donderdag 31 januari 2013

Confidential documents leaked via online printers?

In the old days, hackers had fun with viruses which would start printing at random on every printer connected in a company’s network. A way to show that they were able to penetrate the security.
This is the image that most people on the streets have when they heard about “printers connected to the internet without a good password do get hacked”.

But this could be far more serious. Most printers these days are multifunctional devices. They print, scan and copy. But the device is nothing more than a PC with a printer and scanner. It has its internal hard drive installed. It stores the job you selected mostly for audit reasons. All data remains available for some time  depending on the settings and disk space capacity. On now it’s connected to the internet.

Can you imagine the danger when confidential documents got scanned/copied/printed?

  • Imagine a hacker that wants to create a Wikileak.
  • Imagine a hacker selling the techinal info to the competition of your company.
  • Imaging HR printing out the pay slips.
  • Imagine the hospital printing out the patient health records.
  • Imagine the bank printing out your bank details.
Should I continue giving examples? Just enjoy the video shown below where they used the physical access.


woensdag 30 januari 2013

FREE trade show and Seminars on IT Security on 20 and 21 march 2013 at Brussels Expo


Infosecurity.be offers ICT professionals an overview of the latest security technologies, products and services. More than 80 exhibitors guarantee a wide exhibition programme. The keynote sessions, comprehensive seminar programme and other activities at the show also offer a great deal of inspiration for all your security issues.

Co-locations :
Infosecurity.be takes place on 20 and 21 march 2013 at Brussels Expo, at the same time as the trade show Storage Expo (data storage and management) and the new Tooling Event. A unique one-stop shopping opportunity: with just one visit, you can kill three birds with one stone!

http://www.infosecurity.be/en/Bezoeker.aspx

dinsdag 29 januari 2013

Confidentiality dangers of defaced websites by using shells

In my previous post I explained how you might abuse the DNN hack to modify or upload files on a vulnerable web server. Many hosts, which were reported to be infected by Sejeal and HMei7, have still not taken any action as the evidence is still available. They might reconsider their lack of administration. 

Once a person in able to upload a file to your web server, he will be able to upload a "shell". Many of those shell versions are freely available on the net. eg.: shell ASP
 
 
The ASP script aspshell.asp is a simple web application that provides a shell like environment for administering Microsoft IIS web servers. Commands submitted from a web browser are executed on the web server. The output is transferred back and dumped in the browser window. 
 
This means that the person who can access this shell, is able to manage your complete webserver. 
He can also insert an iframe into your webpage and have a spoofed webpage shown to your customers. Maybe this page asks for personal details, login details, creditcard details, ... and next to keeping the information to itself, it will send the output also to your web server back so nobody gets suspicious.
The scenarios you could build with this idea don't have a limit. 

Sysadmins should monitor their servers and act asap. Otherwise they are playing with the confidentiality of their customers.


NOTE: All this for educational purpose. I am not responsibility for any kind of problems which you cause in careless usage.

zondag 27 januari 2013

Hmei7 & Sejeal using DNN hacks?

Currently Sejeal and Hmei7 are performing defacement's around the clock.
As Hmei7 posted on twitter, he might be using an old DNN [Dot Net Nuke] Exploit. But how difficult is this exploit? To be honest, it is as easy as hell. Only script kiddies would still use them.

First Check whether the website is vulnerable or not. 
To find such websites simply copy this code to Google and hit enter:

 inurl:/portals/0
or
inurl:/tabid/36/language/en-US/Default.aspx

Open the home page and check any image which is located in /portals/0/
Check the location of the image. It should be located in /portals/0/

For e.g. in case of http://www.example.com the image is located at location:

http://www.example.com/Portals/0/SHM.jpg 

Yeah... it means this website is vulnerable and we can change the front page pic.
Now the current image name is SHM.jpg. Rename the new image as SHM.jpg which you want to upload as a proof of you owned the system. 

Now here is the exploit :

Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx 

How to deface ? 
Simply copy paste it as shown below:

www.site.com/Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx 

You will see the portal where it will ask you to upload. Select the third option File ( A File On Your Site)

After selecting the third option, replace the URL bar with below script:

javascript:__doPostBack('ctlURL$cmdUpload','') 

After running this JAVA script, you will see the option for Upload Selected File.
Now select you image file which you have renamed as SHM.jpg & upload here.
Go to main page and refresh... That's it, you have defaced the website.

How to mitigate ?
Because there is no known fix, there are only ways to mitigate this attack (and hence it is a zero-day hack).

1. Rename the fcklinkgallery.aspx fileAs fcklinkgallery.aspx is the entry point for this hack attack, the first thing to do is to rename this file. I suggest using a random file name – like a guid. After you rename the file, you will need to update the “LinksGalleryPath” setting in your config file. This will be found in the section. Just look for “LinksGalleryPath” and update the value to the newly named file name. If the hacker cannot browse to the fcklinkgallery.aspx file, he will not be able to upload a ASP file onto your DNN site. An extra step that needs to be taken to get the link editor to work after renaming it. Basically you need to also rename the  "\Providers\HtmlEditorProviders\Fck\App_LocalResources\fcklinkgallery.aspx.resx" to match the renamed fckLinkGallery file. 

2. Remove Execute permission on the Portals folder of your DNN site.The sub-folder “Portals” in your DNN site typically does not need to be able to run ASP files or any other files. So remove “Execute” permissions on that folder. Open up IIS. Expand the website node for your DNN site. Select the Portals node in the explorer view on the left. Right click on the Portals node and open the Properties dialog. Chose the Directory Node. Set Execute Permissions to “None”. 

If you like more info about DNN exploits, Google will give you thousands of links. Lets hope those sysadmins will wake up like those of the Belgium Royal Military Academy.

donderdag 24 januari 2013

Sejeal defaced the Belgian military royal academy

Sejeal en Hmei7 blijven aldus non-stop "deface" acties uitvoeren. Deze keer is zelfs de Belgian military royal academy het doelwit geworden.

De afdeling DEML is verantwoordelijk voor de opleiding van onze toekomstige militairen. Maar ook hier is de sterk hun zwakste punt. En die is wederom gevonden.

DEML is een team van docenten en onderzoekers. Door de symbiose van academische kennis en professionele ervaring kan DEML gepast inspelen op de specifieke vormingsbehoeftes van Defensie in de domeinen economie, management en leiderschap. Gedurende hun hele loopbaan krijgen kaderleden van Defensie alzo een geïntegreerde en multidisciplinaire vorming aangeboden.
DEML stelt haar kennis en ervaring ter beschikking van Defensie en de maatschappij via dienstverlenende activiteiten. DEML verricht wetenschappelijk relevant onderzoek met meerwaarde voor defensie. Het accent ligt op de domeinen risk-, crisis- en disastermanagement en defensie-economie."
http://deml.rma.ac.be

Wil je meer targets van Sejeal natrekken?
http://www.zone-h.org/archive/notifier=Sejeal


source:http://belsec.skynetblogs.be/archive/2013/01/23/another-be-hack-of-the-day-belgian-military-academy.html
ps: I was never involved with any activities of Sejeal. (And never will be)

Opmerking: Graag zou ik de mensen achter CERT.BE en de Belgische Krijgsmacht enige respect betuigen, vermits zij wel degelijk luisteren naar al onze bevindingen en op gepaste manier zo snel mogelijk reageren. Respect ! 

vrijdag 18 januari 2013

Binnenlandse Zaken is onzorgvuldig met wachtwoorden


18/01/13 - 11u47  Bron: belga.be
© Thinkstock.
 
De federale overheidsdienst Binnenlandse Zaken - die onder meer politie en civiele bescherming beheert - springt onzorgvuldig om met zijn wachtwoorden, veiligheidssystemen en bescherming van laptops voor telewerkers. Dat stelt het Rekenhof in zijn 169ste 'blunderboek'. Het hof ziet ook te veel onduidelijkheid rond de diensten die de politie ter betaling levert aan derden.
 
Het Rekenhof onderzocht de manier waarop de diensten van Binnenlandse Zaken, Economie, Sociale Zekerheid en Personeel en Organisatie met telewerk omgaan. Werken op afstand vereist immers dat - soms vertrouwelijke - overheidsgegevens op afstand toegankelijk zijn, wat de veiligheid ervan in het gedrang kan brengen. Vooral Binnenlandse Zaken blijkt erg zwak te scoren op vlak van bescherming van zijn gegevens en systemen.

Ondermaats
Concreet stelt het Rekenhof dat het wachtwoordbeheer bij Binnenlandse Zaken "sterk onder de normen blijft". Maar ook de antidiefstalbescherming van laptops en de versleuteling van de gegevens laat te wensen over. De FOD moet daarom zijn veiligheidsbeleid en -maatregelen "herzien", luidt het. Het Rekenhof erkent dat intussen een overheidsopdracht is uitgeschreven om een en ander recht te trekken, maar dringt niettemin aan op meer coördinatie van de inspanningen.

Specifiek voor de federale politie hekelt het Rekenhof ook de onduidelijkheid van de prestaties aan derden. Welke diensten de politie al dan niet tegen betaling mag leveren, is "onvoldoende gedefinieerd". Het gaat bijvoorbeeld om de begeleiding van geldtransporten, waar rond geen adequate regels voorzien zijn. En ook de sancties bij laattijdige betalingen zijn niet contractueel vastgelegd of worden niet toegepast, luidt het nog.

artikel: Het Laatste Nieuws

dinsdag 15 januari 2013

"Confidential and Personal" but open to the public.


I was always told that whenever you stamp a document as "Confidential and Personal", you should keep it secured at all times. That's why it gets stamped. However it seems some official instances think in a different way.

Maybe these boring documents do not have any top secret information or the validation period of being "Confidential and Personal" has expired, but at least try to mention it in the document that it got released.
Otherwise you are loosing the trust of the people. Or at least from those who are concerned about privacy.

So are we facing a bad document management? Or a lazy IT department?

You tell me. :-)

String of the week: filetype:pdf  intext:"persoonlijk" intext:"vertrouwelijk" inurl:"VR"




UPDATE - di, 15/01/2013 - 15:02 via vlaanderen.be
Beste vlaanderen.be,

Tijdens eens zoekactie op google kwam ik tal van documenten tegen die bestempeld waren alszijnde "Vertrouwelijk en Persoonlijk". Dit gaf me de indruk dat dit misschien niet bepaald documenten zijn die zomaar publiekelijk gesteld moeten worden? Indien zij deze klassering niet meer dragen, had het correct geweest dit alsook op het document te vermelden om enige misverstanden te voorkomen. :-)

Met vriendelijke groeten,
Bror de Jonck

UPDATE - wo, 16/01/2013 - 11:03 via 1700@vlaanderen.be
Beste,

Ik wil u graag verder helpen maar beschik niet over voldoende informatie om uw vraag te beantwoorden.

Gaat het hier om webpagina's van de Vlaamse of de federale overheid? Over welke websites of documenten gaat het?
U krijgt liever sneller een antwoord ? Neem dan rechtstreeks contact op met 1700

De Vlaamse Infolijn wil graag weten wat u van onze dienstverlening vindt.

Over een aantal dagen ontvangt u een mail van ons en kan u een paar vragen beantwoorden over de kwaliteit van onze werking.

Graag tot een volgende keer.
Met vriendelijke groeten

Team 1700


UPDATE - wo, 16/01/2013 - 11:30 via 1700@vlaanderen.be
Beste vlaanderen.be,
Ik nodig u alsnog uit om volgende search uit te voeren via Google:
filetype:pdf intext:"persoonlijk" intext:"vertrouwelijk" inurl:"VR"
Dit geeft een ganse lijst van documenten van de vlaamse regering, verspreid over alle institutionele takken en die allen de stempel "vertrouwelijk en persoonlijk" dragen.

Ik hoop alsnog dat dit betreft documenten die publiekelijk gesteld mochten worden en aldus een verkeerde classering dragen.

Met vriendelijke groeten,

Bror de Jonck

UPDATE - wo, 16/01/2013 - 12:23 via twitter @vlaparl
 ik heb een vraagje. Wat wil "vertrouwelijk en persoonlijk" als document classificatie betekenen? Open voor publiek?

UPDATE - wo, 16/01/2013 - 13:33 via twitter @vlaparl
Beste contact nemen met: Privacycommissie goo.gl/iwRJG, of: Beroepsinstantie openbaarheid bestuur goo.gl/33yJ6
Aldus het online formulier ingevuld bij de Privacycommissie, but nobody seems to respond.

UPDATE - vr, 18/01/2013 - 09:10 via Privacycommissie
De Privacycommissie meldt het ontvangst van mijn vraag via het online formulier. 
En daarmee is de kous af? Wat nu? Gaan ze er nog iets mee doen? Is dit vertrouwen scheppen? Aaarrgghhhh...

UPDATE - wo, 30/01/2013 - 09:47 via Privacycommissie
De Privacycommissie stuurt me een officieel document waarin ze mij informeren dat ze de volgende instanties zullen contacteren:
  • Vlaamse Overheid
  • VVSG
  • Vereniging Vlaamse Provincies
En mij verder op de hoogte gaan houden van het verloop van het dossier. 
We zijn dus al 2 weken verder. Typisch staaltje van trage Belgische burocratie . Straks moet ik nog wel BTW taks betalen op mijn vraag! Kan je enkel een snelle reactie verkijgen via de pers?

donderdag 10 januari 2013

Belgische persoonsgegevens te grabbel op het net.

Het rijksregisternummer is een bijzonder persoonsgegeven dat wordt beschermd door de privacywet en daar bovenop extra bescherming geniet door de wet van 8 augustus 1983 betreffende het Rijksregister.

Als u het rijksregisternummer zou gebruiken voor andere doeleinden of zou uitwisselen met andere derden die niet werden goedgekeurd bij Koninklijk besluit of gemachtigd door het Sectoraal comité van het Rijksregister, begaat u volgens artikel 39 van de privacywet een strafbaar feit.

Na dit gelezen te hebben, stel ik mij dan ook de vraag waarom menig private en publieke diensten alsnog gecombineerde gegevens vrijgeven zoals:
  • volledige naam
  • geboortedatum
  • geboorteplaats
  • huidig adres
  • telefoonnummer
  • rijksregister nummer
  • identieitskaart nummer
Dit zijn gegevens die bevoorbeeld nodig zijn bij notariele aktes.

Doe maar eens een gokje op onze vriend Google. 

dinsdag 8 januari 2013

Data gelekt van 4.000 mensen die Jobat-enquête invulden

source:belga.be

De gegevens van meer dan 4.000 mensen die een online loonenquête invulden van de krant Jobat, stonden een tijdlang online. Dat meldt Het Nieuws van vtm. Marc Van de Woestijne, de Online Development Manager van Jobat, verzekert dat niemand misbruik heeft gemaakt van de gegevens.
In Het Nieuws was er sprake van 15.000 mensen, maar uiteindelijk bleek het om de gegevens van 4.000 mensen te gaan, aldus Van de Woestijne. In de enquête vulden de mensen onder meer hun brutoloon in en eventuele extralegale voordelen.

"Wanneer de mensen de loonwijzer van Jobat invullen, krijgen ze een persoonlijk rapport toegestuurd via mail waarin hun loon onder meer vergeleken wordt met het loon van iemand die ongeveer hetzelfde werk doet", legt de websiteverantwoordelijke uit. "Een folder met zo'n 4.000 rapporten is om een nog onbekende reden online gezet. De link werd toevallig ontdekt door een internetgebruiker, die vtm contacteerde."

Jobat heeft meteen de toegang naar de folder afgesloten en gecontroleerd of de rapporten gedownload werden. "In de folder stonden enkel de links naar de rapporten en die links werden niet gedownload. Er heeft dus niemand misbruik gemaakt van de gegevens."

Jobat gaat uit van een menselijke fout en onderzoekt wie verantwoordelijk is. De redactie zoekt bovendien uit hoe lang de gegevens online stonden en hoe gegevens beter beveiligd kunnen worden.

Ook de Privacycommissie onderzoekt de zaak. "Het is duidelijk dat er sprake was van een veiligheidsprobleem bij Jobat. Uit het onderzoek zal blijken of het lek ook een inbreuk is op de privacy", aldus woordvoerster Eva Wiertz. "Mensen die willen weten of hun gegevens online stonden, kunnen best Corelio, de uitgever van Jobat, contacteren." Jobat meldt ook dat de mensen die vragen hebben, terecht kunnen op het e-mailadres online@jobat.be.

watch the seven clock news tonight at vrt on Jan 04 2013

I like to thank belsec.skynetblogs.be for being the spokesman of many serious IT'ers who are frustrated day by day when they see all those badly managed websites.

source: http://belsec.skynetblogs.be/archive/2013/01/04/watch-the-seven-clock-news-tonight-at-vrt.html

Not only sncb - nmbs is leaking

Go to this site : http://www.bda-online.be
You will see e.g.: the list of "Bulletin der Aanbestedingen Nr 3 van 3 januari 2013"

The site is already funny for the fact that you can see what the Belgium goverment is going to buy etc.....
eg: You can see that the government is going to enhance the defense of military property of Kleine Brogel.
But if you click on it to see the details, you will need to login.

Here it comes:
Make a google search on : ".mil.be" <number recorded at the bottom of each item> e.g: ".mil.be" 500013 
Tadaaaa..... login and password security bypassed and from there you can start harvesting information.

UPDATE1: 3 januari 2013 15:06
DG-HR intranet of Belgium Defence free accessible ? 

UPDATE2: 3 januari 2013 21:06
DG-HR site of Belgium Defence is not reachable anymore. 

UPDATE3:  
"Na de NMBS, het ministerie van Defensie. Alleen een telefoonlijst, geen privé-gegevens, beweren ze. Maar wij zagen lijsten met o.a. weddeschalen, datums van promotie, Powerpoint-documenten met titels als "Audit Interne Défense (IAD)",... Meer dan 300 documenten (pdf) publiek zichtbaar en geïndexeerd door Google."
source: www.facebook.com/pirateparty.be