Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 176 reacties, 36.635 views •

De sites van circa vijftig gemeenten zijn zo slecht beveiligd, dat ze onmiddelijk offline moeten worden gehaald. Privégegevens van zowel burgers als ambtenaren zouden in het spel zijn. Het gaat onder meer om Beverwijk, Zeewolde en Landgraaf.

Iedereen die op het beveiligingsprobleem stuit, kan documenten inzien en aanpassen, meldt GeenStijl. Het zou mogelijk zijn om via een web-interface cli-commando's uit te voeren, waardoor het gehele bestandssysteem kan worden ingezien. Circa vijftig sites van vooral kleinere gemeenten zijn getroffen, waaronder die van Harenkarspel, Olst en Nijkerk.

De sites zouden op servers met een verouderde Windows-versie draaien, maar het is onduidelijk of dat de directe aanleiding voor de problemen is. Volgens Webwereld kan onder meer sessie-informatie van DigiD worden bekeken, waardoor een kwaadwillende zich bij DigiD als een andere burger zou kunnen voordoen. Ook zijn persoonsgegevens van ambtenaren zichtbaar, waaronder medewerkers van de politie. Bovendien kunnen back-ups van de complete omgeving worden gedownload.

De Vereniging Nederlandse Gemeenten heeft naar aanleiding van het probleem besloten dat de getroffen sites direct offline moeten worden gehaald. Sommige websites zijn al uit de lucht, maar onder andere die van de gemeente Beverwijk blijkt nog te werken.

Datalekje Webwereld en GeenStijl

Afbeelding: GeenStijl

Gerelateerde content

Alle gerelateerde content (29)

Reacties (176)

Reactiefilter:-11760172+1119+28+30
Moderatie-faq Wijzig weergave
Als ICT'er bij 2 middelgrote gemeenten vindt ik het toch weer jammer dat dit gebeurt is, echter als ik naar mijzelf of onze afdeling kijk kunnen wij hier uberhaupt niets aan doen... ( gelukkig staan wij trouwens niet in de lijst...) De websites van onze gemeenten worden namelijk gewoon door commercieele bedrijven onderhouden en gehost. WIj hebben als afdeling niets eens de mogelijkheid om uberhaupt beheer aan die servers te kunnen doen. Iemand plaatste bij GEENSTIJL een opmerking dat de goede ict'ers niet bij de overheid zullen solliciteren. Ik kan je vertellen dat niets minder waar is dan dit... Als ik naar onze afdeling kijk werken hier vrij goede ict'ers en ik durf te zeggen dat ik zelf ook een behoorlijke kennis heb en echt wel weet waar we het over hebben. Veelal gaan dingen mis wanneer zaken uitbesteedt worden en je er weinig tot geen controle meer over hebt... Helaas heeft dit vaak te maken met (overheids)managers die geen verstand van ict hebben en maar doen wat hun wellicht goed uitkomt,,,,,,, Ik zeg zelf heel vaak , luister nou eens wat vaker naar professionals ipv betweters.....
Ik vind dit wel typische afschuifcultuur.
Wij als "deskundige" ICT-afdeling kunnen hier niks aan doen omdat het uitbesteed is.
Heel zwak excuus.
Je keurt een website toch goed (of af).
Nee,
Wij als afdeling worden hier niet eens bij betrokken ( hoe graag wij dit wellicht ook zouden willen'. Ze laten liever een incompente webredacteur het voortouw nemen). Dus wat jij zegt gaat niet op.....
Inderdaad, je gaat met iemand in zee omdat je vertrouwen hebt in de zaak, zorg er dan ook voor dat dat vertrouwen niet alleen gebaseerd is op die aardige beheerder - of lieve lach van de secretaresse aan die kant.
Een standaard security-scan kan je met verschillende tools (of via betaalde services) doen. Op die manier ben je in elk geval de scriptkiddies voor ( die waarschijnlijk ook voor dit artikel gezorgd hebben )
Die kiddies zitten echt niet nachtenlang te hacken om 1 site neer te krijgen, nee die scannen het web af naar bekende gaten, ze proberen ze te misbruiken, als het lukt verzinnen ze er een moraal bij en brengen het naar buiten ( '' ik heb de site van slager jan op de hoek gehackt want ik ben tegen dierenmishandeling '' etc )
Je besteedt iets uit omdat je denkt dat externen het beter/sneller/goedkoper kunnen. Daar maak je contracten voor en daarin staat wie precies wat doet en waarvoor verantwoordelijk is.
Als ergens iets mis gaat en je verwijst dan naar dat contract is dat geen afschuiven, maar gewoon de afspraak.
Je besteedt iets uit omdat je denkt dat externen het beter/sneller/goedkoper kunnen. Daar maak je contracten voor en daarin staat wie precies wat doet en waarvoor verantwoordelijk is.
Als ergens iets mis gaat en je verwijst dan naar dat contract is dat geen afschuiven, maar gewoon de afspraak.
En bij mij heet dat gewoon: afschuiven.
Het doet er niet toe of het een "manager" is of de afdeling ICT. Oké als een manager, niet van ICT, ten onrechte een onveilige wegsite accepteert, is het niet de schuld van ICT.
Maar mij als burger maakt het gewoon niet uit of ambtenaar X of ambtenaar Y iets fout doet: fout is fout. En als je als gemeente naar een ander, al dan niet extern, wijst, schuif je de verantwoording voor aan jouw toevertrouwde gegevens (van burgers) af.
En dat vind ik niet terecht.
Ben het met je eens hoor, Privazie.
Ben zelf commercieel voor mijzelf, maar de beste ITers uit mijn kennissen kring doen het beheer op de VU, werken voor de ficus in Apeldoorn of zitten bij een middelgrote gemeente in het zuiden.

Probleem bij de commercielen ( die foute dan), is dat het te vaak om pure knikkers gaat.
Projectje wordt aangenomen, stagiair op gezet, niet gedocumenteerd of gecontroleerd.
Factuur voldaan? Niets meer aan doen tot de volgende evaluatie of liever migratie (=factuur 2). En uurlonen van boven de 90¤ durven vragen. Voor MBO-nivo klussen. No-Offence, maar dat mag geen 14K per maand kosten/opbrengen.
Windows in combinatie met het web blijft ongelukkig. Overstappen op Linux is teveel moeite, of er is te weinig kennis beschikbaar door bezuinigingen?
Het zou me zeer verbazen als al die websites door de gemeentes zelf gemaakt zijn. Er zijn een beperkt aantal spelers op de webdevelopmentmarkt die zich specifiek richten op gemeenten en andere overheidsintellingen, een daarvan zal wel een grandioze fout gemaakt hebben, wat nu bij al klanten de kop op steekt. Als ik de pagina's van Landgraaf en Zeewolde bekijk is het SIMgroep die hier op z'n spreekwoordelijke gat gaat.
Eigelijk wel vreemd, aangezien de SIMgroep in 2002 hun hele software heeft na gelopen en de nodige beveiliging hebben aan gescherpt. Zijn ze dan slordiger geworden.... Om hun target om een website in 1 week op te kunnen leveren (na ontwerp)
Sorry, wat zei je over Windows en het web?
nieuws: Hack Kernel.org treft systemen ontwikkelaars
nieuws: Linuxfoundation.org en Linux.com ook kwetsbaar voor hacks
nieuws: Hackers kraken servers Linux-kernel

Oftewel, elk systeem icm. het web kan gehacked worden als men niet oppast, niet alleen Windows.
Zoals al is opgemerkt heeft dat niets te maken met het besturingssysteem waar het op draait.

Wat jij zegt is net zo gek als de vermelding dat Windows zo lek is als een mandje omdat er een gat is gevonden in Photoshop. Het is erg jammer dat steeds meer tweakers (notabene!) een besturingssysteem of andere stukken software zo zwart* willen maken, terwijl het werkelijke probleem heel ergens anders ligt.

* Ik begrijp dat het je daar hier in bovenstaande reactie niet om te doen is, maar in andere gevallen komt het daar vaak wel op neer.
Ik denk dat Koeny eerder bedoelt dat bij Linux default alles uit staat en bij Windows default alles aan staat.
Default is Linux, in ieder geval Fedora, prima te "hacken", zelf als je niks op root draait. Dus dat is ook geen oplossing.

[Reactie gewijzigd door sdk1985 op 8 oktober 2011 23:50]

Ik zou fedora van z'n levensdagen ook niet ergens zakelijk inzetten. Heeft ~1 jaar security updates...

Fedora is een test omgeving voor Red Hat, leuk om wat spul mee te testen, maar dan houdt het ook op.
Daarnaast had dit niets met Windows of Linux te maken. Want of ik nou Windows of UNIX commandos vanaf een searchbar uit kan voeren, de mogelijkheden blijven hetzelfde.
Sorry, wat zei je over Windows en het web?
nieuws: Hack Kernel.org treft systemen ontwikkelaars
nieuws: Linuxfoundation.org en Linux.com ook kwetsbaar voor hacks
nieuws: Hackers kraken servers Linux-kernel

Oftewel, elk systeem icm. het web kan gehacked worden als men niet oppast, niet alleen Windows.
Sorry, wat zei je over Windows en het web?
nieuws: Hack Kernel.org treft systemen ontwikkelaars
nieuws: Linuxfoundation.org en Linux.com ook kwetsbaar voor hacks
nieuws: Hackers kraken servers Linux-kernel

Oftewel, elk systeem icm. het web kan gehacked worden als men niet oppast, niet alleen Windows.
De sites waren gehacked, Niet het hele systeem gecompromised.. :z
Veel kleine gemeenten bezitten geen grote IT afdeling. Zonder verregaande kennis is Linux vaak duurder in gebruik. Vanaf het MBO wordt er geleerd om met Windows te werken, het ligt dan voor de hand om daarop voort te borduren. Linux is dan wel schaalbaarder en mogelijk minder lek, maar het gaat meestal niet om een compleet serverpark ;)

Overigens geeft de afbeelding van bergambacht een nieuwe definitie aan het woord "lek". Het lijkt hier om een soort terminal commandowindow te gaan. Dat zijn toch zaken die over SSH of RDP horen te gaan in plaats van over HTTP. En dan ook nog niet beveiligd ook. Ik begrijp niet helemaal waar de IT-er die dit inrichtte met zijn hoofd zat.
Veel kleine gemeenten bezitten geen grote IT afdeling. Zonder verregaande kennis is Linux vaak duurder in gebruik. Vanaf het MBO wordt er geleerd om met Windows te werken, het ligt dan voor de hand om daarop voort te borduren. Linux is dan wel schaalbaarder en mogelijk minder lek, maar het gaat meestal niet om een compleet serverpark ;)
De IT-er bij een gemeente hoeft niet van een MBO school gekomen te zijn, zo heb ik dat ook op mijn werk (ik werk bij een ICT afdeling van een gemeente). Dat het door het MBO niveau komt (wat jij hiermee suggereert) is dus onzin. Het zit hem er in dat IT-ers geen kennis hebben van Linux en het daarom vaak afzijdig houden. Zo loop ik bij een intern project daar ook tegenaan, helaas. ;)
Overigens geeft de afbeelding van bergambacht een nieuwe definitie aan het woord "lek". Het lijkt hier om een soort terminal commandowindow te gaan. Dat zijn toch zaken die over SSH of RDP horen te gaan in plaats van over HTTP. En dan ook nog niet beveiligd ook. Ik begrijp niet helemaal waar de IT-er die dit inrichtte met zijn hoofd zat.
Dat zal die IT-er aan zijn derriere oxideren denk ik, die is waarschijnlijk allang vertrokken.
ik heb zo het gevoel dat er geleerd word vanuit het boekje, dat is op zich niet fout. maar vervolgens word er niet verder geleerd of gekeken dan dat.
het argument dat linux dit niet kan overkomen vind ik niet helemaal opgaan. als een webserver applicatie voor wat voor reden dan ook commando's toelaat op de server zelf dan werkt dat zowel vanuit windows als linux, de webserver applicatie heeft immers recht om die bestanden minstens te lezen en linux is echt niet slim genoeg om het verschil te detecteren tussen wat bedoeld is en wat net een stukje anders word gedaan dan normaal (je moet zelf aangeven wat wel en niet mag.).
wat ik echter wel raar vind is dat het webserver applicatie letterlijk commando's kan doorsturen naar het os.

daarnaast lijkt het motto op te gaan "als het maar werkt" zonder user input te checken. dit opent mogelijkheden voor sql injections en cross-site scripting (immers het os weet niet wat normaal is en een hack poging of toevallig een foutieve link is mits aangegeven. het OS is geen wonder middel.).

de meeste hacks zijn misbruik van geïnterpreteerde code (zoals www.zwahiliburger.zomg/here.asp?pagina=100
terwijl
www.zwahiliburger.zomg/here.asp?admincontrol=1
je op een pagina komt waar je admin ben zonder al te veel checken.

zo zijn er talloze mogelijkheden om simpel misbruik te maken van het systeem. (heel simpel uitgelegd en er zijn vele andere mogelijkheden mogelijk die niet gedicht zijn. ik hou het simpel).

je moet de vraag stellen hoe het zo ver kon komen? was het 0day hack? was het omdat er niet meer geleerd werd dan het boekje (denk aan een diploma halen en alleen weten wat er geschreven was en niets meer dan dat). kwam het door het OS? of konden ze er echt niets aan doen? het laatste lijkt me niet op gaan.

vaak is het gevoel dat als je niet direct deze dingen kan uitvoeren met de huidige pagina's dat het al genoeg is om het veilig te laten voelen (want de gene die iemand inhuurt om zo een pagina te maken zal het toch allemaal wel weten? (of de systeem beheerder zal het toch wel weten dan een web applicatie strikt alleen sommige dingen mag doen?)).

dit blijft gissen. ik heb zelf ook 0 experience hier mee maar heb alleen ~goede ideeën~ hoe het mogelijk werkt.
laat me alsjeblieft heel en geef onderbouwende argumenten, ik leer daar ook van.

[Reactie gewijzigd door Madnar op 8 oktober 2011 23:02]

Even voor mijn begrip ... ITer en geen verstand van Linux? En dan en passent ook maar even geen verstand van OS[x]?
Ok, Solaris, Free/OpenBSD etc etc zijn wellicht te exotisch voor WIndows beheerders.
Maar kom op zeg, je zelf IT er noemen en geen benul van systemen hebben die niet je dagelijkse business zijn? Hoe moet je dan ooit een klant adviseren of ze wel met het juiste systeem werken, als je niet weet wat de rest is/kan/kost?

Heb je ooit al eens een loodgieter gehoord die alleen knelkoppelingen doet?
Nee hoor, solderen, nooit gedaan, doe ik niet en ken ik niet!
Heb je ooit al eens een bakker gehoord die alleen bruin brood doet?
Nee mevrouwtje, voor witte puntjes moet U naar de overkant.
Heb je ooit wel eens van tuinmannen gehoord die alleen gras maaien?
Sorry meneer, voor het onkruid moet U die jongens van de Dorpsweg hebben.

Mijn punt is, als je je beperkt tot het doorklikken door install-wizards op NEXT NEXT NEXT FINISH, omdat dat nu eenmaal is wat je dagelijks wordt gevraagd, dan ben je geen ITers in hart en nieren. En zeker geen tweakert. Je hoeft niet blind op een terminal een centos of debian GUI-loze install te kunnen doen. Maar een beetje weten wat je met een CLI over SSH doet op een Linux bak. Kom op zeg. Zo moeilijk is dat niet.

[Reactie gewijzigd door jippe op 8 oktober 2011 22:36]

het merendeel van de bedrijven is 100% windows only en van degenen die nog andere OS-families gebruiken zit het merendeel ook nog met windows op hun clients én servers.

Jouw vergelijkingen raken dan ook kant noch wal en ik zou het eerder noemen dat je een fysica-leerkracht bent die geen aardrijkskunde, engels of godsdienst geeft. Ben je daarom dan plots de titel leerkracht onwaardig ? nee, dat noemen ze specialisatie, iets waar je je in de IT-sector op MOET specialiseren, want de tijd dat je van alles een beetje wist is al een jaar of 20 voorbij
Whow, dan stellen ze mijn begrafenis wel lang uit...
De arrogantie van jouw reactie dat iedereen die met legacy producten werkt "inferieur" is aan een verheven Linux/Unix adept (immers.. windowsbeheer is maar next, next, finish) is _erg_ kortzichtig. Juist een pro zal zich niet gauw met een OS inlaten wat niet door een organisatie wordt gesupport.

Hoe wil jij een SLA met je organisatie afsluiten voor servers met FreeBSD, Ubuntu ? Wat doe je als je met een probleem zit wat je niet snel kunt oplossen?

Nee Linux heeft nog een hele lange weg te gaan om professioneel ingezet te kunnen worden..

OT alsof iemand nog verbaasd kan reageren op de zoveelste ICT blunder bij de overheid...
Overheid, betaal je medewerkers een realistisch salaris zodat je goede mensen binnekrijg en laat projecten leiden door normale mensen. (niet de gesjeesde sociologen met "academisch werk- en denkniveau"
En wat doe je dan in geval van problemen met Microsoft ? Precies hetzelfde... zelf oplossen... De enige reden dat er voor supported platformen gekozen wordt is niet dat de support zo goed is maar dat de schuld van het probleem afgeschoven kan worden waardoor je safe bent met betrekking tot je SLA... Het is dan immers Microsoft zijn schuld...

Linux nog een lange weg te gaan voor het professioneel ingezet kan worden ? Dus zo'n beetje het grootste deel van internet is hobby ?? Je kunt eerder het omgekeerde zeggen, het is pas sinds kort dat je met goed fatsoen een Windows server aan het web kunt hangen... Dat het niet voor elk doel even geschikt is wil niet zeggen dat het niet professioneel ingezet wordt...

[Reactie gewijzigd door mxcreep op 9 oktober 2011 09:35]

nou nou, met MS kan je perfect een support contract afsluiten, en dan zullen ze je echt wel helpen. Je moet het dus niet allemaal alleen doen.
Voor linux kan je ook een support contract afsluiten (novel, redhat, ubuntu enz). Op elk operating system kan support gegeven worden.
Over het algemeen moet de eerste installatie goed opgezet worden, daarna is het alleen beheer. Dat moeten veel mensen gewoon kunnen doen, dat is echt geen rocket sience.

Pas op het moment dat er veranderingen, hardware of software, gedaan worden kunnen er problemen optreden. Dat is het tweede moment om (weer) goed te testen.

Ik denk dat de sites bij oplevering goed getest waren, maar na veranderingen aan de site niet goed gecontroleerd waren. Noem mij (en de overheid) maar naïef, maar ik denk dat een programmeur echt wel probeert om fouten te voorkomen. Het zou mis gegaan kunnen zijn bij QA. In mijn opinie hoeft het dus geen incompetentie te zijn van de overheid, maar van de onderaannemers. Helaas weet je 1 van beide achteraf.

Let wel ik ben maar een hobby programmeur en weet niet hoe serieus de industrie zelf is. Ik weet wel dat ik mijn eigen beroep een ethiek heb om geen rommel af te leveren.Uiteindelijk is dat stukje extra service en kwaliteit nodig om het als merk te overleven.
"Hoe wil jij een SLA met je organisatie afsluiten voor servers met FreeBSD, Ubuntu ?"
Nou, die zou je kunnen afnemen bij de bedrijven die voor deze software dat aanbieden. Ik weet niet wie dat voor FreeBSD is maar voor Ubuntu is dat bijvoorbeeld Canonical.
Nee Linux heeft nog een hele lange weg te gaan om professioneel ingezet te kunnen worden.
Deze zin is hilarisch en/of dramatisch ongeinformeerd, daar ben ik nog niet helemaal uit. Zoek eens op waar Linux tegenwoordig gebruikt wordt en kom dan terug. Een punt om te starten:
Linux snickers at Microsoft's victory declaration

[Reactie gewijzigd door 84hannes op 9 oktober 2011 12:32]

lol en dan hebben we het over nalatig? als je werkelijk niet eens de tijd neemt om te beseffen dat bedrijven als laten we zeggen oracle, redhat, ibm en ga nog maar even door, allemaal een linux sla kunnen aanbieden problemen kunnen oplossen met speciale vereisten voor jouw bedrijf (en dan ook nog eens op prijs kunnen concureren, waardoor je nooit aan kant kunt worden gezet, of een pootje geligt wordt?)...

zullen we dan ook niet vergeten dat waarschijnlijk 80% van alle infra in de wereld in ieder geval NIET op windows draait?

je laat daarmee gewoon duidelijk blijken geen enkel inzicht te hebben in grotere en betrouwbare ict projecten...
OT: T alsof iemand nog verbaasd kan reageren op de zoveelste ICT blunder bij de overheid...
Overheid, betaal je medewerkers een realistisch salaris zodat je goede mensen binnekrijg en laat projecten leiden door normale mensen. (niet de gesjeesde sociologen met "academisch werk- en denkniveau"
en dan ook nog eens populistisch gaan blaten tegen de overheid, net alsof 'een beter salaris' ineens zorgt voor betere prestatie, ... dan heb je naast gebrek aan ict kennis dus ook nog eens een gebrek aan kennis over marktwerking... de beste manier om mensen aan het werk te krijgen is door hun baan er vanaf te laten hangen... net als in een echt bedrijf dat zonder winst massaonslag niet kan uitsluiten...
Mijn voorkeur bestaat uit zowel Windows als Freebsd. Van Linux hoef ik niet bijzonder veel. Voornamelijk dat elke grote distributie echt anders is dan de rest. BSD is BSD en Windows is Windows (NT). Wat tien jaar geleden werkte, werkt op beide systemen nu nog steeds terwijl Linux de ellende creëert van breken. Samengevat is Linux tijdsgevoeliger. Upgraden ervan heeft grotere potentiële consequenties voor de continuïteit dan de 2 eerder genoemden. Je mag het zelf uitzoeken als een nieuwe kernel bepaalde "verbeteringen" doorvoert.

Wat ik heb ontwikkeld op FreeBSD 4.2 werkt perfect op FreeBSD 8.2. Mijn scripts voor NT4 doen het nog steeds op Server 2008 R2 ondanks de verbeteringen aan de commando's terwijll ik de ellende moest doorstaan voor linux 2.4 naar 2.6. Dát gaf mij (en mijn team) pas hoofdpijn.

Als we geen linux hoeven te gebruiken, werken we het liefst met BSD of Windows.

Alleen is het vervelend dat Windows 8 geen SUA meer zal kennen wat voor uiteindelijk het gevolg heeft dat we moeten opschieten met herschrijven van native code. (Niet mijn sterkste kant)
Die linux 2.4 naar 2.6 migratie is denk ik al een hele boel jaartjes geleden niet? Gebruik je vergelijkbare tools (zoals je onder freebsd gebruikt) onder linux dan kan ik het me moeilijk voorstellen dat dit zoveel hoofdpijn oplevert. Maar die transitie die ik dik 8 jaar geleden naar 2.6 meemaakte viel reuze mee.
Probeer maar eens een Centos installatie te doen en daarna hetzelfde te bereiken onder Ubuntu. Beide Linux maar het gat is verrassend groot. Zo zijn de bestanden die je moet aanpakken om je ethernet interface en netwerk te beheren totaal anders.

Iemand die 5 jaar ervaring heeft met Red Hat en daarna over moet stappen op Ubuntu of Suse (en visa versa) zal daar niet blij mee zijn. Er zijn gewoon verschillende stromingen in Linux, dat is niet erg, je kan gewoon bij je aanbieder blijven maar als je switcht van Red Hat naar Debian is dat vrijwel net zo lastig als switchen naar BSD of Windows.
Ja en neen. Inderdaad gebruiken die verschillende 'stromingen' (mooi woord trouwens hiervoor) soms/meestal eigen utilities in plaats van de standaard meegeleverde utils (adduser vs useradd enz).

Anderzijds blijft de core van het systeem wel hetzelfde. Als je apache wilt opzetten met verschillende beveiligde websites op 1 IP-adres, dan weet je dat je VirtualHosts moet gaan definiëren, certificaten moet genereren en de firewall opzetten om alle connecties behalve die op poorten 80 en 443 te blokkeren.

Je zal inderdaad moeten zoeken naar de juiste bestanden om dit te doen, maar als je weet wat er allemaal moet gedaan worden, dan is die zoektocht relatief eenvoudig. Het is net hetzelfde als je een voor jou onbekend systeem volledig moet gaan beheren, met dat verschil dat je dan uiteraard niet alleen apache, maar ook *tig andere packages moet gaan configureren...
leuke vergelijkingen enzo maar whatever, elke hobbyist kan een ssh verbinding opzetten, een systeem beveiligen en configureren is niet voor iedereen weggelegd.. en zeker niet in productie omgevingen waar meer komt kijken dan een LAMP installatie. dus ja; een gui loze installatie kunnen doen is wel aan te raden voor je basic skills, althans zo hebben wij dat geleerd

[Reactie gewijzigd door chocolade op 9 oktober 2011 00:15]

denk je nu echt dat ik een centos install kan dromen, zelfs bij debian weet ik het nog te verprutsen als ik 'het scherm' niet voor me heb... maar daar is zo'n scherm ook voor..

een beetje systeem ontwerper presenteerd je genoeg info om die install te laten slagen als je het principe RTFM maar volgt. - maar daar licht het vaak, de handleiding lezen doen we niet aan.... tja wat moet je dan nog zeggen?

er is werkelijk zooo enorm veel keuzes dat ik kan garanderen dat jij in een bepaalde usercase gegarandeerd de 'minder' optimale keuze maakt omdat je 'dat andere stukje software meer gewent bent... prima maar met een beetje inlezen had je het bijna zeker beter gedaan...

dat is iets dat je nog steeds niet op m en h bo leert, waardoor we over 10 jaar nog steeds met exact dezelfde problemen zitten als nu, enkel 3 windows versies verder.
Ik ben zelf een echte Microsoft dude... ik ken (zo goed als) niets van linux/unix/OSX/Solaris.
Maar ik erger mij meer aan mensen die een IT professional vergelijken met een hobbyist die enkel next-next finish kan doen. Dat het OS en de GUI bepaalde configuratie verdomd makkelijk maakt, betekent nog niet dat de beheerder weet wat hij doet.
Langs de andere kant ken ik genoeg "IT pro's" met degelijke *nix kennis, die met hun handen van mijn AD en mijn servers moeten blijven ;)
Dat noemt men expertise!
Je hebt gelijk, maar vergeet dat het zeer gemakkelijk is om in de windows-wereld aan een diploma te raken waarmee je net iets hoger staat (op IT-vlak) dan de gemiddelde manager en dus overal aan de slag kan.

En als IT'er volstaat het om aan de leek te zeggen: 'Dat, mijn beste, is technisch geheel onmogelijk' om vervolgens met rust gelaten te worden. Deze mensen trekken echte MS-admins met zich mee de dieperik in.

Ik heb het niveau tussen een prutser en een admin (ik beheer enkele kantoorpc's en een server, allen op Debian), en erger mij dood als ik die ene dag in de week op een bedrijfsnetwerk terecht kom waar men met een ploeg van 20 IT'ers er niet in slaagt om een aantal pc's te doen werken. Die helpdesk kent mij uiteraard niet en denkt dat ze mij kan sussen met een reboot...
Helaas met beiden niet eens.

Als systeembeheerder bij een kleine gemeente ga je juist dit soort zaken uitbesteden, omdat je breed inzetbaar moet zijn en je ook van jezelf weet dat je niet voldoende kennis hebt om zelf de site adequaat te beveiligen.

Reden 2 is dat je jezelf wilt beschermen door dit soort zaken uit te besteden. Als de beveiliging niet goed is dat dan aanwijsbaar de fout van de leverancier. In gemeenteland zijn vele bedrijven die pretenderen de benodigde vaardigheden WEL te hebben, uiteraard neemt dit niet weg dat je enige kennis van zaken moet hebben en zorgvuldig je leverancier moet selecteren. Helaas zie je dat het niet altijd goed gaat /kan gaan.

Er horen natuurlijk veel meer aspecten bij een verhaal als dit maar als, jawel, systeembeheerder bij een gemeente is het wel eens vervelend dat mensen pretenderen te weten hoe gemeenten hun zaken regelen, terwijl die criticasters wellicht technisch sterk onderlegd zijn. Dit geeft toch een vertekend beeld.
Err... ok.

Mijn ervaring is toch redelijk dat gemeentes iemand schokken om iets te installeren. Op dat moment is het wellicht veilig (of niet...), maar daarna kijkt er niemand naar voor jaren aan het stuk, passen de lokale beheerder (jij bijv. dus) dingen aan zonder medeweten van de leverancier omdat dat wel even handig is en vragen ze de leverancier eigenlijk nooit of het niet eens tijd wordt om die 2000 bak te vervangen omdat er vrij lang geen security updates meer voor uitkomen (die vaak niet eens geinstalleerd zijn, want de leverancier doet geen onderhoud en de lokale IT'ers blijven er vanaf (tenzij het ze anders uitkomt...) want het is niet 'hun' doos).

Zeg niet dat het bij jou zo gaat, maar zo gaat het vaak wel.

Veel bedrijven willen pas investeren (en externen kosten veel geld, zeker als je verantwoordelijkheid af wilt schuiven) als het nodig is. En wanneer het nodig is, is een heel vaag begrip in IT, zeker als je zelf niemand hebt die dat in kan schatten.
Zelfs al zou je niet veel van linux afweten, voor dit soort projectjes bij kleine gemeenten/scholen etc zijn prima alternatieven zoals bijvoorbeeld ClearOS, die bieden een standaard install aan die volledig vanaf het htpp te customizen is als ssh te moeilijk zou zijn (met goede security, al is vanaf het http aanpassen eigenlijk al een extra zwak punt je kunt dit makkelijk binden aan je local netwerk). Draait op de simpelste hardware, relatief veilig en je kan altijd terugvallen op ssh en is gratis met eventuel betaalde support. http://www.clearfoundation.com/

kom op zeg dit gaat echt nergens meer over, dat mag zich duidelijk niet ICT waardig noemen.

[Reactie gewijzigd door bartsidee op 8 oktober 2011 23:11]

En ook daar op zou een web based backdoor zoals in het artikel beschreven prima werken en alle goede beveiligings ideeen omzeilen,
Tuurlijk alles is altijd mogelijk en niks uit te sluiten.

Maar in het geval van Clearos is er wel erg goed overnagedacht om dit soort dingen te voorkomen.
Ja in windows ook. Denken ze.

Dat is nou net het probleem... Waarom zouden we ergens kennis van op doen of verder nadenken dan de wizard. Lui IT gedrag, oorzaak van heel veel ellende.
Agreed, en dit soort sytemen zouden zeker niet in veel organisaties passen. Maar er blijft een subcultuur en kleine mkb bedrijfjes, scholen, instellingen etc die nu eenmaal een klein budget hebben. Dan blijft een special custum linux distro (special hiervoor ontworpen en met auto update) alsnog beter dan een veroudere windows server naar mijn mening.

Uiteraard is de vraag of uitbesteden niet beter is in dit geval

[Reactie gewijzigd door bartsidee op 9 oktober 2011 10:21]

Zelf een server opzetten met Linux kan ieder persoon die dat ook met windows kan. Daar durf ik mijn hand voor in het vuur te steken.
Zelf een server opzetten met Linux kan ieder persoon die dat ook met windows kan. Daar durf ik mijn hand voor in het vuur te steken.
En zo dachten dus een aantal ITers van gemeentes. Dat doe ik zelf wel even. Als je de lekken ziet is het overduidelijk dat hier geen pro's aan het werk geweest zijn.

Iemand die 'een server kan opzetten' moet dat lekker doen voor zijn familie of voor zijn eigen verzameling oh oh cherso afleveringen. Zodra er gegevens van burgers op komen te staan moeten er professionals aan te pas komen en zou de site met regelmaat gecontroleerd moeten worden. Liever niet door GeenStijl want dan is het al veel te laat.
Maar ik kan het ook thuis, en wekelijks de updates draaien is een eitje, dit zijn geen pro's maar ook geen hobbyisten, dit zijn mensen die met tegenzin het minimale doen
Ligt daar niet precies het probleem... geen kennis aanwezig binnen de gemeentes. Waarom wordt zoiets niet landelijk geregeld, dat bespaart dit soort ellende omdat er dan budget genoeg is voor voldoende kennis en tevens scheelt het uiteindelijk enorm veel kosten ten opzichte van dat elke gemeente zelf een traject door moet om 'iets' online te krijgen...
Omdat, net als in zoveel overheidsinstellingen (denk ook aan zorg en onderwijs, beiden erg 'corrupte' sectoren) nagenoeg iedere friggin' management ambtenaar zelf denkt het het beste te weten en het op die manier uit wil voeren. Helaas houden ze rekening met die mensen en laten ze ze veelal hun gang gaan. Enigszins logisch ook, die mensen komen daar om dingen in te richten zoals het hun het beste lijkt en helaas hebben ze zo'n beetje allemaal een ander idee daar van. Het is gevoelsmatig ook erg prettig om je eigen ding te kunnen doen en ontwikkelen, wat er niet aan toe bijdraagt dat ze iets samen willen doen.

Zorg is hier een extreem voorbeeld van met name door de arts maatschappijen (die staan opzichzelf en werken als het ware voor het ziekenhuis welke hun moet faciliteren). Als ze een nieuw systeem willen wat beter is, is er altijd wel weer 1, of meerdere, van die maatschappijen (lees artsen met een ego / lui / andere zelfzuchtige reden) die niet over wil naar een nieuw/ander systeem omdat ie dan opnieuw moeten leren, het niet fijn vind waar een knopje zit of een andere veelal idiote reden. Die artsen gaan dan dreigen etc. en het management geeft toe, ze willen hun artsen niet verliezen (en ja er zit wel degelijk een enorm verschil tussen de ene arts en de andere en die ruil je dus niet zo makkelijk om).

Zo zijn er aardig wat ziekenhuizen die met verschillende systemen moeten werken om deze redenen. En dan ben je er nog niet, want er moeten dus koppelingen geschreven worden om die systemen aan elkaar te koppelen. Veelal maatwerk voor iedere situatie. En zorg is een niche markt en worden dus ook genaaid door de leveranciers kant.

Om je een voorbeeldje of 2 te geven, een collega van mij werkt in een ziekenhuis. Daar gebruiken ze een pakket voor EPD, netwerk draait veelal Novell, etc. Er komt een wettelijke wijziging, hierdoor *MOET* het EDP systeem bijgewerkt worden naar een nieuwere versie (om te voldoen aan de wettelijke wijzigingen). De fabrikant heeft dood leuk basis proxy authenticatie (je weet wel... zo'n beetje de enige universele standaard voor proxies die overal mee werkt) uit het pakket te gesloopt en besloten alleen nog maar NTLM authenticatie te ondersteunen.

Wat ga je doen? Klagen bij de ontwikkelaar? Dit is tot op directieniveau gebeurt (3x raden wie de etentjes e.d. kon betalen), vele gesprekken, etc. het komt NIET terug. Vervang je Novell netwerk maar is het antwoord, dan kun je wel met NTLM authenticatie uit de voeten... WTF?! (Vraag je je nog af waarom zorg zo duur is? Hier heb je een enorme oorzaak...). Je praat niet bepaald over het netwerk van tuinbedrijf Jansen met 14 werkplekken, je praat over 10.000'en werkplekken, de arogantie van zo'n leverancier is ongelooflijk. Je zou bijna de doodstraf opnieuw in gaan voeren :).

Zelfde met koppelingen, als er zo'n koppeling geschreven moet worden naar een EPD systeem kost dat 10.000'en euro's voor 1 dag werk. Ja 10.000'en euro's... ze moeten er immers ook support op geven (waar je dan veelal wel weer voor moet betalen...).

Zelf schrijven kan, maar dan verlies je *ELKE* garantie op je pakket...

En nu heb je dus zeg 3 systemen draaien, waarvan iedere leverancier zegt als iemand anders de koppeling schrijft (voor een bezopen hoog tarief...), vervalt onze garantie. En nou?

Heb ook nog voorbeelden genoeg uit het onderwijs... Heb ik zelf jaren gezeten. 1 v/d meest voor de handliggende is jaarlijks budget. Als je het niet opmaakt is het volgend jaar minder. Maar IT is veelal een investeringscyclus van 3-5 jaar. Gevolg, scholen maken ieder jaar het budget op met shit die ze niet nodig hebben, omdat ze anders gekort worden (dit is inmiddels terug gedraaid geloof ik).

Over het management daar kan ik ook nog wel een boekje open doen... Maar er is genoeg bekend denk ik.

Het wordt tijd dat de overheid veel gaat regelen. Ook in de zorg en onderwijs. Veel spul is daar standaard (bijv. iedere gemeente moet rijbewijzen en identiteitsbewijzen uitgeven, ieder ziekenhuis moet aan de EPD, ieder ECG/rontgen/etc. systeem in de zorg moet zijn gegevens in het EPD systeem zetten, etc.). Waarom ze in veel gevallen iedereen zijn eigen systeem laten verzinnen is dan ook onnozel tot op een niveau dat ik me echt afvraag waarom ik belasting blijf betalen. Ik heb er zelf veel meer lol van als ik het in de sloot flikker.

Zal niet zeggen dat het makkelijk is, want je hebt met zoveel legacy spul te maken, zoveel leveranciers en zo ongelijk veel bestaande systemen en dat is alleen nog maar de technische kant. De mentaliteit van alle mensen er om heen moet ook veranderen en mensen die op een troon zitten komen daar niet graag van af. Het is nagenoeg ondoenlijk, zo niet compleet ondoenlijk, maar het wordt steeds duidelijker dat het zo ook niet verder kan. Het is kapitaalvernietiging van de hoogste orde.

Dat wetende is een troonrede waarbij ze weer moeten bezuinigen, je weer meer mag betalen en er weer niet naar dit soort dingen gekeken wordt een erg zure appel. Hand in eigen boezem steken blijft lastig. Iedere ambtenaar vind hun werk te belangrijk en toegegeven als het zo zou zijn zou ik zelf ook niet snel toegeven dat ik overbodig ben of niet de juiste man ben of wat dan ook. Is ook kapitaal vernietiging :). Alleen in het bedrijfsleven is het veelal eigen geld en dan zit er meestal wel iemand boven je die het voor je besluit. De overheid heeft geen eigen geld en niemand ligt er dus wakker van.

Sorry voor het lange verhaal, niet alleen is het lang, het is ook bij lange na nog niet volledig... Het is dan ook niet gemakkelijk :). Waarschijnlijk zelfs zo moeilijk dat mensen die met de beste intenties in zo'n omgeving komen binnen 1, 2, 3 jaar zo vermoeid zijn dat ze het opgeven en maar onderdeel worden van 'het systeem'.
De landelijke overheid moet gewoon een platform bieden voor gemeentes die niet zelf een web-site kunnen of willen hosten (tegen kostprijs). Op die manier kan je er voor zorgen dat de zaak goed opgezet wordt tegen niet al te hoge kosten. En als je het als gemeente het niet goed doet, dan ben je verplicht op de landelijke site te hosten (kan wel met eigen url uiteraard). Zo zou het moeten, en dan natuurlijk de landelijke hosting ook met voldoende kennis en kunde opgezet. Dat laatste is waarschijnlijk nog het moeilijkste voor de overheid.
Op het MBO wordt er evenveel geleerd om met Linux te werken dan met windows
Ik zit zelf @ 2e jaar MBO 3, en ik heb hooguit 10 min. met Linux gewerkt. Je bericht gaat dus helaas niet op (of i.i.g. niet in mijn geval).
Hier ook misschien 1 les Linux gehad, en dan desktop.
Is Linux echt de heilige graal of zou het beter zijn om het beheer van gemeentelijke netwerken te centraliseren?

Netwerk beveiliging is een zeer ingewikkeld vak en dan nog zijn er weer "uberhackers" die gemakkelijk door de beveiliging heen breken.

De beveiliging in Linux systemen is ook niet per definitie waterdicht.

Verkrijgen van vertrouwelijke gegevens wordt steeds makkelijker lijkt het.

Google dit maar eens:
*knip*

Deze is een beetje meer on-topic:
*knip*

Of deze:

*Knip*

Etcetera, even zoeken levert heel wat informatie over allerlei vertrouwelijke zaken op als je een beetje creatief met Google bent. In deze documenten kom je soms ook zeer specifieke afkortingen, woorden en woordgroepen tegen die je met een nieuwe Google opdracht weer aan meer details helpen. Dat laatste geld natuurlijk ook voor andere documenten en pagina's.
Admin-edit:Laten we het vinden van dergelijke informatie niet té gemakkelijk maken. :)

[Reactie gewijzigd door Dirk op 9 oktober 2011 23:14]

True, google ook maar eens op: *knip*

Geeft genoeg links richting documenten wat misschien niet de bedoeling is, en soms zelfs backups van certificaten: *knip*

[Reactie gewijzigd door Dirk op 9 oktober 2011 23:17]

Sorry admin, je hebt gelijk. Ik zal dit soort informatie voortaan bewaren voor in de kapsalon ;)

Excuses voor de indiscretie.

[Reactie gewijzigd door E_E_F op 10 oktober 2011 10:35]

Dat ligt toch meer aan jou opleiding...... 11 jaar geleden ben ik ook begonnen met MBO wij kregen bijna net zo veel uit NIX systemen als Windows systemen ..... Of er schort van alles aan je opleiding of je moet een keer proberen niet in te slaap te vallen tijdens de les ;)

Ik ben trouwens wel van mening dat de opleiding van tegenwoordig echt om te huilen zijn, het niveau van de meeste studenten is zo laag dat ze eerste minimaal 1 á 2 jaar moet bijscholen voordat ze iets kunnen beteken ...... das trouwen niet alleen met MBO maar ook met HBO ..... ik vraag me echt waar ze heen gaan en wat die mensen daadwerkelijk doen als ze zeggen dat ze aan het studeren zij .....

[Reactie gewijzigd door herbalx op 10 oktober 2011 10:28]

Ik ben trouwens wel van mening dat de opleiding van tegenwoordig echt om te huilen zijn, het niveau van de meeste studenten is zo laag dat ze eerste minimaal 1 á 2 jaar moet bijscholen voordat ze iets kunnen beteken ...... das trouwen niet alleen met MBO maar ook met HBO ..... ik vraag me echt waar ze heen gaan en wat die mensen daadwerkelijk doen als ze zeggen dat ze aan het studeren zij .....
Ben het er helemaal mee eens, geef ook gelijk toe dat mijn opleiding nou ook niet echt was wat ik verwacht had. Wij hebben grotendeels project management gekregen. In verhouding veel minder echte IT vakken. Daarnaast was er slecht voorlichting over HBO waardoor ik dus niet daarvoor heb gekozen.

Om werkelijke iets aan de opleiding te hebben moet je een echte 'nerd' zijn en bereid zijn om thuis ook veel met IT bezig te zijn (en dan bedoel ik niet gamen, dat is GEEN IT).

[Reactie gewijzigd door jerheij op 10 oktober 2011 10:54]

Netwerkbeheer Niveau 4 krijgt in de 3e en 4e jaar assessments met linux distro's en firewalls vooor hun kiezen. Niveau 3 is natuurlijk een stuk lager qua opleidingsniveau.
Op mijn opleiding, 3 (laatste) jaar niveau 4, heb ik nog nooit te maken gehad met linux beveiliging, html/php enzovoorts.
Van linux beheers ik vooral de basiskennis, maar een echte professional zal ik niet worden, omdat ik dat gewoon niet op mijn CV kan zetten..
Zou ik toch even een andere school gaan zoeken, de meeste fatsoenlijke MBO's doen al 5 tot 10 jaar Linux opnemen in het onderwijs. Iedere HBO die dat niet doet, is achterlijk bezig.

Overigens ging het hier in dit geval niet om Linux vs Windows, want als deze incapabele systeembeheerders/webbeheerders een Linux systeem hadden gehad, hadden ze het ook op dezelfde manier weten te verkloten. Dit is gewoon een geval van de verkeerde mensen op de verkeerde plaats. Sterker nog, als je ze géén webserver weet te geven, zouden ze het nog verkloten. Dit toont gewoonweg aan hoeveel idioten er werken bij de gemeentes en hoe serieus de gemeentes hun taak wel niet nemen.
Inderdaad, wat de anderen al zeggen... Op MBO niveau 3 heb ik ook meer desktop versies gehad dan server...

Op niveau 4 (netwerkbeheer) heb ik veel meer met servers te maken gehad. Daarnaast, wegens wat tijdgebrek (schuld is aan MBO), heb ik projecten in Linux / Novel gehad en mijn Windows 'overgeslagen'.

Maarja, wat ik in een later comment ook las is dat je meer leerde van jezelf en ervaring (stage etc). Daar kan ik me volledig in vinden, hier ook het geval.
bekend verhaal, ict opleidingen op mbo niveau..daar moet je echt alles zelf leren, het papiertje wat je krijgt is niets waard behalve dat je wat windows dingetjes weet en een kabeltje kan knippen voor je netwerk haha.
gelukkig werkte ik meer dan dat ik op school zat en heb ik daar al mijn kennis opgedaan..
Vorig jaar werd er bij mij idd ook alleen maar Windows geroepen en dat je geen linux moest gebruiken omdat blah blah blah. Huidige school word ik vooral met MAC bekogeld.
Tekst gewist. Komt op verkeerde plaats.

[Reactie gewijzigd door LXFan op 9 oktober 2011 12:32]

Overigens geeft de afbeelding van bergambacht een nieuwe definitie aan het woord "lek". Het lijkt hier om een soort terminal commandowindow te gaan. Dat zijn toch zaken die over SSH of RDP horen te gaan in plaats van over HTTP. En dan ook nog niet beveiligd ook. Ik begrijp niet helemaal waar de IT-er die dit inrichtte met zijn hoofd zat.
Dat is niet "een soort terminal window", maar een fout in de code de betreffende web server (gokje: IIS?) of website die uitvoer van commando's mogelijk maakt. Dat is absoluut niet een "nieuwe definitie aan het woord 'lek'" en dit soort fouten worden al jaren gemaakt via -bijvoorbeeld- de Microsoft IIS and PWS Extended Unicode Traversal Vulnerability uit 2000 waardoor je directory listings op kon vragen (en allerlei commando's uit kon voeren) via dergelijke requests: http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
Via een vergelijkbaar commando kon je dus ook een ftp fetch starten op een server om malware binnen te halen en te installeren...

Dit soort fouten staat overigens los van platform (Linux, Windows, Solaris, etc) en kan overal gebeuren, maar hangt meer samen met slecht ontwikkelde web applicaties en in kleinere mate met vulnerabilities in de daemons (al ben ik zeker geen IIS / Windows fan en gebruik ik alleen maar Linux voor server omgevingen en ontwikkel ik op een Mac)...

Aangezien overheden meestal vrij log zijn zullen ze ook niet snel upgraden / updaten. Ik zou niet vreemd opkijken als dit een oude al lang opgeloste vulnerability betreft... Daarnaast zie je vaak dat de goedkoopste offerte de opdracht krijgt, en dat terwijl die goedkoopste offerte gemaakt is door een onervaren partij (lees: jongetje op de hoek dat ook een beetje kan html-en). Dan kan je beter iets meer betalen voor een ervaren partij: goedkoop is duurkoop.

Als je iets ontwikkelt moet je altijd nadenken over hoe hetgeen jij maakt misbruikt zou kunnen worden door derden, en maatregelen nemen die dat onmogelijk maken. Helaas is het veel te vaak zo dat ontwikkelaars daar niet goed over nadenken. Vaak gaat het dan om cross site scripting (xss) of sql injection, maar nog beroerder zijn onbeveiligde voorspelbare sequentiële ids. Ik heb vorige jaar nog een dergelijk Europees breed lek gevonden (en gerapporteerd) in één van de meeste gebruikte sites met miljoenen gebruikers.

Ik had een keer een sollicitant op gesprek met > 10 jaar werkervaring, maar zijn eigen site zo had gemaakt dat het center frame (ook al een aantal jaartjes uit den boze) via een url parameter werd geinclude: www.site.com/?my_center_frame=bla waarna blijkbaar bla.html werd geinclude. Indien je 'bla' wijzigde in /etc/passwd kon je gewoon zijn password file uitlezen. Drie keer raden of hij werd aangenomen ;) Ik had 't kunnen weten, een developer die in pak komt moet je sowieso niet vertrouwen :P

[Reactie gewijzigd door 4np op 27 oktober 2011 16:35]

Het is prima mogelijk om een windows server veilig te beheren.
Het gaast hier wel om Windows server 2003 die al wat ouder is maar dan nog zou dat veel veiliger moeten kunnen dan nu het geval blijkt te zijn.
Nee dat is het niet! Juist omdat windows zo veel gebruikt wordt er er dus voor hackers zoveel te halen is blijft het een platform waarvoor vele zero-day kwetsbaarheden in worden gezocht, gevonden en misbruikt. Bij ander os'en is dit gewoon minder.
Windows machines horen niet zonder hele goede firewalls aan het net te hangen en dan alleen met de gegevens (data) die nodig zijn voor hun functie.
Er hier hier nergens sprake van een zero-day vunerability. Argumenten verzinnen is vrij onzinnig.
Windows in combinatie met een lakse systeembeheerder is ongelukkig. Alles is goed (of afdoende!) te beveiligen, mits het personeel capabel is.
Ieder OS met lakse systembeheerders is ongelukkig,
Inderdaad, maar een beetje kennis linux is toch wel gewenst in de ict
Handig maar hangt sterk van je functie af of het noodzakelijk is. Als je enige honderden windows servers beheerd, wat moet je dan met Linux kennis? Goed voor algemene vorming maar verder...
Dan heb je een linux server nodig om alle backups op kwijt te kunnen. Dan heb je niet het probleem het terug zetten als alle servers door een zelfde worm besmet zijn. :Y)
Maar alle gekheid op een stokje. Uniformiteit kan goed en praktisch zijn maar er zitten ook nadelen aan want als er dan een gat zit in het OS geldt dat meteen voor alle installaties. Overigens is er bij de overheid wel eens streven om zoveel mogelijk open-source software te gebruiken (in de praktijk komt er niet zoveel van terecht, maar toch) dus in die zin zou je bij ICT voor overheid toch wel Linux kennis willen hebben.
Dan heb je een linux server nodig om alle backups op kwijt te kunnen.
Waarom moet je in een Windows-omgeving je backups kwijt op een Linux-machine??
Uniformiteit kan goed en praktisch zijn maar er zitten ook nadelen aan want als er dan een gat zit in het OS geldt dat meteen voor alle installaties.
Dat gaat dus ook op als je hele omgeving Linux-gebaseerd is.
[...]

Waarom moet je in een Windows-omgeving je backups kwijt op een Linux-machine??


[...]

Dat gaat dus ook op als je hele omgeving Linux-gebaseerd is.
Voor sommige zaken is linux beter.. database beheer, mail server etc...
Windows en web gaan best goed samen. Updates volgen blijft noodzakelijk en je moet wel weten wat je doet. Meestal zijn het de applicaties bovenop iis die problemen veroorzaken of bij installatie de beveiliing van iis naar beneden brengen.

Linux en web gaan namelijk net zo slecht samen. Heb Apache ook wel eens volledig open zien staan na bv een wordpress installatie, omdat dat lekker makkelijk was.
Linux en web gaan namelijk net zo slecht samen. Heb Apache ook wel eens volledig open zien staan na bv een wordpress installatie, omdat dat lekker makkelijk was.
Zeau, das lekker misgegaan dan. Ooit de famous 5 minute install gelezen?
Ik ben heel benieuwd hoe je zoiets voor elkaar krijgt om apache volledig open te zien staan?
Zie je dan een open sleutelgat+mooi grafisch doorkijkje ipv "IT WORKS"?


En tuurlijk: Windows en web gaan heel goed samen. Hoe groot is ASP wel niet in applicaties en intranetten land. Neem alleen alle Altiris omgevingen.
ik ben een paar keer bij het gemeentehuis van nijkerk binnengeweest voor m'n maatschappelijke stage;

ze draaien daar de pc's op windows xp met windows 95 look and feel met internet explorer 7. zelf meegebrachte usb's kun je niks mee want dat word allemaal uitgelockt.
edit:
dat van de usb's was trouwens volgensmij alleen als je met gastaccount inlogde


driekwart daar is volgensmij flink digibeet en weet netaan een word documentje te maken.
bovendien word er gevraagd waar het geld vandaan gehaald moet worden als ik een upgrade voorstel.

(NB: het was vorig jaar, toen zat ik in havo 4)

[Reactie gewijzigd door gotomtom95 op 8 oktober 2011 21:40]

Is bij elke gemeente zo, ik ken sommigen die nog op IE6 draaien.
Niks mis mee, zolang het helemaal dicht staat, goed wordt beheerd en wellicht een speciaal doel dient.

Ik ken een ziekenhuis dat LAB uitslagen met een webserver intern serveert.
Dat systeem is nooit verder door ontwikkeld voor IE7 +++. Om over Mozilla, FF Saf en Opera nog maar te zwijgen. Maar het wordt wel goed ge-managed.

Echt surfen doen de gebruikers daar op FF6.

Dat het inmiddels wel end-of-life is en er moet worden voorbereid op XP->>?? migratie is ook al duidelijk. Dus die web-applicatie moet daar ook onder het mes.

Punt: ik denk dat je zelf nog wel een W2K server hier en daar in netwerken zult zien, incl W2K Pro werkplekken ( toch wel ooit het stabielste OS op de werkplek). Het hoeft niet per definitie onveilig te zijn of non-functioneel.
Dan is er wel wat mis. En wel met de mentaliteit en de veiligheid. IE 6 is goed exploitable en als er maar 1 link in die webserver extern gaat kan ik ermee het internet op. Hoe goed je hem ook dichttimmerd het is niet voldoende.

Microsoft zelf probeerd het al jaren in iedereens hoofd te timmeren maar er zijn altijd wel lakse reacties. Check anders http://www.ie6countdown.com/ eens en sla die luie ziekenhuis dev-ers eens.

Het is dus inderdaad end-of-life. Wat wil dat zeggen? JE BENT TE LAAT! Migratie scenario's hadden al lang opgemaakt moeten worden en problemen zoals deze hadden al lang opgelost moeten worden. Zoals je weet is het niet mogelijk om IE6 op Vista of 7 te draaien waardoor de webapp eerst gefixed zal moeten worden. Ik kan je op een briefje geven dat dit nog wel enige tijd duurt voordat het is omgeschreven. Met andere woorden: JE BENT VEEL TE LAAT! tegen de tijd dat je met de OS migratie bezig gaat. Ow, wacht waarom niet gewoon wachten op Windows 8.... Dat is natuurlijk de strategie..

Dit soort ondernemingen leren het nooit anders dat de hele bende plat gaat door een storing. En dan moet hals over kop alles veranderd worden. Ik heb wel een aantal keren meegedraaid in deze stressvolle "duidelijk dat het toch niet haalbaar is" klote klussen.

En JA, Windows 2000 is per definitie onveilig. Het is een 11 jaar oud OS met meerdere exploits die nooit meer door MS gepatched zullen worden. Mensen die je deze mening hebben gegeven maken de hele beveiligings industrie aan het huilen :'(

Ik hoop (ik gun het je niet) dat een klein virus de non-essentiële computers van het ziekenhuis platgooit zodat ze wakker worden. Wie weet wat er kan gebeuren als essentiële systemen plat gaan....Even geen LAB uitslagen voor mevrouw in kamer E155 met uitzaaiende kanker?
ze draaien daar de pc's op windows xp met windows 95 look and feel met internet explorer 7.
Want Windows XP klassiek (zo heet het thema) werkt zó verschrikkelijk slecht natuurlijk... ;) Je doet nu wel zo denigrerend over gemeentes "Want ze gebruiken nog Windows XP!!!!111einzeinzeinz" (zo komt het nu iig over), maar bedrijven zelf hebben ook lang genoeg op Windows NT gezeten. Ik heb ook werk gedaan bij KLM, waar ik werkplekken moest inventariseren, voor een migratie naar XP, dat was in dezelfde periode als waarin de gemeente waar ik nu bij werk overstapte naar XP. Your point being?
Stel je voor ze draaien in de luna theme, raken ze in paniek want waar is het toch allemaal gebleven!!!111einzeinzeinz.. Ze hebben een blauwe maandag een cusrus microsoft word gehad... Als je ze af en toe zie werken met de pcs krijg ik er huilbuien van :X
Als je ze af en toe zie werken met de pcs krijg ik er huilbuien van
Totdat je deze ooit gezien hebt:
http://www.youtube.com/watch?v=W8_Kfjo3VjU

Helemaal uitkijken!
Bij mijn baas hebben we ook nog Windows XP. En dat is een hele grote toko die high tech machines maakt voor Intel, AMD, TSMC enzo. En feitelijk is er niks mis met XP.
zelf meegebrachte usb's kun je niks mee want dat word allemaal uitgelockt.
En dat vind je een SLECHT idee? Meegebrachte sticks zijn een enorm veiligheidheidsrisico omdat je eerst defensie (de firewalls) dan al omzeilt zijn!

Kan me dus best voorstellen dat men een havo 5 leerling die met voorstellen komt terwijl die met zijn USB key loopt te zwaaien met enige argwaan bekijkt.
Windows in combinatie met het web blijft ongelukkig. Overstappen op Linux is teveel moeite, of er is te weinig kennis beschikbaar door bezuinigingen?
Ik betwijfel of dit ook maar in enige mate te maken heeft met Windows. Het lijkt erop dat een developer van een CMS dacht dat hij slim was door shell-toegang via een webinterface te bouwen - dat gaat ook mis als je zoiets in Linux doet. Blijkbaar niet gehoord over RDP of SSH of wat voor remote management systemen je ook maar hebt.
Ik vraag me toch af waarop je mening gebaseerd is, heb je cijfers, nieuwsberichten, dat soort zaken?
Veel 'ge-hack' in het nieuws de laatste tijd , en volgens mij zijn juist de unix-achtigen vaak de klos (hacker X verkrijgt root toegang op systeem X , hacker misbruikt lek op apache server van site X, laatst problemen op de servers met de linux kernel source nota bene! ) - even los van wat dit dan met het OS te maken heeft :)

Volgens mij is een windows web-omgeving minstens zo veilig als een linux-omgeving, veiligheid wordt volgens mij bepaald door degene die aan de knoppen zit (de developer en\of de beheerder)


Mag duidelijk zijn dat ik in de baas zijn tijd voornamelijk op Windows web-omgevingen zit te werken :o

[Reactie gewijzigd door Thijs_ehv op 8 oktober 2011 23:58]

Wat een onzin, een slecht beheerde linux is net zo lek als een slecht beheerde windows. Het platform is maar zo veilig als zijn beheerder.
een niet gepatchte linux is net zo kwetsbaar en gevaarlijk.
Het ligt hier niet aan het os maar aan het beheer.
Toch bijzonder dat ondanks de grote (media)aandacht voor veiligheid (en er zelfs een brief naar gemeenten is gestuurd), het toch dus niet genoeg is geweest. Dit lijken erg basic fouten die gemaakt worden en op grote schaal. Ik ben benieuwd naar de verklaring van de (technisch) verantwoordelijken.

Wel goed dat GeenStijl en Webwebwereld, niet de meest logische vriendschap, hierin samen optrekken.

@koeny 3: Erg gratuit om het besturingssysteem de schuld te geven. GeenStijl geeft aan dat er een verouderde Windows-versie draait (maar laat details daarover helaas achterwege).

[Reactie gewijzigd door StephanVierkant op 8 oktober 2011 20:37]

de gegevens die op de screenshots te zijn zijn geven aan dat het gaat om NT 5.2.3790 (en dat is Windows 2003 Server SP2. het lijkt me te kort door de bocht om te zeggen dat dit een verouderde versie is. Windows 2003 Server is nog steeds onder support van MS...

Overigens draaien de genoemde sites die nog wel online zijn, niet op dezelfde server als de openstaande Windows Servers, maar op een argeweb.nl host die op linux/BSD draait

.:edit:.
alle sites/cq de fysieke server waar de sites op draaiden is inmiddels niet meer bereikbaar (62.148.161.4), het lijkt er dus op alsof er in ieder geval iets gebeurd. De genoemde sites die op een *nix/BSD omgeving staan zijn nog wel bereikbaar

[Reactie gewijzigd door MMaI op 8 oktober 2011 21:08]

Het zijn W2k3 servers. Maar zo te zien heel slecht beheerde servers.

[Reactie gewijzigd door hAl op 8 oktober 2011 21:04]

Het zijn W2k3 servers. Maar zo te zien heel slecht beheerde servers.
worden ze wel beheerd en gepatched vraag ik me af...
Of zit de beheerder 8 uur lang koffie te lurken en als help desk een beetje de ambtenaren te helpen
Als gezegd wordt dat Windows niet het beste OS is om een webserver op te draaien klopt dat. Ik neem aan dat we het daar over eens zijn? Dan begrijp ik de keuze van de beheerder van de site nog steeds niet. Waarom heeft hij nooit geüpdatet?

Edit:
En die -1 is nergens voor nodig. Het is een reactie op het statement van Stephan4kant die nog ontopic is ook.

[Reactie gewijzigd door koeny 3 op 8 oktober 2011 21:13]

Ik draai zelf alleen maar Centos en debian webservers. Ben geen fan van MS IIS. Maar stempel jij dan meteen alle ASP appz in deze wereld af omdat IIS niet zou werken als webserver?
Vertel dat maar eens aan KPMG, Shell, PWC etc etc. Ook allemaal lek brak en traag?
Nou ja zo vreemd is dat toch niet, het spreekwoord 'ambtelijke molens malen langzaam' is er niet voor niks. Eer dat de brief in het juiste postvakje ligt, er akkoord is voor verandering + budget, dan zijn we zo maanden verder....
Is niet zo slecht, alleen erg nadelig in deze situatie.
Waarom slaan gemeentes de handen niet in een om hun websites centraal te regelen? De content is grofweg overal hetzelfde, dus dat moet niet zo heel lastig zijn. En bovendien kan het kosten besparen lijkt me :)
Het lijkt erop dat al deze sites door 1 enhetzelfde bedrijf geleverd worden. Ze werken dus al samen. Maar als je het samen bij een minder goede partner neerlegt dan zit je, allemaal met de gebakken peren.
Zo iets moet je niet centraal willen regelen, dat moet je lekker lokaal doen (denk aan het mislukken van het centrale politie systeem, EPD. Veel te veel haantjes of onkundige mensen die zich er per see mee willen of moeten bemoeien ) .

Wat je wel centraal moet regelen/afspreken is een keuringsinstantie die een website valideert op veiligheid/robuustheid/snelheid.
Vandaag ook nog:

$ nmap www.beverwijk.nl

Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-09 10:21 CEST
Interesting ports on host-91-200-50-51.argeweb.nl (91.200.50.51):
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https

Nmap done: 1 IP address (1 host up) scanned in 45.58 seconds
$

De site wordt gehost op BSB machines:
Argeweb B.V. 91.200.50.51 FreeBSD Apache 8-Oct-2011

Tja,... om bovenstaande samen te vatten: er is niet één oorzaak. Het gaat uiteindelijk om
kennis en verstand van zaken. Veel mensen, met name de niet-technici denken dat
iedereen een site kan maken en beheren, want "hun neefje kan dat ook". Dit is fout 1.
Fout 2 is dat de technici er niet in slagen het probleem uit te leggen aan de niet-technici, waardoor er geen aandacht en geld beschikbaar komt.

Het probleem van de 50 gemeentes helpt om de juiste aandacht te krijgen.
Want twee poorten, beiden bedoeld voor website gebruik, open is alarmerend hoe?
Ik zie even niet hoe een open poort 80 (http) en 443 (https) hier relevant zijn :?
Beverwijk is ook niet lek.
Die hebben al sinds mei 2011 een andere nieuwe website.

En bijvoorbeeld de gemeente Sevenum bestaat niet meer (=onderdeel van Horst aan de Maas). De Sevenum site verwijst al geruime tijd naar de site van de gemeente Horst aan de Maas.

Vreemde verouderde informatie dus in diverse gevallen

[Reactie gewijzigd door hAl op 9 oktober 2011 13:25]

Waarom geven jullie de schuld aan windows, het is niet zo lek als een mand, in linux of mac os zitten net zoveel bugs. Juist omdat windows op grote schaal word gebruikt is het interressant voor hackers om windows te kraken, en daarom worden er meer ingangen gevonden.

Overheid zou hier toch een miljoen moeten reserver om het te verhelpen.
Niet geheel waar, dat Linux of Mac net zoveel bugs hebben.

Er wordt meestal uitgegaan van 6 bugs per 1000 regels code. De linux kernel is zelf 13.5 miljoen regels, dus zo'n 13 500 * 6 bugs = 81 000bugs totaal. Windows Sever 2003 heeft 50 miljoen regels, dus 50 000 * 6 bugs = 300 000. Zijn er toch best wel wat meer dan in linux. Natuurlijk is het ook zo dat elk programma wat je er dan nog opzet ook weer risico's met zich mee brengt, maar we hadden het toch over het OS waar het opdraait?

Wiki (bron)

Daarnaast heb je natuurlijk ook nog het feit dat iedereen kan bijdragen aan de sourcecode van Linux en dat ook iedereen die kan lezen. De kans dat fouten worden gespot is groter en verbeterd is daardoor groter, je kunt immers zelf opzoeken waar het fout gaat en hoe je het eventueel op kan lossen.
De fout dat 'verkeerde' mensen de fout spotten is natuurlijk ook een stuk groter ....
Vergelijk je nou een kernel meteen compleet OS ?
Vergelijk je nou een kernel meteen compleet OS ?
Denk dat het de linux kernel vs windows kernel bedoelt , aangezien windows kernel natuurlijk wat meer hardware ondersteund dan de linux kernel.
en Windows is wel meer dan 50 million code regels .. daar heb ik geen rekenmachine voor nodig
indows 2003Sp2 met IIS 6 is echt wel veilig als je em default installeerd, er zijn geen kritieke lekken gevonden in IIS 6, dit lijkt sterk op een applicatie (CMS) error
ik vermoed dat het cms geleverd wordt door www.simgroep.nl als ik de verwijzingen in de bron code van gemeente litenseradiel bekijk
Idd.
En onthoud die naam van het maatpak op de foto bij dit artikel:
http://www.simgroep.nl/in...meente-bernheze_5101.html

Als die gast nou gewoon lekker zijn maatpak bij Oger had laten hangen en geld had uitgegeven aan echte IT-ers, dan was er wat minder imago-schade geweest.

Want dit nieuws wordt er weer zo een van:
Overheid en IT? Dat gaat nooit samen.

Thx Isa.
Zo simpel ligt het helaas niet. Voor veel normale (kleine) sites is het in de praktijk doorgaans zo dat men het dichstbijzijnde (via-via bekende) webdesignbureau opbelt en, als die een redelijke prijs vragen, krijgen ze de opdracht wel.

Websites voor gemeenten zijn andere koek: daar moeten meerdere partijen een "eerlijke" kans krijgen op de opdracht. Dat stelt dus ook gelijk hogere eisen aan je vertegenwoordigers en presentatie. Als je concurrenten strak in pak aan komen zetten en jij loopt er bij in een vale spijkerbroek en T-shirt maak je bij veel mensen een minder goede indruk en verlaag je daarmee de kans dat je de opdracht binnenhaalt.

Daarnaast schuif je nu wel heel erg makkelijk de schuld af op de IT'ers: doorgaans zijn de back-end lui prima op de hoogte van wat er wel en niet kan of verstandig is - je moet wel, als je beunhazen in dienst hebt blijf je niet lang bestaan. Hetzelfde kan helaas niet altijd beweerd worden over managers, die ongetwijfeld terecht door hun jarenlange ervaring zitten op de plek waar ze zijn, maar in mijn beperkte ervaring niet altijd evengoed om kunnen gaan met internet en ICT. Combineer dat met een IT'er die niet zo goed uit kan leggen waarom iets beveiligingstechnisch een erg slecht plan is en je krijgt eisen vanaf hogerhand die je eigenlijk liever niet uitvoert - maarja, de baas / verkoper heeft al aan de klant toegezegd dat het kan, dus dan moet het maar.

Mind you, dit is wel van dergelijke stupiditeit dat het me ook niet helemaal zou verbazen als er echt gewoon een beunhaas achter zat :+
Het advies is hier al eerder in een andere vorm gesuggereerd: laat de VNG een portal bouwen, met de juiste beveiliging, die ook up-to-date wordt gehouden, en verplicht alle gemeenten hieraan deel te nemen. Een gemeente kan alleen onder de verplichting uitkomen als het aan bepaalde voorwaarden voldoet:
* aantonen dat de noodzaak bestaat om niet deel te nemen;
* beveiliging;
* bepaalde graad ven dienstverlening;
* ...

Een gemeente moet wel gek zijn om er niet aan deel te nemen:
* betere site;
* betere beveiliging (altijd up-to-date, 7*24);
* betere dienstverlening naar de burgers;
* lagere kosten;
* ...
Een gecentraliseerde portal? Single point of failure? elke gemeente met eigen legacy systemen? Verschillende dienstverleningen per gemeente?
Dat krijg je dus absoluut NOOIT voor elkaar.

Wat wellicht een beter idee is: VNG maakt een checklist waar de beveiliging aan dient te voldoen. Eventueel zou VNG audits op de sites kunnen uitvoeren. En daar gemeenten verplicht aan mee te laten doen.
dat hoeft nog niet te impliceren dat er een single point of failure is.

Kijk maar naar bv de internetbankieren site, die draait echt niet ergens op waar een single-point of failure te vinden is.
De gemeente noorderkoggenland bestaat al geruime tijd niet meer, dat is gemeente medemblik geworden.
Dus dat de oude site niet meer onderhouden wordt lijkt mij niet meer dan logisch, dat de site nu uit de lucht is... (had tot de ontdekking waarschijnlijk nog geld ¤¤¤ gekost om on-line te houden...)

[Reactie gewijzigd door tikimotel op 8 oktober 2011 22:16]

Dat domein heeft vanaf 2007 verwezen naar medemblik.nl, maar misschien is de oorsponkelijke site nooit ontmanteld en staat deze er nog.
belachelijk dat je op de site van bijvoorbeeld Beverwijk (genoemd in het artikel als onveilig) kunt inloggen. Je wordt niet gewaarschuwd of wat dan ook. Erg kwalijk dat de overheid niet snel ingrijpt bij dit soort grote lekken.
DE overheid bestaat niet. Er zijn wel de rijksoverheid, de provinciale overheden en zo'n 400+ gemeentes.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True