De afgelopen weken hebben de media het uitgebreid gehad over de Panama papers. Heel wat van de rijksten der aarde bleken via financiële constructies in Panama aan belastingontduiking of belastingoptimalisatie te doen.
De Panama Paper lek
De laatste weken gonst het in de media, politiek en justitie over de duizenden documenten die men in handen heeft gekregen van het advocatenkantoor Mossack Fonseca in Panama. Het is wel eens de moeite om stil te staan hoe men eigenlijk in hun systeem is geraakt.
Laat ik maar met de deur in huis vallen: men is binnen geraakt via de website, die op WordPress draait. Volg even mee in deze reconstructie die door specialisten wereldwijd is achterhaald op basis van de informatie die de hackers zelf hebben laten lekken.
De WordPress-site van Mossack Fonseca werd duidelijk niet up to date gehouden. Op het moment van het lek draaide men de Revolution Slider versie 2.1.7. Zonder op al de details in te gaan: dit was een echte oude buggy versie van deze schitterende plugin. Tot en met versie 3.0.95 was er een lek, dat werd gerapporteerd op 15 oktober 2014 (!!), dat toeliet om een file te uploaden die php code bevat en door een unauthenticated user kon uitgevoerd worden.
Een simpele robot kan het net afscannen naar de /wp-content/plugins/revslider/release_log.txt notes om te zien welke versie er draait. Eenmaal een oude versie gedetecteerd, is het simpel om code te uploaden die simpelweg de wpconfig.php laat zien.
Alle WordPress admins weten dat die file iets heel belangrijk bevat: namelijk de login voor de ganse WordPress-database.
Van daaruit was het een samengaan van elementaire fouten in verband met least privileged accounts. De site van Mossack Fonseca draaide ook de WP SMTP plugin om mails vanop de site te verzenden en tevens de ALO Easymail Newsletter plugin om nieuwsbrieven te verzenden en (un)subscribes te beheren. De eerste bevat gegevens over de smtp-server, de tweede heeft een pop3-login om de newsletter bounces uit te lezen. Als je smtp-server dan niet achter een firewall zit en je gebruikt als administrator hetzelfde wachtwoord voor deze plugins als voor je eigen email account, tja… Easy game over.
Vanuit de mailbox van een senior staff member kon men makkelijk aan andere gegevens geraken, onder andere aan login gegevens van de Drupal-site die men als intranet gebruikte om onderling en met hun cliënten documenten uit te wisselen. Game, set and match.
Voor de techneuten die meer willen weten over welke code juist buggy was en iedere stap meer in details wensen te bestuderen, verwijzen we graag naar de Wordfence blog.
It is the outdated cms, you stupid
Bij de Panama case werd fout op fout gemaakt, zodat men een hele ketting van onveilige systemen had, maar een ketting is altijd zo zwak als de zwakste schakel en in dit geval is het duidelijk dat men vrij eenvoudig is binnen geraakt via een WordPress-installatie die niet regelmatig werd geüpdated.
Als hosters merken we vaak dat meer en meer klanten beseffn hoe belangrijk het is dat hun server degelijk wordt onderhouden en opgezet volgens industriestandaarden omtrent security. Meer en meer klanten kiezen voor een managed hosting waarin al deze zorgen uitbesteed worden aan specialisten.
Het is dan verwonderlijk dat men niet dezelfde houding aanneemt tegenover het cms waarop hun website draait. Misschien wordt er soms ten onrechte gedacht dat een csm eveneens door de hosters up to date wordt gehouden. Dit is echter niet het geval omdat een hoster binnen een managed server perfect weet waar hij allemaal rekening mee moet houden omdat de server en besturingssysteem een geheel vormen die door de hoster beheerd worden.
Maar een csm draait een website die niet door de hoster werd gebouwd. Een cms updaten kan betekenen dat bepaalde delen van de website niet meer werken. Daarom is het updaten van een cms een taak die is weggelegd voor diegene die uw website gebouwd hebben en onderhouden. U sluit dus best niet alleen een contract af met uw hoster voor een onderhoudscontract voor uw server, maar ook met uw website-bouwer om uw cms up to date te houden.
Feweb onderhoudscontract
De beroepsfederatie Feweb was zich al langer bewust van deze problematiek. Een groep hosters heeft een whitepaper gemaakt voor website-ontwikkelaars en hun klanten. Deze whitepaper moet de problematiek duiden. Daarnaast is in samenwerking met juristen een standaardcontract opgemaakt dat webontwikkelaars kunnen gebruiken om hun klanten een continue dienstverlening aan te bieden. Deze template is enkel beschikbaar voor Feweb-leden.
