Tendentieus, ongefundeerd & nodeloos kwetsend

ICT-faals ook bij grote commerciële websites

secfail.jpg We lachen wat af met al het gefaal van de (lokale) overheid op ICT-gebied (of op ITC-gebied, als het aan Henk Kamp ligt), maar ook de commerciële sector is in de lekker veilige digitale onwetendheid van de 20e eeuw blijven hangen. Toen TAN-codes van de ING nog op papier kwamen, zeg maar. Oh. Wacht. Anyway, in de mailbox troffen wij een verontruste hobbyprogrammeur aan die met de beste white hat-intenties websites als Coachingpro.nl, Bungalow.net of het veelgebruikte, internationale Hotels.com op de hoogte stelt van het feit dat ze allemaal zo lek als een rijksoverheidssite zijn. Zo kon hij via wat simpele SQL-injecties of XSS-leaks op Coachingpro.nl de gegevens van ALLE geregistreerde gebruikers inzien (LOL-quote: "Met o.a. vele InHolland medewerkers die flink in de shit zitten na alle faam die mede door jullie over hun heen is gekomen"), was het op Bungalow.net mogelijk om andermans borg terug te laten storten op een rekening naar keuze en gaf Hotels.com simpel toegang tot volledige boekingsgegevens van alle gebruikers. De lekken in de coachsite zullen u aan uw anus oxideren (want: coaches, muhaha), maar via Hotels.com plannen we allemaal wel eens een stedentripje natuurlijk. Waarom deze hobbyprogrammeur ons hierover mailt? Omdat de sitebeheerders vaak niet eens weten hoe ze de problemen op moeten lossen, of de attente hacker onmiddellijk agressief benaderen. Prutsers zitten nou eenmaal overal en schieten op de boodschapper is makkelijker dan dankjewel zeggen en je eigen faal herstellen. Dus niet raar opkijken als je rancuneuze ex ineens voor je neus staat als je met je nieuwe chick een romantisch hotel binnenloopt, of als je baas precies weet wat je over hem gespuid hebt tijdens coachtherapie. Ook zonder DigID ligt je shit in de berm van de digitale snelweg, om maar eens een jaren '90-term te gebruiken.

Reaguursels

Inloggen

Als er nog iemand zulke lekken wilt delen voordat het openbaar word gemaakt: Ahacties@betamail.tk

GRATIS-PIZZA | 21-09-11 | 23:00

All your base are belongs to us.
Stroopdoos | 21-09-11 | 13:20

Jaja, vooral DIE base..!!

one-ten | 21-09-11 | 20:34

#hashtag | 21-09-11 | 17:09
Ik begrijp je vraag niet helemaal. Tekens worden geescaped. Niet de queries. Escapen betekent iets ontdoen van een bijzondere eigenschap. PDO is een data-toegang-abstractielaag. Inhoudelijk ken ik PDO niet, maar ws zal deze een hoop security zaken voor z'n rekening nemen. De truc is om parameters dusdanig te manipuleren dat deze ten eerste geldig zijn en de opbouw van een query beïnvloeden op een manier die de ontwikkelaar niet heeft voorzien.

Wedstrijdkrokodil | 21-09-11 | 17:45

@broek vol goesting | 21-09-11 | 15:25
adblock van Firefox: block image

sko | 21-09-11 | 17:27

@Wedstrijdkrokodil

Vertel... hoe escape ik een query waarbij de invoer door middel van PDO (wat tegenwoordig toch wel mainstream is) verzonden wordt?

#hashtag | 21-09-11 | 17:09

Iedere website is vatbaar voor SQL-injection. De één meer dan de ander. Dat komt omdat het gros van de ontwikkelaars denkt dat quotjes escapen voldoende is om je site tegen malafide invoer te beschermen. Dat is dus niet zo. Numerieke waardes hebben bijvoorbeeld geen quotjes. Die kun je dus ook niet escapen. Daarnaast zijn er, afhankelijk van het type database, ook andere tekens waarmee je kunt escapen. Zoals ene dubbele pijp (||). SQL-injection is een edele kunst die slechts een handjevol mensen verstaat. Ook GS is vatbaar. En zolang GS wel database-foutmeldingen aan gebruikers toont maken zij het zelf wel erg makkelijk voor de SQL-injectors. Die hoeven immers niet eens blind te opereren. Blinde SQL injection? Ja. Bewust een fout genereren en dan met een stopwatch timen hoe lang het duurt voordat een webserver de response geeft. Een meester-hacker kent precies de anomalieën en kan daar conclusies aan verbinden. Meestal is het niet de bedoeling om data te jatten maar om een gehackte databaseserver te gebruiken om andere rechten mee te escaleren en zodoende een brug te maken naar de fileserver en OS.

Wedstrijdkrokodil | 21-09-11 | 15:41

wat dichter bij huis en ietwat pregnanter:

kan er iemand wellicht die jeukende nissan achtergrond weg injecteren/sql'en?

broek vol goesting | 21-09-11 | 15:25

Het is wachten op lekken in al die vieze geile dating sites.
Dat privé gegevens van schuinsmarcheerders op straat liggen, en vlak daarna hun spullen ook, als meneer of mevrouw ega erachter komt.

ZDEV | 21-09-11 | 14:59

"Omdat de sitebeheerders vaak niet eens weten hoe ze de problemen op moeten lossen, of de attente hacker onmiddellijk agressief benaderen. Prutsers zitten nou eenmaal overal en schieten op de boodschapper is makkelijker dan dankjewel zeggen en je eigen faal herstellen."

Ik waag zelf ook wel eens een hackje hier en daar, maar uit mijn ervaring is dit dus omgekeerd. Van 16 van de 17 mailtjes die ik heb verstuurd als klokkenluider dat hun site onveilig was (en dat waren geen kleine jongens), kreeg ik binnen een dag een bedank mailtje terug en dat ze er naar gingen kijken en dat ze het zeer waardeerden dat ik dit meld. Van de andere (hosting+cms bedrijf) heb ik nog geen mail terug gehad en zal dit dus binnenkort maar eens aan de media gaan melden.

mmax | 21-09-11 | 14:19

Oplossing:
- Ga naar reisbureau
- Haal hotelgids
- Zoek leuk hotel
- Bel hotel en reserveer kamer
- Succes.

Teiltjes Tekort | 21-09-11 | 14:17

Als je coachingpro nodig hebt in je leven, dan zijn je problemen aanzienlijk groter dan wat privéshit die openbaar is geworden. Man man, wat een treurigheid.

Biff Eagleburger | 21-09-11 | 14:12

Sargasso is ook al lek (webstats incl de ip nummers van bezoekers aait)

seven | 21-09-11 | 14:11

@doskabouter | 21-09-11 | 14:03
Moeten ze niet doen.
Hacken die hap, en snel.

Che_cuevara | 21-09-11 | 14:09

@ kapotte_stofzuiger | 21-09-11 | 13:19

Niets vrije markt, j emoet gewoon een redelijke verwachting van privacy hebben je kan als consument helemaal niet controleren of een bedrijf daar wel of niet goed mee gaat. Aangezien bedrijven graag alles zo goedkoop mogelijk doen en managers beveiliging alleen als overbodige kostenpost zien is hier juist een taak voor de overheid weggelegd. beveiliging afdwingen via de wet en bij onzorgvuldig handelen op dit gebied keihard afstraffen met fikse boetes zodat het goedkoper wordt om de beveiliging wel goed te regelen.

2EmmertjesWaterHalen | 21-09-11 | 14:06

Che_cuevara | 21-09-11 | 14:01 |

digitaal oorlog voeren tegen ongelovigen?

doskabouter | 21-09-11 | 14:03

Ach, je kan ook een bivakmuts opzetten en een winkel of bank beroven.
Mag niet, maar helemaal uitsluiten gaat ook niet.
Ergo, iemand die wil pikken en roven kan overal terecht.
We doen er veel aan maar 100% veiligheid is een utopie.
Zoveel mogelijk opletten en geen gekke dingen doen dus.

070 | 21-09-11 | 14:02

@doskabouter | 21-09-11 | 13:55
Wat doen die hackers dan zoal de hele dag.
5 per minuut wereldwijd, dat ze eens gauw aan het werk gaan.

Che_cuevara | 21-09-11 | 14:01

Dat de gemiddelde website zo lek is als een mandje is niks nieuws onder de zon. Dat is de reden waarom een goed softwarebedrijf zo duur is, het zijn specialistenen daar betaal je voor. Niet een of andere PHP prutwebsite door een hobbyist in elkaar gedraaid, in het tijdsbestek van een maand.

_ranz | 21-09-11 | 13:58

Dat is allemaal niet zo verwonderlijk elke malloot noemt zich tegenwoordig websiteontwikkelaar terwijl ze er feitelijk de ballen verstand van hebben.

krankzinnig | 21-09-11 | 13:57

@doskabouter dat is ook niet veel

kut kakker | 21-09-11 | 13:56

Er worden wereldwijd zo'n 5 websites per minuut gehacked

http://www.zone-h.org/archive/published=0

doskabouter | 21-09-11 | 13:55

@seven | 21-09-11 | 13:48 |
OK. Goed punt. Misschien had het meer te maken met mijn totaal gebrek aan ICT kennis. Ik zie het inderdaad wel gewoon als een consumentenrubriek.

Bart_Bart | 21-09-11 | 13:53

Pa Cartwright | 21-09-11 | 13:49
Haha, heerlijk droog.

Superior Bastard | 21-09-11 | 13:52

Ach, dat zijn cheap-ass websites voor een habbekrats gekocht. Daar zitten geen belastingmiljoenen in.

Getson | 21-09-11 | 13:49

@ Porrello | 21-09-11 | 13:39
In ieder geval iets waar je anderen zo min mogelijk mee lastig zou moeten vallen.

Pa Cartwright | 21-09-11 | 13:49

En de passagierslijsten, dan ?!

hawie | 21-09-11 | 13:49

Hotels.com is toch voor paupers.

Barbatruuk! | 21-09-11 | 13:48

Bart_Bart | 21-09-11 | 13:44
Juist daarom, als kiezende consument heb je wel dit type info nodig om gefundeerd je keuze waar je zaken mee doet te bepalen. Juist als toko's na 1e waarschuwing niet adequaat op het lek reageren. Dit topic voorziet in deze consumenteninfo.

seven | 21-09-11 | 13:48

@Idontgiveafunk | 21-09-11 | 13:40
Daar heb je een punt.

Che_cuevara | 21-09-11 | 13:47

@mayor_pickwick | 21-09-11 | 13:35
Eens, en waarom dat nog kan snap ik ook niet.
Het is zo simpel te voorkomen.

Che_cuevara | 21-09-11 | 13:46

Maar goed, leg ook even uit hoe ik die borg nou op mijn rekening kan laten storten?

Het zijn immers zware economische tijden.

Ooit_IgorTheHorrible | 21-09-11 | 13:44

Waarom een topic over ICT shit bij COMMERCIËLE ondernemingen?
Gaan we ook discussiëren over de bedrijfsstrategie, of het logistieke proces?
Commerciële ondernemingen gaan simpelweg down als ze falen.
De overheid helaas niet. Die gooit er gewoon nog meer geld tegenaan. Want aan die 'ingewikkelde' ICT kan niet genoeg worden uitgegeven.

Bart_Bart | 21-09-11 | 13:44

kapotte_stofzuiger | 21-09-11 | 13:37
Menig reaguursel op tweakers achtergelaten, tot aan de integratie van GoT en Tw, toen m'n nickname opeens niet meer kon een een suffix kreeg.

seven | 21-09-11 | 13:40

@Willianus Wortelus | 21-09-11 | 13:19
Dit zijn commerciële site's. En die zouden sowieso beter moeten weten.
Che_cuevara | 21-09-11 | 13:35

Correctie
Dit zijn commerciële site's als er daar wat mis mee gaat heeft het bedrijf daar last van en gaat er niet onnodig belasting geld verloren.
Dat beter weten is niet vanzelf sprekend

Idontgiveafunk | 21-09-11 | 13:40

De gemiddelde reaguurder is helemaal geen paarse broek, maar PHP developer of SQL-monteur.

Porrello | 21-09-11 | 13:39

@seven | 21-09-11 | 13:35
De website is echter wel het kwetsbaarst. Maar inderdaad, erachter liggen de applicaties met het principe 'naaien zonder zoenen', zoals bijvoorbeeld alles wat met SAP te maken heeft.

dlseth_ | 21-09-11 | 13:39

Een kwestie van snelle dienstverlening en van vertrouwen - gaat het helemaal worden in 2011!

Porrello | 21-09-11 | 13:38

@Superior Bastard | 21-09-11 | 13:36
Ksssst...! Gauw terug naar tweakers [nerds]

kapotte_stofzuiger | 21-09-11 | 13:37

Ik wil meer van dit soort topics, die brengen het beste in reaguurders boven. Keep on going, ik vind het interessant.

Sjors W. | 21-09-11 | 13:37

Nerd alert!

Superior Bastard | 21-09-11 | 13:36

@Willianus Wortelus | 21-09-11 | 13:19
Dit zijn commerciële site's. En die zouden sowieso beter moeten weten.

Che_cuevara | 21-09-11 | 13:35

dlseth_ | 21-09-11 | 13:32
Achter hotels.com draaien natuurlijk fikse applicaties met veel functionaliteiten. Dat is geen site met een eenvoudig formulier get post script.

seven | 21-09-11 | 13:35

Het is echt van de pot gerukt dat SQL-injecties anno 2011 nogsteeds werken, bij zulke grote sites. Het is volgens mij de meest bekende 'hack' zowel bij scriptkiddies als beveiligings'experts'.

mayor_pickwick | 21-09-11 | 13:35

Als de pizza boer maar niet lek is.
Anders krijgt de buurman misschien wel mijn pizza, en dat gun ik hem niet.
De buuf wel trouwens maar die gun ik nog wel wat meer.

Che_cuevara | 21-09-11 | 13:34

@porrello, wtf is dat voor apen programma?

@developer, vergeet ook niet te typecasten voor floats en ints of beter gebruik gewoon prepared statements.

kut kakker | 21-09-11 | 13:33

@Porrello | 21-09-11 | 13:31
Joehoe, het gaat over websites, niet over de rapeware die ze in gespecialiseerde markten gebruiken.

dlseth_ | 21-09-11 | 13:32

Lol@coachpro.
Man man man wat een treurnis.

Superior Bastard | 21-09-11 | 13:32

dlseth_ | 21-09-11 | 13:24
Het budget is vaak niet het probleem, er wordt immers grof geld uitgegeven aan ict. Probleem is meer dat er veel wordt uitbesteed en tegen forse kosten aan bedrijven met goede naam (ibm oa) , maar dat deze toko's het daarna achter een schutting van marketingblabla gewoon laten uitvoeren door een blik verse Indiërs cq uitzendkrachten.

seven | 21-09-11 | 13:31

ICT/Software in een notendop:
Wij hebben hier een programma dat 100.000 euro heeft gekost aan ontwikkeling. Dat branden wij op een DVD van 7 euro cent.

Wilt u het programma gebruiken betaalt u 100.000 euro
Wilt u hetzelfde programma gebruiken met 10 mensen kost dat 1.000.000 euro
Wilt u hetzelfde programma gebruiken met 100 mensen kost dat 10.000.000 euro
Wilt een code ontvangen om binnen hetzelfde programma een nieuwe 'module' te gebruiken kost dat nog eens 1.000.000 euro
Het programma werkt niet meer? Dan sturen we een team consultants langs of had u dat service contract van 10.000.000 per jaar maar af moeten sluiten.

Nog vele malen erger dan banken of de uitzendbranche!

Porrello | 21-09-11 | 13:31

Wow wordt er ook bij bedrijven gefaald op ict gebied!
Had ik nou nooit verwacht, kan het op dat gebied om 1 of ander reden beter hebben dan wanneer dit bij de overheid gebeurt. Daar wordt met enorme zakken (ons) geld "specialisten" ingehuurd en dan nog falen.

Idontgiveafunk | 21-09-11 | 13:30

Donner doet er goed om Joris de Lognazi in te huren, weten we tenminste zeker dat de zaakjes goed geregeld worden.

Conan de Rabarber | 21-09-11 | 13:29

Doe eens mysql_real_escape_string() gebruiken.

Developer | 21-09-11 | 13:27

Wat wil je? De gemiddelde management pik wilt voor een duppie op de eerste rij zitten en dan nog probeert ie af te dingen. En ja, dan moeten er offers gemaakt worden; vaak in functionaliteit die de gebruiker nooit ziet of nooit hoort te zien, zoals onderhoudbaarheid, veiligheid, betrouwbaarheid...

Ik heb het vaak zat gezien dat een webserver iedere dag gereset diende te worden omdat de applicaties die erop draaiden te brak voor woorden waren. Maar ja, een programmatje in elkaar draaien dat iedere dag die server even neertrapt om 02:00 is goedkoper dan een echte oplossing...

dlseth_ | 21-09-11 | 13:24

Vuil komt vanzelf bovendrijven ook in de ICT .

Eurotokkie | 21-09-11 | 13:24

Met 130 faal over de snelweg.

Hanxie | 21-09-11 | 13:23

Kostenbesparing, kostenbesparing, kostenbesparing

ITEACHYOU | 21-09-11 | 13:22

@Willianus Wortelus | 21-09-11 | 13:19
Dat deed de overheid juist. In plaats van met VeriSign ging de overheid met DigiNotar (tot de 'certificaat-crisis' had ik nog nooit van dat bedrijf gehoord) in zee.

kapotte_stofzuiger | 21-09-11 | 13:22

Het gaat al fout bij het feit dat Tweede Kamerleden en ministers totaal niet weten waar ze het over hebben.

Dat heeft zo zijn weerslag op het ambtenarenapparaaat en amateurclubjes en pruts-lancers die bestaan bij de gratie van honderden miljoenen overheidsgeld.

Porrello | 21-09-11 | 13:20

Overigens zou ik www.nissan.nl/ ook wantrouwen.

kapotte_stofzuiger | 21-09-11 | 13:20

All your base are belongs to us.

Stroopdoos | 21-09-11 | 13:20


Leg ICT taken neer bij bedrijven die het wél kunnen, vaak tegen een fractie van de prijs.

En stop met dat idiote aanbesteden enkel aan softwarebedrijven met meer dan 50 miljoen omzet. Van de pot gerukt.

Willianus Wortelus | 21-09-11 | 13:19

Tot zover te overzien. Hoewel. Kun je Donner op zeggen dat de spareriblijn ook lek is. Oei. Dan hebben we wel een probleem.

De Regeering | 21-09-11 | 13:19

En? Gebruik maken van deze falende bedrijven is een keuze (vrije markt enzo). De overheid verplicht je gebruik te maken van falende IT-infrastructuur, dat is even wat gradaties erger dan een hacker die dankzij hotels.com (zelf even bellen naar een hotel van interesse is teveel gevraagd?) uw emailadres weet.

kapotte_stofzuiger | 21-09-11 | 13:19

REAGEER OOK

bespaartips: Energie vergelijken | Autoverzekering vergelijken | Zorgverzekering vergelijken