Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 59, views: 26.273 •
Submitter: Passeridae

Minister Plasterk van Binnenlandse Zaken heeft tijdens een werkbezoek aan de Academie voor ICT en Media aan de Haagse Hogeschool studenten twee overheidssites laten 'hacken'. Volgens Plasterk zijn studenten nuttig bij het opsporen van kwetsbaarheden in overheidssites.

De studenten aan de opleiding Information Security Management hadden toestemming gekregen om de mailserver van de gemeente Haarlemmermeer en een server voor de public key infrastructure van de digitale overheidsdienst Logius na te lopen op mogelijke kwetsbaarheden. De server van Logius wordt onder andere gebruikt voor de ssl-certificaten van overheidssites.

Tijdens de 'hacksessie' zouden geen kwetsbaarheden zijn gevonden, maar de studenten kregen geen volledige vrijheid voor het 'ethisch hacken' van de twee overheidssites. Zo mocht er niet aan de 'achterkant' gehackt worden waardoor er niet is gezocht naar minder zichtbare lekken, zo meldt opleidingscoördinator Leo van Koppen in de Volkskrant.

Minister Plasterk van Binnenlandse Zaken liet tijdens het werkbezoek weten dat in zijn ogen studenten uitstekend ingezet kunnen worden om kwetsbaarheden in overheidssites bloot te leggen, omdat zij met een 'frisse blik' tegen de beveiliging aankijken. Ook doen zij praktijkervaring op en de overheid krijgt waardevolle adviezen om de beveiliging aan te scherpen. Wel wijst de minister erop dat hacken nog steeds strafbaar is. Minister Opstelten van Veiligheid en Justitie bekijkt of white hat-hackers die veiligheidsproblemen aankaarten meer speelruimte kunnen krijgen.

Reacties (59)

Ben wel benieuwd waarom ze niet via de 'achterkant'' mochten proberen.
Dat is bij bedrijven niet ongebruikelijk. Een aantal studenten, ook al zijn zij competent en ethisch bezig, zomaar los laten lopen in je netwerk brengt risicos (in de vorm van schade / bedrijfsverstoring) met zich mee. Daarnaast ging het hier niet om en volwaardig uitgevoerde opdracht maar om een demonstratie voor de minister, als onderdeel van een opdracht.

Wanneer een partij -bv de overheid- een bedrijf inhuurt worden ook limitaties gesteld aan het onderzoek. Enerzijds is dit een kwestie van geld maar anderzijds ook van impact. Dat ethsche hackers zich aan allerhande regels moeten houden en reguliere hackers dat niet doen blijft helaas een risico :).

Edit
@himlims_ hieronder.
Goede toevoeging :).
Volledig mee eens. Natuurlijk is het zo dat als de voordeur dicht zit en het "kelderluikje" achterin open is, er nog steeds een probleem is. Maar voor veel bedrijven is het dicht krijgen van de voordeur al een uitdaging. Zoek voor de gein maar eens op hoeveel van de gevonden lekken voorkomen in de OWASP top 10.

Natuurlijk is dat eenvoudig gesproken maar het neemt niet weg dat hacken via de voorkant per se minder belangrijk is. Immers: de voorkant is toch de kant die het meest toegangelijk is en ook het eerst aangevallen zal gaan worden.

[Reactie gewijzigd door Eagle Creek op 18 maart 2013 19:18]

In mijn optiek is hacken via de voorkant uiterst effectief;

bij een groot bedrijf / instantie, ligt de zwakte ook niet in de infrastructuur of de diensten (hoewel die grote rol spelen). Maar moet je op de werkvloer te raden gaan.

Je zult verbaast zijn over hoeveel post-its met wachtwoorden er nog rond zwerven. Hoe slecht er gecontroleerd wordt op identificatie; loop afgelegen kamertje in, zoek een werkplek en zeg dat je van de ICT bent. Niemand die er naar kraait.

Natuurlijk voelt het 'veilig' om een hack vanuit de zolderkamer uit te voeren. Maar een fysieke hack biedt meer mogelijkheden, (en soms ook risico's).

Neem het lokale ziekenhuis; je wordt al snel even alleen gelaten bij eoa onderzoek (resultaat/foto's etc.) En wat blijkt; computer onbeheerd, onvergrendeld achtergelaten. Of de ' centrale' computer in een afdelen, daar vind je al snel eoa login gegevens van dokter-x, "want daarmee kan je wel alles" :N Beangstigend is dat.

Of een oud werkgever; 3 mannen na binnen gelopen. In alle kantoren de beamers ontkoppeld en ingeladen. "Die worden vervangen voor nieuwere HD-modellen." Personeel happy. Die 3 mannen bleken achteraf niet werkzaam bij bedrijf.... :F

vraag me af hoe dat geregeld is bij gemeente haarlemmermeer, eigenlijk zou je dat eens moeten testen :X

etc.

[Reactie gewijzigd door himlims_ op 18 maart 2013 18:58]

Volledig akkoord. ik loop stage bij een bedrijf en de computer staat locked met de hint "company name". Waarom lock je hem dan :/.
dan hoop ik dat er amper of geen IT'ers werken, want als ze dit lezen zou de baas wel eens not amused kunnen zijn :P
mischien kan je ze wat bijleren wat betreft security.

bij mijn stage bij een it bedrijf in amsterdam heb ik nooit een administrator wachtwoord gezien, en ze gebruikten nooit de gebruikers "admin/administrator". als ik voor een taak admin rechten nodig had dan werd een speciale tijdelijk user aangemaakt voor mij, nadat de taak werd voltooid werd de gebruiker ook gelocked en wachtwoord reset, bij de volgende taak kreeg je weer dezelfde gebruiker maar een ander wachtwoord.

Er was nooit een trust issue waarbij ik vond dat ze mij niet vertrouwden, het was gewoon common-sense.
Misschien is degene die "company name" als hint heeft gegeven wel slimmer dan jij. Misschien is het wel het bedrijf waar hij momenteel aan het solliciteren is.... Of iets totaal anders.
Net zo min ze dit kunnen toestaan als er sprake is van websites die toegang bieden tot burger gegevens. Dan is dit uit den boze om op die manier hun websites te laten testen door studenten. En ik denk niet echte hackers het studenten pad hebben gevolgd om tot hun inzichten te komen maar meer door veel ervaring, kennis en de in- en outs te kennen.
Immers: de voorkant is toch de kant die het meest toegangelijk is en ook het eerst aangevallen zal gaan worden.

Daar ga je dus de fout in. Het idee dat men "extern" gehacked wordt is niet correct. De meeste gevaren komen van binnen uit omdat deze zijde uit de meeste zwakke schakel bevat die een bedrijf heeft: de werknemer / mens.

Hackers weten dit en zullen zich meestal concentreren op de interne systemen van de werknemers om van daar uit verder te werken naar de servers en "admin" rechten.

Meestal verschaffen ze toegang via malware besmette e-mail of websites.
lees dit rapport eens door van de recente "Chinese" hacks:
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
"De voorkant" is hierbij natuurlijk wel een niet nader gespecificeerde term. De voorkant kan ook betekenen de voorkant van het intranet of de voorkant van een SAP-applicatie.

Ik doelde met mijn voorbeeld geenzins de aanvallende partij te indentificeren.

Overigens ondersteun ik je stelling wat betreft van welke kant de dreiging komt (intern of extern), hoewel niet al je voorbeelden daar een voorbeeld van lijken te zijn.
Beter dat ze hackers aannemen, niet alleen zouden de hackers niets mis kunnen doen door contracten maar door volledige vrijheid te geven aan hen kunnen ze natuurlijk ook de minder zichtbare lekken ontdekken.
Ik denk niet dat je hackers moet aannemen. Je moet dit extern houden. Als je ergens werkt (in wat voor functie dan ook) wordt je op een gegeven moment blind voor de obvious zaken.
5 studenten die een middag vrij krijgen van de faculteit, met hun laptop voor de camera worden gedumpt en vervolgens ook nog gelimiteerd worden qua mogelijkheden != overheids websites controleren op mogelijke exploits...

Als ze nou gewoon een voorbeeld aan Google nemen: x geldbedrag voor een succesvolle (en privaat gepubliceerde) kraak, dan spreken we over actief beveiligen. Ook de Britse overheid met hun opensource initiatieven zou nog het een en ander aan die van ons kunnen leren.

Wat een schijnvertoning.

[Reactie gewijzigd door BoomTakZaag op 18 maart 2013 18:35]

@ BoomTagZaag:

Dat kost geld, de overheid rekent de burger overal kosten voor maar heeft zelf graag alles gratis

[Reactie gewijzigd door Kees de Jong op 18 maart 2013 18:44]

Waar denk je dat dat geld vandaan moet komen? Van een boom?
Ik neem toch aan dat je bedoelt dat de Nederlandse Overheid wat van de Britse kan leren en niet andersom!
Inderdaad. Als ze dit echt zo'n goed idee vinden waarom gebeurd dit dan niet continu?
En vergeet niet dat dit soort aankondigingen wel vaker zijn gedaan de afgelopen jaren. Henk Krol is volgens mij nogsteeds veroordeeld. Zet het in een wet, noem het bescherming van klokkenluiders, en dan pas mag je dit soort leuke persberichten rondsturen over hoe IT-bewust je wel niet bent.
Geweldig initatief vind ik zelf, voor de studenten nuttig en voor de overheid (lichtelijk) leerzaam.
Goede zet. Zo hebben bedrijven zoals Heras al heel lang dieven in dienst om hun producten te testen. In dit geval snijd het mes mooi aan twee kanten. Als studen Transport and Supply Chain management krijgen wij ook regelmatig de gelegenheid om van de praktijk te proeven en daaraan mee te denken.

Jammer dat men niet de volledige vrijheid kreeg. Dit zou, lijkt me, de kans hebben vergroot om daadwerkelijk wel iets vinden.
Ja leuke zaak maar het uiteindelijke resultaat was natuurlijk al te voorspellen.
Dit is gewoon een verkapte PR stunt of weet ik veel wat, want als je daadwerkelijk iets wilt bereiken zeg je simpelweg:
- ga je gang
- bedrag xx / xxx low per bug
- maak het publiekelijk

Maar nee, hier laten we studenten die over het algemeen weinig in de praktijk hebben gedaan een beetje knutselen terwijl Plasterk met zijn PR crew komt kijken.

Goed, het uiteindelijke doel is dus om 'white hats' meer ruimte te gaan geven, het is alleen jammer dat het weer zo moet. Beetje termen kramen zoals hacken en ethisch hacken...

Volwassen bedrijven zijn al veel verder:
http://www.google.com/about/appsecurity/reward-program/
Om maar een voorbeeld te noemen.

Zoek je maar rot naar een bug, report het en verdien een centje.
Niet zo zielig doen als iemand iets vind, onder het mom van 'het mag niet' en dat soort zaken.

Hier is geen wet voor nodig
Juist de overheid zou meer open moeten zijn om mensen alles te laten doen en zoeken.
Ik weet namelijk vrij zeker als er mensen waren die het überhaupt boeide om http://www.haarlemmermeer.nl (en niet de mailserver.. lol) onder de loep te nemen, dat er zo'n 10+ bugs uit komen.


edit:

Kon het natuurlijk even niet laten om het één en ander te checken maar de website van haarlemmermeer draait op : *drums* Apache Tomcat/6.0.29

Dat komt dus uit: 22-07-2010
Daar zijn 22 vulnerability's voor : http://www.cvedetails.com...Apache-Tomcat-6.0.29.html

Maar goed, ik hoef denk ik niet veel meer te zeggen over het feit dat die site dus een grote kans heeft om super brak te zijn. Ik zal wel niet de held spelen om überhaupt iets te proberen want:
Wel wijst de minister erop dat hacken nog steeds strafbaar is

[Reactie gewijzigd door Douweegbertje op 18 maart 2013 19:10]

Ware het niet zo dat we alleen de mailserver mochten testen... Dus, dan is het leuk dat de webserver vulnerabilities heeft, daar mochten we niks mee.

Edit: voor de duidelijkheid, ik was dus een van de studenten.

[Reactie gewijzigd door Nexz op 19 maart 2013 09:09]

Dus, dan is het leuk dat de webserver vulnerabilities heeft, daar mochten we niks mee.
Niet om vervelend te doen maar dit gaat niet om jullie maar om de manier waarop dit aangepakt en uitgemolken word. Als je alleen de mailserver test kun je net zo goed niks testen.


Wat een onzin -> PR.
Leuk initiatief maar ik zou als student eerst zwart op wit op papier willen hebben dat je gevrijwaard bent van elke eventuele juridische vervolging. De overheid kennende kunnen ook klokkenluiders achteraf worden vervolgd. Natuurlijk is de opzet hier anders maar better save then sorry.
Ik zit op de ISM opleiding in Zoetermeer en kan je vertellen dat ze die vrijwaarding hebben moeten ondertekenen. Als eerste was er een algemene vrijwaring die de school moest tekenen en daarna is er een vrijwaring (als het goed is) getekend door elke individuele student.

Van wat ik van mijn medestudenten heb gehoord kregen ze alleen toegang op poort 80 en poort 443.

Imho had de overheid volledige toegang moeten verlenen aan de studenten. Op deze manier lijkt het meer propaganda, om te laten zien dat de overheid het wel allemaal goed heeft geregeld en studenten die ervoor opgeleid worden (technisch eigenlijk niet maar oke met bepaalde minors natuurlijk wel) geen lekken konden achterhalen.

Erg frustrerend onderzoek doen op deze manier en ook totaal niet realistisch met hoe het in de praktijk zou zijn gegaan. Een hacker neemt ook geen genoegen met poort 80 en 443, die kent ook geen 'boundaries' maar probeert ook gewoon alle opties uit. Dat was hier niet het geval en valt de studenten en de opleiding ook niet echt iets te verwijten.

[Reactie gewijzigd door Batiatus op 18 maart 2013 18:48]

"Dat was hier niet het geval en valt de studenten en de opleiding ook niet echt iets te verwijten."

Ze hadden gewoon kunnen weigeren mee te doen om onzin onderzoek te verrichten.
Helaas beslist waarschijnlijk de school dat en niet de studenten zelf. En dan is de keuze tussen meedoen en een onvoldoende vrij snel gemaakt.
Klopt inderdaad, elke student moet bij een soort-gelijke actie een vrijwaring ondertekenen. Leuk een medestudent op Tnet :) waren zeker 2e of 3e jaars?
Degene die ik ken zijn 2de jaars studenten, weet niet of er ook 3de jaars studenten aan meededen.

@tomaat23

Het is toch wel een eer als student om gevraagd te worden om overheidssites te 'hacken', zeker als de minister op bezoek komt is het toch een leuk project om te doen en het staat ook nog eens leuk op je C.V. Daarbij komt dat het ook een mooie promotie is voor de opleiding. Zeker aangezien informatiebeveiliging steeds belangrijker begint te worden. Dat kun je ook zien doordat de overheid zich meer bezig wil gaan houden met het halen van ISO certificaten (kan zo niet 1-2-3 meer een bron vinden).
Ik en een andere 4e jaars deden ook mee :)
Minister laat studenten scriptkiddies overheidssites 'hacken'

was het eerste dat in me op kwam

[Reactie gewijzigd door dakka op 18 maart 2013 18:43]

Terwijl dit mss wel zo is voor grotendeel van de studenten (ze studeren immers ook geen ICT Security of iets dergelijk). Zullen er zeker enkele bij zijn die er de nodige know-how van hebben.
Het was ook maar een demonstratie om te laten zien wat er mogelijk was. Die demonstratie duurde ook maar een uur. Daarbij werden ze constant op de huid gezeten door journalisten e.d.

Degene die hiervoor werden aangesteld hebben echt wel wat technische kennis, een aantal ervan ken ik persoonlijk. Jammer genoeg kregen ze niet echt de ruimte om alles te proberen, van horen zeggen, mochten ze alleen via poort 80 en 443 proberen iets uit te halen.

Sta er ook niets van te kijken als Plasterk een paar systeembeheerders eerst heeft laten kijken of er iets te halen viel, zou ze anders in een behoorlijk slecht daglicht hebben kunnen laten staan.
vet zou zijn als de sites morgen plat liggen
Vet ja. Lijkt me gaaf als alle uitkeringen, vergoedingen, salarissen in 1 klap stoppen. Heel de NL economie op z'n gat.....

Of inbreken bij de belastingdienst en zorgen dat iedereen een forse aanslag krijgt. Ook gaaf.
Tijdens de 'hacksessie' zouden geen kwetsbaarheden zijn gevonden, maar de studenten kregen geen volledige vrijheid voor het 'ethisch hacken' van de twee overheidssites. Zo mocht er niet aan de 'achterkant' gehackt worden waardoor er niet is gezocht naar minder zichtbare lekken
Wat wordt hier exact bedoeld met de achterkant? Admin Panel? Code bekijken via FTP?
Dit kan irl toch ook niet? Denk dat ze eerder beetje uitvlucht zoeken om te verklaren dat ze niets gevonden hebben.
Bij een mailserver gaat het misschien om een webmailaccount dat de studenten niet kregen. Voor hbo'ers houdt het denk ik al snel op als ze even kijken welke mailserver+versie er draait en dan niets vinden als ze daar exploits bij zoeken.

Ben benieuwd naar de reactie van de minister als iemand Mitnick-style door de beveiliging heen was gegaan mbv social engineering.
Mitnick-style lijkt me niet onder poort 80 en 443 vallen.
Jammer dat ze niet volledige toegang kregen. Waarschijnlijk zijn precies die systemen weken van tevoren goed doorgelopen. Dit ter bescherming van de imago van de overheid. Als een stel studenten voor de ogen van de media gemakkelijk via de voor of zelfs achterkant gemakkelijk hadden kunnen inbreken had de heer Plassterk flink voor lul gestaan.
Dat niet alleen ook de realiteit is schijn. Als de studenten het niet lukt betekent nog steeds niet de website goed in elkaar zit. Je kan dan nog beter een doorgewinterde ex-hacker de code laten doorgronden.

- is de code netjes en geordend opgesteld;
- zitten er beveiligingsprocedures in;
- werkt de encryptie naar behoren;
- hoe wordt er gecommuniceerd van en naar de webservice;
- wat zijn de backup procedures en herstel plannen;
- wie en wat heeft toegang;
- is de hosting server goed beveiligd;
- hoe wordt er controle gehouden en houd de beheerders in de gaten;

En noem maar op ... ik denk dat je dan wat meer kennis nodig hebt dan slechts de kennis die in een opleiding voorkomt.

Als de studenten niet de kennis en ervaring met hacken hebben dan kan je ook niet spreken van een hacktest. Maar slechts een testfase die eigenlijk al bij de ontwikkelaars had horen te liggen.

[Reactie gewijzigd door BoringDay op 18 maart 2013 19:46]

Ik ben het gedeeltelijk met je eens wat betreft hacking. Inderdaad kunnen ze goed gebruik maken van ex-hackers met veel ervaring. Maar die studenten krijgen op de HHS een degelijke opleiding. Ik volg zelf in hetzelfde gebouw een andere opleiding en heb een inzicht kunnen krijgen in de opleiding ISM. Er wordt een extern bedrijf ingehuurd wat gespecialiseerd is in hacken om de studenten op te leiden (ten minste, dit was zo in het verleden!). Natuurlijk hebben de studenten minder ervaring, maar ze leren wel degelijk wat van van experts. Het is dus niet zo dat ze totaal onkundig zijn.

Al met al is dit gewoon een grote PR stunt geweest voor zowel de overheid als de HHS.
Bij het lezen van de eerste alinea kreeg ik het gevoel dat de overheid geleerd heeft van zijn fouten en een oprechte intentie had om de (IT)kwetsbaarheden van de overheid op orde te brengen.
Bij het lezen van de tweede alinea zakte dit gevoel weer weg.

Net als die duo wijngums van redband, eerst zoet, maar dan heel zuur. :)
ja tuurlijk is dat nuttig want het kost GEEEEEN DROL!!


dit is echt weer broodroof en moderne manier om mensen te misbruiken.
want 3000% dat student daar niet extra voor betaald word.


bahbah... gierige Nederlandse mentaliteit kots ik echt op!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013