Ruim een half miljoen bezoekers verwacht het Autosalon. Velen ervan bestellen hun ticket online. Alleen roept de beveiliging van het betreffende e-ticketing-systeem vragen op. Zo valt volgens beveiligingsexpert Jan Guldentops de nummering vrij makkelijk te omzeilen, waardoor u zelfs gratis tickets zou kunnen aanmaken.
Echt super gebruiksvriendelijk lijkt de website van Brussels Expo alvast niet. De zogenaamde winkelmandjes zijn niet heel duidelijk te controleren en alles ziet er een beetje oubollig uit. Op zich is zoiets niet onoverkomelijk, ware het niet dat vooral de beveiliging van de shopping-module vragen oproept, zo ondervond Computable.be bij een analyse.
‘Een passieve ssl-test, en dus geen actieve aanval, leert me dat er quasi niks in orde is aan de ssl-setup van de betreffende website’, vertelt beveiligingsexpert Jan Guldentops van het bedrijf Better Access. ‘Zo blijkt de webomgeving niet erg up-to-date. De webserver draait bijvoorbeeld op nginx 1.4.7, wat software is van twee jaar geleden. Nu zitten we aan versie 1.9.9’, stelt hij.
Tickets simpelweg genummerd
De klap op de vuurpijl zit bij de e-tickets zelf. Guldentops: ‘De tickets worden gecontroleerd op basis van de barcodes die erop staan. Die zijn gelinkt aan een sequentieel nummer dat op het ticket zelf ook afgedrukt staat. Dat is best wel amateuristisch als het op beveiliging aankomt. Je moet geen raketgeleerde zijn om tickets te vervalsen.’
Vrij vertaald: als je zelf gratis binnen wil met een groep dan kunnen snoodaards bijvoorbeeld één ticket kopen en netjes vijfhonderd tickets sequentieel erachter maken. ‘Iemand met een beetje doorzicht vervalst de tickets zonder problemen in tien minuten. Elk ticketnummer door een hash-protocol draaien zou bijvoorbeeld al heel veel helpen, maar daar hebben de organisatoren niet aan gedacht.’
Kredietkaart
Vermoedelijk weet men niet hoe riskant dit is of denkt men gewoon dat men dit grote securityrisico wel zal oplossen als ze er echt verlies door gaan lijden, oppert Guldentops. ‘Het is zo’n beetje de strategie van de kredietkaart-bedrijven die jarenlang online lieten betalen op basis van twee, later drie nummertjes die duidelijk zichtbaar op de buitenkant van de kaart gedrukt zijn. Als het verlies binnen de perken blijft, is het goedkoper om niet te investeren in meer complexe beveiliging.’
Guldentops vat het als volgt samen: ‘Zonder actief te hacken, is er aan de beveiliging van de ticketsite van het Autosalon volgens mij even veel werk als aan de Brusselse tunnels van de kleine ring. Het geheel is nonchalant opgezet met geen updates sinds 2014, krakkemikkige ssl-beveiliging en vooral e-tickets die iedereen makkelijk kan vervalsen.’ Opvallend is tenslotte, zo benadrukt hij, dat de infrastructuur ergens in Frankrijk draait bij een hostingfirma die vooral bekend is van goedkope aanbiedingen. ‘Voor de organisatie is er duidelijk nog werk aan de winkel.’
Technische achtergrondinformatie
Voor de techneuten op Computable.be, vanwaar komt onze informatie:
Qualsys ssl-test : https://www.ssllabs.com/ssltest/analyze.html?d=tickets.brussels-expo.be controleert de veiligheid van de ssl-setup.
Waar draait alles?
whois 149.202.239.19
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# Query terms are ambiguous. The query is assumed to be:
# “n 149.202.239.19”
#
# Use “?” to get help.
#
#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=149.202.239.19?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#
NetRange: 149.201.0.0 – 149.209.255.255
CIDR: 149.204.0.0/14, 149.201.0.0/16, 149.202.0.0/15, 149.208.0.0/15
NetName: RIPE-ERX-149-201-0-0
NetHandle: NET-149-201-0-0-1
Parent: NET149 (NET-149-0-0-0-0)
NetType: Early Registrations, Transferred to RIPE NCC
OriginAS:
Organization: RIPE Network Coordination Centre (RIPE)
RegDate: 2003-10-15
Updated: 2009-08-25
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
Ref: http://whois.arin.net/rest/net/NET-149-201-0-0-1
ResourceLink: https://apps.db.ripe.net/search/query.html
ResourceLink: whois.ripe.net
OrgName: RIPE Network Coordination Centre
OrgId: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
RegDate:
Updated: 2013-07-29
Ref: http://whois.arin.net/rest/org/RIPE
ReferralServer: whois://whois.ripe.net
ResourceLink: https://apps.db.ripe.net/search/query.html
OrgAbuseHandle: ABUSE3850-ARIN
OrgAbuseName: Abuse Contact
OrgAbusePhone: +31205354444
OrgAbuseEmail: abuse@ripe.net
OrgAbuseRef: http://whois.arin.net/rest/poc/ABUSE3850-ARIN
OrgTechHandle: RNO29-ARIN
OrgTechName: RIPE NCC Operations
OrgTechPhone: +31 20 535 4444
OrgTechEmail: hostmaster@ripe.net
OrgTechRef: http://whois.arin.net/rest/poc/RNO29-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.
% Information related to ‘149.202.239.0 – 149.202.239.31’
% Abuse contact for ‘149.202.239.0 – 149.202.239.31’ is ‘abuse@ovh.net’
inetnum: 149.202.239.0 – 149.202.239.31
netname: OVH_86965862
descr: OVH Static IP
country: FR
org: ORG-TF19-RIPE
admin-c: OTC2-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
created: 2015-07-23T12:16:16Z
last-modified: 2015-07-23T12:16:16Z
source: RIPE # Filtered
organisation: ORG-TF19-RIPE
org-name: Flaviu Tataru
org-type: OTHER
address: 32 rue Lazare Carnot , chez Zaharia Aura
address: 56100 Lorient
address: FR
abuse-mailbox: flaviutataru@yahoo.com
phone: +33.679795723
mnt-ref: OVH-MNT
mnt-by: OVH-MNT
created: 2013-02-26T14:43:40Z
last-modified: 2015-08-19T23:22:03Z
source: RIPE # Filtered
role: OVH Technical Contact
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
admin-c: OK217-RIPE
tech-c: GM84-RIPE
tech-c: SL10162-RIPE
nic-hdl: OTC2-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
created: 2004-01-28T17:42:29Z
last-modified: 2014-09-05T10:47:15Z
source: RIPE # Filtered
% Information related to ‘149.202.0.0/16AS16276’
route: 149.202.0.0/16
descr: OVH
origin: AS16276
mnt-by: OVH-MNT
created: 2015-03-24T22:02:19Z
last-modified: 2015-03-24T22:02:19Z
source: RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.84.1 (DB-2)
Eens kijken wat ze draaien :
telnet tickets.brussels-expo.be 80
Trying 149.202.239.196…
Connected to brussels-expo.hubber.fr.
Escape character is ‘^]’.
HEAD / HTTP/1.1
HTTP/1.1 400 Bad Request
Server: nginx/1.4.7
Date: Sun, 24 Jan 2016 18:09:48 GMT
Content-Type: text/html
Content-Length: 172
Connection: close
Connection closed by foreign host
En last but not least: een E-ticket
