Microsoft sluit deel Passport wegens beveiligingsgat

Whiplash zag in een verhaal op Wired dat het helemaal niet zo goed gesteld is met de beveiliging van Passport, een kritiek onderdeel van de .NET strategie dat - zoals de naam al doet vermoeden - dient als soort van digitaal paspoort. Gisteren werd de "virtual wallet" functionaliteit van het systeem uitgeschakeld nadat een programmeur van Apache een aantal fouten in de software ontdekte. Door een onwetend slachtoffer op Hotmail een bericht te laten openen kon ingebroken worden in zijn Passport account, waardoor eventueel aanwezige creditcardgegevens niet meer veilig waren. Ook kon de identiteit van het slachtoffer worden overgenomen op alle partnersites, waaronder MoneyCentral en eBay.

Sinds het begin in 1999 hebben al 200 miljoen mensen een Passport account genomen, waarvan 1% Microsoft vertrouwt met creditcardnummers. Het bedrijf heeft inmiddels al drie bugs gefixed waarmee het gat zo goed als zeker is gesloten, maar de bekendmaking is natuurlijk olie op het vuur van tegenstanders van het systeem: de risico's van een grote centrale database zouden te groot zijn en het ontwerp zou nog steeds niet goed genoeg bestand zijn tegen digitale aanvallen:

Passport's greatest marketing strength -- the single sign-on -- is also its chief technical weakness. It will be fairly trivial for attackers to dream up new ways of exploiting this," he said.

But Microsoft .NET product manager Adam Sohn said the techniques used by Slemko are difficult to employ.

"These are very sophisticated exploits. This isn't just somebody downloading a script from a hacker site and running it," said Sohn, who reported the company has no evidence that anyone has taken advantage of the vulnerability.

IT-banen

Reacties (42)

Verwijderd 3 november 2001 16:26

"These are very sophisticated exploits. This isn't just somebody downloading a script from a hacker site and running it"

... zegt Microsoft, maar het commentaar van de hacker is toch iets anders:

According to Slemko, the fact that he needed just half an hour to cook up a way to exploit Passport's security flaws indicates that Microsoft is not fit to run a service with Passport's ambitions.

"It is very clear that either Microsoft does not have sufficient resources in place to properly review the security of their services and software, or that they are aware of the shortcomings but decided that attempting to gain market share was more important than their user's security," he said.

Janoz Moderator PRG/SEA @Verwijderd • 5 november 2001 22:00

Reacties van microsoft neem ik sinds het mailtje over zogenaamde security flaws van appache (waar ze voor het gemak en het aantal ook gelijk maar een paar van php(!) en phpmyadmin(!!!) bij hadden gestopt) als reactie op het onderzoek van Garnter naar ISS, niet serieus.

Verwijderd 3 november 2001 15:41

Tsja, dit zijn nou eenmaal de risico's van een dergelijke database..

MS heeft het an sich goed voor elkaar; hun applicaties worden gedebugged door mensen welke bij anderen op de loonlijst staan..

Fairy 3 november 2001 15:40

Ik begrijp eigenlijk nog steeds niet waarom ze dit in een grote database willen onderbrengen. Als het misgaat kan er echt ALLES worden gelezen. Dit zou dus echt een catastrofe kunnen zijn, voor de klanten en voor Microsoft!

Roland684

Bedrijfsnieuws

@Fairy • 3 november 2001 19:07

Opslaan in 1 centrale database maakt het mogelijk om alles te achterhalen wat een persoon doet.. welke site hij bezoekt, wat zijn koopgedrag is, hoeveel hij te besteden heeft, voor wat voor (reclame-)boodschappen hij gevoelig is, welke waarde hij aan welke producten hecht, etc.

Het gaat er uiteindelijk om dat met een minimum aan inspanning producten verkocht kunnen worden. Dus niet meer adverteren onder de hele bevolking, maar alleen direct bij de echte doelgroep of per doelgroep andere reclamecampagnes.
Als ik weet hoe jij denkt en leeft kan ik jou heel gericht op mijn product attenderen. Alleen nog maar adverteren bij personen die vrijwel zeker op het aanbod in zullen gaan is de holy grail van de advertentiebureaus.

Zo;n centrale database met de mogelijkheid om iedere beweging van een bezoeker te registreren is een extreem krachtig marketinginstrument en Microsoft zal het niet erg vinden een monopolipositie te verwerven op dat gebied. Als je dan als producent nog wat wilt verkopen, dan zul je bij microsoft moeten zijn en als je als klant wat wil kopen dan moet je dat via microsoft doen

Kennis is macht, macht over mensen, macht over klanten, daarom zijn annonimiteit en privacy zijn voor mensenn heel belangrijk het maakt ze ongrijpbaar. Maar voor bedrijven is het niet handig om geen grip te hebben op je klanten.

Bobco @Roland684 • 5 november 2001 09:57

Het gaat er uiteindelijk om dat met een minimum aan inspanning producten verkocht kunnen worden. Dus niet meer adverteren onder de hele bevolking, maar alleen direct bij de echte doelgroep of per doelgroep andere reclamecampagnes.
Als ik weet hoe jij denkt en leeft kan ik jou heel gericht op mijn product attenderen. Alleen nog maar adverteren bij personen die vrijwel zeker op het aanbod in zullen gaan is de holy grail van de advertentiebureaus.

Ik denk dat je hier de spijker op z'n kop slaat. MS heeft deze diensten niet bedacht omdat het voor de gebruiker zo gemakkelijk is maar omdat MS graag online diensten wil gan verkopen. Ik kan me heel goed voorstellen dat MS een soort profiling service gaat leveren aan bedrijven, gebaseerd op surf- en koopgedrag.

In theorie zou elke klik op een Passport-enabled site gelogd en vastgelegd kunnen worden om als basis te dienen voor het profiel van de consument. MS kan vervolgens dit soort informatie weer aan de sites terugverkopen zodat die specifiek advertenties los kunnen laten op de Ajax-fan of muziekliefhebber.

Het ellendige van .net (en alles wat daaronder moet komen te hangen) vind ik de ondoorzichtigheid. MS noemt alles wat nu nieuw uitkomt .net en verstopt op dit manier de 'echte' functionaliteit. MyServices is echt nog maar een eerste stapje, de rest moet nog komen. En dat voor de minimale prijs van een tientje per maand en een duppie per klik...

Battle Bunny @Fairy • 3 november 2001 16:49

Wat moet je dan? Meerdere databases? Dat maakt het niet echt moeilijker. Of moet je het opslaan op de PC van de client? Dan loop je juist weer die "handige" centralisering kwijt! Er zijn weinig andere mogenlijkheden om een systeem zoals dit uit te voeren, vrees ik. Ik zou zelf ook NOOIT enige info behalve mijn naam en email hier in kwijt willen

Verwijderd @Battle Bunny • 4 november 2001 16:07

Het beroerde van .NET is alleen dat het iedere info die je LATER (bewust of onbewust) invult op sites die aan .NET "meedoen" ook in de database komt. Na een aantal jaren van infoverzamelen zal jouw profiel, surfgedrag, downloadgedrag enz. volledig in de database staan. Dus begin je eenmaal aan een MS paspoort, loop je het risico dat ookal wil je alleen maar je naam (nick) en je e-mailadres bekendmaken, er uiteindelijk toch veel meer info beschikbaar komt.
Dit komt overigens al zeer uitgebreid voor in allerlei spaaracties als airmiles, AH kaart enz. enz

Verwijderd @Verwijderd • 5 november 2001 00:03

iedere info die je LATER (bewust of onbewust) invult op sites die aan .NET "meedoen" ook in de database komt.

het nog beroerdere is dat als je passport gebruikt dat je dan getekent hebt dat Microsoft alles mag doen met de informatie. Dus direct marketing, klantenprofielen aanpassen, alles wat ze maar kunnen bedenken.

Van de Nederlandse wet op de privacy mag dit never nooit niet, maar ja, de passport server staat in de USA dus ze gaan gewoon hun gang.

TheGhostInc @Verwijderd • 5 november 2001 00:40

Zoals gewoonlijk geld hier weer:
Je geeft ze domweg toestemming om het te doen, dat de 99,9999% van de licenses nooit worden gelezen is een fout van de consument. MS zegt doodleuk wat ze met je gegevens willen doen, en je klikt gewoon op 'accoord' . Dan geef je MS het recht.

* 786562 TheGhostInc

Verwijderd @Verwijderd • 5 november 2001 07:52

Geen paniek, joh!
die bikini-sites gaan niet meedoen hoor!

BadRespawn @Verwijderd • 5 november 2001 08:16

" je klikt gewoon op 'accoord' . Dan geef je MS het recht."

In dit geval wel omdat europese wetgeving niet geldt voor MS. Maar als zo'n licencie onwettig is dan geldt ie niet, met of zonder ondertekening.
(kontrakten staan niet boven de wet)

Verwijderd 3 november 2001 18:31

Deze "hack"is gebaseerd op Cross Site Scripting waarover hier: http://www.cert.org/advisories/CA-2000-02.html meer te vinden is.
Dit werkt overigens ook bij andere sites alleen was natuurlijk MS als eerste de pineut.

neh @Verwijderd • 3 november 2001 19:22

Original release date: February 2, 2000
Last revised: February 3, 2000

en microsoft was als eerste de pineut?? microsoft is zoals gewoonlijk weer te laat met het fixen van fouten...

Verwijderd @neh • 3 november 2001 22:54

http://www.microsoft.com/technet/treeview/default.as p?url=/TechNet/security/topics/exsumcs.asp

Stond 2 februari 2000 al op hun site

Later dat jaar hebben ze naar aanleiding van diverse zaken die hieruit voortvloeiden nog een patch uitgebracht

Verwijderd @Verwijderd • 3 november 2001 23:19

Er staat dus ook: This issue is NOT a typical software security flaw where the remediation effort constitutes nothing more than applying a patch to the existing software. Due to the large number of possible ways that code can be written for websites, there are currently no automation tools available to assist in combating this issue. The remediation effort will be manual in nature and must necessarily result in adjustments to normal web development policies for all organizations.

Over welke patch heb jij het ?

Verwijderd @Verwijderd • 3 november 2001 23:59

Die in security bulletin 60, die fixt een aantal zaken die hiermee te maken hebben

http://www.microsoft.com/technet/security/bulletin/M S00-060.asp

Deze patch lost het probleem van cross site scirpting in webservices van IIS zelf op, niet het algemene probleem op zich

Verwijderd @Verwijderd • 4 november 2001 17:33

MS stelde dat ze drie fixes gebruikt hadden. Ben benieuwd of we die straks ook nog als patch zien verschijnen. En rest nog de vraag of de patch die jij noemt wel of niet was aangebracht. Zal maar niet raden

Op win2kwereld staat er ook nog wat over

Verwijderd @neh • 3 november 2001 20:10

Ik vraag me af waarom ze niet eens proberen hun eigen producten te hacken, weten ze meteen wat er misloopt. Nu ja, misschien uit medelijden omdat de man in kwestie meer uren zou moeten halen dan allemaal samen in Richmond?

Roland684

Bedrijfsnieuws

@Verwijderd • 4 november 2001 04:54

Zelf hacken heeft ook zijn nadelen. Zo weet een ontwerper wat het programma doet en zit eigenlijk automatisch op dezelfde manier te denken als het programma dat hij moet controleren. Hacken werkt vaak erg makkelijk wanneer er iets onverwachts wordt gedaan, de vraag is alleen wat het programma verwacht dat er kan gebeuren en wat niet.
Maar als de ontwerper iets niet verwacht zal het programma het al helemaal niet verwachten en dergelijke kwetsbaarheden komen dus ook niet aan het licht wanneer de ontwerper zelf gaat hacken.
(ontwikkelaars die met alle mogeijke situaties rekening houden zijn zeldzaam en zijn stukken minder kost-effective dan hun collega's die de helft vergeten maar wel een pakket afleveren dat even goed lijkt te werken)

Vaak werkt het al prima als een ander team de software even nakijkt (en bedenkt hoe het te hacken zou zijn), maar dan moet je in feite 2 softwareteams inzetten om 1 produkt te maken, dat kost flink wat knaken. Daarom wordt dat vrijwel nooit gedaan.

Op zijn minst zou elke regel code door 2 paar ogen moeten worden gezien, maar het werkt veel sneller om de taken te verdelen en ieder zijn eigen deel maakt. En aangezien managers verstand hebben van kosten-analyses, projectmanagement en personeelsbeleid, maar niet van software-ontwikkeling...

Verwijderd @neh • 3 november 2001 20:10

Als je wat bronnen gelezen had zou je weten dat zelfs CERT stelt dat het hier niet om een simpele patch gaat. Het is dus niet het, per ongeluk, laten draaien van een service waardoor even je site gedefaced wordt

Bovendien als je denkt dat een Internet site 100% inbraakvrij gemaakt kan worden is dat al behoorlijk kortzichtig. Vertrouw dus geen gegevens aan websites toe als je ze belangrijk vind.

Kanarie 3 november 2001 16:17

Gisteren was er op Radio 1 een meneer van Microsoft te horen. Volgens deze meneer was Passport echt een geweldig systeem wat ook goed beveiligd zou zijn, volgens hem zou het bijna onmogelijk zijn om dit systeem te kraken. Hij zei: Ik zeg nooit nooit. Nu begrijp ik waarom, als ze al zo 'eenvoudig' belangrijke dingen zoals credit card gegevens lekken aan anderen zie ik dus geen enkele reden om mijn persoonlijke gegevens naar waarheid in te vullen.

buum 3 november 2001 16:43

[beetje offtopic]
...
[/beetje offtopic]

Elk systeem is te kraken, de vraag is echter hoe moeilijk. Voor Microsoft zal het de taak worden om zoveel mogelijk gaten te dichten en helaas, bij een bedrijf met zoveel media exposure valt het een stuk meer op als er een gat wordt ontdekt. Vooral als het een vitaal onderdeel is van de toekomst van dat bedrijf (of moet gaan worden).

Wat ik persoonlijk wat jammer vind, is juist deze media exposure. Het systeem krijgt op deze manier niet echt de kans zich te bewijzen (troll??? Neuh) of volledig af te gaan. Of zouden de gebruikers zich allemaal laten bedotten door Microsoft en een systeem gebruiken zonder nut maar vol risico's? Nee toch? (of wel...)

edit:
Me off-topic maar ff aangepast. Tnx Beaves

[edit2] Hmmmmmz..... dus toch een troll... dan modereer je toch lekker een troll :-P [/edit2]

Beaves @buum • 3 november 2001 17:14

[beetje offtopic]
Wat ik persoonlijk wel weer lachen vind, is dat voor een dergelijk vitaal onderdeel van de MS-strategie een Open Source product (Apache) gebruikt wordt. Heeft MS niet genoeg vertrouwen in hun eigen producten? En indien dat zo is, waarom zouden andere bedrijven dat wel hebben dan?
[/beetje offtopic]

In de tekst staat nergens dat die Apache programmeur voor MS werkt of dat Apache gebruikt wordt door MS, dus wat dat betreft klopt je reactie niet (behalve als MS wel Apache gebruikt).

Maar MS gebruikt idd naast de nodige Windows servers ook genoeg FreeBSD bakken waarop Hotmail draait (hebben ze "gekregen" na de overname van Hotmail). En aangezien Hotmail zo groot is, is het ze nog niet gelukt om Hotmail op Win2K te zetten. (Ze hebben het dus wel geprobeerd, maar het bleek te moeilijk).

Elk systeem is te kraken, de vraag is echter hoe moeilijk. Voor Microsoft zal het de taak worden om zoveel mogelijk gaten te dichten en helaas, bij een bedrijf met zoveel media exposure valt het een stuk meer op als er een gat wordt ontdekt. Vooral als het een vitaal onderdeel is van de toekomst van dat bedrijf (of moet gaan worden).

Precies, en het is ook nog eens zo dat er heel veel mensen een grondige hekel aan MS hebben en die daardoor continue aan het "bughunten" zijn in MS producten. Daardoor worden er heel veel bugs gevonden waardoor het lijkt alsof de MS software heel bagger is, wat afgezien van een paar producten niet zo is. Want ik weet zeker dat als er een hoop van die mensen bijvoorbeeld OS X gingen doorzoeken, ze evenveel bugs zouden vinden.

ErectionJackson 3 november 2001 15:42

Tja, het is natuurlijk slecht nieuws en ik weet niet of dat zo fijn is. De techniek is natuurlijk heel mooi en zolang er niet té veel persoonlijke informatie aan Passport gegeven wordt is het ook heel bruikbaar.

Het is goed dat Passport al zo lang bestaat, want nu het nog niet zo veel gebruikt wordt als straks misschien gaat gebeuren kan het qua beveiliging verbeterd worden zodat het straks zo veilig mogelijk is.

Passenger @ErectionJackson • 3 november 2001 15:54

Nu het nog niet zo veel gebruikt wordt..?!?! Pardon?

Hoeveel miljoenen mensen hebben dr tegenwoordig zo'n achterlijk microsoft passport? Denk alleen al aan alle msn-gebruikers (passport verplicht), en alle hotmail gebruikers!

Het probleem wordt echter straks WEL groter als de .NET-strategie zoals microsoft het gepland heeft doorgezet wordt... Door geintjes als dit soort holes (die nu nog maar weinig schade aanrichten) daalt mn vertrouwen om .NET produkten aan te gaan schaffen... (alweer...)

WhiteDog @Passenger • 3 november 2001 16:09

iedereen met een hotmail account heeft ook een "passport". zelf heb ik er door de jaren heen al tientallen aangemaakt, wie weet zwerven die nog ergens rond?

iedereen die Windows XP installeert heeft ook zo'n account.

die 200 miljoen gebruikers is waarschijnlijk wel een beetje zwaar overdreven. Maar ja dat doen alle bedrijven toch wel een beetje? Ik vraag mij meer af hoeveel actieve gebruikers er zijn...

dit is geen flame, maar ik denk dat er betere manieren zijn dan MSN & Passport. Neem nu hotmail, je hebt maar een box van 2Mb. En als je dagelijks zo'n 100 mails krijgt, heb je toch liever iets dat ze verwerkt & sorteerd hoor...

Verwijderd @Passenger • 3 november 2001 16:11

Hear Hear ...

Idd, het systeem is zoals gewoon weer 1 die door iedereen hun keelgat geduwt word en waar we later spijt van krijgen ...

Zeg nu zelf, 200 miljoen accounds (alle hotmail, msn etc) zijn password systeem ... Van die 200 miljoen, zou 1% al zijn gegevens in het systeem gezet hebben, wat neer komt op NU AL!!! 2 Miljoen kaart gegevens (btw: die 1% klopt niet want je moet rekenen op die 200miljoen zijn zeker 10% idel accounds, ook de rede dat ms vanaf nu een 30dagen idel systeem invoert bij hotmail)...

Als je denk dat de meeste kaart nr diefstallen spectaculair zijn, wacht maar in een paar maanden, dan zitter er mechien al 10 miljoen kaart nr'rs in en na een tijdje zal ook de security force van ms hun guard een beetje laten slippen ... en dan breek er 1 of andere slimme in ... (al genoeg gebeurt, zie maar eens hoe goed ms hun eigen servers patched tegen break-ins). Vlam een maar miljoen crediet kaart gegevens ... reactie van ms dan, oeps het smijt ons, het zal niet meer voorvallen ... wie is de duppe, de klant, want die moet nieuwe kaarten krijgen, en de banken want die mogen weeral nieuwe kaarten uitdelen ... en dan spreek ik nog niet dat iemand werkelijk geld zou afhalen van de mensen hun rekeningen, beeld u eens in als die een klein programma zou gebruiken om om de 10 kaart nr's een random bedrag tussen de 50 & 200$ zou afhalen, en doorsluizen naar verschillende rekeningen ... het zijn geen grote bedragen maar doe dat maal 1 miljoen nr's ... en voila, een dikke chaos, want iedereen wilt dan zijn geld terug ... en sommige gelukkigen zullen hun geld terug krijgen, en de rest, brutte pech ... dat zullen de banken tegen ze zeggen ...

Nee dank je, ik hou liever mijn crediet kaart nr bij ...
Hetzelfde probleem doet zich nu al voor met pay-pal
Als je iets wilt kopen van de vs tegenwoordig moet je zo een stoem accound daar hebben (want veel amerikaanse site weigeren betalingen rechtstreeks met visa (alle visa van niet amerikanen *de mongs :(* ) en dat systeem heeft ook al een vrij mooie reputatsie ... ja, hoe meer klanten, hoe minder kans dat je nr gepakt word en gebruikt, maar geef zelf toe, of de kans nu 1 op 50.000 is of 1 op 1.000.000, je wilt als klant dat het 0 op 50.000 /1.000.000 is ...

En terugkomen op beveiliging, NIETS is onkraakbaar, alles met een software is hackbaar, of het nu rechtstreeks hacken is of bug using, het komt op hetzelfde neer, de user is altijd fucked ...

Verwijderd @ErectionJackson • 3 november 2001 16:09

Sinds het begin in 1999 hebben al 200 miljoen mensen een Passport account genomen, waarvan 1% Microsoft vertrouwt met creditcardnummers.

da zijn dus 2 miljoen mensen die hun gegevens aan micro$oft toevertrouwen ...

ik zal dat alleszins nog niet te snel doen.

Eén voordeel voor M$ is dat de meeste gebruikers geen tweakers lezen en dit bericht dus nooit zullen ontvangen, en dus geen graten gaan zien in het passport-systeem.

NiGeLaToR

3 november 2001 15:40

Tjah, denk dat de meeste mensen niet eens weten dat je ook hele geweldige dingen met creditcards enzo kan doen op .NET. Ik msn er alleen maar mee

.. waarschijnlijk velen met mij.

Iedere keer als M$ iets groots aanpakt en doet is het verkeerd, dus wat dat aan gaat zullen ze er zelf in Richmond niet echt van wakker liggen.