Weer leverancier overheidscertificaten gehackt

08-12-2011,11:26 doorRedactie

Weer is er een leverancier van overheidscertificaten gehackt. KPN haalde gisterenavond de webserver van Gemnet offline. Een hacker wist via phpMyAdmin zonder wachtwoord toegang tot de database te krijgen. Via de database konden op de server bestanden, waaronder uitvoerbare scripts, worden aangemaakt, zo laat Webwereld weten. De website werd door de hacker getipt, omdat die een tweede DigiNotar wilde voorkomen.
Documenten
Naast toegang tot de database, wist de hacker ook bestanden op de webserver zelf te bekijken. Daar werden allerlei vertrouwelijke documenten aangetroffen, onder andere over de technische inrichting van het vertrouwelijke netwerk tussen KPN en overheden of bedrijven. Ook werd er een zwak beheerderswachtwoord gebruikt, braTica4, dat de aanvaller eenvoudig kon achterhalen.

De hacker die het probleem ontdekte, zegt dat hij aanwijzingen heeft dat hij niet de eerste is die toegang tot het systeem wist te krijgen. Begin november waarschuwde KPN dat dochter Getronics was gehackt. Die aanval bleef jarenlang onopgemerkt.

"Cybercriminelen denken als normale criminelen"

Mac-malware in Torrent downloads verstopt

Reacties

08-12-2011,

11:29 door

linuxpro

+0 Rating:

Quote deze reactie | Reactie niet OK

Eigen schuld dikke bult.. wie zet er dan ook zo maar phpMyAdmin neer z-o-n-d-e-r wachtwoord. Wat een [vul zelf scheldwoord naar keuze in]

Heet dat trouwens tegenwoordig al hacken als je een open deur binnengaat?

11:30 door

Anoniem

Ik stel voor dat nu elke CA onder het mes moet. Ik geloof niks meer van die obeozogenaamde veiligheid die de CA's ons steeds proberen wijs te maken. Wat een aanfluiting zeg!

11:33 door

0101

@linuxpro
Hangt er vanaf hoe moeilijk de deur te vinden is? :-P

11:41 door

Door 0101: @linuxpro
Hangt er vanaf hoe moeilijk de deur te vinden is? :-P

www.genmet.nl/phpmyadmin wellicht..

11:43 door

Krakatau

+1 Rating:

Door linuxpro: Eigen schuld dikke bult.. wie zet er dan ook zo maar phpMyAdmin neer z-o-n-d-e-r wachtwoord. Wat een [vul zelf scheldwoord naar keuze in]

Heet dat trouwens tegenwoordig al hacken als je een open deur binnengaat?

Wachtwoord was er blijkbaar niet en of het benaderen via phpMyAdmin onder 'technische ingreep' (zie quoted tekst hieronder) valt weet ik niet. Het is geen normaal gebruik van de site, dus je zou het wellicht daaronder kunnen scharen (?)

Zie computervredebreuk: http://nl.wikipedia.org/wiki/Computervredebreuk
Voorwaarde voor computervredebreuk is dat de dader bij het binnendringen: enige beveiliging doorbreekt, of de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

Laatst gewijzigd: 08-12-2011, 11:44

11:59 door

RickDeckardt

Zonder wachtwoord kan ook via een lek in een paar oude versies van phpmyadmin.
En sinds die systeimbeheiâhrdeâhrkoekwâhse nooit netjes het spul bijhouden en/of dichtzetten (.htaccess iemand?!). Voor oplevering van zo'n site moeten dat soort tools sowieso gewist worden. Op het OTA-platform (ontwikkel/test/acceptatie) kan je t nog laten staan, voor debugging e.d..

14:10 door

Net goed. Moeten ze bij de klantenservice maar wat vriendelijker en behulpzaam zijn.

14:41 door

Plaats de beheerders/verantwoordelijke op een zwarte lijst zodat ze nooooooooooooooooit meer aan de slag kunnen in de IT.

19:45 door

Ik zie dagelijks op mijn webservers diverse rakkers binnenkomen om phpmyadmin te starten.
Het is echter niet nodig om dit pakket op je servers die van buitenaf toegankelijk zijn te installeren. Er is een remote tool die dat ook kan doen, met iptables kun je de toegang tot de poort afschermen tot je eigen range ip nummers.

Naar mijn bescheiden mening hebben we dus eigenlijk niet met ict beheerders te maken, maar met sukkels die maar wat raak rotzooien. Zeg maar ict kwakzalvers....

09-12-2011,

09:29 door

RichieB

Hoe komt iedereen er toch bij dat Gemnet PKI certificaten uitgeeft? Je kan ze daar aanvragen, maar uitgeven doen ze helemaal niet.

Van http://www.gemnetcsp.nl/?page=pkioverheid :
Gemnet CSP levert PKIoverheid-certificaten via haar partner PinkRoccade

12:47 door

Dit probleem zal nog wel even duren, omdat elke van de 650 wereldwijde CA's certificaten kan afgeven voor alle websites. Verschillende overheden hebben er belang bij om valse certificaten uit te geven om SSL-Man-in-the-Middle attacks uit te kunnen voeren. Een structurele oplossing voor dit probleem is bijvoorbeeld om een private CA te gebruiken welke certificaten uitgeeft voor een bepaald domein. Fox-IT is bijvoorbeeld een overheids VPN aan het ontwikkelen ( zie https://openvpn.fox-it.com/ ) waarin gemakkelijk een private CA geintegreerd kan worden. SSL-Man-in-the-Middle attacks met valse certificaten worden dan onmiddelijk gedetecteerd. Veilige communicatie met personen buiten een VPN met een Private CA kan bijvoorbeeld met een systeem zoals op http://bit.ly/fqxch en http://bit.ly/fqxwuala. Naast rekenkundige veiligheid (asymmetrische en symmetrische) ondersteund dit systeem ook bewijsbaar onkraakbare informatie-theoretische veiligheid.

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login