Lek in cms was aanleiding wachtwoordwijziging SIDN

sidn

Gepubliceerd: Donderdag 26 april 2007

Het besluit van de SIDN om woensdag de wachtwoorden van domeinregistreerders te wijzigen, was ingegeven door een kwetsbaarheid in het cms.

Toon volledig artikel

bitnxxker op Donderdag 26 April 2007 13:31

image

het zal toch niet zo zijn dat ze de wachtwoorden als platte tekst opslaan?
van een organisatie als de SIDN verwacht je minimaal dat ze one-way-encryption gebruiken!

  • 1 / 9

Sir Limpsalot op Donderdag 26 April 2007 22:48

image

Dat zou je verwachten...

Maar hoelang bestaat SIDN al? En van hoeveel 'oude reuzen' verwacht je dat ze op Cobol draaien? Niet dat ik denk dat SIDN op Colob draait, maar een 'oude reus' zou ik de SIDN wel noemen..

Is dit een 'lampje' moment??

  • -1 / 1

coolhva op Donderdag 26 April 2007 14:06

image zomerhack badge 2

Zoals jullie kunnen lezen in het nieuwsbericht staat er duidelijk:

waardoor 'versleutelde wachtwoorden voor de deelnemerssite toegankelijk waren'


Versleuteld zal in dit geval betekenen dat er een MD5 HASH is gemaakt van het wachtwoord, of via de steeds meer gebruikte methode, een MD5 HMAC HASH welke een salt (sleutel) gebruikt zodat er geen dictionary gebruikt kan worden om de hashes te "kraken".

Plaint text lijkt mij erg onwaarschijnlijk bij een internet bewuste organisatie als SIDN. Ikzelf ben blij met de reactie van SIDN, daar mogen menig organisaties een voorbeeld aannemen.

Erken je fouten, wees eerlijk over je fouten en los ze zo snel mogelijk op.

  • 10 / 10

griebels op Donderdag 26 April 2007 17:29

image

Ik weet niet of ze het in DRS 4 hebben verbeterd, maar een SIDN medewerker kon mijn wachtwoord blijkbaar gewoon uitlezen tijdens de migratie naar DRS 4.

Volgens mij gebruikt alleen de website MD5 hashes die ze gewoon genereren vanuit de database van DRS. Mijn vermoeden gaat ernaar uit dat het een simpele password file is die wordt gesourced vanuit een .htaccess file die wederom via wat creatieve URL manipulatie was te sourcen als "onderdeel" van een pagina. Hun "ace.php" zal dus wel lek geweest zijn.

Lettende op hun "CMS"; het produceert URLs in de vorm van:

http://www.sidn.nl/ace.php/c,727,5209,,,,_nl-_persoons_domeinnamen_word_.html

Zelfs Vignette Storyserver bouwt niet dergelijk ranzige constructies. Als je die URL alleen al ziet dan gaat het lampje "exploit" al hard branden.

Maar gelukkig is directeur Roelof Meijer tevreden. Helaas zit ik weer opgescheept met een voor mij niet te onthouden "hex-password". De feature "Wachtwoord veranderen" implementeren we in DRS 4+! De release date van DRS 4+ valt waarschijnlijk samen met Duke Nukem Forever.

Mijn conclusie: "Ellende; een product van SIDN; Blauw= PMS-2768. Heeft u nog vragen over de nieuwe huisstijl? Neemt u dan contact met ons op via support@sidn.nl.".

  • 1 / 3

gerbert_p op Donderdag 26 April 2007 14:48

image

Deelnemers die nog met hun oude wachtwoord proberen in te loggen worden automatisch doorgestuurd naar een pagina waarop het wachtwoord gewijzigd kan worden.

Ik mag hopen dat er nog een extra beveiliging bij zit, anders kunnen eventuele "gestolen" oude wachtwoorden alsnog gebruikt worden om een nieuw wachtwoord aan te maken.

  • 1 / 3

bvdbos op Donderdag 26 April 2007 14:49

image

Dacht ik ook meteen aan, het zal toch niet waar zijn???

  • -2 / 2

BlackBokz op Donderdag 26 April 2007 15:23

image

net geprobeerd met het oude wachtwoord, kwam niet op de deelnemerssite.

  • 2 / 2

Anonymous Coward op Donderdag 26 April 2007 15:53

image

Er zijn gigantische databases die MD5 hashes bijhouden dus je hoeft helemaal niks te kraken als je een hash in handen hebt.

De fuckup is de CMS dat er van buitenaf direct toegang was tot de database via ht CMS.

  • 1 / 1

HtHoope op Donderdag 26 April 2007 16:10

image

Uit het onderzoek bleek dat er 'geen onregelmatigheden hebben plaatsgevonden'. Toch besloot de organisatie alle wachtwoorden van registrars te deactiveren, omdat veel van hen hetzelfde wachtwoord gebruiken voor het domeinregistatiesysteem DRS4.Ik vraag mij af hoeveel mensen wachtwoorden gebruikten als geheim, secret en god? ;)

  • -2 / 2

bad op Donderdag 26 April 2007 23:35

image

Eerste hit op google is http://www.program-ace.com/ waar een bedrijf(?) uit de Ukraine het Ace Php Framework presenteerd. Klinkt echt iets als een product waar een miljoenenbedrijf als de SIDN mee in zee zou moeten gaan. Het gaat tenslotte alleen maar om de nationale infrastructuur waar heel .nl op draait.

Tippie van Rob: SIDN, ga in zee met een echte CMS leverancier van vaderlandse bodem in plaats van zo'n vaag PHP scriptje wat voor CMS moet doorgaan. Let ook tevens op de security garanties die een dergelijke leverancier in de vorm van een SLA kan afgeven. Dan neem je security tenminste serieus. Dat doe je niet door uit voorzorg iedereen maar een nieuw wachtwoord te geven. Dat doe je door de wachtwoorden in geen enkel systeem of database plain-text op te slaan.

  • -1 / 1

Gratisrijden .nl op Vrijdag 27 April 2007 02:02

image

Toch besloot de organisatie alle wachtwoorden van registrars te deactiveren, omdat veel van hen hetzelfde wachtwoord gebruiken voor het domeinregistatiesysteem DRS4 Ik vraag mij af hoeveel mensen wachtwoorden gebruikten als geheim, secret en god? ;)
Een beetje een programmeur die op veiligheid bedacht is neemt natuurlijk de gebruikersnaam mee in de HASH, zodat die niet opvallen, toch?!

  • 1 / 1

Onno vanaf de maan op Vrijdag 27 April 2007 13:51

image

De sidn is in zee met een Nederlands bedrijf voor zover ik weet en voor een stel 'ambtenaren' doen ze het echt niet slecht, de tarieven zijn enorm gedaald de laatste jaren, vergeleken met bv het .EU domein is een .NL domein erg goedkoop.

  • 1 / 1

Om te kunnen reageren, dient u ingelogd te zijn.

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Peiling

Loading Poll

Video: World Tech Update: Darpa's robot oorl...

World Tech Update: Darpa's robot oorlogspaard (video)

Verleden nieuws