Informatiebeveiliging

Uit recente studies blijkt dat een groot aantal bedrijven de beveiliging van hun computersystemen niet op orde heeft. Vooral het midden- en kleinbedrijf is hiervan een belangrijk deel, maar ook bij grotere bedrijven is het lang niet altijd helemaal goed geregeld. Dit is een verontrustende ontwikkeling, aangezien informatietechnologie een steeds belangrijkere rol gaat spelen in onze samenleving en daarbij dus ook de mogelijkheden van het misbruiken ervan toenemen.

Risicoanalyse

Het is dus duidelijk dat er iets aan de beveiliging gedaan moet worden, maar wat? Allereerst is het van belang dat er een duidelijk beeld is van de informatie die beveiligd moet worden, en welke risico's er verbonden zijn aan problemen met deze beveiliging. Hierbij is het van belang om onderscheid te maken tussen het uitlekken van gevoelige informatie en het vernietigen van deze informatie.

Als dit eenmaal duidelijk is, kan er begonnen worden met het maken van een veiligheidsplan, waarbij ook het budget voor beveiliging van de verschillende onderdelen vastgesteld moet worden. Het is belangrijk dat het op dit punt goed duidelijk is hoe goed de verschillende onderdelen beveiligd moeten worden, aangezien beveiliging altijd een afweging is tussen veiligheid, kosten, en gebruiksvriendelijkheid.

Zwakste schakel

Het is belangrijk dat het veiligheidsplan alle systemen en personen bevat die met de beveiliging te maken hebben. Iedereen moet vooral duidelijkheid hebben over welke regels er zijn m.b.t. de beveiliging en op welke manier ze zich daaraan dienen te houden. Onwetendheid is namelijk een van de belangrijkste oorzaken van beveiligingsproblemen. Dit probleem kan bij beheerders liggen, als die niet goed weten waar ze mee bezig zijn kan er natuurlijk nooit een goede veiligheid gegarandeerd worden, maar vooral de gebruikers van de systemen zijn hierbij van belang. Het heeft weinig zin een duur beveiligingsplan te maken, als bijvoorbeeld gewone gebruikers hun wachtwoorden overal opschrijven.

Een tweede belangrijke oorzaak van beveiligingsproblemen is nalatigheid. Ook hier is het van belang dat alle gebruikers van een systeem weten welke risico's er gelopen worden als men zich niet houdt aan de regels van het beveiligingsplan. Naast voorlichting is een regelmatige controle wenselijk, om zeker te stellen dat de regels van het beveilingsplan nageleefd blijven worden.

Verder is het nodig na te gaan welke risico's er verbonden zijn aan de verschillende groepen gebruikers, indien er wel sprake is van opzet. Vaak houdt men hier alleen rekening met gebruikers van buiten het bedrijf, bijvoorbeeld klanten die toegang hebben tot een extranet, of personen die helemaal geen banden hebben met het bedrijf. Een belangrijke groep die echter vaak over het hoofd wordt gezien zijn de werknemers zelf. De mogelijkheid dat iemand uit deze groep de beveiliging ondermijnt moet zeker niet onderschat worden bij een goed beveiligingsplan. Dit betekent dus dat er naast een goede externe beveiling, veel aandacht moet worden geschonken aan een goede interne beveiliging, en dat het voor iedereen duidelijk moet zijn welke consequenties het overtreden van de regels van het beveiligingsplan heeft.

Conclusie

Het is voornamelijk van belang dat er duidelijkheid is over de risico's die verbonden zijn met beveilingsproblemen van bepaalde informatie. Hierbij is het noodzakelijk een goed beeld te hebben van de gebruikersgroepen die met de beveiliging te maken hebben. Alleen dan is het mogelijk een goed compromis te vinden tussen veiligheid, kosten en gebruiksvriendelijkheid.

Case study: Tweakers.net

Tweakers.net is een goed voorbeeld van een bedrijf dat afhankelijk is van informatietechnologie. Aangezien hun website de enige bron van inkomsten is, is het van groot belang voor de continuiteit van het bedrijf dat deze goed beveiligd is. De laatste tijd is echter gebleken dat er nogal wat mis is met de beveiliging hiervan.

1. Interne veiligheid

Zoals laatst is gebleken, wordt er onvoldoende aandacht besteed aan de interne veilligheid op Tweakers.net. Er is duidelijk wel iets gedaan aan de beveiliging: het desbetreffende forum was beveiligd met een wachtwoord; er wordt echter onvoldoende rekening gehouden met de interne risico's van het publiceren van gevoelige informatie op dit forum. Zoals reeds vermeld is dit een veel voorkomend probleem waaraan meestal veel te weinig aandacht wordt geschonken.

2. Externe veiligheid

Ook is gebleken dat er nog het een en ander mankeert aan de externe veiligheid van Tweakers.net. Zo kwam laatst een veiligheidslek aan het licht waarmee elke gebruiker zomaar elk ander gebruikersaccount kon "kapen". Hierbij ging het duidelijk om onoplettendheid bij het programmeren van de scripts.

Nu is echter een veel ernstiger probleem aan het licht gekomen. Via enkele eenvoudige handelingen kan men aan de wachtwoorden van de database komen, waardoor een attacker meer kan dan de meeste werknemers. Hierbij is er duidelijk sprake van het verkeerd verdelen van de aandacht. Het beheersysteem voor de nieuwsposters gaat bijvoorbeeld over ssl, terwijl het risico van plaintext passwords van newsposters over internet veel minder groot is dan het probleem van de database passwords in de scripts.

Probleemanalyse en advies

Het is duidelijk dat er binnen Tweakers.net wel degelijk aandacht wordt geschonken aan beveiliging. De aandacht wordt echter verkeerd verdeeld. Zo is er sprake van het gebruik van encryptie over beheerdersverbindingen, terwijl via een andere weg de databasepasswords gemakkelijk plaintext te verkrijgen zijn. Ons advies is dat dat er regelmatig een uitgebreide veiligheidsanalyse uitgevoerd wordt over de systemen. Hierbij dient dan vooral aandacht geschonken te worden aan de scripts die op deze servers draaien en minder aan het verder beveiligen van kant en klare programmatuur.

Verder zou de beveiliging gebaat zijn bij een uitgebreider systeem van regels voor de werknemers en een uitgebreidere voorlichting van hun verantwoordelijkheden. Op deze manier kan er bijvoorbeeld gegarandeerd worden dat de gebruikte wachtwoorden veilig zijn, en kan voorkomen worden dat er opnieuw gevoelige informatie uitlekt.

Nawoord

Wij hebben dit artikel hier geplaatst als demonstratie van het beveiligingslek in Tweakers.net. Aangezien wij denken verantwoordelijk te zijn omgesprongen met de verkregen informatie en we er veel tijd in hebben gestoken, hopen we dat de Tweakers.net crew zo vriendelijk wil zijn om dit artikel tot minstens vanavond 21:30 te laten staan. Indien dit gebeurt, zullen we een beschrijving van de volledige exploit, inclusief nieuwe code om het gat te dichten, mailen naar Femme Taken.

Met vriendelijke groet,

xoror en Luite
(l33t h4x0rs)

3. Nawoord
137Reacties

Multipage-opmaak

Reacties (137)

4of9 15 januari 2001 20:54

Complimenten voor deze keurige hackers

Wat ik niet snap is hoe makkelijk hackers met hun misdaden weg komen. Als er een inbreker bij jou binnen is geweest en een briefje op tafel achterlaat dat je deur nog open stond, dan ben je ook niet blij dat die aardige inbreker dat deed.

Mensen die ongevraagd op computersystemen inbreken zijn crimminelen. Er is geen enkel argument te verzinnen wat dat tegenspreekt. Dat je iemand inhuurt om te kijken hoe goed je beveiliging is is heel wat anders. Ander mans vertrouwelijke info inkijken en stelen word in veel landen nog steeds vrij zwaar bestraft (kijk maar eens in het wet-boek welke straf er staat op post stelen) ook al is het digitale informatie. De 'aardige' hackers hadden ook gewoon de exploit meteen kunnen mailen naar de t.net crew zonder het zo te publiceren. Dit is namelijk geen goede reclame voor een site die voornamelijk over alles wat met computers te maken heeft schrijft. (zeker niet voor de makers daarvan)

Mensen moeten eens afstappen van het idee dat hackers moraalridders zijn. Dat is niet zo! deze twee mensen wilden ook aandacht met hun actie (waarom zouden ze anders hun namen eronder zetten?) en wie zegt dat ze niks doen met de achterhaalde info?

jij kijkt toch ook je huis na als eerder genoemde inbreker binnen is geweest, maar zodra het om hackers gaat is het vertwouwen er wel.

Ik moet toegeven dat ik hackers respecteer om hun kennis maar niet om hun daden. En dat is heel wat anders.

Femme UX Designer @4of9 • 15 januari 2001 21:03

Ik denk niet dat Luite en Xoror kwade bedoelingen hebben gehad in de zin van het stelen van gegevens. De beschrijving van het lek hebben ze nu ook snel kunnen doorgeven, dus dat hebben ze goed aangepakt. Hierdoor kon het lek na enig overleg binnen 2 uur na de hack gefixt worden.

EfBe @Femme • 16 januari 2001 11:07

Wellicht is het verstandig eens een extern beveiligingsbedrijf de site te laten doorlichten. Dit klinkt wellicht wat overdreven maar is het zeker niet. Ik adviseer dat mn klanten ook altijd, ook bij door mij gebouwde applicaties. Het punt is dat, wanneer je zelf alles bouwt, je in een soort tunnel komt waarbinnen je denkt dat alles zich bevindt. Echter, je ziet dan sneller dingen over het hoofd waar een buitenstaander niet overheen kijkt.

Veelal zijn ze binnen een halve dag klaar en heb je wel een grote kans op een betere site dan dat je het laat afhangen van goedwillende scriptkiddies of de kans dat je zelf een fout ontdekt.

Just a thought

Mr.Aargh @EfBe • 16 januari 2001 20:32

Sure, maar de veiligheid qua passwords nzo ligt nog steeds bij jezelf.
Tja of de makerrs van de softaare.
Zoals bij Borland Interbase lek was ..
login : politically passwd : correct
backdoor access geeft tot alle accounts kun je van te voren ook niet weten tenzij je de software zelf schrijft

TheOneLLama @EfBe • 18 januari 2001 01:46

En waar jij je klanten aanraad een bedrijf hiervoor in te huren doen deze hackers dat heel netjes en ook nog eens gratis en voor niets!

Ritch @4of9 • 15 januari 2001 21:06

Wat ik niet snap is hoe makkelijk hackers met hun misdaden weg komen. Als er een inbreker bij jou binnen is geweest en een briefje op tafel achterlaat dat je deur nog open stond, dan ben je ook niet blij dat die aardige inbreker dat deed.

En als iemand jouw dure beveiligingsysteem van de omzeilt en binnen een briefje legt waarin die uitlegt hoe die dat gedaan heeft en hoe je het kunt fixen en daarna vertrekt zonder iets mee te nemen? Had je liever gehad dat er gewoon een ruitje was ingetikt, alarm af, dieven pakken je juwelen kistje en optijd weer weg en jij zit daar met je schadepost?
Begrijp nou dat wat Luite en xoror gedaan hebben juist heel aardig en handig geweest is, normaal betaal je vet als je zoiets laat doen...
(en eindelijk weer es een artikel dat het lezen waard is...)

Verwijderd @Ritch • 16 januari 2001 17:56

(en eindelijk weer es een artikel dat het lezen waard is...)

Watch it

Mr.Aargh @Verwijderd • 16 januari 2001 20:34

Stiekum geef ik hem gelijk.

Ik vond dit een informatief artikel ...hehe
Het viel me al op dat er geen auteur boven stond.
(snel ff mijn eigen naam er boven h4x0r3n)

tweakerbee @4of9 • 15 januari 2001 21:10

Toch ben je wel blij als je buurman zegt dat je achterdeur elke keer openstaat, en je evenlater helpt met met het dichtmaken.

Toch?

EfBe @4of9 • 16 januari 2001 11:13

Ware woorden, 4of9.

De verheerlijking van 'hackertjes' duurt voort totdat hetzelfde volk je eigen server binnensjouwt en wellicht info inkijkt die niet door de beugel kon.

Ik weet niet of mensen beseffen wat voor werk je hebt als bv iemand het lukt om je machine op te komen. Je moet nl. die machine volledig opnieuw optuigen. Je KUNT niet vertrouwen op het feit dat die persoon geen trojan of andere backdoor heeft geplaatst. Alles moet er af en opnieuw worden opgezet.

Betaalt die hacker die uren? nee.

Er is dus wel degelijk schade. Mensen die roepen "cheerio hacker! geweldig! kewl!', moeten daar eens aan denken. En we praten niet over een paar tientjes. Als ik mn eigne server opnieuw moet installeren met de spullen die er op staan ben ik een dag bezig. Dat is wel 8 uur x 200,- .

Tja, dan staat het ineens in een heel ander daglicht, of niet?

Mr.Aargh @EfBe • 16 januari 2001 20:39

Betaalt die hacker die uren? nee.
betaal jij zijn uren ipv die van het beveiliginsbedrijf ?

En we praten niet over een paar tientjes. Als ik mn eigne server opnieuw moet installeren met de spullen die er op staan ben ik een dag bezig. Dat is wel 8 uur x 200,- .
ja, maar aangezien je toch al verkeerd bezig was moest je er toch al werk aan verrichten.
En als jij zo proff. bezig met je 1600piek voor een dagje werk heb jij vast wel een backup !

EfBe @Mr.Aargh • 17 januari 2001 15:43

betaal jij zijn uren ipv die van het beveiliginsbedrijf ?

Maw: de hacker die inbreekt op je server heeft altijd dezelfde intentie als de beveiligingsspecialist? a ja. Nou ik hoop voor je (latere) werkgever dat JIJ iig niet verantwoordelijk bent voor de security van je (latere) werkgever.

ja, maar aangezien je toch al verkeerd bezig was moest je er toch al werk aan verrichten. En als jij zo proff. bezig met je 1600piek voor een dagje werk heb jij vast wel een backup !

Ik was niet verkeerd bezig, dombo, LEES dan. doordat je een richting op denkt ZIE je de fouten niet. Jij ook niet, sterker, mensen die niet weten hoe je professioneel schrijft, zie ik ZEKER niet aan voor een professional.

en back up terug zetten? hoe wil jij een backup terugzetten als ergens een daemon is gehackt maar je weet niet welke? maw: complete OS opnieuw installeren en inrichten, daarna data terugzetten van backup. Kost echt wel meer dan een paar minuutjes.

Maar goed, jij ziet iemand die inbreekt als iemand die security doorlicht, dus waar HEBBEN we het over!

Mr.Aargh @Mr.Aargh • 18 januari 2001 16:43

Maw: de hacker die inbreekt op je server heeft altijd dezelfde intentie als de beveiligingsspecialist
Dat zeg ik ook niet !
Je KUNT niet vertrouwen op het feit dat die persoon geen trojan of andere backdoor heeft geplaatst
Tja, dus jij bent continu paranoide anders kun je je server (en verleende services tov klanten) niet vertrouwen.

Maar goed, jij ziet iemand die inbreekt als iemand die security doorlicht, dus waar HEBBEN we het over!
In DIT geval wel ja. Het was mijn inziens puur een actie om mensen even met de neus op de (security) feiten te drukken.
Dat ik volgens jou deze manier "inbreken" zie als iemand die de security doorlicht zijn jouw woorden.
Want zo denk ik zeker niet, behalve in sommige gevallen, zoals de Dimitri hacks en deze.

Maaruh ... als je opbouwende kritiek probeert te geven ga me dan niet zitten afkraken op mijn type-fouten.
Want dat is echt een zielige tactiek.

PS : Thnx 4 de verheldering van de backups en de deamons.

Booster @EfBe • 17 januari 2001 10:18

Jaja... dus op het moment dat er een foutje in een script zit ga jij dat machien opnieuw installeren?
Ben je bang dat je anders niet verdient ofzo?

Backup terug, script aanpassen, done.
Minimal time lost, minimal data lost.
(minimal, als er dan toch ingebroken is)

Iemand die 200,- per uur kost mag best zijn servertje goed beveiligen...

EfBe @Booster • 17 januari 2001 15:50

Nog zo'n dombo.

Jaja... dus op het moment dat er een foutje in een script zit ga jij dat machien opnieuw installeren?
Ben je bang dat je anders niet verdient ofzo?

Nee, denk dan eens een keer na voor de verandering: iemand breekt in, zet zn eigen daemon over de OS daemon heen en kan altijd verbinding maken met jouw machine, alles doen wat jij ook kan, je KUNT hem niet tegenhouden. Wellicht heeft hij ERGENS een backdoor geplaatst in een script, weet jij veel. Tuurlijk, jij weet dat. Normale mensen niet. Lees eens een boek over security, dan weet je dat wanneer je gehackt wordt er maar 1 remedie is: met een schone lij beginnen. Elke byte die je laat staan kan gemodificeerd zijn door de hacker. Nu is het lek gedicht in het script op t.net. Weet JIJ nu zeker dat die hackers geen backdoor hebben geplaatst? En waar baseer je die mening op? op feiten? op Onderzoek?

Backup terug, script aanpassen, done.
Minimal time lost, minimal data lost.
(minimal, als er dan toch ingebroken is)

Meneer snapt niet wat het inhoudt als je machine geroot wordt geloof ik. ff een gaatje dichten is niet de oplossing.

En iemand die 200,- per uur wordt betaald om software te schrijven is zeker weten geen specialist in het beveiligen van een server. Soms moet je dat overlaten aan mensen die 200,- of meer per uur betaald krijgen om WEL specialist te zijn in het beveiligen van een server. JIJ bent dat iig niet, gezien je gebrekkige inzicht in wat een hacker ZAL doen of KAN doen zodra hij inbreekt.

En dan spreken we nog niet eens over het feit of er data is GESTOLEN, of er bestanden zijn gecopieerd of dat er bv passwords zijn gewijzigd of users zijn bijgemaakt, rechten op files zijn gewijzigd etc.

Een backup terug zetten is ene complete systeembackup, incl OS. of had je het over je paar datafiletjes?

Verwijderd @Booster • 18 januari 2001 00:01

Ik ben het helemaal met je eens!
maar je moet nog een stap verder denken;
(doe ik tenminste wel)

Je hebt immers nog steeds het probleem dat je niet weet of de hacker het al eerder gelukt is en bij welke back-up je echt veilig zit... die van gisteren in elk geval niet

... mischien die van vorige week

dat valt ook nog te bezien dus je bent hier idd heeel druk mee (en dat kost klauwen vol met geld)

gday

@EfBe • 18 januari 2001 00:42

Allereerst, als je zo paranoide bent, kun je misschien wel elke dag je server reinstallen. Immers, "misschien heeft iemand jouw server wel gehackt en wat backdoors erin gehangen, zonder een spoor achter te laten."

Daarnaast, welke daemons? Hoeveel kritieke daemons laat je dan wel niet op 1 server draaien als je een professioneel bedrijf voor moet stellen?

Met een backup heb je een server echt wel in minder dan een dag weer volledig op zijn pootjes, en zeker als je 200,- per uur ervoor krijgt.

Je moet trouwens anderen niet aanvallen over zogenaamde onprofessionaliteit aangaande hun taalgebruik, want ik vind het ook niet bepaald professioneel om anderen uit te maken voor "dombo" en dat soort zaken.

Nou ja, zoals jij het stelt vind ik je nogal duur voor het werk dat je levert cq moet doen. Met een beetje ervaring kan dat heel wat vlotter. Maar zeg eens, waar denk je in hemelsnaam al die 8 uren aan te moeten besteden?

(dombo

)

edit:

Oh, dit is dus een reactie op dat "gewauwel" van Otis, hetgeen ergens hierboven zweeft.

T.T. @4of9 • 16 januari 2001 11:28

Ik ben het niet met je eens 4of9...

Het is inderdaad "geen goede reclame voor een site die voornamelijk over alles wat met computers te maken heeft schrijft. (zeker niet voor de makers daarvan)"

Maar wie hebben nou juist de fout gemaakt? Ik vind het bovendien niet zo erg dat tweakers gehacked is, als het nou een site was gespecialiseerd in beveiliging.. maar nee, gewoon nieuwssite. Kan iedereen overkomen lijkt me...

Onno @4of9 • 15 januari 2001 21:04

* 786562 Onno

Verwijderd @4of9 • 15 januari 2001 23:25

Dus jij laat je achterdeur openstaan thuis? nee, waarom niet? Precies omdat inbrekers dan wel heel envoudig binnenkomen. En als er dan ingebroken wordt terwijl je deur openstaat??? is het gewoon je eigen schuld (vraag maar aan de verzekering). Nu bij tweakers is het precies hetzelfde. Door de enigzins brakke code van femme kan iemand zo bij de DB. Ik vind het alleen maar mooi dat ze het op deze manier aan het licht gebracht hebben...OK, een mailtje had inderdaad netter geweest, maar ik kan wel begrijpen dat ze wat eer van het werk wilden, zeker omdat fempie steeds maar niet reageerde...

Booster @4of9 • 17 januari 2001 10:12

Ander mans vertrouwelijke info inkijken en stelen...

Welke info hebben ze bekeken en gestolen dan?

De 'aardige' hackers hadden ook gewoon de exploit meteen kunnen mailen naar de t.net crew zonder het zo te publiceren. Dit is namelijk geen goede reclame voor een site die voornamelijk over alles wat met computers te maken heeft schrijft. (zeker niet voor de makers daarvan)

Het zegt enkel en alleen dat de makers van de site ook mensen zijn, en dus fouten maken.

Die publiciteit is om mensen wakker te schudden, er komen hier ook mensen die andere sites en servers beheren. Die mensen gaan misschien minder goed om met beveiliging en met publiciteit zet je die mensen misschien aan het denken.

en wie zegt dat ze niks doen met de achterhaalde info?

Daar vertrouw ik Luite en xoror op. En indien ze wel wat willen met die vertrouwde info: Wat hebben ze eraan als mensen (net als ik) gewoon overal een ander passwd hebben? (wat wel aan te raden is op internet)

Ik moet toegeven dat ik hackers respecteer om hun kennis maar niet om hun daden.

Ik respecteer ook slechts een gedeelte van de daden van hackers, maar ik moet zeggen dat ik deze exploit heel netjes afgehandeld vind. Deden ze dat maar vaker.

Verwijderd 15 januari 2001 17:15

Een beetje sysadmin laat MySQL dicht staan voor remote connections. Al heb je dus het password, je kunt er niets mee.

Hillie @Verwijderd • 15 januari 2001 17:17

Dus al je nieuwsposters zitten naast het rek bij Vuurwerk, hun nieuwe berichten erin pompen? Lijkt me handig hoor.........

Verwijderd @Hillie • 15 januari 2001 21:25

dat betekent alleen maar dat je niet bij mysql kan komen vanaf een externe server, vanaf de localhost (of in het geval van t.net van een t.net webserver) mag er wel een verbinding worden gemaakt => alleen via je eigen php-scripts kan men bij de db. Dat bedoelt nielsonlin

Jordi @Verwijderd • 15 januari 2001 17:20

Ja. En een beetje sysadmin weet ook dat je met het closen van de MySQL poort niet alle lekken hebt gedicht

Atmosphere @Verwijderd • 22 januari 2001 18:24

ipchains is ook heel effectief ... Moet je natuurlijk nog wel een paar anti-spoofing regels erbij doen ...

@r!k 15 januari 2001 17:09

Wat nou troll -5,
wees blij dat het om een goedwillende hacker gaat en niet eentje die meteen onze zo zeer gwaardeerde site helemaal sloopt en platlegt.

Zo iemand moet je bedanken.!!

Verwijderd @@r!k • 17 januari 2001 13:02

Helemaal mee eens. Goed dat iemand dit op deze manier doet, dus dat Femme&Crew de tijd en mogelijkheid hebben om alles aan te passen/controleren. En ga aub niet allemaal Femme 'afzeiken', Ik weet dat hij voor sommigen een wat goddelijke status heeft, maar het zijn en blijven gewoon stervelingen zoals wij

Positief dus dat dit zo bekend gemaakt wordt, en positief dus dat Tweakers.net kennelijk genoeg respect heeft afgedwongen om geen shit te bakken!

Verwijderd @@r!k • 16 januari 2001 14:44

Leer je smilies kennen slaperd .

Verwijderd 15 januari 2001 17:18

Ach, ik (en waarschijnlijk vele anderen) hebben toch geen gevoelige informatie in de database van t.net staan; Alles wat op deze site staat is public knowledge. Dus in zoverre is het enige wat er kan gebeuren, dat alle archieven aan stront gaan.

Het is toch wel goed het dat goedwillende personen hier betreft, het zou tóch zonde zijn als alle informatie op deze site weg was...

mars @Verwijderd • 15 januari 2001 21:57

Ik neem aan dat er nog wel ergens een back-upje ligt

, dus zo'n vaart zal het niet lopen

Tha_Butcha 15 januari 2001 23:36

Okay, stel je voor:

Je hebt een huis, de deur staat open (niet goed op slot); je krijgt een brief van een vreemde, waarin staat dat ie heeft gezien dat je deur niet goed op slot is. Jij kent hem niet en denkt dat het een grap is, of iemand die je op de kast wil krijgen, want je houdt die deur altijd in de gaten en onderhoudt hem: "Hoe kan iemand hem dan openkrijgen?"

Dan breekt diezelfde persoon in, hij verandert nix aan je huis, maar laat een briefje achter wat er mis is met je deur en hoe je dat beter kan maken.
Ga je dan die gast proberen aan te geven bij de politie of ben je hem dankbaar voor het feit dat hij je op een fout wees die je niet zat/wilde zien.

Hierbij zeg ik NIET dat Femme het niet wilde zien, zoals hij zei, heeft ie de mail niet gezien. Maar veel mensen - en dus ook bedrijven/webmasters - zijn "arrogant" en hebben zoiets van "dat overkomt mij toch niet, want ik heb goeie beveiliging", of "dat gebeurt alleen maar banken of andere grote - economisch belangrijke - bedrijven" o.i.d. Dit is de meest vriendelijke manier om mensen op hun hardleersheid te wijzen (JA, de mens IS eigenwijs).

Q.E.D.

Verwijderd @Tha_Butcha • 16 januari 2001 02:04

Sorry, maar de meeste beheerders weten wel beter. Dat er lekken zijn op sites is eerder doordat beheerders niet de tijd krijgen om er wat aan te doen.
Een beheerder die zegt dat zijn sites niet te hacken zijn kent zijn OS niet.

Ulysses 16 januari 2001 13:29

Wat mij nou eigenlijk wel interessant lijkt om te weten... hadden jullie deze box kunnen rooten? En hadden jullie de database server kunnen rooten? (die draait op FreeBSD) Dat zou wel een major afgang zijn voor een zekere systeembeheerder...

Verwijderd @Ulysses • 16 januari 2001 14:34

...sprak de man van deze topic: http://gathering.tweakers.net/showtopic/70270

Ulysses @Verwijderd • 16 januari 2001 16:42

Daar refereerde ik ook naar. Maar uhm ben je zelf systeem beheerder?

Verwijderd @Ulysses • 16 januari 2001 20:30

Dat zou wel een major afgang zijn voor een zekere systeembeheerder...

Hmmz, gezien deze thread(http://gathering.tweakers.net/showtopic / 70270) is je opmerking nogal arrogant en misplaatst, bovendien maak je je zelf belachelijk op deze manier.

Meneer de Technical Administrator, knap hoe je jezelf een interessante titel kunt aanmeten terwijl het in feite niks voorstelt.

Ulysses @Ulysses • 16 januari 2001 20:56

Mja, verdere opmerkingen van jou zal ik maar negeren gezien het feit je _altijd_ uit bent op het omlaag halen van mij en mij te flamen. Erg sneu voor je. Volgens mij ben je gewoon een triest jaloers ventje.
* 786562 CyberJunk86

Verwijderd @Ulysses • 16 januari 2001 21:26

Jij kunt me triest vinden, moet jij weten.

Feit is wel dat ik helaas voor jou een gruwelijke hekel heb aan dikdoenerij en gepoch, in de praktijk blijkt vaak dat mensen die zich daar schuldig aan maken juist diegenen zijn die het minst deskundig zijn op het gebied, waarvan ze beweren "expert" te zijn. Maar het staat natuurlijk wel stoer: Jezelf TECHNICAL ADMINISTRATOR noemen van een webservertje, zou me niks verbazen dat je deze hoogdravende term zelfs op je visitekaartjes hebt laten drukken, tegenover de minder deskundige medemens zal dit ongetwijfeld erg interessant overkomen. Helaas voor jou is hier op T.net en GoT het niveau dusdanig hoog dat dat interessante gedoe van jou door de mand valt, en je jezelf alleen maar onsterfelijk belachelijk staat te maken. Het feit dat je zelfs dat blijkbaar niet eens opmerkt tekent m.i. toch wel je beperkte denkniveau. Zulke mensen als jij vallen vroeg of laat altijd door de mand.

Ik hoop dat je hier eens over gaat nadenken, zou voor jou niet verkeerd zijn...

Maar ignore me maar, ik zal er geen minuut minder op slapen hoor.

Verwijderd @Ulysses • 16 januari 2001 21:39

Sorry Cyberpunk, beschouw deze posting maar als volledig offtopic maar hij is te grappig om jullie te onthouden

http://www.ccc4u.net/cv-2.ccc4u

Qua niveau moet hierbij gedacht worden aan het rechtzetten van insteekkaarten

HAHA, Ik kom niet meer bij van het lachen!

Modereer deze maar naar -1 Offtopic, maar hij is te goed om jullie te onthouden.

Ulysses @Ulysses • 17 januari 2001 07:32

Trieste kutmongool, zo kan ik het ook, de waarheid verdraaien door half te quoten...

Qua niveau moet hierbij gedacht worden aan het rechtzetten van insteekkaarten (PCI, ISA, AGP, AMR... snap ik allemaal ;-) ) het op de juiste manier bevestigen van IDE-controller kabels, het aansluiten van een moederbord in z'n geheel, overclocken en juist terugclocken etc. Ook kan ik geheugen uitbreidingen verzorgen, processors vervangen, koelertjes bijbouwen en/of vervangen en ga zo maar door...

Verders: Hoe had jij graag gezien hoe ik mezelf noem in die functie? Ik ben toch de technisch beheerder van die server? Hoe moet ik het dan noemen? Ja, ik ben de man die af en toe php upgrade en mysql backupped en nieuwe scripts installeert en alles weer repareert als we gehackt zijn en etc .etc. etc.

van een webservertje

Correctie: van een full-load high-bandwidth webserver waar ruim 65 websites op draaien en 62 domeinnamen plus een paar tig tal e-mail gebruikers.

zelfs op je visitekaartjes

Nee hoor, niet iedereen hanteert jouw denkwijze. Het heeft namelijk totaal geen nut om op je visite kaartjes een functie te zetten die je alleen 'savonds en in het weekend doet via SSH. Momenteel heb ik niet eens visitekaartjes, maar als ik ze heb staat er meestal geen functie op ... ik kan meer dan 1 ding

en je jezelf alleen maar onsterfelijk belachelijk staat te maken

Tegenover jou? Ik heb liever dat jij dat vind als iemand die er echt verstand van heeft. Voor de rest denk ik dat andere tweakers het totaal niet boeit en zich er al helemaal niet zo druk over maken als jij nu doet. Het komt me toch een beetje als minderwaardigheids complex over hoor, zoals je nu al weer reageert.

Sorry Cyberpunk

En dan snap ik ook niet dat iemand met jouw klaarblijkelijk superieure intelligentie niet eens in staat is om een naampje over te typen... jammer.
Revolution, vertel jij nou eerst maar es wat jij hebt bereikt voor je WEEER alleen maar op mij begint te flamen. Ik snap echt niet waarom jij je tot doel hebt gesteld om het mij hier zo onprettig mogelijk te maken. Echt ik

op jouw soort trieste irritante k*t lamers.
Zoals ik al veel eerder heb gezegd: Het staat veel intelligent als je jezelf omhoog haalt dan als je anderen omlaag haalt. Want voorlopig weet ik helemaal niets van jou. Je zou voor mij betreft net zo goed een 15 jarig meisje of een 68 jarig mannetje kunnen zijn. Ik heb je nog nooit gehoord over dingen die jij bereikt hebt. Zit je nog op school? Heb je al diploma's ? etc. etc. Kijk, zo kan ik het ook wel, gewoon niets loslaten over mezelf, kan ook niemand er op reageren.

EquiNox @Ulysses • 17 januari 2001 21:35

CyberVentje, wat kan je je druk maken om kritiek. Niet normaal meer. Voel je je aangevallen ofzo?

Door te reageren maak je jezelf inderdaad belachelijk. Hoe oud ben je? 12 of 13 ofzo? Je gedraagt je in ieder geval wel naar die leeftijd.

Chill out man.

RvdH @Ulysses • 16 januari 2001 16:35

Als ze ff door waren gegaan, misschien wel..

'k Weet ut niet. Ze hebben controle gehad over user 'nobody', en die kan niet zomaar accounts gaan toevoegen, /etc/passwd editten o.i.d.

Hmtsja, een goeie hacker kan natuurlijk elke box wel rooten, als ie eenmaal een login heeft gemaakt ofzo.

cappie 16 januari 2001 13:40

Ik vraag me af hoe groot de Tweakers.net database eigenlijk is.. (in MB's dan)

Femme?

Femme UX Designer @cappie • 16 januari 2001 14:40

Bij elkaar is het rond de 1GB.

actieman 15 januari 2001 17:12

is't 1 april

tjoh 't is dat ze "l33t h4x0rs" erbij zetten, anders had ik het niet gelooft

Mafioso 15 januari 2001 17:13

Oej Oej.. Femme dit is niet zo mooi !!!... als je de database pass hebt kan je ALLES met wat kleine SQL queries ....

Maar ik ben r zeker niet BòóZ ofzo om, het is maar goed dat iemand met een "goed hart" er achter komt ipv een stome LAMER die alles wil slopen

Macros 15 januari 2001 17:17

Ik vind het zeer netjes dat onze hacker en mooi artikel heeft geschreven over beveiliging ipv. de site te defacen of een andere lame truc die de meeste hackers doen.
Petje af.

Op dit item kan niet meer gereageerd worden.

Informatiebeveiliging