Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » HIT2000: sites van ict-beveiligers zelf ook vaak lek

HIT2000: sites van ict-beveiligers zelf ook vaak lek

Door Robin van Rootseler, dinsdag 30 januari 2001 18:46
Bron: IDG WebWereld, views: 537

Volgens HIT2000 is het zeer droevig gesteld met de webveiligheid van bedrijven die in Nederland gevestigd zijn. HIT2000 onderzocht 98 ICT-beveiligingsbedrijven die hun diensten of producten in Nederland aanbieden. Iets meer dan de helft van de sites van deze bedrijven zijn 'overtuigend lek'. Bedrijven waarvan de sites wel goed beveiligd zijn hebben vaak hackers in dienst. Hieronder een gedeelte uit het artikel:

Onder de bedrijven met volgens HIT2000 lekke sites behoren bekende namen als Cap Gemini, Cisco, Computer Associates, Compaq, Symantec en RSA Security. HIT2000 noemt het kwalijk dat er veel bedrijven in de lijst voorkomen die software maken als virusscanners, firewalls en encryptietechniek.

Ook bij XS4ALL zijn een aantal fouten geconstateerd op het serverpark dat gebruikt wordt voor de hostingactiviteiten. Volgens HIT2000 waren er meer permissies te verkrijgen die het mogelijk maakten om in alle directories te kijken. Hierdoor zouden 'vrij eenvoudig' persoonlijk gegevens zijn achterhaald bij een door XS4ALL gehoste pornosite.

Volgende 19:15 Nieuwe zuinige processors van Intel
Vorige 18:07 THG onderzoekt Fujitsu U160-SCSI performance
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 39 reacties zichtbaar390 Off-topic / Irrelevant: 37 reacties zichtbaar37+1 On-topic: 31 reacties zichtbaar31+2 Informatief: 4 reacties zichtbaar4+3 Spotlight: 2 reacties zichtbaar2
«  1  2  »

Door WausMaus, dinsdag 30 januari 2001 18:49

Score: 2
Hierdoor zouden 'vrij eenvoudig' persoonlijk gegevens zijn achterhaald bij een door XS4ALL gehoste pornosite.

Hmm, ja, maar dat is nu volgens mij toch de schuld van de eigenaar van die porno site en niet die van xs4all.

Door johnny appleseed, dinsdag 30 januari 2001 18:51

Score: 1
niet als je virtueel gehost zit lijkt mij zo.
edit:
ik heb nou niet echt door of het gaat over persoonlijke gegevens van eigenaar of klanten van die pornosite. Bij geval 2 is het natuurlijk idd de schuld van de sitebeheerder. Verhaal geeft nou niet echt superveel details over de hack.

Door guru, dinsdag 30 januari 2001 20:28

Score: 1
En dan nog, als hosting provider ben je vindt ik ook verantwoordelijk voor je klanten en de eventuele scripts die zij draaien, en dan vindt ik dat je die dus iig ff moet testen op de veelvoorkomende beveiligings lekken :)

Natuurlijk zullen er altijd wel exploitable bugs blijven :(
Maaruh het komt toch wel errug vaak voor dat sites lekken op punten die met behulp van eenvoudige check scripts gevonden hadden kunnen worden.

Een goed voorbeeld daarvan is bv de recentelijke MS-site hack die niets meer betrof dan het default SQL password inkloppen :r

Door The Jester, woensdag 31 januari 2001 07:50

Score: 1
Hoor eens, bij een goeie porno-site staat alles open ;)

Door ThE_ED, woensdag 31 januari 2001 13:35

Score: 0
[off topic]Opvallend dat de voorgaande reactie word aangemerkt als 'inzichtvol'.[/off topic]

Door Kanarie, dinsdag 30 januari 2001 18:54

Score: 2
Computers en vooral de bijbehorende software zijn inmiddels zo complex en groot dat er altijd wel een lek is te vinden, dat bewijst dit artikel maar weer eens.
En hackers in dienst hebben is inderdaad een veel betere beveiliging..maar zelfs zij weten niet altijd alle lekken te vinden.

Door Neelix, dinsdag 30 januari 2001 19:09

Score: 1
Op Slashdot was laatst een link te vinden naar een artikel over een hacker/phreaker die een firewall businessje heeft opgezet.
Daarin werd opgemerkt dat het steeds vaker gebeurt dat bedrijven hackers in dienst nemen om security te regelen, maar dat dit niet altijd goed gaat...

Dus ook daar moet je mee uitkijken...

link naar artikel (gratis registratie vereist): http://www.nytimes.com/2001/01/29/technology/29 CAP.html

Door Aaargh!, woensdag 31 januari 2001 02:51

Score: 1
(gratis registratie vereist)
voor de paranoide medemens die geen zin heeft z'n gegevens vrij te geven (of om steeds in te loggen enzo):
die registratie is eenvoudig te omzeilen, voeg de volgende regel toe aan je /etc/hosts file (msdos 9x/NT heeft volgens mij een zelfde soort file ergens, maar geen idee waar)

208.48.26.217 www.nytimes.com

Door MeNTaL_TO, woensdag 31 januari 2001 09:05

Score: 1
Dat is als ik mij niet vergis het bestand hosts.
Die staat in \windows

Door Mike Looijmans, woensdag 31 januari 2001 11:48

Score: 1
En op NT onder:

%SYSTEMROOT%\SYSTEM32\DRIVERS\ETC\HOSTS

(een hosts.sam sample is daar al aanwezig)

Door JeroenE, woensdag 31 januari 2001 12:26

Score: 1
Je kan ook "www" door "partners" veranderen in de url, dus http://partners.nytimes.com/2001/01/29/technolo gy/29CAP.html

Door Aaargh!, woensdag 31 januari 2001 16:56

Score: 1
dat heeft als enige nadeel dat je steeds die linkjes moet gaan aanpassen, eenmalig ff je hosts file aanpassen en je kan altijd gewoon doorklikken :)

Door aKra, dinsdag 30 januari 2001 18:55

Score: 0
Ik had laatst ook nog 'root' op een van de belangrijkste ADSL routers van XS4ALL. Was ook best stom van ze...

Kon zo zeggen van, die ADSL unit uit, die aan, die bandbreedte knijpen etc.

Door Rembo, dinsdag 30 januari 2001 19:09

Score: 0
Had je alles uit moeten zetten, dan ben je zsm bekend in heel nederland :)

Door aKra, dinsdag 30 januari 2001 19:44

Score: 1
En de gevangenis heeft dan ook nog wel een plekje voor mijn bekendheid dan... :(

Door GAWD, woensdag 31 januari 2001 09:17

Score: 1
Check de track-record van de Bureaus Digitale Expertise van de Nederlandse politie :Z Deze dudes(en dat zijn er VEEL! Elke regio heeft een apart team) hebben vorig jaar welgeteld 1(!!!!!!) dagvaarding tegen een 'hacker' voor elkaar kunnen krijgen |:( En deze ventjes houden zich dus bezig met alles van computervredebreuk tot hacking(hele verhaal op de voorpagina Automatisering Gids 26-1-01) Volgens mij kun je hier in Nederland echt alles uitvreten wat je wilt achter je PC. :(
Zoals ik zei, 1 dagvaarding per jaar; ik zei niets over veroordeling........ ;(
edit:
Troll? Voor bovenstaande......? I SMELL BACON!!!

Door Escovan, dinsdag 30 januari 2001 18:57

Score: 1
Oh, mooi, dat ze Symantec noemen... effe een nieuwe "update" uitbrengen.... ;)

Nee, serieus, ik vind het een schande en uitermate verwonderlijk dat gerenomeerde bedrijven niet in staat blijken te zijn jong talent zoals hackers op te picken uit newsgroups en een leuk contract aan te bieden. Een ongeschoolde hacker is veel goedkoper als een beveiligings-"expert" en levert ook beter werk af.

Een bankier herkent echt geld van vals, maar een valsmunter nog veeeel beter.

Door Escovan, dinsdag 30 januari 2001 19:58

Score: 0
ach, tweakers.net(en AOL en WOL, Amazon, MicroSoft, etc. etc. etc.) kan dat ook niet... *zucht* wat wordt ik ziek van flamebaits op ouwe koeien... :r

Trouwens, hoe staat het met jouw webserver? Hoe beveilig je die? Heb je uberhaupt wel eens een server beveiligd? ennum... Wist je dat _alles_ te hacken valt? Heb je ervaring met linux? Ben je hacker? Kun je eigenlijk wel uit eigen ervaring spreken met zo'n briljant ongenuanceerde opmerking?! Heb je wellis een server moeten beveiligen die terwijl jij gaten aan het dichten bent door de provider weer verneukt wordt?!!! ... *zucht* ... houd je sarcasme voor je.

en tot slot: ik zal mezelf nooit hacker (valsmunter) noemen, simpelweg omdat ik daar mijn kennis te beperkt voor acht.

Door abraxas, dinsdag 30 januari 2001 21:57

Score: 1
beetje ignorant om te zeggen dat alles te hacken valt...
das een nogal populaire uitspraak, maar klinkt in mijn oren net zo onberedeneerd als "er is geen buitenaards leven"

Door Escovan, dinsdag 30 januari 2001 22:13

Score: 1
Geef mij een beveiliging die niet te hacken valt?!

Door Aaargh!, woensdag 31 januari 2001 02:57

Score: 1
beetje ignorant om te zeggen dat alles te hacken valt...
beetje ignorant om te zeggen dat het een beetje ignorant is om te zeggen dat alles te hacken valt.

kijk, b.v. naar een stuk software als Apache, dat is een enorme hoeveelheid regels code, daar moeten gewoon fouten in gemaakt zijn, ook fouten die exploitable zijn, je moet ze alleen vinden en weten te gebruiken.
foutloze software bestaat gewoon niet, software word door mensen geschreven en mensen maken fouten.

Door Booster, dinsdag 30 januari 2001 20:05

Score: 1
Probleem is dat deze 'hackers' het ook niet altijd eerlijk spelen en in dat geval is dat nadelig voor het bedrijf.

Zo makkelijk als jij het allemaal stelt steekt het niet in elkaar.

De meeste hackers kotsen op bedrijven waardoor ze ingehuurt willen worden en kotsen op publiciteit.
edit:
First post my ass.

Door arjenk, woensdag 31 januari 2001 00:25

Score: 3
De oplossing is dus niet zo makkelijk als je schetst. En het inhuren van hackers is niet de oplossing.

Om even door te gaan op je analogie: Huurt een bank de bankrover in voor de beveiliging? Huurt een bank de valsemunter in voor het onwerpen van nieuwe bankbiljetten? Natuurlijk niet! De bank heeft mensen in dienst die veel slimmer zijn, veel meer geld verdienen en al was het alleen al omdat ze er in slagen dat op een legale manier te doen!

Zoals door anderen hier ook al gezegd is: op een hoge uitzondering na deugt de mentaliteit van de hacker gewoon niet, dat zijn geen types die je in kunt huren. Beveiligingslekken worden niet alleen veroorzaakt door fouten, veel systemen worden ook gekraakt door achterdeurtjes die er door producent/installateur van de software in zijn achtergelaten.

Wie moeten dan wel je helden zijn? De bedenkers van beveiligingen, diegenen die iets bedacht hebben waar onnoemelijk veel koeien }:O op staan te grazen, de programmeurs die hard werken aan het dichtmaken van geconstateerde lekken. Helaas zijn er daar maar heel weinig van. Het meeste is bloed zweet en tranen. Een beetje respect AUB.

Door qmaster, woensdag 31 januari 2001 10:33

Score: 0
Hmmmz Cyberjunk86,

Ga jij nog meedoen met paintball, ik heb namelijk een paar honderd extra verfballetjes besteld speciaal voor jou }> .......

Greeetz Prutser & Qmaster

Door TH1J5, dinsdag 30 januari 2001 19:06

Score: 1
Dit is wel logisch, want software en de netwerken van deze bedrijven zijn zo complex, dat er altijd wel wat over het hoofd wordt gezien.
P.S. Dit stond al /heel/ lang op security.nl

Door g.krist, dinsdag 30 januari 2001 19:43

Score: 1
Tja ik denk dat dit weer een heel erug opgepompt verhaal is door onze grote vriend Gery Mansur die nogal aardig media geil schijnt te zijn. Mja dus ik betwijfel dat deze test een goed beeld verschaft :)
offtopic:
Hebben jullie onze gerry ook gezien bij Barend en van dorp, waar onze gerry goed op z'n muil ging ;)
Tja het lijkt Bevelander wel :r

Door altern8, dinsdag 30 januari 2001 19:55

Score: 3
Inmiddels staat het volgende op xs4all:
HIT2000 heeft gemeld dat het vrij eenvoudig is leesrechten te verkijgen op het shared webhosting platform van XS4ALL, zoals dat gebruikt wordt voor de Professional Websites.

Deze constatering is terecht; het is namelijk inherent aan shared webhosting dat de bestanden die samen een website vormen, leesbaar moeten zijn om ze te tonen op internet. Dit is algemeen geldend en niet specifiek voor het platform van XS4ALL.

De lees- en schrijfrechten (Œpermissies) per bestand worden bepaald door de bouwer van de site. XS4ALL geeft hierover informatie op http://www.xs4all.nl/helpdesk/algemeen/faq/chmo d_faq.html

XS4ALL wijst bouwers en eigenaren van websites er nadrukkelijk op dat zij zelf verantwoordelijk zijn voor het beveiligen van de content van hun website. XS4ALL stelt de daarvoor benodigde middelen ter beschikking. De verantwoordelijkheid voor het correcte gebruik van deze middelen ligt bij de bouwer van de site. De mate van beveiliging is een afweging tussen kosten en moeite enerzijds en de mate van vertrouwelijkheid van de gegevens anderzijds. Deze beveiligings- afweging kan niet door XS4ALL worden gemaakt.

De in de publiciteit genoemde "geheime sleutel" heeft betrekking op het standaard geinstalleerde web-shop-script. Deze sleutel is een onbruikbare dummy en wordt standaard als voorbeeld meegeleverd bij enkele shared webhosting producten.

Door BadRespawn, dinsdag 30 januari 2001 21:15

Score: 1
ik wou al zeggen: hackers grijp je kans, want xs4all looft een appeltaart en een jaar gratis account uit voor degene die xs kan hacken.

bedenk dat xs uit de hackers scene voortkomt en dus een naam hoog te houden heeft.

Door tazitiz, dinsdag 30 januari 2001 22:23

Score: 1
Die appeltaart is een oud XS4all gebruik, wat al enige tijd niet meer (volgens mij) van toepassing is. Onder andere vanwege de overname door KPN, en de echte hackers werken er ook niet meer.

doe je best, kijk de nieuwste exploits na, en als er net een bekend wordt voer die uit op xs, die appeltaart krijg je heus niet hoor.

Door nielsj, woensdag 31 januari 2001 00:05

Score: 1
Dan moet dat na de hccdagen geweest zijn :)

Ik heb daar nog lekker een puntje appeltaart staan eten :P

Door oVRoM, dinsdag 30 januari 2001 21:45

Score: 1
Ook bij XS4ALL zijn een aantal fouten geconstateerd op het serverpark dat gebruikt wordt voor de hostingactiviteiten.
XS4ALL doet gewoon haar naam eer aan :)

Door Kojak, woensdag 31 januari 2001 09:13

Score: 1
Opvallend dat men geen Vuurwerk noemt, ik vraag me af waarom:

C:\>tracert zzz.hit2000.org

Tracing route to zzz.hit2000.vuurwerk.nl [62.250.145.111]

:D :+ :)

Door bl00dhound, woensdag 31 januari 2001 11:41

Score: 0
:)
ja
goed idee
wie is het her een l33t h4x0r ? }>
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 19:15 Nieuwe zuinige processors van Intel
Vorige 18:07 THG onderzoekt Fujitsu U160-SCSI performance
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011