Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Politierapporten liggen op straat door verlopen domeinnamen

Doordat de politie een groot aantal domeinnamen heeft laten verlopen, zijn verschillende rapporten in handen gekomen van een ethische hacker. Die registreerde de domeinnamen en kreeg de vertrouwelijke informatie zo toegemaild.

Onder andere de domeinnaam politiebrabantnoord.nl is verlopen, waardoor deze beschikbaar kwam voor anderen om te registreren. De ethische hacker Wouter Slotboom zette een aantal verlopen domeinnamen op zijn naam en kreeg zo onder meer het beveiligingsplan voor de kerstmarkt in Dordrecht toegemaild, naast andere vertrouwelijke rapporten.

Het probleem zit hem volgens Slotboom in de gewenning van agenten om te mailen naar bepaalde adressen. Voorheen mailden agenten naar adressen van domeinnamen per korps, inmiddels is dat naar naam@politie.nl. "Iedereen die dagelijks mailt, maakt gebruik van automatische invoeging van mailadressen, waardoor je minder snel oplet naar wie je mailt. Als je gewend bent Kees te mailen op kees@politiebrabantnoord.nl, dan is dat ook de eerste suggestie die je krijgt als je Kees opnieuw wilt mailen", zegt Slotboom tegen BNR.

Volgens hem is het probleem eenvoudig te verhelpen door de oude domeinnamen te behouden en door te linken naar @politie.nl. Hij zou de Nationale Politie al twee jaar geleden gewezen hebben op de risico's, maar die zou er niets mee gedaan hebben. De Politie stelt in een reactie dat er tot nu 3600 oude domeinnamen door de politie zelf zijn geregistreerd, maar dat er enkele tussendoor geglipt zijn. Ook legt de politie verantwoordelijkheid bij burgers en agenten, aangezien die van de domeinnaam @politie.nl gebruik moeten maken.

Door Olaf van Miltenburg

Nieuwscoördinator

20-01-2017 • 09:28

201 Linkedin Google+

Submitter: MCP cloud

Reacties (201)

Wijzig sortering
"ook legt de politie de verantwoordelijkheid bij burgers en agenten"
het moet niet veel gekker worden. nooit van overgangsperioden gehoord?
ook is het heel eenvoudig om in de uitgaande mailserver van politie.nl mail naar die 3600+ oude domeinen te blokkeren. ligt er tenminste geen gevoelige informatie op straat,
Zelfs met overgangsperiode is het belachelijk om de verantwoordelijkheid voor de beveiliging van jouw eigen vertrouwelijke documenten bij anderen te leggen.
Bij ons (Philips) krijg je een automatische melding tijdens het invoeren van een email-adres wanneer dit adres zich buiten de organisatie (domein @philips.com) bevindt. Dat is wel het minste dat ze zouden kunnen invoeren.
Daarmee los je het probleem niet op dat er vanuit andere organisaties naar de politie wordt gemaild en dat die organisaties nog de oude adressen gebruiken.

Het was veel handiger geweest als ze een jaar of twee gezorgd hadden dat ze de domeinnamen nog wel hadden, maar er een mail reply terug gaat als men er naar mailt met de mededeling dat het adres niet meer in gebruik is en dat ze xxx@politie.nl moeten gebruiken.
Dat laatste is veruit de eenvoudigste en goedkoopste methode inderdaad. Lijkt een stukje overschatting van IT van haar gebruikers.
Er dan wel even vanuit gaande dat alle mail via de mail servers van politie.nl loopt. De interne communicatie kun je zo wel afvangen, maar agenten die wellicht vanuit huis mailen (zonder VPN, wat heel slecht zou zijn uiteraard) vang je op die manier niet af. En je hoort de laatste tijd toch wel vaak dat er gebruik gemaakt wordt van prive-verbindingen voor het versturen van vertrouwelijke informatie.
Oh oh oh wat weet iedereen het weer goed hoe het moet he. En grote kans dat de systeembeheerders van de politie hier ook gewoon rondhangen en net zo arrogant reageren.

Uiteraard is het erg onhandig dat documenten gemaild worden maar face it: zo is de werkelijkheid, dat gebeurt overal. Het is namelijk een supereenvoudige manier om documenten te delen!

Uiteraard is het niet handig dat domeinen niet meer in het bezit van de politie zijn, geregistreerd kunnen worden door anderen, die vervolgens uiteraard mails die naar dat domein worden verstuurd, ontvangen. En natuurlijk is het niet handig dat mensen oude adressen gebruiken om naartoe te mailen maar helaas helpen de mailclients daar ook niet aan mee, de meeste clients blijven als je een naam intypt het eerder gebruikte adres gebruiken (ook al werk je keurig je adresboek bij).

De wijze les die je hier uit kunt trekken: als je eenmaal een domein hebt dat ook echt gebruikt is, voor altijd in bezit houden....
Er zijn meer zaken die de politie kan doen :
- black-listen van het verzenden van @politie.nl naar de oude domeinen, en de mensen die het toch doen onmiskenbaar duidelijk maken dat zij hun client moeten bijwerken
- Adres boeken opschonen
- Domeinen in het bezit houden
- Reageren op signalen die 2 jaar geleden gegeven zijn door deze ethische hacker

Het gaat hier niet om zomaar documenten, het gaat hier om vertrouwelijke stukken. En de samenleving verwacht dat er zo doende mee wordt omgegaan.
Dan is het sowieso toch al raar dat vertrouwelijke documenten door de ether worden gestuurd via e-mail? Van e-mail mag je toch niet aannemen dat het versleuteld verstuurd wordt?

Nou ja, dit zou weer een goede reden zijn voor de overheid om briefgeheim door te trekken naar e-mail of dat ze end-to-end encryptie toe gaan passen op documenten zodat het niet door derden uitgelezen kan worden.
Precies, welke weg de documenten ook volgen laat ze altijd encrypted zijn. Usbtje kwijtraken, verkeerde mail adres, etc. Het zijn allemaal menselijke fouten die gemaakt kunnen worden.
Ja op gebied van politie rapporten klopt dat.. Maar burgers gebruikte dat e-mail adres ook om contact te hebben.
Echter de politie wijst met de vingers naar de burgers, op een manier van: ja had je maar niet daarheen moeten mailen, men dient te mailen naar @politie.nl..
Wat ik me dan afvraag, stel ik heb 5 jaar geleden nog contact gehad met pietje@politienoordbrabant.nl, heeft de politie mij dan wel aangetekend een brief verzonden met de melding: let op, e-mail adres bestaat niet meer, u dient te mailen naar pietje@politie.nl?
Stel iemand wilt een bepaald politiebureau / politie agent een email sturen maar weet het e-mail adres niet. Een kennis van die gene heeft weleens contact via e-mail met de politie gehad.. Dan vraagt die gene aan de kennis: wat is hun e-mail adres. Nou dan komt pietje@politienoordbrabant.nl naar voren.

Als ik een hele tijd geleden contact gehad heb per e-mail met iemand, en er schiet me iets te binnen en ik wil hem een nieuwe e-mail sturen. Dan gebruik ik het adres wat ik als laatst gebruikt heb.. Zo vreemd is dat toch niet, of wel? :P

Ik snap niet hoe de politie keer op keer met vingertjes kan en mag wijzen, wat kan de burger eraan doen dat hun belastingcentjes niet juist besteed worden met alle gevolgen van dien?

Dus als ik met mijn auto tegen een stilstaande auto parkeer, dan is die stilstaande auto fout? Had hij daar maar niet moeten staan? In mijn ogen is dat de omgekeerde wereld.

Wel vind ik dat je eventueel (nja nog niet eigenlijk) vingertjes naar je burgers mag wijzen indien deze burgers regelmatig hierover gecontacteerd zijn. Stel je hebt een e-mail van ze gekregen met die info (bij twijfel van scam kan je ze bellen..) en je hebt aangetekend een brief van ze gekregen, oké dan is het niet handig dat je alles negeert en het alsnog fout doet.
Maar ik kan nergens uithalen dat de politie iedereen gecontacteerd heeft wat met een ''niet meer bestaand'' e-mail adres contact gehad heeft.
tja dit soort dossiers zouden inderdaad niet via het medium e-mail verder mogen worden gestuurd.

Immers wie doet dan de audit dat dergelijke documenten wel gelezen mogen worden.
Daar ligt dan ook een schone taak voor ons IT-ers om nu eindelijk eens fatsoenlijk documentbeheersystemen te bedenken die daadwerkelijk werken. I.p.v. dingen die op papier leuk lijken maar in de praktijk vreselijk onhandig zijn. Denk bijvoorbeeld aan Documentum of Sharepoint. Theoretisch leuk, maar in de praktijk grijp je toch gauw naar email + attachments omdat dat heel veel tijd scheelt.
het zou maar eens zijn dat een black-hat hacker zo'n adress in handen krijgt.

dan is de schade ineens veel groter, omdat het ging om een "officieel" oud adress van de politie.

waarmee hackers dan fake mails kunnen sturen en mensen zo kunnen infecteren met malware
dat is inderdaad ook zeer reeel om in het achterhoofd te houden.
En zeker na deze media exposure is die kans nog veel groter geworden.

SIDN zou domeinen die ooit in het bezit zijn geweest van de politie moeten blokkeren voor verder gebruik.
Dat lijkt me eerlijk gezegd niet de verantwoordelijkheid van de SIDN. Moet die dan een lijstje bij gaan houden? En gebaseerd waarop? Niet al die domeinen zullen geregistreerd zijn met dezelfde registrant. En moet er dan ook een lijstje komen voor andere overheidsorganen? Waar komt de grens?

Nee, dit ligt IMO bij de (IT-afdeling van) de politie.
Ja, dat zal de Politie waarderen, als je politie.nl gaat blokkeren. :)
Zo zie je maar, hoe moelijk het is om goede instructies aan gebruikers te geven.
Sinds de politie ook mag hacken zou ik mails van politie.nl ook maar niet meer openen.
had al een keer een spam mail gekregen van @P0L1T13.xyz.

content was iets van een gewonnen prijs.
die je toch niet wint, en alleen je gegevens leached zodat ze je meer kunnen sturen.

leukste spam mail adress wat ik had gehad was: (de **** zijn random nummers) @****eventuallyitwillgoourway.click
In plaats van blacklisten (werkt niet bij Niet Politie diensten), is het beter om er een blackhole, Non-delivery responder van te maken. (voor alle oude domeinen)

Met als melding:
...
Dit domein wordt niet meer gebruikt, gelieve het juiste adres ...@politie.nl te gebruiken. De Mail is NIET AFGELEVERD.
...

Beter is als het model van veel andere landen was gevolgd en er een 2e laag was geweest:

.com.nl (commercie)
.ovh.nl (overheid)
.ver.nl (verenigingen)
.stg.nl (Stichtingen)
,prv.nl (Private personen)
....
etc.

[Reactie gewijzigd door tweaknico op 20 januari 2017 16:30]

Precies. En vooral: beter document management invoeren. Geen documenten per e-mail versturen. Bijvoorbeeld alleen snelkoppeling naar een DMS waar toegang-controle op zit. Oh, en geen wachtwoorden per e-mail verzenden. ;)
Je zou dergelijke domeinen in je mailserver blokkeren. mail naar politienoordbrabant.nl? onbestelbaar. Dan kun je de mensen op afstand op hun vingers gaan tikken... en oude domeinen in ieder geval tot tenminste 5 jaar in bezit houden. Beste is inderdaad oude domeinen gewoon houden, maar dat is ook een kostenplaatje. Goed uitfaseren is dus noodzakelijk als je wil bezuinigen op dergelijke zaken.
Het probleem is groter: de bron is meestal niet de politie zelf, maar andere instellingen zoals gemeentes, adviesbureaus, brandweer, noem maar op. Bij elk van hen de mailserver afgaan om die adressen te blacklisten is het paard voor de wagen spannen. Juist via SIDN regelen dat alles met *politie* niet geregistreerd mag worden zonder audit voorkomt dat als je iets naar *politie* stuurt het bij de verkeerde komt. Hetzelfde wellicht voor *overheid* en misschien nog andere termen.
Stel jij nou voor dat een burger dan niet ik-ben-politie-fan.nl en MijnBlogVanMijnErvaringenMetDeOverheid.nl niet mag registreren, puur omdat die woorden erin voorkomen? Ik zie liever dat jij een voorstel doe als "er is .gov, waarin niet *.gov.nl", zodat je als burger weet 100% dat het goeie domein is, en 100% niet mogelijk door 'hacker' te registreren. Had ik maar floris.gov bijvoorbeeld, kom ik toch echt niet aan.
Dat is op zich een goed voorstel, want inderdaad de verwarring komt vanwege de vergaarbak achter .nl. Je wil dus eigenlijk een demarcatiepunt waarbij je geen naamconflict of -collission kan krijgen zonder een duidelijk verschil in tld.
Klinkt leuk zo'n audit, maar wie gaat dat doen? Dergelijke 'oplossingen' werken denk ik censuur in de hand. Wat als iemand het domein stop-politie-geweld.nl wil registreren? Of f..k-de-politie.nl? Of je het met het doel van die domeinen eens bent of niet, ik vindt wel dat ze vrij te registreren moeten zijn. De politie moet bij negatieve aandacht niet kunnen zeggen 'sorry daar zijn wij het niet mee eens, zoek maar een andere domeinnaam'. Als je dergelijke audits mogelijk gaat maken komen er snel vragen van andere overheidsdiensten die dat ook willen. En daarna van banken die phishing willen voorkomen. En daarna van bedrijven die hun merknaam willen beschermen. Enz...
"Klinkt leuk zo'n audit, maar wie gaat dat doen?"

De overheid. Je kan geen veiligheid willen op dit gebied zonder actieve controle. Je kan nu ook geen paspoort aanvragen zonder audit, daar is niks nieuws aan.

"De politie moet bij negatieve aandacht niet kunnen zeggen 'sorry daar zijn wij het niet mee eens, zoek maar een andere domeinnaam'. "

Dat is wat anders. Als je een audit regel instelt op basis van het zich niet voor mogen doen als Politie, dan heb je daar een kip-en-klare definitie. Een 'stop-politiegeweld' (politiegeweld is 1 woord) bijvoorbeeld heeft duidelijk niet als doel zich als Politie voor te doen en moet dan doorgelaten worden.

Ik ben het met je eens dat je geen regel moet instellen als 'de Politie mag elk domein weigeren naar eigen inzicht', maar dat is wel een onrealitstische borderline voorstelling van zaken. En dus ook niet mijn suggestie.

" . En daarna van banken die phishing willen voorkomen. En daarna van bedrijven die hun merknaam willen beschermen. "

En dan trek je het uit z'n verband naar niet-Politie en niet-overheidszaken. Wat hier niet ter discussie staat. De ene maatregel veroorzaakt de andere niet. Als je het een hellend vlak vindt dan is dat jouw mening maar ik zie hier geen aanwijzing voor.
Als je een audit regel instelt op basis van het zich niet voor mogen doen als Politie, dan heb je daar een kip-en-klare definitie. Een 'stop-politiegeweld' (politiegeweld is 1 woord) bijvoorbeeld heeft duidelijk niet als doel zich als Politie voor te doen en moet dan doorgelaten worden.
Inderdaad. En ik mag als burger ook niet in een (al dan niet nagemaakt) politieuniform rondlopen en/of mijn auto transformeren tot een politiewagen. De vraag is dan waarom ik dat op internet wél zou mogen doen. Volgens mij valt dit dus al onder de bestaande wetgeving en is het gewoon een kwestie van de procedures instellen om dit te voorkomen.
Vanwege het veiligheidsrisico. Als jij met een politieuniform op straat gaat lopen geeft dat de politie het recht om met veel macht jou af te voeren. Zelfs door je direct onder schot te houden. Op dezelfde manier mag het proberen politie-mails in handen te krijgen ook een reden zijn tot een sterkere aanpak dan een aanklacht achteraf. Voor elk vergrijp zijn er gradaties van opsporing en beveiliging.

Om dezelfde reden mag je best 'bom' roepen in het bos en niet tijdens de Dodenherdenking of tijdens de optocht van Koningsdag. Je kan dan niet 1 regel afspreken van 'bom zeggen mag niet', je moet juist de mogelijkheid bieden dat je in geval A wel direct tot actie overgaat of zelfs preventief te werk gaat en bij geval B niet. Dit hele e-maildomein verhaal is een geval A.
alles met politie erin niet mogen registeren is ook geen oplossing,
A er is altijd wel een oplossing,
B politieK.nl kutpolitie.nl falenvandepolitie.nl mogen dan ook ineens niet meer... en ook de actiegroep meerpolitiebrabant.nl raakt zijn site kwijt...
Dan lees je niet wat ik zeg. Ik zeg:

"Juist via SIDN regelen dat alles met *politie* niet geregistreerd mag worden zonder audit "

Dat is wat anders dan 'niet mogen registreren'.
Het blijft een erg censuurgevoelige maatregel: de auditinstantie zou bij kritische domeinen de auditprocedure kunnen laten aanslepen...
Dat lost niets op.Dan schrijven ze het gewoon net wat anders.

Bijvoorbeeld door een hoofdletter i te gebruiken ipv de L.
Zie jij het verschil hieronder?
poIitie.nl ipv politie.nl

Grappig genoeg is die 'foute' variant al door iemand geregistreerd.

[Reactie gewijzigd door Edwin op 20 januari 2017 12:30]

" Dat lost niets op. "

Jawel, namelijk de volgende gevallen:
  • Oud e-mailadres in adresbestand
  • Oud e-mailadres aangevuld door mailclient
  • Adres gevonden via sourcing, bijv door met WOB mails op te vragen of gewoon archieven crawlen
Het klopt dat het niet beschermd tegen tikfouten, maar dat is een ander verhaal en ook niet het onderwerp van het artikel/nieuwsfeit. Dat gaat namelijk specifiek over mails gestuurd naar voormalige (dus correct gespelde) adressen van de Politie.

En die 'foute' variant is niet geheel toevallig door de Rijksoverheid Buitenhof 34 geregistreerd. Kortom ook niet een gevaar.

[Reactie gewijzigd door Lekkere Kwal op 20 januari 2017 14:40]

Je hoeft niet bij al die instanties langs om in hun mailserver de adressen te blacklisten als je het domein behoudt en een onbestelbaar mail terugstuurt. Doe dat een jaar of 2 a 3 en iedereen is gewend.
wow wat een nonsens reactie weer, je doet alle mogelijk en overigens vrij goedkoop te implementeren oplossingen van de hand als nerdtalk en bijdehand doen en komt dan zelf met de enige politieke oplossing die er steeds weer is... dan betaal je gewoon lekker door tot in den treure...

dus waarom precies lost de politie zo weinig op, omdat ze jouw en mijn toilet en slaapkamer niet mogen volhangen met camera's? of omdat er 2600 domeinnamen zijn aangekocht en wellicht jaren lang zijn gebruikt terwijl dns al in zijn oorsprong bestaat uit subdomeinen dus jan.klaassen@branbant.politie.nl was altijd al een geldig mailadres geweest...

en wederom iedereen kent wel iets als wetransfer of dropbox, je hoeft alleen maar een varint op te zetten onder het politie.nl domain en alle links naar andere filehosts en alle bijlages eruit te filteren, dar heb je prima werkende gratis opensourse mailfilters voor...
dus waarom precies lost de politie zo weinig op, omdat ze jouw en mijn toilet en slaapkamer niet mogen volhangen met camera's? of omdat er 2600 domeinnamen zijn aangekocht en wellicht jaren lang zijn gebruikt terwijl dns al in zijn oorsprong bestaat uit subdomeinen dus jan.klaassen@branbant.politie.nl was altijd al een geldig mailadres geweest...
In mijn ervaring in grote (semioverheids)organisaties is het grootste probleem dat mensen niet beseffen waar ze mee bezig zijn. Iemand heeft een leuk idee en bestelt er onmiddellijk een website bij. Dat kost €25 en hoeft dus niet door de baas of de IT-afdeling worden goedgekeurd. Drie jaar later krijgt die persoon een andere baan en weet niemand meer dat er ooit een domein is gekocht.
Als de persoon in kwestie wel op het idee komt om de afdeling IT in te schakelen is de kans groot dat ze gillen wegrennend zodra ze de eisen van IT horen (SSL, dataverwerkersovereenkomst, huisstijl, security audit, ...). Ze hebben geen zin in een 3 maanden durend IT-traject om een simpele website te hosten als het ook vanmiddag af kan zijn door het buiten de deur te bestellen, zeker als er een deadline is die gehaald moet worden.
De IT'ers kunnen echter niet anders, die worden geacht de boel veilig en beheersbaar te houden en dat is nu eenmaal duur.
Waar het mij om gaat is dat bij overheid en ICT berichten er altijd weer de standaard reacties komen. En ja, de mogelijke oplossingen zijn eenvoudig en goedkoop, die had ik als niet-systeembeheerder nog wel kunnen bedenken. Maar waar het om gaat is dat iedereen hier het altijd allemaal zo goed weten. Maar het gaat nog steeds fout, bij overheden, bij bedrijven. Overal gebeuren stomme dingen waarvoor iedereen hier altijd de oplossing heeft. Alleen het grappige is, dat overal waar ik kom, er altijd wel mensen zijn die op tweakers kijken of actiever meedoen. Oftewel simpele conclusie: ook de mensen die hier komen, zijn mede-verantwoordelijk voor bepaalde ICT blunders worden gemaakt.

Ik ben het met je eens dat de oplossing supereenvoudig was geweest, dat staat er los van.

En ja, er zijn uiteraard prima alternatieven voor documenten mailen. Feit is alleen: mailen is nu eenmaal de meest eenvoudige oplossing. Ik maak een document, ik mail 'm naar jou, jij hebt je eigen kopie waarin je lekker kunt gaan strepen en doen. En ik kan heerlijk verder werken. En omdat het in de mail staat, kan ik eventueel ook als ik ergens anders ben inloggen op m'n mail, en het document oppakken om ook nog iets mee te doen. Werkt heel eenvoudig, en werkt al 20 jaar zo. En dat is de reden dat het nog steeds gedaan wordt op die manier. Bij overheden, in het bedrijfsleven, overal. Is dat het veiligste? Nee by far niet. Is het wenselijk? Nee ook niet, je wilt inderdaad van veel documenten helemaal niet dat die in een mailbox staan zelfs niet al is het de sent items van een bedrijfsmail op een bedrijfsserver. Zijn de alternatieven net zo eenvoudig en net zo bruikbaar voor "iedereen"? Nee.
En hoezo is het werken met een Dropbox of een andere vorm van centrale opslag anders dan het document opzoeken in je mail. Ik snap daar werkelijk niks van. Heeft gewoon te maken met gewenning vs leren werken met nieuwe methodes. Iedereen die dat weigert zou je er direct uit moeten schoppen.
En waarin verschilt Dropbox precies met mail? Ook bij dropbox krijg je een lokale kopie op elk device waar je ingelogd bent. Automatisch, mits je het niet zelf uitschakeld. Misschien nog wel onveiliger dan e-mail.
Kopieën zijn onwenselijk maar zoals je zelf aangeeft uit te schakelen.
Ging meer om het idee van een centrale opslag. Dat is beter te beheren dan mail, minder gefragmenteerd en beter te beveiligen.
Wat mij betreft is die arrogantie geheel verantwoord. Er is hier namelijk geen sprake van een situatie die voorzien had kunnen worden, maar een situatie die daadwerkelijk is voorzien en waar op is gewezen.

Persoonlijk heb ik bij meerdere instanties / bedrijven meegemaakt dat er bewust voor wordt gekozen om een potentieel gevaar met betrekking tot het lekken van persoonsgegevens niet op te pakken uit kosten- of praktische overwegingen. En ik weet dat ik hier niet alleen in ben. Het is namelijk schandalig dat een organisatie besluit om voorzienbare risico's met andermans gegevens te nemen omdat dat de werkelijkheid is en het een supereenvoudige manier van werken is.
Het laatste is geen les maar logsich nadenken.
Domeinen kosten geen drol, zeker voor overheid, misschien 1000 euro op jaarbasis over minder voor alle nu verlopen domeinen.

Je zet ze op een server, die netjes mail terugstuurt, dit adres is niet meer geldig gebruik politie.nl
Een les is het dus niet is is gewoon dommigheid en weer een voorbeeld dat overheid en ict schijnbaar zijn zoals water en vuur, zwart en wit.
Keer op keer lees je blunders als het om ict gaat. Dus nee geen wijze les want ze leren er helaas niet uit.
Wat ook kan is idd voorlopig de domeinnaam behouden maar tegelijk een auto-reply instellen op elke mail die binnenkomt op het adres dat feitelijk niet mee gebruikt wordt.
Daarin moet dan staan het gebruikte e-mail adres niet meer in gebruik is en instructie hoe je je adresboek kunt aanpassen.
Kijk dan geregeld na of er nog steeds mails op het oude adres binnenkomen en als die bron is opgedroogd dan kan het oude adres eventueel worden opgeheven.
Tegelijk moeite steken in het in kaart brengen van alle openbare sites waar nog verwijzingen naar de oude domeinnaam in staan en de beheerders daarvan aanschrijven om dit te corrigeren.
Veel werk? Ja, dat geloof ik wel maar..... we hebben het over een overheids organisatie waarbij het minstens slordig genoemd kan worden als gevoelige informatie in verkeerde handen valt.
" En natuurlijk is het niet handig dat mensen oude adressen gebruiken om naartoe te mailen maar helaas helpen de mailclients daar ook niet aan mee, de meeste clients blijven als je een naam intypt het eerder gebruikte adres gebruiken (ook al werk je keurig je adresboek bij). "

Gelijk heb je!

Misschien een idee voor app makers om het simpeler te maken. Beetje batch opdrachten maken kunnen ze denk ik wel ;)

"Vind alle mail-adressen met dit [dit] domeing"
> verwijder/modificeer.

"De wijze les die je hier uit kunt trekken: als je eenmaal een domein hebt dat ook echt gebruikt is, voor altijd in bezit houden...."

Muah. Mag wel, veel kost het niet volgens mij. Maar noodzakelijk is het niet. Misschien dus blijkbaar wel voor bepaalde instanties die daar baat bij hebben.

Ik vind het wel apart dat ik me kan herinneren dat ik dit soort berichten in de jaren nog heb gelezen. Recentelijk nog over Google, zelfs.

Misschien een idee voor iemand om een boek te schrijven over basis beveiliging procedures die al een hele tijd geleden de wereld uit mosten.

[Reactie gewijzigd door Ra5a op 20 januari 2017 21:45]

Iedereen weet het ook beter en weet je waarom?

Omdat "iedereen" die het beter weet niet werkt bij de politie maar een beter betaalde baan.

Als jij "Kees de systeembeheerder" voor een miezerige salaris de ICT van de politie laat doen zal dit altijd gebeuren.

Je moet gewoon betere mensen inhuren maar hey het is de overheid, en de overheid wilt het altijd goedkoper doen.
Hmmm, typisch dat er dan zoveel mensen die het zo goed weten zo vaak overdag op dit forum zijn te vinden.... Je zou voor die mensen een fors salaris betalen. Dan baal je als werkgever toch ook wel een beetje.
Je probeert de slimmerik uit te hangen maar je beseft niet dat je een oerdomme denkfout maakt.

Ik heb nergens gezegd dat ik het beter weet.

Ik geef alleen aan waar het probleem ligt, ik neem aan dat je niet voor het eerst hebt gehoord over de overheid die voor een dubbeltje op de eerste rang wilt zitten.

Dat is de normaalste zaak van de wereld, dan moet je dus niet raar opkijken als dit soort dingen dan gebeuren.

Wat is volgens jou anders de verklaring? Dat de allerbeste mensen op al die functies zitten en er veel geld in gepompt wordt maar een mysterieuze geest zorgt ervoor dat er toch storingen plaatsvinden?....
Dat hoeft niet omfunctioneel te zijn. Die zitten naast hun koffie het beter te weten en gaan na hun koffie waarschijnlijk heel goed uitzoeken of het ook bij hun kan gebeuren.
Een ICT er die zich niet bijleest, daar zou ik me zorgen over maken.
Jouw "Kees de systeembeheerder" is echt niet uniek voor (semi)overheid, je komt ze overal en nergens tegen. Het zijn soms net mensen....
Daarom hoor je ook elke dag over een lek, hack, crash, storing, niet/slecht werkende websites, gegevensloss enz enz
Dat je het niet (dagelijks) hoort wil nog niet zeggen dat het niet bestaat. Laten we het zo zeggen, ik kom jouw "Kees de systeembeheerder" met grote regelmaat tegen en dat is echt niet alleen bij (semi)overheid.

PS
In september 2016 werd bekend gemaakt dat er op dat moment in totaal 3400 keer een melding was ontvangen bij het meldpunt datalekken. Dat zijn er ruim 14 per dag, allemaal veroorzaakt door "Kees de systeembeheerder" bij de overheid?
Dit is toch een beetje matig beleid.
Ik ga niet verkondigen dat dit mij niet zou overkomen, ik mis immers de gehele context van de IT infra van de politie, maar de domeinen die ik uit heb gefaseerd heb ik een aantal jaren laten "doodbloeden" zodat gebruikers die nog menen er naartoe te moeten mail NDR's krijgen en zo hun adressenbestand kunnen updaten.

Dit klink heel erg alsof zo'n domein gewoon koud is opgeheven direct vanuit een in-productie zijnde context. Ik zou toch onderzoeken intern hoe dat kan. Dat wil je in principe nooit...

Ik zou overigens domeinen van voormalig politiebureau's, waar dus gewoon politiexyz in de domeinnaam staat überhaupt niet opheffen. Geeft alleen maar ruimte voor malafide praktijken.
Echt hacken kun je dat nou ook weer niet noemen vind ik.. *Insert hackerman*
Er wordt ook niet gesteld dat er een hack heeft plaatsgevonden er wordt gesteld dat het in handen is gekomen van een (ethisch) hacker. Als het in handen was gekomen van een buschauffeur had je ook niet gezegd "dit is niet echt een chauffeurshandeling".

Deze "aanval" is een realistische en mengt een beperkte hoeveelheid techniek met met name sociale / maatschappelijke skills en kennis. Bij overnames, faillissementen en andere wijzigingen in bedrijfsstructuren komen domeinnamen vrij. Veel personen beseffen niet dat hoewel je een dergelijk domein het daarmee niet van de aardbodem verdwenen is. Uiteraard is het de verantwoordelijkheid van de verzender om te controleren of het adres nog klopt. Dat is niet anders dan een fysieke verhuizing waar ook gevoelige post naar het oude adres verzonden kan worden. Alleen bestaat er dan nog zoiets als een doorstuur service door een centrale partij (zoals PostNL) en die dienstverlening ontbreekt online.

In mijn organisatie hebben ze dit opgelost door het oude emailadres langere tijd door te sturen en vervolgens automatisch te verwijderen (bounce). Het domein zelf zal echter nooit worden vrijgegeven. Betekent wel een kostenplaatje, zeker als je heel veel domeinen hebt..

(En vergis je niet hè. Een domeinnaam aanhouden an sich lijkt als consument heel goedkoop. Tot je inderdaad van statuaire naam wijzigt en dit voor al je domeinnamen moet wijzigen. Er zijn TLD-registrars die hier rustig duizenden euro's voor vragen.)

Edit op reactie hieronder: ook dat moet maar een keuze van je zijn. In mijn organisatie vinden ze het "not done" als een domeinnaam op de verkeerde naam geregistreerd staat.

[Reactie gewijzigd door Eagle Creek op 20 januari 2017 10:24]

" Tot je inderdaad van statuaire naam wijzigt en dit voor al je domeinnamen moet wijzigen."

Dan wacht je lekker tot ze aflopen/refreshen en je houd de oude statutaire naam als handelsnaam bij de KVK registratie staan. Geen hond die daar moeilijk over doet.
Als je registrar duizenden euros vraagt voor een houdermutatie dan zou ik op zoek naar een andere registrar. Dan wordt je namelijk keihard geflest.
Doet er niet toe hoe je het noemt, het is slordig en potentieel erg schadelijk. De ethical hacker had ook mails kunnen sturen vanaf die domeinnamen en zo bv informatie proberen op te vragen.

Dit voorval bewijst het gelijk van één politieorganisatie, hoe groot de weerstand ook was. Voorheen was elk korps een aparte juridische entiteit en de centrale overheid had niet over alles wat te zeggen of te bepalen. Dat heb ik aan den lijve ondervonden. Ook dit soort dingen deden de korpsen zelf en zi hier het resultaat: organisaties opgeheven, en niemand is meer verantwoordelijk. Ook aan de andere kant houdt blijkbaar niemand zich bezig met dit soort zaken.

Maar...we moeten niet teveel wijzen naar de politie, want ook in het bedrijfsleven komen dit soort dingen voor. Ik ben consultant dus ben steeds weer ergens anders en heb al meerdere malen meegemaakt dat men bv niet weet/niet alert is op verlopende certificaten en dat de hele tent in rep en roer is als ineens blijkt dat het certificaat is verlopen en de site niet meer werkt. Of erger: uitwisseling met leveranciers/klanten/overheid. Organisatie van ICT zaken is vaak dramatisch slecht, vooral dit soort randverschijnselen als email. Triester wordt het als een bedrijf op Monsterboard een vacature plaatst (hele grote ICT toko in Nederland, vaste maandelijkse vacature) waar de link gewoon helemaal niet meer klopt en de naam van de HR pief ook niet meer klopt (werkt er niet meer). Dan ben ik meteen klaar met mijn solicitatie... ;)
Ook een gevalletje email-management zeg maar. Het is dus niet een specifiek politieprobleem. Organisaties mogen zichzelf een spiegel voorhouden. Hopelijk gebeurt dat ook nav dit voorval.
Hacken is al lang niet meer puur bruteforce. Dit is wederom een stukje social engineering.
Het is ook niet echt social engineering aangezien er geen sociale interactie is :P
Gaat m.i. uit van bepaalde gedragingen, automatismen, van mensen in relatie tot elkaar. Er hoeft geen contact te zijn tussen de hacker en het slachtoffer, de hacker moet alleen inspelen op de sociale (mail versturen) gedragingen van het slachtoffer.

Mail sturen vanuit je GMAIL ipv je GOV account is bijv. een sociale gedraging, waarop kan worden ingespeeld.

[Reactie gewijzigd door Oyxl op 20 januari 2017 10:08]

Dit is gewoon een grote fout van de ICT van de Politie welke sowieso al hun eigen mailservers had moeten instellen om geen uitgaande mail naar die oude domeinen toe te staan zodat intern die info niet meer per ongeluk kan worden verstuurd en ook die domeinen niet gelijk vrij te geven aan iedereen om ze te gebruiken...
Excuus dat er 'een paar' doorgeglipt zijn suggereert dat dit ofwel zonder enige voorbereiding is gedaan, anders waren alle domeinen duidelijk gelijst, of dat Politie Nederland geen idee heeft hoe hun eigen infrastructuur in elkaar zit, beide geen fijne gedachte...
Ik kan ook lezen ;) Waar het om gaat is; De domeinen kwamen beschikbaar. Een normaal mens denkt er dan verder niet bij na. Iemand die bepaalde ervaring heeft op het gebied van menselijke interactie en de middelen heeft om daar op in te spelen is wel degelijk bezig met 'de logische systemen in sociale interactie en luiheid van de mensch'. Luiheid is een sociale gedraging. Wij, als mensen, doen graag dingen met zo weinig mogelijk inzet.
Dat het fout gaat door de domeinen beschikbaar te laten komen spreekt voor zich. Vervolgens is het juist die ene persoon die weet hoe de luiheid zich manifesteert en die weet hoe Outlook (en de meeste mail providers) automatisch aanvult en hoe mensen daar over het algemeen pas na enkele dagen/weken achter komen en die duikt in dat gat waarin de gebruikers nog niet helemaal door hebben dat er zaken zijn veranderd.

-edit:
Daarbij heeft deze persoon op de loer gelegen, in afwachting van het vrijkomen. Dat is onderdeel van een goed voorbereide manier om informatie te vergaren.

Je mag het van mij alles noemen. Het is geen hacken, maar het bevat wel degelijk het gedachtenproces dat je verwacht van een hacker.

[Reactie gewijzigd door Oyxl op 20 januari 2017 10:56]

Dat zeker, en het artikel zegt ook dat hij het twee jaar geleden al wist en de Politie vertelde laat ook zien dat hij er goed over nagedacht heeft, complimenten aan hem uiteraard.
Dacht dat je het erop gooide dat het zijn schuld was als het ware dat hij het niet had moeten opzoeken :P My bad
Check ;) No probs :P
Je mist z'n punt;

"Dit is gewoon een grote fout van de ICT van de Politie welke sowieso al hun eigen mailservers had moeten instellen om geen uitgaande mail naar die oude domeinen toe te staan"

Als ze dit hadden gedaan, was het vrijkomen van die domeinen helemaal geen issue geweest en had men gewoon een foutmelding gekregen als ze 'lui' of ignorant waren geweest.

Overigens 'op de loer liggen' zou impliceren dat hij dit vooraf van plan was geweest als zijnde scheme. Hij (de 'hacker', maar eens, gewoon social engineering) heeft politie NL al 2 jaar terug op de hoogte gebracht van dit potentiële risico.

Het is gewoon 100% verwijtbaar, -wie- je het verwijt is echter een tweede. Organisatie rommelig, (giga) grote infrastructuur wijzigingen, corrupt bestuur, ... en uiteindelijk de IT'er die die rule niet heeft ingesteld.

Zou niet mogelijk moeten zijn bij een overheid instantie :|

[Reactie gewijzigd door sarcast op 20 januari 2017 13:34]

Ik mis niets van zijn punt. Het komt ongeveer overeen met jouw punten. Ik heb het geen seconde over verwijtbaarheid gehad. Schuldvraag is helemaal niet relevant in deze, er is namelijk maar één schuldige en vooral domme partij en dit is de politie, of tenminste haar IT dienst.

Het feit is, dat alles wat vooraf moet gaan aan dit 'lek' (waarmee ik niet bedoel dat er gelekt is, werkwoord, maar dat er iets lek is) is gebeurd en vrij eenvoudig valt te voorspellen. Wij kunnen het vanuit onze expertise misschien voorkomen, maar de gemiddeld Project Manager is alleen maar bezig met groene vinkjes op een requirements en mijlpalen lijstje en als niemand van hogerhand af vraagt of de werkwijze veilig is, dan wordt er geen aandacht geschonken aan de veiligheid van de werkwijze. Techneuten worden hierbij stelselmatig genegeerd, want die dragen doorgaans geen pakken en hebben vaak wat wildere haren en baarden. (Niet te serieus of letterlijk nemen dit, you get what I mean).

We hebben hier dus iemand die vanuit het algemeen belang zijn steentje wil bijdragen en de politie tijdig waarschuwt. Vervolgens wordt zijn waarschuwing in de wind geslagen en gaat men verder zoals gepland. Dan rest je niets dan zelf het verhaal af te maken door in te spelen op het risico dat jij als hacker (aanname) ziet in de situatie. Vervolgens speelt het zich precies zo af als gesteld.

Op de loer liggen is niet expliciet verbonden aan 'kwaad in de zin hebben'. Op de loer liggen betekent niets anders dan wachten op een situatie. Deze persoon heeft gewacht tot de geschetste situatie zich voltrok, om te kunnen bewijzen dat de risico's niet slechts op papier bestaan. Dit is uiteindelijk ook bewezen. We hebben het er tenslotte nu over. Dit is inderdaad allemaal met 'voorbedachte rade' uitgevoerd. Dat maakt het nog geen misdaad. (Even afhankelijk of dit nog in het 'white' gebied valt.

Kortom; Ik begrijp niet waarom we het steeds (vooral in reactie op mij) over de schuldvraag hebben, aangezien ik geen enkel moment refereer naar schuld. Of je nu White of Black bent, inspelen op Sociale gedragingen is één van de pilaren van hacking. Een hacker zal misschien een fractie van zijn tijd bezig zijn met het daadwerkelijk inbreken, maar het gros spenderen aan de juiste personen met de juiste gegevens en precies genoeg stupiditeit, om via een trusted source binnen te kunnen komen in de omgeving op het goede niveau. In dit geval is het technisch niet goed doordacht, heeft dit impact gehad op data met enige gevoeligheid en zijn waarschuwing daarover genegeerd.
Schuldvraag was meer voor de algemene discussie en niet specifiek gericht als reactie op jou.

Mijn reactie op zijn punt ging over het feit dat je voorbij ging aan zijn eerste zin:

"Dit is gewoon een grote fout van de ICT van de Politie welke sowieso al hun eigen mailservers had moeten instellen om geen uitgaande mail naar die oude domeinen toe te staan"

Kreeg daardoor het idee dat je het gemist had.

De schuldvraag is naar mijn mening overigens wél relevant, met name omdat de politie nogal duwt naar verantwoordelijkheid van de burgers en agenten (compleet fout imo).
Dit is gewoon een grote fout van de ICT van de Politie welke sowieso al hun eigen mailservers had moeten instellen om geen uitgaande mail naar die oude domeinen toe te staan zodat intern die info niet meer per ongeluk kan worden verstuurd
Voor interne mail heb je gelijk, maar hoe zit het met mail die van buiten komt :?
en ook die domeinen niet gelijk vrij te geven aan iedereen om ze te gebruiken...
Ze zijn niet vrijgegeven, de registratie is verlopen, iets wat automatisch gebeurt bij niet tijdig verlengen/betalen. Klein maar niet onbelangrijk verschil.
Vrijgeven/laten verlopen, oke er is een verschil maar uiteindelijk hebben ze het gewoon laten gaan ;)
" Politie welke sowieso al hun eigen mailservers had moeten instellen om geen uitgaande mail naar die oude domeinen toe te staan zodat intern die info niet meer per ongeluk kan worden verstuurd "

Ok en dan stuurt Jan de Brandweerman van korps Lutjebroek hun veiligheidsplan van Kerstmarkt Lutjebroek naar bromsnor@politie-lutjebroek.nl en dan komt het toch nog steeds bij de hacker terecht? Het gaat juist om de externe inkomende mail, aangezien mensen nou eenmaal slecht hun adressenbestanden bijwerken. Daarnaast 'helpen' veel clients zoals Outlook ook door eerder gebruikte adressen aan te vullen, dus blijft de kans groot dat de externen de oude domeinen blijven gebruiken.

De Politie had dus moeten inzien dat die domeinen kwetsbaar zouden blijven en dus moeten reserveren of via SIDN moeten voorkomen dat ze opnieuw geregistreerd zouden worden.
De oplossing zou inderdaad tweeledig moeten zijn, inderdaad ivm externen.
Die externen (IT systemen) zijn echter niet de verantwoordelijkheid van de politie zelf imo, en de impact had meer dan gehalveerd kunnen worden als de politie IT dienst een vrij simpele blokkade had opgericht.
Hoe kan de Brandweerman of de Gemeente of wie dan ook de mailservers van de Politie gebruiken voor een niet-Politie domein 8)7 Dan moeten dus alle diensten die *mogelijk* met de politie te maken hebben hun mail via de Politie gaan sturen?

Het gaat namelijk om *elke* externe partij die de politie-domeinen gebruikt als begunstigde. Dat je misschien de Brandweer nog zo gek kan krijgen ok, maar een Gemeente gaat echt hun post niet standaard via de Politie-mailservers sturen...
Verwijs je naar mijn eerste comment:
zodat intern die info niet meer per ongeluk kan worden verstuurd
Ik zeg toch ook niet dat dit de brandweer of bakker bart tegen houdt?
Zeg echter wel dat hiermee de agent zelf niet even e.a. kan opsturen....

[Reactie gewijzigd door RGAT op 20 januari 2017 11:25]

Ja en ik geef dus aan dat je daarmee het probleem bij lange na niet oplost. Je dicht alleen het grootste lek, maar aan de andere kant is de pakkans veel groter bij de Politie zelf dan bij een externe partij. De Politie heeft er namelijk geen zicht op als Gemeente X per ongeluk naar de hacker mailt in plaats van naar de Politie. Dat is het grote gevaar.
Dus samengevat moet iedere mailserver dus nu instellen dat @politiebrabantnoord.nl niet meer mogelijk is ?
( zijn er best véél, ALLE mailservers in de wereld )

Nee, het probleem is 20 jaar geleden ontstaan toen elk korps zichzelf moest voorzien van apparaten.
Dát was nog niet zo lastig, maar toen 5 jaar gelden 'de opdracht' kwam -> het wordt @nbr.politie.nl
Dus er moest 15jaar zomaar omgezet worden.

Onze pac is administratief snel, bij melding is het omgezet ( we sturen dagelijks tientallen mails naar alle korpsen )
Maar jan klaassen, die één keer per jaar een mail verstuurd naar divisiechef@nbr.politie.nl stuurt, maakt nogal snel de fout om divisiechef@politiebrabantnoord.nl ( auto invullen ) te gebruiken.

edit :
Dat de nieuwe registrant mails krijgt die dus 'eigenlijk' naar RP21 moeten, maar het verkeerd verzend, is NIET helemaal de schuld van de politie ict.
( al hadden ze het wel even moeten incalculeren :+ )

Hier zijn alle 'afgedankte' domeinnamen gewoon geparkeerd op een goedkope registrar, en in eigen 'beheer'

[Reactie gewijzigd door FreshMaker op 20 januari 2017 12:42]

Niet eens dat, dit is gewoon het wachten tot een domein naam is verlopen 8)7 .

Hacker is hier echt een term die niet klopt, ik zou eerder gewoon "Zijn de domeinnamen In de handen van een burger gevallen doordat die de domeinnaam kocht zodra die weer vrij was." of iets dergelijks zeggen.
'In handen gevallen van een burger die voor beroep ethisch hacker is maar eens in het jaar ook de vrijwilligersmarkt in Kudelstaart helpt' was passender geweest? ;)
Die man is een ethisch hacker, er wordt nergens gesuggeerd dat hij de Politie gehackt heeft?
Dus als die voor beroep bakker was had je gezegd "in de handen gevallen van een bakker"?

Nee dat denk ik niet, dus de term hacker heeft hier helemaal geen toepassing maar zorgt wel dat een lezer kan denken dat de politie "gehacked" is. IMO onnodig.
@ alle voorgaanden

Als het kind echt een naam moet hebben en dit inderdaad hacken noch cracken is en al evenmin social engineering, noem het dat gewoon exploiten. Want dat is het uiteindelijk: het gebruiken van een perfect legaal en normaal mechanisme voor andere dan voorziene doeleinden (in het Nederlands: uitbuiten). De intentie van Slotboom om dit te bereiken was er, dus het gewoon een burger noemen noemen die dit per ongeluk bereikt is ook niet correct.
Op een bepaalde manier zijn ze dan ook gehackt, grote slordige fout van degene die de ICT voor de Politie verzorgt namelijk.
Hacken is al lang niet meer (eigenlijk ook nooit geweest) zoals het er in de films uit ziet, iemand die in de Die Hard 4 film even de hele boel bij elkaar hackt terwijl er op m geschoten wordt en Mclane een auto door het kantoor ramt, een systeem weten te kraken op een manier dat je gegevens kan verkrijgen is in principe hacken...
Misschien wel ja, had namelijk wel leuk gestaan als een wat ICT betreft onnozele bakker/tandarts/... dit wel had uitgevogeld en de Politie Nederland niet ;)
Als we de definitie van Wikipedia hanteren valt dit zeker wel onder hacken.

Hacken is "het vinden van toepassingen die niet door de maker van het middel bedoeld zijn". Het is niet de "bedoeling" dat het domeinnaamregistratie systeem wordt misbruikt om van verlopen domeinnamen e-mails te onderscheppen omdat mensen hun contacten niet bijwerken.

Dat het niet de bedoeling is, blijkt uit het feit dat de politie hier geen rekening mee heeft gehouden.

Onderschat dit idee niet; kom er maar 's op! Dat de uitvoering verder kinderlijk eenvoudig is, spreekt alleen maar voor de vindingrijkheid van deze "hack".
Zeker. De kracht van simpliciteit wordt belachelijk vaak onderschat. Soms zijn dingen zo verrekte simpel, dat zowel de ontwikkelaars als eerdere onderzoekers er niet eens aan gedacht hebben.

Dat moet inderdaad nooit onderschat worden.
Misschien dat hij andere dingen en noemt hij zichzelf hacker. En daar zit dan o.a. bij om verlopen domeintjes te verkopen. Ondertussen is hij vast wel assembly code injection aan het schrijven om delen geheugen aan te passen op het [beep] netwerk ofzo als een echte hacker.
Zelfs dat niet, hij heeft alleen een verlopen iets geregistreerd en de rest zijn gewoon slordigheden van de politie.

Echter staat ook nergens dat hij iets gehackt zou hebben, er staat alleen dat er informatie is in handen van een hacker. Ook in zijn vrije tijd blijft een postbode gewoon een postbode, met een hacker is dat hetzelfde lijkt me.
Ik denk dat Jambers het daar niet mee eens zou zijn.
Bruteforce heeft met hacken zowiezo weinig te doen. Vind meer toepassing in het cracken.

Overigens is "social engineering" het manipuleren van mensen, met als doel ze te bewegen gevoelige informatie te verstrekken. Daar is hier volgens mij ook geen sprake van.

Deze etische hacker heeft gewoon een gat gezien waardoor hij willekeurige gevoelige politie informatie in handen kreeg. Het toont op een eenvoudige manier aan dat er over het security aspect van beslissingen vaak niet voldoende nagedacht wordt.
Als je registreren van een domein al hacken gaat noemen word het wel een heel breed begrip. Voor mij blijft het woord hacken staan voor het verschaffen van toegang door daadwerkelijk het systeem te compromitteren. Social engineering is niet hetzelfde.
Eens, het is op de regel van de definitie ook geen hacken. Alleen hacken is tegenwoordig meer dan de definitie.
Gaan we weer. Zoek ff het verschil tussen hacken en cracken op. En blijf weg van 'hacken' te gebruiken zoals het NOS 8 uur journaal dit doet.
Nee, dit is nog veel beroerder. Tegen het virus die voor het beeldscherm zit is geen beveiliging opgewassen.
Dit is meer dan slordig.
Je kunt de domeinnamen behouden maar je zou ook met subdomeinen kunnen werken. Waarom zou je www.politiebrabant.nl moeten hebben als je ook brabant.politie.nl kunt gebruiken.
Ik kan me voorstellen dat 3.600 (en wellicht meer) domeinnamen een vermogen kosten.
Het sec registreren van een domeinnaam kost een paar euro per jaar. Ok, dan moeten ze nog beheerd worden, maar als je daar een goede geautomatiseerde tool voor inzet, heb je het per jaar misschien over 20K voor registratie + beheer. Dat lijkt mij peanuts voor de IT-organisatie van de politie.
Het alternatief - namelijk dat er van alles uitlekt - is vele malen schadelijker/duurder.

[Reactie gewijzigd door Plague op 20 januari 2017 09:39]

Het sec registreren van een domeinnaam kost een paar euro per jaar. Ok, dan moeten ze nog beheerd worden, maar als je daar een goede geautomatiseerde tool voor inzet, heb je het per jaar misschien over 20K voor registratie + beheer. Dat lijkt mij peanuts voor de IT-organisatie van de politie.
Waardoor je phishing in de hand werkt.

Er is één Nationale Politie, dus één domeinnaam: politie.nl. Voor projecten/segmentering kan je subdomeinen gebruiken. Tegelijkertijd moet je legacy in stand houden door elke oude domeinnaam 1-op-1 door te laten verwijzen naar het nieuwe domein, om zo te voorkomen dat oude domeinnamen misbruikt worden. Mail naar het oude domein kan je simpelweg weigeren/bouncen met de opmerking dat een nieuw emailadres gebruikt moet worden dat eindigt op @politie.nl. Dus niet forwarden, want dan blijft men oude adressen gebruiken.

[Reactie gewijzigd door The Zep Man op 20 januari 2017 10:18]

ben ik dan de enige die het al bedenkelijk vind dat vertrouwelijke documenten per mail worden gestuurd? óO Dat is al het eerste puntje waar het stevig mis gaat.
ben ik dan de enige die het al bedenkelijk vind dat vertrouwelijke documenten per mail worden gestuurd? óO Dat is al het eerste puntje waar het stevig mis gaat.
Het verzenden an sich is niet zo'n probleem

Het niet ZELF controleren op de ontvanger, dat lijkt me een issue.
Als ik Ziggo wil bellen, zorg ik er toch ook voor dat ik het nummer van Ziggo draai, en niet willekeurig wat op mijn toestel bash, naar wat ik aanneem het ooit geweest was.

Met daarbij een controle vraag "is dit het juiste domein ?" ( eventueel telefonisch ) voor ik ga verzenden
Je ziet liever dat ze dat voor elke scheet een aangetekende brief sturen? En dan maar klagen dat het politieapparaat zo slecht werkt.
het verzenden per mail is wel degelijk een probleem. In de tekst staat vermeld dat het om vertrouwelijke documenten gaat, waaronder bv een veiligheidsrapport voor een evenement. Vertrouwelijke en geheime documenten verstuur je per definitie niet per mail (wat een vrij onbetrouwbaar medium is securitywise).

Het betekend zoals je hier in de praktijk ziet dat bij een simpel administratief foutje (domeinnaam vergeten te verlengen) bergen documenten op straat kunnen komen te liggen.
Ik weet niet in welke wereld jij leeft, maar vertrouwelijke documenten worden al sinds jaar en dag gewoon per e-mail verzonden.

Een verkeerd adres op een envelop zetten kan ook vervelende gevolgen met zich mee brengen.
dat is ook een groot securityissue dus. Mail is een rampzalig slecht beveiligd systeem. Dat is waarom je dus geen vertrouwelijke documenten per mail wil verzenden.

Dat mensen het doen, doet geen enkele afbreuk daaraan en het is nogal schadelijk dat een overheid (politie in dit geval) blijkbaar stug blijft vasthouden aan het versturen van gevoelige /vertrouwelijke/classified informatie per mail.

In welke wereld ik dus leef? In de wereld waar security belangrijk is en waar de standaard van gisteren geen enkele garantie geeft voor vandaag, dus waarin je je moet aanpassen.
Briefpost is evenslecht beveiligd. Misschien nog wel slechter, want veel e-mail communicatie verloopt tegenover over TLS. Daarbij is dus in ieder geval de communicatie nog encrypted.

Briefpost is ook makkelijker 'te tappen' dan een e-mail. Om een e-mail te tappen moet je behoorlijk in het netwerk van danwel de ontvanger of de verzender zitten of in de tussenliggende ISPs.

Dat is een stuk lastiger dan als vriendelijke medewerker die 'toevallig even een peukie ging roken' buiten het kantoor de post van de postbode aannemen.

E-mail is zeker niet heilig qua security, maar dat is briefpost ook absoluut niet. Het is niet voor niets dat banken bankpasjes versturen in blanco enveloppen en de pincode daar niet bij vermelden. Als briefpost zo veilig zou zijn hadden ze dat wel gedaan.

Kortom, als je geen vertrouwelijek documenten per mail kan versturen dan kan dat ook niet per post. Dan blijft er weinig over.
waar zei ik briefpost? en er blijven genoeg opties voor. Bergen systemen voor het veilig doorgeven van vertrouwelijke documenten.

Je maakt aannames.
Maar als iets peanuts is hoef je het nog niet over de balk te gooien. Daarnaast ontbreekt het aan visie. Maar wat LOTG ook al zei: van oudscher is dit waarschijnlijk zo gegroied. Neemt niet weg dat je (met overgangsperiode) de boel wel anders kan doen.
De ironie is dat de politie dit nu waarschijnlijk juist heeft gedaan (of één verzameldomein @politie.nl). Wat an sich uitstekend is, maar men had niet de oude domeinnamen op moeten heffen. Daar ging het mis.

Laten we zeggen dat het om 30 domeinnamen ging (de oude regiokorpsen en nog wat losse domeinnamen), dan heeft de politie 300 euro per jaar bespaard om zich vervolgens dit soort ellende op de hals te halen. Penny wise, pound foolish?
"De Politie stelt in een reactie dat er tot nu 3600 oude domeinnamen door de politie zelf zijn geregistreerd, maar dat er enkele tussendoor geglipt zijn."

Dat is dus een factor 120, dan heb je het al over € 36.000. Alhoewel er vast geen tientje per domeinnaam wordt betaald, maar dat ter zijde.
Een domainnaam + forwarding is er al rond de 6 euro. Maar het zal in totaal beslist meer zijn dan 300 euro per jaar :)
Het gaat om .nl domeinnamen welke worden aangeschaft via KPN Corporate Market die de dienstverlening aan de overheid vanuit KPN regelt en ik vermoed dat de prijzen per domein stukken lager liggen dan 6 euro per domein (via SIDN uit m'n hoofd is het afhankelijk van de afname tussen de 3 en 5 euro per jaar maar meer iets van 90c per kalenderkwartaal). Dan heb je ook nog eens staffelkorting bij veel bedrijven (vast ook als overheid bij KPN) dat je veel 3000 domeinen een stuk goedkoper zijn per stuk dan 5. Als het voor kostenbesparing gedaan zou zijn is het naar mijn idee een vreemde keuze.
Ik denk dat daar bij de invoering niet goed over na gedacht is al die jaren geleden en dat men dat nu wilde oplossen met 1 domein.

Het kan ook goed zijn dat ieder korps zelf verantwoordelijk was voor zijn eigen email, dan krijg je ook snel dit.

Onze overheid staat niet bekend om hun geweldige beslissingen op ICT gebied.
Met subdomeinen werken had dan wel vooraf ingeregeld moeten worden. En is dus geen oplossing voor dit probleem.
Want het kan achteraf niet aangepast worden? :?
Het domein politiebrabantnoord.nl is in gebruik geweest voor email ( die adressen staan dus her en der in de autocomplete),als je nu subdomeinen in gaat voeren dan los je dat probleem niet op.
is het raar als ik zeg dat ik had verwacht dat de politie geen stukken onversleuteld zou mailen... of via dropbox.politie.nl zou werken, of PGP zou gebruiken, het is immers niet zo moeilijk een email systeem uit te rollen waarin autook automagisch naar keyserver.politie.nl gaat om iemand pub te downloaden, en het bericht te versleutelen voordat de verzending plaatsvind.

dan kan ik hierboven wel zien dat ze uitbreiden met IT-crime teams, als ze hun eigen infra niet eens op orde hebben zie ik daar alsnog weinig nut in...
Dat is zeer naief gedacht lijkt me, want het is algemeen bekend dat de politie achterloopt op ICT gebied.
Dat dit op deze manier ingericht zou moeten worden, ben ik het zeer mee eens. Maar ik denk ook dat dit voorlopig niet gaat gebeuren...
De crux zit hem dat het geen 1 maar veel meer IT partijen zijn bij de politie. Ze zitten in de transitiefase om alles samen te voegen, dat duurt vrij lang. In ons bedrijf duurt dat (nog steeds) ook lang, zoals alle grote organisaties. Het is niet zo eenvoudig als de meeste mensen denken.

Dit "datalek" had echter eenvoudig voorkomen kunnen worden, maar achteraf is het altijd gemakkelijk lullen!
het probleem is hier dat je redenatie niet opgaat,

er is altijd sprake van een driehoek,

gemak / bruikbaarheid, snelheid in onwikkeling, kostprijs (goedkoop),

je kiest er altijd 2,

bij bedrijven zou die balans altijd uitvallen naar prijs en een van de 2 anderen, bij de overheid verwacht je echter dat ze altijd voor kwaliteit en snelheid gaan... de maatschappelijke veiligheid en de stuurbaarheid van ons lang hangen er immers vanaf..
Zoals ik zei: het is niet zo eenvoudig als de meeste mensen denken. Ik vind je theorie buitensporig interessant en dat zou iedereen in z'n achterhoofd moeten houden. Maar de IT afdeling van de politie heeft een hele lange weg te gaan in de nationalisering van de hele organisatie. Als jij denkt dat dat in 5 jaar op orde is, dan vraag ik je toch om onder de steen vandaan te komen. Dit is echt een hele grote operatie, waar jij je echt geen voorstelling van kan maken. Dat is zo'n complex en langdurig proces.

Overheid en veiligheid gaan niet hand-in-hand samen, kijk maar naar opmerkingen zoals zo'n sul van een Plasterk maakt. Die hebben er echt niks van begrepen, maar bepalen uiteindelijk wel. Blij dat ie z'n keutel intrekt, waarschijnlijk vanwege de vele kritiek.
Maar als de overheid niet naar geld kijkt, is er weer het commentaar uit de maatschappij dat de overheid ook zelf eens moet gaan besparen i.p.v. dat ze de rekening altijd bij de "hardwerkende Nederlander" neerleggen....
Die registreerde de domeinnamen en kreeg de vertrouwelijke informatie zo toegemaild.
Ik kan niet begrijpen waarom dit niet encrypt gemaild wordt d.m.v. Cryptshare of iets dergelijks. Waarom wordt er met vertrouwelijke informatie zo slecht om gegaan als er over het internet data wordt verstuurd??
Hoe denk je dat politici etc mailen met elkaar? Ook niet encrypted hoor. Sommigen gebruiken zelfs vrolijk Gmail voor hun zakelijke mail (denk aan minister Kamp). Een leek gaat echt zijn mail niet encrypten.
Ligt eraan hoe gevoelig de mail is. Ik vind dat het vanuit de overheid verplicht moet worden dat een overheidsinstelling zoals de politie bestanden wel encrypt moeten versturen. Via Cryptshare moet je als ontvanger nog steeds een code invoeren, dus mocht iemand het mailtje onderscheppen/inlezen dan liggen de bestanden niet op straat.
Je moet helemaal geen documenten mailen. Helaas zijn documentbeheersystemen waardeloos in gebruik, maar dat is wel de enige juiste manier om met documenten om te gaan. Via email zou je alleen een link naar een document mogen sturen, die je vervolgens alleen maar kunt ophalen als je de rechten daarvoor hebt.
jongens......zo iets simpel zou toch niet mogen gebeuren...
Ik kan me voorstellen dat je er niet over nadenkt. Maar Wouter had ze er dus al twee jaar geleden op attent gemaakt. Het is kwalijk dat ze daar niets mee hebben gedaan, en het is kwalijk dat ze nu de verantwoordelijkheid bij anderen leggen.
Spelfout in het artikel: @poltie.nl

Ik weet dat je spelfouten moet melden op het forum, maar ik bedacht dat @poltie.nl natuurlijk wel een leuk domein is om te hebben aangezien dit een veelvoorkomende spelfout is.

De ironie van zo'n spelfout in een artikel over verkeerd verzonden mails ontgaat me niet :o .
Ik zat hier ook even te denken "nou, zullen we die dan even pakken en doorsturen naar dit artikel" hehe, maar ik ben toch maar iets anders gaan doen vandaag dan politie pesten.
Als je je domeinnaam niet verlengt, duurt het nog meer dan een maand vooraleer iemand anders die kan gebruiken. Als je in die periode dan een e-mail stuurt naar een e-mailadres van dat domein, dan krijg je die met een foutmelding terug. Op die manier hadden ze toch de kans om adresboeken up te daten, en de verantwoordelijke personen intern op de hoogte brengen.

Soms bevatten vertrouwelijke e-mails beneden ook een disclaimer, dat wanneer je een e-mail ontvangt die niet voor jouw bestemd is, dat moet signaleren aan de afzender. Ik weet niet in hoeverre dit juridische waarde heeft.
Ik weet niet in hoeverre dit juridische waarde heeft.
Geen enkele.
Simpel gezegd zijn er twee dingen waaraan je je moet houden: wetten, en overeenkomsten, voor zover die overeenkomsten niet in strijd zijn met de wet. Een overeenkomst sluit je af VOOR je iets onderneemt, niet op het moment zelf.

(Ik kan ook in een disclaimer opnemen dat iedereen die van mij een mailtje ontvangt verplicht is 1000 Euro over te maken. Maar ik denk niet dat ik daar rijk van ga worden.)
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True