Overheidshacker dreigt met full-disclosure
De hacker die op het Security.NL forum bekendmaakte dat hij beveiligingslekken in bepaalde overheidssites had gevonden, is niet bang dat hij door de overheid vervolgd wordt. "Natuurlijk heeft bij mij de gedachte gespeeld dat ik mogelijk vervolgd zou worden. Ik vind mijn eigen toekomst ondergeschikt aan de algemene veiligheid en heb daarom geen moment getwijfeld of dat ik het zou moeten melden of niet", zo liet van Tuijl ons weten. De beveiligingsonderzoeker overwoog een anonieme melding, maar verwachte dan dat het in de doofpot zou verdwijnen.
"Ik heb in het verleden al eens een lijst met gebruikersnamen en wachtwoorden van een onderdeel van een ministerie op een zeer eenvoudige manier weten te achterhalen. Als ik dat nu vertel dan geloven mensen mij niet. Het zou dus ook mijn geloofwaardigheid schaden", aldus de hacker tegenover Security.NL.
De lekken werden gevonden toen de onderzoeker, heel toepasselijk, naar vacatures op het gebied van informatiebeveiliging zocht. Door dubbele quotes in de invoervelden in te voeren of in URLs, ontdekte hij de cross-site scripting mogelijkheden. Het zijn echter niet alleen websites van de overheid die kwetsbaar zijn. Ook websites van internationale opsporings- en veiligheidsdiensten, prominente beveiligingsbedrijven, security opleidingen, keuringsinstanties, webshops en nog meer instanties zijn lek. Van Tuijl wil geen URLs bekendmaken, omdat hij dan wel bang voor vervolging is.
De melding van de beveiligingsspecialist werd gemengd ontvangen, en op sommige waarschuwingen heeft hij nog geen reactie gekregen. "Ze willen allemaal graag weten met wie ik technische details heb gedeeld en of ik dit onderzoek alleen heb gedaan. Ook vroegen ze om de technische details. Deze heb ik verstrekt aan GovCERT." Een van de ministeries zou geluisterd hebben, maar bij de sites van andere ministeries ving hij bot. Ook de internationale opsporings- en veiligheidsdienst heeft nog geen contact met van Tuijl gezocht. Op moment van dit schrijven is het lek nog steeds in de website aanwezig.
Behalve dat het om cross-site scripting en MySQL injectie gaat, wil hij geen details prijsgeven, maar dat kan veranderen als de ministeries en anderen de lekken niet serieus nemen. "Op dit moment ben ik niet van plan full disclosure te doen. Dit kan veranderen als ministeries het nalaten de lekken binnen afzienbare tijd te dichten. Dan zal ik hen door middel van full disclosure dwingen de lekken de dichten."
hij nergens bang voor te zijn....
Nu nog amerikaanse overheid sites..
( meschien ook een enkeltje guantanamo bay?)
Heel goed bezig jonge..
Nu nog amerikaanse overheid sites..
( meschien ook een enkeltje guantanamo bay?)
Heel goed bezig jonge..
Nu nog amerikaanse overheid sites..
( meschien ook een enkeltje guantanamo bay?)
Zucht nasa is van de amerikaanse overheid zucht
Heel goed bezig jonge..
Nu nog amerikaanse overheid sites..
( meschien ook een enkeltje guantanamo bay?)
Zucht nasa is van de amerikaanse overheid zucht
Na het debacle met de stemmachines mag de onkunde
(voortvloeiend uit onderbetalen) van onze overheid wel een
klapje krijgen.
Leuk primeurtje. Laat die raamambtenaren bij de overheid maar
een keertje werken. :D
Dit is ook weer het zoveelste bewijs dat onze overheid onkundig is.
komt zoveel voor, de nederlandse overheid is daar echt niet bijzonder
slecht of goed in. Natuurlijk is het niet de bedoeling en zou het opgelost
moeten worden, maar om nou zo overdreven te doen, vind het allemaal
beetje aanstellerig.
bang voor vervolging is.
Dat kan nu al onbenul
gelegenheids hacker die een keer wat vind...
Door Anoniem op vrijdag 19 oktober 2007 15:20
Is dit artikel serieus tekenend voor het niveau van security.nl?
Wordt er nog 1 wakker... Wow een cross-site scripting bug, net als 80% van
de andere websites op het word wide web. Het feit dat security.nl dit
nieuwswaardig vindt spreekt boekdelen...
Waarom doet men alsof dit zo uniek en vreselijk is.
Cross-site scripting
komt zoveel voor, de nederlandse overheid is daar echt niet
bijzonder
slecht of goed in. Natuurlijk is het niet de bedoeling en
zou het opgelost
moeten worden, maar om nou zo overdreven te doen, vind het
allemaal
beetje aanstellerig.
Dit is zo vreselijk omdat deze club kneuzen wel alle
middelen gebruikt om onze privacy gevoelige gegevens te
achterhalen en deze vervolgens op zeer onveilige wijze
bewaart. De andere die zo met gegevens omgaan worden door
justitie(lees: overheid)vervolgt.
Waarom doet men alsof dit zo uniek en vreselijk is.
Cross-site scripting
komt zoveel voor, de nederlandse overheid is daar echt niet
bijzonder
slecht of goed in. Natuurlijk is het niet de bedoeling en
zou het opgelost
moeten worden, maar om nou zo overdreven te doen, vind het
allemaal
beetje aanstellerig.
Dit is zo vreselijk omdat deze club kneuzen wel alle
middelen gebruikt om onze privacy gevoelige gegevens te
achterhalen en deze vervolgens op zeer onveilige wijze
bewaart. De andere die zo met gegevens omgaan worden door
justitie(lees: overheid)vervolgt.
onze privacy gevoelige gevens achterhalen", ze hebben echt
wel iets beters te doen. en met het vervolgen van andere
partijen die dat doen valt het ook wel mee.
http://www.voipinfo.org/wiki/index.php?page=Asterisk+cmd+Authenticate
Er bestaat verschil in het: Kennen, Kunnen en Knutselen.
Ook zo voor het: Installeren, Implementeren en Configureren.
1e lijn, 2e lijn en 3e lijn is juist ontwikkeld om daar
helderheid in te verschaffen, tot heden houd dat verschil op
bij de salarisadministratie.
Een configuratiespecialist controleert de installatie op
veelgemaakte fouten, geeft advies over de implementatie,
verzorgt de configuratie en meer niet. Anders kan je geen
specialist zijn.
En na het lezen van zijn topic wist ik het zeker Een
gelegenheids hacker die een keer wat vind...
En hoe wil jij je zelf dan noemen na het lezen van je eigen topic?
http://www.security.nl/forum/i/174773/
maar om nou zo overdreven te doen, vind het allemaal beetje aanstellerig."
Wanneer het erom gaat dat operationele informatie van internationale
opsporings- en veiligheidsdiensten op straat komt te liggen, lijkt het me
bepaald niet overdreven.
Door Anoniem op vrijdag 19 oktober 2007 15:20
Is dit artikel serieus tekenend voor het niveau van security.nl?
Wordt er nog 1 wakker... Wow een cross-site scripting bug,
net als 80% van
de andere websites op het word wide web. Het feit dat
security.nl dit
nieuwswaardig vindt spreekt boekdelen...
wat ben je voor een lamer eigenlijk ? Het is zeker nieuws
omdat het bij de overheid zit, diensten die al onze gegevens
hebben opgeslagen en die nu voor het oprapen liggen.
Iedere scriptkiddie kan binnen 1 uur deze sites (of aantal)
vinden en bevestigen dat ze sql injectie toelaten etc...
allemaal wel mee :D
internationale
opsporings- en veiligheidsdiensten op straat komt te liggen,
lijkt het me
bepaald niet overdreven.
Het is zeker nieuws omdat het bij de overheid zit, diensten
die al onze gegevens hebben opgeslagen en die nu voor het
oprapen liggen.
Iedere scriptkiddie kan binnen 1 uur deze sites (of aantal)
vinden en bevestigen dat ze sql injectie toelaten etc...
denk je nou echt dat ze al die informatie gewoon op die
zelfde webservers bewaren en dat die informatie nu ook te
bekijken is? cross site scripting betekend niet dat je
meteen een heel systeem kan overnemen en zelfs dan kun je
nog niet meteen overal bij. het blijven veel overdreven
reacties van mensen die denken dat nu alle informatie die de
overheid heeft op straat ligt en dat is gewoon niet zo.
en met je tweede opmerking spreek je jezelf een beetje tegen
volgens mij.
zelfde webservers bewaren en dat die informatie nu ook te
bekijken is?"
Nee dat weet ik. En het gaat om websites die niet bedoeld zijn voor het
publiek, maar wel te benaderen. Doordat je de login kunt omzeilen kunt je
vervolgens bij allerlij documentatie die zeer vertrouwelijk is, en wat
operationele informatie betreft.
Maar slaap lekker verder inderdaad.
dan vaststellen of men de lekken inmiddels gedicht heeft.
Daarna komt de full disclosure pas aan bod.
De regering zal in dat geval vermoedelijk de brenger van het
slechte nieuws te pakken nemen. Omdat het om de veiligheid
van de overheidsnetwerken gaat, dus om de staatsveiligheid,
zou men van Tuijl tot terrorist kunnen bombarderen en meteen
een voorbeeld stellen voor alle ander hackbars. Dat gaat
meneer voor 20 jaar de cel in. Iedereen vergeet het voorval
weer en de kneuzen die ons land moeten besturen, kunnen
voldaan terugkijken op het voorkomen van een terroristische
aanslag.
Ik denk niet dat je meer moet verwachten met de huidige
machthebbers en ik zou het zonde vinden als het inderdaad zo
zou aflopen.
afzienbare tijd te dichten. Dan zal ik hen door middel van full disclosure
dwingen de lekken de dichten."
Ik was in eerste instantie wel redelijk content met het interview en inhoud,
totdat ik de laatste zin las.
Dwingen??? wat is dat in voor een extremistische uitspraak?
Hebben we hier te maken met een toekomstige digitale terrorist?
Heeft deze man nog andere kenmerken waardoor we op een profiel
kunnen komen die hem kenmerkt als "staatsgevaarlijk", risico op
ontwrichting van de samenleving, aanleiding en mogelijkheid biedend tot
digitale aanslagen?
Dat je de pers zoekt, ok! prima zelfs, maar dat je openlijk de overheid gaat
chanteren, en bij het publiceren bewust het risico loopt om de
maatschappij te ontwrichten, maakt dat je niet te vertrouwen bent.
Niet als hacker, niet als beveiligingsspecialist, maar zeker niet als
onderzoeker! Alledrie hebben namelijk een ding gemeen, en dat is een
vorm van ethiek.
Je moet je namelijk wel goed beseffen dat publiceren van dergelijk lekken
de hele maatschappij raakt, incl kwaadwillenden. Dit is namelijk anders
dan een bug in een OS. Dit is veel meer doelgerichter.
Laat je ergens in een van deze categorieen je ethiek varen, vorm je een
reeele bedreiging. Dan krijg je wel een hoop aandacht, maar vooral van de
negatieve kant. En kan je verhaal, met al zijn goede bedoelingen, en daar
twijfel ik echt niet aan, ook heel negatief worden uitgelegd.
Ergo, dan kan het best zijn dat je maandag wel bezoek krijgt van "de
internationale opsporings en veiligheidsdienst" maar op een hele andere
manier dan je had gehoopt. Of dat er een russische maffia of een
splintergroep bij je aanbelt voor meer informatie, al of niet vrijwillig af te
staan.
Als je nog eens laat verleiden tot een interview, zorg dat je van te voren
duidelijk hebt welke en hoe je je boodschap wilt overbrengen.
En als je ook maar ergens denkt de gevolgen niet te kunnen overzien of in
de hand te hebben, wees dan behoorlijk voorzichtig en terughoudend.
Ik hoop dat bovenstaande helder maakt dat , in plaats van dat je de
samenleving een dienst bewijst.. ook heel makkelijk het
tegenovergestelde kunt bereiken, met dezelfde actie.
Maar Jacco.... dat "dwingen" .... neeehhh... ik zou het niet doen als ik je
was.....
Als er dan iets misgaat, ben jij echt het haasje.
Het mooiste moet nog komen omtrent veiligheid en overheid.
Verschillende ministeries gebruiken hun eigen Intranet om
verschillende documenten zonder enig benul van afscherming
te publiseren die voor elke willekeurige ambtenaar of
externe partij te bemachtigen is (dagelijkse werkelijkheid).
Externe partijen zijn ook schuld aan de slechte integriteit
en veiligheid van IT systemen binnen overheden. De meeste
systemen worden gebrekkig geimplemteerd en gebruiken extern
aangemaakte bestanden die niet of nauwelijks zijn
afgeschermd (xml of batch).
Gelukkig hebben we de manager nog, "morgen moet het werk,
sorry gister zei ik toch!". Dit leid tot 1 prioriteit,
simpelweg werken van het systeem. Later komen de problemen
en het spreekwoordelijk gezegde "als de koe is verdronken,
dempt men de put".
Er zijn te veel lagen (bureaucratisch) en eilanden binnen
overheden die niets tot weinig transparantie bieden of nemen
bij het goed implemteren van nieuwe en verbeteren van
bestaande systemen.
Gelukkig schermt de overheid dit soort zaken "zeer" goed af
voor de buitenwereld. IT bedrijf zegt niets in commercieel
belang, overheid zegt niets in belang van de ministers en de
burger betaald de rekening.
Maar de overheid en IT bedrijven kunnen zich dit veroorloven
door simpel weg te zeggen... "gelukkig valt het in Nederland
wel mee, want in Congo is het erger"....
My 2 Cents,
XaNcE DoNe
Is dit artikel serieus tekenend voor het niveau van
security.nl?
Tja, kennelijk nemen mensen hem niet serieus omdat hij ook
niets serieus te melden heeft.
Uit eigen ervaring weet ik dat indien je wel iets ernstigs
vind en dit bij de juiste partij kenbaar maakt (zonder de
publiciteit op te zoeken) je gewoon serieus uitgenodigd word
voor een gesprek met de verantwoordelijke personen.
Verder snap ik niet waarom hij wel aan GovCert technische
details heeft verstrekt terwijl deze partij gewoon een derde
partij is waarmee niet elke overheids organisatie banden heeft.
Ik vind dat er een gevangenisstraf moet komen voor crossite
script, scriptkiddies, immers doordat iedereen met simpele
zaken bezig houd hebben mensen zoals die bij GovCert totaal
geen inzicht over hoeveel overheid routers op dit moment
staan te sniffen in opdracht van een derde partij.
toepasselijk, naar vacatures op het gebied van informatiebeveiliging zocht.
Een kwetsbaarheid ontdekken is één ding, professioneel met die
informatie omgaan is een tweede. Die baan in de informatiebeveiliging
kan meneer (de onderzoeker? ahum,...lees: hobbyist) nu wel vergeten.
:-)
Verder is lijkt dit artikel inderdaad exemplarisch voor de kwaliteit van
security.nl de laatste tijd. Na een aantal publicaties van bedrijven die hier
ruimte krijgen hun produkten te promoten nu dit! Ik geef toe, dit hadden we
hier nog niet gezien...
@Redactie: Laat dit soort zaken in het vervolg gewoon op het forum, waar
het begon en ook thuis hoort.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.