HIT2000: sites van ict-beveiligers zelf ook vaak lek

Volgens HIT2000 is het zeer droevig gesteld met de webveiligheid van bedrijven die in Nederland gevestigd zijn. HIT2000 onderzocht 98 ICT-beveiligingsbedrijven die hun diensten of producten in Nederland aanbieden. Iets meer dan de helft van de sites van deze bedrijven zijn 'overtuigend lek'. Bedrijven waarvan de sites wel goed beveiligd zijn hebben vaak hackers in dienst. Hieronder een gedeelte uit het artikel:

Onder de bedrijven met volgens HIT2000 lekke sites behoren bekende namen als Cap Gemini, Cisco, Computer Associates, Compaq, Symantec en RSA Security. HIT2000 noemt het kwalijk dat er veel bedrijven in de lijst voorkomen die software maken als virusscanners, firewalls en encryptietechniek.

Ook bij XS4ALL zijn een aantal fouten geconstateerd op het serverpark dat gebruikt wordt voor de hostingactiviteiten. Volgens HIT2000 waren er meer permissies te verkrijgen die het mogelijk maakten om in alle directories te kijken. Hierdoor zouden 'vrij eenvoudig' persoonlijk gegevens zijn achterhaald bij een door XS4ALL gehoste pornosite.

Door Robin van Rootseler

Developer

Feedback • 30-01-2001 18:46 39

30-01-2001 • 18:46

39

Bron: IDG WebWereld

Lees meer

Internetveiligheid nog ver te zoeken volgens rapport
Internetveiligheid nog ver te zoeken volgens rapport Nieuws van 20 november 2002
XS4ALL wijst kritiek HIT2000 op beveiliging van de hand
XS4ALL wijst kritiek HIT2000 op beveiliging van de hand Nieuws van 31 januari 2001
Bedrijfsnieuws

Reacties (39)

-Moderatie-faq
39
37
31
4
2
0
Wijzig sortering

Sorteer op:

Weergave:
altern8 30 januari 2001 19:55
Inmiddels staat het volgende op xs4all:
HIT2000 heeft gemeld dat het vrij eenvoudig is leesrechten te verkijgen op het shared webhosting platform van XS4ALL, zoals dat gebruikt wordt voor de Professional Websites.

Deze constatering is terecht; het is namelijk inherent aan shared webhosting dat de bestanden die samen een website vormen, leesbaar moeten zijn om ze te tonen op internet. Dit is algemeen geldend en niet specifiek voor het platform van XS4ALL.

De lees- en schrijfrechten (Œpermissies) per bestand worden bepaald door de bouwer van de site. XS4ALL geeft hierover informatie op http://www.xs4all.nl/helpdesk/algemeen/faq/chmo d_faq.html

XS4ALL wijst bouwers en eigenaren van websites er nadrukkelijk op dat zij zelf verantwoordelijk zijn voor het beveiligen van de content van hun website. XS4ALL stelt de daarvoor benodigde middelen ter beschikking. De verantwoordelijkheid voor het correcte gebruik van deze middelen ligt bij de bouwer van de site. De mate van beveiliging is een afweging tussen kosten en moeite enerzijds en de mate van vertrouwelijkheid van de gegevens anderzijds. Deze beveiligings- afweging kan niet door XS4ALL worden gemaakt.

De in de publiciteit genoemde "geheime sleutel" heeft betrekking op het standaard geinstalleerde web-shop-script. Deze sleutel is een onbruikbare dummy en wordt standaard als voorbeeld meegeleverd bij enkele shared webhosting producten.
BadRespawn @altern830 januari 2001 21:15
ik wou al zeggen: hackers grijp je kans, want xs4all looft een appeltaart en een jaar gratis account uit voor degene die xs kan hacken.

bedenk dat xs uit de hackers scene voortkomt en dus een naam hoog te houden heeft.
tazitiz @BadRespawn30 januari 2001 22:23
Die appeltaart is een oud XS4all gebruik, wat al enige tijd niet meer (volgens mij) van toepassing is. Onder andere vanwege de overname door KPN, en de echte hackers werken er ook niet meer.

doe je best, kijk de nieuwste exploits na, en als er net een bekend wordt voer die uit op xs, die appeltaart krijg je heus niet hoor.
nielsj @tazitiz31 januari 2001 00:05
Dan moet dat na de hccdagen geweest zijn :)

Ik heb daar nog lekker een puntje appeltaart staan eten :P
WausMaus 30 januari 2001 18:49
Hierdoor zouden 'vrij eenvoudig' persoonlijk gegevens zijn achterhaald bij een door XS4ALL gehoste pornosite.
Hmm, ja, maar dat is nu volgens mij toch de schuld van de eigenaar van die porno site en niet die van xs4all.
Verwijderd @WausMaus30 januari 2001 18:51
niet als je virtueel gehost zit lijkt mij zo.
edit:
ik heb nou niet echt door of het gaat over persoonlijke gegevens van eigenaar of klanten van die pornosite. Bij geval 2 is het natuurlijk idd de schuld van de sitebeheerder. Verhaal geeft nou niet echt superveel details over de hack.
Verwijderd @Verwijderd30 januari 2001 20:28
En dan nog, als hosting provider ben je vindt ik ook verantwoordelijk voor je klanten en de eventuele scripts die zij draaien, en dan vindt ik dat je die dus iig ff moet testen op de veelvoorkomende beveiligings lekken :)

Natuurlijk zullen er altijd wel exploitable bugs blijven :(
Maaruh het komt toch wel errug vaak voor dat sites lekken op punten die met behulp van eenvoudige check scripts gevonden hadden kunnen worden.

Een goed voorbeeld daarvan is bv de recentelijke MS-site hack die niets meer betrof dan het default SQL password inkloppen :r
The Jester @WausMaus31 januari 2001 07:50
Hoor eens, bij een goeie porno-site staat alles open ;)
ThE_ED @The Jester31 januari 2001 13:35
[off topic]Opvallend dat de voorgaande reactie word aangemerkt als 'inzichtvol'.[/off topic]
Kanarie 30 januari 2001 18:54
Computers en vooral de bijbehorende software zijn inmiddels zo complex en groot dat er altijd wel een lek is te vinden, dat bewijst dit artikel maar weer eens.
En hackers in dienst hebben is inderdaad een veel betere beveiliging..maar zelfs zij weten niet altijd alle lekken te vinden.
Neelix @Kanarie30 januari 2001 19:09
Op Slashdot was laatst een link te vinden naar een artikel over een hacker/phreaker die een firewall businessje heeft opgezet.
Daarin werd opgemerkt dat het steeds vaker gebeurt dat bedrijven hackers in dienst nemen om security te regelen, maar dat dit niet altijd goed gaat...

Dus ook daar moet je mee uitkijken...

link naar artikel (gratis registratie vereist): http://www.nytimes.com/2001/01/29/technology/29 CAP.html
Aaargh! @Neelix31 januari 2001 02:51
(gratis registratie vereist)
voor de paranoide medemens die geen zin heeft z'n gegevens vrij te geven (of om steeds in te loggen enzo):
die registratie is eenvoudig te omzeilen, voeg de volgende regel toe aan je /etc/hosts file (msdos 9x/NT heeft volgens mij een zelfde soort file ergens, maar geen idee waar)

208.48.26.217 www.nytimes.com
MeNTaL_TO @Aaargh!31 januari 2001 09:05
Dat is als ik mij niet vergis het bestand hosts.
Die staat in \windows
Verwijderd @Aaargh!31 januari 2001 11:48
En op NT onder:

%SYSTEMROOT%\SYSTEM32\DRIVERS\ETC\HOSTS

(een hosts.sam sample is daar al aanwezig)
JeroenE @Aaargh!31 januari 2001 12:26
Je kan ook "www" door "partners" veranderen in de url, dus http://partners.nytimes.com/2001/01/29/technolo gy/29CAP.html
Aaargh! @Aaargh!31 januari 2001 16:56
dat heeft als enige nadeel dat je steeds die linkjes moet gaan aanpassen, eenmalig ff je hosts file aanpassen en je kan altijd gewoon doorklikken :)
Ulysses 30 januari 2001 18:57
Oh, mooi, dat ze Symantec noemen... effe een nieuwe "update" uitbrengen.... ;)

Nee, serieus, ik vind het een schande en uitermate verwonderlijk dat gerenomeerde bedrijven niet in staat blijken te zijn jong talent zoals hackers op te picken uit newsgroups en een leuk contract aan te bieden. Een ongeschoolde hacker is veel goedkoper als een beveiligings-"expert" en levert ook beter werk af.

Een bankier herkent echt geld van vals, maar een valsmunter nog veeeel beter.
arjenk|IA @Ulysses31 januari 2001 00:25
De oplossing is dus niet zo makkelijk als je schetst. En het inhuren van hackers is niet de oplossing.

Om even door te gaan op je analogie: Huurt een bank de bankrover in voor de beveiliging? Huurt een bank de valsemunter in voor het onwerpen van nieuwe bankbiljetten? Natuurlijk niet! De bank heeft mensen in dienst die veel slimmer zijn, veel meer geld verdienen en al was het alleen al omdat ze er in slagen dat op een legale manier te doen!

Zoals door anderen hier ook al gezegd is: op een hoge uitzondering na deugt de mentaliteit van de hacker gewoon niet, dat zijn geen types die je in kunt huren. Beveiligingslekken worden niet alleen veroorzaakt door fouten, veel systemen worden ook gekraakt door achterdeurtjes die er door producent/installateur van de software in zijn achtergelaten.

Wie moeten dan wel je helden zijn? De bedenkers van beveiligingen, diegenen die iets bedacht hebben waar onnoemelijk veel koeien }:O op staan te grazen, de programmeurs die hard werken aan het dichtmaken van geconstateerde lekken. Helaas zijn er daar maar heel weinig van. Het meeste is bloed zweet en tranen. Een beetje respect AUB.
Booster @Ulysses30 januari 2001 20:05
Probleem is dat deze 'hackers' het ook niet altijd eerlijk spelen en in dat geval is dat nadelig voor het bedrijf.

Zo makkelijk als jij het allemaal stelt steekt het niet in elkaar.

De meeste hackers kotsen op bedrijven waardoor ze ingehuurt willen worden en kotsen op publiciteit.

edit:

First post my ass.
qmaster @Ulysses31 januari 2001 10:33
Hmmmz Cyberjunk86,

Ga jij nog meedoen met paintball, ik heb namelijk een paar honderd extra verfballetjes besteld speciaal voor jou }> .......

Greeetz Prutser & Qmaster
Ulysses @qmaster30 januari 2001 19:58
ach, tweakers.net(en AOL en WOL, Amazon, MicroSoft, etc. etc. etc.) kan dat ook niet... *zucht* wat wordt ik ziek van flamebaits op ouwe koeien... :r

Trouwens, hoe staat het met jouw webserver? Hoe beveilig je die? Heb je uberhaupt wel eens een server beveiligd? ennum... Wist je dat _alles_ te hacken valt? Heb je ervaring met linux? Ben je hacker? Kun je eigenlijk wel uit eigen ervaring spreken met zo'n briljant ongenuanceerde opmerking?! Heb je wellis een server moeten beveiligen die terwijl jij gaten aan het dichten bent door de provider weer verneukt wordt?!!! ... *zucht* ... houd je sarcasme voor je.

en tot slot: ik zal mezelf nooit hacker (valsmunter) noemen, simpelweg omdat ik daar mijn kennis te beperkt voor acht.
Verwijderd @Ulysses30 januari 2001 21:57
beetje ignorant om te zeggen dat alles te hacken valt...
das een nogal populaire uitspraak, maar klinkt in mijn oren net zo onberedeneerd als "er is geen buitenaards leven"
Ulysses @Ulysses30 januari 2001 22:13
Geef mij een beveiliging die niet te hacken valt?!
Aaargh! @Ulysses31 januari 2001 02:57
beetje ignorant om te zeggen dat alles te hacken valt...
beetje ignorant om te zeggen dat het een beetje ignorant is om te zeggen dat alles te hacken valt.

kijk, b.v. naar een stuk software als Apache, dat is een enorme hoeveelheid regels code, daar moeten gewoon fouten in gemaakt zijn, ook fouten die exploitable zijn, je moet ze alleen vinden en weten te gebruiken.
foutloze software bestaat gewoon niet, software word door mensen geschreven en mensen maken fouten.
Verwijderd 31 januari 2001 11:57
... tegen de in het onderzoek gebruikte methode.
OK, ze hadden dus EEN methode, en die werkte op de helft van de site.
Gunstige uitzondering zouden bedrijven zijn die hackers in dienst hebben...
Ja, nogal een wonder. Die hackers kenden die ene methode ook.

Nee, wat echt triest is is een IT bedrijf die het niet voor elkaar krijgt om een NT4 server (met 10 NT4 clients) aan de praat te houden. Zielig. Maar de rest van de arbeidsvoorwaarden waren goed, evenals de sfeer...
Roeland_ @Verwijderd31 januari 2001 13:01
Ja ok maar die 'ene methode' bestond wel uit meerdere bugs waar op gezocht werd. Wat ze denk ik gedaan hebben is gewoon een verzameling van bekende en minder bekende bugs bij elkaar gezet en daar op gaan scannen.
Verwijderd 30 januari 2001 19:06
Dit is wel logisch, want software en de netwerken van deze bedrijven zijn zo complex, dat er altijd wel wat over het hoofd wordt gezien.
P.S. Dit stond al /heel/ lang op security.nl
Verwijderd 30 januari 2001 19:43
Tja ik denk dat dit weer een heel erug opgepompt verhaal is door onze grote vriend Gery Mansur die nogal aardig media geil schijnt te zijn. Mja dus ik betwijfel dat deze test een goed beeld verschaft :)

offtopic:
Hebben jullie onze gerry ook gezien bij Barend en van dorp, waar onze gerry goed op z'n muil ging ;)
Tja het lijkt Bevelander wel :r
oVRoM 30 januari 2001 21:45
Ook bij XS4ALL zijn een aantal fouten geconstateerd op het serverpark dat gebruikt wordt voor de hostingactiviteiten.
XS4ALL doet gewoon haar naam eer aan :)
Verwijderd 31 januari 2001 09:13
Opvallend dat men geen Vuurwerk noemt, ik vraag me af waarom:

C:\>tracert zzz.hit2000.org

Tracing route to zzz.hit2000.vuurwerk.nl [62.250.145.111]

:D :+ :)
Verwijderd @Verwijderd31 januari 2001 11:41
:)
ja
goed idee
wie is het her een l33t h4x0r ? }>
Verwijderd 31 januari 2001 15:00
Op de site van NetGeneration vind je een hele uitleg van de hackers zelf!

http://www.netgeneration.nl

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq