Achtergrondartikel


Een jaar lang lekken melden, aflevering 3

Voorbij melding nummer 0x125c

We zijn inmiddels twee maanden verder met Global Defense of the Internet. Victor Gevers, alias 0xDUDE doet nog steeds elke dag vijftien uur aan Responsible Disclosure, oftewel kwetsbaarheden op internet opsporen en die discreet melden bij de juiste persoon. Op 13 februari twittert @0xDUDE dat zijn persoonlijke teller na 17 jaar op 0x125c staat, oftewel 4.700, in hexadecimale cijfers.

Door Chris van ‘t Hof

Alleen al in januari waren er 119 meldingen bijgekomen. Momenteel loopt het aantal echter wat minder snel op. Het afhandelen wordt ingewikkelder en nu dit bijzondere project meer aandacht krijgt, nemen ook de afleidingen behoorlijk toe. Gevers: “LinkedIn loopt vol. Dan komt er ineens een kunstenaar die botnets wil verbeelden en zegt daar al subsidie voor te hebben. Ik krijg ook veel hulpvragen vanuit het mkb, of ik even een pentest zou kunnen doen, maar die stuur ik door naar anderen. Ik zie gelukkig veel securityspecialisten om me heen die voor zichzelf beginnen.”

Zelfs geen bedankje

Waren de organisaties waar hij zijn meldingen doet nu maar net zo enthousiast. Een groot gamingbedrijf, waar hij nu al zes weken mee bezig was, heeft nu eindelijk zijn lek gedicht. Zonder ook maar iets terug te communiceren, zelfs geen bedankje. Dat terwijl miljoenen gebruikers kwetsbaar waren. Niet alleen hun persoonsgegevens konden gestolen worden, maar ook hun creditcardgegevens en virtuele goederen. GDI collega Vincent Toms heeft een mooi verslag geschreven op hun website, met tips voor gamers om zich beter te beschermen.

De grootste kwetsbaarheid van februari betrof volgens Gevers een grote Chinese Telco waar iedereen zo in het register kon. Aangezien er niet veel telco’s zijn in China, maar wel veel Chinezen, ging het hier dus om heel veel abonnees. “Je kon zo in de database en er maar op één manier mee communiceren: full admin control. Iedereen kon dus lezen, schrijven, aanpassen… dat terwijl juist in China alles gemonitord wordt.” Hij mailde zijn bevindingen naar een contactadres op de website, met instructies hoe zij de kwetsbaarheid konden verhelpen. Vier dagen later stond de database weer dicht. Wederom kreeg GDI verder geen reactie…

Politiek vandalisme

Wat komen ze verder nog tegen? Wat was de trend van februari? Gevers: “Wat ik nu zie is meer ideologisch gedreven vandalisme. Gewoon websites defacen, bewust slopen.” Maar hoe weet hij dat dit ook echt een trend is en hij niet toevallig gewoon meer tegenkomt? Elke dag draait hij een index, met zoektermen als “hacked by” op bronnen die het hele internet hebben afgezocht. “In Nederland zie ik normaal tien tot vijftien sites die gehackt zijn. Nu zie ik er wel vijftig per dag. Vaak zoeken ze naar oude Content Management Systemen die bekend kwetsbaar zijn, om daar hun vlag te planten.”

Wie doen zoiets? “90% is politiek gekleurd. Vaak laten ze hun visitekaartje achter. Ze gebruiken de gehackte site dan om hun promotiemateriaal te uploaden.” De slachtoffers zijn vaak onwetend. Het gaat om verwaarloosde sites waarvan soms de eigenaar niet eens meer te achterhalen is. Dan gaat de melding naar de hostingpartij. Die reageren in de regel meteen door de site offline te halen.

Gestructureerd delen

In het melden gaat wel veel tijd zitten. Voorheen handelde hij wel eens honderd meldingen af op een dag, nu vaak slechts één. De meerwaarde is wel dat GDI zo een beter beeld krijgt van wat er wordt gedaan om misbruik te maken van servers. Zien ze bijvoorbeeld een bepaalde WordPress zero-day exploit of data dumps aangeboden worden op Dark Markets, dan kun je er vanuit gaan dat er meer slachtoffers zullen vallen. Het zou mooi zijn als ze die informatie wat gestructureerder kunnen delen. Ze zijn nu aan het onderzoeken of dat bijvoorbeeld via AbuseIO kan. Dat is een opensource toolkit waarmee iedereen gevallen van internetmisbruik kan detecteren en elimineren. Vooral hostingbedrijven maken hier gebruik van.

Februari was ook een maand van meer medische gegevens. Op de Dark Market doet een patiëntendossier nu gemiddeld 2$. Dat lijkt niet veel, maar als je bijvoorbeeld een bloedbank hackt, heb je er al behoorlijk wat. Daar bleken er in de VS behoorlijk wat van open te staan. GDI benaderde acht bloedbanken die allemaal gebruikmaken van een database die al een tijdje bekendstaat om een bepaalde kwetsbaarheid. Gevers: “Ze realiseren niet de marktwaarde van hun data. Daarom schiet ik hoog in: ‘Hier, 10.000 bloeddonoren, realiseer je wat je daarvoor krijgt op de Dark Market?’ Uitleg is moeilijk en leidt in de regel tot veel mailtjes, maar als ze het begrijpen zijn ze vaak wel dankbaar.” Zijn inschatting is dat je binnen een dagje hacken zo’n 40 miljoen records binnen kunt harken. Dan wordt het wel lucratief natuurlijk.

Forensische borging

Grote bedrijven, Chinese telco’s, Amerikaanse bloedbanken … Ik begin me ondertussen wel af te vragen hoe ze bij GDI hun eigen veiligheid waarborgen. Ze kunnen immers geheime diensten, politie of advocaten op zich af krijgen. Gevers maakt zich daar niet zoveel zorgen om: “De meta-data over kwetsbaarheden bewaren we veilig en versleuteld op offline locaties. Voor een onderzoek maken we gebruik van een Virtual Private Server in het land waar we een indicatie van de kwetsbaarheid zien. We trekken geen kopie van data en beperken het tot een screencap, directory listing of een andere beschrijving van wat we zien.” Dat is onze forensische borging.

“Deze VPS’en zijn herleidbaar naar onze organisatie. Als de data wordt opgevraagd, kunnen we die zo overhandigen. Ik ga er ook wel vanuit dat onze niet-versleutelde mail onderschept kan worden want niet iedereen maakt gebruikt van PGP. Maar, we doen niets wat niet mag. Wat wij vinden is op basis van openbare bronnen (OSINT), zoals zoekmachines. We gaan niet zelf in die kwetsbare sites zitten wroeten.”

Als hij dan contact opneemt met de eigenaar van een kwetsbaar systeem, doet hij dat ook onder zijn eigen naam? “Ja, altijd. Als je anoniem gaat communiceren, wekt dat irritatie. Als ik mijn eigen naam gebruik, dan wekt dat vertrouwen en dat is het me wel waard.”

Volgende maand gaan we met GDI naar een groot congres in Hongarije. Ik ben benieuwd wat ze daar vinden van onze digitale helden…


Links:

Interview met Wido Potters over hoe Abusio werkt: http://www.tektok.nl/ttr1wp.html
GDI-rapport “Again a major Data Leak in the "Gaming Industry...": http://www.gdi.foundation/#!Again-a-major-Data-Leak-in-the-Gaming-Industry/vkggv/56aa59940cf2f766058d0b54

Vorige afleveringen van "Een jaar lang lekken melden":
Aflevering 1: Easy to Get and High Risk https://www.securityvandaag.nl/article/item/Easy-to-get-and-high-risk
Aflevering 2: De eerste oogst https://www.securityvandaag.nl/article/item/de-eerste-oogst

Lees meer over