Nederlandse hackers willen meer bevoegdheden voor Govcert
Diverse Nederlandse hackerscollectieven hebben een brandbrief over het gebrek aan ict-expertise binnen de overheid naar de Tweede Kamer gestuurd. Volgens de hackers zou bijvoorbeeld Govcert meer bevoegdheden moeten krijgen.
De ondertekenaars van de brief, die namens de grootste Nederlandse hackerspaces zeggen te spreken, zeggen in een donderdagavond gepubliceerde brief dat ze zich zorgen maken over de beveiliging van de ict-systemen van de Nederlandse overheid.
"Keer op keer zien wij hoe basale beveiligingsprincipes niet worden toegepast binnen bestaande en nieuwe ict-systemen", zo staat in de brief te lezen. "Recente voorbeelden zijn de kwestie rond Diginotar en de ssl-certificaten, de ov-chipkaart, het elektronisch patiëntendossier en nog vele andere systemen en omgevingen." Donderdag nog werd aan die lijst het vroegtijdig uitlekken van de Miljoenennota toegevoegd toen de pdf met informatie per abuis al op de live omgeving bleek te staan.
De 'verenigde Nederlandse hackerspaces' bestaan uit diverse hackersclubs en -organisaties, waaronder Hack42, ACKspace, TkkrLab, Bitlair, Revelation Space, Randomdata, Frack, Sk1llz , Stichting eth0, 2600nl.net en Stichting HXX. Volgens deze spaces, waarbij een aantal van de bekendste whitehat-hackers van Nederland is aangesloten, is er een flinke lijst met voorbeelden van overheidssystemen waarvan de beveiliging niet op orde is.
"Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden. Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast."
Volgens hackerswoordvoerder Koen Martens heeft de overheid te veel vertrouwen in de expertise van ingehuurde bedrijven, terwijl er binnen de overheid onvoldoende kennis beschikbaar is om het geleverde werk te controleren. "Het wordt tijd dat de overheid investeert om fatsoenlijke ict-kennis in huis te hebben. Er kan nu niet worden bepaald of gewenste systemen wel echt voldoen."
Als het aan de hackers ligt, grijpt de Tweede Kamer de recente gebeurtenissen rondom DigiNotar aan om orde op zaken te stellen. "Wat er met DigiNotar is gebeurd, is geen los incident", zegt Martens tegenover Tweakers.net. "We hopen dat de politiek ziet dat het hier om een symptoom gaat van gebrek aan kennis en controle. Er is sprake van een structureel probleem, dat dus ook structureel moet worden aangepakt."
Die aanpak begint volgens Martens met bijvoorbeeld het geven van meer bevoegdheden aan Govcert. "Die organisatie heeft echt wel wat kennis in huis, maar mag nu alleen advies geven. Als de overheid een nieuw project bedenkt, zou dat echter degene moeten zijn die als een soort chief security officer binnen de overheid inspraak heeft over de systemen, de privacy-eisen en andere ict-gerelateerde zaken."
Martens hoopt dat de politiek de noodzaak van betere controle inziet en actie onderneemt. "Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."
Reacties (106)
"Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."
Jammer van de dreigende ondertoon op het laatst
Verder ben ik het ermee eens; DigiNotar is niet het eerste Overheids-ICT project wat niet veilig is.
Edit: DigiNotar is geen overheidsproject maar er werd wel op geleund.
Vraag me af of er ooit nog zoiets als het EPD komt.
Jammer van de dreigende ondertoon op het laatst
Verder ben ik het ermee eens; DigiNotar is niet het eerste Overheids-ICT project wat niet veilig is.
Edit: DigiNotar is geen overheidsproject maar er werd wel op geleund.
Vraag me af of er ooit nog zoiets als het EPD komt.
[Reactie gewijzigd door Pistolebob op 15 september 2011 20:02]
Ja hoor. Het EPD komt er ook wel.. je ziet nu allerlei intiatieven ontstaan binnen ziekenhuizen en zorgregio's die eigen EPD's ontwikkelen. Die worden straks aan elkaar gekoppeld en voila, een landelijk dekkend EPD.
Ik heb stage gelopen op in een ziekenhuis, die waren inderdaad bezig met een eigen EPD.
Verder vind ik het mooi dat een vereniging voor hackers laat weten bezorgt te zijn, in plaats van een zwakke plek hacken, en vervolgens zeggen dat ze dit deden omdat ze ontevreden zijn over een en ander zoals je de laatste tijd vaak ziet.
Maar wat Pistolebob ook al zegt, is het onnodig om "Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen." toe te voegen aan je brief.
Verder vind ik het mooi dat een vereniging voor hackers laat weten bezorgt te zijn, in plaats van een zwakke plek hacken, en vervolgens zeggen dat ze dit deden omdat ze ontevreden zijn over een en ander zoals je de laatste tijd vaak ziet.
Maar wat Pistolebob ook al zegt, is het onnodig om "Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen." toe te voegen aan je brief.
Creatief voor hackers lijkt me juist niet gaan hacken. Ik geloof dat ze juist al creatief bezig zijn.
Die opmerking over de creatieve middelen is een opmerking van Martens gericht aan Tweakers.net. Die opmerking staat niet in de originele brief, zoals je via de link in het artikel kunt lezen...
En dus? Als ze zo "whitehat" zijn als beweert wordt moeten ze gewoon volledig open kaart spelen, en niet met achterbakse bedreigingen komen.
En dus is het geen dreiging. Een dreiging richt je aan je slachtoffer om wat van 'm gedaan te krijgen. Gewoon tegen iemand anders zeggen dat je mogelijk naar "creatievere middelen moet zoeken om het belang aan te tonen" kun je nauwelijks een dreiging noemen.En dus?
[Reactie gewijzigd door .oisyn op 16 september 2011 00:08]
Het is geen bedreiging. Het is een feit dat de overheid vrij traag is met het oppikken van dit soort problemen. Ook nu weer zal het nog wel enkele maanden duren, voordat de eerste discussies betreffende het probleem worden opgestart.Daarna nog enkele maanden voor dat de eventueel 'verzonnen' oplossingen worden geimplementeerd.
Wil je, als buitenstaander/burger hier druk op leggen, zodat de overheid eens een
keer OP TIJD wat doet met ict-veiligheid, dan moet je ze de noodzaak laten inzien.
Daarom WAARSCHUWEN ze (dus niet bedreigen) de overheid, dat dit voor de whitehats,
bij uitblijven van handelen door de overheid, de volgende 'course of action' is.
Liever hun, dan black-hats...
Wil je, als buitenstaander/burger hier druk op leggen, zodat de overheid eens een
keer OP TIJD wat doet met ict-veiligheid, dan moet je ze de noodzaak laten inzien.
Daarom WAARSCHUWEN ze (dus niet bedreigen) de overheid, dat dit voor de whitehats,
bij uitblijven van handelen door de overheid, de volgende 'course of action' is.
Liever hun, dan black-hats...
dat is het wel, niemand wil luisteren als ze de principes er achter niet begrijpen
van de 100 white hacks zijn er
20 die het snel fixen en niets laten weten
50 die je gegevens proberen te achterhalen om je te vervolgen
20 die niets doen omdat je niet serieus wordt genomen
en 10 die je Vriendelijk bedanken( zoals het hoort, omdat je het netjes meld zonder te steelen)
en idd voor computer-technicus is de overheid niet goed bezig, ik heb meer vertrouwen in de ict vijlighijd bij mij thuis
het is uberhoud onlogies met overhijd en ict; een gemiddelde werknemer daar zit in minstens 4 database programma's te werken te gelijk(en daarna weer op een terminal server, dus het doe weinig voor securety). burger zaaken zoekt op bsn, cwi-net zoekt op naam(Hooftletter gevoellig (omfg)), en bij de polietie moetten ze elke 2 jaar een nieuw systeem(da's dus inclusie werkstations) (de afgeloopen 6 jaar)
zodra deze wet ingaat zal ik wat vaker langs het stadhuis gaan want iemand moet zorgen dat (ook de mijne) Nederlandse persoonsgegevens veilig staan, voor het zelfde geld zit Iran al lekker een kopie van iedereen zijn inkomsten te maken
van de 100 white hacks zijn er
20 die het snel fixen en niets laten weten
50 die je gegevens proberen te achterhalen om je te vervolgen
20 die niets doen omdat je niet serieus wordt genomen
en 10 die je Vriendelijk bedanken( zoals het hoort, omdat je het netjes meld zonder te steelen)
en idd voor computer-technicus is de overheid niet goed bezig, ik heb meer vertrouwen in de ict vijlighijd bij mij thuis
het is uberhoud onlogies met overhijd en ict; een gemiddelde werknemer daar zit in minstens 4 database programma's te werken te gelijk(en daarna weer op een terminal server, dus het doe weinig voor securety). burger zaaken zoekt op bsn, cwi-net zoekt op naam(Hooftletter gevoellig (omfg)), en bij de polietie moetten ze elke 2 jaar een nieuw systeem(da's dus inclusie werkstations) (de afgeloopen 6 jaar)
zodra deze wet ingaat zal ik wat vaker langs het stadhuis gaan want iemand moet zorgen dat (ook de mijne) Nederlandse persoonsgegevens veilig staan, voor het zelfde geld zit Iran al lekker een kopie van iedereen zijn inkomsten te maken
Inderdaad, en dat is pas een enge beweging. Als iedere regio zelf wat gaat knutselen, is de kans dat er ergens gaten ontstaan nog veel groter. Dat wordt een landelijk lekkend EPD,
@ bwerg: het enge is niet de patientgegevens in ziekenhuizen en artsenpraktijken, maar dat dat met allerlei regionale initiatieven aan elkaar geknoopt gaat worden. Liever een deugdelijk landelijk systeem.
En ja, ik ben voor een EPD (met opt-out). Ik heb helaas genoeg ervaring met met de zorg om te weten wat een risico gebrekkige communicatie kan vormen.
@ bwerg: het enge is niet de patientgegevens in ziekenhuizen en artsenpraktijken, maar dat dat met allerlei regionale initiatieven aan elkaar geknoopt gaat worden. Liever een deugdelijk landelijk systeem.
En ja, ik ben voor een EPD (met opt-out). Ik heb helaas genoeg ervaring met met de zorg om te weten wat een risico gebrekkige communicatie kan vormen.
[Reactie gewijzigd door TheekAzzaBreek op 15 september 2011 23:53]
Dan ben je dus vóór het EPD, want die lokale databases zijn er nu al en zouden juist door een centraal en veilig systeem vervangen worden.
Of dacht je dat ziekenhuizen tot nu toe geen patiëntengegevens hadden?
Of dacht je dat ziekenhuizen tot nu toe geen patiëntengegevens hadden?
Ik denk dat het EPD ook een prima systeem zou zijn (mits beveiligd ofcourse). Bovendein is het onzin dat er zoveel mensen bang zijn voor hun privacy blabla. Veel mensen hebben uberhaupt geen realistisch beeld op ict en gegevens.
Voorbeeld: Een collega kon zich helemaal woest maken omdat bij ons op het werk er tegenwoordig bij de webmail een disclaimer infoboxje vermeld stond met daarin dat beheerders inzage hadden in de e-mailboxen. Wil je je e-mail bekijken, dan moet je op ik ga akkoord drukken. Druk je op niet akkoord, kun je ook niet in je mail.
Hij weigert om op akkoord te drukken, want hij wil absoluut niet dat anderen in zijn (werk!) email kunnen kijken.
Hij is dus naief genoeg om niet te bedenken dat dat overal zo is, ook op zijn ziggo mail accountje thuis, zijn telefoonrekening, bankrekening, noem maar op. Genoeg mensen die het in kunnen zien als ze willen.
Zo ook het EPD, maar veel mensen kijken daar vreemd tegenaan omdat de privacy ervan aan de klok wordt gehangen. Dat anderen jouw gegevens kunnen bekijken. Guess what, er is zoveel van je te bekijken door bepaalde personen.
Voorbeeld: Een collega kon zich helemaal woest maken omdat bij ons op het werk er tegenwoordig bij de webmail een disclaimer infoboxje vermeld stond met daarin dat beheerders inzage hadden in de e-mailboxen. Wil je je e-mail bekijken, dan moet je op ik ga akkoord drukken. Druk je op niet akkoord, kun je ook niet in je mail.
Hij weigert om op akkoord te drukken, want hij wil absoluut niet dat anderen in zijn (werk!) email kunnen kijken.
Hij is dus naief genoeg om niet te bedenken dat dat overal zo is, ook op zijn ziggo mail accountje thuis, zijn telefoonrekening, bankrekening, noem maar op. Genoeg mensen die het in kunnen zien als ze willen.
Zo ook het EPD, maar veel mensen kijken daar vreemd tegenaan omdat de privacy ervan aan de klok wordt gehangen. Dat anderen jouw gegevens kunnen bekijken. Guess what, er is zoveel van je te bekijken door bepaalde personen.
En ik geef de persoon in kwestie groot gelijk. Ook je werk e-mail is onderhavig aan privacy! in essentie geeft ze dit vinkje een vrijbrief. Uiteraard dient er wel opgenomen te worden in het ICT regelement dat de beheerders:
- gescripte toegang hebben tot je mailbox voor automatische handelingen (spam, virus, etc)
- bij vermoeden van fraude en met goedkeuren van directie toegang wordt verschaft
- elke toegang verkregen door menselijk handelen vermeld dient te worden aan de werknemer.
Ik probeer nog steeds mensen het idioterie in te rammen om niet hun wachtwoord af te staan, zodra ze op vakantie gaan. Onder het motto "ja maar dat is gemakkelijk". Totdat een hele afdeling/bedrijf deze praktijken er op nahoudt en je een sociale druk opgelegd krijgt.
Een groot (en zeer belangrijke) nuance: gegeven KUNNEN ingekeken worden, maar er zou voor elke database een strikte regelset moeten komen om die alleen te MOGEN indien er noodzaak voor is. Gelukkig zijn er nog mensen met ethiek op de wereld.
- gescripte toegang hebben tot je mailbox voor automatische handelingen (spam, virus, etc)
- bij vermoeden van fraude en met goedkeuren van directie toegang wordt verschaft
- elke toegang verkregen door menselijk handelen vermeld dient te worden aan de werknemer.
Ik probeer nog steeds mensen het idioterie in te rammen om niet hun wachtwoord af te staan, zodra ze op vakantie gaan. Onder het motto "ja maar dat is gemakkelijk". Totdat een hele afdeling/bedrijf deze praktijken er op nahoudt en je een sociale druk opgelegd krijgt.
Een groot (en zeer belangrijke) nuance: gegeven KUNNEN ingekeken worden, maar er zou voor elke database een strikte regelset moeten komen om die alleen te MOGEN indien er noodzaak voor is. Gelukkig zijn er nog mensen met ethiek op de wereld.
Je kunt ook zeggen: ga lekker akkoord met de regels en als er daadwerkelijk door de baas/ICTer wordt gekeken stap je naar de rechter. Deze zal in het algemeen toch geen spaan heel laten van de argumenten van de werkgever als deze niet op de genoemde voorbeelden neerkomen.
Ik vind deze persoon een eikel 
Nee hoor dat is maar een geintje alleen ik heb wel een iets andere situatie gehad. Toen de directie hoorde dat de persoon niemand toegang wilde geven hebben ze de opdracht gegeven om te kijken hoeveel mail die persoon krijgt (dat is wel legaal) en hebben ze hem op de grond van dat op het matje geroepen. (let wel, het is een functie die voor 75% via de mail wordt afgehandeld.)
Nee hoor dat is maar een geintje alleen ik heb wel een iets andere situatie gehad. Toen de directie hoorde dat de persoon niemand toegang wilde geven hebben ze de opdracht gegeven om te kijken hoeveel mail die persoon krijgt (dat is wel legaal) en hebben ze hem op de grond van dat op het matje geroepen. (let wel, het is een functie die voor 75% via de mail wordt afgehandeld.)
Dan heb je trouwens ook gemist hoe het EPD precies moest functioneren. 'Het' EPD is slechts een landelijk knooppunt van lokale EPD's zoals jij bedoelt.
Ik heb van dichtbij mogen zien wat voor mensen verantwoordelijk zijn voor de invoering en het doordrukken van het Landelijk-EPD. Veiligheid is daarbij totaal ondergeschikt. Het target is de creatie van een LPD, dat moet worden gehaald. Degene die dit dossier vanuit de ziekenhuizen (via de NVZ) beheert heeft bijvoorbeeld slechts zeer oppervlakkige kennis van computers en netwerken. Het is gewoon een manager. Als je hem aanspreekt op de basale beveiligingsprincipes die in het plan worden geschonden, krijg je te horen dat er nu al tal van lokale EPD's zijn waar helemaal geen zicht is op de beveiliging en dat die daar ook vaak niet deugt. Alsof je daarmee de tekortkomingen van het LPD kunt goedpraten 
Ik heb hem zelfs voorgehouden dat de onveiligheid alleen maar toeneemt met een LPD. Dan is immers nog maar 1 goede hack nodig om de medische gegevens van ALLE Nederlanders buit te maken. Nu zul je al die lokale EPD's moeten hacken om gegevens van alle Nederlanders te krijgen wat nog een behoorlijke klus is.
Ook dat zag ik natuurlijk helemaal verkeerd....
Ik heb hem zelfs voorgehouden dat de onveiligheid alleen maar toeneemt met een LPD. Dan is immers nog maar 1 goede hack nodig om de medische gegevens van ALLE Nederlanders buit te maken. Nu zul je al die lokale EPD's moeten hacken om gegevens van alle Nederlanders te krijgen wat nog een behoorlijke klus is.
Ook dat zag ik natuurlijk helemaal verkeerd....
De enige manier om een systeem goed te testen, is door een goede poging te doen om het te hacken. Sommige instellingen die veiligheid wél serieus nemen vragen zelfs white-hat hackers (al dan niet van bijvoorbeeld universiteiten of bedrijven) om een poging te doen hun systeem te hacken, en de bevindingen te overleggen. De overheid lijkt nu vaak maar iets in elkaar te flansen en geen enkele test te doen. Het heft in eigen handen nemen moet je natuurlijk niet te overhaast doen maar een white-hat hacker mag van mij best een systeem aanvallen waar nota bene zijn eigen gegevens in zitten (EPD, DigiD etc.). Als het goed is komt hij daar toch niet doorheen, als het niet goed is dan wordt de beveiliging er alleen maar beter op."Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."
Jammer van de dreigende ondertoon op het laatst
Het moet natuurlijk niet zo gaan als anonymous doet maar dat is het verschil tussen internetvandalisme en een gecontroleerde test met als doel de beveiliging te verbeteren.
En een hack waarbij de resultaten pas openbaar worden gemaakt als de lekken zijn gedicht levert nog altijd minder schade op dan een staking, om maar eens wat te noemen. Dit is gewoon een manier om je onvrede kenbaar te maken en gebreken aan te tonen, daar hoeft niets mis mee te zijn.
[Reactie gewijzigd door bwerg op 15 september 2011 20:11]
Als alleen zijn gegevens er in staan gaat hij zijn gang maar, zolang mijn gegevens er ook in staan heb ik er wel bezwaar tegen.white-hat hacker mag van mij best een systeem aanvallen waar nota bene zijn eigen gegevens in zitten (EPD, DigiD etc.).
En wie voert die controle uit?Het moet natuurlijk niet zo gaan als anonymous doet maar dat is het verschil tussen internetvandalisme en een gecontroleerde test met als doel de beveiliging te verbeteren.
Soms niemand, en daarom stellen deze lui ook voor dat zij het dan maar doen voordat anonymous langskomt. Van welke van die twee heb je liever dat ze jouw gegevens krijgen?En wie voert die controle uit?
Natuurlijk zou het niet nodig hoeven zijn, ik heb ook liever dat een organisatie van de overheid dit in handen neemt. Maar als dat niet gebeurt dan mogen white-hat hackers het doen. Black-hat hackers doen het anders toch wel en maken er geen nette melding van. Stel je eens voor dat deze collectieven hadden voorgesteld diginotar te hacken voordat het bekend was dat er bij hun was ingebroken, had je het dan ook bezwaarlijk gevonden? Achteraf bekeken zou het de fouten een stuk sneller aan het licht hebben gebracht (en misschien zelfs dit hele gebeuren hebben voorkomen!).
Mensen denken vaak dat als ze niet horen dat een systeem gehackt is, het wel veilig zal zijn. En dat het ineens onveilig wordt zodra het bekend wordt dat er een hack is gepleegd. Onzin natuurlijk, dan was het systeem kennelijk al lang onveilig en wie weet wie er allemaal al naar binnen is geweest. Individuele hackers stoppen en veroordelen heeft dan ook weinig zin, als je vertrouwen hebt in je systeem laat je ze lekker aanmodderen. Zou de beheerder van het systeem dat niet willen dan geeft dat enkel aan dat hij er geen vertrouwen in heeft. Dat is een soort "security through obscurity" en is onbetrouwbaar.
[Reactie gewijzigd door bwerg op 15 september 2011 21:05]
En wie zegt dat de hacker niet ook tot Anon behoord?Soms niemand, en daarom stellen deze lui ook voor dat zij het dan maar doen voordat anonymous langskomt. Van welke van die twee heb je liever dat ze jouw gegevens krijgen?
Als ze Diginotar hadden aangeboden gratis hun beveiliging te testen had ik geen enkel probleem gehad met een acceptatie van dat aanbod.Stel je eens voor dat deze collectieven hadden voorgesteld diginotar te hacken voordat het bekend was dat er bij hun was ingebroken, had je het dan ook bezwaarlijk gevonden?
Als die collectieven zich werkelijk zoveel zorgen maken kunnen ze hun diensten gewoon aanbieden, in plaats van dreigen het ongecontroleerd te doen.
Natuurlijk zitten veel van deze white-hat hackers zelf in het security-vakgebied en werken ze liever voor geld. Gratis aanbieden levert niks op, dus dreigen we maar met hacks, zodat we hopelijk ingehuurd worden....
Heel leuk allemaal maar je hebt helemaal geen idee welke hackers welke websites aanvallen totdat het een keer misgaat. Mensen tegenhouden om een website aan te vallen is een kansloze beveilingsmethode, doen deze mensen het niet dan honderd anderen (al heb je geen idee wie). Het maakt wat dat betreft geen bal uit of dit plotseling black-hats blijken te zijn. Een website is door iedereen op de wereld te bekijken, je weet niet wie er wel en wie er niet komt en wat hun bedoelingen zijn.En wie zegt dat de hacker niet ook tot Anon behoord?
Bij een publiek toegankelijke site is het heel simpel. Als het goed is getest maakt het niet uit of hackers een poging doen, met welke intentie dan ook, het is enkel een bevestiging dat het kennelijk werkt. Als het niet goed is getest en er lekken aan het licht komen heb je sowieso een probleem want je weet niet meer of er is ingebroken, wie die gegevens allemaal heeft, hoe vaak er is ingebroken, of de data gemanipuleerd is, etc. Of dat door een white-hat hacker of door een black-hat hacker gebeurt maakt daarvoor niet uit.
Maar je kan toch moeilijk gaan verwachten dat ze zich daar als vrijwilliger aanmelden, van mensen die kritiek hebben op bijvoorbeeld de OV-chipkaart ga je ook niet vragen of ze dan maar vrijwillig zelf een systeem willen samenstellen. Je mag de overheid best vragen of ze taken op zich willen nemen waar je zelf de middelen niet hebt (en dat is in gevallen als deze niet meer dan redelijk, het is immers hun verantwoordelijkheid). Daarom geven ze ook aan dat de overheid hier zelf een instantie voor moet samenstellen. Of dat de mensen zijn die deze brief sturen of dat ze andere mensen inhuren maakt daarbij niet uit.Als die collectieven zich werkelijk zoveel zorgen maken kunnen ze hun diensten gewoon aanbieden, in plaats van dreigen het ongecontroleerd te doen.
[Reactie gewijzigd door bwerg op 15 september 2011 23:19]
Het punt waar ik op reageerde:Maar je kan toch moeilijk gaan verwachten dat ze zich daar als vrijwilliger aanmelden
Als ze het aangeboden zouden hebben betekend dat dat ze de middelen hebben...Stel je eens voor dat deze collectieven hadden voorgesteld diginotar te hacken voordat het bekend was dat er bij hun was ingebroken, had je het dan ook bezwaarlijk gevonden?
Ah zo. Nou, aanbieden om beveiliging te testen komt eigenlijk gewoon neer op hacken in overleg, dus je bedoelt in dat geval hetzelfde als ik.
En ik hoop dat je dan ook weet hoe een overheidsbedrijf daarop reageert?[...]
Het punt waar ik op reageerde:
[...]
Als ze het aangeboden zouden hebben betekend dat dat ze de middelen hebben...
Oh, jij beweert dat onze beveiliging niet op orde is, vooral niet op punten X, Y, Z... Leuk voor je, maar daar weet je zelf totaal niks van en we zijn er niet van gediend als er eventjes iemand komt vertellen hoe wij ons bedrijf moeten runnen.
Wil je de hacker uithangen? Veel succes ermee, wijsneus. We zien het wel als je binnen bent, dan staat binnen 2 minuten de politie op de stoep want we weten nu wie we moeten hebben.
Dat bedrijven soms totaal stompzinnig kunnen reageren en een ENORME plaat voor hun hoofd hebben zal ik ook zeker niet ontkennen, maar de 'wie niet horen wil, moet maar voelen' mentaliteit werkt in dit soort situaties averechts. Vooral als je het van te voren al als dusdanig aankondigt
Nee, met 'creatievere methodes' bedoelt Martens iets heel anders. Ik weet zelf hoe creatief de hacker-gemeenschap is en hoe ver de 'omdat het kan'-factor daarin meespeelt, want ik was samen met Martens, Jan (killercow) en de rest van Hxx mede-organisator van Hacking at Random in 2009. Daar werd geen systeem omver gehackt en geen loginnaam bekend gemaakt, maar er waren wel een hoop leuke en interessante projecten opgezet. Omdat het kan!
Systemen als test laten hacken is de slechtste manier om te beoordelen of de beveiliging afdoende is. Je weet dan niet waar nog meer gaten zitten. Waar het om gaat is dat een systeem vanuit de basis veilig ontworpen is. Bij een dergelijk systeem zijn de zwakheden ingecalculeerde risico's.
In software bestaan in de praktijk geen inherent veilige systemen. Ten minste, ik geloof er niet in. Ik weet dat daar in de academische wereld wel eens anders over wordt gedacht, maar ik geloof er niet in. De dagelijkse praktijk van software ontwikkeling is daar te ongecontroleerd voor.
Algemener is het een gangbare methode: om te bewijzen dat een stelling waar is ga je proberen te bewijzen dat hij niet waar is. Als dat niet lukt heb je nog steeds geen bewijs, maar ten minste een redelijk vermoeden dat de stelling waar zou kunnen zijn.
Testhacks zijn niet de manier, maar wel een waardevol onderdeel.
Algemener is het een gangbare methode: om te bewijzen dat een stelling waar is ga je proberen te bewijzen dat hij niet waar is. Als dat niet lukt heb je nog steeds geen bewijs, maar ten minste een redelijk vermoeden dat de stelling waar zou kunnen zijn.
Testhacks zijn niet de manier, maar wel een waardevol onderdeel.
Penetratietests zijn zeker wel een manier om te kijken of een beveiliging afdoende is. Een goede penetratietest probeert namelijk niet op 1 manier binnen te komen maar op verschillende manieren.
Penetratie tests zijn alleen een garantie dat er een paar manieren om het systeem aan te vallen zijn geprobeerd. Het sluit niet uit dat er een simpele maar nog niet bekende manier is om het systeem aan te vallen. Wat dat betreft, levert het slechts een schijnzekerheid.
inderdaad. hacken is in feite out-of-the-box denken. ik denk dat penetratietests waardevol zijn voor het testen van "standaard" lekken/beveilingsfouten maar, zeker niet voldoende om een oordeel over een systeem te fellen. ik denk wel dat een hoop ellende kan worden voorkomen door standaard beveilingsprincipes toe te passen. die principes zijn niet voor niets ontstaan in de praktijk.
Tja dan komt dit spreek woord om de hoek kijken:
'' Wie niet horen wil, moet voelen ''
Natuurlijk is dit niet de beste manier, maar het is wel een manier wat dan hard aan komt bij de overheid. En ja die bezuiniging hé? daar komt het van.
Ik vindt het een goede actie van de hackers, anders kwam de overheid er pas achter wanneer buitenlandse mensen gingen rondneuzen en gevoelige informatie verkregen.
En dat wil niemand, toch?
'' Wie niet horen wil, moet voelen ''
Natuurlijk is dit niet de beste manier, maar het is wel een manier wat dan hard aan komt bij de overheid. En ja die bezuiniging hé? daar komt het van.
Ik vindt het een goede actie van de hackers, anders kwam de overheid er pas achter wanneer buitenlandse mensen gingen rondneuzen en gevoelige informatie verkregen.
En dat wil niemand, toch?
Ligt niet zo zeer aan het bezuinigen denk ik, volgens mij ligt het probleem bij de gemeentes die ieder een ander systeem (denken) handig vinden ipv een landelijk systeem te maken zodat je systemen ook makkelijker te onderhouden en beveiligen zijn.
Daarnaast zou het beter zijn om wat meer ambtenaren hierbij buitenspel te zetten, gewoon wensen en eisen door geven, bedrijf laten werken aan het project extern pro hackers er oplos laten gaan en verbeteren.
Daarnaast zou het beter zijn om wat meer ambtenaren hierbij buitenspel te zetten, gewoon wensen en eisen door geven, bedrijf laten werken aan het project extern pro hackers er oplos laten gaan en verbeteren.
[Reactie gewijzigd door Jonathan-458 op 16 september 2011 00:47]
Het probleem (wat trouwens in de gehele overheid speelt) is dat externe partijen duurder zijn dan interne partijen. In tijden van bezuinigingen ga je dus geen extra geld over de balk smijten om dingen aan te schaffen die je intern kunt doen.
(off topic: daarom kost het ontslaan van ambtenaren over het algemeen ook meer geld dan dat het oplevert, terwijl de kwaliteit van 'de overheid' wellicht toe zou kunnen nemen).
(off topic: daarom kost het ontslaan van ambtenaren over het algemeen ook meer geld dan dat het oplevert, terwijl de kwaliteit van 'de overheid' wellicht toe zou kunnen nemen).
Als je de complete brief leest zie je dat daar (gelukkig) die opmerking niet in staatJammer van de dreigende ondertoon op het laatst
Ik denk dat Martens dit als opmerking tegen Tweakers.net gemeld heeft.
[Reactie gewijzigd door r100 op 15 september 2011 20:26]
Ik beschouw dit toch echt als een verkapt dreigement, vooral omdat in eerdere alinea's van de brief gemeld staat dat de hackersclubs de beschikking hebben over allerlei informatie over aanvallen op overheidssites.Echter, er heerst op dit moment een klimaat waarin de boodschapper wordt
gestraft en de betreffende departementen en bedrijven niet tot verantwoording
worden geroepen. Wij zijn daarom terughoudend in het delen van informatie over
deze beveiligingslekken.
Overigens, lijkt het me voor GovCert niet prettig om door een hackersclub aanbevolen te worden. Als hackers hun eigen belang verdedigen zouden ze juist een voorstander zijn van een minder gedegen beveiliging en kennelijk denken ze dat te bereiken door GovCert in meer projecten te betrekken.
Volgens mij heb je een verkeerd beeld van het concept 'hacker'.[...]
Ik beschouw dit toch echt als een verkapt dreigement, vooral omdat in eerdere alinea's van de brief gemeld staat dat de hackersclubs de beschikking hebben over allerlei informatie over aanvallen op overheidssites.
Overigens, lijkt het me voor GovCert niet prettig om door een hackersclub aanbevolen te worden. Als hackers hun eigen belang verdedigen zouden ze juist een voorstander zijn van een minder gedegen beveiliging en kennelijk denken ze dat te bereiken door GovCert in meer projecten te betrekken.
Waar Hxx voor pleit is juist om die beveiliging op orde te hebben voordat het te laat is en er een zootje black-hats (of bijvoorbeeld Anonymous of LulzSec) voorbij komt en de boel hackt voor hun eigen belangen. Hxx wil juist GovCert daarvoor inschakelen omdat die door de overheid al de aangewezen partij was om de systemen van de overheid te testen. Als ze zelf op eigen houtje zouden gaan hacken en dat aan de grote klok hangen, dan zijn ze spontaan hun geloofwaardigheid kwijt.
White-hats zijn er juist bij gebaat om de beveiliging van het 'slachtoffer' zo goed mogelijk door alle situaties heen te testen waardoor de zwakke punten naar voren komen die gedicht kunnen worden. Ze hacken dan ook alleen om de uitdaging en zonder eigen belangen.
Black-hat crackers breken juist de boel open voor hun eigen gewin en jatten gewoon creditcard-gegevens, financiële informatie en logins zonder enig ethisch besef. Zulke figuren zul je dan ook nooit openlijk een brief naar de overheid zien schrijven of naar de pers zien stappen.
Het feit dat ze informatie hebben over aanvallen is nog niet eens zo verwonderenswaardig. (Ooit wel eens erover gedacht dat er ambtenaren bij Hxx kunnen zitten?
) Dat wil nog niet zeggen dat het om gevoelige informatie zoals encryptiesleutels en loginnamen gaat, maar waarschijnlijk meer over welke aanvallen er hebben plaatsgevonden. Ze doen er ook goed aan om het niet aan de grote klok te hangen maar dit soort dingen juist bewust voor zich te houden.
Diginotar is een commercieel bedrijf, geen overheids ict project.
Maar een overheid is natuurlijk wel verantwoordelijk voor hun uitbestedingen, en die uitbesteding is wel flink mislukt.
Als een bedrijf in dienst van de overheid fouten maakt kan de overheid daar soms niets aan doen. Je kan de toekomst niet voorspellen dus al lijkt de uitbesteding nog zo goed geregeld, het kan altijd mis gaan. Maar als ze gewoon één serieuze controleur naar diginotar hadden gestuurd hadden ze meteen gezien dat het nu niet echt goed ging.
Als een bedrijf in dienst van de overheid fouten maakt kan de overheid daar soms niets aan doen. Je kan de toekomst niet voorspellen dus al lijkt de uitbesteding nog zo goed geregeld, het kan altijd mis gaan. Maar als ze gewoon één serieuze controleur naar diginotar hadden gestuurd hadden ze meteen gezien dat het nu niet echt goed ging.
[Reactie gewijzigd door bwerg op 15 september 2011 20:37]
Hoezo? Veel andere groepen doen soortgelijke dingen, meestal noemt men het een "staking". Verschillende OV monopolisten vonden dat nodig het afgelopen jaar."Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."
Jammer van de dreigende ondertoon op het laatst
Right. Vakbonden zijn OV monopolisten. Inzichtvol ... 
drijgende ondertoon... is dat niet wat elke nederlander doet, als ie tegen z'n buurman zegt... zet die radio uit 'of' ik bel de politie, de verhuurder etc. etc...
rijd niet de hard of..... je krijgt een boete...
als de overheid mag chanteren, moeten ze niet gek kijken als wij (het volk) of in dit geval een stel goed bedoelende hackers namens ons.. deze overheid wil dwingen zich aan de zelfde regels te houden...
of geldt de wet alleen voor de zwakkere in de samenleving... en mogen de rijken en de hun politieke vriendjes zomaar alles maken... (en laat plz de sp / vvd discussie achterwege)
rijd niet de hard of..... je krijgt een boete...
als de overheid mag chanteren, moeten ze niet gek kijken als wij (het volk) of in dit geval een stel goed bedoelende hackers namens ons.. deze overheid wil dwingen zich aan de zelfde regels te houden...
of geldt de wet alleen voor de zwakkere in de samenleving... en mogen de rijken en de hun politieke vriendjes zomaar alles maken... (en laat plz de sp / vvd discussie achterwege)
Ook zonder partijen te noemen is het in de huidige situatie toch vrij duidelijk dat mensen met politieke vriendjes zich meer kunnen permitteren dan anderen.
Ik ben er inderdaad ook geheel mee eens. De overheid controleert inderdaad niet of het geleverde werk goed is. Als ze zo door gaan zouden er wel eens veel grotere en ernstigere fouten aan het licht kunnen komen!
--Edit--
Ik hoor net op de radio dat het ict-bedrijf het bestand zou gaan linken naar een fake bestand. In een woord: Geloofwaardig
--Edit--
Ik hoor net op de radio dat het ict-bedrijf het bestand zou gaan linken naar een fake bestand. In een woord: Geloofwaardig
[Reactie gewijzigd door Dualfoot op 15 september 2011 20:04]
Thumbs up voor deze actie, vind het klasse dat er zo'n brief gestuurd wordt.
Dit laat zien dat niet alle hackers per sé slecht zijn en dat het echt heel slecht gesteld is met de veiligheid van overheidswebsites/netwerken.
Verder kan ik tussen de regels door lezen dat er door bezuinigingen te weinig geïnvesteerd is in zoiets basaals als veiligheid. Juist het onderwerp waar de eerste prioriteit moet liggen.
Dit zet je wel aan het denken over de kwaliteit van de andere onderwerpen waar de prioriteiten níet liggen.
Dit laat zien dat niet alle hackers per sé slecht zijn en dat het echt heel slecht gesteld is met de veiligheid van overheidswebsites/netwerken.
Verder kan ik tussen de regels door lezen dat er door bezuinigingen te weinig geïnvesteerd is in zoiets basaals als veiligheid. Juist het onderwerp waar de eerste prioriteit moet liggen.
Dit zet je wel aan het denken over de kwaliteit van de andere onderwerpen waar de prioriteiten níet liggen.
Kent iemand wel 1 overheid ICT project dat succesvol en veilig is ???
Ik hoop echt dat ze nu eindelijk een keer gaan na denken.
Ik hoop echt dat ze nu eindelijk een keer gaan na denken.
[Reactie gewijzigd door Jonathan-458 op 15 september 2011 20:10]
Ja, instanties als NSO en het in het artikel genoemde GovCert zou ik zeker wel vertrouwens. Jammer genoeg gebeuren alle overheidsprojecten op eigen houtje, en als je ziet hoe hacks soms gebeuren vraag ik me af of ze het soms uitbesteden aan een vriend van de neef van de buurman of zo. De experts worden slechts voor zeer specifieke toepassingen gevraagd, lijkt het.
[Reactie gewijzigd door bwerg op 15 september 2011 20:16]
Eigenlijk zijn veel overheids ict-projecten zaken die zijn uitbesteed aan grote commerciele bedrijven: daar gaat het mede vaak mis.
Ik ken dat met (overheid of bedrijfs-)organisaties die aanbesteden en zelf 0 kennis in huis hebben, zo'n verkoopgesprek komt op het volgende neer:
En weer is er een fantastisch product in elkaar geflanst. De klant is blij 'als het maar werkt' en zolang er geen interne expertise bij de klant aanwezig is is het enige aspect de prijs.Verkoper: Koop onze oplossing voor slechts 1000 euro
Klant: Shadysoft's oplossing kost maar 500 euro!
Verkoper: Zeg ontwikkelaars. Dat kan nooit 100 uur kosten, moet ook gewoon in 40 uur kunnen!
Ontwikkelaars: Maar Shadysoft levert alleen troep op!
Verkoper: 'dat zien we later wel'
Als er geen interne expertise bij de klant is, dan is voor de dure oplossing kiezen ook geen garantie voor een goed project.
Ja, de belasting'diskette'. Dat gaat voor het gros van de mensen al jaren zonder problemen.Kent iemand wel 1 overheid ICT project dat succesvol en veilig is ???
Ik heb al jaren geen 3.5" drive meer in m'n computers. Dus problemen zou dat ding zeker opleveren. Gelukkig is ie ook al jaren afgeschaft.[...]
Ja, de belasting'diskette'. Dat gaat voor het gros van de mensen al jaren zonder problemen.
Hoewel ik het er wel mee eens ben dat alle incidenten laten zien dat er meer aandacht voor digitale veiligheid moeten komen, vind ik het aan de andere kant ook een beetje kansloos.
Bijvoorbeeld de OV chipkaart hack. Hackers roepen allemaal dat het zo onveilig en simpel te kraken was... Waarom heeft niemand dat dan gedaan in de 10-15 jaar lange levensduur van deze kaart. Tenminste tot het natuurlijk in Nijmegen wel gebeurde. Die mensen hebben recht van spreken, de rest "blaat" achteraf.
In de meeste gevallen is het zo dat extra beveiliging ook geld kost. In sommige gevallen weegt dat niet op tegen de fraude. Dus soms is het een keuze om een minder veilig systeem toch te gebruiken.
Neemt niet weg dat de Diginotar hack natuurlijk weinig met keuze te maken heeft. Dat was "gewoon" slechte organisatie.
Bijvoorbeeld de OV chipkaart hack. Hackers roepen allemaal dat het zo onveilig en simpel te kraken was... Waarom heeft niemand dat dan gedaan in de 10-15 jaar lange levensduur van deze kaart. Tenminste tot het natuurlijk in Nijmegen wel gebeurde. Die mensen hebben recht van spreken, de rest "blaat" achteraf.
In de meeste gevallen is het zo dat extra beveiliging ook geld kost. In sommige gevallen weegt dat niet op tegen de fraude. Dus soms is het een keuze om een minder veilig systeem toch te gebruiken.
Neemt niet weg dat de Diginotar hack natuurlijk weinig met keuze te maken heeft. Dat was "gewoon" slechte organisatie.
Sorry hoor maar dit is een non-argument, normaal gesproken wordt als er iets wordt gekraakt dit aangepast of niet meer gebruikt. Of het wordt in ieder geval afgeraden om het te gebruiken (bijvoorbeeld: md5)
Op het moment dat de chip voor de ov chipkaart werd gekozen was al bekend dat deze een bepaalde zwakheid had, in de 10 a 15 jaar daarvoor (bron??) was deze wellicht zwakheid nog niet bekend en was deze nog niet gekraakt.
Daarnaast is het altijd een slecht idee om gegevens alleen offline te controleren (ovchipkaart waar alle data op de kaart zelf staat) het hele probleem was niet aanwezig geweest als ze middels een simpele check online zouden kijken of de data op de chip daadwerkelijk overeenkomt met de data die online staat.
Les nummer 1 in beveiliging: Never trust user input.
Op het moment dat de chip voor de ov chipkaart werd gekozen was al bekend dat deze een bepaalde zwakheid had, in de 10 a 15 jaar daarvoor (bron??) was deze wellicht zwakheid nog niet bekend en was deze nog niet gekraakt.
Daarnaast is het altijd een slecht idee om gegevens alleen offline te controleren (ovchipkaart waar alle data op de kaart zelf staat) het hele probleem was niet aanwezig geweest als ze middels een simpele check online zouden kijken of de data op de chip daadwerkelijk overeenkomt met de data die online staat.
Les nummer 1 in beveiliging: Never trust user input.
[Reactie gewijzigd door gnu op 15 september 2011 20:22]
Even een nuancering: vanuit veiligheidsoogpunt wordt de OV-chipkaart natuurlijk gezien een flop. Voor een commerciële organisatie is het een zaak van kosten en baten. Er zijn waarschijnlijk maar weinig mensen die echt veel geld besparen door hun OV-chipkaart te kraken, en een betere beveiliging zou dit voorkomen maar netto kost het veel meer geld. Een lokale bakker beveilig je ook niet met 4 militairen, want het kost veel meer dan het oplevert. Niemand die zeurt dat je 'zomaar een kraak kan zetten bij de bakker en voor 100,- taart kan meenemen'.
Overigens is 'gratis' reizen helemaal niet zo gemakkelijk. Door het offline checken kan je je gehackte kaart maar één dag gebruiken en dus je moet steeds nieuwe halen. Wat mij betreft veilig genoeg voor het doeleinde.
Al was er natuurlijk nog genoeg andere kritiek op het nieuwe OV-systeem, zoals moeilijk overstappen, geen korting krijgen, etc. dus een goed systeem wil ik het alsnog niet noemen.
Overigens is 'gratis' reizen helemaal niet zo gemakkelijk. Door het offline checken kan je je gehackte kaart maar één dag gebruiken en dus je moet steeds nieuwe halen. Wat mij betreft veilig genoeg voor het doeleinde.
Al was er natuurlijk nog genoeg andere kritiek op het nieuwe OV-systeem, zoals moeilijk overstappen, geen korting krijgen, etc. dus een goed systeem wil ik het alsnog niet noemen.
[Reactie gewijzigd door bwerg op 15 september 2011 20:44]
@gnu
Jij zegt dat als iets gekraakt is het word aangepast of niet meer gebruikt. Dat klopt natuurlijk niet. We hebben bijvoorbeeld jarenlang bankpassen met een magneetstrip erop gehad. We hebben ook jarenlang strippenkaarten gehad. Van beide is allang bekend dat ze niet 100% veilig zijn. Dat heeft er echter niet voor gezorgd dat ze vervangen werden. Bij de bankpassen is het pas echt op gang gekomen toen de fraude in Nederland van minder dan 5 miljoen naar zo'n 40 miljoen groeide binnen 5 jaar tijd. Het gaat er niet om dat iets 100% veilig is, het gaat erom dat iets afdoende veilig is.
Wat betreft de mifare kaart: die is geintroduceert in 1994 en gehackt in 2007 (en pas compleet gehackt in 2009). Dat is dus in elk geval 13 jaar.
Jij zegt dat als iets gekraakt is het word aangepast of niet meer gebruikt. Dat klopt natuurlijk niet. We hebben bijvoorbeeld jarenlang bankpassen met een magneetstrip erop gehad. We hebben ook jarenlang strippenkaarten gehad. Van beide is allang bekend dat ze niet 100% veilig zijn. Dat heeft er echter niet voor gezorgd dat ze vervangen werden. Bij de bankpassen is het pas echt op gang gekomen toen de fraude in Nederland van minder dan 5 miljoen naar zo'n 40 miljoen groeide binnen 5 jaar tijd. Het gaat er niet om dat iets 100% veilig is, het gaat erom dat iets afdoende veilig is.
Wat betreft de mifare kaart: die is geintroduceert in 1994 en gehackt in 2007 (en pas compleet gehackt in 2009). Dat is dus in elk geval 13 jaar.
[Reactie gewijzigd door cire op 15 september 2011 21:15]
Die hack was ook pas gezet nadat Trans Link Systems een landelijke OV-chipkaart wilde introduceren en de hack is specifiek aan het systeem van TLS.Wat betreft de mifare kaart: die is geintroduceert in 1994 en gehackt in 2007 (en pas compleet gehackt in 2009). Dat is dus in elk geval 13 jaar.
Probeer maar eens een Engelse Oyster-card te hacken met een OV-chipkaart hack, dat gaat je gewoon niet lukken.
Werd ook wel eens tijd, dit soort zut gebeurt te veel. verbaasd me dan ook echt dat er nu pas een reactie uit de whitehats komt. Ministerie van ict?
Over het EPD gesproken, volgens mij zijn er al een shitload aan ziekenhuizen die gebruik maken van een electronisch registatie systeem, dat oproepbaar is op IEDERE pc daar, laten die mensen ook nog eens niet uitloggen (en systeem openbaar laten staan, keylogger zit er zo tussen). Ben voorstander van de als je niet wil luisteren, dan moet je het maar voelen, aanpak. Ik zie het als een gratis dienst, mensen die opletten, mensen die weten waar de gaatjes zitten, en ook gebruik maken van de laksheid als het gaat over gevoelige data (EPD/OV/DigiD). Volgens mij heeft 98% van de mensen in Nederland niet door, hoe makkelijk het is om aan iemands gegevens te komen, en medische gegevens zijn ook niet moeilijk. Ik heb het er eigenlijk helemaal mee gehad, heel internet, netwerken, etc. Als het gemaakt kan worden, kan het gehacked/cracked/ of gesocial engineerd worden. (Enige uitzonderingen daargelaten, maar dat zijn wel de technieken om te gebruiken)
Ach, het grootste beveilligingsrisico zit tussen monitor en stoel.
(Guess the Color off my Hat)
Over het EPD gesproken, volgens mij zijn er al een shitload aan ziekenhuizen die gebruik maken van een electronisch registatie systeem, dat oproepbaar is op IEDERE pc daar, laten die mensen ook nog eens niet uitloggen (en systeem openbaar laten staan, keylogger zit er zo tussen). Ben voorstander van de als je niet wil luisteren, dan moet je het maar voelen, aanpak. Ik zie het als een gratis dienst, mensen die opletten, mensen die weten waar de gaatjes zitten, en ook gebruik maken van de laksheid als het gaat over gevoelige data (EPD/OV/DigiD). Volgens mij heeft 98% van de mensen in Nederland niet door, hoe makkelijk het is om aan iemands gegevens te komen, en medische gegevens zijn ook niet moeilijk. Ik heb het er eigenlijk helemaal mee gehad, heel internet, netwerken, etc. Als het gemaakt kan worden, kan het gehacked/cracked/ of gesocial engineerd worden. (Enige uitzonderingen daargelaten, maar dat zijn wel de technieken om te gebruiken)
Ach, het grootste beveilligingsrisico zit tussen monitor en stoel.
(Guess the Color off my Hat)
[Reactie gewijzigd door Biersteker op 15 september 2011 20:31]
Volgens mij zijn de jongens op zoek naar werk... 
Maar even serieus... dit is toch wel de manier waarop het hoort, heel netjes. Dat is wat anders dan eerst je kraakje zetten, informatie stelen en publiceren en dan luid gaan schreeuwen wat je gedaan hebt en hoe dom de ander was.
Ik ben zelfs van mening dat onze overheid een voorloper moet gaan worden op dit gebied en dergelijke groeperingen omarmt om er zelf slimmer van te worden. Want niemand die je beter kan vertellen wat je fout doet dan de hacker himself. Daarom eigenlijk ook de grap... het is toch eigenlijk een soort van open sollicitatie.
Maar even serieus... dit is toch wel de manier waarop het hoort, heel netjes. Dat is wat anders dan eerst je kraakje zetten, informatie stelen en publiceren en dan luid gaan schreeuwen wat je gedaan hebt en hoe dom de ander was.
Ik ben zelfs van mening dat onze overheid een voorloper moet gaan worden op dit gebied en dergelijke groeperingen omarmt om er zelf slimmer van te worden. Want niemand die je beter kan vertellen wat je fout doet dan de hacker himself. Daarom eigenlijk ook de grap... het is toch eigenlijk een soort van open sollicitatie.
Neuh, die jongens hebben genoeg werk, de meeste hebben eigen bedrijven, developpen software of beheren systemen. De kennis die ze daarvoor nodig hebben hebben ze opgedaan door te proberen, te klooien, en out of the box te denken.
Die zelfde kennis zorgt er ook voor dat ze problemen met systemen zien, en waardoor ze na de eindeloze lijst van overheids faal nu eigenlijk wel klaar zijn met de gevaarlijke systemen die de overheid ons opdringt, of waarmee ze onze gegevens verwerkt.
Alleen als de overheid niet luisteren wil, tjah dan zit er niet veel anders op dan te laten zien wat er dan mis is, en dat naar buiten te brengen. Gelukkig valt dat gewoon onder de journalistieke vrijheden, mits die regels worden gevolgd (zoals de heer de Winter heeft gedaan met betrekking tot de OVchip kaart)
Die zelfde kennis zorgt er ook voor dat ze problemen met systemen zien, en waardoor ze na de eindeloze lijst van overheids faal nu eigenlijk wel klaar zijn met de gevaarlijke systemen die de overheid ons opdringt, of waarmee ze onze gegevens verwerkt.
Alleen als de overheid niet luisteren wil, tjah dan zit er niet veel anders op dan te laten zien wat er dan mis is, en dat naar buiten te brengen. Gelukkig valt dat gewoon onder de journalistieke vrijheden, mits die regels worden gevolgd (zoals de heer de Winter heeft gedaan met betrekking tot de OVchip kaart)
Eigen bedrijven... Software development? En dan niet geïnteresseerd om hun expertise te kunnen verkopen aan de overheid? Dan mogen het slimme hackers zijn... als dat zo is dan ben je iig niet zo'n beste ondernemerNeuh, die jongens hebben genoeg werk, de meeste hebben eigen bedrijven, developpen software of beheren systemen. De kennis die ze daarvoor nodig hebben hebben ze opgedaan door te proberen, te klooien, en out of the box te denken.
Op zoek naar 'werk' hoeft natuurlijk niet te betekenen in een baantje als systeembeheerder oid...Als die hackers kunnen aantonen wat er mis is, dan kunnen ze de gaten ook helpen dichten... dan zou ik JUIST de persoon willen zijn die daar aan verdiend. Anders geef je gratis het beste advies weg aan het eerst falende bedrijf met jouw kennis zijn bedrijf oplapt... Ze zullen dit toch niet doen uit puur patriottistische redenen?
Patriottisme lijkt me niet het juiste argument. Maar op zich betalen deze mensen bleasting en van die belasting worden dingen gedaan die overduidelijk de prijs niet waard zijn. Ik zou mij dan ook zorgen gaan maken als ik verstand van zaken had. Zeker als je hoort dat de overheid in essentie alle gegevens van alle burgers toegankelijk wil maken. Daar horen dus ook hun gegevens toe.
Uhm.... Govcert verstrekt al gratis advies....
Waarom niet meteen alle hackers in dienst van govcert?
Je gaat je haast afvragen of bepaalde "hackers collectieven" (ROFL) wel enig realiteitsbesef hebben.
Als je weet waar je het over hebt dan draag je inzake je voorbeelden meteen oplossingen aan, als je daar niet toe in staat bent, waar zeur je dan over?
En neen, zelfs als er bij GOVCERT 10.000 "1337" hackertjes rond huppelen zal dat Nederland niet veiliger maken. Het zal hooguit ten koste gaan van werkgelegenheid en daarmee weer gefrustreerde "blackhat" figuren introduceren.
Verder is het wel grappig om te zien welke voorbeelden ze mee komen aanzetten, terwijl de overheid legaal Amerikanen alle informatie over ons verstrekt.
Misschien eens tijd dat ook "hackers collectieven" (ROFL) dat niet de ambtenaren die projecten moeten aanbesteden (en diens competenties) het probleem zijn, maar de politiek het structurele probleem vormen.
Verder vraag ik mij af waar deze "hackers collectieven" (ROFL) waren toen wetgeving mbt aftapverplichting, bewaarplicht etc.. etc..
Los van het feit dat actieve "sponsor" bij één van de prominentere "hackers collectieven" (ROFL) een grote commerciële INFOSEC bedrijf is. Diens PDF reader was onlangs ook lek..
Waarom niet meteen alle hackers in dienst van govcert?
Je gaat je haast afvragen of bepaalde "hackers collectieven" (ROFL) wel enig realiteitsbesef hebben.
Als je weet waar je het over hebt dan draag je inzake je voorbeelden meteen oplossingen aan, als je daar niet toe in staat bent, waar zeur je dan over?
En neen, zelfs als er bij GOVCERT 10.000 "1337" hackertjes rond huppelen zal dat Nederland niet veiliger maken. Het zal hooguit ten koste gaan van werkgelegenheid en daarmee weer gefrustreerde "blackhat" figuren introduceren.
Verder is het wel grappig om te zien welke voorbeelden ze mee komen aanzetten, terwijl de overheid legaal Amerikanen alle informatie over ons verstrekt.
Misschien eens tijd dat ook "hackers collectieven" (ROFL) dat niet de ambtenaren die projecten moeten aanbesteden (en diens competenties) het probleem zijn, maar de politiek het structurele probleem vormen.
Verder vraag ik mij af waar deze "hackers collectieven" (ROFL) waren toen wetgeving mbt aftapverplichting, bewaarplicht etc.. etc..
Los van het feit dat actieve "sponsor" bij één van de prominentere "hackers collectieven" (ROFL) een grote commerciële INFOSEC bedrijf is. Diens PDF reader was onlangs ook lek..
Jippie, govcert verstrekt gratis advies! En wat heb je daaraan als lokale overheden zelf knutselwebsites gaan produceren en helemaal niet om advies vragen? Ofwel govcert doet het bijzonder slecht, ofwel govcert gaat niet over de meeste ICT-zaken (en ik vermoed dat laatste) want anders zou er niet zoveel fout gaan.
En ik vraag me af of je het verschil wel door hebt tussen 1337-hackertjes c.q. scriptkiddies en professionele hackers c.q. beveiligingsexperts. De security-afdeling van onze universiteit (en ik neem aan elke universiteit) doet ook wel eens aan professioneel en gecontroleerd hacken. En dat er een hackerscollectief is met een sponsor die een keer een lek in zijn software had zegt natuurlijk nul komma nul en is totaal iets anders dan structureel fouten maken, dat lijkt me duidelijk.
Verder verzoek ik je op je taalgebruik te letten want ik heb geen idee waar je zevende alinea over gaat.
En ik vraag me af of je het verschil wel door hebt tussen 1337-hackertjes c.q. scriptkiddies en professionele hackers c.q. beveiligingsexperts. De security-afdeling van onze universiteit (en ik neem aan elke universiteit) doet ook wel eens aan professioneel en gecontroleerd hacken. En dat er een hackerscollectief is met een sponsor die een keer een lek in zijn software had zegt natuurlijk nul komma nul en is totaal iets anders dan structureel fouten maken, dat lijkt me duidelijk.
Verder verzoek ik je op je taalgebruik te letten want ik heb geen idee waar je zevende alinea over gaat.
[Reactie gewijzigd door bwerg op 15 september 2011 20:49]
I Rest My Case.De security-afdeling van onze universiteit (en ik neem aan elke universiteit) doet ook wel eens aan professioneel en gecontroleerd hacken.
Was het maar één keer.En dat er een hackerscollectief is met een sponsor die een keer een lek in zijn software had zegt natuurlijk nul komma nul en is totaal iets anders dan structureel fouten maken, dat lijkt me duidelijk.
Centralisatie is het einde van innovatie. Juist hackers collectieven (al dan niet gesponsord) vormen een gevaar voor onze samenleving.
Denk je nu echt dat een govcert met 1 miljoen ambtenaren Nederland kan beveiligen tegen miljarden die lowlevel OS gebruiken op goedkope hardware?
Wintendo gehalte is te hoog en niemand die het zich boeit dat er maar een handje vol ICT ingenieurs per jaar hier van academische opleidingen afrollen ten opzichte van honderd duizenden in tweede en derde wereld landen.
Alleen al door kwantiteit zal geen enkele organisatie iets kunnen betekenen.
Verder zitten er bij govcert bij mij weten geen hackers. (iemand die tcp/ip stack of een os voor de lol heeft geprogrammeerd)
[Reactie gewijzigd door totaalgeenhard op 15 september 2011 21:33]
Juist hackers collectieven vormen een gevaar voor onze samenleving
Dan heb je geen idee hoe digitale beveiliging werkt. Zo werkt een deur met een fysiek slot, geen website.I Rest My Case.
Er zijn honderden miljoenen mensen met een internetverbinding, waarvan er misschien enkele honderdduizenden van weten hoe je min of meer een website kraakt (de meesten zullen hoogstens SQL-injecties kennen maar dat is vaak al genoeg). Een klein deel zit in Nederland en kan je aanpakken door ze op te pakken of iets dergelijks, de van de overgrote meerderheid heb je geen idee waar ze zitten. Er is dus helemaal niet effectief tegen hackers op te treden, individueel of als collectief. Het enige wat je kan doen is zorgen dat hackers er toch niet binnen komen want dan maakt het niet uit hoeveel het er zijn en waar ze zijn. Dat doe je alleen door te testen, dus "jezelf hacken" of een ander vragen dat voor je te doen. Als je geen voorstander bent voor software testen, dan neem ik aan dat je in een bejaardentehuis zit en nog nooit een computer aangeraakt hebt. Softwaretesters moeten onder andere een poging doen om een systeem om zeep te helpen, om er zeker van te zijn dat dat niet kan. Bij beveiliging is het niet anders.
Hoe denk je dat zij beveiliging testen? Dat kan maar op één manier en dat is hacken hoor. Ik zou eens op wikipedia opzoeken wat hacken eigenlijk is, veel mensen hebben het beeld van scriptkiddies die dingen stuk willen maken maar zo simpel is het dus niet. Als een fabrikant van fysieke sloten een testafdeling heeft, zijn dat toch ook geen inbrekers? Desondanks is het gewoon hun baan om sloten te kraken, puur om te zorgen dat de sloten er veiliger door worden. En sloten op websites van de overheid zijn essentieel, dus ook het testen ervan.Verder zitten er bij govcert bij mij weten geen hackers. (iemand die tcp/ip stack of een os voor de lol heeft geprogrammeerd)
[Reactie gewijzigd door bwerg op 15 september 2011 23:22]
"Hoe denk je dat zij beveiliging testen" nou denk ik eerder debuggen van het systeem..
easy ollydbg/windbg/ida gebruiken en alle processen nagaan waar een geheugen lek is. huppa heb je 0-day exploit..
(ja goed je hebt hex editor nodig en peid, file dumper.... maar dat is bij zaak)
het is gewoon kwestie van uit proberen..ik voer dit in 0x231451554 krijg ik een error of crashed het programma. bingo is zijn naam
..
easy ollydbg/windbg/ida gebruiken en alle processen nagaan waar een geheugen lek is. huppa heb je 0-day exploit..
(ja goed je hebt hex editor nodig en peid, file dumper.... maar dat is bij zaak)
het is gewoon kwestie van uit proberen..ik voer dit in 0x231451554 krijg ik een error of crashed het programma. bingo is zijn naam
..
Je hebt duidelijk iets te veel klokken en klepels gehoord.Los van het feit dat actieve "sponsor" bij één van de prominentere "hackers collectieven" (ROFL) een grote commerciële INFOSEC bedrijf is. Diens PDF reader was onlangs ook lek..
Foxit Software (Foxit Corporation) is even en heel ander bedrijf dan Fox-IT B.V., in Nederland gevestigd en één van de meest vooraanstaande experts op IT-security. Die maken ook geen PDF-readers, maar dat zijn echt beroeps-hackers.
Fox-IT is ook niet het enige bedrijf wat uit de hackers-collectieven is ontstaan. Je internet niet toevallig via XS4ALL? Welke website ben je op het moment aan het lezen als je mijn reactie leest? I kind of rest my case.
Had al eerder dit gezegd , mss dat nu de oogkleppen verwijderd worden dit al helemaal
nu dus een bepaalde nota al openbaar is
En omdat onze senaat op de appletjes lekker bij de tijd gaan zijn
Wel hoop dat er nu egt wat nadenk werk komt , ander zie ik Neeltje vaker onzin verkopen op het nieuws
"Net als het digi openbaar betaal vervoer , na aangetoonde fouten toch instemmen en zeggen dat het oplosbaar is
UVW ,de Belastingdienst en gemeente Amsterdam die miljoenen verneuken in de IT"
nu dus een bepaalde nota al openbaar is
En omdat onze senaat op de appletjes lekker bij de tijd gaan zijn
Wel hoop dat er nu egt wat nadenk werk komt , ander zie ik Neeltje vaker onzin verkopen op het nieuws
"Net als het digi openbaar betaal vervoer , na aangetoonde fouten toch instemmen en zeggen dat het oplosbaar is
UVW ,de Belastingdienst en gemeente Amsterdam die miljoenen verneuken in de IT"
De beste stuurlui staan aan wal
Schrijf ditzelfde nog eens maar dan in enigszins normaal, maar vooral begrijpelijk, Nederlands. Ik ken bakstenen die minder onzin uitkramen dan jij.En omdat onze senaat op de appletjes lekker bij de tijd gaan zijn
Wel hoop dat er nu egt wat nadenk werk komt , ander zie ik Neeltje vaker onzin verkopen op het nieuws
BTW als je daadwerkelijk achterlijk bent dan bij deze mijn excuses dat ik dat niet door had.
Iedereen denkt bij "creatievere middelen" meteen aan het ergste zeker? Dat idee krijg ik wel namelijk, terwijl ze wellicht hele andere ideeën hebben. De binnenplaats van het Hof lasertaggen, landelijke metro-advertentie op de omslag.... Kan van alles zijn.
Je hebt die niet toevallig stiekem al met Hxx overlegd of zo?De binnenplaats van het Hof lasertaggen...
Maar inderdaad, met 'creatieve oplossingen' bedoelt Koen vooral mogelijkheden om aandacht te trekken naar de media zodat de overheid op een gegeven moment wel genoeg vragen op zijn bord krijgt.
Het gaat dus NIET om een dreigement van 'als je nog altijd eigenwijs doet, dan hacken we je helemaal plat', maar meer om zaken als stiptheidsacties, ludiek protest en andere stunts om zo veel mogelijk de krant, radio en TV te halen. Het internet hoeven we het niet voor te doen.
Een mooi voorbeeld is de installatie van Blinkenlights Stereoscope in Toronto, waar het natuurlijk niet lang uit kon blijven voordat iemand een welbekend filmpje van Rick Astley door de hele stad heen liet schallen.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
