Reacties (130)
:strip_exif()/u/120394/talic.gif?f=community){kind=small}
Misschien een tijd voor een pol reset? Naar aanleiding van het laatste nieuws bericht zijn denk ik al onze meningen veranderd.
/u/262016/crop64ed94e1a7757_cropped.png?f=community){kind=small}
Ik opperde dit ook al. Mijn mening was sinds gisteren al veranderd.
DDOS is naar mijn mening niet goed te praten.
DDOS is naar mijn mening niet goed te praten.
/u/322701/crop6152f078d4887_cropped.png?f=community){kind=small}
Ik ga met je mee, mijn mening is ook veranderd met al dat nieuws. Ddos is een nono.
Om eerlijk te zijn is het geen slecht idee om eindelijk eens dit soort dingen aan te tonen. Heel vele bedrijven gaan hele erg slecht om met de beveiliging van hun en veel al onze gegevens.
Je ziet steeds vaker dat bedrijven van mening zijn dat een aparte zone voor machines die met het Internet verbonden zijn en machines die dat niet zijn niet nodig is. Maar juit zo iets simpels kan al heel erg veel schade voorkomen. Het is volgens veel mensen een achterhaald concept een firewall in je eigen netwerk maar het maakt een enorm verschil.
Om je een voorbeeld te geven als ik een website opzet waarbij bijvoorbeeld klanten moeten kunnen zien waar hun bestelling is. Dan kan ik natuurlijk een mooie frontend bouwen en die de data rechtstreeks uit mijn database laten plukken zodat een klant altijd kan zien wat er op dit moment met de order gebeurt. Of ik kan mijn backend systeem bij iedere status change een bericht laten sturen naar mijn frontend systeem. Op deze manier kan ik een volledige scheiding aan brengen tussen mijn frontend en mijn backend systemen. De enige connectie is een data stroom van uit mijn backend naar mijn frontend. Mocht iemand dan mijn frontend machine hacken dan hebben ze alleen de data die toch al aangeboden wordt en geen enkele andere informatie simpel weg omdat er alleen data van mijn backend naar mijn frontend wordt verstuurd en een connectie in de andere richting niet mogelijk is.
Natuurlijk is dat duurder omdat je op eens twee systemen nodig hebt, een interface moet ontwerpen en natuurlijk ook nog wat werk moet verrichten op het netwerk niveau maar de scheiding maakt het leven van een hacker wel net weer dat kleine beetje lastiger.
Ook moet je je als bedrijf of overheid af vragen waarom een machine met geheime informatie of informatie die je niet wilt laten uitlekken een verbinding met het meest gevaarlijke netwerk ter wereld moet hebben... Internet is een enorm gevaar voor belangrijke data simpel weg omdat alles en iedereen verbinding met jouw systemen kan maken en dus potentieel kan inbreken op deze systemen.
Je ziet steeds vaker dat bedrijven van mening zijn dat een aparte zone voor machines die met het Internet verbonden zijn en machines die dat niet zijn niet nodig is. Maar juit zo iets simpels kan al heel erg veel schade voorkomen. Het is volgens veel mensen een achterhaald concept een firewall in je eigen netwerk maar het maakt een enorm verschil.
Om je een voorbeeld te geven als ik een website opzet waarbij bijvoorbeeld klanten moeten kunnen zien waar hun bestelling is. Dan kan ik natuurlijk een mooie frontend bouwen en die de data rechtstreeks uit mijn database laten plukken zodat een klant altijd kan zien wat er op dit moment met de order gebeurt. Of ik kan mijn backend systeem bij iedere status change een bericht laten sturen naar mijn frontend systeem. Op deze manier kan ik een volledige scheiding aan brengen tussen mijn frontend en mijn backend systemen. De enige connectie is een data stroom van uit mijn backend naar mijn frontend. Mocht iemand dan mijn frontend machine hacken dan hebben ze alleen de data die toch al aangeboden wordt en geen enkele andere informatie simpel weg omdat er alleen data van mijn backend naar mijn frontend wordt verstuurd en een connectie in de andere richting niet mogelijk is.
Natuurlijk is dat duurder omdat je op eens twee systemen nodig hebt, een interface moet ontwerpen en natuurlijk ook nog wat werk moet verrichten op het netwerk niveau maar de scheiding maakt het leven van een hacker wel net weer dat kleine beetje lastiger.
Ook moet je je als bedrijf of overheid af vragen waarom een machine met geheime informatie of informatie die je niet wilt laten uitlekken een verbinding met het meest gevaarlijke netwerk ter wereld moet hebben... Internet is een enorm gevaar voor belangrijke data simpel weg omdat alles en iedereen verbinding met jouw systemen kan maken en dus potentieel kan inbreken op deze systemen.
goed verhaal, maar daarnaast blijft het grootste lek nog steeds: de mens zelf. Je kan het zo dichtzetten als je zelf wilt dmv firewalls etc. als er ook maar 1 onverlaat rond
loopt kan deze alsnog de beveiligde verbinding maken of openzetten ook al staat de belangrijke data in eerste instantie nog niet eens rechtstreeks met het internet verbonden.
loopt kan deze alsnog de beveiligde verbinding maken of openzetten ook al staat de belangrijke data in eerste instantie nog niet eens rechtstreeks met het internet verbonden.
/u/381607/have%2520a%2520nice%2520day%2520-%2520small.png?f=community){kind=small}
Ideetje: een Internet bewijs. Net zoals je rijbewijs zou je dan een theorie examen moeten doen voordat je op het internet aangesloten mag worden. Hierin moet je aantonen dat je niet voor de Nigeriaanse prins valt en dergelijke.
Misschien niet zo'n slecht idee, en zou een hoop problemen oplossen.
Misschien niet zo'n slecht idee, en zou een hoop problemen oplossen.
Alstjeblieft niet zeg! We leven al veel te erg in een nanny-cultuur! 
:strip_icc():strip_exif()/u/174878/SCKnightMicro.jpg?f=community){kind=small}
Geldt net zo goed voor een bank, je hebt maar 1 onverlaat nodig die de kluis openzet, en de wereld kan ermee wegwandelen. Desnogwelteplus is het aantal bankovervallen aardig lager dan het aantal security breaches de laatste tijd... Da's geen toeval.
:strip_icc():strip_exif()/u/327890/crop64bd78be9bd46_cropped.jpg?f=community){kind=small}
Wat ze deden bij Sony, als dit echt alleen ging om te laten zien dat Sony niet veilig met gebruikers gegevens omging, vind ik een heel ander verhaal.
Het publiceren van gebruikers gegevens het DDoSen van site's wat totaal niet relevant is, is gewoon onnodig.
Ze hebben hun goeie actie nu veranderd is iets kwaadaardig. Vind ik althans persoonlijk.
Eerst toonde ze inderdaad wat aan, maar nu mogen ze van mij apart ver weg gestopt worden op een onbewoond eilandje.
Wat heeft het voor nut, om dit te doen:
Eve Online, Escapist Magazine and Minecraft are all down. We let Fin Fisher back up (30 minute temporary fire request completed!)
http://twitter.com/#!/LulzSec/status/80695749393920000
Het publiceren van gebruikers gegevens het DDoSen van site's wat totaal niet relevant is, is gewoon onnodig.
Ze hebben hun goeie actie nu veranderd is iets kwaadaardig. Vind ik althans persoonlijk.
Eerst toonde ze inderdaad wat aan, maar nu mogen ze van mij apart ver weg gestopt worden op een onbewoond eilandje.
Wat heeft het voor nut, om dit te doen:
Eve Online, Escapist Magazine and Minecraft are all down. We let Fin Fisher back up (30 minute temporary fire request completed!)
http://twitter.com/#!/LulzSec/status/80695749393920000
:strip_exif()/u/39092/wolkje-avatar3.gif?f=community){kind=avatar}
Wat mij betreft hebben ze alle eventuele respect daarmee wel verspeeld ja. Aantonen dat bedrijven/websites/organisaties niet goed met beveiliging omgaan is één ding; willekeurige websites en gameservers neernuken slaat echt nergens op. 
Je maakt je daar als organisatie niet populairder mee.
Ik wil m'n stem veranderen naar 'Het zijn trieste pubers met een aandachttekort'.
Je maakt je daar als organisatie niet populairder mee. Ik wil m'n stem veranderen naar 'Het zijn trieste pubers met een aandachttekort'.
[Reactie gewijzigd door Cloud op 27 juli 2024 11:39]
Zelfde...Ik wil m'n stem veranderen naar 'Het zijn trieste pubers met een aandachttekort'.
Ik zat te twijfelen tussen Het verdient niet de schoonheidsprijs, maar ze tonen wel wat aan, en Ik vind het maar twijfelachtig, al die hacks.
Ze tonen zeker wat aan door te laten zien hoe kwetsbaar websites en de achterliggende gegevens zijn. Maar ik vind dat ze dit op de verkeerde manier naar boven brengen.
Ze tonen zeker wat aan door te laten zien hoe kwetsbaar websites en de achterliggende gegevens zijn. Maar ik vind dat ze dit op de verkeerde manier naar boven brengen.
Helemaal mee eens.
Aan de ene kant: hoe groter een bedrijf, en hoe persoonlijker de data, hoe beter het beveiligd moet worden. Geklungel met wachtwoorden als '12345', en 5 jaar oude (ongepatchte) 'vulnerabilities' mogen gewoon niet voorkomen. Als dat toch gebeurt heeft er iemand heel erg tekortgeschoten. Dat zal iedereen wel met mij eens zijn.
Aan de andere kant: hoe groter een (bedrijfs) systeem, hoe groter de kans dat er ergens een kwetsbaarheid over het hoofd gezien wordt, en hoe lastiger en bewerkelijker het is om te detecteren dat je wordt aangevallen. Zoals we hier ook allemaal wel weten: goede beveiliging kost tijd, aandacht, en een hoop expertise. M.a.w.: veel geld.
Vraag is nu: is het redelijk om van iedere site-beheerder te vergen dattie voldoende op de hoogte is van netwerk beveiliging? Patchen, ok, dat weten de meesten wel. Maar als beheerder ben je nooit de 'behoefte-steller'.
Er wordt je opgedragen om bepaalde functionaliteit (b.v. een interactieve website, een E-winkel met alle daraan gekoppelde SQL databases, een aparte response area voor klanten, remote login voor medewerkers, WiFi dekking voor het bedrijfspand etc. etc. in de lucht te brengen en te houden). Of je al die tientallen pakketten en technieken nou voldoende beheerst of niet. Hoe kan je als simpele beheerder dan nog de verantwoordelijkheid nemen? Nee zeggen is geen optie. De problemen aangeven en het bijpassend prijskaartje voor beveiliging eraan hangen kan je doen (en *moet* je doen!), maar is doorgaans niet afdoende. Maar wat dan?
En netwerk monitoring? Voor een LAN nog wel te doen met een slimme router met MAC-adres verificatie, real-time virus-scanner, authorisatie niveaus, poortblokkades, regelmatige backups, en logging. Maar goede monitoring? Moeilijk hoor. Iedereen kan wel wat monitoren, maar hoeveel is genoeg? En hoe trigger je alerts?
Maar monitoring van website verkeer? Nou ja, zelfde standaard riedeltje: router met poortblokkade, statefull firewall, gescheiden machines voor de website en de database, minimale configuratie voor beiden, blijven patchen, logging en traffic analysis door een derde machine. Dat loopt op. Maar het kan misschien net. Als je heel hard werkt en veel overtuigingskracht hebt.
Maar wat te doen tegen SQL injecties via de website? Of buffer overflows? Ga je als beheerder alle scripts van de website auditen? Nee heh? Niet je taak, en veel te tijdrovend. Dus invalspoort nummer 1 staat alvast open.
En dan de applicaties zelf. Die slimme subroutine bibliotheek die de websitebouwer perse wil gebruiken bijvoorbeeld. Dat monolitische commerciele pakket, of juist die collectie samenwerkende programma's waar de website op draait. Zit daar een zwakte in die toevallig niet gepatched is, dan ga je alsnog nat tegen een aanvaller met veel kennis.
Een aanvaller heeft een zeker voordeel: die kan kiezen: of de beveiliging van een bepaalde site helemaal uitpluizen (en daar lekker veel meer tijd instoppen dan jij als beheerder kan besteden aan diezelfde studie) of zich botweg specialiseren op bepaalde pakketten, daar alle historische zwakheden van kennen, en het net afstruinen naar sukkels die niet gepatched hebben, of hardwerkende beheerders die niet snel genoeg gepatched hebben.
Wat je eigenlijk zou willen is een 'whitelist' van software (en hardware) die geen zwakten kennen. Theoretisch gesproken misschien nog wel mogelijk (met programma correctheidsbewijzen) maar in de praktijk niet verkrijgbaar.
Blijft over: software met een goede reputatie. Maar ja, *iedere* verkoper van software heetf wel een verhaal over hun oh zo voortreffelijke kwaliteitscontrole, hun reputatie, en verdere prietpraat. Open Source software dan? Vaak wel, maar net zo min gegarandeerd, en i.h.a. lastiger te verkopen aan het management.
Wat dan? De baas aanraden om een beveiligingsconsultant te laten komen? Vaak wel, al was het maar uit CYA ('cover your ass') overwegingen, of gewoon uit eerlijkheid: "ik kan prima een systeem in de lucht houden, maar ik ben geen echte beveiligingsexpert dus ik weet minder dan een serieuze computer-inbreker".
Er zijn legio sites met discussie fora over beveiliging, veel teveel om allemaal af te lopen of bij te houden. Zou er eigenlijk geen behoefte zijn aan een centrale site met onafhankelijk en deskundig advies over wat *wel* te doen, en welke software aan te raden is? Dat lijkt me nou iets wat de overheid zou kunnen doen. Indien nodig misschien zelfs wel op Europees niveau.
Hoe kijkt men daar tegenaan?
Aan de ene kant: hoe groter een bedrijf, en hoe persoonlijker de data, hoe beter het beveiligd moet worden. Geklungel met wachtwoorden als '12345', en 5 jaar oude (ongepatchte) 'vulnerabilities' mogen gewoon niet voorkomen. Als dat toch gebeurt heeft er iemand heel erg tekortgeschoten. Dat zal iedereen wel met mij eens zijn.
Aan de andere kant: hoe groter een (bedrijfs) systeem, hoe groter de kans dat er ergens een kwetsbaarheid over het hoofd gezien wordt, en hoe lastiger en bewerkelijker het is om te detecteren dat je wordt aangevallen. Zoals we hier ook allemaal wel weten: goede beveiliging kost tijd, aandacht, en een hoop expertise. M.a.w.: veel geld.
Vraag is nu: is het redelijk om van iedere site-beheerder te vergen dattie voldoende op de hoogte is van netwerk beveiliging? Patchen, ok, dat weten de meesten wel. Maar als beheerder ben je nooit de 'behoefte-steller'.
Er wordt je opgedragen om bepaalde functionaliteit (b.v. een interactieve website, een E-winkel met alle daraan gekoppelde SQL databases, een aparte response area voor klanten, remote login voor medewerkers, WiFi dekking voor het bedrijfspand etc. etc. in de lucht te brengen en te houden). Of je al die tientallen pakketten en technieken nou voldoende beheerst of niet. Hoe kan je als simpele beheerder dan nog de verantwoordelijkheid nemen? Nee zeggen is geen optie. De problemen aangeven en het bijpassend prijskaartje voor beveiliging eraan hangen kan je doen (en *moet* je doen!), maar is doorgaans niet afdoende. Maar wat dan?
En netwerk monitoring? Voor een LAN nog wel te doen met een slimme router met MAC-adres verificatie, real-time virus-scanner, authorisatie niveaus, poortblokkades, regelmatige backups, en logging. Maar goede monitoring? Moeilijk hoor. Iedereen kan wel wat monitoren, maar hoeveel is genoeg? En hoe trigger je alerts?
Maar monitoring van website verkeer? Nou ja, zelfde standaard riedeltje: router met poortblokkade, statefull firewall, gescheiden machines voor de website en de database, minimale configuratie voor beiden, blijven patchen, logging en traffic analysis door een derde machine. Dat loopt op. Maar het kan misschien net. Als je heel hard werkt en veel overtuigingskracht hebt.
Maar wat te doen tegen SQL injecties via de website? Of buffer overflows? Ga je als beheerder alle scripts van de website auditen? Nee heh? Niet je taak, en veel te tijdrovend. Dus invalspoort nummer 1 staat alvast open.
En dan de applicaties zelf. Die slimme subroutine bibliotheek die de websitebouwer perse wil gebruiken bijvoorbeeld. Dat monolitische commerciele pakket, of juist die collectie samenwerkende programma's waar de website op draait. Zit daar een zwakte in die toevallig niet gepatched is, dan ga je alsnog nat tegen een aanvaller met veel kennis.
Een aanvaller heeft een zeker voordeel: die kan kiezen: of de beveiliging van een bepaalde site helemaal uitpluizen (en daar lekker veel meer tijd instoppen dan jij als beheerder kan besteden aan diezelfde studie) of zich botweg specialiseren op bepaalde pakketten, daar alle historische zwakheden van kennen, en het net afstruinen naar sukkels die niet gepatched hebben, of hardwerkende beheerders die niet snel genoeg gepatched hebben.
Wat je eigenlijk zou willen is een 'whitelist' van software (en hardware) die geen zwakten kennen. Theoretisch gesproken misschien nog wel mogelijk (met programma correctheidsbewijzen) maar in de praktijk niet verkrijgbaar.
Blijft over: software met een goede reputatie. Maar ja, *iedere* verkoper van software heetf wel een verhaal over hun oh zo voortreffelijke kwaliteitscontrole, hun reputatie, en verdere prietpraat. Open Source software dan? Vaak wel, maar net zo min gegarandeerd, en i.h.a. lastiger te verkopen aan het management.
Wat dan? De baas aanraden om een beveiligingsconsultant te laten komen? Vaak wel, al was het maar uit CYA ('cover your ass') overwegingen, of gewoon uit eerlijkheid: "ik kan prima een systeem in de lucht houden, maar ik ben geen echte beveiligingsexpert dus ik weet minder dan een serieuze computer-inbreker".
Er zijn legio sites met discussie fora over beveiliging, veel teveel om allemaal af te lopen of bij te houden. Zou er eigenlijk geen behoefte zijn aan een centrale site met onafhankelijk en deskundig advies over wat *wel* te doen, en welke software aan te raden is? Dat lijkt me nou iets wat de overheid zou kunnen doen. Indien nodig misschien zelfs wel op Europees niveau.
Hoe kijkt men daar tegenaan?
/u/263119/Teneen.png?f=community){kind=small}
Het ligt er ook een beetje aan in wat voor soort bedrijf je terecht komt. Als ICT specialist moet je kunde en overzicht hebben in je eigen netwerk en dus daarvan in ieder geval de soft-spots kunnen herkennen.
Als de specialist voornamelijk in zijn uppie ervoor staat maar zelf weinig acties onderneemt, is dat kwalijk.
Uit praktijk, heb ik zelf mee kunnen maken dat een betrokken ICT'r voor de veiligheid van zijn werkgever midden in de nacht bij een alarm gerust zijn koude kleren aantrekt en de boel oplost.
Menig groot bedrijf hebben niet eens een vaste ICT'r in dienst die al het bovengenoemde kan waarmaken.
Mijn idee is dus ook dat passie, betrokkenheid en verstand van zaken veelal een hoop voorkomt. Denk aan de hack op die parlementslid in de US. De ICT'r kon rustig uitleggen dat er niks aan de hand was en duidelijk overzicht had in zijn zaken.
Op het moment is dat hacken een storm in een glas water, de hype in internetbeveiliging. Nog maar zien hoelang dit aanhoud.
Als de specialist voornamelijk in zijn uppie ervoor staat maar zelf weinig acties onderneemt, is dat kwalijk.
Uit praktijk, heb ik zelf mee kunnen maken dat een betrokken ICT'r voor de veiligheid van zijn werkgever midden in de nacht bij een alarm gerust zijn koude kleren aantrekt en de boel oplost.
Menig groot bedrijf hebben niet eens een vaste ICT'r in dienst die al het bovengenoemde kan waarmaken.
Mijn idee is dus ook dat passie, betrokkenheid en verstand van zaken veelal een hoop voorkomt. Denk aan de hack op die parlementslid in de US. De ICT'r kon rustig uitleggen dat er niks aan de hand was en duidelijk overzicht had in zijn zaken.
Op het moment is dat hacken een storm in een glas water, de hype in internetbeveiliging. Nog maar zien hoelang dit aanhoud.
[Reactie gewijzigd door T.Rijkers op 27 juli 2024 11:39]
:strip_icc():strip_exif()/u/347700/honeybadger.jpg?f=community){kind=small}
Ik ben het met je eens, de laatste tijd is gebleken -voor het grote publiek- dat veel websites een te slechte beveiliging hebben. Men is er teveel vanuit gegaan dat hun beveiliging afdoende was,..
Ik hoop dat mensen die daadwerkelijk wat aan te bieden hebben online nu nog meer gaan beseffen dat het nodig is om zwaardere beveiliging toe te passen of accepteren dat ze bepaalde diensten niet veilig kunnen aanbieden. Natuurlijk is het belachelijk dat bepaalde groepen personen denken dat zij gewoon kunnen hacken, het blijft namelijk gewoon een misdrijf. Maar het gebeurd, dus de vraag is nu welke mate van interventie er toegepast moet worden. Dit wordt ook wel de Kosten Baten Analyse (KBA) genoemd; op welk moment levert zoveel % interventie meer op dan de gedane schade.
Ik denk dat ze tot de volgende conclusie zullen komen:
1. Alleen grote belangrijke instanties zoals overheden en verzekeraars zullen baat hebben bij zeer zware en dure beveiligingen, en kleinere bedrijven zullen moeten accepteren dat zij af en toe gehackt zullen worden.
Als je dit een rare conclusie vindt moet je de volgende gedachte voor je houden; stel je wordt 2x per jaar aangevallen en elke aanval kost 400.000 Euro. Een goede verdediging kost 1.000.000 Euro p.j. Dan heb je een negatief saldo van 2ton. Het klinkt misschien heel abstract, maar zo verloopt zo'n berekening in zeer versimpelde vorm wel.
Ik hoop dat mensen die daadwerkelijk wat aan te bieden hebben online nu nog meer gaan beseffen dat het nodig is om zwaardere beveiliging toe te passen of accepteren dat ze bepaalde diensten niet veilig kunnen aanbieden. Natuurlijk is het belachelijk dat bepaalde groepen personen denken dat zij gewoon kunnen hacken, het blijft namelijk gewoon een misdrijf. Maar het gebeurd, dus de vraag is nu welke mate van interventie er toegepast moet worden. Dit wordt ook wel de Kosten Baten Analyse (KBA) genoemd; op welk moment levert zoveel % interventie meer op dan de gedane schade.
Ik denk dat ze tot de volgende conclusie zullen komen:
1. Alleen grote belangrijke instanties zoals overheden en verzekeraars zullen baat hebben bij zeer zware en dure beveiligingen, en kleinere bedrijven zullen moeten accepteren dat zij af en toe gehackt zullen worden.
Als je dit een rare conclusie vindt moet je de volgende gedachte voor je houden; stel je wordt 2x per jaar aangevallen en elke aanval kost 400.000 Euro. Een goede verdediging kost 1.000.000 Euro p.j. Dan heb je een negatief saldo van 2ton. Het klinkt misschien heel abstract, maar zo verloopt zo'n berekening in zeer versimpelde vorm wel.
:strip_exif()/u/198203/logospenk_2_60maal71.gif?f=community){kind=small}
In je berekening vergeet je de imagoschade nog, denk ik. Zoiets wordt lang door consumenten herinnert en kan je merk grote schade aanbrengen. Dat is niet echt te meten in euro's.
Integendeel, als bijvoorbeeld Sony het kwartaal na de aanvallen met cijfers komt die 5% lager liggen lijkt me de geleden imagoschade zéér meetbaar.
Lulzsec is niet verantwoordelijk voor de hack op het Sony PS3 netwerk... ze hebben alleen een paar kleine sites van Sony te pakken gehad... Gisteren kondigden ze de hak op Bethesda aan, maar de 200k+ accounts hebben ze niet gereleased, heb niet het idee dat ze direct grote schade willen veroorzaken bij de slachtoffers...
Tot en met vandaag dus waar wij te horen hebben gekregen dat ze meerdere DDOS aanvallen hebben gepleegd..
http://tweakers.net/nieuws/75072/lulzsec-valt-gamesites-aan-met-ddos-aanvallen.html#reacties
Dat is dan toch weer redelijk bedoeld om schade aan te richten bij de klanten van die bedrijven.. en daarnaast, toen ze de gegevens van die porno-site bezoekers vrijgaven was dat ook bedoeld om schade aan te richten..
http://tweakers.net/nieuws/75072/lulzsec-valt-gamesites-aan-met-ddos-aanvallen.html#reacties
Dat is dan toch weer redelijk bedoeld om schade aan te richten bij de klanten van die bedrijven.. en daarnaast, toen ze de gegevens van die porno-site bezoekers vrijgaven was dat ook bedoeld om schade aan te richten..
Ik moet zeggen dat ik het 'aan de schandpaal nagelen' van bezoekers van pornosites (dat was tenslotte het doel van LulzSec) wel een stuk redelijker vind dan het voor de Lulz neerhalen van allerlei servers. Wat voor nut heeft het om gameservers neer te halen, terwijl ze nota bene positief tegenover deze ontwikkelaars staan? zie hieronder.
"Please find enclosed everything we took, excluding one thing -
200,000+ Brink users. We actually like this company and would
like for them to speed up the production of Skyrim, so we'll
give them one less thing to worry about. You're welcome! :D"
"Please find enclosed everything we took, excluding one thing -
200,000+ Brink users. We actually like this company and would
like for them to speed up the production of Skyrim, so we'll
give them one less thing to worry about. You're welcome! :D"
:strip_icc():strip_exif()/u/249917/jaapschaap.jpg?f=community){kind=small}
Want die schade komt enkel en alleen door de hack? Nee he, onmeetbaar dus...
:strip_exif()/u/327460/cowboy.gif?f=community){kind=small}
Die 2 ton extra per jaar kan je wel een hoop imago schade voorkomen. Want je komt negatief in de publiciteit en je verliest er dus -potentiële- klanten mee.
Dat is zeker juist, maar dat kan je dus ook in de berekening mee nemen als je een echte berekening zou maken met een volledig aantal variabelen.
En om de mensen voor te zijn, het grootste commentaar op de KBA is dat het soms onmogelijk is om alle verschillende variabelen te onderscheiden die meespelen in een bepaalde setting. Maar je kunt wel zoveel mogelijk variabelen opnemen en bekijken hoeveel procent van het gedrag je kunt voorspellen..
En om de mensen voor te zijn, het grootste commentaar op de KBA is dat het soms onmogelijk is om alle verschillende variabelen te onderscheiden die meespelen in een bepaalde setting. Maar je kunt wel zoveel mogelijk variabelen opnemen en bekijken hoeveel procent van het gedrag je kunt voorspellen..
Ik vind het maar twijfelachtig. Ze kunnen even goed de beveiligingsgaten hekelen zonder daarvoor alle gegevens van de klanten op straat te gooien.
:strip_exif()/u/44466/0115455001290429971.gif?f=community){kind=small}
Dit is precies hoe ik er over denk. Leuk hoor dat ze die gaten laten zien. Vind het ook prima als ze een deel van de gegevens gecensureerd lekken als bewijs.
Ik vind het echter absoluut niet netjes om vervolgens de klantgegevens in een *.txt op een torrent site te zetten.
Er zijn veel mensen die de zelfde e-mail/password gebruiken voor Facebook, Mail of nog erger Paypal.
Het is niet verstandig overal hetzelfde wachtwoord te gebruiken maar wie kan er nou 400 verschillende wachtwoorden onthouden?! Ik weet dat er tools zijn om je hier bij te helpen maar daar is de gemiddelde PSN gebruiker zich echt niet van bewust.
Door het plaatsen van deze gegevens op torrent kunnen kwaadwillenden andere mensen (financiële)schade toe brengen. Dat is erg jammer....
Ik vind het echter absoluut niet netjes om vervolgens de klantgegevens in een *.txt op een torrent site te zetten.
Er zijn veel mensen die de zelfde e-mail/password gebruiken voor Facebook, Mail of nog erger Paypal.
Het is niet verstandig overal hetzelfde wachtwoord te gebruiken maar wie kan er nou 400 verschillende wachtwoorden onthouden?! Ik weet dat er tools zijn om je hier bij te helpen maar daar is de gemiddelde PSN gebruiker zich echt niet van bewust.
Door het plaatsen van deze gegevens op torrent kunnen kwaadwillenden andere mensen (financiële)schade toe brengen. Dat is erg jammer....
Volgens mij is het overbrengen van de boodschap niet voor alles hetzelfde wachtwoord te gebruiken onderdeel van hun missie...
:strip_icc():strip_exif()/u/140143/krabsla_64x64.jpg?f=community){kind=small}
Ik heb niet de indruk dat ze een echte missie hebben, behalve dan voor de "Lulz"Volgens mij is het overbrengen van de boodschap niet voor alles hetzelfde wachtwoord te gebruiken onderdeel van hun missie...
Als je het hele verhaal van de porno-hack bekijkt, dan weet je wel dat ze niet echt bepaald een "hoogdravende" missie hebben...
:strip_icc():strip_exif()/u/293755/white-wankel-way-s.jpg?f=community){kind=small}
Kun je dat echt uit hun acties opmaken?? Ik denk dat hun missie meer zoiets is als dit: "Kijk ons een grote machtige jongens zijn. Wij kunnen de grootste sites ter wereld aan, en als een bedrijf iets doet wat we niet leuk vinden, zullen we ze even pesten"
Laat al die onschuldige mensen met rust of benader bedrijven met hun lekken. Desnoods log je in op een facebook account met gegevens van een andere site een plaats je een plaatje met als tekst: "Ik ben gehackt door de lulz"
Maar het lekken van inlog gegevens van pornosites en DDOSen is gewoon triest. Je gaat toch ook geen foto's maken van mensen die bij het porno schap in de videotheek. Of als een gek langs de kassa bij de FRS rennen zodat er niemand games kan kopen.
Laat al die onschuldige mensen met rust of benader bedrijven met hun lekken. Desnoods log je in op een facebook account met gegevens van een andere site een plaats je een plaatje met als tekst: "Ik ben gehackt door de lulz"
Maar het lekken van inlog gegevens van pornosites en DDOSen is gewoon triest. Je gaat toch ook geen foto's maken van mensen die bij het porno schap in de videotheek. Of als een gek langs de kassa bij de FRS rennen zodat er niemand games kan kopen.
/u/98547/crop5db2a7ff7f697_cropped.png?f=community){kind=small}
Mja er zijn gewoon heel veel facetten aan het verhaal.
Het gebeurt vrij vaak dat iemand een lek meldt en er wordt vervolgens niets mee gedaan, of dat het niet gemeld wordt dat er een lek was en het zo nooit duidelijk is geworden dat er misbruik van je gegevens gemaakt is en je wachtwoord mogelijk op straat ligt zonder dat jij het weet.
En ja het is niet netjes om account info op internet te zetten. Maar als hun er bij kunnen was het al praktisch vrije informatie, nu weten mensen het iig. Persoonlijk vond ik het wel fijn om te weten dat toen gawker gehacked mijn wachtwoorden voor een hoop sites niet veilig meer waren.
Ook is de huidige password policy die mensen gebruiken gewoon fout. nu wordt daar eens goed aandacht aanbesteed (Zelfde wachtwoord overal is fout). en gaan mensen, en ook hopelijk bedrijven als MS en Apple daar aandacht aan besteden
misschien is dit wel nodig om iedereen weer eens met de neus op de feiten te drukken
Het gebeurt vrij vaak dat iemand een lek meldt en er wordt vervolgens niets mee gedaan, of dat het niet gemeld wordt dat er een lek was en het zo nooit duidelijk is geworden dat er misbruik van je gegevens gemaakt is en je wachtwoord mogelijk op straat ligt zonder dat jij het weet.
En ja het is niet netjes om account info op internet te zetten. Maar als hun er bij kunnen was het al praktisch vrije informatie, nu weten mensen het iig. Persoonlijk vond ik het wel fijn om te weten dat toen gawker gehacked mijn wachtwoorden voor een hoop sites niet veilig meer waren.
Ook is de huidige password policy die mensen gebruiken gewoon fout. nu wordt daar eens goed aandacht aanbesteed (Zelfde wachtwoord overal is fout). en gaan mensen, en ook hopelijk bedrijven als MS en Apple daar aandacht aan besteden
misschien is dit wel nodig om iedereen weer eens met de neus op de feiten te drukken
:strip_icc():strip_exif()/u/357407/crop5614c78b48976_cropped.jpeg?f=community){kind=small}
het is dan wel misschien beter om op elke site een ander wachtwoord te gebruiken, maar op het moment dat ELKE verdraaide website weer andere eisen stelt (moet zo en zo lang wezen, mag deze en deze tekens bevatten blablabla) dan word je daar nogal snel mesjogge van.
in dat geval is het prettiger om gewoon een standaart wachtwoord te hebben dat overal werkt ( liefst een beetje een goeie )
in dat geval is het prettiger om gewoon een standaart wachtwoord te hebben dat overal werkt ( liefst een beetje een goeie )
[Reactie gewijzigd door Gelunox op 27 juli 2024 11:39]
Je doet nu alsof dit het probleem van de gebruiker is. Dat is het echter niet. Elke developer die passwords opslaat en ook maar een halve hersencel heeft, weet dat hij die passwords NIET plaintext in zijn database moet/mag opslaan. Dat is les 1. Als men daaraan gedacht had, had men het door jouw geposte probleem niet gehad.Er zijn veel mensen die de zelfde e-mail/password gebruiken voor Facebook, Mail of nog erger Paypal.
Het is niet verstandig overal hetzelfde wachtwoord te gebruiken maar wie kan er nou 400 verschillende wachtwoorden onthouden?! Ik weet dat er tools zijn om je hier bij te helpen maar daar is de gemiddelde PSN gebruiker zich echt niet van bewust.
Het is niet een kwestie van of je gehacked wordt, maar van wanneer je gehacked wordt (en eventueel door wie en met welke bedoelingen). Het is de verantwoordelijkheid van de bewarende instantie om de veiligheid van die passwords te waarborgen. Naar nu blijkt zijn er een hoop instanties nalatig in dat gebied. Zuur voor de mensen die daar een account/persoonsgegevens hadden, maar je kunt het deze hackers (of de volgende, of die daarna) niet aanrekenen dat hier zo mild met beveiliging omgesprongen wordt.
Ik vind het gewoon niet kunnen....
/u/363759/crop5643c75d3effb_cropped.png?f=community){kind=small}
Daar ga ik mee in.
Ik kan begrijpen dat ze willen aantonen dat bedrijven hun security niet in orde hebben maar om zoveel lam te leggen is compleet onnodig.
Voor iedereen die geïnteresseerd is:
Ze hebben minecraft, eve online en escapist magazine ook lam gelegd.
Bron: Hier
Twitter van LulzSec:
LulzSec
Ze hebben league of legends nu ook al offline gehaald...
Dit begint onderhand niet meer leuk te worden.
Ik kan begrijpen dat ze willen aantonen dat bedrijven hun security niet in orde hebben maar om zoveel lam te leggen is compleet onnodig.
Voor iedereen die geïnteresseerd is:
Ze hebben minecraft, eve online en escapist magazine ook lam gelegd.
Bron: Hier
Twitter van LulzSec:
LulzSec
Ze hebben league of legends nu ook al offline gehaald...
Dit begint onderhand niet meer leuk te worden.
[Reactie gewijzigd door Shadoxfix op 27 juli 2024 11:39]
Nou als ik zo naar hun twitter kijk, lijken het wel aluhoedjes zeg. Gaan ze over de Illuminatie beginnen. zucht* Dit zijn echt gekken of echt pubers met te veel vrije tijd. Dit is gewoon dus gekkenwerk of pest werk door pubertjes.
kvind t maar een gare naam...lulzsec....lulzak ->lulzaken? Ik weet het niet...persoonlijk vind ik een bedrijf die in opdracht handelt beter dan iemand die gewoon een lijst afwerkt met bedrijven zonder ze om toestemming te vragen en vervolgens lekken de media in te gooien. maarja..van hen weet ik eigenlijk niet zeker of ze in opdracht handelen of niet..vermoed van niet..en dan vind ik dat ze het hart op de goede plek hebben zitten, maar toch beter in opdracht gaan handelen.
:strip_exif()/u/296067/sanwa_final.gif?f=community){kind=small}
Het is een afkorting voor "Lulz Security". "Lulz" is een verbastering van "Lol", en dat is een afkorting van "Laughing out loud". LulzSec doen dingen ook "For teh lulz", "For laughs" eigenlijk dus.
https://secure.wikimedia.org/wikipedia/en/wiki/Lol
https://secure.wikimedia.org/wikipedia/en/wiki/Lol
leuke verklaring..maar nog steeds vind ik het een gare naam...het opvolgende stukje was gewoon om even een leuke opmerking (proberen) te maken natuurlijk..
For the lulz = E-Kattekwaad uithalen
Sec = Security.
Een bedrijf die in opdracht handelt is goed, maar het nadeel is dat dat soort bedrijven pas worden ingehuurd als de site al online staat. vinden ze een lek melden ze het en "kan het eventueel" gefixed worden. maar waar sony en consorten dan niet aan lijken te denken is dat hun data al tijden op straat lag en niet weten wie hun data allemaal heeft
Sec = Security.
Een bedrijf die in opdracht handelt is goed, maar het nadeel is dat dat soort bedrijven pas worden ingehuurd als de site al online staat. vinden ze een lek melden ze het en "kan het eventueel" gefixed worden. maar waar sony en consorten dan niet aan lijken te denken is dat hun data al tijden op straat lag en niet weten wie hun data allemaal heeft
tsja...of het nadeel word opgeheft door een bedrijfje die hetzelfde doet zonder dat je er om vraagt...denk het niet...
/u/351515/crop6897f6e5d19a1_cropped.png?f=community){kind=small}
Zolang ze op de huidige koers voortvaren met hun LulzBoat vind ik het prima kunnen wat ze doen. Het gaat ze meer om het aantonen van gaten in beveiligingen.
:strip_icc():strip_exif()/u/122141/ic.tweakimg.net2.jpg?f=community){kind=small}
Het publiceren van gebruikers accounts en het oproepen tot het aan de publieke schandpaal nagelen vind ik nogal ver gaan. Er zijn landen waar het bezoeken van porno sites nog steeds strafbaar is (wat soms ook nog heel ver kan gaan), en waar het bij ons al bijna niemand meer interesseert. Dus de schade die je er mee aanricht loopt nogal ver uiteen en kan soms verstrekkende gevolgen voor individuen hebben.
Het aantonen van beveiligings lekken is misschien een grijs gebied, maar wie zegt dat er niet meer gedaan word met de verkregen gebruikers data?
Het aantonen van beveiligings lekken is misschien een grijs gebied, maar wie zegt dat er niet meer gedaan word met de verkregen gebruikers data?
Ze hebben geen accounts gepubliceerd. In ieder geval niet toen ze bethesda hackten.
Voor zover ik het zie willen ze alleen iets aantonen.
Edit: @edeboeck dat wist ik niet.
Voor zover ik het zie willen ze alleen iets aantonen.
Edit: @edeboeck dat wist ik niet.
[Reactie gewijzigd door Shadoxfix op 27 juli 2024 11:39]
Bij Bethesda niet, bij de pornohack wel
Ze zijn nu simpelweg aan het DDOS'en, dat is heel wat anders dan slechte beveiliging aantonen. Het is van twijfelachtig nu wel omgeslagen in verrekte irritant.
:strip_icc():strip_exif()/u/86805/avatar_1649.jpg?f=community){kind=avatar}
Jij vindt winkeldiefstal ook prima kunnen zolang het maar als doel heeft 'aan te tonen dat er gaten in de beveiliging zitten'?
Mag je ook mensen vermoorden zolang er maar geen politie in de buurt is om dat te voorkomen, om aan te tonen dat het kan?
Hoever wil je gaan?
Mag je ook mensen vermoorden zolang er maar geen politie in de buurt is om dat te voorkomen, om aan te tonen dat het kan?
Hoever wil je gaan?
Winkeldiefstal om een beveiliging te testen wordt tegenwoordig vaak gedaan. Dan wordt door de hoge bazen van een winkelketen een persoon ingehuurd die dan de winkelbeveiliging moet proberen te omzeilen.
Ik vind het gewoon pubertjes die te weinig aandacht krijgen, je mag gerust aantonen dat iets niet deugt, maar om dan tegelijkertijd van tienduizenden mensen privégegevens op straat te gooien, dat kan gewoon niet...
Ik vind het gewoon pubertjes die te weinig aandacht krijgen, je mag gerust aantonen dat iets niet deugt, maar om dan tegelijkertijd van tienduizenden mensen privégegevens op straat te gooien, dat kan gewoon niet...
Uhm, ze tonen helemaal niets aan. Ze vervelen zichzelf en halen wat kattekwaad uit, wat vervolgens voor veel mensen irritant is en gigantisch veel geld kost.
Ik vind dit net zo triest als voetbal holigans. Beide groepen mensen zouden aansprakelijk gesteld moeten worden voor de schade die ontstaat.
Ik vind dit net zo triest als voetbal holigans. Beide groepen mensen zouden aansprakelijk gesteld moeten worden voor de schade die ontstaat.
Ze komen niet echt professioneel over en hun moraal is nogal wisselend per organisatie. En zelfs als ze een bedrijf eigenlijk "wel mogen" richten ze toch nog schade aan door bepaalde delen publiek te maken, maar beperken ze het ergens nog.
Het komt nog niet heel vowassen over die enorm wisselende moraal die ze hanteren.
Of het zijn een stel pubers of ze zijn schijnbaar nooit die fase echt ontgroeid.
Mijnsinziens beleven ze er veel te veel lol aan zeker aan alle mediaaandacht.
Dus ik houd het op pubers met aandachttekort
Het komt nog niet heel vowassen over die enorm wisselende moraal die ze hanteren.
Of het zijn een stel pubers of ze zijn schijnbaar nooit die fase echt ontgroeid.
Mijnsinziens beleven ze er veel te veel lol aan zeker aan alle mediaaandacht.
Dus ik houd het op pubers met aandachttekort
Je bedoeld vast die Brink users?
Voordat er door Bethesda wordt ontkend tonen ze hiermee aan dat ze op de servers hebben kunnen komen. Persoonlijk vind ik het een slimme set van Lulzsec want je zet meteen Bethesda schaakmat, waarmee ik bedoel, dat ze de hackers niet tegen hun in het vel kunnen jagen door te zeggen "Nee het was niet mogelijk".
Toch blijf ik het knap vinden dat zo'n groep dat pas sinds kort publiekelijk openbaar is toch zoveel teweeg brengt.
Voordat er door Bethesda wordt ontkend tonen ze hiermee aan dat ze op de servers hebben kunnen komen. Persoonlijk vind ik het een slimme set van Lulzsec want je zet meteen Bethesda schaakmat, waarmee ik bedoel, dat ze de hackers niet tegen hun in het vel kunnen jagen door te zeggen "Nee het was niet mogelijk".
Toch blijf ik het knap vinden dat zo'n groep dat pas sinds kort publiekelijk openbaar is toch zoveel teweeg brengt.
Bewijzen kan vele malen subtieler je kunt het ook exclusief aan een journalist tonen of zeer selectief iets prijsgeven. Meer dan dat heeft geen enkel doel meer behalve het kapot maken van bedrijven. Bedrijven waar gewoon hardwerkende mensen hun dagelijkse brood proberen te verdienen. En geen enkel bedrijf zal zijn zaken perfect op orde hebben daar zijn we mensen voor. Lulzsec is wat dat betreft veel te arrogant bezig en erg onprofessioneel.
Dit maakt het meteen 100% duidelijk, anders moet je die journalist maar op z'n woord geloven, en dat is aardig spinbaar (mocht de organisatie simpelweg bot ontkennen, dan is het hun woord tegen dat van een omkoopbare journalist...). Nu is het meteen duidelijk, en kan iedereen z'n eigen onderzoek doen naar de correctheid van de gegevens. Ja het molesteert bedrijven. Klopt. Het mag niet, is strafbaar, en stout. Klopt ook. Echter, bedrijven zijn gruwelijk laks met beveiliging, en door dit soort hacking sprees gaan ze wellicht eens iets beter kijken naar de personen die verantwoordelijk zijn voor hun digitale beveiliging. Banken laten hun kluizen (na de nodige inbraakpogingen) ook niet meer zomaar open staan...
Dat ze bedrijven kraken om te laten zien dat hun beveiliging slecht is: Dat kan ik begrijpen. Waar ik het echter niet mee eens ben is de motivatie van LulzSec, en wat ze met die gegevens doen: Gewoon voor de lol allerlei informatie op internet zetten. Ze willen alleen maar reacties uitlokken lijkt mij. Ze spelen ook eigen rechten en komen dan met excuses om hun gedrag goed te praten.
Plus: In tegenstelling tot andere kraken zijn deze kraken niet alleen schadelijk voor de bedrijven, maar ook voor de klanten/leden van die site. En vooral ook bij die porno hack gaan ze mensen ook nog eens aanmoedigen in de Facebook accounts van de slachtoffers in te loggen en dan de hele vriendenlijst van op de hoogte te stellen dat diegene porno kijkt. Er zijn dan vrienden die dan denken van "Ja hoor, verbaast me niets.", maar niet iedereen heeft ruimdenkende ouders/vrienden. Die mensen hebben het hoogstwaarschijnlijk al moeilijk, en dan gooi je nog meer benzine op het vuur "for teh lulz". Dat klinkt als een gebrek aan etnisch besef van hun kant, en ik vind dat een erg enge eigenschap.
Plus: In tegenstelling tot andere kraken zijn deze kraken niet alleen schadelijk voor de bedrijven, maar ook voor de klanten/leden van die site. En vooral ook bij die porno hack gaan ze mensen ook nog eens aanmoedigen in de Facebook accounts van de slachtoffers in te loggen en dan de hele vriendenlijst van op de hoogte te stellen dat diegene porno kijkt. Er zijn dan vrienden die dan denken van "Ja hoor, verbaast me niets.", maar niet iedereen heeft ruimdenkende ouders/vrienden. Die mensen hebben het hoogstwaarschijnlijk al moeilijk, en dan gooi je nog meer benzine op het vuur "for teh lulz". Dat klinkt als een gebrek aan etnisch besef van hun kant, en ik vind dat een erg enge eigenschap.
Uiteindelijk is dit een situatie die gecreëerd is door ons allen.
Door de (ons) gebruikers: omdat we eigenlijk massaal bezig waren met het negeren van onze privacy en online veiligheid o.a. door het blind vertrouwen van grote bedrijven die achteraf toch hun zaakjes (keer op keer) niet op orde blijken te hebben. en het in stand houden van foute wachtwoord policy's
en de schuld van bedrijven die omgaan met klanten (en hun gegevens) alsof ze niets waard zijn en dingen beloven die ze niet nakomen (Ja je data is geencrypt, oh nee toch niet))
Het is een hele wijze en waardevolle les natuurlijk, Als je niet wilt dat anderen weten dat je pr0n bezoekt moet je zorgen dat je ook stappen neemt dat dat niet kan gebeuren
Door de (ons) gebruikers: omdat we eigenlijk massaal bezig waren met het negeren van onze privacy en online veiligheid o.a. door het blind vertrouwen van grote bedrijven die achteraf toch hun zaakjes (keer op keer) niet op orde blijken te hebben. en het in stand houden van foute wachtwoord policy's
en de schuld van bedrijven die omgaan met klanten (en hun gegevens) alsof ze niets waard zijn en dingen beloven die ze niet nakomen (Ja je data is geencrypt, oh nee toch niet))
Het is een hele wijze en waardevolle les natuurlijk, Als je niet wilt dat anderen weten dat je pr0n bezoekt moet je zorgen dat je ook stappen neemt dat dat niet kan gebeuren
[Reactie gewijzigd door Rmg op 27 juli 2024 11:39]
Daar heb je gelijk in, maar onthoud dat de meeste mensen simpelweg niet weten wat voor maatregelen ze moeten nemen om dat te voorkomen. En: Rechtvaardigt dit argument dan wat LulzSec doet met de gegevens?Het is een hele wijze en waardevolle les natuurlijk, Als je niet wilt dat anderen weten dat je pr0n bezoekt moet je zorgen dat je ook stappen neemt dat dat niet kan gebeuren
Dat mensen onwetend zijn is geen excuus natuurlijk.
Daar zijn weer 2 partijen schuldig, de gebruikers die het toelaten en de bedrijven die mensen niet informeren.
Wat zou het alternatief zijn dan? dit soort dingen verbieden, hard straffen maar verder compleet onwetend blijven over privacy en beveiliging? Eigenlijk nooit weten dat je data niet veilig is
Daar zijn weer 2 partijen schuldig, de gebruikers die het toelaten en de bedrijven die mensen niet informeren.
Wat zou het alternatief zijn dan? dit soort dingen verbieden, hard straffen maar verder compleet onwetend blijven over privacy en beveiliging? Eigenlijk nooit weten dat je data niet veilig is
Ze tonen inderdaad wel wat aan. Steeds meer bedrijven vertrouwen op het internet om zaken te doen. De beveiliging van deze bedrijven blijkt dus flink ondermaats te zijn. Dat heeft niet alleen gevolgen voor deze bedrijven, maar ook voor de klanten van deze bedrijven.
Helaas is het blijkbaar nodig dat een aantal publiekelijk flink nat gaan voordat er serieus wat aan wordt gedaan. Dat Sony twee keer achterelkaar wordt gehackt is veel zeggend. Dat wachtwoorden plain tekst zijn opgeslagen in plaats van hashes zegt nog veel meer ... men neemt het niet serieus.
Zolang Lulzsec bekend maakt wie ze gehackt hebben en welke info ze hebben aangetroffen en daarbij geen schadelijke info vrijgeven (zoals credit card gegevens) mogen ze van mij doorgaan.
De bedrijven die hierbij schade oplopen doen dit omdat zij hun zaken niet op orde hebben. De creditcard bedrijven zullen er niet geruster op worden dat onbevoegden toegang hadden tot cc gegevens bij bedrijven. Maar ik zou me meer zorgen maken over wie er nog meer toegang tot dezegegevens heeft en dit niet meld. En hoeveel bedrijven er nog lek zijn wat alleen bij mensen met andere bedoelingen dan publiciteit en lulz bekend is nu.
En als het een stel pubers zijn die aandacht willen, dan moeten bedrijven zich eens extra achter de oren krabben wat er gebeurt als de hackers een keer geen pubers met aandachtstekort zijn.
(En waar je bedrijven leest, mag je ook overheid lezen)
Helaas is het blijkbaar nodig dat een aantal publiekelijk flink nat gaan voordat er serieus wat aan wordt gedaan. Dat Sony twee keer achterelkaar wordt gehackt is veel zeggend. Dat wachtwoorden plain tekst zijn opgeslagen in plaats van hashes zegt nog veel meer ... men neemt het niet serieus.
Zolang Lulzsec bekend maakt wie ze gehackt hebben en welke info ze hebben aangetroffen en daarbij geen schadelijke info vrijgeven (zoals credit card gegevens) mogen ze van mij doorgaan.
De bedrijven die hierbij schade oplopen doen dit omdat zij hun zaken niet op orde hebben. De creditcard bedrijven zullen er niet geruster op worden dat onbevoegden toegang hadden tot cc gegevens bij bedrijven. Maar ik zou me meer zorgen maken over wie er nog meer toegang tot dezegegevens heeft en dit niet meld. En hoeveel bedrijven er nog lek zijn wat alleen bij mensen met andere bedoelingen dan publiciteit en lulz bekend is nu.
En als het een stel pubers zijn die aandacht willen, dan moeten bedrijven zich eens extra achter de oren krabben wat er gebeurt als de hackers een keer geen pubers met aandachtstekort zijn.
(En waar je bedrijven leest, mag je ook overheid lezen)
/u/277476/crop573ebf4af1940_cropped.png?f=community){kind=small}
Zoals anderen ook aangeven is het verzoek om de 'slachtoffers' te nagelen aan de schandpaal gewoon een stap te ver.
Ik kan me dus wel voorstellen voor waar landen waar het strafbaar is een flink probleem kan veroorzaken, denk aan personen die daardoor hun baan verliezen en daarmee mogelijk ook zijn/haar gezin mee om zeep helpt, misschien wel verder de afgrond in.
Hoewel dit speculaties zijn, is het wat mij betreft best wel aannemelijk dat er scenario's hierdoor voorkomen die wel degelijk schadelijk zijn.
De boodschap van lulzsec en of ze white of blackhat zijn laat ik aan hun eigen verwoording over, maar eerdere berichten gerelateerd aan succesvolle hacks leek mij geheel puber taal en gewoon niet doordacht.
En nu blijkt dat weer, gaan ze beetje de moraalridders uithangen, dat heeft toch helemaal niets te maken met het feit dat ze aan het licht willen brengen hoeveel sites/servers slecht beveiligd zijn?
Als je het mij vraagt denk ik ook nog dat ze daarmee erg hypocriet mee zijn, het zit er dik in dat een aantal leden van lulzsec ook nog het nodige 'pron' bekijkt.
Hoe bepaal jij dat het vrijgeven hiervan wel of niet schadelijk is, wat noem je schadelijk al dan wel niet?Zolang Lulzsec bekend maakt wie ze gehackt hebben en welke info ze hebben aangetroffen en daarbij geen schadelijke info vrijgeven (zoals credit card gegevens) mogen ze van mij doorgaan.
Ik kan me dus wel voorstellen voor waar landen waar het strafbaar is een flink probleem kan veroorzaken, denk aan personen die daardoor hun baan verliezen en daarmee mogelijk ook zijn/haar gezin mee om zeep helpt, misschien wel verder de afgrond in.
Hoewel dit speculaties zijn, is het wat mij betreft best wel aannemelijk dat er scenario's hierdoor voorkomen die wel degelijk schadelijk zijn.
De boodschap van lulzsec en of ze white of blackhat zijn laat ik aan hun eigen verwoording over, maar eerdere berichten gerelateerd aan succesvolle hacks leek mij geheel puber taal en gewoon niet doordacht.
En nu blijkt dat weer, gaan ze beetje de moraalridders uithangen, dat heeft toch helemaal niets te maken met het feit dat ze aan het licht willen brengen hoeveel sites/servers slecht beveiligd zijn?
Als je het mij vraagt denk ik ook nog dat ze daarmee erg hypocriet mee zijn, het zit er dik in dat een aantal leden van lulzsec ook nog het nodige 'pron' bekijkt.
Met niet schadelijk bedoel ik mededelen welke gegevens ze hebben kunnen krijgen. En niet de gegevens zelf publiceren.
Welke gegevens (en in welke staat) is erg relevant. En een bedrijf dat nog plain text passwords opslaat, mag wel named en shamed worden vandaag de dag hoor. Dat is een veiligheidsrisico dat al decennia bekend is.
Welke gegevens (en in welke staat) is erg relevant. En een bedrijf dat nog plain text passwords opslaat, mag wel named en shamed worden vandaag de dag hoor. Dat is een veiligheidsrisico dat al decennia bekend is.
Ze tonen helemaal niets aan, het zijn gewoon script kiddies die zich vervelen. Ze hebben ook echt geen 'master plan'.
[Reactie gewijzigd door Abom op 27 juli 2024 11:39]
Op dit item kan niet meer gereageerd worden.