik.
http://www.unive.nl/hoi/hardiskc.txt C schijf
http://www.unive.nl/hoi/harddisk.txt D schijf
Verder is er nog een koppeling met het interne netwerk, wat ook
respectievelijke risicos met zich meebrengt.
Er word gebruik gemaakt van Windows NT met een Internet Information Server.
Problemen ontstaan in de functionaliteit van IIS met betrekking tot de
database. Hierin zit een fout waardoor je commandos kunt uitvoeren op de
machine. Uitvoer kun je via de webserver bekijken door deze in een bestand
te plaatsen in de webdirectory van de server.
Het is zeer omslachtig om hiermee bijvoorbeeld het interne netwerk te hacken omdat je veel tijd kwijt bent met het ingeven van commandos en de outputhiervan weer via web te bekijken. Nederlandse hackers hebben daarvoor programmatuur geschreven die deze procedures verkorten en makkelijker handelbaar maken. Er zijn gevallen bij ons bekend waar op deze manier interne unix machines zijn overgenomen.
Ook gemeente Den Haag heeft achteraf in een persbericht verklaard dat hun
interne netwerk gescheiden is door middel van een firewall, gezien het feit
dat port 80 gewoon open staat, en dat de webserver zelf al een lek bevatte,
was de kans groot dat men ook in het interne netwerk hadden kunnen inbreken.
Wij hopen ooit de kans te hebben om gemeente Den Haag wegens nalatigheid, en het niet opvolgen van overheidsvoorschriften omtrent koppeling van interne infrastructuren aan publieke netwerken voor de rechter te kunnen dagen.
Met deze informatie benadrukken wij met klem de ernst van de zaak en hopen dat u deze betrokkenheid met ons deelt.
Hopelijk U hiermee voldoende te hebben geïnformeerd over het onderwerp,
Namens HIT2000,
Gerrie Mansur
Deze posting is gelocked. Reageren is niet meer mogelijk.