Nieuws
image

Kaspersky ontkent lekken, noemt SQL-injection niet ernstig

dinsdag 10 februari 2009, 09:35 door Redactie, 8 reacties

De Russische virusbestrijder wiens website dit weekend werd gehackt ontkent dat de aanvaller data heeft gestolen en noemt SQL-injectie geen ernstig beveiligingslek. De aanvaller wist via SQL-injection informatie over gebruikers, activatiecodes, lijsten met bugs, beheerders, gegevens over de webshop en nog veel meer zaken op te vragen. Hacker "Unu" informeerde eerst het anti-virusbedrijf, maar kreeg geen antwoord, waarop hij besloot het probleem wereldkundig te maken. Toen kwam Kaspersky wel in actie. "De site was alleen voor een korte tijd kwetsbaar en we hebben direct actie ondernomen en het lek was binnen 30 minuten na detectie gedicht. Het lek was niet ernstig en er is geen data gecompromitteerd geweest", aldus een woordvoerder.

In werkelijkheid was de website dus al geruime tijd kwetsbaar en werd er ondanks verschillende pogingen niet gereageerd op het probleem. Daarnaast is SQL-injectie een zeer ernstig probleem, wat ook de hacker in kwestie opmerkt. "Dit beveiligingslek had ernstig kunnen zijn als een kwaadwillend iemand dit had gebruikt, omdat er vertrouwelijke informatie zoals gebruikersnamen, e-mails, wachtwoorden, codes, MySQL gebruikers en hun wachtwoorden waren te achterhalen." Unu laat verder weten dat hij bewust geen informatie heeft gestolen, aangezien dat niet zijn bedoeling was.

Fout van ander
Roel Schouwenberg, senior virus analist bij Kaspersky, laat weten dat het probleem zich bevond in de code die door een "subcontractor" voor de Amerikaanse afdeling was ontwikkeld en niet door de standaard code controle was gegaan. De code was zo'n tien dagen in gebruik voordat de aanvaller het ontdekte en was vijf uur na de detectie van de aanval verholpen en niet 30 minuten zoals de woordvoerder vertelde. Wat betreft het informeren van Kaspersky zou dat pas een uur voor de bekendmaking gedaan zijn. De virusbestrijder heeft inmiddels de bekende beveiligingsonderzoeker David Litchfield ingeschakeld om het incident te onderzoeken. "Moraal van het verhaal? Zelfs mensen in de beveiligingsindustrie hebben wel eens een slechte dag en maken fouten", gaat Adam O'Donnell verder.

Op het eigen blog geeft de virusbestrijder toe dat het mazzel heeft gehad dat de aanvallers meer geïnteresseerd in "roem" dan het veroorzaken van schade waren. Daarnaast laat het incident zien dat veilig ontwikkelen en programmeren een top prioriteit voor webontwikkeling moet zijn. Als laatste is het een les dat men alle code en processen moet checken, checken en nog een keer moet checken.

Reacties (8)
10-02-2009, 10:03 door Anoniem
"het probleem zich bevond in de code die door een "subcontractor" voor de Amerikaanse afdeling was ontwikkeld "
Ik was je grootste fan Roel, maar hier denk ik dat je nog een fout maakt; iemand anders verwijten als Kaspersky

Ik denk niet dat het probleem zich alleen in de code bevond. Dit heeft alleen kunnen plaatsvinden door een samenloop van verschilelnde fouten.

"MySQL gebruikers en hun wachtwoorden waren te achterhalen"
Het lijkt er op dat de rechten van de database user niet goed ingesteld zijn geeest en dat lijkt me toch ten allertijde de verantwoordelijkheid van Kaspersky zelf


Greetingz,
Jacco
10-02-2009, 10:27 door [Account Verwijderd]
[Verwijderd]
10-02-2009, 10:35 door Anoniem
Tot een jaar of 2 geleden was Kaspersky echt top qua productkwaliteit, maar op een bepaald moment moet er ergens een beslissing zijn gevallen dat geld verdienen belangrijker was... ze zakken steeds verder weg in de rankings en er duiken om de haverklap problemen op als dit. Begint te lijken op McAfee of Microsoft (wat niet als compliment bedoeld is).
10-02-2009, 11:20 door Anoniem
Onbegrijpelijk dat ze proberen te verkopen dat zo´n SQL-injectie kwetsbaarheid niet kritiek is. Vraag me af welke virussen ze dan als ´niet kritiek´ bestempelen.. Toch maar es kijken naar een andere scanner, ben het ook eens met Anoniem van 10:35 uur hierboven.
10-02-2009, 14:10 door Anoniem
Ik vind dat Kaspersky zich moet schamen. De cultuur is duidelijk dat ze de reputatie als onaantastbaar aan de buitenwereld wensen voor te spiegelen. Feiten worden verdraaid, zaken worden in een mooier daglicht gesteld, men wenst niet serieus op het probleem in te gaan. Zolang men maar een mooi verhaaltje kan houden maakt het bij Kaspersky kennelijk niet uit wat er werkelijk aan de hand is. Ik ben blij dat Roel wat opener wenste te zijn, maar ook hij maakt zich, zoals het hier op de site staat, nog schuldig aan wegwuiven van het probleem. Het is begrijpbaar dat een bedrijf dat zich richt op beveiliging op hun eigen gebied niet voor schut te gaan, maar het is onvoorstelbaar om als buitenstaander dan voorgelogen te worden : dan ben je als bedrijf dus dubbel onbetrouwbaar. De licenties lopen hier straks af, die gaan dus niet vernieuwd worden met dit soort achterbaks praktijken.
10-02-2009, 15:20 door miekiemoes
Blijkbaar wordt hier alles veel te "letterlijk" opgevat en verkeerd gelezen/geïnterpreteerd wat zo Kaspersky jammer genoeg in een verkeerd daglicht stelt.
Imho werden er helemaal geen excuses gebruikt, de feiten werden gewoon weergegeven zoals ze zijn. Iedereen maakt tenslotte fouten (zoals Kaspersky dus ook duidelijk aangeeft).

Omdat hun site "gehacked" werd, wil dat dan zeggen dat Kaspersky zelf niet meer te vertrouwen is? Want zo komt het jammer genoeg over als ik de reacties hier lees. Dit zijn appels met peren vergelijken..
Als je dan perse appels met peren wil vergelijken, dan raad ik aan om bijna geen enkele AV scanner te gebruiken, want voor zover ik weet zijn de meeste AV sites ooit wel eens "gehacked". En zelfs al werden die niet "duidelijk/publiek" gehacked, dan wil het niet zeggen dat ze niet vulnerable zijn. Kortom, het zijn belangrijke doelwitten en daarom is het groter nieuws als er dan toch een kwetsbaarheid gevonden is en men er misbruik van kan maken.
10-02-2009, 16:56 door Anoniem
Door AnoniemOnbegrijpelijk dat ze proberen te verkopen dat zo´n SQL-injectie kwetsbaarheid niet kritiek is. Vraag me af welke virussen ze dan als ´niet kritiek´ bestempelen.. Toch maar es kijken naar een andere scanner, ben het ook eens met Anoniem van 10:35 uur hierboven.
Het is wellicht ook niet toevallig dat G Data (die volgens onafhankelijke tests zoals AV-Comparatives en AV-Test helemaal bovenaan staan qua detectie van malware) sinds dit jaar Kasperksy niet meer gebruikt als scan-engine. Misschien moet je hun pakket maar es proberen (trialversies op hun website).
10-02-2009, 20:12 door Jan-Hein
Je kunt het incident ook beschouwen als een waarschuwing: iemand die veel van malware bestrijding afweet is weliswaar een soort beveiligingsdeskundige, maar niet perse een universele deskudige, die ook nog verstand heeft van access management, Idm, en al die andere enge dingen.
Zolang ze zichzelf en mij daarover niet voor de gek houden hoeft dat niet dramatisch te zijn.
Het probleem is in dit geval dat ze zichzelf wel een beetje voor de gek hebben gehouden, en dat ook in de toekomst zullen blijven doen: ik weet zeker dat medewerkers van het bedrijf op dit platform ook in de toekomst allemaal dingen zullen blijven roepen over zaken waar ze te weinig verstand van hebben.
Over openheid heb ik lange tijd tijd geleden hier al een alarmering gegeven: deze "industrie" en veel van hun klanten zijn niet een beetje gesloten, maar werkelijk gevaarlijk gesloten.
Gevaarlijk voor zichzelf en voor hun klanten.
Wat dat betreft is de open software beweging een ware zegen, waar commerciele bedrijven veel meer van zouden kunnen leren dan fatsoenlijk programmeren.
Het is voor bepaalde mensen kennelijk lastig om te erkennen dat ze beperkt zijn, en dus niet eeuwig de rol van onoverwinnelijke godheid kunnen blijven spelen.
Ik vind het terecht dat sommige klanten zich daar zorgen over maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search