Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties
Bron: IDG WebWereld

Volgens HIT2000 is het zeer droevig gesteld met de webveiligheid van bedrijven die in Nederland gevestigd zijn. HIT2000 onderzocht 98 ICT-beveiligingsbedrijven die hun diensten of producten in Nederland aanbieden. Iets meer dan de helft van de sites van deze bedrijven zijn 'overtuigend lek'. Bedrijven waarvan de sites wel goed beveiligd zijn hebben vaak hackers in dienst. Hieronder een gedeelte uit het artikel:

Onder de bedrijven met volgens HIT2000 lekke sites behoren bekende namen als Cap Gemini, Cisco, Computer Associates, Compaq, Symantec en RSA Security. HIT2000 noemt het kwalijk dat er veel bedrijven in de lijst voorkomen die software maken als virusscanners, firewalls en encryptietechniek.

Ook bij XS4ALL zijn een aantal fouten geconstateerd op het serverpark dat gebruikt wordt voor de hostingactiviteiten. Volgens HIT2000 waren er meer permissies te verkrijgen die het mogelijk maakten om in alle directories te kijken. Hierdoor zouden 'vrij eenvoudig' persoonlijk gegevens zijn achterhaald bij een door XS4ALL gehoste pornosite.

Moderatie-faq Wijzig weergave

Reacties (39)

Inmiddels staat het volgende op xs4all:
HIT2000 heeft gemeld dat het vrij eenvoudig is leesrechten te verkijgen op het shared webhosting platform van XS4ALL, zoals dat gebruikt wordt voor de Professional Websites.

Deze constatering is terecht; het is namelijk inherent aan shared webhosting dat de bestanden die samen een website vormen, leesbaar moeten zijn om ze te tonen op internet. Dit is algemeen geldend en niet specifiek voor het platform van XS4ALL.

De lees- en schrijfrechten (Œpermissies) per bestand worden bepaald door de bouwer van de site. XS4ALL geeft hierover informatie op http://www.xs4all.nl/helpdesk/algemeen/faq/chmo d_faq.html

XS4ALL wijst bouwers en eigenaren van websites er nadrukkelijk op dat zij zelf verantwoordelijk zijn voor het beveiligen van de content van hun website. XS4ALL stelt de daarvoor benodigde middelen ter beschikking. De verantwoordelijkheid voor het correcte gebruik van deze middelen ligt bij de bouwer van de site. De mate van beveiliging is een afweging tussen kosten en moeite enerzijds en de mate van vertrouwelijkheid van de gegevens anderzijds. Deze beveiligings- afweging kan niet door XS4ALL worden gemaakt.

De in de publiciteit genoemde "geheime sleutel" heeft betrekking op het standaard geinstalleerde web-shop-script. Deze sleutel is een onbruikbare dummy en wordt standaard als voorbeeld meegeleverd bij enkele shared webhosting producten.
ik wou al zeggen: hackers grijp je kans, want xs4all looft een appeltaart en een jaar gratis account uit voor degene die xs kan hacken.

bedenk dat xs uit de hackers scene voortkomt en dus een naam hoog te houden heeft.
Die appeltaart is een oud XS4all gebruik, wat al enige tijd niet meer (volgens mij) van toepassing is. Onder andere vanwege de overname door KPN, en de echte hackers werken er ook niet meer.

doe je best, kijk de nieuwste exploits na, en als er net een bekend wordt voer die uit op xs, die appeltaart krijg je heus niet hoor.
Dan moet dat na de hccdagen geweest zijn :)

Ik heb daar nog lekker een puntje appeltaart staan eten :P
Hierdoor zouden 'vrij eenvoudig' persoonlijk gegevens zijn achterhaald bij een door XS4ALL gehoste pornosite.
Hmm, ja, maar dat is nu volgens mij toch de schuld van de eigenaar van die porno site en niet die van xs4all.
niet als je virtueel gehost zit lijkt mij zo.
edit:
ik heb nou niet echt door of het gaat over persoonlijke gegevens van eigenaar of klanten van die pornosite. Bij geval 2 is het natuurlijk idd de schuld van de sitebeheerder. Verhaal geeft nou niet echt superveel details over de hack.
En dan nog, als hosting provider ben je vindt ik ook verantwoordelijk voor je klanten en de eventuele scripts die zij draaien, en dan vindt ik dat je die dus iig ff moet testen op de veelvoorkomende beveiligings lekken :)

Natuurlijk zullen er altijd wel exploitable bugs blijven :(
Maaruh het komt toch wel errug vaak voor dat sites lekken op punten die met behulp van eenvoudige check scripts gevonden hadden kunnen worden.

Een goed voorbeeld daarvan is bv de recentelijke MS-site hack die niets meer betrof dan het default SQL password inkloppen :r
Hoor eens, bij een goeie porno-site staat alles open ;)
[off topic]Opvallend dat de voorgaande reactie word aangemerkt als 'inzichtvol'.[/off topic]
Computers en vooral de bijbehorende software zijn inmiddels zo complex en groot dat er altijd wel een lek is te vinden, dat bewijst dit artikel maar weer eens.
En hackers in dienst hebben is inderdaad een veel betere beveiliging..maar zelfs zij weten niet altijd alle lekken te vinden.
Op Slashdot was laatst een link te vinden naar een artikel over een hacker/phreaker die een firewall businessje heeft opgezet.
Daarin werd opgemerkt dat het steeds vaker gebeurt dat bedrijven hackers in dienst nemen om security te regelen, maar dat dit niet altijd goed gaat...

Dus ook daar moet je mee uitkijken...

link naar artikel (gratis registratie vereist): http://www.nytimes.com/2001/01/29/technology/29 CAP.html
(gratis registratie vereist)
voor de paranoide medemens die geen zin heeft z'n gegevens vrij te geven (of om steeds in te loggen enzo):
die registratie is eenvoudig te omzeilen, voeg de volgende regel toe aan je /etc/hosts file (msdos 9x/NT heeft volgens mij een zelfde soort file ergens, maar geen idee waar)

208.48.26.217 www.nytimes.com
Dat is als ik mij niet vergis het bestand hosts.
Die staat in \windows
En op NT onder:

%SYSTEMROOT%\SYSTEM32\DRIVERS\ETC\HOSTS

(een hosts.sam sample is daar al aanwezig)
Je kan ook "www" door "partners" veranderen in de url, dus http://partners.nytimes.com/2001/01/29/technolo gy/29CAP.html
dat heeft als enige nadeel dat je steeds die linkjes moet gaan aanpassen, eenmalig ff je hosts file aanpassen en je kan altijd gewoon doorklikken :)
Oh, mooi, dat ze Symantec noemen... effe een nieuwe "update" uitbrengen.... ;)

Nee, serieus, ik vind het een schande en uitermate verwonderlijk dat gerenomeerde bedrijven niet in staat blijken te zijn jong talent zoals hackers op te picken uit newsgroups en een leuk contract aan te bieden. Een ongeschoolde hacker is veel goedkoper als een beveiligings-"expert" en levert ook beter werk af.

Een bankier herkent echt geld van vals, maar een valsmunter nog veeeel beter.
De oplossing is dus niet zo makkelijk als je schetst. En het inhuren van hackers is niet de oplossing.

Om even door te gaan op je analogie: Huurt een bank de bankrover in voor de beveiliging? Huurt een bank de valsemunter in voor het onwerpen van nieuwe bankbiljetten? Natuurlijk niet! De bank heeft mensen in dienst die veel slimmer zijn, veel meer geld verdienen en al was het alleen al omdat ze er in slagen dat op een legale manier te doen!

Zoals door anderen hier ook al gezegd is: op een hoge uitzondering na deugt de mentaliteit van de hacker gewoon niet, dat zijn geen types die je in kunt huren. Beveiligingslekken worden niet alleen veroorzaakt door fouten, veel systemen worden ook gekraakt door achterdeurtjes die er door producent/installateur van de software in zijn achtergelaten.

Wie moeten dan wel je helden zijn? De bedenkers van beveiligingen, diegenen die iets bedacht hebben waar onnoemelijk veel koeien }:O op staan te grazen, de programmeurs die hard werken aan het dichtmaken van geconstateerde lekken. Helaas zijn er daar maar heel weinig van. Het meeste is bloed zweet en tranen. Een beetje respect AUB.
Probleem is dat deze 'hackers' het ook niet altijd eerlijk spelen en in dat geval is dat nadelig voor het bedrijf.

Zo makkelijk als jij het allemaal stelt steekt het niet in elkaar.

De meeste hackers kotsen op bedrijven waardoor ze ingehuurt willen worden en kotsen op publiciteit.

edit:

First post my ass.
Hmmmz Cyberjunk86,

Ga jij nog meedoen met paintball, ik heb namelijk een paar honderd extra verfballetjes besteld speciaal voor jou }> .......

Greeetz Prutser & Qmaster
ach, tweakers.net(en AOL en WOL, Amazon, MicroSoft, etc. etc. etc.) kan dat ook niet... *zucht* wat wordt ik ziek van flamebaits op ouwe koeien... :r

Trouwens, hoe staat het met jouw webserver? Hoe beveilig je die? Heb je uberhaupt wel eens een server beveiligd? ennum... Wist je dat _alles_ te hacken valt? Heb je ervaring met linux? Ben je hacker? Kun je eigenlijk wel uit eigen ervaring spreken met zo'n briljant ongenuanceerde opmerking?! Heb je wellis een server moeten beveiligen die terwijl jij gaten aan het dichten bent door de provider weer verneukt wordt?!!! ... *zucht* ... houd je sarcasme voor je.

en tot slot: ik zal mezelf nooit hacker (valsmunter) noemen, simpelweg omdat ik daar mijn kennis te beperkt voor acht.
beetje ignorant om te zeggen dat alles te hacken valt...
das een nogal populaire uitspraak, maar klinkt in mijn oren net zo onberedeneerd als "er is geen buitenaards leven"
Geef mij een beveiliging die niet te hacken valt?!
beetje ignorant om te zeggen dat alles te hacken valt...
beetje ignorant om te zeggen dat het een beetje ignorant is om te zeggen dat alles te hacken valt.

kijk, b.v. naar een stuk software als Apache, dat is een enorme hoeveelheid regels code, daar moeten gewoon fouten in gemaakt zijn, ook fouten die exploitable zijn, je moet ze alleen vinden en weten te gebruiken.
foutloze software bestaat gewoon niet, software word door mensen geschreven en mensen maken fouten.
... tegen de in het onderzoek gebruikte methode.
OK, ze hadden dus EEN methode, en die werkte op de helft van de site.
Gunstige uitzondering zouden bedrijven zijn die hackers in dienst hebben...
Ja, nogal een wonder. Die hackers kenden die ene methode ook.

Nee, wat echt triest is is een IT bedrijf die het niet voor elkaar krijgt om een NT4 server (met 10 NT4 clients) aan de praat te houden. Zielig. Maar de rest van de arbeidsvoorwaarden waren goed, evenals de sfeer...
Ja ok maar die 'ene methode' bestond wel uit meerdere bugs waar op gezocht werd. Wat ze denk ik gedaan hebben is gewoon een verzameling van bekende en minder bekende bugs bij elkaar gezet en daar op gaan scannen.
Dit is wel logisch, want software en de netwerken van deze bedrijven zijn zo complex, dat er altijd wel wat over het hoofd wordt gezien.
P.S. Dit stond al /heel/ lang op security.nl
Tja ik denk dat dit weer een heel erug opgepompt verhaal is door onze grote vriend Gery Mansur die nogal aardig media geil schijnt te zijn. Mja dus ik betwijfel dat deze test een goed beeld verschaft :)

offtopic:
Hebben jullie onze gerry ook gezien bij Barend en van dorp, waar onze gerry goed op z'n muil ging ;)
Tja het lijkt Bevelander wel :r
Ook bij XS4ALL zijn een aantal fouten geconstateerd op het serverpark dat gebruikt wordt voor de hostingactiviteiten.
XS4ALL doet gewoon haar naam eer aan :)
Opvallend dat men geen Vuurwerk noemt, ik vraag me af waarom:

C:\>tracert zzz.hit2000.org

Tracing route to zzz.hit2000.vuurwerk.nl [62.250.145.111]

:D :+ :)
:)
ja
goed idee
wie is het her een l33t h4x0r ? }>
Op de site van NetGeneration vind je een hele uitleg van de hackers zelf!

http://www.netgeneration.nl

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True