Databaseserveren til norsk forskningsinstitutt eksport på web

[Harald Brombach (digi.no)]

Valgte å ta ned nettstedet i seks dager etter at digi.no formidlet tips fra hacker.

Databaseserveren til norsk forskningsinstitutt eksport på web

[GOAXT8WU]

"Databaseserveren til norsk forskningsinstitutt eksport på web "

 

Forsøk på en setning?

[Harald Brombach (digi.no)]

"Databaseserveren til norsk forskningsinstitutt eksport på web "

 

Forsøk på en setning?

 

Noen fikk det litt travelt. Fint du sa ifra, men feilen ble raskt rettet.

[tommyb]

Interessant artikkel, liker fokuset på lavthengende frukt. (Så lenge det ikke blir sendt i vår retning, i alle fall. Strengt tatt hadde jeg ikke trengt å vite hvilken forskningsinstitutt som ble tatt, de har allerede lært sin lekse.)

 

Grunnen til at jeg liker fokuset på lavthengende frukt er at de sakene som oftest blir omtalt er av en sånn grad at man får inntrykket at man ikke kan gjøre så mye fra eller til. Statsstøttet hacking er én ting, men det vi leser om her er en helt annen ting, og noe man faktisk kan stille litt opp mot. 

Jeg er av den mening at medieomtale av sårbarheter og svikt i rutiner fører til patchede sårbarheter og oppstrammede rutiner, og kanskje til og med noen avsatte ressurser i de organisasjonene som får med seg denne type omtale. Hvis man samtidig kan flette inn noen gode råd i hver artikkel, kan det bidra litt også.

Endret 13. juni 2017 av tommyb

[RulleRimfrost]

Virker som digi lader opp til en artikkel der de ser på om sikkerhetsbransjen inneholder byråkrater med sjekklister eller kreative problemløsere. Høres interessant ut.

[0laf]

Det verste er vel at de ikke har fikset problemet skikkelig?

 

En kjapp test gir meg fremdeles antall kolonner, type database, nøkkelord og databasenavn.

For ordens skyld, så er noe av strukturen jeg enkelt får opp for databaser

 

# fjernet liste med databasenavn #

 

en kjapp test til for å sjekke om kolonner og data er tilgjengelig gir for "#databasenavn fjernet#" kolonnene (noen av de)

 

# fjernet liste med tabellnavn #

 

Det er mange flere tabeller, men dataene er fremdeles ikke sikret, å Digi skriver om dette nå, mens systemene til Telemarksforskning fremdeles er vid åpne, det er bare å laste ned dataene.

 

 

Nettsiden kjører fremdeles en 8 år gammel versjon av IIS?

Har Digi publisert seks dager for tidlig, eller har de seks dagene ikke blitt benyttet til å fikse systemene?

 

Som en liten apropos, når medarbeidere benytter etternavnet sitt som brukernavn, er det ikke særlig sikkert!

Endret 13. juni 2017 av TSP
Fjernet lister med privat databaseinfo

[Tastaturskriver]

Meldingen på Google som dukker opp ved søkeresultatet til Telemarksforskning er jo lovende:

"Denne nettsiden kan være hacket"

[GOAXT8WU]

Blir vel slik når alt av teknisk kompetanse er ut og det eneste som er igjen av oppgaver er å legge inn falske omtaler av egne apper:

 

http://www.dinside.no/okonomi/dnb-gir-seg-selv-toppkarakterer/67677049

[9MNAOD9R]

Lekker som en sil enda ut I fra hva jeg kan se hva I svarte er det de driver med?

[Larzen_91]

Moderatormelding

2 innlegg er fjernet. En ting er at informasjon ligger ute og tilgjengelig, men vi behøver ikke dele selve innholdet her.

 

Kommentarer tas på PM.

[Harald Brombach (digi.no)]

 

# fjernet liste med databasenavn #

 

 

 

# fjernet liste med tabellnavn #

 

 

Vi slettet listene. Det dreier seg om privat informasjon, selv om den er dårlig beskyttet. Det er likevel ingen tvil om at listene var ekte vare. 

Endret 13. juni 2017 av Harald Brombach (digi.no)

[0laf]

Vi slettet listene. Det dreier seg om privat informasjon, selv om den er dårlig beskyttet. Det er likevel ingen tvil om at listene var ekte vare. 

 

Greit nok, jeg ser den.

 

Jeg unnlot å poste faktiske data, selv om det ligger "åpent". Postet kun noen tilfeldig utvalgte tabellnavn for å bekrefte at databasen fremdeles er sårbar.

 

Dog, selv navn på tabeller og slikt gjør det jo noe enklere for å andre å få tilgang til dataene ved at man kan hoppe over et par steg, men man må fremdeles vite hvordan URL'ene skal struktureres for å få ut dataene fra tabellene.

 

Nå vet heller ikke jeg om dataene er ekte?

Å prøve å få direkte tilgang til databaser eller andre tjenester ved å benytte informasjonen som ligger åpent anser jeg for å være å gå over streken, mens å utforme URL'er slik at data som bør være sikret  "dukker opp" er "innafor".

 

Det som kanskje er mest interessant, er hva de brukte seks dager på, å hvem det var som friskmeldte nettsidene deres?

Det må jo være flaut å bruke en uke på å fikse et kjent problem, så når man er ferdig er det fremdeles vidt åpent?

[Harald Brombach (digi.no)]

 

Greit nok, jeg ser den.

 

Jeg unnlot å poste faktiske data, selv om det ligger "åpent". Postet kun noen tilfeldig utvalgte tabellnavn for å bekrefte at databasen fremdeles er sårbar.

 

Det var i og for seg helt greit det du gjorde. Det fortalte i alle fall meg (som har sett deler av databasestrukturen) at du hadde kommet deg inn. De fleste andre har derimot ingen nytteverdi at disse detaljene ligger ute, og vi ønsker ikke å komme "i bråk" på grunn av noe som ikke har noen nytteverdi for særlig mange.

[blablaukeblad]

Jeg kan ikke annet enn å si LOL!

Godt å se at ikke hele Norge er like hjernedøde som de som drifter mye av IT systemene her. Dette her er ikke et unikt tilfelle.

 

- John Doe

[blablaukeblad]

"Grunnen til at jeg liker fokuset på lavthengende frukt er at de sakene som oftest blir omtalt er av en sånn grad at man får inntrykket at man ikke kan gjøre så mye fra eller til. Statstøttethacking er én ting, men det vi leser om her er en helt annen ting, og noe man faktisk kan stille litt opp mot. "

 

Jeg har fokusert på lavt-hengende frukt fordi det er epidemisk i Norge. Glad det falt i smak, men denne holdningen din er en "defeatist attitude" jeg ofte møter hos Windows brukere. Disse "statsstøttede" hackerne er ikke mye gode og de _kjøper_ de fleste exploitene sine. De fleste er heller patetiske. Disse er det ikke så vanskelig å beskytte seg mot, du må bare ha litt peiling.

Malware som wannaCry er avhengig av exploits, exploits de ofte kjøper av etablerte hackere for _ville_ summer. Jeg har utviklet mekanismer for å beskytte mot det meste de kan komme med for min egen del, også i mobilnettet. Det er ikke så vanskelig som du gir inntrykket av - det er ofte bare at man ikke vil gi slipp på Windows eller tilegne seg ny kunnskap. Vi autodidakter rynker på nesen av slik holdning: Du kan gjøre noe med det, vi gjør det jo. Norge kan bedre, det er helt sikkert. Mye talent har kommet ut av Norge før.

 

Fakta er at de med skylapper forran øynene har seg selv å takke, spesielt de som ikke oppdaterer. Det gjelder dog alle som tror de kan kjøre 100 millioner linjer Windows kode de aldri har sett eller studert fra et Amerikansk søplefirma som Microsoft og kalle det trygt.

Offentlig og annen kritisk infrastruktur burde være bygget på åpen kode og åpne standarer, som Internett er, slik at _vi_ og ikke en gjeng _utlendinger_ i _USA_ har kontroll over infrastrukturen _vår_. Det hadde spart det offentlige for hundrevis av millioner om, ikke milliarder - og mange flauser. Da hadde vi heller ikke vært avhengige av å vente på patcher fra leverandørene - som beviselig holder de tilbake til tider: Microsoft holdt hullet hemmelig en god stund på forespørsel av NSA. Flere linjer av Windows fikk heller aldri patchen når de fleste fikk den, den ble merket "Superceeded" - noe som betyr mer eller mindre at toget har gått for dem.

På tide å slutte å kaste penger ut vinduet til Amerikanske firmaer som Microsoft, Oracle & konsulenthusene som pusher slikt, dette er ikke første gangen en feil i Windows ender opp med en vill orm - det blir ikke siste heller.

 

Du kan ikke noe om IT-sikkerhet om du ikke programmerer i flere språk, som blant andre:

* Assembler (x86, x64, ARM / ARMel, MIPS / MIPSel, SH4, ST*, etc),

* C (ISO C)

* C++

* Java

* Perl

* PHP

* SQL (T-SQL, MySQL, MS-SQL, Oracle SQL, PostgreSQL, etc)

* COBOL

* Python

* ECMAscript / JavaScript

* Ruby

* o.s.v.

Enkelt og greit.

 

Disse språkene driver vår digitale verden. Helst bør en i tillegg drive med "reverse engineering" og ha solid forståelse av nettverk-, OS- & arkitektur-teori for flere varianter av disse tingene. Dette er derfor en må betale _dedikert_ talent for denne typen ting; det er mer enn en heltidsjobb: Det er en livsstil.

 

- J.D.

 

P.S: Jeg tror de i Telemark Forskning brukte 6 dager på en "limp biscuit circle jerk", slik mange Windows "admins" ofte gjør. Mange Windows admins er Windows admins av den enkle grunn at de ikke kan med noe som ikke har skinnende GUI med "point and click interface" som kan spare dem fra å måtte kunne noe om det som skjer under panseret. De har alle sammen lignende dumme unnskyldninger når noe skjer. De vet ikke bedre ofte: Lyset er på, men ingen er hjemme.

 

P.P.S: "Cyberforsvaret" er et oxymoron. NSM, FFI, etc, er en dårlig spøk og Norge er helt utklasserte på verdensbasis her: Det offentlige, og firmaer, fokuserer for mye på feil ting. Den eneste tryggheten du får av dyre, lukkede produkter er falsk.

Folk som oss har skreket om ting som dette i 10-15 år - få hodet ut av ræva folkens. Vi i miljøet begynner bli mektig leie av å se hodeløse kyllinger springe rundt i panikk når det kan så lett gjøres noe med og vi ikke blir hørt. Det står bare på vilje.

 

..And cue clueless Windows user retort, cue NSM self-praising blog post, cue ignorant self-advertisement statement from Atea, bla, bla, bla ukeblad.

[0laf]

P.S: Jeg tror de i Telemark Forskning brukte 6 dager på en "limp biscuit circle jerk", slik mange Windows "admins" ofte gjør. Mange Windows admins er Windows admins av den enkle grunn at de ikke kan med noe som ikke har skinnende GUI med "point and click interface" som kan spare dem fra å måtte kunne noe om det som skjer under panseret. De har alle sammen lignende dumme unnskyldninger når noe skjer. De vet ikke bedre ofte: Lyset er på, men ingen er hjemme.

 

Det som er helt sikkert er at de som har vært ansvarlig for å fikse nettsiden til Telemarksforskning ikke har gjort jobben sin.

 

Dette er jo en ganske vanlig feil, å det er fort gjort å gjøre slike feil.

Jeg vil tro at de aller fleste utviklere har gjort samme blemma en eller annen gang. Man skriver noe kode å et eller annet sted glemmer man å validere input, slik at databasen blir sårbar.

En god utvikler oppdager slikt, eventuelt i siste omgang før koden går til "produksjon" ved å penteste sin egen kode.

 

Når feilen først har oppstått, så er det selv for en middelmådig utvikler en enkel å sak å tette hullet, i det minste midlertidig, det er jo bare å validere GET dataene som kommer inn slik at de ikke åpner opp hele databasen. I ASP er det trivielt å burde tatt 20 minutter å slenge inn noen filtre for å tette dette hullet.

 

På denne nettsiden virker det som om noen har puttet GET dataene fra querystringen rett inn i en databasespørring, ettersom selv ganske trivielle forsøk på SQL-injection som burde være stoppet av elementære filtre går igjennom.

 

Når man etter seks dager med nedetid fremdeles ikke har klart å fikse et såpass enkelt problem, så er det kanskje på tide å ringe noen som forstår dette?

Endret 14. juni 2017 av adeneo

[FLU39NRT]

Nå har det seg slik at et nettsted utviklet med ASP (og ikke ASP.Net) er nødt for å være gammelt, og har i dette tilfellet "fungert", så de har ikke vedlikeholdt det.

ASP inneholder ingen moderne hjelpemidler for å håndtere SQL-injection, og dersom koderne som utviklet siten for lenge siden fulgte daværende "standarder", så er det et lappeteppe med embeddede SQL-statements (les: type tidlig php)

 

Vet det fantes for noen år siden et automatisk script som kineserne kjørte, det sjekket alle adresser den kom over, testet for ASP, hacket seg inn i databasen, og satte javascript i alle kolonnene for å hacke brukere.

[Bolson]

Når man etter seks dager med nedetid fremdeles ikke har klart å fikse et såpass enkelt problem, så er det kanskje på tide å ringe noen som forstår dette?

 

Det er på tide å skrote nettløsningen til fordel for noe som er moderne og blir vedlikeholdt, f.eks Drupal, TYPO3 med flere.

 

Silen her er vel i realiteten umulig å tette - selv for de som forstår dette.

[0laf]

Nå har det seg slik at et nettsted utviklet med ASP (og ikke ASP.Net) er nødt for å være gammelt, og har i dette tilfellet "fungert", så de har ikke vedlikeholdt det.

 

Nettsidene til Telemarksforskning kjører på IIS 7.5 med .NET rammeverket, slik at joda, den er laget i ASP.NET, ikke klassisk ASP med vbscript.

 

Det er på tide å skrote nettløsningen til fordel for noe som er moderne og blir vedlikeholdt, f.eks Drupal, TYPO3 med flere.

Silen her er vel i realiteten umulig å tette - selv for de som forstår dette.

 

Et CMS løser ingenting dersom utviklerne ikke er kompetente, å "silen" lar seg tette uansett språk, så fremt man forstår hvor validering av input gjøres.

Endret 14. juni 2017 av adeneo

[tommyb]

Godt å se at ikke hele Norge er like hjernedøde som de som drifter mye av IT systemene her.

 

 

 

Det som er helt sikkert er at de som har vært ansvarlig for å fikse nettsiden til Telemarksforskning ikke har gjort jobben sin.

 

 

 

Nå har det seg slik at et nettsted utviklet med ASP (og ikke ASP.Net) er nødt for å være gammelt, og har i dette tilfellet "fungert", så de har ikke vedlikeholdt det.

 

 

Først vil jeg frikjenne driftere helt for feilene som utviklere gjør. I den grad at slike IT-systemer har driftere, som er en ubegrunnet antakelse.

 

Men selv med driftere er det fortsatt utviklere som lager systemet, potensielt helt andre utviklere som skal lukke 10 år gamle feil ved behov, og ingen av disse som har løpende ansvar for testing og avdekking av feil. Drifternes ansvar er å vite at det finnes utdaterte servere og trygle brukere og ledelse om å finne nye verktøy. Utdaterte servere? Juridisk, finansielt og moralsk definert til daglig leders ansvar. IT-ansvarlig, som kan eller ikke kan være kvalifisert til drifting, har ansvar for å informere oppover, der stopper drifternes ansvar i denne saken. For mange er dette ikke engang en definert rolle, bare en metatjeneste bestilt i forkant av oppsett av nye tjenester. 

 

Det mest sannsynlige scenarioet er at man ved mottatt rapport om hacking ringte til de originale utviklerne og fikk dem til å nødpatche akkurat de innmeldte svakhetene - finansiert som goodwill eller på timesbasis. I den grad disse utviklerne kan noe om testing, så har de ikke laget det aller sikreste systemet i utgangspunktet, så eier burde ha hyret inn noen for å gjøre en revisjon også. Men det vet ikke utviklerne, det skjønner ikke eierne, og utviklerne er neppe bedt om å fullteste systemet, bare om å lappe de innrapporterte hullene ASAP. 

 

Og drifterne surmuler helt sikkert over at de ikke får lov å bare slå av de gamle maskinene, mens de forbanner late utviklere. Ja, en utvikler som påstår han ikke har oversett validering en eneste gang er en ballong full av metan. (Tilsatt lukt.)

 

Min hatt: jeg er utvikler.

Endret 14. juni 2017 av tommyb