Testenvansoftware.nl
volg ons op...
  • Blogs
  • Older blogs
  • Links
  • PHP links
  • Testing on Youtube
  • Test proces advies
  • test tooling
  • Test Process
  • testing syllabus
  • Vacatures
  • Contact

In opvolging van Twitter is ook Zoom nu gehacked.

8/4/2020

0 Comments

 
http://www.testnieuws.nl/2020/08/03/zoom-lek-kon-aanvallers-toegang-tot-beveiligde-videomeetings-geven-2/

Een beveiligingslek in Zoom maakte het mogelijk voor aanvallers om toegang tot met wachtwoord beveiligde videomeetings te krijgen. Een combinatie van een zescijferig wachtwoord en geen beveiliging tegen aanvallen waarbij alle mogelijke combinaties worden geprobeerd maakte het mogelijk om toegang te krijgen. De kwetsbaarheid in de Zoom-webclient werd ontdekt door webontwikkelaar Tom Anthony.
Anthony besloot de Zoom-webclient te onderzoeken nadat de Britse premier Boris Johnson een screenshot via Twitter had verstuurd waarin het Zoom meeting-ID van een overleg van de Britse ministerraad zichtbaar was. De Britse overheid gebruikte de betaalde versie van Zoom die standaard met een wachtwoord beveiligd is. Het wachtwoord bestond standaard uit zes cijfers, wat inhoudt dat er 1 miljoen mogelijke combinaties zijn.
Anthony ging ervan uit dat Zoom gebruikmaakte van "rate limiting" om het aantal pogingen het wachtwoord te raden te beperken. Hij ontdekte echter dat het wel degelijk mogelijk was om alle 1 miljoen mogelijk wachtwoorden met hoge snelheid te proberen. Wanneer de Zoom-webclient voor het eerst wordt geopend plaatst die een cookie met daarin een GUID, wat het anonieme gebruikers-ID lijkt te zijn, aldus Anthony.
Op de pagina van de Zoom-webclient kan vervolgens het meetingwachtwoord en de naam van de gebruiker worden opgegeven. Zoom bleek geen rate limiting toe te passen op het proberen van wachtwoorden. Een probleem bij het proberen van 1 miljoen mogelijke wachtwoorden is dat er twee http-verzoeken nodig zijn om een wachtwoord te proberen. Eén request voor het versturen van het wachtwoord en een request om te kijken of het wachtwoord juist is.
Een aanvaller zou daarbij op de server moeten wachten voordat het eerste request is afgerond voordat er een tweede request kan worden verstuurd. Iets wat aan de kant van de server werd bijgehouden, gekoppeld aan het GUID van de gebruiker. Anthony ontdekte dat het mogelijk was om een onbeperkt aantal GUID's op te vragen en vervolgens parallel voor meerdere GUID's de wachtwoorden te proberen. Door verschillende cloudservers te gebruiken zou het zo mogelijk zijn om binnen een paar minuten alle 1 miljoen mogelijke combinaties af te gaan.
De webontwikkelaar merkt op dat bij terugkerende bijeenkomsten steeds hetzelfde wachtwoord wordt gebruikt. Wanneer een aanvaller het wachtwoord van dergelijke meetings weet te achterhalen blijft hij toegang houden. Verder zag Anthony dat het mogelijk was om ook het wachtwoord van geplande meetings te kraken. Na te zijn ingelicht door Anthony haalde Zoom de webclient offline en voerde verschillende aanpassingen door, waaronder het gebruik van alfanumerieke wachtwoorden en het verplicht inloggen via een Zoom-account.

0 Comments

Be carefull with social media!

7/16/2020

0 Comments

 
Texting a masked picture to a friend (on f.e. Snappychat ) might seem harmless....

Picture
But what most people don't realize is that you gave that social media platform certain permission for things...
So it might be that a picture without the mask the way your friends receive it, is stored as well to the database.
​
Picture
Picture
You don't know what happens behind the fence with your pictures or data, always remember that!

Picture
0 Comments

Hoe gaat dat nou in zijn werk zo'n Twitter hack?

7/16/2020

0 Comments

 
Laatste update: 31-7-2020 Twitter.com : 
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html


Hoe gaat dat nou in zijn werk zo'n Twitter hack?
https://www.rtlnieuws.nl/tech/artikel/5171563/twitter-hack-elon-musk-bill-gates-hacker-bitcoin-crypto

Met alleen het testen van de front-end van een website als Twitter kom je niet gauw tot het punt dat je het wachtwoord van Elan Musk kunt aanpassen.

Hoe werkt het dan wel? Kennelijk hebben in dit geval de hackers een (thuis of werk-)computer van een van de medewerkers gehacked. 

Het hacken van een computer van een medewerker van Twitter heeft te maken met security of penetration testen. Dit gaat niet over de functionaliteit van een website waarbij bijvoorbeeld gekeken wordt of de som van veld A met de som van veld B op een bepaald te verwachten bedrag of hoeveelheid uitkomt.

Dit heeft veel meer te maken met berichtenverkeer, eenmaal een manier gevonden om in zo'n server of computer te komen, de firewall (zie muurtje) en andere beveiligingsmaatregelen omzeilt hebbende, kunnen de hackers doen met een computer wat ze willen.
Picture
 Betekend dit dan dat Twitter onveilig is?

Nou nee, eigenlijk niet. Maar het betekent dat de hackers "slim" zijn geweest door een computer van een gebruiker te hacken om op zo'n manier in de back-end van het systeem te kunnen.

Wat kan Twitter doen om dit te voorkomen in de toekomst? 
De beveiliging verder opvoeren en de bedrijfsprocessen aanpassen.
Bijvoorbeeld alleen toegang door administrators door een iris-scan of fingerprint check. Biometrisch beveiligingssysteem wordt dat ook wel genoemd. 2-way authentication maar ook andere zaken vallen nog te upgraden of verhogen.

​Inmiddels is er iets meer info over de hack van de medewerker.

lees het laatst nieuws hier. 

https://www.nu.nl/tech-achtergrond/6065227/hackers-namen-met-interne-hulp-45-twitter-accounts-over-dit-is-er-gebeurd.html
​

of hier
​https://edition.cnn.com/2020/07/17/tech/former-twitter-employees-sleuthing/index.html

Héél erg goede informatie is ook op onze eigen gaterhing.tweakers te vinden:
https://tweakers.net/nieuws/169896/nyt-twitter-hack-werd-uitgevoerd-door-groep-jonge-mensen.html
​
​
Nog een klein stukje persoonlijke mening en visie over de Twitter hack.

Ten eerste: voor mijn gevoel heeft Twitter de security best wel redelijk op order. Als het bij zo'n grote gigant al op zo'n gemakkelijke manier gaat. Hoe staat het dan met de rest gesteld?

Ten tweede: wat als dit soort toegang voor veel serieuzere/gevaarlijkere zaken wordt gebruikt, bijvoorbeeld het ontketenen van een WW3?

Ten derde: hoe zit het met de straffen voor deze daders? moet het niet als groot voorbeeld worden gesteld? Het inbreken van een huis daarvan weet iedereen dat het geen kleine straffen zijn. Is een computer en de inhoud daarvan dan niet even belangrijk voor een persoon? Het is toch ook persoonseigendom net zoals de spullen van een huis?
Zouden de straffen daarvan (toekomstig) niet exact gelijk moeten zijn. Oftewel van de digitale inbraken veel hoger?

Ten vierde: waarom wordt er zo weinig en lauw gereageerd door de bekende mensen? Ik had veel meer reactie en actie verwacht van de Amerikaanse president Trump bijvoorbeeld over dit. Dat blijft tot nu toe nog heel erg uit. Ook de reactie van Elan Musk vind ik vrij laconiek en kalm.

    Een kleine enquête:

Submit
0 Comments
<<Previous

    Op zoek naar testwerk? kijk hier verder:

    Picture
    Uw banner ook hier?
    Tweet @testensoftware
    Follow @testensoftware
    Tweets by testensoftware
    Picture

    Author

    Motto:
    'Quality is a choice!'

    Archives

    July 2020
    June 2020
    April 2020
    March 2020
    February 2020
    January 2020
    May 2019
    February 2019
    January 2019
    December 2018
    November 2018
    October 2018
    July 2018
    June 2018
    May 2018
    April 2018
    March 2018
    February 2018
    July 2017
    May 2017
    April 2017
    March 2017
    December 2016
    November 2016
    August 2016
    February 2016
    December 2015
    September 2015
    August 2015
    March 2015
    February 2015
    January 2015
    November 2014
    October 2014
    September 2014
    August 2014
    July 2014

    Categories

    All

    Foto


    Foto
    De beste boeken over software testen...
    Foto
    Wat een tester nodig heeft...
    Artikelen over software testen... in het Nederlands: infonu.nl
    Picture
Powered by Create your own unique website with customizable templates.