image

Roemenen hacken XS4ALL-server

zaterdag 25 februari 2012, 17:05 door Redactie, 26 reacties

Roemeense hackers zijn er eind vorig jaar in geslaagd om een shellserver van XS4ALL te hacken en versleutelde wachtwoorden van systeembeheerders op te vangen. Dat laat de provider tegenover getroffen gebruikers in deze nieuwsgroep weten. Naast het onderscheppen van de versleutelde wachtwoorden, werden ook de onversleutelde wachtwoorden van 30 gebruikers opgevangen. De aanvallers zijn waarschijnlijk via een bekende exploit op de machine xs3.xs4all.nl binnengedrongen. De versleutelde wachtwoorden werden vervolgens op internet gepubliceerd.

Wachtwoord
Ook wisten de aanvallers het systeemprogramma voor ssh-toegang aan te passen, laat Security Officer Jacques Schuurman weten. Ze denkt dat de aanval een paar dagen onopgemerkt is gebleven. "Eind vorig jaar hebben wij bij XS4ALL moeten constateren dat een van onze machines, xs3.xs4all.nl, gehackt is via een naar wij denken bekende exploit. Wij zijn hier onder meer in bevestigd omdat wij op een buitenlandse sites voor hackers een (in het Roemeens gesteld) verslag hebben gevonden, waarin ook de accountnamen en -versleutelde- wachtwoorden van gebruikers van die machine zijn aangetroffen."

Volgens Schuurman is een systeemprogramma dat gebruikt wordt om verbindingen van buitenaf met het systeem op te zetten aangepast, zodat de opgegeven gebruikersnaam en het meegegeven wachtwoord gekopieerd zijn naar een bestand dat de hackers hiervoor hadden ingericht. Gedurende de tijd dat gebruikersnamen en wachtwoorden werden afgeluisterd, hebben dertig klanten op het systeem ingelogd.

"Wij denken dat de dertig gebruikersnamen en wachtwoorden die verzameld zijn in de periode die hierboven genoemd wordt, daarmee in handen zijn gekomen van willekeurige onbevoegden."

Monitoring
In de nieuwsgroep laat Schuurman verder weten dat XS4ALL aan de hand van de hack de manier heeft aangepast waarop de provider systemen in de gaten houdt en de beschermen tegen hacking heeft aangescherpt. "Bovendien hebben we daar waar nodig het systeem gepatcht en tevens vergelijkbare systemen op dezelfde wijze gepatcht."

XS4ALL zegt het te betreuren dat een systeem is gehackt. "Naar aanleiding daarvan hebben we op de volgens ons best mogelijke manier gereageerd en hopen we in ieder geval lering te trekken uit de analyse, op basis waarvan herhaling van eenzelfde soort hack zal worden voorkomen."

Update
Het lijkt erop dat xs3.xs4all.nl een uitgefaseerde server was die toch nog werd gebruikt. "De publieke shell-servers xs3 en xs6 zijn sinds een storing gisteren niet meer beschikbaar. Hun functie wordt overgenomen door de al eerder geintroduceerde, modernere shell-server shell.xs4all.nl. De verouderde servers xs3 en xs6 waren al eerder uitgefaseerd, maar nog niet daadwerkelijk uitgezet. Na een storing is besloten om ze permanent uit te zetten", zo liet de provider op 30 november weten.

Reacties (26)
25-02-2012, 17:28 door [Account Verwijderd]
[Verwijderd]
25-02-2012, 17:52 door Anoniem
'Met een bekende exploit' dus of de software was niet up-to-date net zoals bij KPN of de server was niet goed ingesteld.
25-02-2012, 18:12 door Anoniem
Door Peter V: Met versleutelde wachtwoorden kun je toch niet veel doen.

Ben overigens wel benieuwd hoe zwaar de versleuteling is geweest die werd toegepast.
Anders hebben we een nog groter probleem.

@Redactie : "Security Officer Jacques Schuurman weten. Ze denkt" . Jacques Schuurman is geen "Ze", maar "Hij".

Als je benieuwd bent, kijk je toch naar dat bestand ?
Dan zie je een mix van klassieke unix crypt(3) ( DES gebaseerd) passwords en de MD5 password hash herkenbaar aan $1$ .
Niks mis mee qua cryptografie, alleen een dictionary poging kan gedaan zijn.
Er staan overigens alleen een aantal systeembeheerders in, die ongetwijfeld hun password gewijzigd hebben.
25-02-2012, 18:23 door [Account Verwijderd]
[Verwijderd]
25-02-2012, 19:07 door Anoniem
Eind vorig jaar, was dus eind december?
En dat wordt nu pas openbaar gemaakt?

Zijn de bevoegde instanties hier dan wel op tijd over ingelicht?

Of werd weer de klassieke fout gemaakt van eerst zelf aanmodderen.....
25-02-2012, 19:46 door Menthix
Door Peter V: Dit had ik overigens niet verwacht van ex-hackers die xs4all hebben opgericht.

Ze hadden toch beter moeten weten..
De meeste mensen van het oude XS4ALL zijn al lang weg sinds de verkoop aan KPN is de mentaliteit langzaam veranderd. Al heb ik persoonlijk XS4ALL nog altijd vrij hoog zitten (disclaimer: ben klant).

EDIT: Cor Bosman, mede-oprichter XS4ALL, is blijkbaar nog steeds werkzaam daar. Aan de dump te zien was de server ook ooit door Cor zelf geïnstalleerd. Was blijkbaar een uitgefaseerd systeem: https://www.xs4all.nl/nieuws/bericht.php?msect=aankondigingen&id=6019&taal=nl ...slordig dat het dan niet uitgeschakeld was.
25-02-2012, 19:54 door Anoniem
Door Menthix:
Door Peter V: Dit had ik overigens niet verwacht van ex-hackers die xs4all hebben opgericht.

Ze hadden toch beter moeten weten..
De oprichters zijn al lang weg en sinds de verkoop aan KPN is de mentaliteit langzaam veranderd. Al heb ik persoonlijk XS4ALL nog altijd vrij hoog zitten (disclaimer: ben klant).

Beschouw je Cor ook als oprichter ? Hij werkt er nog.
In het stukje passwd file kun je een aantal namen zien die je ook had kunnen zien toen het nog hacktic heette.
25-02-2012, 20:29 door Anoniem
En de beveiliging van McAfee of F-Secure heeft dan zeker ook gefaald? Want ze gebruiken tegenwoordig ook voor de klanten F-Secure en daarvoor (nog niet zo lang geleden) McAfee?
25-02-2012, 20:57 door Anoniem
Zie ook zijn posts in 1 bestand.

http://docsbird.com/?p=getfile&id=5577a859c10f0fb9a6de08b6ee782a18d900f6d2
25-02-2012, 20:57 door DeFix
25-02-2012, 21:44 door staubsauger
Zo, dat XS4ALL geeft wel een goed voorbeeld, al gehackt in december en nu pas melden?
Lekker betrouwbaar NOT !
Waren ze niet pas overgestapt van FreeBSD naar Linux voor hun shellservers.
En de gebruikers die hebben ingelogd hebben netjes een waarschuwing gehad van XS4ALL hoop ik.
25-02-2012, 23:49 door Anoniem
Zeg "Security Officer Jacques Schuurman", hoe groot is dat gat door dat topje van een ijsberg nu echt?
Maar, blijven volhouden dat jij wel eens in een gesprek wil uitleggen hoe goed 't allemaal voor elkaar is.....

Certified InSecurity Officers rule the bizz. Thus Users become the Lusers, and still have to pay the bill.
Gevalletje "De nieuwe kleren van de CISO/CISSP keizer" ?


Groetjes
Anna.de.wit (at) mail.ru
26-02-2012, 02:17 door [Account Verwijderd]
[Verwijderd]
26-02-2012, 10:17 door Anoniem
Het lijkt mij sterk dat de wachtwoorden van de beheerders 'jaren' kosten om te kraken (ergens op usenet gelezen geloof ik). Ik heb laatst nog de helpdesk gemaild en op het hoofdaccount zijn wachtwoorden van meer als 8 tekens niet mogelijk. Daarbij zijn dit dus oude servers uit de ?begintijd? van xs4all. En gebruiken ze MD5 zodat elke wachtwoord supersnel gebruteforced kan worden... (het zijn er nog steeds heel veel, maar niet onmogelijk om allemaal te proberen).

Bij KPN werd het wachtwoord van het systeembeheer hergebruikt (toch?). G1rlP0w3r. Waarom zou dit bij xs4all anders zijn? shell.xs4all.nl heeft nu een 'storing'. Ik houd mijn hart vast. Als er bij de NS vroeger iemand voor de trein sprong was dat ook een 'technische storing'. Zal nog steeds wel zo zijn.
26-02-2012, 12:23 door Anoniem
Uitgaand van het gegeven dat massaal systematisch geprobeerd wordt bekende exploits los te laten op zo'n beetje alle systemen op het Internet die scanbaar zijn, en het vermoeden dat het beheer bij XS4ALL van systemen voorbeeldig is in vergelijking met de overgrote meerderheid (van verantwoordelijken voor servers van bedrijven, overheden, beheerders van infrastructuur, prive internet gateways/router/modems), moet je het ergste vrezen.

Getuige de affaire Diginotar (en Comodo, en ...) en de problemen met sterk verouderde programmatuur op systemen bij KPN aan het licht zijn gekomen, gaat het niet goed.

De meeste servers zitten vol met programmatuur die gemakshalve gewoon is meegeïnstalleerd waardoor een onnodig groot "aanvalsoppervlak" wordt geboden - bij MS Windows tot voor kort nauwelijks vermijdbaar, bij Linux servers is toch vaak een complete desktop omgeving aanwezig (KDE of Gnome). Natuur zitten daar firewalls enz. voor, maar ik zal je de kost geven hoeveel beheerders aangemeld (via VNC of een remote console anderszins) met een account met administratieve rechten, even via de webbrowser wat opzoeken of hun e-mail bekijken of ...

Joep Lunaar

p.s.
Wat betreft gemopper op xs4all:
Don't kill the messenger en ga uit van de goede intensie. Als je al wil mopperen, mopper dan op hen waar je nog nooit van hebt vernomen dat een incident heeft plaats gehad, want die er dus vrijwel zeker wel.
26-02-2012, 13:23 door SirDice
Door staubsauger: Waren ze niet pas overgestapt van FreeBSD naar Linux voor hun shellservers.
De xs3 en xs6 waren nog FreeBSD. Een belachelijk oude versie ook nog eens (4.11) die al sinds januari 2007 end-of-life was.

En de gebruikers die hebben ingelogd hebben netjes een waarschuwing gehad van XS4ALL hoop ik.
Helaas, ik heb dit via security.nl moeten vernemen.

Nee, XS4ALL is al lang niet meer wat het geweest was. Het is nu vooral een dure provider die helemaal NIETS extras meer te bieden heeft. XS4ALL aanraden doe ik al lang niet meer. Sterker nog, ben zelf aan het overwegen om over te stappen.
26-02-2012, 15:47 door Anoniem
Door SirDice:
Door staubsauger: Waren ze niet pas overgestapt van FreeBSD naar Linux voor hun shellservers.
De xs3 en xs6 waren nog FreeBSD. Een belachelijk oude versie ook nog eens (4.11) die al sinds januari 2007 end-of-life was.

En de gebruikers die hebben ingelogd hebben netjes een waarschuwing gehad van XS4ALL hoop ik.
Helaas, ik heb dit via security.nl moeten vernemen.

Nee, XS4ALL is al lang niet meer wat het geweest was. Het is nu vooral een dure provider die helemaal NIETS extras meer te bieden heeft. XS4ALL aanraden doe ik al lang niet meer. Sterker nog, ben zelf aan het overwegen om over te stappen.

Er zouden van circa 30 klanten inloggegevens zijn buitgemaakt, die zijn telefonisch en via een brief benaderd dat zij hun account moeten resetten, doen ze dit niet binnen 10 dagen( aantal dagen weet ik niet zeker) dan wordt het account geblokkeerd.
Dus waarom zou xs4all iedereen moeten waarschuwen als het om 30 accounts gaat? Het belangrijkste is dat degene die het aangaat worden gewaarschuwd toch?
En ja ik ben ook een xs4all klant, maar ik ga mezelf hier niet onnodig extra druk om maken
26-02-2012, 18:03 door Anoniem
De xs3 en xs6 waren nog FreeBSD. Maar wat betreffende Debian op de xs8 ?

http://groups.google.com/group/xs4all.general/browse_thread/thread/a6352a780e93d6b9
Dus Debian ook end-of-life
>xs8.xs4all.nl:~ 116-$ cat /etc/debian_version
>5.0.9

Security Support for Debian 5.0 terminated
http://www.debian.org/News/2012/20120209
26-02-2012, 23:48 door staubsauger
Ja, ja....
Ze "denken" dat het middels een bekende exploit is gedaan.
Ze "denken" dat de aanval een paar dagen onopgemerkt is gebleven.
Ze "denken" dat er 30 gebruikers en wachtwoorden zijn verzameld.

Ik "denk" dat het probleem wel eens groter zou kunnen zijn als dat zij "denken".
Ook "denk" ik dat er tussen november 2011 en nu wel eens meer dan 30 gebruikers in gelogd hebben op die servers.
Ik "denk" dat ik net als SirDice op zoek ga naar een andere provider.
27-02-2012, 00:33 door Anoniem
Ik heb zelf iets van de hack gemerkt toendertijd. Mijn account was gehackt omdat er in de WWW een iframe pagina zat die er eerst niet was. Het antwoord van xs4all was toendertijd dat mijn account misschien op straat ligt en ik het wachtwoord moest veranderen. Het betrof zeker alleen mijn account en niet de hele server was het antwoord. Voel me nu wel een beetje misleidt. Verder heb ik nu ook via security moeten vernemen dat de xs3 server gehackt was die ik een paar keer per dag gebruikte. Ik baal hier enorm van, niet dat xs4all niet gehackt kan worden, want dat kan iedereen overkomen, maar dat ze dat nu pas melden.
27-02-2012, 08:33 door SirDice
Door Anoniem:
Door SirDice:
Door staubsauger: Waren ze niet pas overgestapt van FreeBSD naar Linux voor hun shellservers.
De xs3 en xs6 waren nog FreeBSD. Een belachelijk oude versie ook nog eens (4.11) die al sinds januari 2007 end-of-life was.

En de gebruikers die hebben ingelogd hebben netjes een waarschuwing gehad van XS4ALL hoop ik.
Helaas, ik heb dit via security.nl moeten vernemen.

Nee, XS4ALL is al lang niet meer wat het geweest was. Het is nu vooral een dure provider die helemaal NIETS extras meer te bieden heeft. XS4ALL aanraden doe ik al lang niet meer. Sterker nog, ben zelf aan het overwegen om over te stappen.

Er zouden van circa 30 klanten inloggegevens zijn buitgemaakt, die zijn telefonisch en via een brief benaderd dat zij hun account moeten resetten, doen ze dit niet binnen 10 dagen( aantal dagen weet ik niet zeker) dan wordt het account geblokkeerd.
Dus waarom zou xs4all iedereen moeten waarschuwen als het om 30 accounts gaat? Het belangrijkste is dat degene die het aangaat worden gewaarschuwd toch?
En ja ik ben ook een xs4all klant, maar ik ga mezelf hier niet onnodig extra druk om maken
Ik maak me er ook niet zo zeer druk om maar ik zou het wel netjes vinden dat ik, als XS4ALL klant zijnde, hiervan eerst door XS4ALL op de hoogte wordt gebracht. En niet dat ik dit soort zaken, maanden later, op security.nl moet lezen.

Ik vind dit gewoon geen nette afhandeling. Nee, XS4ALL is aardig op weg om z'n trouwe klanten weg te jagen.
27-02-2012, 10:41 door Anoniem
Ik denk dat we moeten wachten op het jaarverslag van 2012. En daar moeten we nog dankbaar voor zijn ook omdat de meeste andere providers er niet zo open over zijn als xs4all.

Voor mij is er iets aan de hand. Ze zijn ook http://www.xs4all.nl/klant/digitaleinbraak.php nog aan het 'onderzoeken'. Tot de tijd dat daar openheid over is heeft het geen zin je wachtwoorden te veranderen want: 1) Je weet niet of alle 'SSH backdoors' gevonden zijn, 2) Je weet niet of xs4all net als KPN een wachtwoordverandering gaat verplichten nu tot in de toekomst (hoewel xs4all daar harder in zal zijn als KPN met deadlines e.d.), 3) misschien stappen ze af van MD5 als wachtwoord hash (net als bij Tweakers vorig jaar), waardoor alle nieuwe wachtwoorden daarna vele malen veiliger zullen zijn.

Je kunt niet bezig blijven met je wachtwoord veranderen. Dan gaat er gegarandeerd iets fout een keer waardoor je de toegang tot je account verliest.
27-02-2012, 11:53 door Mysterio
Wat gek! Het stond niet eens in dit overzicht: https://secure.security.nl/artikel/40361/1/XS4ALL_openbaart_zeven_privacyincidenten.html Zou men dan toch niet zo transparant zijn? ;)
27-02-2012, 12:31 door [Account Verwijderd]
[Verwijderd]
27-02-2012, 13:44 door faridje
FF een aanvullend verhaaltje van de Security Officer bij XS4ALL:

Te vinden op: http://groups.google.com/group/xs4all.general/browse_thread/thread/a6352a780e93d6b9?pli=1

Eind vorig jaar hebben wij bij XS4ALL moeten constateren dat een van
onze machines, xs3.xs4all.nl, gehackt is via een naar wij denken bekende
exploit.


Wij zijn hier onder meer in bevestigd omdat wij op een buitenlandse
sites voor hackers een (in het Roemeens gesteld) verslag hebben
gevonden, waarin ook de accountnamen en -versleutelde- wachtwoorden van
gebruikers van die machine zijn aangetroffen.


Wij weten dat:


* de machine xs3.xs4all.nl gehackt is;
* het systeembestand met gebruikersnamen en versleutelde wachtwoorden
in handen is gekomen van de hackers;
* een systeemprogramma dat gebruikt wordt om verbindingen van buitenaf
met het systeem op te zetten is aangepast, zodat de opgegeven
gebruikersnaam en het meegegeven wachtwoord gekopieerd zijn naar
een bestand dat de hackers hiervoor hadden ingericht;
* gedurende de tijd dat gebruikersnamen en wachtwoorden werden
afgeluisterd, dertig klanten hebben ingelogd op het systeem.


Wij denken dat:


* De dertig gebruikersnamen en wachtwoorden die verzameld zijn in de
periode die hierboven genoemd wordt, daarmee in handen zijn gekomen
van willekeurige onbevoegden.


Wij hebben daarop:


* Het systeem onbereikbaar gemaakt;
* Een forensisch onderzoek uitgevoerd op het betreffende systeem met
als doel te achterhalen welke gegevens of programmatuur op het systeem
in het ongerede is geraakt;
* De klanten van wie we weten dat de wachtwoorden in onversleutelde
vorm "geoogst" zijn, rechtstreeks en individueel benaderd;
Daarbij is in 1 enkel geval een misverstand in de communicatie
ontstaan, waardoor de klant wel, maar foutief is geinformeerd over
de aard van het probleem met zijn account, zodat de klant wel de
nodige en juiste maatregelen heeft getroffen, maar dit niet heeft gedaan
in de wetenschap dat zijn account was gecompromiteerd;
* Degenen die wij rechtstreeks telefonisch konden bereiken, van
advies voorzien om hun wachtwoord te wijzigen;
* De overige klanten uit deze groep van dertig per mail geadviseerd
hun wachtwoord te wijzigen;
* Een deadline gesteld aan de periode waarbinnen de wachtwoorden
konden worden gewijzigd, waarna ongewijzigde accounts zijn
geblokkeerd.


Aan de hand van deze hack hebben we daarnaast de manier waarop wij
systemen in de gaten houden en beschermen tegen hacking aangescherpt.
Bovendien hebben we daar waar nodig het systeem gepatcht en tevens
vergelijkbare systemen op dezelfde wijze gepatcht.


Wij betreuren het zeer dat een systeem van ons is gehackt. Naar
aanleiding daarvan hebben we op de volgens ons best mogelijke manier
gereageerd en hopen we in ieder geval lering te trekken uit de analyse,
op basis waarvan herhaling van eenzelfde soort hack zal worden
voorkomen.
28-02-2012, 01:23 door Anoniem
Door Peter V:
Door Anoniem:
Door Menthix:
Door Peter V: Dit had ik overigens niet verwacht van ex-hackers die xs4all hebben opgericht.

Ze hadden toch beter moeten weten..
De oprichters zijn al lang weg en sinds de verkoop aan KPN is de mentaliteit langzaam veranderd. Al heb ik persoonlijk XS4ALL nog altijd vrij hoog zitten (disclaimer: ben klant).

Beschouw je Cor ook als oprichter ? Hij werkt er nog.
In het stukje passwd file kun je een aantal namen zien die je ook had kunnen zien toen het nog hacktic heette.
Toch leuk als mensen proberen - via een insinuerende vraagstellng - je woorden in de mond te leggen, die ik helemaal niet heb uitgesproken.

Ik heb nergens beweerd dat Cor een oprichter was...beter lezen in het vervolg.

Try a better move next time...

Ik heb prima gelezen, en het was een reëele hoewel leading vraag aan Menthix aangezien hij (zij?) schreef dat "de oprichters allang weg zijn" en (impliciet daardoor) sinds de overname door KPN de mentaliteit veranderd is.
En ik schreef hem voordat ik zijn edit zag.

Cor is namelijk, in elk geval onder techneuten, zeker één van de mensen die het gezicht en de vroege geest van hacktic/xs4all mede bepaalden, maar publiek minder zichtbaar dan met name Rop , en ook Felipe waren.
Toch vind ik het terecht om Cor bij de oprichters te noemen (en, gezien de edit, Menthix ook). De xs4all geschiedenis pagina trouwens ook.

Waarom je nu reageerde op een reactie die niet aan jou gericht was met de melding dat je een correcte bewering nergens gedaan hebt .... ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.