Printers en documenten UvA via internet toegankelijk
Via een eenvoudige Google zoekopdracht waren de printers van de Universiteit van Amsterdam voor heel het internet toegankelijk, waardoor vertrouwelijke documenten op straat hadden kunnen belanden. IT-beveiliger "Toolm@n" wist via de Google query "web/user/nl/websys" toegang tot de printer te krijgen, maar ontdekte ook andere "multifunctionals" die niet beveiligd waren. Eenmaal op de webpagina van de machine was het via de optie "Document Server" mogelijk om opgeslagen gegevens op het apparaat te bekijken, zonder hiervoor in te loggen. Doordat deze machines over een harde schijf beschikken, blijven faxen, kopieën en prints langer bestaan dan wenselijk is.
"Sommige ip adressen leveren interessante gegevens op. Gegevens die je niet open en bloot op het internet wil zetten", aldus Toolm@n, die de CERT van de Universiteit van Amsterdam waarschuwde. Inmiddels is een groot gedeelte van de multifunctionals onbereikbaar gemaakt voor de buitenwereld, toch bekende het CERT dat het niet de bedoeling was geweest dat documenten op deze manier toegankelijk waren.
De printers van de RUG zijn ook vrij toegankelijk via het internet, al jaren...
Sterker nog, op het meerendeel zit niets eens een wachtwoord op de
webinterface en/of telnet...
http://iprint-01.id.rug.nl/ipp > eerste hit google, dus ip's scannen is niet
eens nodig...
publiceren wat zij bij verschillende opdrachtgevers hebben
geimplementeerd.
Met deze gegevens kan een kwaadwillende (zoals ik...??)
bekende exploits op deze systemen testen om toegang tot deze
systemen te krijgen.
Zo is het redelijk eenvoudig om complexe PBAX systemen
http://www.voip-info.org/wiki/index.php?page=VOIP+PBX+and+Servers
te infiltreren en gericht gesprekken af te luisteren en meer.
En geloof me, er gebeurt een hoop dat het daglicht niet kan
verdragen.
Er word prive-informatie uit de dossiers van clienten
telefonisch gedeeld en besproken met een receptioniste,
postkamermedewerker omdat....????
Nu heb ik al meerdere malen aan verschillende IT managers
van de gemeente Amsterdam, het DWI, CWI en Getronics (Hoi
Roel !) geinformeerd over de kwetsbaarheden in deze systemen.
Als laatste heb ik het Bureau Interne Integriteit van de
gemeente Amsterdam maar geinformeerd over de handel en
wandel van verschillende medewerkers.
Men is nu al twee maanden met 4 tot 6 personen al deze
systemen op orde aan het brengen voor zover zij daar de
kennis van/voor hebben, deze is beperkt gebleken uit mijn
'audit' waaruit 11 bekende en oude exploits nog steeds
bleken te werken.
http://www.securiteam.com/exploits/5KP0Q0K6AO.html
http://securityvulns.com/Fnews431.html
http://securityvulns.com/news/Asterisk/SIP/DoS.html
TT
andere landen komen wij onbeschermde Netwerkprinters met
documentatie tegen. Zelfs niet-beveiligde beveiligingscamera's waarvan
de toegang mogelijk was met het aanklikken van een simpele URL behoorde tot de mogelijkheden
En dat waren camera's om de bedrijfspanden te beveiligen!
Het kan ook anders, veel ondernemingen zijn zo dom om te
publiceren wat zij bij verschillende opdrachtgevers hebben
geimplementeerd.
Met deze gegevens kan een kwaadwillende (zoals ik...??)
bekende exploits op deze systemen testen om toegang tot deze
systemen te krijgen.
Zo is het redelijk eenvoudig om complexe PBAX systemen
http://www.voip-info.org/wiki/index.php?page=VOIP+PBX+and+Servers
te infiltreren en gericht gesprekken af te luisteren en meer.
En geloof me, er gebeurt een hoop dat het daglicht niet kan
verdragen.
Er word prive-informatie uit de dossiers van clienten
telefonisch gedeeld en besproken met een receptioniste,
postkamermedewerker omdat....????
Nu heb ik al meerdere malen aan verschillende IT managers
van de gemeente Amsterdam, het DWI, CWI en Getronics (Hoi
Roel !) geinformeerd over de kwetsbaarheden in deze systemen.
Als laatste heb ik het Bureau Interne Integriteit van de
gemeente Amsterdam maar geinformeerd over de handel en
wandel van verschillende medewerkers.
Men is nu al twee maanden met 4 tot 6 personen al deze
systemen op orde aan het brengen voor zover zij daar de
kennis van/voor hebben, deze is beperkt gebleken uit mijn
'audit' waaruit 11 bekende en oude exploits nog steeds
bleken te werken.
http://www.securiteam.com/exploits/5KP0Q0K6AO.html
http://securityvulns.com/Fnews431.html
http://securityvulns.com/news/Asterisk/SIP/DoS.html
TT
U geeft hier al aardig zelf het eigen profiel weg. Mag ik u
vragen iets voorzichtiger te zijn? Klokkenluiders worden
namelijk heel snel aan het koordje van hun eigen klepel
opgehangen...Het is maar dat u het weet!
Het kan ook anders, veel ondernemingen zijn zo dom om te
publiceren wat zij bij verschillende opdrachtgevers hebben
geimplementeerd.
Met deze gegevens kan een kwaadwillende (zoals ik...??)
bekende exploits op deze systemen testen om toegang tot deze
systemen te krijgen.
Zo is het redelijk eenvoudig om complexe PBAX systemen
http://www.voip-info.org/wiki/index.php?page=VOIP+PBX+and+Servers
te infiltreren en gericht gesprekken af te luisteren en meer.
En geloof me, er gebeurt een hoop dat het daglicht niet kan
verdragen.
Er word prive-informatie uit de dossiers van clienten
telefonisch gedeeld en besproken met een receptioniste,
postkamermedewerker omdat....????
Nu heb ik al meerdere malen aan verschillende IT managers
van de gemeente Amsterdam, het DWI, CWI en Getronics (Hoi
Roel !) geinformeerd over de kwetsbaarheden in deze systemen.
Als laatste heb ik het Bureau Interne Integriteit van de
gemeente Amsterdam maar geinformeerd over de handel en
wandel van verschillende medewerkers.
Men is nu al twee maanden met 4 tot 6 personen al deze
systemen op orde aan het brengen voor zover zij daar de
kennis van/voor hebben, deze is beperkt gebleken uit mijn
'audit' waaruit 11 bekende en oude exploits nog steeds
bleken te werken.
http://www.securiteam.com/exploits/5KP0Q0K6AO.html
http://securityvulns.com/Fnews431.html
http://securityvulns.com/news/Asterisk/SIP/DoS.html
TT
U geeft hier al aardig zelf het eigen profiel weg. Mag ik u
vragen iets voorzichtiger te zijn? Klokkenluiders worden
namelijk heel snel aan het koordje van hun eigen klepel
opgehangen...Het is maar dat u het weet!
Dank voor je goed bedoelde advies X-2, echter was het binnen
die organisatie allang bekend en daardoor hang ik ook al een
tijdje op de plek waar eerst een klepel hing. Dat is DE
reden dat ik het nu publiekelijk bekend maak. Misschien haal
ik de krant nog voor het einde van 2007, maar daar zit ik
niet echt op te wachten.
Men hoopt nu dat ik mijzelf ga verlagen tot crimineel gedrag
en op rancuneuze wijze met mijn kennis om ga.
Ik eet nog liever gratis bloembollen dan gestolen uien.....
een kwestie van ethiek. http://beroepseer.nl/overons/missie
TT
Informtief:
http://www.mindef.nl/binaries/Verklaring%20met%20betrekking%20tot%20de%20geheimhoudingsplicht_tcm15-27927.doc
http://www.agentschap-telecom.nl/informatie/aftappen/documenten/checklist_bbgat.doc
http://www.mindef.nl/binaries/ABDO%202006%20bijlage%20A_tcm15-68744.pdf
http://www.isaca.nl/index.php?download=briefing.pdf
internet access te geven.
user/pass en complete OS op de printer zetten , heb je
meteen toegang tot het bedrijfs netwerk. :P
Men hoopt nu dat ik mijzelf ga verlagen tot crimineel gedrag
en op rancuneuze wijze met mijn kennis om ga.
Ik eet nog liever gratis bloembollen dan gestolen uien.....
een kwestie van ethiek. http://beroepseer.nl/overons/missie
TT
Wat mijn is, mijn domein is......
Ik had dat duwtje in de rug hard nodig. 2008..!!
men moet wel heel erg naief zijn om een netwerk printer ook
internet access te geven.
gegroeid) en een aantal printertjes er aan hangen omdat de
medewerkers graag willen printen en individuele printers te
duur zijn.
Had jij vroeger (1-3 jaar geleden) ooit gedacht dat printers
misbruikt konden worden? Het zijn toch gewoon apparaten die
papier uitspugen? ;)
Nog even en je kan door middel van de FTP en default admin
user/pass en complete OS op de printer zetten , heb je
meteen toegang tot het bedrijfs netwerk. :P
maar wel een compleet OS.
Maar waarom via de printer het bedrijfsnetwerk naar binnen?
Als je op een printer zit, zit je 999 van de 1000 keer al op
het interne netwerk. Ik ken geen enkele bedrijf of
instelling die de printers buiten heeft staan en de
computers binnen namelijk.
maar wel een compleet OS.
Maar waarom via de printer het bedrijfsnetwerk naar binnen?
Als je op een printer zit, zit je 999 van de 1000 keer al op
het interne netwerk. Ik ken geen enkele bedrijf of
instelling die de printers buiten heeft staan en de
computers binnen namelijk.
[/quote]
Zijn er meer dan genoeg , zoals het google resultaat ook al
laat zien.
Meeste sys admins kijken niet om naar de printer en het
haalt ze dan ook weinig uit.
Waar ik meer op doelde is dat je via FTP en complete
"hack-os/kit" op de printer zet , die b.v simpel weg als
proxy dient.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.