Vreemd dat wanneer iemand op straat aangevallen wordt, dat je verplicht
bent dat te melden aan justitie, maar wanneer iemand op internet
aangevallen wordt je zowiezo je bek moet dichthouden.. Niet echt
consequent.
AS

Belachelijk... tijd voor een http://www.meldlekkenanoniem.nl ofzo,
initiatiefnemer gezocht!

Hmmm volgens mij lees je het niet helemaal juist.
Er staat dat je niet moet melden als je een lek vindt.
Diegene die het lek vindt is in dit geval de aanvaller.

Wat triest zeg! Bepaalde instanties zijn niet capabel genoeg
of de wil ontbreekt om hun systemen te wapenen danwel te
inventariseren op mogelijke zwakheden. Dan komt er een soort
van klokkenluider en die wordt direct verdacht en/of zelfs
ingesloten. Als iemand publiekelijk exploits bekend maakt
zonder de direct betrokkenen te waarschuwen, is het verhaal
uiteraard anders en is de beschuldiging te rechtvaardigen.

Echter wanneer iemand vanuit goede wil meldingen doet aan
een instantie dan moet dat met respect behandeld worden.
Immers diegene probeert zijn kennis te delen zodoende de
veiligheid te kunnen aanscherpen. In de doofpot stoppen
("gevonden lek vernietigen"), zal het lek niet oplossen.
Vroeger of later komt er een kwaadwillende gebruiker die
zijn exploit openbaar maakt of uitvoert op het kwetsbare
systeem. Dan zijn de rapen pas echt gaar.


Dat zijn in mijn ogen geen systeembeheerders/ontwikkelaars,
maar kwakzalvers. Een 'echte' systeembeheerder/ontwikkelaar
staat altijd open voor suggesties zeker als het om de
veiligheid van zijn systemen/applicaties gaat. Een
'flapdrol' systeembeheerder/ontwikkelaar voelt zichzelf God
en denkt dat hij/zij onkwetsbaar is, totdat het tegendeel
bewezen is. Echter is het kwaad dan al geschied. Je hebt het
bewijs, maar wat heb je er achteraf nou eigenlijk aan?

De mentaliteit moet op dit gebied dus radicaal anders.
Beloon security onderzoekers en studenten ipv hen te
beschuldigen. 'Flapdrol' systeembeheerders/ontwikkelaars
moeten hun ego aanpassen en zich flink laten bijscholen.
Bestraf degenen, die met de exploits daadwerkelijk schade
aanrichten.

We willen uiteindelijk allemaal veilige systemen en applicaties!

Er is een verschil tussen een lek melden als bug en een case openen bij
een leverancier en een melden door het op Internet te zetten.

Ja, laten we vooral onze mond houden zodat alleen de
blackhats er vanaf weten.. Dom dom dom dom dom...

quote:
----------------------------------------------------------------------------------------------
Als bewijs kopieerde hij van zeven studenten de gegevens en
stuurde die anoniem naar een journalist
---------------------------------------------------------------------------------------------

En dat had hij nou net NIET moetten doen.

Gewoon melden bij de juiste personen en er is niets aan de
hand lijkt mij.

Of inderdaad anoniem de boel publiceren. Weet je zeker dat
ze haast maken met een patch.

tja... een kennis van presenteerde vol trots de nieuwe
website van zijn bedrijf.

heb er even naar gekeken en zag er inderdaad leuk en
professioneel uit.

had wel binnen 10 minuten met wat sql injection een user aan
zijn database toegevoegd en het wachtwoord voor de
backoffice bleek eigenlijk zo simpel dat ik het daarom
'bijna' niet kon raden..

heb hem natuurlijk meteen een mailtje gestuurd dat het een
mooie site was maar er nog een en ander aan schorten qua
security.

nooit meer antwoord gehad.

had ik nu maar gewoon mijn mond gehouden en gewoon gezegd:
"hee kerel, inderdaad een hele mooie site. tot spreeks he!"

[sarcastisch]
iemand nog wat login gegevens kopen?
[/sarcastisch]

Gelukkig zijn er ook nog software makers die je smeken om
fouten (te zoeken en) door te geven. Heb je allemaal
software voor als Bugzilla.

Helaas zijn er ook nog bedrijven die denken software te
kunnen maken maar daarbij niet op hun fouten gewezen worden.
Als er niet gereageerd wordt als je een fout op de goede
manier meld gaan sommigen het nu eenmaal op andere manieren
proberen het onder de aandacht te brengen. Wie geef je de
schuld. Als gebruiker wil je toch weten hoe veilig de
software is?

Wat weet <Pascal Meunier> wat zijn werk- en/of opdrachtgever NIET weet?

Volgens mij is hij een BLACKHAT.


Dus zo 'braaf of held' als het bericht doet vermoeden, is deze 'man' dus NIET!

Ik hoop dat ze zijn spaarrekening een keer plunderen via een exploit waar hij weet van
had en deze niet heeft gemeld aan betrokken partijen..........

De complete stelling in het ORIGINELE verhaal klopt voor geen meter!

Daarin word gesteld dat indien je (bij toeval en door nieuwschierigheid) een e.o.a. 'lek'
ontdekt en deze meld aan betrokkene, je automatisch verdachte bent in het
achterhouden van informatie. Dit terwijl de ontdekker VOLLEDIGE OPENHEID van zaken
en identiteit heeft gegeven aan betrokken partijen..............

FUD

In dit soort 'gevallen' is er de mogelijkheid om via een advocaat of vertrouwenspersoon
de betrokkennen op 'hoog niveau' te informeren over het probleem. De kosten van
juridische bijstand is gratis (betaald door belanghebbende) indien het 'lek' NIMMER is
MISBRUIKT en de ontdekker een NON DISCLOSURE garantie wil/kan ondertekenen.
Hiervoor moet de ontdekker van een 'lek' minimaal een bedrag ontvangen dat gelijk is
aan de kosten van juridische bijstand voor beide partijen in zijn totaal.

Zie ook:
http://www.postbank.nl/ing/pp/page/article/detail/0,2842,1859_103828_341824,00.html?linktype=int


http://www.google.nl/search?q=INTEGER+SYSTEEMBEHEER&ie=UTF-8&oe=UTF-8

Ik vind het wel goed hoor van die Pascal Meunier (Who the F... is PM?).
Hij zet met deze opmerkingen lekker de zaak op scherp. Betrokkenen (lees
ontwikkelaars en bedrijven) en overheid (justitie) zijn nu gedwongen een
goed standpunt in te gaan nemen. Om er nu eindelijk eens over na te gaan
denken wat de gevolgen zijn van hun acties om de klokkeluiders op te
pakken.
Nee, niets melden lijkt me geweldig. Binnen een half jaar doen er dan
zoveel exploits en lekken de ronde dat er echt grote overlast gaat ontstaan.
Dan kan de overheid de wonden likken en komen er goed onderbouwde
regels en ben je weer "veilig" als klokkeluider. Lijkt me goeie zaak.

Laatst ook een lek ontdekt op een niet te noemen site van een grote
vluchthaven met actuele vlieginformatie. Melding gemeld, maar nooit iets
van gehoord en het lek is nog steeds aanwezig.

Blijkbaar kan ik nu wachten dat interpol een keer op de stoep staat, lekker
verhaal

Helaas heeft de historie keer op keer op keer op keer op
keer maar weer aangetoond dat de makers van software waar
lekken in gevonden worden hier niets mee doen als het
discreet aan hen gemeld wordt. Pas als het aan de grote klok
gehangen wordt wordt er actie ondernomen. Daarbij moet je
vooral onthouden dat als een drukke onderzoeker of een
gewoon nieuwsgierig persoon al achter een fout kan komen,
dat de echte kwaadwillenden (die het dus zeker niet melden
maar er misbruik van maken) er zeker al vanaf zullen weten.

Vergeet niet dat geld bij security altijd een rol speelt.