Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

Beveiligingsbedrijf ISSX was betrokken bij een hackaanval op onderzoeksjournalist Brenno de Winter. De eigenaar van het bedrijf zegt dit te hebben gedaan omdat zijn bedrijf zich ergerde aan een campagne van De Winter tegen beveiligingslekken.

Webwereld, een van de publicaties waaraan onderzoeksjournalist Brenno de Winter is verbonden, schrijft dat ISSX betrokken was bij de hack, waarbij werd ingebroken in een webmail-client op een privéserver van De Winter. Eigenaar Ronald Kingma van het beveiligingsbedrijf bevestigt dat zijn bedrijf betrokken was bij de hack. "Maar Webwereld blaast het op", stelt Kingma.

Webwereld schrijft dat de hackers misschien e-mailberichten hebben ingezien, maar volgens Kingma is dat niet waar. "Wij hadden dat kúnnen doen, maar dat hebben we expres niet gedaan. Dan overschrijd je grenzen", aldus de beveiliger. Kingma zegt dat hij, samen met twee anderen, via een beveiligingslek in de Twig-webmailclient een configuratiebestand kon opvragen waarin het rootwachtwoord van de MySQL-database stond. Het zou gaan om een nog niet eerder ontdekt lek. Met dat wachtwoord kon worden ingelogd op een phpMyAdmin-installatie die extern toegankelijk was. Opmerkelijk detail is dat de gebruikte webmailclient al 6,5 jaar niet meer wordt doorontwikkeld.

Kingma wil niet zeggen wie de andere hackers waren of wie van de drie hackers de uiteindelijke hack heeft uitgevoerd, enkel dat deze niet vanuit het kantoor van ISSX heeft plaatsgevonden. "Maar in theorie had dat ook vanaf mijn huisadres kunnen gebeuren", zegt Kingma.

Volgens de beveiliger is de hack uitgevoerd uit ergernis om Lektober, een campagne tegen beveiligingslekken die De Winter en Webwereld samen voeren. "Het loopt de spuigaten uit. We hebben nu klanten die verhoogde activiteit van hackaanvallen zien. Lektober wordt een soort vrijbrief om te hacken", klaagt Kingma. Op de vraag hoe zuiver zijn eigen handelen is, erkent Kingma dat het hacken van een onderzoeksjournalist een 'grijs gebied' is.

Aanvankelijk meldde Webwereld dat De Telegraaf achter de hack zat, maar dat bleek niet waar. Wel werkten de hackers samen met de krant. "Brenno werd zondagavond gebeld, zodat hij tijd zou hebben om het lek te dichten. Het zou dan de volgende morgen in de krant staan", zegt Kingma. Toen was het probleem echter al ontdekt en had Webwereld er al over gepubliceerd.

"Ik ben een beetje verbaasd dat zij dat op deze manier doen. Dit heet eigenrichting", zegt De Winter. "Daar ben ik geen voorstander van." Over het feit dat de webmailsoftware 6,5 jaar geen patch meer heeft gehad, beweert De Winter: "Dat zegt niet zoveel. Er zijn systemen uit de jaren zeventig die nog goed draaien, maar het was handiger geweest om dit niet te hebben, dat klopt." De onderzoeksjournalist zegt waarschijnlijk geen aangifte te doen tegen ISSX. "Ik zie daar niet zo veel heil in, tenzij er nog andere dingen aan het licht komen", zegt De Winter. De journalist zegt er overigens er aan te twijfelen of de hackers wel mail hebben kunnen inzien.

Moderatie-faq Wijzig weergave

Reacties (90)

Een beveiligingsbedrijf dat moeite heeft met de methoden van een andere beveiliger (zij onderzoeksjournalist) en gaat een soort wraakhack plegen? Dan lijkt het me dat zij beter de media hadden kunnen opzoeken, en kunnen zeggen " wij zijn het niet met Brenno / Webwereld eens, en onze onderbouwing is x en y".

Dit wordt een beetje raar verhaal als de experts op het gebied elkaar nu gaan ' lasteren' op deze manier. Zeer vreemde gang van zaken.

Je kunt stellen dat zij precies bij Brenno hebben gedaan wat hij bij anderen sites doet, maar de insteek is totaal anders. Ook het nut hiervan ontgaat mij volledig. Bij het aantonen van lekken in publieke sites is er sprake van een groter risico dunkt me.
Aanvankelijk meldde Webwereld dat De Telegraaf achter de hack zat, maar dat bleek niet waar
Dit vind ik evenwel opmerkelijk. Webwereld (grote partij) gaat opeens een andere grote partij, zo blijkt valselijk, beschuldigen.

Komt een beetje over als ordinair modderworstelen zo. Het doet de reputatie van de sites geen goed, maar uiteindelijk de branche ook niet.

[Reactie gewijzigd door Eagle Creek op 31 oktober 2011 09:36]

Dat Webwereld naar Telegraaf wijst is niet raar als jij een telefoontje krijgt van Telegraaf media met het verhaal dat je site is gehackt dan is het niet ondenkbaar dat zij hier ook achter zitten al dan niet opdracht hebben gegeven aan een ander deze hack uit te voeren.

Nieuws is alleen iets waard als het nieuw is als webwereld een paar dagen later met het verhaal zou komen en dus de scoop aan telegraaf zou gunnen zouden zij veel meer verloren hebben. En dus hebben zij al dan niet bewust het risico gelopen dat ze niet 100% correcte informatie zouden geven. Het is jammer dat ze in hun stukje niet duidelijk hebben gemaakt dat het op dat moment om een verdenking ging en niet om een zekerheid dat Telegraaf hier achter zat. Maar anders dan dat kan ik de reactie en de snelle publicatie helemaal begrijpen en vind ik het eerder goed dan feit dat ze de concurrent op deze manier de wind uit de zeilen wilde nemen.

Dat IXXS het een goed idee vind om als je het ergens niet mee eens bent de personen hier achter te hacken en in verlegenheid te brengen zegt heel erg veel over het bedrijf de medewerkers en de manier van werken. Het is zeer onvolwassen zeer dom en simpel weg exact het geen dat een beveiligingsbedrijf niet moet doen.
Wat men had moeten doen is de lek bij de eigenaar melden deze afdoende tijd geven het gat te dichten en natuurlijk niet onmiddellijk de publiciteit zoeken.

Wat Brenno betreft lopen huilen over andere maar zelf met sterk verouderde software werken dat is natuurlijk ook vragen om problemen. Een phpMyAdmin site draaien op een publiek toegankelijk IP en poort, goed schijnbaar moeten alleen andere veilige software en werkwijze er op na houden en geld dat niet voor een onderzoeksjournalist. Het is in mijn ogen beschamend dat je als persoon die claimt te weten wat houd doet op het gebied van veiligheid, als persoon die besloten heeft eigenhandig de Nederlandse internet ervaring een stukje veiliger te maken niet het verstand hebt om zelf je eigen server veilig op te zetten.
Dat IXXS het een goed idee vind om als je het ergens niet mee eens bent de personen hier achter te hacken en in verlegenheid te brengen zegt heel erg veel over het bedrijf de medewerkers en de manier van werken. Het is zeer onvolwassen zeer dom en simpel weg exact het geen dat een beveiligingsbedrijf niet moet doen.
Wat men had moeten doen is de lek bij de eigenaar melden deze afdoende tijd geven het gat te dichten en natuurlijk niet onmiddellijk de publiciteit zoeken.
Ik had in reactie op eagle creek al min of meer hetzelfde geschreven, maar ditzelfde is natuurlijk van toepassing op webwereld / Brenno. Ook zij brengen anderen in verlegenheid door hen te hacken en vervolgens de publiciteit te zoeken.
Niet dat dit het gedrag van Issx acceptabel maakt of volwassen, maar vanuit webwereld / Brenno is het naar mijn mening vreemd om over dergelijke praktijken te klagen.
Het is in mijn ogen beschamend dat je als persoon die claimt te weten wat houd doet op het gebied van veiligheid, als persoon die besloten heeft eigenhandig de Nederlandse internet ervaring een stukje veiliger te maken niet het verstand hebt om zelf je eigen server veilig op te zetten.
Doet me altijd denken aan systeembeheerders... Tegen iedereen vertellen dat je een rund bent als je geen backups maakt.... (om vervolgens zelf nooit een backup te maken)

Brenno is in éérste instantie een journalist. Geen ICT beveiliger/hacker.

Wat ik voornamelijk zie van Brenno (ik volg hem niet zo) is dat hij vooral de maatschappelijke impact aan het licht brengt. (hij heeft écht niet zelf de OV-Chipcard gekraakt)
Dat niemand (speciaal in Den Haag) zijn bevindingen serieus neemt, kost ons als maatschappij een hoop geld.

[Reactie gewijzigd door LooneyTunes op 31 oktober 2011 12:07]

Doet me altijd denken aan systeembeheerders... Tegen iedereen vertellen dat je een rund bent als je geen backups maakt.... (om vervolgens zelf nooit een backup te maken)
Maar dat is mens-eigen denk ik. Alsof doktoren niet roken en niet drinken, en politieagenten nooit te hard rijden.

Je hebt in essentie wel gelijk, maar iets weten en iets doen zijn twee zaken. Dat is niet iets dat je per se Brenno kwalijk kunt nemen, en zeker niet als je een hack ermee goed wilt praten.

Saillant detail in deze situatie is natuurlijk dat Brenno een journalist is die met een hoop tamtam Lektober bekend maakt. En als je in dat geval zelf niet helemaal safe zit, maak je jezelf onderwerp van spot. Maar 'ernstig': valt wel mee denk ik.
Tja, je zou ook kunnen stellen dat webwereld / Brenno deze sites op de hoogte zouden kunnen brengen zonder daarover te publiceren. Wordt er vervolgens geen actie ondernomen, dan kan publicatie eventueel overwogen worden.
Hacken, op de hoogte brengen en direct publiceren is niet anders dan wat issx/telegraaf hebben gedaan naar mijn mening.
Inderdaad, het enige wat de reputatie van deze sites nog goed zou doen, is door dit sportief op te pakken en elkaar te bedanken voor de prettige wedstrijd. "Bedankt voor de waarschuwing, en we gaan er direct mee aan de slag."

Maar pas op, morgen ben jij aan de beurt :)
Tja, en die zogenaamde onderzoeksjournalist doet het ook echt alleen maar voor maatschappelijke redenen? Yeah right.. alles draait bij die onderzoeksjournalisten en media tegenwoordig om niets meer dan sensatiezucht en publiciteit, ze geven geen ene reet om de eventuele slachtoffers die ze maken.
Ik vindt het dus goed dat zo iemand zelf eens goed aangepakt wordt.
Dan kan je net zo goed het vingertje wijzen naar al die mensen die gretig zijn op al die sensatie. Maar je kan hier geen zwart wit verhaal van maken. Wat je wel kan doen is onderscheid maken in de verschillende gradaties en daar een mening over vormen. Dat de mailbox van een enkele persoon open en bloot komt te liggen lijkt mij heel wat anders dan dat persoonlijke gegevens van grote groepen mensen die verplicht zijn opgenomen door een overheid. Als slachtoffer van een overheids hack is er geen enkele manier om daar iets tegen te kunnen doen. Zelfs bij grove nalatigheid van die overheid moet je bereid zijn om een rechtszaak op te starten die jaren en vele euros gaat kosten. De misdadigers zelf komen er nagenoeg altijd weg mee.
Wat dat betreft toont Brenno zich ook een goed 'verliezer' en neemt ook geen verdere stappen. Dat is heel wat anders dan de dreigende taal van de instanties die hij zelf heeft gehacked.
Op zich is het zelfs raar dat het security bedrijf wat Brenno gehacked heeft klaagt want dankzij hem hebben ze wel meer klandizie gekregen. Maar ze zetten er wel hun eigen reputatie mee op spel wat nou ook niet bepaald handig is.
Yeah right.. alles draait bij die onderzoeksjournalisten en media tegenwoordig om niets meer dan sensatiezucht en publiciteit, ze geven geen ene reet om de eventuele slachtoffers die ze maken.
Jammer dat je alle journalisten over één kam scheert.
Hij benoemd een beeld dat we veel zien in de media, en iedereen weet toch dat die media bijna allemaal commercieel zijn? Dus dat beeld is zo gek nog niet. We mogen slechts hopen dat ze niet allemaal zo zijn.

Ik vindt het niet verkeerd wat hier gebeurt, een goedaardige hack zet zo'n journalist wel op zijn plaats, roomser dan de paus kan hij niet meer zijn :)
Ik lees in de reacties veel dat men denkt dat Brenno achter de lektober hacks zit. Dat is helemaal niet zo. Hij somt de bestaande hacks gewoon dag voor dag op en maakt er een mooi verhaaltje van. Enkele van deze hacks staan ook gewoon op Tweakers en soms zelfs voordat Webwereld ze plaatst.
Ik begrijp totaal niet waarom hij in zo'n kwaad daglicht gezet wordt. Al deze hacks zijn al gedaan, de schade is geleden, de bedrijven zijn aan het patchen en vervolgens is het hele verhaal te lezen online. Dat Webwereld er 31 plaatst in 1 maand is niets meer dan een goed stukje overzichtsjournalistiek en heeft niet te maken met schandpalen.
De bewustwording van de belabberde staat van security op internet is keihard nodig en zonder Webwereld's acties worden er in de komende tijd misschien veel meer bedrijven lam gelegd door gefrustreerden achter een pc.
Het is heel makkelijk om te zeggen dat het een aandachtsstunt is voor Webwereld, maar elke site leeft van content. En dit is prima content.
Dat zijn eigen systeem gekraakt wordt is natuurlijk op z'n minst ironisch te noemen, maar het is heel moeilijk om elk stukje software bij te houden en te patchen. Niet overal zijn patches voor en deze exploit was niet eens bekend.
Hij geeft zijn fout gewoon toe, en vergeet niet dat er sowieso geen persoonsgegevens zijn buit gemaakt. Zijn slechte patch is alleen schadelijk voor hemzelf, niet voor gebruikers (tenzij dat soort gegevens in zijn mail stonden uiteraard).
Tja, dit had hij kunnen verwachten en ik vind het nog verdiend ook. Die 'lekken' op WebWereld sloegen soms helemaal nergens op, en toch stampt hij de ene na de andere instantie de grond in. En ja, dan gaan mensen bij jou ook proberen binnen te komen. Als dat dan zo makkelijk lukt vind ik dat er gerust gezegt mag worden dat meneer de Winter faalt. En hard ook.
Naar mijn idee is de motivatie van Brenno de Winter/Webwereld om een echt maatschappelijk probleem aan de kaak te stellen, namelijk dat veel bedrijven laks zijn met hun beveiliging, terwijl wij wel gevraagd worden om allerlei gegevens af te geven, zoals onze NAW gegevens, bankgegevens en in sommige gevallen onze BSN of creditcardgegevens. Dit aan de kaak stellen is naar mijn idee in het "maatschappelijk belang" en hoort naar mijn idee onder journalistieke vrijheid te vallen. Daarbij neemt Brenno de Winter en/of Webwereld de voorzichtigheid in acht om lekken pas te publiceren nadat deze zijn opgelost. Ik vind dit dus wel "goed te praten", maar het is wel balanceren op een koord.

Wat dit beveiligingsbedrijf doet, dient geen enkel "maatschappelijk belang" en daarmee zijn ze waarschijnlijk wel degelijk strafbaar bezig en Brenno de Winter/Webwereld niet. (Daarnaast is Brenno de Winter niet eens zelf verantwoordelijk geweest voor de hacks die op Webwereld gepubliceerd zijn, maar dat terzijde.)
De claim van Brenno de Winter is niet alleen dat de beveiliging vaak zwak is, maar specifiek dat hij vaak zo zwak is dat er sprake is van nalatigheid. Met andere woorden, hij claimt dat elke competente ICT'er een site zo kan opzetten dat deze niet te hacken is, althans niet door scriptkiddies e.d.

ISSX valt terecht de Winter aan op zijn claim van nalatigheid, door de competentie van de Winter zelf in twijfel te trekken. Dat is een legitieme methode. Iemand die zelf niet competent is, kan niet de competentie van anderen beoordelen. En volgens de logica van de Winter is hij nu zelf nalatig en dus incompetent.

De discussie over de veiligheidsstandaarden voor ICT zijn zeker maatschappelijk relevant, en ISSX mag zich daarom meer veroorloven dan anders het geval zo zijn. Ook mag aangenomen worden dat de perssoonsgegevens op de Winter's server van security professionals zijn, dus zelfs de impact van het bekendworden zullen beperkt zijn.
Van een bedrijf dat mijn persoonlijke gegevens bijhoudt, mag ik verwachten dat zij de nodige aandacht aan veiligheid stellen en zorgvuldig met de door mij afgestane gegevens omgaan. Dan verwacht ik dat zij een competente ICT afdeling hebben.

Van een journalist verwacht ik al niet eens dat hij een persoonlijke mailserver heeft draaien, en vind het dus niet erg schokkend dat beveiligingsexperts erin geslaagd zijn om zijn persoonlijke server te hacken met een nog niet eerder ontdekt lek. Bovendien heeft hij het weten te detecteren, wat de meeste overheidinstanties/bedrijven met ICT afdelingen niet voor elkaar wisten te krijgen (met als meest extreme voorbeeld Diginotar). Hij zal zichzelf ook echt niet scharen onder "competente ICT'er"...

Het is misschien wel het meest schokkend dat een "beveiligingsbedrijf" aangeeft het zat te zijn dat beveiligingsproblemen aan de kaak worden gesteld. Volgens mij zou elk beveiligingsbedrijf juist ook enorm gefrustreerd moeten zijn door de jaren heen over de lakse en/of knullige houding van overheidinstanties en bedrijven en juist blij moeten zijn dat er eindelijk een stukje bewustwording wordt bijgebracht?!

[Reactie gewijzigd door Elijan9 op 31 oktober 2011 14:58]

De methode "De Winter" van het nogal luidruchtig aan de kaak stellen van beveiligingslekken doet vaak weinig recht aan de vaak beperkte risico's van het misbruik van het geopenbaarde lek. De OV chip hacks zijn natuurlijk uiterst smakelijk nieuws, maar andere OV betalingsystemen hebben vergelijkbare of nog eenvoudiger vormen van misbruik.
Hopelijk gaat Webwereld en De Winter zich iets minder sensationeel opstellen in de berichtgeving over beveiligingsproblemen. Dat je een systeem in 10 minuten kraakt wil nog niet zeggen dat er een nieuwswaardig feit is.
Het maatschappelijk belang is wel degelijk aanwezig. Immers vallen niet alleen bedrijven en overheden onder de door jou aangehaalde publieke verantwoording, maar ook journalisten moeten zorgvuldig te werk gaan. Zijn gehackte webmail kan immers ook wel allerhande gevoelige informatie bevatten!

[Reactie gewijzigd door mae-t.net op 31 oktober 2011 12:13]

maar wel leuk om te zien dat iemand die in elk journaal wordt uitgenodigd, zijn zaakjes zelf ook niet op orde heeft.
Dat geeft toch ook wel een beetje aan dat het behoorlijk lastig kan zijn om dit soort zaken goed geregeld te hebben. Ook voor grote bedrijven, want het inhuren van een Brenno de Winter helpt je dus ook niet om een veilig netwerk op te zetten ....
In geen enkel, maar dan ook geen enkel geval kan dit goed gepraat worden. Van beide partijen niet.

Ten eerste is het illegaal om dergelijke systemen te kraken, waarvoor De Winter (of wie het gedaan heeft) gewoon keihard strafrechtelijk vervolgd moet worden.

Het is goed voor de maatschappelijke gevolgen dat het nu een 'vriendelijke' hacker is en dat het op deze manier aan het daglicht gebracht wordt, maar dat neemt nog steeds niet weg dat het strafbaar is.
Het is namelijk niks anders dan met een bulldozer een juwelierszaak binnen rijden, de winkel leegroven en dan vervolgens zeggen: "Kijk, er is een duidelijk beveiligingsprobleem in uw systeem, maar we bedoelen geen kwaad hoor!". Maar vervolgens ligt die winkel wél 4 weken plat en kunnen klanten er geen gebruik van maken.

Daarnaast is ook dit beveiligingsbedrijf illegaal bezig en moet dus ook gewoon keihard aangepakt worden. Gewoon strafrechtelijk vervolgen.

Ik ben van mening dat er zo snel mogelijk een gespecialiseerde cybercrime unit opgezet moet worden met alle mogelijke middelen om dergelijke mensen keihard aan te pakken. Overigens is een 'Ministerie van ICT' of wat dan ook geen slecht idee, die kan dan mooi bij Justitie of iets dergelijks onder gebracht worden. Maar het is absurd dat na 20 jaar grootschalig internetgebruik het nog steeds zo slecht geregeld is.

Dit alles neemt niet weg dat de lekken die zijn aangetoond dus absurd zijn en dat de overheid óók dit zsm aan moet pakken, maar strafbaar = strafbaar
"In geen enkel geval" vind ik een beetje onzin. Even rammelen aan de deur van de buurman om te kijken of die op slot zit, is een goedaardig gebruik van "inbreken". Gewoon wat sociale controle kun je ook zeggen, met goede bedoelingen enzovoorts.

Hoe dan ook "in geen enkel geval" is veel te stellig imo.

Ik zie dit als een kwajongensstreek, en kan er hartelijk om lachen. Laat ze elkaar maar op scherp stellen, beetje knokken kan geen kwaad als we er allemaal beter van worden.

Alles verbieden maakt ons tot softies, neuroten en regelneukers: leidt nergens toe, de regel wordt het doel en niemand wordt er wijzer van.
Wijzer wordt je eigenlijk alleen door ervaring, testen, uitproberen. Als alles verboden wordt, gebeurt dat laatste niet meer... 8)7
Ik kan er niet om lachen helaas, want deze meneer is CISSP'er en zou beter moeten weten. De vraag is dan ook of hij zijn certificering kan behouden op deze manier. Beroepsmatig hoop ik van niet eigenlijk, op persoonlijk vlak ligt dat helaas anders.

En je vergelijking gaat helaas niet op, want over straat lopen en kijken of er ramen en deuren dicht zijn is wat anders dan aan elke deur even voelen. Een poortscan is kijken of alle ramen en deuren dicht zijn, maar dit is gewoon doelbewust tegen de deur rammen of hengelen door de brievenbus om de deur te openen. Daarbij omdat hij al jaren ICT-professional is en ook CISSP'er is hoort hij echt de grenzen te kennen. Zeker omdat je testen en uitproberen doet in een testlab en niet in het echt zonder getekende opdracht.
"De vraag is dan ook of hij zijn certificering kan behouden op deze manier. Beroepsmatig hoop ik van niet eigenlijk, op persoonlijk vlak ligt dat helaas anders."

Indien een mede CISSP'er een officiele klacht indient bij de "(ISC)² Ethics Committee", dan is meneer wellicht zijn certificaat kwijt.

Volgens de (ISC)² regels;
"(ISC)² does retain the right to revoke a certification for any illegal or unethical behavior.
...when there is clear evidence that a member has acted in violation of the (ISC)² Code of Ethics, the Board of Directors may punish the behavior by any number of options, including decertification.
...as a member you are obligated to report unethical behavior of which you have direct knowledge"

Het hangt er dus vanaf hoe mede certificaat houders hier tegen aan kijken.
edit; Army, wat bedoel je eigenlijk met 'helaas'?

[Reactie gewijzigd door Baserk op 1 november 2011 00:19]

Keihard strafrechtelijk nog wel... JIj bent dus een van de voorstanders van de onleefbare zero-tolerance wereld, of gewoon iemand die meeroept met de meute dat alle straffen flink omhoog moeten (maar vervolgens boos wordt omdat in diezelfde wereld het vergeten je hand uit te steken op de fiets 150 euro kost en een propje op straat gooien 75 euro)?

Terzake: Indien dit soort lieden elkaar een koekje van eigen deeg voert zonder dat er grote schade aan anderen is, heb je dikke kans dat de rechter een schuldig zonder strafoplegging uitspreekt of iets anders symbolisch. En terecht. Bovendien heeft de journalist heel goed door dat hij gewoon "gedist" is: hij doet immers geen aangifte en gaat zich in een hoekje zitten schamen, zoals iemand die normaal en sportief reageert in zo'n geval doet. Je zou ze de kost moeten geven die heel hypocriet gaan roepen dat het 'hier te kort en daar te smal' is, zoals journalisten van het kaliber Peter R. de Vries in zo'n geval zouden doen.

[Reactie gewijzigd door mae-t.net op 31 oktober 2011 12:02]

Ik ben niet tegen hogere straffen ;), alhoewel bepaalde straffen (alcohol achter het stuur etc.) nooit hoog genoeg kunnen zijn.

Misschien heb ik het iets te zwart/wit neergeplempt op een site waar een groot deel v/d mensen daadwerkelijk weet hoe je een dergelijk systeem/website moet hacken.

Wat ik bedoel is dat de overheid niet alleen steken laat vallen met hun eigen beveiliging, maar ook met de handhaving van 'recht' op het internet (als je daar al van kan spreken).

Het internet is eigenlijk een soort land op zich, met eigen regels en moralen. En omdat het internationaal is, vrij moeilijk te 'reguleren'. Het probleem is echter dat de huidige overheid geen duidelijke lijn heeft, of mensen in dienst die er verstand van hebben. Als je kijkt naar de kamerdebatten over 'internetzaken', dan blijkt dat het grootste deel van die mensen totaal geen verstand van zaken heeft. Soms pakt dat goed uit, met de netneutraliteit-wetgeving, maar soms krijg je de meest absurde maatregelen, zoals de cookie-wetgeving.

[advocaat-van-de-duivel-mode]
Er moet gewoon een duidelijke lijn komen van wat wél en níet geoorloofd is, maar het feit dat een lek in de gemeentewebsites er voor zorgt dat er tientallen gemeentes weken lang geen Digi-D toegang hebben, vind ik wel te ver gaan. Het is fout van de gemeentes, maar ook van webwereld om het zo publiekelijk aan het licht te stellen.
[/advocaat-van-de-duivel-mode]

Er zal vast van te voren naar de gemeentes gestapt/gemaild etc. zijn dat het fout zit, maar daar wordt dus niks aan gedaan -> Fout v/d overheid. Daarna is het naar buiten gebracht. Het zorgt er in ieder geval voor dat er iets mee gedaan wordt.

Maar wat ik dus wil zeggen, is dat er geen duidelijke richtlijnen zijn voor hackers of gemeenten waarin vermeld staat 'hoe in een dergelijke situatie te handelen'. Gemeentes weten er vaak al geen worst van, dus die negeren het. En hackers zijn nou over het algemeen niet de meest morele mensen (generalisatie, ik weet het, maar m'n punt is denk ik duidelijk).

Kortom, het internet is een soort van Wilde Westen waar alles maar kan en mag en er is niemand die je tegen zal houden als je het goed speelt. En daar moet (imo) iets aan gebeuren. Liever eerder dan later.

offtopic:
Over hoge straffen gesproken. Ik zit nu in West-Australië. Gordel niet om: $500. Daar is die ¤100 van NL een schijntje bij.

[Reactie gewijzigd door RobbieB op 31 oktober 2011 12:52]

Een hack hoeft niet door de beheerder opgemerkt te worden. Het kan zomaar zijn dat de server die je beheert continu aangevallen wordt. Is je systeem goed beveiligd, dan is dat helemaal niet relevant want het heeft toch geen gevolgen, is je systeem niet goed beveiligd dan zijn er mogelijk gevolgen maar je komt daar misschien helemaal niet (op tijd) achter.

Kortom: aanpakken van een hacker die je toevallig wél hebt opgespoord levert niets aan extra veiligheid op. Één hacker minder die je website kan leeg trekken, geen idee hoeveel er nog over zijn en hoeveel onbekende hacks er al zijn gepleegd. Dit is dus totaal niet vergelijkbaar met een fysieke kraak waarbij je gewoon kan zien wie er binnen loopt. Als het internet het wilde westen is los je dat dus niet op met het oppakken van individuen want dat is compleet inherent aan hoe internet werkt - iedereen kan overal bij proberen te komen zonder dat dat direct opvalt. Ook al ga je handhaven, dat is dweilen met de kraan open en het zal altijd het wilde westen blijven.

Recht op internet proberen te halen door middel van oppakken van overtreders is dus vrij kansloos, je dient gewoon een goede beveiliging te hebben zodat er geen probleem ontstaat als er een of andere Rus je website probeert te kraken. Het internet is daarin niet vergelijkbaar met fysieke inbraken. Als je uitgaat van strafrecht e.d. is het allemaal heel leuk om hackers op te pakken, als het gaat om veiligheid op internet schiet je er niets mee op, nogal verschillende invalshoeken waarbij vooral die laatste goed in het achterhoofd gehouden moet worden.

Over dat webwereld ervoor zou zorgen dat Digi-D niet gebruikt kan worden door bepaalde websites: Die websites lagen dus al open en bloot, en zodra er een lek ontdekt wordt zou de website uit veiligheidsoogpunt sowieso offline gehaald moeten worden. Daar doet een verdere publicatie niets aan af - mogelijk zitten er ook criminele op die er misbruik van kunnen maken. Gewoon niets over het lek publiceren en de website niet offline halen is een zeer slechte vorm van security through obscurity - hopen dat er niemand is die het lek kent, zonder dat je dat eigenlijk zeker weet.

Daarnaast: er zijn genoeg professionele beveiligingsexperts, zowel commercieel als academisch, en er zijn ook white hat-hobby-hackers. Zeggen dat hackers immoreel zijn is als zeggen dat slotenexperts wel inbrekers zullen zijn. Beheerders mogen blij zijn als een white hat-hacker een lek komt melden dat ze kennelijk zelf over het hoofd hebben gezien. Die hacker is in geen enkel opzicht oorzaak van het lek, ook niet als hij het publiceert.

[Reactie gewijzigd door bwerg op 31 oktober 2011 14:14]

Ik ben het met je eens dat dit soort hackaanvallen afgekeurd moeten worden, maar laten we vage vergelijkingen erbuiten houden, die raken kant nog wal.

Wie kaatst kan de bal verwachten. Ik denk dat het bedrijf wel een groot risico neemt door de naam aan zo'n actie te verbinden. Ik kan me voorstellen dat de hackaanvallen van lektober provocerend kunnen zijn, maar het is niet professioneel om een tegenaanval op te zetten.
Beveiligen van IT systemen is erg moeilijk in tegenstelling tot het met success aanvallen van een dergelijk systeem. Helaas kan je meeste publiciteit krijgen door een geslaagde aanval publiek te maken. Dat is altijd lastig voor het slachtoffer.
Van een beveiligingsbedrijf mag je verwachten dat ze deze media dynamiek kennen en zich alleen met aanvallen van IT systemen bezig houden met toestemming van de systeem eigenaar.
Een beveiligingsjournalist die zijn brood mede verdiend door eenvoudige hacks groot op te blazen, zou deze ervaring eens kunnen gebruiken om na te gaan hoe lastig het in de praktijk is om een systeem zo te beveiligen dat een beetje hobbyist er niet binnen tien minuten binnen is.
Iedereen met een phpmyadmin pagina naar de buiten wereld heeft heeft geen idee van veiligheid? Alleen al de vraag waarom is overbodig als je weet wat veilig is. (ssh iemand)
tja.. command-line werken is velen verafschuwen. triest. Als je al dit soort dingen via een webformulier wilt doen, run het dan door een ssh-tunnel.
Het verdient misschien niet de schoonheidsprijs,
maar het geeft duidelijk aan dat veel sites niet helemaal in orde zijn en daardoor ook kwetsbaar.

Het belangrijkste voor mij is dat dergelijke bedrijven heel veel informatie over jou verzamelen,
en niet alleen jij, maar ook jou vrouw, kinderen, ouders, broers, zusters, bijbehorende adressen, telefoonnummers, emails, school, baan, auto, etc, etc.

In eerste instantie wordt degelijke informatie weggegeven zonder dat je het erg in hebt, maar als je de optelsom maakt, dan wil ik wel graag het vertrouwen hebben dat de informatie die je hebt doorgegeven ook vertrouwelijk blijft.

Geld stop je op de bank omdat je vertrouwen hebt,
informatie geef je weg in het volste vertrouwen, maar achteraf blijkt maar te vaak dat de instantie op veel fronten punten laat liggen. Wat dat betreft ben ik zeker voorstander van dat een journalist dergelijke hacks uit laat voeren om de zwaktes aan te tonen.
Het belangrijkste voor mij is dat dergelijke bedrijven heel veel informatie over jou verzamelen,
en niet alleen jij, maar ook jou vrouw, kinderen, ouders, broers, zusters, bijbehorende adressen, telefoonnummers, emails, school, baan, auto, etc, etc
Ik heb dit soort informatie allemaal niet online staan, hoe komt zo'n bedrijf er dan aan?
Jij denkt dat er over jou helemaal geen info online staat???? Bedrijven als Google leggen verbanden: jouw ip adres, surfgedrag, email (gelinkt via anderen) vertellen je veel meer dan je zou denken. Telefoon- en surfgegevens worden bewaard door de Telco's. Overheid dmv belastingen, gemeente, politie en justitie gekoppeld met je DigiD......met de juiste toegang (al dan niet legaal) is zo'n beetje alles van je te achterhalen.

De laatste die hier reageerde dat er van hem geen privacy gevoelig materiaal te vinden waren werd getracteerd op een rijtje gegevens.....tot de naam van zijn dochter, werkgever en het gebruik van prestatie bevorderende middelen mbt fitness aan toe ;)
ik zeg niet dat er helemaal geen info over mij online staat, ik post tenslotte ook hier niet waar, maar ik heb nergens mijn school of familie betrokken in mijn online zaakjes en ik poch ook niet over mijn auto. Ik weet verder niet of Google de gegevens van de overheid heeft overgekocht, maar ik ga er even vanuit dat Google niet weet wat voor belastingaangifte ik heb gedaan en dat de belasting niet weet wat voor ranzige shit ik google.

Maar je hebt helemaal gelijk als ze én mijn telecomprovider hacken én mijn ISP én alle overheid instanties én alle bewakingscamera's in Nederland dan weten ze inderdaad wie ik heb gebeld, wat ik op internet allemaal heb gedaan, mijn aanvaringen met de spoorwegpolitie, wanneer ik last had van eczeem en waar en wanneer ik buitenshuis ben geweest.

Oh wacht, ik heb zo'n android toestel dat elke Tweaker aanraad, Google weet inderdaad al mijn contactadressen met naam en nummer. I'm fucked! :o
Het is veelal veel leuker, jij hoeft niets online te zetten om het toch online te hebben staan.

Sportclub met een ledenlijst, school die oude klassenlijsten online heeft staan etc.
Interessant om te zien dat De Winter deze hack 'eigenrichting' vindt, maar alle hacks waar hij zelf over bericht heeft niet. Die zijn net zo illegaal als deze hack.

Mogelijk is de achterliggende reden dat hij de hacks van Lektober als maatschappelijk relevant ziet.. maar zo maatschappelijk relevant vind ik simpele cross-site-scripting foutjes op gemeentesites of willekeurige SQL-injections bij commerciele partijen niet.

Ook is het opvallend hoe Webwereld bericht over deze hack ten opzichte van de berichten over Lektober. Had de kop niet moeten zijn 'Webmail onderzoeksjournalist zo lek als een mandje!' met in de tekst kreten als 'duizenden e-mails konden worden ingezien' en 'privacy ernstig geschaad'?

Wat mij betreft dus de pot verwijt de ketel dat hij zwart ziet.
Het lijkt me niet dat de heer De Winter gegevens van derden beheert... appels met peren dus.
Dat is wel heel kort door de bocht. Ten eerste ga je voorbij aan het punt van m'n reactie, namelijk dat de Lektober-lekken vaak totaal niet boeiend waren noch maatschappelijk relevant, en het tweede punt, dat in de berichtgeving hoog van de toren werd geblazen en het taalgebruik in de berichtgeving over deze hack nogal verschilt.

Overigens valt er wat voor te zeggen dat het hacken van De Winter z'n mailbox een meta-risico oplevert. Als mensen hem beschrijvingen van lekken in allerlei websites hebben gemaild (ook niet-gepubliceerde) en deze mails uit z'n mailbox gevist kunnen worden.. :)
Het is nog steeds niet bekend of er nou wel of geen e-mail berichten zichtbaar waren, zo ja, dan staan mijn gegevens (naam, tel. nummer, e-mail adres en informatie) er ook ergens tussen. Dus om nou te zeggen dat Brenno geen gegevens van derden beheert is een beetje kort door de bocht.
Inderdaad ben het wel met je eens. De Winter zoekt altijd de publiciteit op met zijn simpele hackjes en zet allerlei instanties in het kwaad daglicht door van een mug een olifant te maken.

Meneer voelt zich nu op zijn teentjes getrapt. Dit had hij wel moeten zien aankomen en les 1 is dan ook natuurlijk bij jezelf nagaan of je de zaakjes wel op orde hebt. Een mailclient gebruiken die al 6,5 jaar niet onderhouden is. Ha-ha.

[Reactie gewijzigd door Sniffert op 31 oktober 2011 10:26]

Een mailclient gebruiken die al 6,5 jaar niet onderhouden is. Ha-ha.
Die al 6,5 jaar niet meer ge-update kan worden wegens gebrek aan doorontwikkeling. Dat is wat anders
Komt erg professioneel over, het lijkt me niet echt goed voor de klanten dit te weten, dan ga je toch aan het bedrijf twijfelen.
Het bedrijf doet wat het hoort te doen. Gaten zoeken in systemen en die melden. Ik neem aan dat dit op eenzelfde manier gebeurd is als de Winter zelf aangeeft: eerst melden bij het "slachtoffer" en daarna publiceren. Niets aan de hand dus.
"..werd zondagavond gebeld, zodat hij tijd zou hebben om het lek te dichten. Het zou dan de volgende morgen in de krant staan.."

Tijd is op die manier wel relatief he?
hoe lang duurt het om die boel te patchen, en dan nog op een privéserver? juist... dit is alsof je nog IE5 gebruikt zonder enige update...

Dit zijn gewoon egoïstische kinderen die niet willen dat hun eer gekrenkt worden en daarom maar vete starten en gewoon gaan opblazen in de pers...

GROW UP :+
Een pakket patchen wat al 6,5 jaar niet meer ontwikkeld wordt, en waarvan dit lek nog niet bekend was is NIET hetzelfde als je IE upgraden.
Je zal dan toch echt eerst een ander mailpakket moeten gaan zoeken en dat doe je niet even snel in een avondje.
Het was een webmail client, die kan je ook offline halen. Dat je dan nog een dag bezig bent om een nieuwe te installeren is geen probleem. Het was een privé server dus ik neem aan dat er maar een of een paar gebruikers zijn. Die hebben waarschijnlijk ook allemaal een smartphone waar ze de e-mail op kunnen blijven lezen.

Het myssql wachtwoord veranderen en de phpmyadmin installatie niet beschikbaar maken vanaf het internet is ook 10 minuten werk.
Patchen van zero day lekken is een beetje moeilijk ..

//ontopic
Als ik klant was van dat bedrijf zou ik toch mijn twijfels kriijgen.
Als ik klant was van dat bedrijf zou ik toch mijn twijfels kriijgen.
Zeker, lijkt erop alsof ze absoluut niet tegen kritiek kunnen, en zo'n houding is best dodelijk in het veld van security. Een beter motto zou zijn: 'Everything you know is wrong'. En van daaruit verder.
Nee hoor, gewoon een andere mailclient installeren, mailclient verwijderen en/of een database dichtgooien. Elke zichzelf respecterende onderzoeksjournalist heeft immers een firewall aan zijn internetverbinding hangen voor het geval hij niet weet hoe hij het in software moet oplossen.

Als je netjes IMAP draait is een andere client bovendien vrij moeiteloos te installeren.

[Reactie gewijzigd door mae-t.net op 31 oktober 2011 11:54]

Tijd is op die manier wel relatief he?


had einstein toch gelijk :+

[Reactie gewijzigd door flippy.nl op 31 oktober 2011 09:43]

Ohja, dus je stelt een klokkeluider, wat Brenno eigenlijk is, verantwoordelijk voor je eigen ict faalbeleid. Dat "lektober" iets met een hogere hack activiteit te maken heeft is zeer twijfelachtig. Denk maar eens terug aan het voorjaar/zomer met Anonymous, het is gewoon weer populairder om te doen.

Typische hufterigheid. Soort van wraak actie die ik erg laag vindt.

Aan de andere kant ook niet slim dat Brenno zijn eigen security zelf niet op peil had.
Pff het zal mij niets verbazen als hij alleen de makkelijk te pakken sites pakt onder het mom van "grote vissen". Meneer de Winter heeft dit namelijk wel eens eerder gedaan.

@Topic: Wat ik wel opmerkelijk vind, is dat een "hacker" cq onderzoeksjournalist allerlei ouderwetse en niet deugende ICTsystemen en websites onder de loep neemt, hij zelf al 6,5 jaar niet gepatched heeft en dit dan wegmoffelt als "niet zo handig" en "systemen uit de jaren zeventig die nog prima draaien".
Meneer de Winter heeft zelf volgens mij nog niet door dat er aan ICT apparatuur een maximale houdbaarheidsdatum van plus minus 4 á 5 jaar zit.

Ik zou tegen meneer de Winter willen zeggen, ga over op flessenpost of postduiven.
Een maximale houdbaarheidsdatum is net zo goed een beetje onzin, en behoorlijk afhankelijk van het soort systeem en de context. Zelfs voor leken is het geen hele goede vuistregel, er kunnen immers ook hele vervelende lekken zitten in jongere systemen!
Meneer de Winter heeft zelf volgens mij nog niet door dat er aan ICT apparatuur een maximale houdbaarheidsdatum van plus minus 4 á 5 jaar zit.
Ik draai hier Netware 5.1 (2000) met groupwise... Voldoet nog uitstekend.... (1400+ dagen up-time) Kom maar op met je moderne variant die dat ook zo lang volhoud ;)
(En nee, hij hangt niet rechtstreeks aan het internet ;))
Ik neem niet aan dat jij onderzoek doet naar lekken?

Zoals eerder in dit Topic werd aangegeven, wie de bal kaatst.....

Quote: "(En nee, hij hangt niet rechtstreeks aan het internet )". Hebbie het al de zijne wel:P
Brenno is totaal GEEN klokkeluider, en IMHO gaat de media tegenwoordig veel te ver. Dit heeft totaal geen reet meer te maken met echte journalistiek, maar alles en alleen om de aandacht en sensatiezucht.. We weten inmiddels al langer (zonder zijn onzinnige bijdrage) dat de meeste bedrijven hun beveiliging niet op orde hebben (en hijzelf dus ook niet), daar hoef je echt niet elke scheet zo enorm voor te hoeven opblazen zoals de heer WInter dat dus wel doet. En dan zelf dus andere zo enorm de grond in stampen omdat ze hun beveiliging niet op orde hebben, maar zelf dit afwimpelen met 'ach'..
Dhr Ronald Kingma van ISSX mag in elk geval zijn CISSP certificering inleveren Hij schendt met deze actie de ethische normen voor deze security certificering.
Klopt, de CISSP is hij kwijt door deze actie. }:O


Wel grappig is dat hij eerst zegt samen met twee anderen het gedaan te hebben om vervolgens te stellen dat de actie door 3 anderen is gedaan...
Lijkt me niet. CISSP vereist specifiek "Promote the understanding and acceptance of prudent information security measures.". Dat heeft hij gedaan. Dat de ethische normen andere, tegenstrijdige eisen stelt is een probleem voor CISSP, niet Dhr Kingma.

Overigens weten filosofen al lang dat het onmogelijk is om een Code of Ethics op te stellen die zowel objectief als consistent is.
Toch vind ik dit een kwalijke handeling van dit bedrijf, ondanks dat de heer Winter zijn systeem wel up to date had behoren te houden, had dit bedrijf dit nooit mogen doen.
In ieder geval vind ik dit bedrijf nu onbetrouwbaar.
Tja, maar daarbij geef je dan zelf ook te kennen dat je vindt dat de heer Winter OOK niet mag doen wat hij doet onder het mom van 'onderzoekjournalisme'..
Uiteraard vind ik het ook fout van de heer Winter om gegevens openbaar te maken, die niet van hem zijn.
Onprofessioneel gedrag van dit bedrijf. Wij ergeren ons aan meneer X of bedrijf Y dus laten we zijn boeltje eens hacken. Dan is het ook nog de vraag of een lek vinden op server van De Winter het algemeen belang dient t.o.v. lekken/gaten die De Winter zelf ontdekte op toch belangrijkere sites.
Hoe belangrijk de site is, doet er niet toe. Het gaat om hoe belangrijk de mogelijk uitgelekte informatie is. Een onderzoeksjournalist kan zeer gevoelige informatie binnenkrijgen in zijn mail. Dat deze simpel hackbaar is, is dus uitermate kwalijk.

Dat het bovendien gaat om een onderzoeksjournalist die juist op dat punt opereert, maakt het hele geval wel extreem ironisch en eigenlijk gewoon te dom voor woorden.
Er komt iig een goed signaal af van alle hacks van het afgelopen jaar.. Een 100% veilige website bestaat niet.. Iedereen is nu gehackt, van Google/Microsoft/Yahoo/Sony tot overheid sites, tot websites van beveiligings experts..

Het gaat er dus niet om aan WIE je je gegevens online toevertrouwd, maar het simpele feit dat geen enkele partij 100% kan garanderen dat de gegevens niet buitgemaakt kunnen worden door een hacker..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True