image

Lakse webmasters voornaamste oorzaak gehackte websites

dinsdag 5 maart 2019, 09:25 door Redactie, 18 reacties

Lakse webmasters die geen beveiligingsupdates installeren, configuratiefouten maken, gebrekkige securitykennis hebben en een potje van het beheer maken zijn de voornaamste reden dat sites worden gehackt. Dat stelt securitybedrijf Sucuri op basis van meer dan 25.000 onderzochte gehackte websites.

Van de meer dan 25.000 opgeschoonde websites draaide 90 procent op WordPress. Dat zegt volgens de beveiliger niet dat dit contentplatform onveiliger is dan andere platformen. Sucuri wijst juist naar de webmasters die voor een website verantwoordelijk zijn als voornaamste oorzaak dat websites worden overgenomen. Zo draaide 44 procent van de gehackte websites een verouderde versie van het platform. Bij WordPress ging het om bijna 37 procent van de getroffen websites.

Verder blijkt dat websites worden gekaapt via verkeerd geconfigureerde plug-ins, modules en extensies, is er sprake van "misbruik van wachtwoorden", verkeerd geconfigureerde applicaties en servers en een gebrek aan kennis over security best practices. "Deze zaken blijven de voornaamste oorzaak dat websites tegenwoordig worden gehackt", aldus Sucuri.

Image

Reacties (18)
05-03-2019, 09:53 door PietdeVries
Beetje een open deur, niet? Als je als webmaster de meest recente versie van je CMS hebt draaien, en je de tools op de juiste wijze (met goede wachtwoorden) hebt beveiligd, dan blijft er nog maar een heel kleine "attack oppervlak" over. Zerodays, eventueel social engineering, maar al 't andere is afgevangen...
05-03-2019, 10:54 door [Account Verwijderd] - Bijgewerkt: 05-03-2019, 11:06
Door PietdeVries: Beetje een open deur, niet?

Behalve als je karma4 heet: https://www.security.nl/posting/600021#posting600062. Dan leg je de schuld bij Free Open Source Software en dat 'andere OS'.
05-03-2019, 11:05 door Anoniem
Ik ken websites die jaren oud zijn en zelfs ook nog populair zijn, die hun wachtwoorden van gebruikers in plain text opslagen. Het zou verboden moeten worden. Ze hadden desnoods toch even moeten melden dat het wachtwoord zichtbaar is voor de admins (en de hackers als database ooit gekraakt zou worden).

Dus daarom: gebruik op elke website verschillende wachtwoord!
05-03-2019, 11:20 door Anoniem
Het is dus meestal gewoon je eigen schuld en niet die van "hackers, die hacken, met hacks!!1!"

Maarja, mea culpa doet het nou eenmaal niet zo goed als persbericht... of clickbait.
05-03-2019, 12:00 door Anoniem
Door Bomb No. 20:
Door PietdeVries: Beetje een open deur, niet?

Behalve als je karma4 heet: https://www.security.nl/posting/600021#posting600062. Dan leg je de schuld bij Free Open Source Software en dat 'andere OS'.
Maar als het Windows betreft, dan denk je er alleen net even iets anders over. Dat ligt het aan het Windows smaakje....

Met 2 maten meten?

Door Bomb No. 20:
Door Anoniem: <knip>

Zie je hoe gruwelijk ingewikkeld het is? Die cijfers zijn helemaal niet goed te vergelijken. Die vergelijkingen zeggen dus eigenlijk geen donder.

Het is helemaal niet ingewikkeld! Kijk maar wie er bijna dagelijks (hier) in het nieuws komt met het zoveelste (beveiligings)probleem. Kijk maar in je eigen omgeving wie weer eens een probleem met een gehackte computer heeft. En kijk dan eens naar de gemeenschappelijke deler. Die is? Juist: een Microsoft Windows smaakje.
05-03-2019, 13:11 door Anoniem
Door Bomb No. 20:
Door PietdeVries: Beetje een open deur, niet?

Behalve als je karma4 heet: https://www.security.nl/posting/600021#posting600062. Dan leg je de schuld bij Free Open Source Software en dat 'andere OS'.

Ik lees dat toch anders. En vind daarom je reactie defaming. Temeer het hier gewoon een ander onderwerp is.
Als je/jullie mij/ons niet willen vervelen met andermans woorden verdraaien, wil ik best nog de moeite nemen jullie dialoog te volgen. Maar op dit moment doe je kinderachtig, hetgeen weinig intressant danwel amusant is.
05-03-2019, 16:30 door Anoniem
Door PietdeVries: Beetje een open deur, niet? Als je als webmaster de meest recente versie van je CMS hebt draaien, en je de tools op de juiste wijze (met goede wachtwoorden) hebt beveiligd, dan blijft er nog maar een heel kleine "attack oppervlak" over. Zerodays, eventueel social engineering, maar al 't andere is afgevangen...

Beetje ridicule bewering. Dezelfde sites die nu "door laks beheer door de webmaster gevoeling zijn voor aanvallen"
waren enige tijd geleden "de meest recente versie van het CMS". Als die nu onveilig zijn waren ze het toen ook al.
"installeer altijd de updates" dat is een zwaktebod bij gebrek aan fatsoenlijke software.
05-03-2019, 19:03 door Anoniem
Het is een veel breder probleem van zowel hoster, web maintainers en clouddiensten e.d. Daarnaast ook DNS, certificaten, encryptie, header beveiligingen etc. etc.
Dan spelen ook mono-cultures in de infrastructuur je parten, zie bijvoorbeeld hier:
https://urlquery.net/report/3d22d25e-8c49-4702-b49a-d62ea00ff852
Kijk eens naar al de kwetsbaarheden, die hier langs komen en eventueel uit te buiten zijn:
https://urlquery.net/report/3d22d25e-8c49-4702-b49a-d62ea00ff852
Wat er al allemaal is gedetecteerd: https://www.virustotal.com/#/domain/reedswitches.cn
Wat er al allemaal gepatched moest worden: https://www.tiny.cloud/docs/changelog/
Welke verbeterslag er gemaakt kan worden: https://webhint.io/scanner/193a7272-8f68-4e77-9e3f-603fb5c97770
luntrus
05-03-2019, 19:06 door Anoniem
Lakse developers. Zullen we het daar eens over hebben? Pleur maar over de muur software, alle gebruikers zijn field testers, want daar ben ik zelf te briljant voor mentaliteiten. En als ik er zelf niet meer uit kom, dan stoppen we met updates. Want waarom moet het altijd maar gratis zijn dat ik tot in de eeuwigheid mijn eigen fouten moet corrigeren?

Het probleem is niet dat er niet vaak genoeg wordt geupdate. Het probleem is dat er teveel ondoordachte rommel wordt geprogrammeerd!
05-03-2019, 23:24 door karma4
Door Bomb No. 20: Behalve als je karma4 heet: https://www.security.nl/posting/600021#posting600062. Dan leg je de schuld bij Free Open Source Software en dat 'andere OS'.
Beetje sneu -Bomb No 20- Als je telkens beweerd dat het os alles is waar de hele security van af hangt en daarover blijft emmeren in een herhalende os flaming… Dan volgt daaruit dat slecht beheer een gevolg is van het onderliggende os.
Het is houw insteek die ik enkel consequent volhoud in een omgeving met jouw os.
Dat het resultaat daarvan is dat jouw os daarmee als het onveiligst is wat ooit verzonnen is, het zij zo.

Hoe kan je dat veranderen?
-> De hele keten waarmee de informatie verwerkt wordt als geheel zien om veilig te krijgen.
Mooie uitdaging toch, heb je nog wat te doen,,,, veel te doen.
06-03-2019, 09:26 door Anoniem
Door Anoniem: Het is dus meestal gewoon je eigen schuld en niet die van "hackers, die hacken, met hacks!!1!"

Maarja, mea culpa doet het nou eenmaal niet zo goed als persbericht... of clickbait.

Toch wel gek eigenlijk, ik zou denken dat het wel degelijk hackers zijn die hacken. Maar het zijn dus de beheerders.
06-03-2019, 09:47 door [Account Verwijderd] - Bijgewerkt: 06-03-2019, 09:47
Door karma4:
Door Bomb No. 20: Behalve als je karma4 heet: https://www.security.nl/posting/600021#posting600062. Dan leg je de schuld bij Free Open Source Software en dat 'andere OS'.
Beetje sneu -Bomb No 20- Als je telkens beweerd dat het os alles is waar de hele security van af hangt en daarover blijft emmeren in een herhalende os flaming…

Dat heb ik nooit beweerd. Wat ik wel beweer is dat er grote verschillen zijn tussen besturingssystemen (en andere software) en dat deze van grote invloed zijn op security. Zeker als het om fundamenten gaat (zoals je besturingssysteem). Pas als je je fundament goed hebt is het zinvol om je met andere zaken m.b.t. security bezig te gaan houden.

Door karma4: Dan volgt daaruit dat slecht beheer een gevolg is van het onderliggende os.

Natuurlijk niet! Slecht beheer is een gevolg van luiheid en ander menselijk falen.

Door karma4: Het is houw insteek die ik enkel consequent volhoud in een omgeving met jouw os.
Dat het resultaat daarvan is dat jouw os daarmee als het onveiligst is wat ooit verzonnen is, het zij zo.

Het begint weer wat verward te klinken en ik kan je niet echt meer volgen. Maar het lijkt erop dat je menselijk falen (slecht beheer) wilt spin doctoren richting gebrek aan kwaliteit van het gebruikte besturingssysteem. Leuk geprobeerd maar die vlieger gaat natuurlijk niet op. Zelfs niet voor Microsoft Windows.
06-03-2019, 09:58 door karma4
Door Bomb No. 20:
Het begint weer wat verward te klinken en ik kan je niet echt meer volgen. Maar het lijkt erop dat je menselijk falen (slecht beheer) wilt spin doctoren richting gebrek aan kwaliteit van het gebruikte besturingssysteem. Leuk geprobeerd maar die vlieger gaat natuurlijk niet op. Zelfs niet voor Microsoft Windows.

Het is misschien pijnlijk voor je maar een OS is totaal niet interessant voor normale organisaties. De uitzondering hierop is de enkeling die een os aan de man moet brengen. Organisaties hebben als doel automatisering (kostenbesparing) informatieverwerking.
Het menselijk falen treedt op als doel en hulpmiddel verward worden. Voor degenen die dat verward hebben klinkt dat lastig en dat is het grootste probleem. Slecht beheer heeft een causaal verband met dat soort blinde overtuiging .. doosje neerzetten klaar. De hoge correlatie van OSS en slecht beheer kun je daarmee verklaren.
Het bewijs van de causatie komt door de reacties die jij bijvoorbeeld geeft.

Een OS neerzetten een niet in staat zijn om privileged identity management te doen is bijvoorbeeld een drijfzand fundament. (Ik heb nog wel meer)
06-03-2019, 22:31 door Anoniem
Om te zien, waarover het hier zou kunnen gaan, doe eens de volgende quick & dirty scans voor een willekeurige website:

https://privacyscore.org/ beta
https://webscan.upguard.com/#/ geeft directe bedreigingen weer, zoals openstaand voor MiM aanvallen etc.
https://webhint.io/scanner/ geeft een scala van aanbevelingen voor website verbetering (ook w.b. security)
https://observatory.mozilla.org/ SSL etc. aanwezige of ontbrekende security headers.
https://dnssec-analyzer.verisignlabs.com/ DNS-security

Het is een probleem voor de zaken, die de developer implementeert, omdat de schoorsteen via inkomsten via Google, facebook, Amazon en de clouddienst ook moet branden en dit zijn juist die zaken (third party code etc.), die sommige bewuste eindgebruikers willen blokkeren (onveilige advertentie links, kwaadaardige 3rd party code, etc.)

Ik zie bij toetsen "development" bijvoorbeeld, dat de student, die al daarvoor een netwerk-module heeft gehad, duidelijk voordeel heeft voor het maken van de desbetreffende toets. Zaken moeten men weten en er niet naar gokken (wat is de breedte van een array bijvoorbeeld). Gebruik van de juiste literatuur door security docenten is ook van belang.

Waarom moet je belangrijke zaken maar op eigen houtje je eigen maken, zoals scannen van javascript op zwakheden, XSS-Dom sources en sinks, cloaking (Google ziet andere code op de site als via Googlebot bijvoorbeeld), javascript code nalopen via Retire.js (als extensie). Vele tools tegenwoordig verkrijbaar als API.

Best policies, security header implementatie, gevaar via excessieve info proliferatie (shodannetje voor de CVE en snel opzoeken van een toepasbare exploit of uitbuiten bug - nieuwe veelbelovende tool is Greynoise). Verkeerde en zwakke implementatie van encryptie. Sub-domeinen bij goedkope clouddiensten, die ineens de eigen sub-domeinen niet meer blijken te zijn.

Security is vaak nog steeds een "last resort issue" en de discussie, waarom dit zo al jaren is, is hier nog nooit uitputtend en diepgaand gevoerd, alhoewel ik wel een mogelijk scenario met conclusies zou kunnen bedenken. Dit na 12 jaar vrijwillige 3rd party cold reconnaissance website security scanning en website error-hunting.

Niemand die kennelijk echt de kat de bel aan wil binden en de vinger op de zere plekken wil leggen, dus dan krijgen we een posting met als kop: "Lakse webmasters enz" en de goegemeente slik dit, zoals ze in het Engels zeggen met haak, dobber en lijn, voor zoete koek dus.

luntrus
08-03-2019, 08:15 door [Account Verwijderd]
Door karma4:
Door Bomb No. 20:
Het begint weer wat verward te klinken en ik kan je niet echt meer volgen. Maar het lijkt erop dat je menselijk falen (slecht beheer) wilt spin doctoren richting gebrek aan kwaliteit van het gebruikte besturingssysteem. Leuk geprobeerd maar die vlieger gaat natuurlijk niet op. Zelfs niet voor Microsoft Windows.

Het is misschien pijnlijk voor je maar een OS is totaal niet interessant voor normale organisaties.

Dat klopt. Maar alleen als zo'n organisatie geen Microsoft Windows gebruikt. Dan heb je er inderdaad geen kind aan.
09-03-2019, 20:34 door karma4 - Bijgewerkt: 09-03-2019, 20:35
Door Bomb No. 20: [Dat klopt. Maar alleen als zo'n organisatie geen Microsoft Windows gebruikt. Dan heb je er inderdaad geen kind aan.
Helaas is juist dat soort cultuur als ïk moet mijn OS als speelgoed hebben": nu net het grootste probleem uh Linux toch.
Onderwerp is websites open source LAMP Linux apache maria/mongo php/perl
09-03-2019, 22:35 door karma5
Door karma4:
Door Bomb No. 20:
Het begint weer wat verward te klinken en ik kan je niet echt meer volgen. Maar het lijkt erop dat je menselijk falen (slecht beheer) wilt spin doctoren richting gebrek aan kwaliteit van het gebruikte besturingssysteem. Leuk geprobeerd maar die vlieger gaat natuurlijk niet op. Zelfs niet voor Microsoft Windows.

Het is misschien pijnlijk voor je maar een OS is totaal niet interessant voor normale organisaties. De uitzondering hierop is de enkeling die een os aan de man moet brengen. Organisaties hebben als doel automatisering (kostenbesparing) informatieverwerking.
Het menselijk falen treedt op als doel en hulpmiddel verward worden. Voor degenen die dat verward hebben klinkt dat lastig en dat is het grootste probleem. Slecht beheer heeft een causaal verband met dat soort blinde overtuiging .. doosje neerzetten klaar. De hoge correlatie van OSS en slecht beheer kun je daarmee verklaren.
Het bewijs van de causatie komt door de reacties die jij bijvoorbeeld geeft.

Een OS neerzetten een niet in staat zijn om privileged identity management te doen is bijvoorbeeld een drijfzand fundament. (Ik heb nog wel meer)

Dit is jouw overtuiging dat er een verband is tussen OSS en slecht beheer. Helaas is dat geen hard, wetenschappelijk bewezen feit.
11-03-2019, 10:17 door Anoniem
Vette BUMP

Nogmaals aankaarten, dit keer met een link: https://www.theregister.co.uk/2019/03/11/developers_lousy_security/,
zodat niemand kan zeggen, hij verzint zomaar weer eens iets.

Als we zo verder gaan, blijft de situatie zo en blijven we dit steeds tegenkomen
1:1 error Parsing error: Unexpected token > 1 | =]{0,2}$/,ea=null,ka=function(a,b){function c(){}c.prototype=b.prototype;a.Wg=b.prototype;a.prototype=new c;a.prototype.constructor=a;a.Fg=function(a,c,g){for(var d=Array(arguments.length-2),e=2;e<arguments.length;e++)d[e-2]=arguments[e];return b.prototype[c].apply(a,d)}};var la=function(){},ma=function(a){return"function"==typeof a},f=function(a){return"string"==typeof a},na=function(a){return"number"==typeof a&&!isNaN(a)},oa=function(a){return"[object Array]"==Object.prototype.toString.call(Object(a))},qa=function(a,b){if(Array.prototype.indexOf){var c=a.indexOf(b);return"number"==typeof c?c:-1}for(var d=0;d<a.length;d++)if(a[d]===b)return d;return-1},ra=function(a,b){if(a&&oa(a))for(var c=0;c<a.length;c++)if(a[c]&&b(a[c]))return a[c]},sa=function(a,b){if(!na(a)|| | ^ 2 | !na(b)||a>b)a=0,b=2147483647;return Math.floor(Math.random()*(b-a+1)+a)},ta=function(a,b){for(var c in a)Object.prototype.hasOwnProperty.call(a,c)&&b(c,a[c])},ua=function(a){return Math.round(Number(a))||0},va=function(a){return"false"==String(a).toLowerCase()?!1:!!a},wa=function(a){var b=[];if(oa(a))for(var c=0;c<a.length;c++)b.push(String(a[c]));return b},ya=function(a){return a?a.replace(/^\s+|\s+$/g,""):""},za=function(){return(new Date).getTime()},Aa=function(){this.prefix="gtm.";this.values= 3 | {}};Aa.prototype.set=function(a,b){this.values[this.prefix+a]=b};Aa.prototype.get=function(a){return this.values[this.prefix+a]};Aa.prototype.contains=function(a){return void 0!==this.get(a)}; 4 | var Ba=function(a,b,c){return a&&a.hasOwnProperty(b)?a:c},Ca=function(a){var b=!1;return function(){if(!b)try{a()}catch(c){}b=!0}},Da=function(a,b){for(var c in b)b.hasOwnProperty(c)&&(a[c]=b[c])},Ea=function(a){for(var b in a)if(a.hasOwnProperty(b))return!0;return!1},Fa=function(a,b){for(var c=[],d=0;d<a.length;d++)c.push(a[d]),c.push.apply(c,b[a[d]]||[]);return c};/*
Typisch voor Google chrome en chromium aanverwante browsers, dit soort parse errors. Sorry geen property 'initialise aanwezig. Is alleen maar een parsing error voorbeeld.

Willen we dus nog naar verdere tweedeling in onze maatschappij (of is ie er al niet voldoende?)- een soort Federaal Europa met 1% globale elite zonder relevante kennis, maar die wel de dienst uitmaakt en 99% middelmaat met een McDonald-medewerkerachtige status. De rest van de werkende bevolking vervangen via AI robotisering? Gaat leuk worden, toch?

Laat e.e.a. eens goed op je inwerken en bepeins de uiterste consequenties ervan eens diepgaand, a.u.b.?

De 1%, die verdeelt en heerst, tegenover 99% plebs, die het vaak niet eens beseft. Middenstand verdwenen, respect opgeheven en slechts bestaand voor diegenen, die het echt gemaakt hebben zoals de stervoetballer?
Overdreven gedacht misschien?

Wellicht, maar als we niet erg oppassen gaan we daar wel direct naar op weg. En weer niemand die dan nog reageert. Gebruikt u overigens BCrypt op uw wachtwoord formulieren? Oh en op deze pagina
ReferenceError: GM_xmlhttpRequest is not defined -id=1ecdf1e8-4ddf-4227-ac89-b689910e1e94:188
, Security, Pfffff.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.