"Hackende ambtenaren Sociale Zaken zijn sukkels"
De twee ambtenaren van Sociale Zaken die het persbureau GPD "hackten", en na de ontdekking op non-actief werden gesteld, ontkennen dat ze ooit op de GPD-nieuwslijnen hebben gespioneerd of ingebroken om geheime informatie te vergaren. Toch hadden ze moeten weten dat hun acties niet ongemerkt zouden blijven. "De ex-journalisten zijn sukkels omdat ze niet beseffen dat alles wat je doet ergens gelogd wordt", schrijft "Mailforlen" op het nieuwe Belgische "belsec" weblog.
En niet alleen de journalisten krijgen een veeg uit de pan, ook de GPD schoot ernstig tekort en wordt zelfs aansprakelijk geacht. Zo had men de wachtwoorden van het vertrekkende personeel moeten veranderen. "Het is natuurlijk een groot administratief probleem maar de veiligheidsconsequenties zijn dan ook enorm."
Ook ontbrak het bij de persdienst aan goede logging en monitoring. Het duurde maanden voordat men achter de praktijken van de ambtenaren kwam, die toen al 366 keer hadden ingelogd.
"Ten derde is het persagentschap ook erg aansprakelijk omdat het op dergelijke belangrijke documenten geen bijkomende gepersonaliseerde bescherming had gezet zodat de collega's zonder rechten op dat document er niet zomaar aan zouden kunnen. Dit is vooral belangrijk indien de twee voorafgaande monitoring en beschermingsmethoden administratieve en praktische problemen of vertragingen zouden kennen. In juridische termen noemt men zoiets nalatigheid, gebrek aan goed beheer van gegevens."
Hoewel de pers altijd meewerkt met de politiek, zou er toch
een uitleg moeten komen over de vraag waarom er werd
rondgesnuffeld.
Het is ook niet waar dat er een gebrek was aan een goede logging. Uiteindelijk werden er 366 keren ingelogd wat werd vastgelegd. Het ontbrak
aan een goede controle door de IT-afdeling.
een van een oud-collega bij GPD.... dat veranderd nog wel wat aan het
verhaal van belsec...
veiligheidsconsequenties zijn dan ook enorm."
Lachwekkend. Met de juiste procedures is het helemaal geen "groot
administratief probleem" om wanneer iemand een bedrijf verlaat zijn of
haar accounts te blokkeren. Dat zou eerder standaard procedure moeten
zijn, en gebeurt bij de meeste bedrijven standaard.
bescherming van de netwerken, servers en documenten hoe de specifieke
details er ook uitzien
mailforlen
Om van aansprakelijkheid te kunnen spreken moeten we over elk
juridische, technische en HR procedure informatie kunnen beschikken en
dat hebben we niet. Dus hebben we de term aansprakelijkheid vervangen
door nalatigheid. Het is aan de juristen om ter gepaster tijde indien nodig
al deze informatie op te vragen (het is momenteel aan de
netwerkverantwoordelijken van de betrokken diensten om alle logs terzake
forensisch aanvaardbaar te bewaren voor het geval dat ze zouden worden
opgevraagd.
Het blijft evenwel een mooi verhaal over wat er kan gebeuren als je niet
monitort wat er op je netwerk gebeurt en als je de rechten van toegang tot
documenten niet detailleert.
mailforlen
onvolledigheden bevat (en meestal veel suggererende details) en dat
iemand daar één uitkiest en op basis daarvan vervolgens een veroordeling
uit haalt, dan is dat niet 1 maar 2 bruggen te ver. Wacht eerst maar eens
de feiten af.
criminelen (sukkels)"
Als het GPD een iso9001 certificaat heeft .
Afpakken
personeel moeten veranderen. "Het is natuurlijk een groot
administratief probleem maar de veiligheidsconsequenties
zijn dan ook enorm."
beheerders volgens procedure de accounts alleen maar hoeven
te disablen. Per account een vinkje, zeg 5 minuten werk.
En overal gebeurt dat, dus vermoedelijk ook hier.
Dus het is allemaal gelul.
voor wifi netwerken krijgt 6 jaar
Bij sociale zaken zijn ze echt niet fris en denken ze boven alle wetten
te staan
Medewerkers exit en Donner op het matje
mvg
worden gestuurd met exclusieve toegangsrechten en daar een kopie
wordt weggeschreven. Het is natuurlijk zo dat indien dit niet zo gebeurt bij
dat ministerie ze momenteel natuurlijk problemen zullen hebben met hun
logfiles als bewijs te gebruiken omdat hij niet volledig zal kunnen gebruikt
worden als bewijs maar enkel als indicator en men dus andere
bijkomende bewijzen of indicatoren nodig heeft om schuld te kunnen
bewijzen. Deze post is niet bruikbaar in een proces aangezien ik geen
specialist ben, maar enkel herhaal wat in de handboeken staat.
Ik vraag me trouwens af of het openbaar ministerie bij jullie afspraken
heeft met de verschillende diensten over hoe en op welke manier
bewijsmateriaal moet bijgehouden worden en gerecupeerd kan worden.
Op de site van het Amerikaanse ministerie van justitie en enkele andere
sites vind je daar trouwens goede info over. Denk niet dat dit in België het
geval is hoor....
mailforlen, de spraakjesmaker
makkelijk vanaf. Roepen dat mensen "sukkels" zijn omdat ze
niet weten dat alles gelogd wordt is erg gemakkelijk. Zo
kunnen wij hem ook een sukkel noemen omdat zijn profiel op
zowel Flickr als Scribd wel héél makkelijk te achterhalen
is. Doet wat mij betreft knap afbreuk aan zijn
geloofwaardigheid als "beveiligingsexpert"... Meer als een
blogger is hij/zij eigenlijk niet.
Jammer dat een "serieuze" site als Security.nl klakkeloos
dat domme geblaat van hem zo overneemt...
pff, jong toch
anonimiteit is een keuze en die van mij is relatief
als ik met mijn eigen naam schrijf zwart op wit dan zijn er die boos zijn
dus gebruik ik een relatieve anonimiteit
indien ik volledig anoniem zou willen zijn zou dat wel kunnen
maar dat is dan volgens anderen totaal onaanvaardbaar als ik schrijf
het is gewoon een gulden middenweg
op de berichtgever schieten is ook gemakkelijker
dan antwoorden op de gestelde vragen
zeker als je zelf anoniem doet
maakt een held van je
len
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.