Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Little Brother award for Big Brother Award organisatoren?

02-03-2010, 13:17 door QCIC, 53 reacties
“Tell me and I forget. Teach me and I remember. Involve me and I learn.”
– Benjamin Franklin
Reacties (53)
02-03-2010, 20:46 door Anoniem
Waar geen wil is is geen weg?
04-03-2010, 10:49 door Anoniem
Hallo,

Begrijp ik 't goed, dat ze vulnerable zijn en er niets aan willen doen?
Hoe erg zijn die gaten dan?

Ben nu wel nieuwsgierig...
08-03-2010, 12:32 door Anoniem
Dit lijkt me een leuk artikel voor de landelijke pers, doe eens even twitteren of iets dergelijks!
08-03-2010, 15:15 door El Pedro
Wat een vage openingspost.
Wat is nou precies het probleem?

Het lijkt erop dat hij op de website doelt.
Maar dan is een reële vraag of je er ook tijd en moeite in wilt steken om een betrekkelijk simpele website 100% te willen beveiligen.

Als het de website betreft: waar is het op dit moment dan kwetsbaar voor?
Want ook dat kan ik hier nergens uit opmaken?
08-03-2010, 15:42 door Anoniem
He wat grappig, er is vandaag op dit item gereageerd maar in de overall forum headlines waar ik dit het eerst in las is het artikel verdwenen!
08-03-2010, 16:25 door Anoniem
Hoi El Pedro & Co.

De techniek, of te wel 'kwetsbaar voor', doet niet zo ter zake, toch?

Het gaat om de schaamteloze instelling van BOF,
die het zelfde blijkt te zijn als de organisaties waar zij op afgeven.
De "We zouden 't wel goed willen doen, maaaaaaaaaaaaar..... {smoesjes}"


En nee, niet alleen die hatseflats website, maar ook de email en werkstations.
08-03-2010, 16:59 door Anoniem
Ik vind het redelijk ongepast om 1-op-1 gecommuniceerde mailberichten zo op het web te knallen, zeker als je zegt zelf een voorstander te zijn van privacy.
08-03-2010, 17:52 door Anoniem
"Ik vind het redelijk ongepast om... "

Redelijk ongepast om er zo maar van uit te gaan dat de betroffen personen dit niet voor publicatie ondeling hebben besproken.

Maar het gemak dient de mens, zo ook de aannames ;-)
08-03-2010, 18:32 door Anoniem
"Little Brother award for Big Brother Award organisatoren?"

Ik denk dat je totaal over het hoofd ziet dat het niet alleen gaat om kwetsbaarheden, maar ook om risico.

Wat dat betreft boeit het mij -veel- meer of bijvoorbeeld het EPD lek is, of een andere overheidssystemen met gevoelige informatie van miljoenen Nederlanders. Misschien kan de beveiliging van Bits of Freedom website beter, maar zij beheren niet dossiers over Nederlandse burgers met privacy gevoelige gegevens, en wat dat betreft vergelijk je appels met peren.

Ik mis ik geheel het punt wat je hier wilt maken, en het publiceren van emails vind ik evenmin netjes. Je had je reactie ook kunnen geven zonder emails openbaar te maken. Wat dat betreft heb jij zelf kennelijk evengoed boter op je hoofd.....
08-03-2010, 19:16 door Anoniem
Is dat de manier waarop QCIC werkt? Eerst vage mailtjes (zo te zien zonder details) sturen, bedelend om een 'symbolishe vergoeding' en als men dan niet goed reageert maar gewoon de boel op een forum gooien. Lekker nuttig ook, alsof iemand er een oordeel over kan vellen zonder enige details, ik kan ook roepen 'QCIC is lek'...
09-03-2010, 10:57 door Anoniem
"Is dat de manier waarop QCIC werkt?"

*aannames. heeeerlijke aannames, komt 't zien, alleen vandaag voor de halve prijs, 2 halen geen betalen!*

-
QCIC is geen BV'tje, ze doen vooral onderzoek. en dit is deel van zo'n onderzoek.

Een van de dingetjes die er uit komen is dat men er van uit gaat ~Alles~ zelf wel te kunnen, en dus bijvoorbeeld ook geen externe audits laten doen, wat ze anderen wel aanraden.
Als er iemand voor de deur staat en bewijs aanbied in ruil voor bijvoorbeeld een appeltaart, dan gaan ze direct me de hakken in 't zand. De 'IT Security' bedrijven sturen zelf wel dikke rekeningen voor zogenaamde Oplossingen zonder enige garantie.
Wat vooral uit 't onderzoek komt is dat de populaire standaarden en methoden een paar fundamentele misverstanden in zich hebben, en hoe dat op te lossen, maar daar over later meer..
-

BOF preekt al jaren via publiciteit dat privacy bescherming heeel erg belangrijk is...
Dan zou men toch mogen verwachten dat ze zelf ietsje meer moeite zouden Willen doen om hun bezoekers web-logs, email-logs en eigen web-surf gedrag een beetje serieus te willen beschermen?

Een kijkje in een keuken ;-)
http://www.security.nl/artikel/18455
www.qcic.nl/scout/Field%20Test%20Overview.html

Groetjes
~ Tante An Oniem

Ps.
Een appeltaart voor de eerste die een onderbouwd vermoeden uit over waar 't de dames en heren gelieerd aan BOF meer om te doen is.
09-03-2010, 14:04 door Anoniem
Waarom zou je een externe audit laten doen op een website die niet meer als een folder is?
En als je wel een audit laat doen wil je weten waar de risico's zitten. Afhankelijk van o.a. het type risico en de impact overweeg je of je dit laat oplossen, dat is een KEUZE en dat hoeft niet te stroken met de pure technische benadering van QCIC dat alles opgelost MOET worden.

Ben benieuwd hoe QCIC aan al deze wijsheid komt, is BOF gewoon gehacked door QCIC? Dan is het een kwestie van aangifte doen BOF!

Ben ook erg benieuw naar het portfolio van QCIC en namens wie of wat zij onderzoek doen ;-)
09-03-2010, 14:18 door Anoniem
Door Anoniem: (...)
www.qcic.nl/scout/Field%20Test%20Overview.html
(...)

Ik kan er in ieder geval helemaal niets mee. Kan je een voorbeeld noemen van een technical, een organizational en een structural issue (al dan niet 'key issue')? Vraag me ook af hoe je dit test binnen de kaders van de Nederlandse wet.
09-03-2010, 14:24 door bernd
qcic, Ik weet niet waar je mee bezig bent, maar bij mij heb je met dit topic een hoogst onprofessioneel beeld van jezelf neergezet. Als je de informatiebeveiliging van de organisatie van de BBA publiekelijk op de korrel wilt nemen, zal je niet alleen je aantijgingen veel meer moeten onderbouwen, maar de andere partij ook vooral de tijd moeten geven het euvel te verhelpen, ook al maken ze geen gebruik van jouw diensten.

lees maar eens http://www.whitehats.ca/main/about_us/policies/draft-christey-wysopal-vuln-disclosure-00.txt
09-03-2010, 14:47 door Anoniem
"Waarom zou je een externe audit laten doen op een website die niet meer is dan ..."

Hallo Foxi Lady ;-)
Als je een website ziet als niet meer dan een verzameling bestanden voor bezoekers, dan ben ik 't met je eens.

--=---

bernd,
".. bij mij heb je met dit topic een hoogst onprofessioneel beeld van jezelf neergezet.."

Jammer dat het niet aan je verwachtingspatroon voldoet.
ook jammer dat het niet gaat over vuln-disclosure, maar over organisatorische/menselijke factoren die structurele beveiliging in de weg staan.
09-03-2010, 16:32 door El Pedro
Zoals al eerder verteld is mekkeren over de beveiliging van een simpele website met allen wat tekst en plaatjes niet een veiligheidsricico. Maak een kopie van je huidige website en je bent klaar.
Je kan natuurlijk alles wel 100% beveiligd willen hebben, maar lang niet alles hoeft beveiligd te worden.
En overdrijven is een vak apart.
Hoog van de toren op internet schreeuwen over de "slechte" interne beveiliging binnen BOF valt daar mooi onder.
Zeker nu ik, na al die postings hier, nog steeds niet precies weet wat er nou allemaal aan scheelt.
Wat scheelt er bijvoorbeeld dan precies aan het e-mailsysteem?

@ anoniem - gisteren 17:52
Is er dan afgesproken om dit zo op internet te copy-pasten, want dat valt dus weer nergens te lezen?
Het is daarentegen zeer aannemelijk dat men, de organisatie tegen wie je nu weer loopt te ageren, niet zomaar dit soort zaken op straat wil hebben. Iedereen met een stel hersens zou dat direct begrijpen.

@ anoniem - gisteren 19:16
Wellicht dat QCIC niet een besloten vennootschap is, maar het lijkt mij sterk dat Joris dit gratis doet. Of we hebben natuurlijk met iemand te maken met te veel vrije tijd.
Ook de schimmige domein-informatie over qcic.nl geeft trouwens te denken.

@ anoniem - vandaag 10:57 (oftewel QCIC)
* naast een jijbak ga je ook nog eens niet inhoudelijk in op de geleverde en terechte kritiek.
Jij mag dan kritiek hebben op BOF en start hier een topic dat BOF niet jouw kritiek .
En nu jij kritiek krijgt, blijk jezelf ook niet goed overweg te kunnen gaan met kritiek aan jouw adres.
Dat is hypocriet.
Jij wel kritiek mogen leveren op anderen, maar anderen moeten hun mond houden met kritiek over jouw handelswijze.

De arrogante toon van QCIC/Joris is overigens inderdaad onprofessioneel. De reacties van hem op inhoudelijke kritiek wellicht nog triester, maar bovenal kinderachtig.
Eens kijken wat voor jijbak ik hierop tegemoet kan zien....
09-03-2010, 16:47 door Anoniem
Door Anoniem: "Ik vind het redelijk ongepast om... "

Redelijk ongepast om er zo maar van uit te gaan dat de betroffen personen dit niet voor publicatie ondeling hebben besproken.

Maar het gemak dient de mens, zo ook de aannames ;-)

Ik weet zeker dat het publiceren niet met de wederpartij is besproken :-(
09-03-2010, 17:56 door Anoniem
"Ik weet zeker dat het publiceren niet met de wederpartij is besproken :-("

Zo als men nog eens in de email kan lezen, is er aangekondigd dat het de bedoeling was om het in het zelfde zonnetje te zetten. en dat is voor lief genomen en zeker geen bezwaar op gemaakt, terwijl daar toch genoeg tijd voor geweest is.
Enige wat er op terug kwam was een opmerking over koffie drinken..., toch ?
is een uitdrukkingen voor, iets met op de blaren zitten, en koekje van eigen deeg.


Maar 't goede nieuws is dat het een aardige aansporing kan zijn om eens daden bij woorden te gaan voegen, en de goede voornemens dit jaar dan daadwerkelijk ten uitvoer te gaan brengen.
Een methode die BOF zeker niet vreemd in de oren zou mogen klinken ;-)
09-03-2010, 20:17 door Anoniem
"Jij wel kritiek mogen leveren op anderen, maar anderen moeten hun mond houden met kritiek over jouw handelswijze."

:-(...
"niet kunnen omgaan met kritiek", is dus als iemand 't niet eens is met jou stellingen?

Jantje roept hier: foei mag Niet zo specifiek klikken, want dat is onprofessioneel gedrag.
pietje roept hier: je Moet juist meer details geven, anders geloof ik niks niet, en vind ik 't onprofessioneel gedrag.
klaasje roept hier: het gaat nergens over, d'r staat toch niets spannends.
truusje roept hier: dat er onprofessioneel met eindeloze aannames gegooid word.
-
Zo zie je dat iedereen een andere geloof aan hangt, wat betreft wat nu wel en niet kan en mag en moet en vooral wat nu eigenlijk IS.


't Is nu tijd om snel de kinderen voor te lezen en dan in te stoppen, want die weten precies hoe laat 't is.
09-03-2010, 21:47 door QCIC
My Captain does not answer, his lips are pale and still;
My father does not feel my arm, he has no pulse nor will;
The ship is anchor’d safe and sound, its voyage closed and done;
From fearful trip, the victor ship, comes in with object won;
Exult, O shores, and ring, O bells!
But I, with mournful tread,
Walk the deck my Captain lies,
Fallen cold and dead.
09-03-2010, 21:56 door El Pedro
Zwak om de openingspost meteen aan te passen nu het heet onder de voeten wordt.
Namen van andere bedrijven laten vallen om je eigen geloofwaardigheid nog een beetje omhoog te houden, das dan wel weer grappig om te zien natuurlijk.
09-03-2010, 23:15 door Anoniem
Door QCIC: Ps.
ook '___' == '%' in SQL ;-)

Uhm nee, met drie underscores moet je toch echt precies drie characters hebben...
10-03-2010, 14:56 door bernd
Door Anoniem: (...) ook jammer dat het niet gaat over vuln-disclosure, maar over organisatorische/menselijke factoren die structurele beveiliging in de weg staan.

mijns inziens maakt het in deze niet uit of een informatiebeveiligingsrisico afkomstig is door een kwetsbaarheid in de software of in de menselijke factor. Daardoor zie ik niet in waarom je -als buitenstaander- hier anders mee om zou moeten gaan.

Met je oorspronkelijke openingspost lijk je eerder uit te zijn op reputatieschade dan op verbetering van de informatiebeveiliging.
11-03-2010, 09:48 door Anoniem
Ha ha QCIC kiest het hazenpad
11-03-2010, 10:02 door Anoniem
"Uhm nee, met drie underscores moet je toch echt precies drie characters hebben..."

Vertel dat maar aan het cms van security.nl, want die ziet 't als *All*.

-

Voor El Pedro De la mancha & co:
Vrij om even een emailtje te schrijven naar tante joris, werk misschien iets beter dan vragen om publicatie van beveiliging details.

Kan hij wellicht ook wat vertellen over waarom 't goed idee is om logs Niet op een web/mail-server zelf te zetten, vooral als die niet degelijk ge-hardened zijn. En hoe je met 1 oogopslag kan zien of ze wel of niet serieus ge-hardened zijn.

-

Buurman bernd,
"mijns inziens maakt het in deze niet uit of een informatiebeveiligingsrisico afkomstig is door een kwetsbaarheid in de software of in de menselijke factor. "

Helemaal mee eens.
Maar die 'IT-Security' industrie is bijna exclusief bezig met technische oplossingen.
Ze blijven ook ISO/etc.. standaarden gebruiken waarvan na al de jaren duidelijk is geworden dat ze niet werken in de praktijk..


"Met je oorspronkelijke openingspost lijk je eerder uit te zijn op reputatieschade dan op verbetering van de informatiebeveiliging."

Dat vinden de betroffen personen bij organisaties waar BOF over publiceert meestal ook, is maar in welke situatie je inleeft.
Maar als je 't nog een keer goed leest, zie je dat er aangeboden is om te helpen met verbetering, maar er dus Helemaal geen interesse voor verbetering is/was.....


Groetjes
11-03-2010, 20:22 door El Pedro
@ Anoniem 10:02

Aangeboden om te helpen met verbeteringen?
Het enige wat ik hier lees van Joris/QCIC is hij (of zijn jullie) komt behoorlijk verwaand over.
Met zo'n insteek moet je ook niet verbaasd opkijken dat je daar ook reacties op krijgt.

En hoe kan ik iemand nou mailen als hij geen e-mailadres hier achterlaat?
Tevens is dit forum openbaar, en om nu opeens zaken per e-mail af te willen handelen, omwille van discretie, is echt mosterd na de maaltijd.
Daarom moet je je ook wat diplomatieker opstellen, en niet eerst zo hoog van de toren schreeuwen....niemand houdt namelijk van een aanmatigende schreeuwlelijk.
12-03-2010, 16:45 door Anoniem
"Daarom moet je je ook wat diplomatieker opstellen"

Moeten is Dwang...
&
Humor is voor mensen die zich niet zo angstig vastklampen aan een gekozen 'realiteit'.


Kusjes!
12-03-2010, 21:13 door El Pedro
Laten we dan zeggen dat je op z'n minst een autist bent, als ik zo je reacties lees.
Is het niet anoniem, dan wel als QCIC.
En tevens een slechte verliezer.
12-03-2010, 21:38 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 22:53 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 22:57 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 23:00 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 23:02 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 23:04 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 23:07 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 23:23 door El Pedro
Grappig om te zien hoe toevallig net na mijn laatste reactie er opeens allerlei nikszeggende reacties er onder worden gedeponeerd.
Zou het QCIC weer zijn, dit keer onder wederom een andere gebruikersnaam?

Met weer dezelfde rare, haast autistisch/dyslextische spelfouten...het geeft te denken niet waar.
Het is in ieder geval wel de kortste weg om je eigen topic te verknallen.
13-03-2010, 23:30 door Anoniem
Het is wel een erg lange thread aan het worden, saai hoor. Het welles, nietes, vliegen-af-vang spelletje is ook niet leuk.

Het punt waar het om gaat sneeuwt zo onder: is/was bof kwetsbaar? Was men hiervan op de hoogte? Hebben ze er iets aan gedaan? Is er sprake van nalatigheid door bof?

Graag uw mening.
14-03-2010, 15:51 door Anoniem
Door Anoniem:
Het is wel een erg lange thread aan het worden, saai hoor. Het welles, nietes, vliegen-af-vang spelletje is ook niet leuk.

Inderdaad jammer.....



Het punt waar het om gaat sneeuwt zo onder: is/was bof kwetsbaar? Was men hiervan op de hoogte? Hebben ze er iets aan gedaan? Is er sprake van nalatigheid door bof?

Graag uw mening.

1. ja
2. niet bewust.
als ik 't goed begreep van Ot, hadden de ze beveiliging overgelaten aan een web-dev persoon, dus meer van de quick default install dan ervaren hardening. Zo ook de email onderdelen.
3. zo te zien niet, of nog niet daar waar ik naar kijk.
4. uit de woorden van Ot zelf maak ik dat wel op, als ze er zo bewust geen energy in willen steken.

Wat vind jij dan van de uitspraken van Ot / BOF ?
14-03-2010, 16:25 door QCIC
O CAPTAIN! my Captain! our fearful trip is done;
The ship has weather’d every rack, the prize we sought is won;
The port is near, the bells I hear, the people all exulting,
While follow eyes the steady keel, the vessel grim and daring:
But O heart! heart! heart!
O the bleeding drops of red,
Where on the deck my Captain lies,
Fallen cold and dead.
14-03-2010, 16:46 door El Pedro
Door QCIC:
Door El Pedro: Grappig om te zien hoe toevallig net na mijn laatste reactie er opeens allerlei nikszeggende reacties er onder worden gedeponeerd.
Zou het QCIC weer zijn, dit keer onder wederom een andere gebruikersnaam?

Met weer dezelfde rare, haast autistisch/dyslextische spelfouten...het geeft te denken niet waar.
Het is in ieder geval wel de kortste weg om je eigen topic te verknallen.


El Pedro De la mancha,
Het is een bekent verschijnsel bij politie en dergelijke mensen die te veel binnen zo'n wereldje bezig zijn, dat ze na een tijdje nog al paranoia worden.

dyslextische => dyslectische
Hoe kom je op de aanname dat ik bij de politie of iets dergelijks zou zitten?
Maar goed, je geeft nog steeds geen inhoudelijk antwoord hier en je topic is inmiddels al aardig daar jezelf om zeep geholpen.
Want nog steeds is niet duidelijk wat er nou precies aan de beveiliging scheelt bij BOF.
14-03-2010, 18:00 door QCIC
O Captain! my Captain! rise up and hear the bells;
Rise up—for you the flag is flung—for you the bugle trills;
For you bouquets and ribbon’d wreaths—for you the shores a-crowding;
For you they call, the swaying mass, their eager faces turning;
Here Captain! dear father!
This arm beneath your head;
It is some dream that on the deck,
You’ve fallen cold and dead.
14-03-2010, 20:22 door El Pedro
Door QCIC: Dear El Perdo,

Hoe kom je op de aanname dat ik ..
A.U.B. eerst echt rustig Lezen.
er staat niet dat jij een diender zou zijn of een IT Sec-off, maar dat het een beetje typisch is voor mensen in dat soort omgevingen.
Die suggestie wek je, anders zou het uberhaupt geen nut hebben om het te vermelden.
Stel dan ook een concrete vraag, en loop ook niet aan de lopende band je openingspost aan te passen, want die wordt met de dag waziger.
Ook het feit dat er van anderen geen antwoorden komen, zou een indicatie voor je moeten zijn.
22-03-2010, 00:26 door Anoniem
Door Anoniem:

Het punt waar het om gaat sneeuwt zo onder: is/was bof kwetsbaar? Was men hiervan op de hoogte? Hebben ze er iets aan gedaan? Is er sprake van nalatigheid door bof?

Graag uw mening.

1. ja
2. niet bewust.
als ik 't goed begreep van Ot, hadden de ze beveiliging overgelaten aan een web-dev persoon, dus meer van de quick default install dan ervaren hardening. Zo ook de email onderdelen.
3. zo te zien niet, of nog niet daar waar ik naar kijk.
4. uit de woorden van Ot zelf maak ik dat wel op, als ze er zo bewust geen energy in willen steken.

Wat vind jij dan van de uitspraken van Ot / BOF ?


Tja, wat ik er van vind? Ik weet niet of dat belangrijk is maar als ik het zo lees heeft BOF hier een flinke steek laten vallen. Erg treurig allemaal, lijkt me een behandeling door het bestuur waard.
28-04-2010, 10:41 door Anoniem
Een tijdje later, en de heren gaan nog verder als voorheen...
Dikke plank voor 't hoofd, en veel lege beloftes en loos geklets van Ot & Co.

Het lijkt er zelfs op dat het beveiligings nivau naar beneden is gegaan als ik 't goed zie.
maar dat is ook niet vreemd als je 't overlaat aan webadmins en theoretishe guru's ;-)
29-04-2010, 14:27 door El Pedro
Mijn god, blijf je hier nou over doorzagen?
30-04-2010, 11:47 door Anoniem
Door El Pedro: Mijn god, blijf je hier nou over doorzagen?

Mijn god,
Blijf jij hier nou over doorzagen?

- El Redpo -
30-04-2010, 16:15 door El Pedro
Joris,

Je moet echt eens een andere hobby vinden.

Niet alleen zijn je postings inhoudsloos, maar ook extreem kinderachtig en ronduit dom.
11-05-2010, 16:42 door Anoniem
Was die QCIC/Joris gast niet opgepakt laatst?
11-05-2010, 17:56 door Anoniem
Door An o niem: Was die QCIC/Joris gast niet opgepakt laatst?


Voor welk vergrijp zou die gast dan zijn opgepakt, en door wie, volgens U?
11-05-2010, 19:12 door El Pedro
Waar zou hij dan voor zijn opgepakt?
En hoe weet je dat zo zeker?
12-05-2010, 10:26 door Anoniem
Door Anoniem: Was die QCIC/Joris gast niet opgepakt laatst?

Lijkt me dat hier verder geen toevoegingen bij komen.
Dromen mag, een wens uit frustratie door onmacht uiten mag ook.
toch?
13-05-2010, 16:39 door Anoniem
Door bernd: qcic, Ik weet niet waar je mee bezig bent, ...


Reading that odd qcic website and some of the publications here,
it seems like they/he/she/it/what-ever is researching some edges of 'IT Security' and testing those with rather unorthodox methods?
Some of the findings seem rather interesting and progressive, some pages just boring common sense or even silly.
Noticed that cryptome.org has mentioned some sensitive .mil research method stuff they published, a while ago.

Guess that stirring up dust is making some people sneeze, and others worry about the dust.
Where else can one find such out of the ordinary material these days?
17-05-2010, 13:40 door Anoniem
What cryptome.org artikle are you referring to ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.