Verouderd beveiligingssysteem, sequentiële nummering

Beveiliging e-ticketing Autosalon roept vragen op

Dit artikel delen:
Aanpakken cybercrime

Ruim een half miljoen bezoekers verwacht het Autosalon. Velen ervan bestellen hun ticket online. Alleen roept de beveiliging van het betreffende e-ticketing-systeem vragen op. Zo valt volgens beveiligingsexpert Jan Guldentops de nummering vrij makkelijk te omzeilen, waardoor u zelfs gratis tickets zou kunnen aanmaken.

Echt super gebruiksvriendelijk lijkt de website van Brussels Expo alvast niet. De zogenaamde winkelmandjes zijn niet heel duidelijk te controleren en alles ziet er een beetje oubollig uit. Op zich is zoiets niet onoverkomelijk, ware het niet dat vooral de beveiliging van de shopping-module vragen oproept, zo ondervond Computable.be bij een analyse.

‘Een passieve ssl-test, en dus geen actieve aanval, leert me dat er quasi niks in orde is aan de ssl-setup van de betreffende website’, vertelt beveiligingsexpert Jan Guldentops van het bedrijf Better Access. ‘Zo blijkt de webomgeving niet erg up-to-date. De webserver draait bijvoorbeeld op nginx 1.4.7, wat software is van twee jaar geleden. Nu zitten we aan versie 1.9.9’, stelt hij.

Tickets simpelweg genummerd

De klap op de vuurpijl zit bij de e-tickets zelf. Guldentops: ‘De tickets worden gecontroleerd op basis van de barcodes die erop staan. Die zijn gelinkt aan een sequentieel nummer dat op het ticket zelf ook afgedrukt staat. Dat is best wel amateuristisch als het op beveiliging aankomt. Je moet geen raketgeleerde zijn om tickets te vervalsen.’

Vrij vertaald: als je zelf gratis binnen wil met een groep dan kunnen snoodaards bijvoorbeeld één ticket kopen en netjes vijfhonderd tickets sequentieel erachter maken. ‘Iemand met een beetje doorzicht vervalst de tickets zonder problemen in tien minuten. Elk ticketnummer door een hash-protocol draaien zou bijvoorbeeld al heel veel helpen, maar daar hebben de organisatoren niet aan gedacht.’

Kredietkaart

Vermoedelijk weet men niet hoe riskant dit is of denkt men gewoon dat men dit grote securityrisico wel zal oplossen als ze er echt verlies door gaan lijden, oppert Guldentops. ‘Het is zo’n beetje de strategie van de kredietkaart-bedrijven die jarenlang online lieten betalen op basis van twee, later drie nummertjes die duidelijk zichtbaar op de buitenkant van de kaart gedrukt zijn. Als het verlies binnen de perken blijft, is het goedkoper om niet te investeren in meer complexe beveiliging.’

Guldentops vat het als volgt samen: ‘Zonder actief te hacken, is er aan de beveiliging van de ticketsite van het Autosalon volgens mij even veel werk als aan de Brusselse tunnels van de kleine ring. Het geheel is nonchalant opgezet met geen updates sinds 2014, krakkemikkige ssl-beveiliging en vooral e-tickets die iedereen makkelijk kan vervalsen.’ Opvallend is tenslotte, zo benadrukt hij, dat de infrastructuur ergens in Frankrijk draait bij een hostingfirma die vooral bekend is van goedkope aanbiedingen. ‘Voor de organisatie is er duidelijk nog werk aan de winkel.’

Technische achtergrondinformatie

Voor de techneuten op Computable.be, vanwaar komt onze informatie:

Qualsys ssl-test : https://www.ssllabs.com/ssltest/analyze.html?d=tickets.brussels-expo.be controleert de veiligheid van de ssl-setup.

Waar draait alles?

whois 149.202.239.19

#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at: https://www.arin.net/whois_tou.html

#

# If you see inaccuracies in the results, please report at

# http://www.arin.net/public/whoisinaccuracy/index.xhtml

#

#

# Query terms are ambiguous.  The query is assumed to be:

#     "n 149.202.239.19"

#

# Use "?" to get help.

#

#

# The following results may also be obtained via:

# http://whois.arin.net/rest/nets;q=149.202.239.19?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2

#

NetRange:       149.201.0.0 - 149.209.255.255

CIDR:           149.204.0.0/14, 149.201.0.0/16, 149.202.0.0/15, 149.208.0.0/15

NetName:        RIPE-ERX-149-201-0-0

NetHandle:      NET-149-201-0-0-1

Parent:         NET149 (NET-149-0-0-0-0)

NetType:        Early Registrations, Transferred to RIPE NCC

OriginAS:

Organization:   RIPE Network Coordination Centre (RIPE)

RegDate:        2003-10-15

Updated:        2009-08-25

Comment:        These addresses have been further assigned to users in

Comment:        the RIPE NCC region.  Contact information can be found in

Comment:        the RIPE database at http://www.ripe.net/whois

Ref:            http://whois.arin.net/rest/net/NET-149-201-0-0-1

ResourceLink:  https://apps.db.ripe.net/search/query.html

ResourceLink:  whois.ripe.net

OrgName:        RIPE Network Coordination Centre

OrgId:          RIPE

Address:        P.O. Box 10096

City:           Amsterdam

StateProv:

PostalCode:     1001EB

Country:        NL

RegDate:

Updated:        2013-07-29

Ref:            http://whois.arin.net/rest/org/RIPE

ReferralServer:  whois://whois.ripe.net

ResourceLink:  https://apps.db.ripe.net/search/query.html

OrgAbuseHandle: ABUSE3850-ARIN

OrgAbuseName:   Abuse Contact

OrgAbusePhone:  +31205354444

OrgAbuseEmail:  abuse@ripe.net

OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE3850-ARIN

OrgTechHandle: RNO29-ARIN

OrgTechName:   RIPE NCC Operations

OrgTechPhone:  +31 20 535 4444

OrgTechEmail:  hostmaster@ripe.net

OrgTechRef:    http://whois.arin.net/rest/poc/RNO29-ARIN

#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at: https://www.arin.net/whois_tou.html

#

# If you see inaccuracies in the results, please report at

# http://www.arin.net/public/whoisinaccuracy/index.xhtml

#

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.

%       To receive output for a database update, use the "-B" flag.

% Information related to '149.202.239.0 - 149.202.239.31'

% Abuse contact for '149.202.239.0 - 149.202.239.31' is 'abuse@ovh.net'

inetnum:        149.202.239.0 - 149.202.239.31

netname:        OVH_86965862

descr:          OVH Static IP

country:        FR

org:            ORG-TF19-RIPE

admin-c:        OTC2-RIPE

tech-c:         OTC2-RIPE

status:         ASSIGNED PA

mnt-by:         OVH-MNT

created:        2015-07-23T12:16:16Z

last-modified:  2015-07-23T12:16:16Z

source:         RIPE # Filtered

organisation:   ORG-TF19-RIPE

org-name:       Flaviu Tataru

org-type:       OTHER

address:        32 rue Lazare Carnot , chez Zaharia Aura

address:        56100 Lorient

address:        FR

abuse-mailbox:  flaviutataru@yahoo.com

phone:          +33.679795723

mnt-ref:        OVH-MNT

mnt-by:         OVH-MNT

created:        2013-02-26T14:43:40Z

last-modified:  2015-08-19T23:22:03Z

source:         RIPE # Filtered

role:           OVH Technical Contact

address:        OVH SAS

address:        2 rue Kellermann

address:        59100 Roubaix

address:        France

admin-c:        OK217-RIPE

tech-c:         GM84-RIPE

tech-c:         SL10162-RIPE

nic-hdl:        OTC2-RIPE

abuse-mailbox:  abuse@ovh.net

mnt-by:         OVH-MNT

created:        2004-01-28T17:42:29Z

last-modified:  2014-09-05T10:47:15Z

source:         RIPE # Filtered

% Information related to '149.202.0.0/16AS16276'

route:          149.202.0.0/16

descr:          OVH

origin:         AS16276

mnt-by:         OVH-MNT

created:        2015-03-24T22:02:19Z

last-modified:  2015-03-24T22:02:19Z

source:         RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.84.1 (DB-2)

Eens kijken wat ze draaien :

telnet tickets.brussels-expo.be 80

Trying 149.202.239.196...

Connected to brussels-expo.hubber.fr.

Escape character is '^]'.

HEAD / HTTP/1.1

HTTP/1.1 400 Bad Request

Server: nginx/1.4.7

Date: Sun, 24 Jan 2016 18:09:48 GMT

Content-Type: text/html

Content-Length: 172

Connection: close

Connection closed by foreign host

En last but not least: een E-ticket

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder


Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2016-01-25T11:58:00.000Z William Visterin


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.