Let op! Sinds 1 juli 2018 zijn Insite Security en ITsec samen verder gegaan als Qbit Cyber Security .

Paspartoe: Het risico van standaard wachtwoorden

Tijdens de bouw van een huis maken verschillende onderaannemers, zoals de elektricien en de loodgieter, gebruik van een universele bouwsleutel. Zodra de deuren met cilinders geplaatst worden is een unieke sleutel nodig. Hoe kan het dat het in de IT-wereld nog steeds heel gebruikelijk is dat software wordt opgeleverd met een ‘paspartoe’, een standaard gebruikersnaam en wachtwoord. En waarom wordt deze universele sleutel niet altijd vervangen door een unieke sleutel? Collega en ethisch hacker Vincent Breider, deelt zijn ervaringen.

Door: Vincent Breider

“Het is 14:00 uur, ik neem nog een slok van m’n koffie. Op mijn beeldscherm razen groene letters tegen een zwarte achtergrond voorbij. In het kader van een pentest draai ik een Nmap scan in het netwerk van een klant. Vrij snel verschijnt de melding: Open port discovered TCP/8080. Ik open mijn Firefox browser en vul het IP adres van het doelwit in, gevolgd door :8080. De browser verwijst mij door naar de /manager/html pagina en ik krijg de administratie interface te zien van een Apache Tomcat server.

Het enige wat mij nog in de weg staat is een loginscherm dat om een username en wachtwoord vraagt. Uit ervaring weet ik dat dit standaard tomcat tomcat is. Zo staat het ook beschreven in de documentatie van de software. Helaas mislukt de inlogpoging. Ik herinner mij dat bij sommige versies tomcat s3cret gebruikt wordt als standaard username en wachtwoord combinatie. Bingo! Ik ben ingelogd op de admin interface. Met deze interface kan ik zien welke webapplicaties op de server gehost worden. Ik kan ook zelf webapplicaties uploaden en uitvoeren, of andere webapplicaties verwijderen. Twee minuten later upload ik een stukje kwaadaardige software, een zogenaamde reverse shell, via de functie om zelf een webpagina te uploaden. Ik weet mijzelf toegang tot de server te verschaffen. Het bemachtigen van de klantgegevens is vervolgens kinderspel.”

Authenticatie

Bovenstaand voorbeeld illustreert de mogelijke gevolgen van het gebruik van standaard wachtwoorden. Een loginscherm wordt gebruikt om gevoelige functies dan wel gegevens af te schermen. Alleen gebruikers die daartoe gemachtigd zijn kunnen erbij. In bovenstaand geval de systeembeheerders. Een loginscherm, beter gezegd een wachtwoord is, een authenticatiemiddel. Een manier waarmee een gebruiker zijn identiteit kan aantonen. Ben je wie je zegt dat je bent?

Authenticatie vindt altijd plaats door een gegeven op te vragen aan de gebruiker en deze te controleren. Deze gegevens zijn in te delen in drie categorieën:

  • Dat wat je bent, zoals je vingerafdrukken
  • Dat wat je hebt, zoals je mobiele telefoon of een authenticatie token
  • Dat wat je weet, zoals een wachtwoord of pincode

Privacy by design

Loginschermen maken veelal gebruik van de laatste categorie gegevens. Wat is het nut van een loginscherm als het wachtwoord voor het oprapen ligt? Waarom ik als pentester nog vaak standaard wachtwoorden voorbij zie komen is mij een raadsel. De oorzaak ligt volgens mij in het feit dat verantwoordelijken, zoals ontwikkelaars of systeembeheerders, onderschatten dat standaardwachtwoorden algemeen bekend zijn. Vaak wordt er gedacht dat, om aan dit soort informatie te komen er specialistische kennis nodig is van de software. In de praktijk kun je vaak door even te ‘googlen’ de wachtwoorden snel vinden. Bijvoorbeeld in de documentatie van de leverancier. Een andere aanname die gemaakt wordt, is dat de systeembeheerders onderschatten hoe toegankelijk de applicatie is voor verschillende gebruikersgroepen. “Alleen beheerders kunnen erbij want die weten waar het scherm zit”, of dat er vaak toch niks ‘spannends’ is te vinden achter zo’n loginscherm.

Privacy by default

Aan de andere kant van dit verhaal staan de leveranciers van (software) producten die standaard wachtwoorden instellen. Zij stellen dat de afnemers van hun product zelf zorgdragen dat het veilig en goed uitgerold wordt in de bedrijfsomgeving. Keer op keer wijst uit dat eindgebruikers deze verantwoordelijkheid niet aan kunnen. Gelukkig is de trend ontstaan dat veel producten tijdens de installatie vereisen dat de gebruiker zelf een wachtwoord instelt, of ze leveren een sticker aan op het product met een willekeurig gegenereerd wachtwoord. Helaas is dit nog niet de norm en verwacht ik nog veel besprekingen met klanten waarbij blijkt dat een standaard wachtwoord op een omgeving voor een ‘nare’ verassing heeft gezorgd in onze pentest resultaten.

Standaard wachtwoord altijd veranderen

Internetcriminelen storten zich graag (en steeds meer) op slimme apparaten. Het wordt ze ook wel erg makkelijk gemaakt door standaard wachtwoorden als ‘Admin’ en ‘1234’ die vaak niet worden aangepast. Het belangrijkste advies is dan ook: verander altijd standaardwachtwoorden in een zelfbedacht wachtwoord. Daarbij hanteren we drie gouden regels:

  1. Kies een uniek en zo sterk mogelijk wachtwoord, belangrijkste is dat het wachtwoord onvoorspelbaar is.
  2. Gebruik voor elke website of apparaat een eigen en uniek wachtwoord (en liefst ook gebruikersnaam)
  3. Leer deze wachtwoorden niet uit het hoofd. Sla ze op via een wachtwoordhulpmiddel als 1Password, Lastpass en Keepass

Verander niet alleen van de wachtwoorden van de server, de printer en de wifirouter, verander de wachtwoorden van alle apparaten die communiceren met het internet. Een wachtwoord dat de fabrikant heeft ingesteld, is negen van de tien keer eenvoudig te raden. Daarmee staat de deur naar uw organisatie of privégegevens wagenwijd open.

Meer informatie over het beveiligen van informatie? Neem contact met ons op of kijk ook eens bij ons dienstenoverzicht.

Contactformulier

Meer artikelen

Bekijk al het nieuws