Reforge Blog

Soms is het leuk of goed om wat van je af te schrijven. Een gesprek, een situatie, een ervaring. Niet bedoeld om te kwetsen, wel bedoeld om de vinger op de zere plek te leggen. En altijd geschreven om te delen met een toevallige lezer. 

 Donderdag Gehacktdag

Een tijd geleden zat ik de krant te lezen toen mijn telefoon pingde. Sms van de ING-bank met een inlogcode. Merkwaardig want ik was niet aan het bankieren (geweest). Even later, achter mijn bureau zag ik dat het geen phishing bericht was, het was een authentiek bericht van de bank met het juiste volgnummer. Toch maar even met ze bellen. Nee, bij de bank leek alles in orde, het bericht was echt, ik kreeg het telefoonnummer van de securityafdeling voor als er meer aan de hand zou zijn. Toen vond ik het eng worden.

Ik heb een goed beveiligde omgeving en toch had iemand het user-ID (vanuit de Postbank tijd, niet voor de hand liggend) en password onderschept. Aan de slag!

Quick-scan
=> Al mijn systemen zijn up-to-date, geen achterstallige software patches.
=> Werkstation gecheckt op malware en andere verdachte zaken. In orde.
=>Netwerkschijf gecheckt.
Alleen de File-station en Download-station services waren actief maar nog steeds geen link naar de buitenwereld want alleen voor intern gebruik. Beide diensten voor de zekerheid uitgezet.
=> Netwerkschijf logfiles gecheckt en geen verdachte activiteiten. De hacker is waarschijnlijk niet op mijn interne netwerk geweest.
=> iCloud gecheckt. Deze werkt met 2-traps authenticatie en er staat en stond geen relevante informatie op.

=> OneDrive gecheckt.
Kijk nou toch eens, mijn Microsoftaccount werkte nog niet met tweetraps authenticatie, tamelijk stom van me. En ik schrok. In juni op de dag dat we op vakantie gingen had ik in de haast gebruik gemaakt van de optie automatisch opslaan in Microsoft Word. Prompt had Word mijn ‘ICE’ document niet naar de Netwerkschijf maar naar OneDrive weggeschreven. Dat document is voor mijn gezin als mij wat overkomt, hier staan ook de credentials van de ING-bank in.
Nu gebruik ik OneDrive alleen tijdens klussen in het veld om makkelijk bij mijn werkdocumenten te kunnen komen. Al scrollend door de structuur van OneDrive zag ik dat een aantal directories twee dagen voor het Sms’je van de bank waren geopend en het ICE-document slechts 2 uur ervoor! Dit lijkt het lek te zijn. En een dubbele gebruikersfout: ICE-document in OneDrive en geen 2-traps authenticatie.

Het lek dichten
De volgende stap was een plan maken en aan de slag. Onderzoek naar de dadersporen kwam daarna wel, eerst het lek dichten. Veel schade kon er niet worden aangericht omdat de belangrijke systemen en diensten 2-traps ingesteld zijn maar intussen. De rest van de dag heb ik gebruikt om alle wachtwoorden te veranderen en het opwaarderen van de authenticatie (voor zover mogelijk). Alle interne gebruikersaccounts aangepast en gelukkig vond ik verder nergens sporen van de indringer. OneDrive is ogenschijnlijk het enige systeem dat was binnengedrongen en ING-bank blijkbaar een eerste poging om verder te gaan. 

Onderzoek
Tijd om eens naar de dadersporen te kijken. Maar om te beginnen heb ik de logging van mijn Netwerkschijf uitgebreid. Om er zeker van de zijn dat er geen achterdeurtje open stond dat ik over het hoofd had gezien. Ruim een maand later nog steeds geen verdachte activiteiten. Daarnaast heb ik de OneDrive leeggehaald en er een lokdocument geplaatst. Het zal geen verrassing zijn dat het document met rust werd gelaten. Met het wijzigen van de credentials en 2-traps authenticatie zit de deur nu goed op slot.

Toen waren er nog maar twee opties over:
1. Een lek in de beveiliging van Microsoft heeft een hack veroorzaakt op meerdere OneDrive accounts waaronder toevallig de mijne. Opvallend is dat Microsoft sinds juli 2019 een ‘kluis’ op OneDrive heeft geïnstalleerd en daarmee in feite aangeeft dat OneDrive alleen onvoldoende beveiligd is. Je logt namelijk in met je e-mailadres (wat bij veel mensen bekend is) en een wachtwoord. In mijn geval bestaande uit een combinatie van 15 cijfers, letters en tekens. Tegen deze optie pleit echter dat er alleen een paar specifieke directories werden geopend, hetgeen meer wijst op een tweede optie, een persoonlijke aanval.
2. De hacker heeft ergens mijn Microsoft credentials onderschept en ingelogd op OneDrive. Daar onder andere ICE geopend en geprobeerd in te loggen op mijn ING-account. Dit scenario is plausibel en daarom zal ik hierna verder uitwerken.

Bijsluiter of Legal Disclaimer
a. Lees het vervolg vooral als fictie, dit kan jou ook overkomen.
b. Niemand wordt in dit artikel persoonlijk beschuldigd.
c. Harde bewijzen ontbreken omdat Microsoft geen IP-adressen of gedetailleerde logfiles vrijgeeft.

Mogelijke aanleiding voor deze hack
In 2018 heb ik iemand een paar maanden geholpen met de doorstart van een klein IT-bedrijf. Onbetaald, het lag in de bedoeling als partners verder te gaan. Maar na een paar maanden trok ik de conclusie dat dit het niet ging worden en ben ik gestopt. Omdat ik voor eigen rekening tijd en kennis stopte in deze onderneming maakte ik vooral gebruik van mijn eigen MacBook, MS-Office en OneDrive. Documenten, Excels, Spreadsheets en planningen bracht ik in maar de source en werkversies stonden op mijn OneDrive. Na een afsluitend gesprek kwam er dezelfde dag nog een berichtje:

Schermafbeelding%202019 10-27%20om%2015.15.56

Laat de hacker nou toevallig net die directories hebben geopend. Er is dus een aanleiding, een motief maar was er ook een gelegenheid om mijn gegevens te onderscheppen?

Hoe kwam de hacker aan mijn credentials?
Het netwerkje waarop het bedrijf draaide in de tijd dat ik daar werkte was … eigenaardig. De server stond bij de eigenaar op zolder. Via VPN tunnelden we vanaf het kantoor via Internet naar die server. Na inloggen kon je vanaf daar interne en externe applicaties gebruiken en Internet op. De meeste eigen applicaties waren SaaS. Wat mij verbaasde en stoorde was dat er elke dag foutmeldingen op security certificaten waren bij het inloggen op de Microsoft netwerkomgeving. Als IT-bedrijf heb je immers een voorbeeldfunctie en dat was dit zeker niet. Maar zolang ik daar heb gewerkt loste de eigenaar het niet op, hij schoof het af op een stagiaire.

Ik heb mijn ‘case’ vervolgens voorgelegd aan een zeer ervaren IT-architect en een door de wol geverfde Linux/Oracle engineer die zelf een hackers-verleden heeft. Beide kwamen terug met de reactie dat dit verdacht veel lijkt op een ‘man-in-the-middle-aanval'.

Kort samengevat: ‘Afhankelijk van hoe je inlogt, en afhankelijk van hoeveel die beheerder met het netwerk kan doen, is onderscheppen van je persoonlijk OneDrive credentials in principe mogelijk. Het werkt met een man in the middle attack waarbij een proxy zelf certificaten cloned van targeted websites en alle http-traffic afvangt. En daar kan je dan dus ook authenticatie mee afvangen.’

In dit geval is de eigenaar de administrator, bouwer en de beheerder van zijn eigen netwerkje. Met andere woorden, gezien de foutmeldingen op die security certificaten lijkt het verdacht veel op een man-in-the-middle configuratie en in dat geval zijn mijn inloggegevens ergens in een grote logfile geplaatst en enige tijd geleden gebruikt om werkdocumenten van mijn OneDrive af te trekken. Dat er geprobeerd is op mijn ING-rekening in te loggen verbaasd mij dan weer. En is tegelijkertijd de directe reden waarom ik dit artikel wel heb geschreven, er zijn immers grenzen aan betamelijkheid.

Lessons learned
Zoals het hoort: Wat heb ik hiervan geleerd?
1. Bijzonder op mijn hoede te zijn als ik mijn eigen omgevingen wil gebruiken op het netwerk van een ander. Dan liever via 4G en smartphone hotspot.
2. Security certificaten met foutmeldingen direct als verdacht te beschouwen. Bij twijfel niet inhalen.
3. Gebruik waar mogelijk 2-traps authenticatie! Zeker als je in Cloud-omgevingen werkt.
4. Dit scenario is zeer plausibel maar blijf open-minded kijken naar andere scenario’s.
5. Tenslotte: zoals de waard is vertrouwt hij zijn gasten. 

 Specialist of Generalist?

2019, 12 maart 
Ongeveer 2700 jaar geleden schreef de Griekse dichter Archiloch: “De vos weet van veel zaken, de egel weet een groot ding’. Daarmee was Archiloch zijn tijd ver vooruit want het sluit perfect aan op de huidige discussie wat beter werkt: “Specialisten of Generalisten”? 

Reforge werkt aan de hand van het T-profiel: “Wij weten van vrijwel alle zaken voldoende en van sommige onderwerpen weten wij heel erg veel".  

SpecialistvsGeneralist

 "Wat vind jij hier nou van?"  

2018, 30 november 
Op een koude zaterdagochtend was ik even langs bij een bevriend accountant. We zaten in zijn kantoor en opeens wenkt ie mij naar zijn kant van het bureau. “Kijk eens mee”, zegt hij terwijl hij zijn Outlook mail opstart. Er gaat anderhalve minuut voorbij, dan een foutmelding. “En nu doe ik het nog een keer en dan werkt het wel”. En inderdaad, na nog eens ruim een minuut wachten start Outlook dan eindelijk op. De automatisering van zijn kantoor blijkt op servers te draaien in een miniatuur datacenter van zijn IT-leverancier. We hebben het over kwaliteit en service gerichtheid. “Meestal sturen ze een stagiaire, eentje van een MBO IT-opleiding uit de buurt. Aardige jongens maar door ze alleen te sturen zonder enige begeleiding leren ze niet veel”. Ze worden wel voor het volle pond doorgefactureerd, vertelt hij. Eentje is zes keer langs geweest omdat hij vijf keer de verkeerde monitorkabels had meegekregen. Hoe moeilijk kan het zijn als je een goede inventarisatie en intake doet? Dat leren ze daar niet, zegt deze accountant over zijn IT-leverancier (een kleintje uit de regio). We weten allebei heel goed dat kleine en grote IT-bedrijven stagiaires en net afgestudeerde medewerkers inzetten als volwaardige medewerkers. Het maakt deel uit van hun verdienmodel. En eerlijk is eerlijk, de goede komen echt wel bovendrijven. Maar wel ten koste van de klanten, die er het volle pond voor betalen. En 3 minuten wachten tot je Outlook is opgestart, dat is echt niet van deze tijd. Wees lief voor de stagiaire maar wees hard en zakelijk naar degene die de stagiaire het bos instuurt. 

problem

 Onder in de IT-markt

 2018, 2 november 
"Maar hoe ga je je dan onderscheiden? Er zijn honderden van dat soort bedrijfjes. Wat voegen ze toe? Ze verkopen wat abonnementjes en wat serverruime in een datacenter en dat is het dan”, was de reactie van een van mijn beste vrienden toen ik hem afgelopen zomer vertelde dat ik een tijdje mee ging draaien in een regionaal IT-bedrijfje, dat het MKB voorziet van VoIP en IT-oplossingen.
Voordat ik kon reageren gaf hij zelf het antwoord al. 'Weet je, een tijdje geleden moesten wij van onze leverancier overstappen van Citrix naar VMware. En daar hebben we nog last van. Leuk hoor, maar ze waren wel vergeten om de templates en fonts mee te verhuizen dus konden we opeens geen barcodes meer printen. En die printer was er ook niet meer. Ja, hij stond er wel maar we konden er niet meer bij'. Ik gaf hem aan dat dat het verschil is tussen een leverancier die weet wat hij doet, een goede intake doet, werkt met checklists, testen en een oplevering en een bedrijf dat maar een dotje doet. Maar hij was nog niet klaar.

'Ook met VoIP ging het niet goed, ik heb een iPhone als schaduw telefoon en dat werkte ook niet meer. Volgens de leverancier de schuld van Apple omdat ze OSX steeds veranderen, ze konden er zelf niets aan te doen, ik moest wachten op een patch. Maar ik had de handleiding gelezen en vroeg ze tot twee keer toe om de ‘push call' functie aan te zetten. En toen werkte het natuurlijk wel!’.

De uitsmijter volgde na een stilte. 'Weet je, het is nou de tweede keer al. Toen we van onze eigen server naar Citrix gingen hadden we precies dezelfde problemen. Maar ja, nu gaan ze rekeningen sturen om problemen op te lossen die ze zelf hebben veroorzaakt en die stuur ik terug. Zij wilden overstappen van Citrix naar VMware, ik niet'.

Omdat we elkaar al 33 jaar kennen, waren we het al snel eens. Het onderscheidend vermogen van ieder bedrijf ligt niet in de aangeboden diensten maar in de kennis en kunde van de mensen.
----
Deze blog schreef ik in juli 2018 en is een getrouwe weergave van het gesprek dat echt heeft plaatsgevonden. Overigens heb ik eind oktober 2018 mijn onbetaalde werkzaamheden voor dat andere IT-bedrijfje beëindigd. Onbetaald, het was voor Reforge een investering in tijd om te zien of er aan de onderkant van de IT-markt een markt is voor professionalisering en planmatig werken. Maar dat is er niet. Ik heb het in ieder geval niet gevonden. Ze doen inderdaad maar een dotje ... 

crowdnope