Onderzoekers kregen via vpn-lek toegang tot intranet Twitter
Onderzoekers van securitybedrijf Devcore hebben toegang tot het intranet van Twitter gekregen omdat het bedrijf een beschikbare beveiligingsupdate voor een ernstig lek in de gebruikte vpn-oplossing niet had geïnstalleerd. Uiteindelijk lukte het de onderzoekers zelfs om de vpn-server van Twitter over te nemen.
De Pulse Secure vpn-oplossing waar Twitter gebruik van maakt laat werknemers op afstand verbinding met het bedrijfsnetwerk maken. Via een kwetsbaarheid in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende. Pulse Secure patchte het lek op 24 april.
De kwetsbaarheid werd ontdekt door onderzoekers Orange Tsai en Meh Chang, die Pulse Secure over het probleem informeerden. Tsai en Chang hadden gezien dat Twitter van de kwetsbare vpn-oplossing gebruikmaakte. Ze gaven Twitter echter de tijd om de patch te installeren, maar een maand na het uitkomen van de update was die nog steeds niet door het bedrijf uitgerold.
Daarop besloten de onderzoekers Twitter via het vpn-lek aan te vallen en kregen zo toegang tot het intranet van het bedrijf. Het doel van Tsai en Chang was echter om willekeurige code op de server uit te voeren. Dit was mogelijk via de wachtwoorden van managers die op de vpn-oplossing hadden ingelogd. De wachtwoorden die de onderzoekers vonden waren echter gesalt en gehasht.
Ze wisten door gebruik te maken van Amazon Web Services een wachtwoordhash uiteindelijk te kraken. "Ik denk dat we mazzel hebben gehad. Voor zover wij kunnen zien geldt er een sterk wachtwoordbeleid voor Twitterpersoneel. Maar het lijkt dat dit beleid niet voor de manager geldt. Het wachtwoord van de manager bestaat uit slechts tien karakters en het eerste karakter is een B", aldus Tsai. De wachtwoordhash kon in drie uur worden gekraakt, waarna remote code execution mogelijk was.
De onderzoekers waarschuwden Twitter, waarna ze de hoogste bug bounty van 20.000 dollar van Twitter ontvingen. "Hoewel we het niet kunnen bewijzen, lijkt dit de eerste remote code execution op Twitter te zijn geweest", stelt Tsai. In een analyse van het beveiligingslek laat de onderzoeker verder zien hoe vpn-clients die met de gecompromitteerde vpn-server verbinding maakten konden worden overgenomen. Gisteren werd bekend dat ook in Nederland nog tientallen bedrijven de update niet hebben geïnstalleerd.
Wat is het idee daarachter? Dat een hash kraken gebeurt op alfabetische volgorde ofzo?
Wat is de volgende "maar dat is ook niet goed voor een sterk wachtwoord" claim die de aanhangers van sterke
wachtwoorden nu weer gaan verzinnen? Dat hele sterke wachtwoorden verhaal wordt steeds lachwekkender...
Als ze nou toch binnen waren bij Twitter, waarom hebben ze dan niet de sourcecode van die nieuwe web interface
grondig verwijderd van de systemen en vervangen door de vorige? Twitter is totaal niet meer bruikbaar tenzij je een
browserstring instelt die de vorige versie forceert, en dan zijn er weer andere problemen omdat ie dan met de beperkingen
van Internet Explorer gaat werken. En Twitter is niet geinteresseerd in opmerkingen over die nieuwe versie.
Wat is het idee daarachter?
Het gaat niet om de B, maar om aan de eigenaar van dat wachtwoord aan te geven dat zij ook daadwerkelijk het wachtwoord in handen hebben, zonder het hele wachtwoord publiekelijk te maken.
Peter
Wat is het idee daarachter?
Tenzij ze achteraan beginnen. Een A of B is zo slecht nog niet omdat die in het midden zit van de reeks "a-z-A-Z" (-:
Wat is het idee daarachter?
Het gaat niet om de B, maar om aan de eigenaar van dat wachtwoord aan te geven dat zij ook daadwerkelijk het wachtwoord in handen hebben, zonder het hele wachtwoord publiekelijk te maken.
Het wordt wel weer duidelijk dat managers eerder minder dan meer te vertrouwen zijn.
(goh, waarom verbaas ik me niet?)
Wat is het idee daarachter?
te noemen als je ze eenmaal weet. Wachtwoorden zijn gewoon geen sterke beveiliging hoe je het ook draait of keert.
Wat is het idee daarachter?
te noemen als je ze eenmaal weet. Wachtwoorden zijn gewoon geen sterke beveiliging hoe je het ook draait of keert.
Een wachtwoord met 9/10 characters is met de huidige technologie redelijk te kraken, vereist soms nog wat geluk maar het is te doen in afzienbare tijd. Een wachtwoord van 12 characters wordt alweer lastiger en 16 characters zowat onmogelijk (zonder geluk te hebben of gebruik te maken van een makkelijke pass-phrase). Gooi er nog een mooi entropie op door gebruik te maken van cijfers, uppercase, lowercase en special characters en een je hebt een mix voor een mooi veilig wachtwoord. Zolang mensen nog maar wel onthouden dat ze de wachtwoorden niet moeten opschrijven, of hergebruiken en gebruik te maken van de password manager (en deze ook een degelijk wachtwoord te geven...). Ook het wijzigen na een lek is geen luxe (meestal wordt dit gelukkig nu geforceerd door de organisatie in kwestie, maar niet altijd.
Moraal van het verhaal, de manager hield zich niet aan zijn eigen beleid en dient hiervoor een flinke straf te krijgen (naar mijn mening ontslag). Want, policies werken alleen als iedereen (en vooral managers) er zich aan houden. Als je manager er al niet om maalt, dan zit je organisatorisch toch echt in de problemen.
Daarnaast, het missen van een update uit april (die vrij breed gedeeld is) lijkt mij een absolute schande. Zeker voor een systeem wat direct aan het internet hangt.
#mijn5cent
Het wordt wel weer duidelijk dat managers eerder minder dan meer te vertrouwen zijn.
(goh, waarom verbaas ik me niet?)
Dit is een verkeerde interpretatie van het woord "manager" in de oorspronkelijke tekst. Als je die in context lees, blijkt dat men hier "beheerder" bedoelt.
In de parktijk worden sterke wachtwoorden afgedwongen door het managementsysteem voor gewone accounts. Maar voor beheer worden vaak beheersaccounts aangemaakt. Daar wordt vaak geen policy afgedwongen. Beheerders, die ook maar gewoon mensen zijn, zullen dan vaak een simpel wachtwoord kiezen.
Peter
Dit is een verkeerde interpretatie van het woord "manager" in de oorspronkelijke tekst. Als je die in context lees, blijkt dat men hier "beheerder" bedoelt.
In de parktijk worden sterke wachtwoorden afgedwongen door het managementsysteem voor gewone accounts. Maar voor beheer worden vaak beheersaccounts aangemaakt. Daar wordt vaak geen policy afgedwongen.
Of het beheeraccount is een standaardaccount van het systeem wat tijdens de installatie voorzien wordt van een
wachtwoord nog voordat de policy voor wachtwoorden wordt ingesteld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.