Failing your security audit - Deel 1: Online Passwords
Het Wereld Wijde Web (WWW) is sinds haar introductie eind jaren 80 ontzettend gegroeid. Denk nu eens na, voor hoeveel sites gebruik jij vandaag de dag niet een loginnaam en een wachtwoord?
Je overal te bereiken ToDo lijst online? Netjes beveiligd met een wachtwoord. Je eigen Wiki online? Netjes beveiligd met een wachtwoord. Een handje vol Twitter accounts? Ook netjes beveiligd natuurlijk.
Maar, met wat voor een wachtwoord? Heb je voor elke website met loginnaam een nieuw gegenereerd (of goed bedacht) wachtwoord? Of gebruik je op al die sites hetzelfde wachtwoord? Is dat wachtwoord simpel te raden of is het zo complex dat je het zelf niet kan onthouden? Het gebruik van hetzelfde wachtwoord op een handjevol websites is wellicht niet handig, als er een partij je gegevens lekt, ben je voor alle websites het haasje. Of als iemand je wachtwoord achterhaalt, heeft hij toegang tot alle websites waar je dat wachtwoord gebruikt. Aan de andere kant, hoeveel verschillende wachtwoorden ga je gebruiken voor al die hippe Web 2.0 websites zoals Facebook, Twitter, Hyves, etc.?
Voor de gemiddelde burger zal het allemaal wel loslopen. Als je echter voorzitter bent van een vereniging in de Webhosting business, wil je misschien toch niet dat het gebeurt dat iemand de contactgegevens van bijvoorbeeld al je leden in kan zien. Feit is dat een zwak wachtwoord, wat je op meerdere plekken gebruikt, kan leiden tot het lekken van gegevens. Mocht je wachtwoord ook nog erg gemakkelijk te 'Social Engineeren' zijn, dan mag je helemaal op je knietjes hopen dat niemand de gegevens van al je leden heeft achterhaald.
Zoals Jeroen van Nieuwenhuizen in zijn weblog posting over dit onderwerp schrijft:
What will happen then? Well the following information may get publicly known:
1. The personal information of all zoloos members.
2. The confidential minutes of zoloos meetings.
3. Passwords of various zoloos services. I.e. the zoloos cacti and zoloos zabbix.
4. The configuration of the zoloos switch.
En zo hebben we security incident #2 van 2009 voor desbetreffende VPS vereniging: nog niet al te lang geleden 'blunderde' Hostingvereniging Soleus al toen de storage server voor de hele wereld toegankelijk was.
Laksheid vs. Security: 1-0.
Update: Op zaterdag 9 mei liet de voorzitter van de vereniging mij weten, dat er acties na aanleiding van dit incident zijn uitgevoerd: De ledenadministratie van de vereniging is inmiddels gescheiden en staat fysiek op een andere server. Deze wiki is alleen toegankelijk voor het bestuur en het technische team en niet gekoppeld aan de hoofdpagina van de vereniging. Ook is deze wiki inmiddels alleen via een beveiligde verbinding te benaderen. Daarnaast gaf men mij aan dat de bestuursverslagen in principe op aanvraag toegankelijk zijn en hierdoor geen 'geheime' passages zullen bevatten. Dit geldt ook voor de Cacti instance: Deze is op aanvraag toegankelijk.
Het gelekte wiki account is binnen zeer korte termijn, na het melden, afgesloten door een lid van het technische team.