Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

Het afgelopen jaar hebben beveiligingsonderzoekers en hackers bij de grote telecombedrijven 75 keer een beveiligingsprobleem gemeld. Ook werden er 305 valse meldingen gedaan. Het is niet bekend hoeveel unieke beveiligingsproblemen zijn gerapporteerd.

De meldingen zijn gedaan na de invoering van de richtlijn responsible disclosure, waar de grote telecombedrijven zich het afgelopen jaar aan verbonden. Ondanks het grote aantal valse meldingen zijn de telecombedrijven positief over de richtlijn en gaan ze er mee door, zo schrijft branche-organisatie Nederland ICT. KPN, T-Mobile, Tele2, UPC, Vodafone en Ziggo nemen deel aan het meldpunt.

Hoewel duidelijk is dat er 75 keer een beveiligingsgprobleem werd gemeld, is niet bekend hoeveel unieke meldingen er zijn gedaan. "Dat aantal weten wij niet", aldus Michel van Schie van Nederland ICT. Er werden vaak meerdere keren meldingen gedaan voor hetzelfde beveiligingsprobleem. Ook weet van Schie niet te zeggen welke telecombedrijven de meeste meldingen kregen.

In totaal werden er 380 meldingen gedaan via de richtlijn, maar daarvan waren er dus veel vals. De richtlijn laat beveiligingsonderzoekers beveiligingsproblemen melden bij de telecombedrijven, waarbij die beloven dat ze geen aangifte van inbraak zullen doen. Wel zullen ze dan moeten meewerken volgens de voorwaarden van het telecombedrijf. Zo kan het eisen dat de kwetsbaarheid niet naar buiten wordt gebracht.

Moderatie-faq Wijzig weergave

Reacties (17)

Mwah , weet nog dat ik ze in 2010 op de hoogte stelde van het WPS lekje in al hun routers , er wat aan doen ? neuh. Nu doen ze ineens allemaal "scheinheilig" alsof ze alles beter maken etc en daadwerkelijk luisteren als er een lek gevonden wordt omdat ze anders afgebrand worden in de media.

KPN : altijd brakke systemen , veel dos tools waardoor overstap naar win 7 niet echt lukt , dus ze zitten 90% nog op oude XP bakken te werken met 100 lekken erin. stuur 1 mailtje met een pdf erin als titel factuur naar klantenservice , 90% kans dat ze nog onder adobe 11 zitten dus heb je altijd prijs.

T-mobile : half afgebakken proxy , email adressen van klantenservice personeel is te vinden als je beetje googled. Tevens oude meuk qua software waardoor je door 1 mailtje al het systeem in zou kunnen.

ziggo : redelijk , helpdesk zit op citrix/virtual dus dat zit wel aardig goed , enige issue is dat laptop en telefoons van monteurs op het interne netwerk kunnen. Nadeel : net als bij kpn en t-mobile , email adressen zijn te googlen en (voornaam.achternaam@[weggejorrist uit voorzorg]..ziggo.nl maakt het heel makkelijk om eventueel ook daar data te ontfrutselen.

dit zijn er maar een paar en de voorbeelden zijn vooral van interne dingen "bij wijze van horen" maar als je dat soort dingen hoort van vrienden in de IT dan sta je toch wel te kijken. Het verbaast mij dus ook totaal niet dat een 17 jarige zo diep in het KPN netwerk zat.

de " front end" word steeds en steeds beter beveiligd en gecontroleerd , de backend / users lopen alleen maar achter tegenwoordig.

Als ik bij bedrijven audits doe kom ik zo vaak oude software tegen waarvan ik denk ow dear. ja dan hebben ze wel een firewall maar een ECHTE hacker is iemand die out of the box denkt , het vooral voor de kick doet en daarbij ook de tijd heeft om zijn target te analyzeren.

Soms worden er blind audits gedaan en dan moet je vaak terugvallen op "social engineering" / google naar personeel / facebooks etc om te kijken of je iets ziet. Zo zag ik bij 1 opdrachtgever dat ze windows 7 hadden maar office 2003 dmv een foto die door een medewerker op facebook gezet was waarop je in de achtergrond (met wat vergroten ^^) het word 2003 icoontje kon onderscheiden (en natuurlijk de rest van de taskbar) op een werkpc die ze aanhad, toen was het een questie van even de klantenservice bellen , vragen of ze samen met mij naar iets konden kijken en voor je het wist had ik een reverse shell en kon ik zo mijn weg van user naar local admin vinden.

Vanuit dat hopte ik zo half het netwerk over omdat het lokale "administrator" wachtwoord voor de computers overal hetzelfde was (immers zijn sysadmins vaak te lui om even een simpel scriptje te maken wat na het installeren van 300 windows computers ook even 300x een random admin pw aanmaakt en wegschrijft in een bestandje op de uitrol server).

Intern is er vaak veel meer aan de hand dan op de "front end" zoals hun websites.

Voor iedereen hier : kijk is voor de lol bij je werkgever of ze nog oude versies gebruiken van software , zei het office , adobe , vlc , java (heel vaak zie ik dit nog ivm verouderde java applications [tijdelijke oplossing is om te zorgen dat de java altijd in een sandbox zit) en attendeer ze erop dat het niet veilig is. Heel vaak komen hackers ook gewoon weg omdat niemand erachter komt dat ze binnen waren (meestal zijn het alleen de "kids" die gepakt worden omdat ze overal backdoors installeren etc die makkelijk te detecteren zijn).
Leuk dat je zo raak schreeuwt, maar de meeste beweringen over de genoemde bedrijven die jij voorschotelt zijn ondertussen alweer achterhaalt.
Security is bij een aantal grote bedrijven een 'hot issue' geworden sinds Snowden bekend heeft gemaakt dat de NSA het niet zo nauw neemt.
Vele bedrijven hebben experts aangenomen/ingehuurd of hebben interne projecten opgestart om 'museum meuk' uit hun panden te verbannen of achter een glazen stellage te plaatsen.

Daarnaast, mis ik 1 > belangrijke schakel < in je hele verhaal/betoog: De Gebruiker.
Een van de eerste lessen is dat een gebruiker je zwakste schakel in je IT beveiliging is. Vaak geld dat het voor hun niet te moeilijk moet zijn en eisen ze dat "het systeem" moet werken.
Om nog maar niet te spreken over de klikgrage gebruiker.
Hiervoor moet je (Awareness) Trainingen geven in een 'fail safe' omgevingen, heldere policies opstellen en aan de back end wat dingetjes dicht timmeren.

Ook dat is momenteel gaande bij heel veel bedrijven, all over the world.
Voor een bedrijf kan het eng zijn om je kwetsbaar op te stellen. Maar als je een responsible disclosure procedure hebt kan je dat ook juist gebruiken om duidelijke grenzen te stellen. Wat zie je als acceptabel gedrag, maar vooral ook wat niet? Je zou er bijvoorbeeld voor kunnen kiezen om bepaalde klassen kwetsbaarheden (zoals bijvoorbeeld een DDoS aanval) niet te accepteren bij als een verantwoorde melding.

Hackers die lekken melden verlenen een gratis, maar waardevolle dienst. Er is ook geen enkele verplichting om te melden volgens het proces zoals het bedrijf het aangegeven heeft. Om toch een motivatie te geven om net even de extra moeite te nemen kan het verstandig zijn om een beloning aan te bieden. Dat hoeft geen geldbedrag te zijn (mag wel!), maar ludieke kado's doen het ook goed. Denk bijvoorbeeld aan een tshirt met de tekst "I hacked $bedrijfsnaam and all I got is this lousy tshirt!". Voor de interne organisatie geeft dit ook een duidelijk signaal dat meldingen erg gewaardeerd worden en het zal werknemers motiveren om meldingen goed op te pakken.

Naast een materiele beloning is publieke waardering erg waardevol voor veel hackers. Geef daarom in alle publicaties over de lek een eervolle vermelding voor de melder als diegene dat wilt =]

De kern van responsible disclosure is het verantwoordelijk publiceren van beveiligingslekken. De publicatie staat voorop zodat klanten gewaarschuwd worden en de maatschappij kan leren van de fouten.Het is daarom ook heel belangrijk om duidelijkheid te geven over de publicatie. Ga er vanuit dat de lek gepubliceerd zal worden en beperk je tot het aangeven van de kaders (zoals het afspreken van een zo kort mogelijk periode van geheimhouding om de lek te dichten.).

Het melden van een beveiligingslek kan risicovol zijn voor de melden. Soms kan er een wet zijn overtreden bij het ontdekken van een lek, vaak kan er onduidelijkheid over bestaan. Het is daarom voor de melders heel waardevol om een toezegging te hebben dat ze niet vervolgt zullen worden zolang ze zich netjes aan de voorwaarden houden.
-

[Reactie gewijzigd door basvd op 5 november 2013 16:29]

haha, geniaal!
Uit ervaring kan ik vertellen dat er niks mis is met de 'finders fee' van Tele2.
Kun je aardig wat pizza's van bestellen! (Of een PlayStation 4 van halen in mijn geval :P )

Daarbij moet ik wel zeggen dat er ook verschillende ISP's/Telco's zijn waarbij terugkoppeling nog wel wat stroef gaat.
Hopende dat daar ook aan wordt gewerkt!
Waarom zoveel valse meldingen? Zijn dat mensen die denken een lek te hebben gevonden wat uiteindelijk niet zo bleek te zijn? Of proberen ze zo misschien een beloning op te eisen?
That is not a bug, that is a feature!
Dit lijkt een gekscherende reactie, maar hier zit zeker een gedachtegoed achter. Gezien het feit dat het wel degelijk relevant kan zijn in dit artikel. Het verschil tussen wat de beveiligingsonderzoek als 'veilig' of juist als 'beveiligingsprobleem' beschouwt kan in de zakenwereld als heel anders worden ervaren.
Precies!
Zoals deze van een tijdje geleden.

Aan de hand van een gironummer kon (kan?) je de adresgegevens van een willekeurige ING klant achterhalen.
Bug/beveiligingsprobleem volgens mij en vele anderen, maar volgens de ING een goedwerkende feature.

Ik neem deze cijfers dan ook met een korreltje zout en ga ervan uit dat het percentage 'goede meldingen' wel wat hoger zal liggen dan 20%.
geen adresgegevens, dat is onjuist: Wel: Daarbij staan veelal voorletters, achternaam en woonplaats vermeld.
Daarnaast vind ik het een prettige controle die aangeeft bij een nieuw nummer of he took inderdaad naar de juiste persoon gaat.
Geen bug dus, maar wel degelij een nuttige feature die beperkt te misbruiken is.
( zoals vrijwel elke feature potentiele misbruik gevallen kan hebben)
Er zit volgens mij inderdaad een verschil tussen de beveiliging van privé gegevens en het beveiligen van de infrastructuur voor de zakenwereld.
Mensen die kwaad in de zin hebben zouden valse meldingen kunnen doen om ervoor te zorgen dat echte meldingen mogelijk worden ondergesneeuwd door valse. Als er 1000 valse meldingen zijn en 2 echte, kost het enorm veel om alles uit te zoeken. Dat zou een reden kunnen zijn.
Ik vraag me eerder af wie er bepaalt of een melding 'vals' is. Is het het bedrijf zelf, dan hebben ze een duidelijk belangenconflict, ze willen immers zo veilig mogelijk overkomen in de markt.

Als het snel op te lossen is zouden ze het snel kunnen fixen en dan als valse melding noteren. 'Ja we hadden dit toevallig net zelf al ontdekt en al opgelost'. Ik zeg niet dat het gebeurt, maar wie controleert of het niet gebeurt?

[Reactie gewijzigd door GekkePrutser op 5 november 2013 14:39]

Ik gok een beetje op het tweede, wat toch erg spijtig is.
Waar heb je gelezen dat er een beloning tegenover staat?

Je kan beter vraagtekens zetten bij de juistheid van de naar buiten gebrachte informatie. Die kan bewust misleidend zijn om zo melders te ontmoedigen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True