LulzSec gooit na laatste dump de handdoek in de ring - update

De hackersgroepering LulzSec heeft in een verklaring aangekondigd dat het zichzelf zal opheffen. Een precieze reden noemt de groepering niet. In een laatste 'dump' van de groep zijn documenten van onder andere AOL en AT&T gepubliceerd.

LulzSec is een kleine twee maanden actief geweest met het kraken van websites en het uitvoeren van ddos-aanvallen. In een verklaring die de hackersgroepering zondag op Pastebin heeft geplaatst, is te lezen dat het na vijftig dagen van het 'ontregelen en blootstellen van bedrijven en overheden' stopt met het uitvoeren van toekomstige aanvallen.

LulzSec roept zijn sympathisanten op om actief te worden in de 'Anti-sec'-beweging, een samenwerkingsverband van Anonymous- en LulzSec-leden dat zich op bedrijven richt die actief zijn in de it-beveiligingsbranche. In de verklaring van LulzSec is verder te lezen dat de harde kern bestaat uit zes personen.

Naast de verklaring van LulzSec dat het zijn activiteiten wil staken, heeft de hackersgroepering ook een laatste dump in een bittorrentbestand gepubliceerd. In deze dump is onder andere interne netwerkdata van AOL te vinden, evenals gegevens van het Amerikaanse telecombedrijf AT&T. Daarnaast zijn database-dumps gepubliceerd van de online game Battlefield Heroes en enkele gamingfora, terwijl ook inlogdata van enkele internetrouters in de dump zouden zijn te vinden. Verder zijn wachtwoorden gepubliceerd van Navo-leden.

Hoewel LulzSec claimt dat het doelbewust na vijftig dagen is gestopt met zijn aanvallen, is het niet ondenkbaar dat het de hackers te heet onder de voeten is geworden. Zo werd in het Verenigd Koninkrijk vorige week een vermeend LulzSec-lid gearresteerd, terwijl LulzSec vrijdag gegevens publiceerde van de politie in Arizona. Daarbij zijn mogelijk personen in gevaar gekomen en heeft de opsporing van leden van de hackersgroepering vermoedelijk een hogere prioriteit gekregen. In een interview met BBC Newsnight liet een van de LulzSec-leden, opererend onder de naam Whirlpool, vrijdag nog weten dat de groep de komende tijd 'hoger gelegen' doelen zou willen aanvallen.

Update 11:59: Op Pastebin is een tekstbestand gepubliceerd met de namen van vermeende LulzSec-leden. De lijst is afkomstig van een groep hackers die opereren onder de naam A-team. In het document wordt ook Joepie91 genoemd als een 'affiliate' van LulzSec. De Nederlandse tiener werd door de website LulzSec Exposed al eerder beschuldigd nauwe banden te hebben met de hackersgroepering. Joepie91 heeft tegenover Tweakers.net ontkend actief aanvallen binnen het LulzSec-collectief te hebben uitgevoerd.

Naast de lijst met vermeende LulzSec-leden heeft een hacker onder de naam th3j35t3r de ip-gegevens van de LulzSec-webserver gepubliceerd. De site zou zijn ondergebracht bij de hostingfirma Cloudflare.

Door Dimitri Reijerman

Redacteur

Feedback • 26-06-2011 10:55
217 • submitter: neeecht

26-06-2011 • 10:55

217 Linkedin

Submitter: neeecht

Lees meer

CloudFlare belooft snellere controle van ssl-certificaten binnen de browser Nieuws van 1 november 2012
LulzSec claimt hack van militaire datingsite Nieuws van 27 maart 2012
FBI 'onthoofdt' LulzSec met arrestatie kopstukken Nieuws van 6 maart 2012
Defensieminister: veiligheid niet in geding door LulzSec-hack Nieuws van 27 augustus 2011
Britse politie pakt 'woordvoerder' Anonymous en LulzSec op Nieuws van 28 juli 2011
Vier Nederlanders aangehouden in Anonymous-zaak Nieuws van 20 juli 2011
FBI doorzoekt huizen Anonymous-verdachten Nieuws van 19 juli 2011
LulzSec hackt website The Sun Nieuws van 19 juli 2011
Anonymous-groep hackt militair consultancybedrijf Nieuws van 11 juli 2011
Politiebond haalt site offline na hack Nieuws van 6 juli 2011
AnonymousIRC publiceert accounts datingsite Pepper.nl Nieuws van 3 juli 2011
Nederlandse AntiSec-groep publiceert klantgegevens importeur Nieuws van 29 juni 2011
EA haalt Battlefield Heroes-site offline na LulzSec-hack - update Nieuws van 27 juni 2011
LulzSec hackt site en database van politie Arizona Nieuws van 24 juni 2011
FBI neemt webservers in beslag Nieuws van 22 juni 2011
Hackers kraken websites van vermeende LulzSec-leden Nieuws van 22 juni 2011
Britse politie arresteert vermeend LulzSec-lid - update Nieuws van 21 juni 2011
Nederlandse tiener blijkt mogelijk aan LulzSec gelieerd - update Nieuws van 19 juni 2011
Hackers stelen gegevens 1,3 miljoen gamers Sega Pass Nieuws van 18 juni 2011
Eerste fraudeslachtoffers na LulzSec-publicaties melden zich Nieuws van 17 juni 2011
LulzSec legt website CIA plat via ddos-aanval Nieuws van 16 juni 2011
LulzSec valt gamesites aan met ddos-aanvallen Nieuws van 15 juni 2011
LulzSec breekt in bij Senate.gov Nieuws van 14 juni 2011
LulzSec breekt in bij Bethesda en steelt broncode website Brink Nieuws van 14 juni 2011
Lulzsec openbaart duizenden accounts Amerikaanse pornosite Nieuws van 13 juni 2011
LulzSec ontfutselt wachtwoorden van Britse gezondheidszorg Nieuws van 10 juni 2011
Sony-hackers kraken Nintendo.com en FBI-partner Nieuws van 4 juni 2011
Hackers slaan opnieuw hun slag bij Sony Nieuws van 3 juni 2011
LulzSec kraakt website Amerikaanse publieke omroep Nieuws van 30 mei 2011
Meer producten en artikelen
Politiek en recht Privacy Internet Beveiliging

Reacties (217)

-Moderatie-faq
217
210
94
16
0
60
Wijzig sortering
photofreak
26 juni 2011 16:11
"Naast de lijst met vermeende LulzSec-leden heeft een hacker onder de naam th3j35t3r de ip-gegevens van de LulzSec-webserver gepubliceerd. De site zou zijn ondergebracht bij de hostingfirma Cloudflare."

Goh, gewoon lulzsecurity.com invoeren op ip-adress.com en je hebt het ip-adres, de ISP en of het een shared hosting is.

http://www.ip-adress.com/whois/lulzsecurity.com

Het webdomein is trouwens geregistreerd bij: http://www.internetbs.net/

contactgegevens (als ze niet vals zijn):
c/o lulzsecurity.com
N4892 Nassau
Bahamas
Tel: +852.81720004

Dus: Via hun website zijn ze ook niet te traceren(, of te hacken, etc).
CloudFare blokkeert alle soorten aanvallen en de contactgegevens van de domeinregistratie zijn ook vals. Deze zijn met Private WHOIS beschermd.

Dit is wat www.internetbs.net over Private WHOIS zegt:
"The public details for all contacts are completely replaced in the WHOIS data with our data in order to protect your identity and try to prevent spam from happening."

achter de identiteit van LulzSecurity leden komen kan ook niet via de registraties van pastebin.com en cloudfare.com als ze valse gegevens, TOR en proxyservers hebben gebruikt.

Ze weten echt wat ze doen.

Dus ook na het opdoeken zal het bijna onmogelijk zijn om achter verdere gegevens te komen, zonder invallen bij de vermeende LulzSec leden.
Bobmeister
@photofreak26 juni 2011 17:58
Inderdaad. Via de website etc. zullen ze onmogelijk te traceren zijn. Ze kunnen vrijwel alleen gevonden worden als er iemand gaat praten...

De website staat geregistreerd met een valse naam, en is waarschijnlijk betaald met een gehackt paypal account. No questions asked.
New-User
@Bobmeister26 juni 2011 20:58
Misschien wat off-topic, maar Lulzsec gebruikt geen paypal. Dat hebben ze aangegeven in de chatlog waarin iemand door hen bedreigt zou zijn voor geld. Het feit dat ze geen paypal gebruiken op hun website voor donaties bevestigd dat.
Cyleo
26 juni 2011 11:26
Iemand die weet of er ergens een tooltje te vinden is, die net zoals bij de vorige aankondiging tien dagen geleden alles voor je doorzoekt of jou e-mail adres er tussen staat?

Zoals dit dus
filenox
@Cyleo26 juni 2011 11:35
https://shouldichangemypassword.com/ is zo een website. Deze gaat na of jouw mailadres publiek is gemaakt bij een aantal hacks, oa van Lulzsec. Naast de Lulz-sec-hacks gebruiken ze ook publieke hacks uit oa 2010 om je mailadres te controleren.

Verder is het niet echt een verrassing dat ze ermee stoppen, waarschijnlijk omdat de kans op arrestatie te groot word. Een samenvoeging met Anon lijkt me niet het geval aangezien het typerende aan Lulzsec was dat ze mooi konden communiceren met de buitenwereld, iets wat bij Anon niet het geval is.

Of de acties van Lulzsec goed of slecht waren laat ik in het midden, de beveiliging daarentegen is op enkele plekken iig goed verbeterd.

[Reactie gewijzigd door filenox op 26 juni 2011 11:38]

Volvados
@filenox26 juni 2011 14:34
Goede site, maar er wordt alleen gekeken naar e-mail adressen. De dump van accounts van Battlefield Heroes bevat echter enkel usernames en MD5 hashes van de paswoorden.

In die dump deed ik crtl+f naar m'n username en jawel, daar stond mijn gehashed paswoord. Na het invullen van deze hash op google krijg ik trouwens mooi wat resultaten waar het paswoord als plaintext verschijnt...

*doet gauw al zijn paswoorden veranderen naar een verzonnen woord, zonder hits op google*
Stoney3K
@Volvados26 juni 2011 18:26
Goede site, maar er wordt alleen gekeken naar e-mail adressen. De dump van accounts van Battlefield Heroes bevat echter enkel usernames en MD5 hashes van de paswoorden.

In die dump deed ik crtl+f naar m'n username en jawel, daar stond mijn gehashed paswoord. Na het invullen van deze hash op google krijg ik trouwens mooi wat resultaten waar het paswoord als plaintext verschijnt...

*doet gauw al zijn paswoorden veranderen naar een verzonnen woord, zonder hits op google*
Dat had je toch ook voor de hack kunnen doen toen je een password invulde wat (duidelijk) vatbaar is voor een dictionary attack? ;)
robvanwijk
@Volvados26 juni 2011 19:20
Van mij mag je de belangrijkste les wel even wat duidelijker vermelden: Battlefield Heroes gebruikte een hash zonder salt (anders had je die hash nooit terug kunnen vertalen naar het originele password)!
Gropah
26 juni 2011 11:57
Leuk detail is ook dat de site van Battlefield Heroes nu offline is omdat ze onderzoek doen naar de lekken.

Lijst met alle BF spelers kan hier gevonden worden BTW, wederom op pastebin:

*knip*

1 van mijn accounts staat er op, maar niet mijn main account, dus ze hebben niet alles gepubliceerd

Admin-edit:Rechtstreeks linken naar dergelijke informatie is niet handig.

[Reactie gewijzigd door Dirk op 26 juni 2011 12:47]

Feanathiel
@Gropah26 juni 2011 12:49
Er zijn nog wel meer accounts buitgemaakt. Van ongeveer 550.000 BF:Heroes gebruikers zijn de gebruikersnaam/wachtwoord combinatie gelekt (gehashed). Met rainbow tables zijn zij nu de wachtwoorden aan het terughalen. Daarom zie je op pastebin tot nu toe alleen nog de wachtwoorden die simpel in elkaar steken (6 of minder karakters, gelimiteerde karakterset). De wachtwoorden zijn trouwens niet gesalt opgeslagen.

Een lijst van gebruikers (zonder wachtwoorden) is onder andere te vinden op: http://www.mediafire.com/?6kj3rry07wxj6d9 Kijk daarom voor de zekerheid of je hier bij zit.

[Reactie gewijzigd door Feanathiel op 26 juni 2011 12:50]

GebakkePizza
@Gropah26 juni 2011 13:02
Wat een onzin. Het wachtwoord dat daar gekoppeld staat aan mijn gebruikersnaam is mij onbekend. Hij komt zelfs niet eens in de buurt van mijn daadwerkelijke wachtwoord.
Marzman
@GebakkePizza26 juni 2011 14:06
Het is mogelijk dat een ander wachtwoord dezelfde hash oplevert (en dus werkt)
thof1
@GebakkePizza26 juni 2011 14:19
Twee verschillende wachtwoorden kunnen toch dezelfde hash opleveren, meer daar over is onder ander hier te vinden: http://stackoverflow.com/...te-the-same-md5-hash-code

[Reactie gewijzigd door thof1 op 26 juni 2011 14:21]

Bld-
@Gropah26 juni 2011 12:47
Check je gmail! :Y)
Anoniem: 296525
26 juni 2011 16:36
Dus toch joepie91 , goh wat een verassing.
En joepie is niet meer bereikbaar voor comentaar zeker?

En wel vreemd ook dat ik vandaag las dat ze BFH aangevallen hadden:

http://www.rockpapershotg...-battlefield-heroes-data/

http://www.destructoid.co...field-heroes-204622.phtml

http://www.battlefieldheroes.com/en/

"Battlefield Heroes is Offline
We are currently investigating an apparent security breach related to our free-to-play Battlefield Heroes franchise. We are working to identify which accounts were affected and will take all precautions to ensure those players are notified as quickly as possible. We apologize for any inconvenience and hope to have the game back online shortly"

[Reactie gewijzigd door Anoniem: 296525 op 26 juni 2011 16:51]

Anoniem: 372068
@Anoniem: 29652526 juni 2011 19:19
En dat haal je waaruit precies? Iemand die voor de zoveelste keer dezelfde gerecyclede "dox" publiceert (google voor de grap eens op die dox), en de bewering dat ik lid zou zijn van Lulzsec baseert op datzelfde blog waar anderen (waaronder Tweakers) het vandaan hebben? Want omdat veel mensen iemand napraten, heeft die persoon uiteraard automatisch gelijk....

EDIT: Voor je iets beweert (en dat is ook @ anderen die hier gaan lopen blaten dat ik wederom genoemd word) is het misschien wel even handig om je te verdiepen in de manier waarop "dox" vergaard worden, en specifiek hoe dat de afgelopen maanden gegaan is met mensen die te maken hebben gehad met Anonymous. Dan zou je namelijk weten dat dezelfde vaak incorrecte dox en/of informatie constant hergebruikt wordt door andere mensen. Er hoeft maar 1 persoon onzin uit te kramen, en dat wordt tot in oneindigheid door anderen herhaald.

[Reactie gewijzigd door Anoniem: 372068 op 26 juni 2011 19:21]

innerchild
@Anoniem: 37206826 juni 2011 20:28
Word je toch niet een beetje zenuwachtig gezien het feit dat deze lijst natuurlijk bij de hoge instanties terecht gaat komen bij diverse landen ?

Ik zou er niet eens vreemd van opkijken als Amerika een uitleveringsverzoek gaat indienen voor jouw, aangezien ze voor minder mensen hebben uitgeleverd in het verleden.

Misschien maak je niet deel uit van de harde kern, maar zien ze je meer als het auto verhuur bedrijf met kennis van zaken. Je bent gelinked en misschien weet je veel meer dan wat er nu al bekend is of het kan ook zijn dat je idd betrokken bent bij deze zaak.

Niemand kan dat met zekerheid zeggen. Enigste wat zeker is is dat jouw naam en gegevens nu bekend zijn waar je dat liever niet wilt hebben. Wat op het internet staat blijft op het internet..

Ik zou mij toch op zijn minst zorgen maken...

[Reactie gewijzigd door innerchild op 26 juni 2011 20:28]

huntedjohan
@Anoniem: 37206827 juni 2011 00:36
natuurlujk moeten we niet gelijk gaan blaaten. maar beetje toeval is het wel dat je naam weer genoemd word.

en of je nu lid was van anon of luls maakt voor mij geen bal uit. van mij mogen ze je lekker lang in een buitenlandse cel stoppen. afleren dat soort klote geintjes.
Anoniem: 386257
@huntedjohan27 juni 2011 08:57
uuh...? Heb je zijn reacie gelezen of roep je nu maar iets, zolang er geen bewijs is mag je zover ik weet niet iemand in de cel gooien. Wat jij wil klinkt meer als lynchen.
Anoniem: 296525
@Anoniem: 37206827 juni 2011 01:18
Ben benieuwd of je bij de rechter ook zon praatjes hebt.
Want door simpel te zeggen ik was het niet......

En 1 persoon zou onzin uitkramen, het hele internet staat vol met joepie91
Lijkt me erg sterk dat dat allemaal door 1 persoon is gedaan.
En die zogenaamde persoon probeert jou nu natuurlijk in een kwaad daglicht te stellen? is dat het?

Ik denk er idd het mijne van , nu hopelijk de rechter nog.

suc6 verder
Anoniem: 386257
@Anoniem: 29652527 juni 2011 09:13
Ten eerste de rechter luistert niet naar geruchten maar naar feiten ten tweede het internet staat vol met ufo's klopt dit dan ook automatisch? Ook staat het internet vol met complot theorien, ook allemaal waar?

Als ik 10 mensen vind die allemaal zeggen dat jij het brein achter Anon en LulzSec bent, is dat dan automatisch waar?

Niet alles wat op het internet staat is waar. Ik erger me een beetje aan het feit dat iederen hier iemand op de brandstapel wil hebben, ook al is er geen enkel bewijs. loze opmerkingen als "Ik hoop dat joepie91 voor een lange tijd word opgesloten" slaan nergens op, we spelen nu een beetje de boze menigte inc fakkels en hooiforken.
Game_overrr
@Anoniem: 37206827 juni 2011 10:37
You sir, are going to die: Google joepie91 en zoek maar eens. Je naam je website je woonplaats je werk ALLES is op internet te vinden: ALLES!
Stoney3K
@Game_overrr27 juni 2011 17:50
You sir, are going to die: Google joepie91 en zoek maar eens. Je naam je website je woonplaats je werk ALLES is op internet te vinden: ALLES!
En hoe is dat bewijs dat hij banden had met Anon of LulzSec? Dat zijn NAW-gegevens op het internet staan is hooguit het bewijs dat hij bestaat. Joh, anders kon ie hier ook moeilijk antwoord geven :+
Peter91
26 juni 2011 10:58
Dus echt stoppen doen ze niet.
Er komt een samenwerking onder een nieuwe naam..
supersnathan94
@Peter9126 juni 2011 11:01
idd hoorde net op de radio dat ze nog weer verder gaan alleen dan met "hoger gelegen doelen”. wat mag dat dan wel zijn vraag ik me af. CIA en politie van arizona zijn toch behoorlijk hoog gelegen doelen.
DCG909
@supersnathan9426 juni 2011 11:09
Misschien doelen ze dan op het pentagon?
Dat is namelijk extreem goed beveiligd, naar mijn weten zijn ze één keer gehacked door iemand ie één onbeveiligde pc vond die aan het internet stond.
Cerenas
@DCG90926 juni 2011 11:18
Ging dat toen niet over zo'n Engels persoon met een soort autisme die het netwerk afzocht naar administrator accounts zonder wachtwoord?

Tenminste daar kan ik me nog iets van herinneren.

OT: Vreemd dat ze verder gaan met Anonymous, daar zullen wss ook wel goede hackers bij zitten. Maar ze stonden toch meer bekend als een groep 'scriptkiddies'.
redstorm
@Cerenas26 juni 2011 12:20
Dat was Gary McKinnon, en is nog steeds aan het vechten tegen zijn uitlevering naar de U.S.:
http://www.dailymail.co.u...on.html?ito=feeds-newsxml
http://www.guardian.co.uk...iate-extradition-deals-us
Bansheeben
@DCG90926 juni 2011 12:04
Het Pentagon? Dat heeft toch alleen een intern netwerk dat met geen mogelijkheid te hacken valt. Lijkt me niet dat de mannetjes van lulzsec/anonymous dat kunnen aanvallen. Daarnaast, als ze een cyberwar willen ontketenen is het pentagon aanvallen wel de manier om dat te doen. Als ze dan gepakt worden komen ze de gevangenis niet meer uit, daar zorgen de hoge heren in de VS dan wel voor.
Bonez0r
@Bansheeben27 juni 2011 00:22
Je weet het niet. De met Stuxnet aangevallen systemen in Iran hingen ook niet aan het internet, maar het virus is er toch op gekomen via usb sticks. Of zoiets binnen het vermogen van een losvaste groep als LulzSec valt is echter nog de vraag. Voor zo'n geavanceerde aanval is waarschijnlijk een groep nodig waarvan de leden onderling vrijuit kunnen communiceren en elkaar kunnen vertrouwen. Dat is bij LulzSec e.d. gewoon niet het geval denk ik, je hebt altijd het gevaar van infiltratie binnen zo'n groep.
Soulaiman
@supersnathan9426 juni 2011 16:10
Ik hoop dat het niet uitdraait als in Die Harde 4.0... Eerst nam ik deze groepering niet serieus, maar wat ze allemaal hebben bewezen is toch wel angstaanjagend.
SED
@Soulaiman26 juni 2011 21:07
wat hebben ze dan precies bewezen
SKiLLa
@SED26 juni 2011 22:29
Dat de beveiliging van overheden en multinationals in veel gevallen nog net zo amateuristisch is als b.v. 10 jaar geleden. Dat is an sich geen nieuws, maar aangezien hacks altijd ontkent & gebagatelliseerd worden, is zo'n wake-up call / eye-opener eens in de zoveel tijd helemaal niet verkeerd.

De wereld digitaliseert meer & meer en dus wordt het beveiligingsaspect van informatie steeds belangrijker. Dat nu juist die instanties die over 'gevoelige informatie' beschikken (over de hele wereld verspreid) daar nog niet professioneel mee genoeg mee omgaan, vormt een reeel gevaar voor de integriteit & toekomst van 'onze' digitale identiteit en privacy.

Anders gezegd: Als 6 nerds in zo'n korte tijd zoveel 'steenrijke' instanties kunnen hacken, dan lijkt me bewezen dan kun je als wereldburger niet blind 'instanties' kunt/moet vertrouwen met jou gevoelige informatie ...
Ackermans1973
@SKiLLa26 juni 2011 23:08
in zo'n korte tijd
How weet je dat? Hoe weet jij met 100% zekerheid dat ze daar maar een korte tijd voor nodig hebben gehad?? En hoe weet jij met 100% zekerheid dat ze niet naast waarmee ze in de publiciteit gekomen zijn, er niet tientallen, misschien honderden mislukte aanvallen zijn geweest??

Bagatelliseren is 1 ding, onnodig ver opblazen van dingen is een ander.
supersnathan94
@Ackermans197326 juni 2011 23:41
En hoe weet jij met 100% zekerheid dat ze niet naast waarmee ze in de publiciteit gekomen zijn, er niet tientallen, misschien honderden mislukte aanvallen zijn geweest??
dat maakt niet uit. bij veel grote bedrijven is het nog steeds een puinhoop blijkt wel weer.
Pseud0n
@Peter9126 juni 2011 11:02
Dat samenwerkingsverband bestond reeds. Zoals het artikel zegt beweren ze dat ze maar 50 dagen gingen bestaan, al vind ik de andere verklaring, dat het hen te gevaarlijk werd, iets aannemelijker.
doctormetal
@Pseud0n26 juni 2011 12:21
Het werd die script kiddies inderdaad te heet onder hun voeten. Het is wel toevallig dat ze nu ineens stoppen nadat de hacksrs scene zich tegen hun keert. Zie, onder andere, dit nieuwsbericht.
mad_max234
@doctormetal26 juni 2011 15:10
Zit al te wachten wanneer een anti-LulzSec hacker al persoonsgegevens van alle LulzSec leden online zet, en alle servers offline halen. :D
Blokker_1999
@Pseud0n26 juni 2011 11:11
Aangezien men eerst aankondigde van nog hogere doelen na te streven is het idd aannemelijk dat ze stoppen om andere redenen. Maar ik geloof niet dat de leden op zich nu braaf gaan zijn. De meeste leden en sympathisanten zullen zich aansluiten bij andere groeperingen.
demilord
@Peter9126 juni 2011 11:09
Waarschijnlijk gaan ze fuseren met anonymous , dat maakt de beide partijen alleen maar sterker.
Ackermans1973
@demilord26 juni 2011 22:03
En daar ben je blij mee? Wat als ze straks je bankrekening komen leeghalen? Je ID stelen? Vind je het dan nog steeds zo "cool" die hackers??
Wim-Bart
@Ackermans197327 juni 2011 04:15
Zo goed zijn die gasten niet, zou er niet wakker van gaan liggen. Wat ze kunnen is meer common knowledge. SQL Injections en toevallige username/password hacks. Ik heb niet iets gezien waar ik echt wakker van lig. En het gegeven al dat hun eigen website gehacked is geweest zegt me zelfs over hun eigen beveiligings kwaliteiten.
Franko P.
@Wim-Bart27 juni 2011 06:27
Des te erger is het dan wat ze aan beveiliging van websites aan het licht hebben gebracht.

Als ze met "common knowledge" al dusdanige gegevens kunnen achterhalen zoals ze de laatste maand hebben gedaan, dan wil ik niet weten wat er gaat gebeuren als er iemand aan de gang gaat die meer in huis heeft dan alleen common knowledge.
gijsnl
@Wim-Bart27 juni 2011 09:29
Blijkbaar lig jij er niet van wakker ? ze hebben hun toch bewezen. Ik vind het persoonlijk juist goed dat er ook mensen zijn die dit soort acties uit voeren , zodat de beveiliging beter blijft en onze gegevens goed bewaard worden.
3DDude
@Peter9126 juni 2011 11:01
Jup, en misschien doen ze dit keer met die nieuwe naam verstandig en dumpen ze niet van alles op het web --> wat hun die naamsbekendheid in de eerste plaats gaf.
(anders hadden we er nooit wat van gehoord)

Dat neemt niet weg dat die gasten gewoon fout bezig zijn maargoed.

[Reactie gewijzigd door 3DDude op 26 juni 2011 11:02]

Brunniepoo
@Peter9126 juni 2011 11:19
En wat voor een nieuwe naam. Zeggen dat je bezig bent voor een betere beveiliging en je dan Anti-sec noemen. Nooit gepretendeerd die gasten te snappen...
Poops_McGhee
26 juni 2011 11:02
Web Ninja's. Bedankt. Maarja, het was al eerder bekend dat ze met Anonimous samen zouden gaan, dus het opheffen van LulzSec was al een voordehandliggend gebeuren. Het geeft helemaal niets aan, ze stoppen in ieder geval niet. Ook deze titel is erg misleidend.
En ik hoop maar dat ze uiteindelijk opgepakt worden en boeten voor hun daden, boeten voor het ongemak wat ze onschuldige mensen hebben aangedaan. Recht zal uiteindelijk spreken.

[Reactie gewijzigd door Poops_McGhee op 26 juni 2011 11:03]

90710
@Poops_McGhee26 juni 2011 11:10
Ja en dan leven we in een veilige wereld zonder crackers. En dan gaan grote bedrijven gewoon door met het gebruiken van verouderde beveiligingen (Sony).


Halleluja!

[Reactie gewijzigd door 90710 op 26 juni 2011 11:13]

Dlocks
@9071026 juni 2011 11:26
Jij hebt er dus geen problemen mee als iemand morgen jouw huis even voor de lol leeg komt roven en tevens al jouw prive gegevens op straat gooit? Jouw huis is immers niet voor 100% beveiligd tegen inbrekers.

Of heb je eigenlijk toch liever dat er iemand langskomt die zegt waar de zwakke punten in jouw huis zitten zonder dat die persoon direct ook daadwerkelijk jouw huis ingaat en al jouw gegevens openbaart.

Zie je (ofwel snap je) het verschil?

Maar goed, dit soort tuig moet natuurlijk gewoon keihard aangepakt worden.
KingOfDos
@Dlocks26 juni 2011 12:18
Als reactie op Dlocks:
Jij hebt er dus geen problemen mee als iemand morgen jouw huis even voor de lol leeg komt roven
Digitaal is het geen roof te noemen, zolang de originele gegevens niet verwijderd worden.
tevens al jouw prive gegevens op straat gooit?
Het is natuurlijk erg vervelend voor de gebruikers, maar dit is niet de schuld van de beveiligingswereld / IT-ers (of vaak niet direct) maar van mensen met uw functie (niets persoonlijks tegen u natuurlijk). Bezuinigen bezuinigen en nog meer bezuinigen.

"Interpolis, met mannetjes die weten hoe inbrekers binnenkomen."

In de wegenbouw zijn enorm veel regels, in de IT is het puur technisch. In wegenbouw mag een weg niet meer dan x% helling hebben op rechte stukken, en in bochten moet de bocht voor x% naar binnen liggen (schuin, tegen 'uit de bocht vliegen'). En dan moet je eens proberen om 0.001% af te wijken. Waar is de wereldwijde regelgeving in de IT? Er zijn nergens regels dat Sony een fatsoenlijk wachtwoordbeleid moet handhaven. Er is nergens beleid binnen welke termijn computers geupgrade/gepatched moeten worden, etc, etc.
Geen regels, dus bedrijven besparen op IT-kosten als ze hier geen top-prioriteit aan geven. Hierdoor is de kans aanwezig dat er ingebroken wordt op de IT faciliteiten.

Zelfs Tweakers.net heeft een karig wachtwoord / security beleid. Ze gaan er vanuit dat mensen geen local access tot je netwerk hebben. Man-In-The-Middle attack was vroeger in ieder geval 'zeer simpel mogelijk' op wifi netwerken.
Ik heb deze discussie met Tweakers.net ongeveer 4 jaar gevoerd, met verschillende mensen (real life, ik ken zat crew). Tweakers.net kiest er bewust voor om zijn gebruikers niet te beschermen.

Ik vind dat dit per wet moet worden verboden.

Ik wil het niet goedpraten wat LulzSec gedaan heeft, echt niet (gaat veel te ver naar mijn mening). Maar aan de andere kant van het verhaal, heel veel IT-ers roepen al jaren dat er dingen moeten veranderen, terwijk grotere bedrijven daar letterlijk %#$%@ aan hebben.

Deze situatie hebben we voorspeld als IT-ers. En dan zitten de 'managers' nu nog te klagen? Jij vieze manager. Je verschuilen achter je "verantwoording afschuif technieken", die uiteinderlijk niets voorstellen en heeft het bedrijf nogsteeds een probleem.
Ik haat management/directies, omdat ze (vaak) geen freaking 'clue' hebben waar ze mee bezig zijn. En dat is niet alleen in de IT....

Wachtwoordbeleid? Heb je enig idee hoe websites dat 'globaal' doen? Heb je daar ooit onderzoek naar gedaan? Bedrijven communiceren slecht hoe de beveiliging werkt, naar de gebruikers toe. Bedrijven leveren niet genoeg ondersteuning naar consumenten, ze (gebruikers) moeten het vaak uit zichzelf snappen. Ja, veel bedrijven bezuinigen letterlijk op gebruikersopvoeding / kennisuitwisseling. Zelfs uitleg op de registratie / wachtwoord reset pagina, is teveel gevraagd voor veel websites.

Veel websites missen:
• Beleid
• Password strength meter die serieus getest is (en dan geen 13e in een dozijn made-in-china ding)
• Kennisuitwisseling naar gebruikers (hoe kies je wachtwoorden, wachtwoorden niet hergebruiken, wachtwoord niet delen, etc).
• Capable management o.a. het bovenstaande controleert en forceert.
Maar goed, dit soort tuig moet natuurlijk gewoon keihard aangepakt worden.
Lijkt me een geweldig plan, pak management / directies aan, die niet voldoen aan de hedendaagse IT standaarden. Managers die doen aan 'kip-zonder-kop' IT beleid. Managers die IT-beveiliging afschuiven op andere bedrijven, die ze op hun blauwe ogen geloven/vertrouwen, zonder daar technische argumenten voor te hebben (enkel vertrouwen op de stropdas).

Gebruikers zijn zo stom om wachtwoorden als 'princess' of '123456' te gebruiken. En deze gebruiken ze voor al hun accounts, ipv 1 wachtwoord per website (password reusage).

Laten we als IT-industrie deze problemen eens oplossen, ipv ons druk te maken om LulzSec.

[Reactie gewijzigd door KingOfDos op 26 juni 2011 12:27]

jurriaan
@KingOfDos26 juni 2011 13:23
Die problemen zijn niet op te lossen. Herstel, dat zijn ze wel, maar met een exponentiële groei in kosten en ongewilde bijeffecten. Net als bijv. anti terrorisme maatregelen en verkeersmaatregelen.

Een bedrijf dat alles 100% waterdicht maakt, zou veel hogere kosten moeten rekenen dan een concurrent die dat niet doet. En denk je werkelijk dat de consument dat zal belonen? Natuurlijk niet, die kiezen voor de goedkoopste optie. Daarom verdwijnt er veel werk naar landen waar ze het niet zo nauw nemen met de sociale omstandigheden van werknemeners, daarom wordt regelmatig geprobeerd onder regels uit te duiken en op alle mogelijke manieren kosten te besparen, vaak ten kosten van veiligheid en andere randvoorwaarden die pas blijken op het moment dat dingen mis gaan. 'Men' weet prima dat het eigenlijk allemaal niet zo goed is, maar ja.. het betekent wel dat je opeens meer kan doen met je geld en dat vind 'men' toch wel erg fijn.

Wij als consument zijn net zo goed verantwoordelijk dat het misgaat. Naast het feit dat de gemiddelde persoon elke waarschuwing over zorgvuldig gekozen en samengestelde wachtwoorden zal negeren, zullen ze negatief staan tegenover pogingen om dit gedrag te veranderen en de verkopende partijen afstraffen die proberen het beter te doen. Tot het misgaat, blijft bruikbaarheid en prijs een hoger goed dan veiligheid. Dat is een keuze van de consument, niet van bedrijven. Dus tenzij je het gedrag van 7 miljard mensen wil veranderen, is dit probleem niet op te lossen. Niet door it-ers en niet door managers. Alleen een einde aan de consumptiemaatschappij zou dat kunnen veroorzaken, maar dat is een prijs die wederom hoger is dan 'men' ervoor wil betalen.
TDeK
@jurriaan26 juni 2011 13:31
Dat is helemaal waar, maar de meeste sites waar gebruikers voor registreren zijn 'gratis' aan de gebruikerskant, dus voor een gebruiker is die keuze om het even. Daarbij gaan gebruikers er standaard vanuit dat een website zijn zaken goed op orde heeft. Als ik een auto koop ga ik er vanuit dat ik niet spontaan een wiel verlies. Dat is inderdaad een aanname, maar de consument gaat er vanuit. Hoeveel auto's zou je nog verkopen als je duidelijk aangeeft dat je een wiel kunt verliezen? Ik denk geen een. In die optiek kun je dus opperen dat het de websites zélf zijn die niet open zijn over hun securitybeleid; zelfs bij de grote jongens als Facebook, eBay e.d. kan ik niet nagaan hoe zij hun security hebben geregeld, welke manier van hashing ze gebruiken voor passwords, of de verbindingen tussen databases beveiligd zijn, waar hun mirrors staan en dus onder welke jurisdictie ze vallen enz. Ik als gebruiker kan dus geen weloverwogen keuze maken, zelfs al heb je de kennis die hiervoor nodig is; de websites zijn er gewoonweg niet transparant over, en dat is het echte probleem.

[Reactie gewijzigd door TDeK op 26 juni 2011 13:32]

KingOfDos
@jurriaan26 juni 2011 15:23
Die problemen zijn niet op te lossen. Herstel, dat zijn ze wel, maar met een exponentiële groei in kosten en ongewilde bijeffecten.
Hoezo? Kom maar eens met cijfers (of bronvermelding) i.p.v. mogelijk loze argumenten.

De oplossing blijft wat mij betreft, als beginnetje, voor iedere website/provider:
• Zeer goed werkende custom passwordstrength meter.
• Duidelijke tekst die geschreven is door iemand met een enorme taalknobbel, waarmee het wachtwoordbeleid wordt verduidelijkt, en voldoende tips worden gegeven.
• Wachtwoord hergebruik verbieden in de geschreven teksten, etc. etc.

Wat kost dat om te implementeren? 2 weken max?

Het grote probleem van AT&T in dit 'lek' (zie nieuwsbericht) is dat ze voor veel servers / databases de zelfde wachtwoorden gebruiken. Ik schat een servertje of 10~15?
Van rootpasswords tot Oracle databases, allemaal redelijk simpele en zeer eenvoudig raadbare wachtwoorden.

Hoezo stijgen de kosten exponentiëel, om voor een serverbeheerder andere wachtwoorden te gebruiken per server (root acc)/database (root acc)? Cijfers a.u.b.
Hoezo stijgen de kosten exponentiëel, zodra je een iptables config tiept, waarmee je alleen SSH access toestaat vanaf known IP's? Zelfs dit soort cruciale basismaatregelen ontbreken vaak. En dat blijkt wel weer uit o.a. de AT&T gegevens, jammergenoeg.

Ik ben al 1.5 jaar bezig (niet fulltime ofc.) met een veilige password-strength-meter icm wat andere tools/suggesties, nog paar maanden researchen en dan heb ik misschien een goed algoritme. Dit is wel iets anders dan die password strength meters die ik overal online tegen kom.

edit, kleine toevoeging 16:02:
Als ik een auto koop ga ik er vanuit dat ik niet spontaan een wiel verlies. Dat is inderdaad een aanname, maar de consument gaat er vanuit.
Bij een auto kan je controleren of hij APK heeft. Bij een software product is dat wat lastiger, helemaal als het een closed source product is. Er zijn wel wat certificaten (wat sowieso relatieve veiligheid geeft, geen zekerheid), maar zolang niet alle bedrijven hier gebruik van maken, en/of dit verplicht stellen, dan zal het niet opschieten.

De overheid zou wat dit betreft meer moeten doen, maar daar snappen ze ook niet alles. Dus of er binnen korte tijd een correcte wetgeving over dit punt komt, wereldwijd, valt te bezien.

[Reactie gewijzigd door KingOfDos op 26 juni 2011 16:10]

Stoney3K
@jurriaan26 juni 2011 17:29
Die problemen zijn niet op te lossen. Herstel, dat zijn ze wel, maar met een exponentiële groei in kosten en ongewilde bijeffecten. Net als bijv. anti terrorisme maatregelen en verkeersmaatregelen.

Een bedrijf dat alles 100% waterdicht maakt, zou veel hogere kosten moeten rekenen dan een concurrent die dat niet doet. En denk je werkelijk dat de consument dat zal belonen? Natuurlijk niet, die kiezen voor de goedkoopste optie.
Plain and simple, maar weet je hoe ze dat in Nederland noemen? Iets strafbaars wat concurrentievervalsing heet.

Even een voorbeeldje uit mijn eigen wereld (licht- en geluidsindustrie):

Ik ben zelf een technicus die naar alle redelijke maatstaven probeert een geluids- en lichtset neer te zetten die aan de regels voldoet. Dus dat betekent regels als het om brandveiligheid gaat, het vrijhouden van de vluchtroutes, elektrische veiligheid, ik gebruik gekeurd hijsmaterieel, enz. Door alle kosten die ik hiervoor (terecht) moet maken en de hoeveelheid materieel die mee moet, ben ik genoodzaakt om een vrachtwagen met chauffeur te huren. Al met al zal ik dan zo'n klusje neer kunnen zetten voor, zeg, 5000 euro.

Nu komt Cowboy Kees voor Al Uw Feesten En Partijen™ die een aanbod aan mijn klant gaat doen. Kees gebruikt materieel wat al in je handen uit elkaar dreigt te vallen, met loszittende stroomdraden, en tie-wraps om een truss aan het plafond te hangen. Als klap op de vuurpijl komt Kees gewoon met een aanhanger aanzeilen die hem niks kost, maar die wel tot 3 keer zijn gewicht is overbeladen. Want het paste er allemaal nog nét in....

Een consument ziet niet waarom Kees hetzelfde klusje wat ik voor 5000 euro aanbied voor 500 euro kan doen. Die ziet speakers en lampjes hangen, en gaat pas aan de bel trekken als het mis gaat. Maar als concurrent weet ik dat Kees gewoon fout bezig is en hij keer op keer onveilige situaties creëert door zijn nalatigheid -- maar omdat zijn prijs ver onder die van mij ligt kan hij wel meer klanten naar zich toe trekken dan ik.

Zoiets heet in het Nederlands een economisch delict en is strafbaar. Er staan ook aardige boetes op als je wordt gepakt. (Bijvoorbeeld als Kees met die aanhanger wordt aangehouden omdat ie 2 ton te zwaar is.) :Y)

[Reactie gewijzigd door Stoney3K op 26 juni 2011 18:54]

Dlocks
@KingOfDos26 juni 2011 12:27
Digitaal is het geen roof te noemen, zolang de originele gegevens niet verwijderd worden.
Dus als ik een kopie maak van het laatste geheime (technisch) ontwerp van bijvoorbeeld een nieuwe grafische kaart en dit openbaar is er dus helemaal niets aan de hand? Het orgineel is er immers nog.

Wat betreft de rest van je verhaal, het gaat (en dat zeg ik nu voor de derde keer in de hoop dat het nu wel doordringt) om de manier waarop -in dit geval- LulzSec te werk gaat.

Om fouten in beveiliging aan de kaak te stellen is het niet nodig om alle gestolen gegevens (jij zal het gekopieerde gegevens noemen) 1 op 1 te openbaren. Groeperingen zoals LulzSec die wel deze methode hanteren moeten gewoon keihard aangepakt worden.
Laten we als IT-industrie deze problemen eens oplossen
Daar ben ik het ook echt wel mee eens hoor. Maar dat wil niet zeggen dat ik groeperingen zoals LulzSec -en dan met name hun werkwijze- toejuig.

[Reactie gewijzigd door Dlocks op 26 juni 2011 12:30]

KingOfDos
@Dlocks26 juni 2011 12:36
Om fouten in beveiliging aan de kaak te stellen is het niet nodig om alle gestolen gegevens (jij zal het gekopieerde gegevens noemen) 1 op 1 te openbaren.
Jaren lang hebben IT-ers en beveiligingsonderzoekers problemen gemeld bij bedrijven. Deze problemen worden vaak 'te traag' opgelost, of helemaal niet.

Ik meld per week meerdere beveiligingsproblemen bij willekeurige partijen, gemiddeld genomen zijn deze lekken na ongeveer 3 maanden gedicht. 3 maanden lang, gapend gat. Er zal maar iemand anders achter komen, en er misbruik van maken.
Ik ga me er niet druk om maken, of een bedrijf de lekken dicht. Ik meld het geen 2e keer. Ik hoop voor dat soort bedrijven dat ze failliet gaan, en daar helpen ze zichzelf mogelijk mee, door de slechte beveiliging. 1 inbreker die in je IT infrastructuur kan komen, en het kan gedaan zijn voor een bedrijf.

Dan daarbij, wat heeft iemand aan een 1 op 1 overgenomen wachtwoord (of hele database), als een gebruiker niet doet aan password reusage, maar zichzelf heeft verplicht tot serieus wachtwoordbeleid? Dan is alleen een e-mail adres uitgelekt? Boeiend.....

Het zijn maar wachtwoorden. Zodra een website gehacked is moeten deze toch gereset worden, of deze wachtwoorden nou publiekelijk gelekt zijn of niet. En als het IT beleid goed geimplementeerd is, doen gebruikers niet aan wachtwoord hergebruik.

Dan is er geen probleem voor de gebruikers, als een grote database gelekt wordt door een of andere krankzinnige inbreker. Het probleem is dan alleen voor de partij waar is ingebroken! :)

Het wachtwoord moest je toch al aanpassen op die website. Leg me dan eens uit wat het verschil is tussen:
- Wachtwoord op 1 website aanpassen
en
- Wachtwoord op 1 website aanpassen

Zodra de gebruiker een goed wachtwoordbeleid hanteert, is er dus geen probleem.

edit nummer zoveel:
Maar dat wil niet zeggen dat ik groeperingen zoals LulzSec -en dan met name hun werkwijze- toejuig.
Hier ben ik het volledig mee eens. :)

Je hebt echter niet het complete internet onder controle (gelukkig, anders zou het sensuur zijn), het kan dus gebeuren dat er dingen lekken. Houd dit altijd in het achterhoofd, en je hebt per definitie minder problemen.

Dat is het belangrijkste punt wat ik wou maken.

[Reactie gewijzigd door KingOfDos op 26 juni 2011 12:48]

robvanwijk
@KingOfDos26 juni 2011 19:15
In een groot deel van je verhaal (en dat van Dlocks overigens) kan ik me wel vinden, maar
Zodra de gebruiker een goed wachtwoordbeleid hanteert, is er dus geen probleem.
is natuurlijk volslagen onzin. Je [i]weet/[i] dat dit niet zo is en ook nooit zo zal worden. Hier is een, mijns inziens, soortgelijke redenatie: "Zodra de gebruiker weet hoe ie source code moet lezen, is documentatie voor open source-producten compleet overbodig.".
Hoewel je redenatie op zich klopt, ga je uit van een aanname die volslagen onrealistisch is, dus kan ik het niet eens zijn met je conclusie.
mpkossen
@robvanwijk27 juni 2011 10:54
Het is heel simpel: als gebruikers niet leren een fatsoenlijk wachtwoordbeleid te voeren, blijven ze de pineut. Dat is hun eigen verantwoordelijkheid, niet die van de makers van een website of applicatie. Onrealistisch? Nee, absoluut niet. Als mensen het belang maar in leren zien. Pincode was ook ff wennen aan het begin, is vanzelf goedgekomen.

Ik kan als programmeur m'n software nog zo veilig maken, maar als er een idioot met '12345' als wachtwoord aan komt zetten, kan ik niets doen anders dan het de gebruiker heel moeilijk maken (biometrische autenticatie, RSA-sleutel, etc.). Maar goed, dat kost dan weer geld en ... je raad het al, privacy, kosten, lastig, bla-bla-bla.

Programmeurs kunnen wel hélpen de gebruiker een goed wachtwoord te laten kiezen: afdwingen dat het aan hele strenge eisen voldoet. Niet zoals bij Office 365 of Redcoon een wachtwoord van maximaal 13/16 tekens toestaan, nee, een écht wachtwoord. Iets met mixed case, nummer en een lengte van 12 om mee te beginnen.

Daarnaast moet het bijvoorbeeld na vijf login-pogingen (of drie) gewoon maar eens afgelopen zijn. Account gaat op slot en moet opnieuw per e-mail geactiveerd worden, gebruiker krijgt hierover een e-mail.

Ik kan zo nog wel even doorgaan, maar je snapt m'n punt.
tomhagen
@mpkossen27 juni 2011 12:12
Het is heel simpel: als gebruikers niet leren een fatsoenlijk wachtwoordbeleid te voeren, blijven ze de pineut. Dat is hun eigen verantwoordelijkheid, niet die van de makers van een website of applicatie.
Laat een sterk wachtwoord bij SQL injections nu net niet het probleem zijn... Een sterk wachtwoord kan ik kiezen. Jij (als sitebouwer) hebt echter de verantwoordelijkheid dit degelijk te hashen en je site zo inelkaar te zetten dat SQL injections niet mogelijk zijn.
T-MOB
@Dlocks26 juni 2011 12:46
Dus als ik een kopie maak van het laatste geheime (technisch) ontwerp van bijvoorbeeld een nieuwe grafische kaart en dit openbaar is er dus helemaal niets aan de hand? Het orgineel is er immers nog.
Dan is er wel wat aan de hand, maar het is geen diefstal. (Juridisch gezien) is er pas sprake van diefstal als er iets wederrechtelijk wordt toegeigend. Dat wil zeggen dat de benadeelde partij iets moet kwijtraken ten faveure van de dief.

En verder zijn jullie het volgens mij gewoon eens over de werkwijze van lulzsec.
PatrickH89
@KingOfDos26 juni 2011 14:05
Even tussendoor. Dus jij vindt dat elke website een belachelijk duur SSL certificaat moet aanschaffen en daar zelfs een wet voor maken?!

Anders kun je namelijk altijd sniffen via een WiFi netwerk..
Stoney3K
@PatrickH8926 juni 2011 17:31
Even tussendoor. Dus jij vindt dat elke website een belachelijk duur SSL certificaat moet aanschaffen en daar zelfs een wet voor maken?!

Anders kun je namelijk altijd sniffen via een WiFi netwerk..
Niemand heeft toch gezegd dat SSL certificaten door een CA ondertekend moeten zijn? Een self-signed certificate levert ook een versleutelde verbinding op hoor. ;)

En anders, het bij wet verlagen van de prijzen van zo'n CA-signed certificaat is natuurlijk ook niet zo moeilijk. :+
Aphax
@Stoney3K27 juni 2011 14:04
Ja, een versleutelde verbinding met een partij die je mogelijk niet kan vertrouwen.. Zo kan je je wifi netwerkje openzetten met een DNS server die ing.nl even aan een lokaal adres koppeld voor je eigen webserver waar je mensen vervolgens op laat inloggen om maar een voorbeeldje te noemen :) (Dit is ook de reden dat heel veel browsers moeilijk doen over self-signed certificates).

Ik vind het ook extreem kut dat SSL certificaten duur zijn (niet overal overigens, zo gebruik ik een gratis SSL cert van startcom, die gewoon door alle browsers erkend wordt), maar self-signed certs is niet altijd een goed alternatief.
moozzuzz
@Stoney3K27 juni 2011 16:51
Wat noem je duur: 50 EUR?
mcmd
@KingOfDos26 juni 2011 16:24
Veel wat je zegt is echt wel waar, maar het is een illusie om te denken dat met met technische middelen dit alleen opgelost kan worden. Bedrijven zullen hun verantwoordelijkheid moeten nemen, mensen ook (als ze dat al kunnen, de overgrote meerderheid heeft geen idee hiervan), overheid e.d. ook.
Wat dit soort groepen goed doen is het probleem open en bloot te leggen en dat zal zeker helpen. Maar wat mij betreft mag de overheid ook achter dergelijke groepen gaan en ze goed aanpakken. Al was het alleen maar om meer kennis van zaken te krijgen!
Snoitkever
@Dlocks26 juni 2011 12:10
Waarom inderdaad steeds (zoals BaroZZa al zegt) de vergelijking met een huis. LulzSec breekt in bij grote bedrijven en overheden. Als defensie of een dergelijke organisatie een laptop of een USB stick kwijt raakt zit iedereen zich op te winden hoe amateuristisch dit wel niet is. Als een stelletje hackers inbreken bij grote bedrijven en soortgelijke informatie buitmaken vanwege kinderlijk slechte security zijn het opeens de hackers die het probleem zijn?
max3D
@Snoitkever26 juni 2011 19:01
De vergelijkingen met particuliere inbraken gaan inderdaad mank op alle punten, maar het valt me op dat iedereen zegt dat ze alles maar publiek maken.

Laten we eens kijken wat ze bij de Arizona border politie openbaar gemaakt hebben. Zes namen, telefoonnummers en mailadressen van agenten. Geen enkel probleem dus. Dat die mensen daar werken kon je elders opzoeken, hun telefoonnummber bij de politie ook en hun mailadres mag best openbaar zijn als ze het maar zouden beveiligen met een goed wachtwoord wat ze niet deden.

Bovenal mailen ze elkaar de meest stupide dingen toe. Als iemand de moeite nam te lezen WAT LulzSec openbaar gemaakt heeft is dat het bovenstaande + de bestandsnamen in de mailboxen. NIET de inhoud van die bestanden. Laten we eens kijken wat dat was:

ik zou best SB1070 Protests & Civil Disobedience.pdf willen lezen :) En ik ben vast niet de enige, maar LulzSec heeft het niet gepubliceerd.

Als het mijn overheid was ik toch wel willen dat de politie wat secuurder om zou gaan met gegevens en bestanden. Als ik aangifte doe van verdachte activiteiten en die accounts zijn kennelijk makkelijk te hacken en men mailt dat gezellig rond, dan zou ik me nu grote zorgen maken!

Niet over het telefoonnummer van die agent, maar wel over mijn aangifte tegen een Mexicaanse bende terwijl 10 30 2008 FOD Mexican Cartel Activity.pdf vermoedelijk allang zeer geamuseerd gelezen is door andere hackers dan LulzSec. Bijvoorbeeld door de Hells Angels, maar wie weet zijn ze daar meer geinteresseerd in Use of Common Precursor Chemicals to Make Homemade Explosives 08122010.pdf of 2010-02-0011_Countersurveillance Tactics.pdf. Ze weten dat ze gevolgd worden dankzij het gemailde bestand Hells Angels.pdf

Burgerrechten organisatie zullen graag kennis nemen van de inhoud van ACLU Racial Profiling Report.pdf of het vrij duidelijke statement: Mexican Hitmen - It Was Better to Just Shoot Them 0211.doc

Ik zou hem als burger of ex boef in ieder geval flink knijpen als het Mexicaanse cartel weet dat ik de politie informant zou zijn achter TCA-10-04-0009_Conerned-Citizen.pdf of ik bij name genoemd werd in C081263 Virginia Inmate Claiming Responsibility for Rapes and Homicides.doc.

De illusie dat Lulzec de enige is die deze bestanden kon lezen is een misvatting. De kans dat de georganiseerde misdaad ook de inhoud gelezen heeft groot en die heeft de files waarschijnlijk wel intern openbaar gemaakt. Dat heb ik Lulzec dus niet zien doen, noch bieden ze CIAC 08-076 LE Cyber Attack.pdf of 2010-02-0011_Countersurveillance Tactics.pdf te koop aan voor geinteresseerden en reken maar dat andere groepen dit wel doen. Kopers zat!

Brave jongens dus die LulzSec want het lijkt me een goudmijntje om aan te bieden aan kranten, gewelddadige Mexicaanse kartels of bij name genoemde ´Aliens´ en hun advocaten.Netjes dat ze dat niet doen en alleen zes agenten een nieuw tefefoonnummer moeten nemen en één een nieuwe vrouw :)

Zorgen moeten we ons maken over instanties die denken dat agenten meer dan hun rooster perikelen rond kunnen mailen met een lullig wachtwoordje. Deze rapporten zouden helemaal niet moeten kunnen rondzwerven en dat is de verantwoordelijkheid van de overheid. Blij dat LulzSec er geen buit uit slaat en slechts laat zien hoe dramatisch het gesteld is met de mail maar rond cultuur.
stresstak
@Snoitkever26 juni 2011 16:10
Als een stelletje hackers inbreken bij grote bedrijven en soortgelijke informatie buitmaken vanwege kinderlijk slechte security zijn het opeens de hackers die het probleem zijn?
Een stick verliezen kan iedereen gebeuren. Hacker doen hun acties bewust. Vind je een lek toevallig, dan meld je het. Maar doelbewust aan deuren morrelen, pulken en poeren moet bestraft.

Een koevoet tussen deur en kozijn, en vervolgens roepen dat het mij eigen schuld is dat ik geen stalen strips heb.. Ruimen het zooitje.
Stoney3K
@stresstak26 juni 2011 17:19
[...]

Een stick verliezen kan iedereen gebeuren.
Zal best, maar die (door nalatigheid verloren) stick ergens oprapen en de gegevens op internet dumpen is toch echt een bewuste actie. Die nalatigheid had in de eerste plaats al vermeden moeten worden.

Met servers is het niet anders, als één of andere ICT-cowboy het vertikt om een serverpark fatsoenlijk te beveiligen en er door een paar simpele acties een hackertje binnenwandelt, dan moet die hacker niet zomaar blind de schuld krijgen omdat ie nu eenmaal een 'poging gedaan heeft' om een server te hacken.

Als een inbreker bij mij binnenkomt omdat ik geen stalen strips heb en de deur dus redelijkerwijs niet tegen inbraak bestand is, zegt de verzekering ook 'sorry, eigen schuld' en kan ik naar mijn claim fluiten. Als je een server beveiligt met een wachtwoord "SWORDFISH" of je geld bewaart in een schoenendoos met plakband eromheen ben je het ook zelf schuld.
BarôZZa
@Dlocks26 juni 2011 12:05
Ga toch eens weg met die enorm onzinnige inbraak-analogie.

Het zou hetzelfde zijn als wanneer ik samen met honderdduizenden/miljoenen anderen onze gegevens aan jou toevertrouw en jij deze uitgeprint voor een open raam op de begane grond van je huis neerlegt.

Dan kan je hoog en laag springen dat iemand deze gegevens steelt en het bekend maakt, maar het hele punt is dat het in de eerste plaats nooit mogelijk had moeten zijn om toegang te krijgen tot die gegevens. Is het grote probleem dat er zes mannetjes rondlopen die met gemak tig bedrijven hacken? Of is het grote probleem dat miljardenbedrijven te laks zijn en geen geld willen uitgeven aan fatsoenlijke beveiligingen? De hackers zijn niet verantwoordelijk voor mijn gegevens, de bedrijven wel.

Het valt me trouwens tegen hoeveel mensen op Tweakers zich vooral druk maken om de hackers, terwijl bedrijven blijkbaar je wachtwoorden als plain text opslaan in de database. Al verbaast me dat weer niks als je kijkt naar hoe weinig mensen binnen de IT ook maar enigszins verstand hebben van beveligingen.

@ verontwaardigde mensen hieronder:

Ik zeg nergens dat je iemand mag hacken. Mijn punt is dat dat totaal niet relevant is aangezien hackers geen toestemming vragen. Dan kan je achteraf heel boos worden, maar daar bereik je niks mee. De beveiliging van privacygevoelige systemen hoort een topprioriteit te zijn en geen zaak die je achteraf bekijkt mocht iemand er eens misbruik van maken. Dan is het kwaad al geschied.

Maar het is makkelijker om de echte problemen te negeren. In de perfecte wereld vragen hackers eerst toestemming. En is het vrede op aarde.

[Reactie gewijzigd door BarôZZa op 26 juni 2011 16:52]

Dlocks
@BarôZZa26 juni 2011 12:10
Het zou hetzelfde zijn als wanneer ik samen met honderdduizenden/miljoenen anderen onze gegevens aan jou toevertrouw en jij deze uitgeprint voor een open raam op de begane grond van je huis neerlegt.
Nee, het zou hetzelfde zijn als ik die gegevens in een kluis bewaar, jij die gegevens uit mijn kluis weet te jatten en jij die vervolgens gaat uitprinten en voor een open raam op de begane grond van je huis ophangt zodat iedereen die langsloopt het kan zien.
maar het hele punt is dat het in de eerste plaats nooit mogelijk had moeten zijn om toegang te krijgen tot die gegevens.
100% beveiliging bestaat niet.

Maar goed, punt is dus juist hoe sommige kinderen ehhh... hackers te werk gaan.
Zie je (ofwel snap je) het verschil?
Blijkbaar niet... :')

[Reactie gewijzigd door Dlocks op 26 juni 2011 12:12]

jan_va
@Dlocks26 juni 2011 12:28
100% beveiliging bestaat niet..... maar de hackers lachen er nu mee door de ene na de andere website/instantie te hacken alsof het niets inhoudt. Dat heeft niets met beveiliging te maken, het wil zeggen dat het gewoon ondermaats beveiligd is.

Bedoeling van beveiliging is in mijn ogen om dergelijke snelle hacks tegen te gaan. Als het weken/maanden duurt om met aangepaste aanvallen etc. toegang te krijgen tot een systeem, dan ontmoedigt dat 99% van alle hackers. Die 1% die overblijft heb je altijd, maar ik wil beveiligd zijn tegen die 99% die poogt binnen te raken in 1 dag. Lulzsec toont hier duidelijk aan dat een hoop bedrijven niet bestand zijn tegen die ene dag en in dat opzicht vind ik het niet slecht dat ze deze problematiek aankaarten.
Thystan
@jan_va26 juni 2011 16:12
Dus ze hebben sony, politie, cia en zelfs wachtwoorden van navo-leden...

Ze waren al eerder lid van Anonymous. Dit is die 1% en als je het mij vraagt hebben ze dit niet allemaal in enkele dagen gedaan.

50 dagen, ongeveer 10-15 hacks met 6-7 man. Het is gewoon professioneel aangepakt, onder andere door zich eerst los te maken van die andere groep en dit project te gebruiken om bekendheid te cree-eren.

Dikke publiciteitstunt voor hackers wereldwijd. Uiteindelijk bereiken ze nog steeds het doel dat ze willen: gegevens van klanten beter beveiligen.
kimborntobewild
@Thystan27 juni 2011 23:38
Het is gewoon professioneel aangepakt
Alleen als ze er geld mee hebben verdiend. Anders valt 't niet onder de noemer 'professioneel'. :P
Anoniem: 201824
@jan_va26 juni 2011 20:10
Sorry hoor.... maar wat vandaag nog zwaar ingewikkeld is om te hacken is morgen kinderlijk eenvoudig. Daarom is hacken per definitie bij wet verboden. Je kunt niet zeggen dat het goed is dat ze die lekken aantonen. De wet zegt impliciet namelijk al dat het lek niet relevant is, maar wie er misbruik maakt van het lek.
Ja: voorkomen is beter dan genezen. Maar je kan het slecht voorkomen, en omdat de grens vaag is tussen voorkomen en genezen, is het niet gek om te kiezen voor genezen. Zolang men maar weet dat het geneest. Als het aantal een keer zwaar misbruikt wordt, zo'n lek, en de echte slachtoffers ook echt zwaar represailles treffen tegen het getroffen bedrijf, dan pas zal men echt wakkergeschud zijn.

[Reactie gewijzigd door Anoniem: 201824 op 26 juni 2011 20:52]

kimborntobewild
@Anoniem: 20182427 juni 2011 23:44
De wet zegt impliciet namelijk al dat het lek niet relevant is, maar wie er misbruik maakt van het lek.
De wet zegt ook dat overheden, instanties en bedrijven persoonsgegevens goed dienen te beveiligen. Dat doen ze dus in veel gevallen lang niet optimaal.
Het lek is dus wel degelijk wel expliciet relevant. Wel klopt het dat ook als een lek door knulligheid/ondeskundigheid is ontstaan, dat weinig afdoet aan de strafmaat voor de crackers.
BarôZZa
@Dlocks26 juni 2011 12:31
Het hele doel van een kluis is te zorgen dat de inhoud veilig is. Als ik met zoveel gemak jouw glazen kluisje binnen kan wandelen en de gegevens kan kopiëren, dan weet ik wel waar het probleem ligt. Voor mij zijn er tenslotte tig anderen die hetzelfde kunnen. Maar misschien maken die het niet bekend en kan jij de schijn hooghouden van een echt goede beveiliger. Wat niet weet wat niet deert toch? Struisvogelpolitiek ten top.

Het '100% beveiliging bestaat niet'-argument hoor ik ook zo vaak, vooral van mensen die totaal geen weet hebben van wat beveiliging inhoudt. Dit was niet eens 5% veilig. Hier werd gebruik gemaakt van SQL-exploits, werden wachtwoorden in plain text opgeslagen etc. Enorm waardeloos prutswerk van bedrijven die daar in mijn ogen flink voor gestraft moeten worden.
PhunkOne
@BarôZZa26 juni 2011 14:08
Dat die grote toko boeren hun boel fout hebben zitten, tot daar aan toe. Maar wie geeft jou het recht om data zo even online te plaatsen dat andere hiervan gedupeerd worden?

even jouw glazen kluisje analogie: de hackers moesten wel eerst de moeite nemen om de data eruit te halen. noch stonden ze voor een glazen huis, want immers, blijkt dat er er niet "zomaar" erin konden komen. slechte beveiliging? absoluut. Maar de data die zij wel gedelijk gestolen hebben, is niet zo even verkregen door gewoonweg naar binnen te lopen. Als dat echt zo was, dan had iedereen met een internet connectie de vrije toegang tot de data, blijkbaar dus niet . . . (iets met eerst bekijken hoe de site is opgebouwd, daarna sql injenctie uitvoeren . . . etc)

Ddoe dan even de melding aan de betreffende site/toko dat hun spul niet in orde is in plaats van al dat achterlijke "for the lulz" plaatsen van gevoelige data van onschuldigen.

hoe je het ook wilt wenden of keren, het kan gewoon niet door de beugel en verdient niks anders dan een opsomming van straffen van alle gepleegde feiten (immers, uit de tekst bestand komt naar voren dat sommingen van hen uit de V.S. komen.)

dit soort praktijken verdient geen enkele prijs behalve een leuk cadeautje achter de tralies voor een lange tijd terwijl ze hun nieuwe celmaat hartelijk mogen begroeten.
Stoney3K
@PhunkOne26 juni 2011 17:11
hoe je het ook wilt wenden of keren, het kan gewoon niet door de beugel en verdient niks anders dan een opsomming van straffen van alle gepleegde feiten (immers, uit de tekst bestand komt naar voren dat sommingen van hen uit de V.S. komen.)
Allemaal leuk en aardig dat iedereen van LulzSec maar voor de rechter moet komen, maar denk je dat dat ervoor zorgt dat de grote bedrijven iets aan de beveiliging doen? Juist niet, die wijzen naar het nieuwsbericht dat LulzSec is opgepakt en gelyncht om een voorbeeld te stellen, en zeggen netjes 'probleem opgelost'. Als er iemand door een kartonnen deur naar binnen walst om onze gegevens te jatten, zijn WIJ het toch niet schuld?

Dat hier onschuldige mensen de dupe van zijn is natuurlijk enorm jammer en behoorlijk wat collateral damage, maar LulzSec wil wel even een punt maken. Denk je nu echt dat ze niet van te voren wisten dat ze aardig genaaid gingen worden als iemand ze te pakken kreeg?

Kort maar krachtig, maar er zijn nou eenmaal mensen die het vuurpeloton voor lief nemen als ze tegen de gevestigde orde aanschoppen om allerlei misstanden aan te tonen.
Ulx
@BarôZZa26 juni 2011 14:31
Het hele doel van een kluis is te zorgen dat de inhoud veilig is. Als ik met zoveel gemak jouw glazen kluisje binnen kan wandelen en de gegevens kan kopiëren, dan weet ik wel waar het probleem ligt.
Bij jou. Want jij hebt geen toestemming om dat te doen.
Aham brahmasmi
@Ulx26 juni 2011 14:53
Als jij verantwoordelijk bent voor de gegevens van miljoenen gebruikers en veel van die gegevens worden gestolen, wat gemakkelijk voorkomen had kunnen worden als je geen glazen kluis had, dan lijkt mij dat jij wel degelijk aansprakelijk bent. Wettelijk misschien nog niet eens, maar moreel wel degelijk.

[Reactie gewijzigd door Aham brahmasmi op 26 juni 2011 14:55]

Stoney3K
@Ulx26 juni 2011 17:13
[...]


Bij jou. Want jij hebt geen toestemming om dat te doen.
Als iedereen alles maar deed 'met toestemming' hadden we geen kluizen nodig en konden banken al hun geld in een matras stoppen. Want iedereen zou toch vriendelijk vragen 'mag ik je overvallen' (euh, duh, NEE!) en dan lopen ze gewoon braaf maar beteuterd weg.

Helaas is de echte wereld niet zo en hebben we zaken als sloten, kluizen en SSL verbindingen voor mensen die de bordjes 'VERBODEN TOEGANG' nu eenmaal niet zo heel serieus nemen. Want uiteindelijk zijn dat soort bordjes ook pas iets waard als er een brede beveiliger over het terrein sjouwt met een waakhond.
Anoniem: 201824
@Stoney3K26 juni 2011 20:56
Dit is een beter voorbeeld dan die glazen kluis. Die kluis lokt iets uit, terwijl zo'n waakhond je eerder afschrikt, dus ook in een voorbeeld.
Dlocks
@BarôZZa26 juni 2011 12:35
En de gebruikers moeten dus ook gestraft worden? Want dat is wat groeperingen zoals LulzSec doen.
Aham brahmasmi
@Dlocks26 juni 2011 14:48
@Dlocks: Nee, maar de beheerders van de gegevens zijn natuurlijk de verantwoordelijk en moeten daarom ook aangepakt worden (wachtwoorden in plain text opslaan is "not done"). Doordat er zoveel gebruikers "gedupeerd" zijn, wordt de druk op de beheerders (om een fatsoenlijke beveiliging te gebruiken) groter. Verder is het natuurlijk niet goed te praten.

[Reactie gewijzigd door Aham brahmasmi op 26 juni 2011 14:51]

Anoniem: 230001
@BarôZZa26 juni 2011 12:33
Dus jij bedoelt te zeggen dat als jij jouw eigendommen niet goed beschermt een ander het recht heeft ze te jatten?
chaser
@BarôZZa26 juni 2011 12:34
Ik wil helemaal niet dat mijn creditcard gegevens op straat komen omdat een hackersgroep het nou eenmaal nodig vind om de slechte beveiliging van een server aan te tonen
Niemand wil dat

Het is heel makkelijk om te sympathiseren met deze groep want ze zijn de underdog en tja het ligt in een mens z,n aard om dat te doen maar ik verwed dat iedereen die zijn gegevens nu op straat liggen dat niet doen

Het leuke is dat deze hackersgroepering anoniem wil blijven maar wel er alles aan doet om de gegevens van anderen openbaar te maken

Er zijn andere manieren om de slechte beveiliging aan te tonen
FreshMaker
@BarôZZa26 juni 2011 15:46
Niet de inbraak analogie ansich, maar het vergelijken

Dat doe ik thuis is ook, tegen mijn 9 jarige zoon.
Wel schreeuwen dat iedereen moet google´n, maar ondertussen de meest simplistische manieren zoeken om iets uit te leggen aan (supposedly) hoger opgeleiden.
invic
@BarôZZa26 juni 2011 16:10
Wat een non-argument! LulzSec en Anonymus zijn gewoon ordinaire criminelen die onder het mom van het attenderen van beveiligingslekken of van geheime informatie die WIJ burgers moeten weten hun criminele praktijken proberen goed te praten. De Robin Hood van de vrije burgers? Degene die hier zo hoog van de toren blazen en deze DIEVENGILDE bewieroken piepen wel anders als zij zelf te maken krijgen met een inbraak of dat hun portemonnee wordt gestolen! Alleen domme mensen of gelijkgestemde criminelen kunnen hiermee eens zijn! Niemand heeft het recht om andermans spullen zonder toestemming mee te nemen, te kopiëren of te publiceren. PUNT!
Pmf1971
@BarôZZa26 juni 2011 16:29
Met één groot verschil: Als er geen hackers waren dan hoefden die beveiligingen ook niet overdreven zwaar te zijn...
tomhagen
@Pmf197126 juni 2011 18:27
Met één groot verschil: Als er geen hackers waren dan hoefden die beveiligingen ook niet overdreven zwaar te zijn...
En als iedereen zich keurig zou gedragen, zouden we alle politie en rechters naar huis kunnen sturen, inderdaad.

Welkom op aarde.
springtouwtje
@BarôZZa26 juni 2011 22:29
Barozza, je hebt helemaal gelijk. Het is gewoon minachting voor de kalnt dat ervoor gezorgd heeft dat Sony zijn toegang niet goed beveliligd heeft. Ze snappen nog steeds niet dat goede beveiliging geen geld kost, alleen het oplossen van slechte beveiliging kost geld.Schandpaal, dus, dat is ze tenminste wel gelukt.
pim
@Dlocks26 juni 2011 11:51
Leegroven is een slechte vergelijking.. Het is meer foto's van je privegegevens&bezittingen maken en die publiceren.
dmystic
@pim26 juni 2011 12:54
niet helemaal, het is meer een hele reeks huizen doorzoeken voor creditcardgegevens en die aan de wereld weggeven, ik denk niet dat jij het fijn vind als dat bij jou gedaan wordt
demilord
@dmystic26 juni 2011 14:32
niet helemaal, het is meer een hele reeks huizen doorzoeken voor creditcardgegevens en die aan de wereld weggeven, ik denk niet dat jij het fijn vind als dat bij jou gedaan wordt
Het is meer je huurt een kluis bij de bank en de bank zegt dat alles in veilige handen is en vervolgens via een simpele hack leeg te roven is..

Want jouw huis is jouw eigen verantwoordelijkheid.. en ken je niet vergelijken met sony.. Appels met peren vergelijken..

Jij hebt vertrouwen in dat sony zorvuldig en jouw gevens encrypted opslaat.. zodat in dien iemand inbreekt alles gecodeerd is..

Dus dit vergelijken met inbreken in een huis gaat hier niet op
Ackermans1973
@demilord26 juni 2011 22:06
Simpele hack. Ja ja... weet jij dan precies hoe ze het gedaan hebben? Was het een simpele hack? Hebben ze niet een zombie-net ingezet om met brute kracht zoveel mogelijk passwords te proberen? Dat het pas 2 maanden in de publiciteit is wil niet zeggen dat ze er pas 2 maanden mee bezig zijn.

En dan ook, wie weet hoeveel mislukkingen ze hebben gehad. Je hoort alleen over de "successen" maar wie weet is het wel 1 succes tegen 10 of meer mislukte aanvallen, weet jij veel.

Plus als het een simpele hack is... waarom gebeurt het dan niet continu? Waarom zijn dan niet elke dag tig netwerken het haasje??
Anoniem: 394009
@dmystic26 juni 2011 14:24
Ze doen maar. Ik heb geen (onveilige) creditcards en ook geen banken die nog zo ver achterlopen dat ze nog met TAN codes werken (ING, de enige Nederlandse bank waarvoor ik continue spam krijg, dat zal ook eenreden hebben).
blouweKip
@Dlocks26 juni 2011 14:50
Het gaat om gegevens/goederen etc die aan een 3e partij hebt gegeven/uitgeleend dus de thuissituatie is geen goede vergelijking.

probleem wat hier speelt is dat overheden en bedrijven LAKS om blijken te gaan met gegevens van gebruikers, die LAKSHEID is schijnbaar wijdverbreid en het zou met niet verbazen als er al veeeeel misbruik van werd gemaakt voordat deze crackers ermee aan de slag gingen: dat hoor je niet in het nieuws omdat men dat graag onder de hoed houd.
GamingZeUs
@Dlocks26 juni 2011 20:17
De fysieke wereld vergelijkt sowieso niet erg goed met de digitale. Soms worden er bruggen geslagen tussen de twee en gaat iets ineens wel op, maar vaak kan je ook zonder die bruggen je doel berijken.

'tis allemaal wat.

Overigens zou ik er weinig problemen mee hebben als mijn bank's kluis wordt binnengevallen en in "lulz-geel" wordt geverfd en de archieven vernietigt. Nouwja, ik zal er problemen mee hebben en dan een bank opzoeken die wel fatsoenlijk met beveiliging omgaat, wat precies wel het punt is dat lulz-sec heeft gemaakt (ga beter met beveiliging om).
Johan tb
@9071026 juni 2011 13:20
Als er geen crackers en andere criminelen zouden zijn zou een overdreven beveiliging ook niet nodig zijn....
blouweKip
@Johan tb26 juni 2011 14:51
Als er geen mensen zouden zijn bedoel je?
AW_Bos
26 juni 2011 11:40
Hartstikke mooi voor hunzelf dat ze hun doelen gehaald hebben. Maar laat ze nu eens hard nadenken hoe vreselijk fout ze zijn geweest om de data te publiceren.

Gegevens publiceren van politieagenten en dergelijke. Nee, wat mij betreft mogen ze echt die mensen stuk per stuk oppakken, en echt lang in de gevangenis houden. Alle getroffen bedrijven een flinke schadeclaim laten opmaken en dat door de hackers laten terugbetalen. Dan zit je denk ik wel op de 50 miljoen aan schade in totaal (denk aan onderzoekers inhuren, lek fixxen, netwerk offline halen, inkomstenderving etc..), dan hebben ze mooi geen prettig leven meer met een flinke schuld.

Als ze die schade nou op iedereen van Lulzsec verhalen die ze maar kunnen traceren, en die gasten nog lang achter tralies houden, dan zal de storm in de hackerswereld wel minder worden.

Want het in gevaar brengen van een agent, dat wordt al zwaar ten laste gelegd daar.

[Reactie gewijzigd door AW_Bos op 26 juni 2011 11:42]

DLGandalf
@AW_Bos26 juni 2011 12:36
Dus als je beveiliging verouderd is, en dit komt uit, doordat de beveiliging gekraakt wordt door bekende exploits waarschijnlijk, dan zijn de kosten voor een nieuwe beveiliging voor de inbreker?
Ik denk dat je beter de sysadmin een schop kan geven voor nalatigheid.
Ulx
@DLGandalf26 juni 2011 14:45
Ja natuurlijk.

Normale inbrekers weten ook alle zwakke punten van huizen. (Scharnieren, vensters, etc.) en komen vaak op dezelfde manier binnen. Dat zijn dus ook "bekende exploits".

Dan kun je alles wel gaan goedpraten.


"Ik reed met een vrachtwagen door de pui van een juwelier om de beveiliging te testen, want het is een bekend veiligheidslek dat vensterglas gevoelig is voor brute-force aanvallen"
"De sieraden nam ik mee om aan te tonen dat veel mensen er niet voor schromen gestolen waar te kopen"
Stoney3K
@Ulx26 juni 2011 18:58
Ja natuurlijk.

Normale inbrekers weten ook alle zwakke punten van huizen. (Scharnieren, vensters, etc.) en komen vaak op dezelfde manier binnen. Dat zijn dus ook "bekende exploits".
Met het verschil dat je een huis zelf beveiligt en je op de gehackte bedrijven (o.a. Sony) zal moeten vertrouwen dat ze hun veiligheid goed op orde hebben. Daar heb je als klant namelijk geen zicht op -- wie zegt dat jouw geld bij de Rabobank niet ergens in een schoenendoos onder de balie ligt?

LulzSec is niet braaf bezig, maar dat betekent niet dat de andere bedrijven niet fout zitten. Als ik een brand sticht in een gebouw wat niet brandveilig is ben ik ook niet de enige schuldige.
blouweKip
@DLGandalf26 juni 2011 15:00
Ik denk dat men de crackers primair de schuld wil gegeven omdat eigen verantwoordelijkheid voor veel individuen en bedrijven een eng woord is, gewoon iemand de schuld geven en dan hoef je zelf niet na te denken over wat je beter had moeten doen.
Ulx
@blouweKip26 juni 2011 15:21
Ik denk dat men de crackers primair de schuld wil gegeven omdat eigen verantwoordelijkheid voor veel individuen en bedrijven een eng woord is, gewoon iemand de schuld geven en dan hoef je zelf niet na te denken over wat je beter had moeten doen.
Ik betwijfel of die crackers hun verantwoordelijkheid zelf nemen. Ik bedoel, als ze zo overtuigd zijn van hun gelijk, dan zouden ze alles gewoon in het openbaar doen. En eventuele collateral damage betalen, natuurlijk.

Maar goed, de NAW gegevens van die lui zijn nu overal op het internet te vinden. Dusse. They're screwed.
eonflux
26 juni 2011 13:51
Ik lees dag in dag uit met verbijstering hoe men met lof op deze groep reageert.
Als mijn auto openstaat en je steelt daar mijn spullen uit. Zeg je niet, had je maar je auto op slot moeten doen. Dit is de omgekeerde wereld. Je dient gewoon van andermans spullen af te blijven.
Ik weet niet wat er gelekt is in Arizona. Maar stel je voor dat alle locaties van de blijf van me lijf huizen gelekt zijn met alle gevolgen van dien. Ik zeg oprotten met die gasten oppakken en wegzetten. Het maakt ze gewoon niet uit hoeveel mensen ze met dit soort dingen schaden. Gewoon een groepering met tunnelvisie.
Limaad
@eonflux26 juni 2011 13:55
Dit is natuurlijk niet het stelen van auto's... Die vergelijking wordt ALTIJD erbij gehaald voor veel onderwerpen.. en ELKE keer weer ontkracht...

In het begin was ik niet tegen (half voor) lulzsec e.a. maar toen hadden ze nog een doel (dacht ik).
Maar nu doen ze het gewoon om iets om handen te hebben, doelloos....

Denk dat ze nu wel bang zijn om opgepakt te worden, nu alle namen bekend zijn :)
Zer0
@Limaad26 juni 2011 14:23
Het stelen van een auto is een iemand anders spullen komen zonder toestemming, net als een systeem hacken en de gegevens openbaren.
Dat het niet exact hetzelfde is volgens de letter van de wet zal me een zorg wezen, beiden mag niet en verdient een straf.

[Reactie gewijzigd door Zer0 op 26 juni 2011 14:24]

FreshMaker
@Limaad26 juni 2011 15:54
Het wordt niet ontkracht, het zijn drog redenen !
Als ik geld ga pinnen bij de bank, staat er toch geen printer achter die het direct voor me afdrukt ?

Want het lijkt op de fotomachine bij de blokker :| ...
ILUsion
@eonflux27 juni 2011 00:08
Zoals al gezegd: die auto-vergelijking gaat niet op. Als ze je radio uit je auto stelen, ben je die radio kwijt en kan je je ruiten laten vervangen. Met zo'n cyberinbraak ben je je gegevens in de meeste gevallen niet kwijt, maar heb je natuurlijk ook wel schade te repareren (imagoschade en systemen veiliger maken, ook al had je dat van in het begin moeten doen). Als je je auto niet op slot doet, moet je nadien ook niet bij de verzekering gaan aankloppen.

Nu het verschil zit er natuurlijk ook in dat dit niet enkel over gegevens gaat die van een bepaalde instantie (Sony, Gawker of welke instantie dan ook is) zijn, maar dat het ook gaat om persoonsgegevens. Wat dergelijke aanvallen aantonen is dat derde partijen vaak onzorgvuldig omgaan met onze gegevens, wat ze met hun gegevens doen is natuurlijk hun zaak, maar in sommige gevallen is hun beveiliging niet veel meer dan een natte schoendoos bij wijze van spreken (zie Gawker waar de wachtwoorden slecht opgeslagen werden).

Het is natuurlijk verkeerd om in te breken in systemen van een ander en die gegevens publiek te maken, daar niet van. Maar de laatste maanden en weken is beveiliging wel een hot topic geworden, zodat er in het vervolg toch hopelijk wat beter op gelet zal worden. Als er dus iets positiefs uit LulzSec onthouden kan worden, is het wel dat bedrijven toch iets meer moeite zullen moeten doen voor de beveiliging van onze gegevens want dat het voor ons een hoop problemen en voor hun gigantische imagoschade en verlies kan betekenen.

Ik vind dat je dit alles misschien beter kan vergelijken met een bank waar men inbreekt en al het geld in een grote matras/sok/... bewaard wordt, dat zullen de klanten ook niet pikken, ook al zijn zij al hun geld kwijt. Het spreekt de dieven niet vrij, maar een deel van de verantwoordleijkheid ligt immers ook bij de bedrijven zelf.
DVDL
26 juni 2011 11:03
Er werd/wordt niet echt over gesproken waarom ze het nou precies doen, wat is de rede achter de aanvallen en wat zijn de argumenten daarop? Ze zijn toch echt wel heel erg bezig geweest door allerlei gegevens van bedrijven en personen in torrentbestanden te zetten..
Tanksenior
@DVDL26 juni 2011 11:15
Ze hebben vaak genoeg gezegd dat ze het voor "Teh Lulz" doen, oftwel voor de lol. En een leuke bijwerking daarvan is dat ze beveiligingslekken en problemen aan de kaak stellen maar dat is niet hun hoofddoel.
arjankoole
@Tanksenior26 juni 2011 15:16
Ze hebben vaak genoeg gezegd dat ze het voor "Teh Lulz" doen, oftwel voor de lol.
Sureeeee, ego heeft er nieeeeets mee te maken. kom op zeg, dat soort idioten willen alleen maar aandacht.
Blokker_1999
@DVDL26 juni 2011 11:12
Who's got the biggest e-dick.
RobTweaks
26 juni 2011 11:03
Eindelijk, het werd eens tijd. Ik hoop dat het stoppen niet ook "for the lulz" is, waarbij ze over een weekje weer lachend beginnen.

Daarnaast hoop ik dat al die onrust niet voor niets is geweest en dat de grote bedrijven nu wat beter op de veiligheid van hun online producten letten. Dan is er tenminste nog iets goed aan dit hele gebeuren.
jacket13
@RobTweaks26 juni 2011 11:11
heeft toch niks meer daar mee te maken, sorry hoor maar dit is gewoon goed staaltje cyber terrorisme. dit is niks beters dan stel dieven die winkel ketens langs gaan om te "bewijzen" dat je iets kan stelen uit de winkel.

er is gewoon een grens dat iets beveiligd moet zijn en die ligt bij dat geen gewone mens bij de data kan. met gewone mens is dat natuurlijk jij en ik, niet iemand die heel vaardig is in deze technieken en er genoeg van af weet hoe hij/zij de beveilig kan ontdoen.
blouweKip
@jacket1326 juni 2011 14:53
er is gewoon een grens dat iets beveiligd moet zijn en die ligt bij dat geen gewone mens bij de data kan. met gewone mens is dat natuurlijk jij en ik, niet iemand die heel vaardig is in deze technieken en er genoeg van af weet hoe hij/zij de beveilig kan ontdoen.
Dus je vind het prima dat allerlei belangrijke data open bloot aan het internet wordt gekoppeld voor iedereen die een klein beetje skills heeft te misbruiken moet zijn en dat we dat vooral stil moeten houden?

Ik vind die mening persoonlijk erger dan welke crack actie ook.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee