Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Open FTP gevoelige data.

17-10-2012, 13:57 door Cryptografie, 44 reacties
Hey,

Ik ken een beroemde website, die een open FTP heeft. Vanuit die open FTP kun je allemaal contracten, gegevens van resellers en digitale handtekeningen en certificaten vinden en nog meer.

Het is wel oudere data, maar is dat geheime informatie denk je?

En waarom hebben die websites trouwens een open FTP?

Alvast bedankt.
Reacties (44)
17-10-2012, 14:00 door SirDice
Door Cryptografie: Ik ken een beroemde website, die een open FTP heeft. Vanuit die open FTP kun je allemaal contracten, gegevens van resellers en digitale handtekeningen en certificaten vinden en nog meer.

Het is wel oudere data, maar is dat geheime informatie denk je?
Is dat een retorische vraag?
17-10-2012, 14:03 door Cryptografie
Nee, ik heb het inderdaad een beetje verkeerd vermeld. Maar ik wil weten wat jullie denken.
17-10-2012, 14:24 door [Account Verwijderd]
[Verwijderd]
17-10-2012, 14:26 door SirDice
Laten we de vraag eens omdraaien, bevat een tien jaar oud paspoort privacy gevoelige informatie? En in hoeverre heeft de leeftijd van het document daar iets mee te maken?
17-10-2012, 14:33 door Anoniem
Mm.. laat mij raden.. Zorginstelling :)
17-10-2012, 17:29 door Cryptografie
Nee, Is 1 van het grootste bedrijf van Nederland. Als iemand me hiermee kan helpen zou ik aan diegene het wel kunnen laten zien..
17-10-2012, 18:02 door didrix
Door Cryptografie: Nee, Is 1 van het grootste bedrijf van Nederland. Als iemand me hiermee kan helpen zou ik aan diegene het wel kunnen laten zien..
Het zou niet slim zijn (juridisch gezien) om dit zomaar te gaan delen met iemand die je nooit ontmoet hebt. Als het een serieus iets is kan je het best, als dan niet anoniem, contact zoeken met de media of met het bedrijf (jouw keuze).
17-10-2012, 18:10 door Bitwiper
Door Cryptografie: Vanuit die open FTP kun je allemaal contracten, gegevens van resellers en digitale handtekeningen en certificaten vinden en nog meer.
- contracten: gaat het om zakelijke informatie die sowieso gepubliceerd is?
- gegevens van resellers: idem
- digitale handtekeningen: idem
- certificaten: wat voor certificaten? Aan X.509 certificaten is normaal gesproken niets geheim
- en nog meer: ah, wellicht toch nog interessant?

Als je niet meer gegevens geeft kunnen we hier nauwelijks iets over zeggen. Dit klinkt aanzienlijk anders dan bijv. een apotheek die medische patiëntengegevens in vuilniszakken op straat laat staan (zie http://www.nu.nl/binnenland/2936037/apotheek-rotterdam-zet-medische-gegevens-bij-vuil.html).
18-10-2012, 12:41 door Anoniem
- contracten: gaat het om zakelijke informatie die sowieso gepubliceerd is?
Alles is nog nooit gepubliceerd, het zijn zakelijke contracten.
- gegevens van resellers: idem
In mijn ogen belangrijke gegevens van de resellers van het bedrijf. Waaronder: Postcode,telefoon,email,straat enc vermeldt staat.
- digitale handtekeningen: idem
Contracten met handtekeningen van Presidenten, De Vicedirecteur van het grote bedrijf en nog andere handtekeningen.
- certificaten: wat voor certificaten? Aan X.509 certificaten is normaal gesproken niets geheim
Het zijn geen X5.09, maar wat het wel is kan ik niet met zekerheid zeggen. Dat zou ik nog eens even moeten na kijken.
- en nog meer: ah, wellicht toch nog interessant?
Een heleboel presentaties via Powerpoint en noem het maar op van werknemers van het bedrijf. Verder kwam ik nog een denk ik oud inkomsten documentje tegen. Waarin stond wat ze allemaal verkocht hadden aan producten en wat de prijs was van de winst of de prijs van het product? dat weet ik zelf ook niet zeker, welke van de 2 het is.

Mocht iemand nog meer informatie nodig hebben, laat het dan maar even weten!

Alvast bedankt
18-10-2012, 12:41 door Anoniem
- contracten: gaat het om zakelijke informatie die sowieso gepubliceerd is?
Alles is nog nooit gepubliceerd, het zijn zakelijke contracten.
- gegevens van resellers: idem
In mijn ogen belangrijke gegevens van de resellers van het bedrijf. Waaronder: Postcode,telefoon,email,straat enc vermeldt staat.
- digitale handtekeningen: idem
Contracten met handtekeningen van Presidenten, De Vicedirecteur van het grote bedrijf en nog andere handtekeningen.
- certificaten: wat voor certificaten? Aan X.509 certificaten is normaal gesproken niets geheim
Het zijn geen X5.09, maar wat het wel is kan ik niet met zekerheid zeggen. Dat zou ik nog eens even moeten na kijken.
- en nog meer: ah, wellicht toch nog interessant?
Een heleboel presentaties via Powerpoint en noem het maar op van werknemers van het bedrijf. Verder kwam ik nog een denk ik oud inkomsten documentje tegen. Waarin stond wat ze allemaal verkocht hadden aan producten en wat de prijs was van de winst of de prijs van het product? dat weet ik zelf ook niet zeker, welke van de 2 het is.

Mocht iemand nog meer informatie nodig hebben, laat het dan maar even weten!

Alvast bedankt
18-10-2012, 12:42 door Cryptografie
- contracten: gaat het om zakelijke informatie die sowieso gepubliceerd is?
Alles is nog nooit gepubliceerd, het zijn zakelijke contracten.
- gegevens van resellers: idem
In mijn ogen belangrijke gegevens van de resellers van het bedrijf. Waaronder: Postcode,telefoon,email,straat enc vermeldt staat.
- digitale handtekeningen: idem
Contracten met handtekeningen van Presidenten, De Vicedirecteur van het grote bedrijf en nog andere handtekeningen.
- certificaten: wat voor certificaten? Aan X.509 certificaten is normaal gesproken niets geheim
Het zijn geen X5.09, maar wat het wel is kan ik niet met zekerheid zeggen. Dat zou ik nog eens even moeten na kijken.
- en nog meer: ah, wellicht toch nog interessant?
Een heleboel presentaties via Powerpoint en noem het maar op van werknemers van het bedrijf. Verder kwam ik nog een denk ik oud inkomsten documentje tegen. Waarin stond wat ze allemaal verkocht hadden aan producten en wat de prijs was van de winst of de prijs van het product? dat weet ik zelf ook niet zeker, welke van de 2 het is.

Mocht iemand nog meer informatie nodig hebben, laat het dan maar even weten!

Alvast bedankt!
18-10-2012, 13:12 door Anoniem
Of we nog informatie nodig hebben? Ja, doe maar een datadump bij onze Zweedse vriendjes!

Of wacht, mischien stel je de verkeerde vraag. Niet, "aan wie geef ik deze data weg?" maar eerder van "hoe vertel ik ze dat ze wijd open staan zonder dat ze mij gelijk aanklagen?"

Daar zijn wat middelen voor. Je zou bijvoorbeeld Brenno kunnen tippen; die kan ze dan vertellen dat ze een dag hebben om hun ftp dicht te spijkeren want daarna gaat hij publiek met dat ze open stonden. Of je tipt de cy-ber-po-li-tie, maar daarvan moet je zelf maar even verzinnen hoe erg je ze vertrouwen wil met jouw gegevens. Voor je het weet zit je alsnog in een dossier. Overigens moet je jezelf even heel goed afvragen hoeveel je wil grasduinen in dit soort data. Het is tenslotte niet van jou, het is wel uiterst gevoelig, en "teruggeven" is digitaal nog lang niet altijd zo gemakkelijk als stapels papier.
18-10-2012, 14:38 door Cryptografie
Bedoel je hiermee te zeggen dat de informatie wel geheim is?
Daarom ben ik hier eigenlijk. Ik wil zekerheid of het geheim is!

Wat ik wel weet als dit geheim is zoals jij zegt? dat het dan wel op wat tv-zendertjes terecht komt.
18-10-2012, 15:09 door S-q.
@Cryptografie
Hou eens op met trollen. Geeft je info op een verantwoorde manier zoals aan Brenno -als je al wat hebt wat ik betwijfel.
Is het wel zo, sodemieter dan op en ga weg bij die gegevens!

Voor mij ben je alleen maar heel stoer aan het doen. Ga liever met iemand koffie drinken.
18-10-2012, 15:16 door Anoniem
Waar slaat die reactie nou weer op?

Waarom zou ik ooit dit verzinnen. Dus ik doe stoer voor jullie en verspil mijn tijd? Right.

Ik doe niet stoer, ik wil een antwoord over wat jullie denken, zodat ik weet of het echte geheime informatie is.
18-10-2012, 15:18 door Cryptografie
Waar slaat die reactie nou weer op.

Dus ik verspil mijn tijd hier, omdat ik stoer probeer te doen voor jullie? right.

Dat slaat dus nergens op. Het enigste wat ik wil is wat jullie denken.

Ik kan namelijk moeilijk vragen aan de po-litie of dit geheime informatie is.
18-10-2012, 15:44 door Anoniem
Is het een beurs genoteerd bedrijf?
Is het een klein, middel of groot bedrijf?
Verkopen ze producten of diensten?
18-10-2012, 16:13 door Anoniem
@Crypto
Het is info waar jij geen recht op heb, je hebt dus willens en wetens computer vredebreuk gepleegd - je weet immers wat er alzo opstaat. Meld dit anoniem of via een integere journalist zoals Brenno.

Voor de rest, elke seconde die je daar doorbrengt, levert een beter spoor naar jou op.

Frans.
18-10-2012, 20:19 door Cryptografie
Is het een beurs genoteerd bedrijf?
Is het een klein, middel of groot bedrijf?
Verkopen ze producten of diensten?

Het is een super groot bedrijf. Verder verkopen ze vooral producten. Het is denk ik zelfs een miljarden bedrijf.
18-10-2012, 20:22 door Cryptografie
Bedankt Frans!

Dat is het gene wat ik wou weten. Het is wel oudere Data.. Wat ik ook al zei. Is het dan alsnog computer vredebreuk?

Aangezien ik minderjarig ben weet ik deze dingen niet zo goed.

Bedankt :)
18-10-2012, 20:54 door User2048
Het gaat er niet om hoe geheim de info is. De info is niet van jou, maar je hebt blijkbaar wel toegang gekregen.

Wat ga je doen? Het bedrijf voor schut zetten? Reken er maar op dat dat voor jou niet goed uitpakt.

Een anonieme tip aan het bedrijf, eventueel via een journalist, lijkt mij de beste manier.
18-10-2012, 20:58 door Cryptografie
Er spelen zich meerdere factoren mee in het bedrijf.. maar het voor schut zetten pakt voor mij denk ik inderdaad niet goed uit.

Dus ik weet het ook nog niet. Ik ga er over na denken.
18-10-2012, 23:21 door Anoniem
Weet je wat mij ontzettend verbaasd om hier nergens te horen?

Hoe weet zo'n jochie nou dat een OPEN ftp NIET uitnodigd tot inloggen, kijken wat er in is?

Hoe ga je nou aantonen dat met een OPEN ftp computervredebreuk is gepleegd?

Als ik mijn auto openlaat in Scheveningen of hartje Amsterdam, hoeveel mensen zullen mij dan zielig vinden als vervolgens tijdens uren afwezigheid mijn laptop gestolen is?

Let wel, een laptop jatten is wel ervoor zorgen dat ik mijn laptop zelf niet meer heb en vervolgens voorlopig niet kan gebruiken. Hier is WEL een fundamenteel verschil.

Kijk een open platform als het internet wordt niet slechts door bedrijven en professionals bezocht, ook door nieuwsgierig kindertjes waar vanuit de pubertijd die nieuwsgierigheid al gelegitimeerd is.

Think twice, before you proof not to understand your own basis.

@topicstarter; mensen hierboven vergissen zich meestal een beetje. Ik denk niet dat je strafbaar bent. Wel raad ik je aan in te zien dat, hoe onprofessioneel ook, veel bedrijven wel een duwtje in de rug kunnen gebruiken. Probeer via tor netwerk en een gratis mail accountje in een of ander derde wereld land eens contact met ze op te nemen (zip een voorbeeld wat je waarschijnlijk dus al ergens hebt staan, met wachtwoord (bv naam van het bedrijf of directeur; zeg je vervolgens type de achternaam van deze of gene op zus en zo manier om de zip uit te pakken) om ze te helpen. Vraag gerust ook of ze jou een beetje willen helpen met je toekomstplannen, gewoon terzijde of sponsor je sportclub klein beetje of kans op stage ofzo voor jou (slechts wanneer je data niet gelekt hebt).

Reageren ze meteen geschokt als intimiderend / bedreigend? probeer het nog eens, stel daar rustig bij dat het onprofessioneel is om als grote organisatie een open ftp voor gebruik aan te bieden en dan kinderen te bedreigen die vervolgens van de uitnodiging gebruik hebben gemaakt. ze mogen wel wat respect voor je goeie wil hebben omdat je het buiten de media houdt. geef een termijn waarin je antwoord verwacht en stel anders in het kader veiligheidsproblematiek in de commerciele wereld (dus constructief) stappen te moeten ondernemen (niet over uitwijden, welke)

reageren ze vervolgens weer vervelend of moeilijk? direct naar brenno de winter, etc. eventueel een torrent via een open wlannetje in een buurt zonder cameras enzo.

bah, weten veel mensen niet waar ze het over hebben. bah, leven wij in een cultuur waar verantwoordelijkheid steeds meer weggestimuleerd wordt van volwassenen. bah, weten de grootste roepers vaak niet eens te verantwoorden waar ze zich op baseren. BAH. hou dan je kop dicht.
19-10-2012, 10:56 door Anoniem
Door Anoniem: Weet je wat mij ontzettend verbaasd om hier nergens te horen?

Hoe ga je nou aantonen dat met een OPEN ftp computervredebreuk is gepleegd?

Waarom je daar niets over hoort? Omdat het volstrekt irrelevant is.

Hoe dat zo? Nou, omdat braaf en lief de melding geven dat ze zeer gevoelige data publiekelijk toegankelijk laat slingeren, nogal eens tot gevolg heeft dat de ontvanger van zo'n melding (of zijn baas of diens baas of ...) gelijk in de stress schiet en aangifte wegens computervredebreuk gaat doen... tegen de melder.

En dan komt er hopelijk uiteindelijk uit dat de toegang inderdaad publiek was en dat de melder niets onoirbaars gedaan heeft, maar dan ben je al een tijdje en een hele hoop papierwerk en verhoren en scheelkijken door tweevingertypende po-li-ties verder. Wellicht komt er zelfs een rechtert aan te pas. Wil je allemaal niet.

Dat is al zo vaak gebeurd en levert zoveel gedonder op dat je zulke meldingen veel beter niet zelf doet. Dus je tipt iemand die er wel veilig mee weet om te gaan. De beste en makkelijkste bescherming voor de tipgever is die van journalistieke bronbescherming door een integere journalist die iets van de materie snapt.

Het is allicht beter voor het bedrijf als ze niet zo in het nieuws komen, maar zelf naar ze toe stappen is veel te risicovol. Dus doe je dat niet. Simpel.

bah, weten veel mensen niet waar ze het over hebben. [...] BAH. hou dan je kop dicht.

Medicijnmeester, genees Uzelven.
19-10-2012, 12:02 door Cryptografie
Door Anoniem:
Door Anoniem: Weet je wat mij ontzettend verbaasd om hier nergens te horen?

Hoe ga je nou aantonen dat met een OPEN ftp computervredebreuk is gepleegd?

Waarom je daar niets over hoort? Omdat het volstrekt irrelevant is.

Hoe dat zo? Nou, omdat braaf en lief de melding geven dat ze zeer gevoelige data publiekelijk toegankelijk laat slingeren, nogal eens tot gevolg heeft dat de ontvanger van zo'n melding (of zijn baas of diens baas of ...) gelijk in de stress schiet en aangifte wegens computervredebreuk gaat doen... tegen de melder.

En dan komt er hopelijk uiteindelijk uit dat de toegang inderdaad publiek was en dat de melder niets onoirbaars gedaan heeft, maar dan ben je al een tijdje en een hele hoop papierwerk en verhoren en scheelkijken door tweevingertypende po-li-ties verder. Wellicht komt er zelfs een rechtert aan te pas. Wil je allemaal niet.

Dat is al zo vaak gebeurd en levert zoveel gedonder op dat je zulke meldingen veel beter niet zelf doet. Dus je tipt iemand die er wel veilig mee weet om te gaan. De beste en makkelijkste bescherming voor de tipgever is die van journalistieke bronbescherming door een integere journalist die iets van de materie snapt.

Het is allicht beter voor het bedrijf als ze niet zo in het nieuws komen, maar zelf naar ze toe stappen is veel te risicovol. Dus doe je dat niet. Simpel.

bah, weten veel mensen niet waar ze het over hebben. [...] BAH. hou dan je kop dicht.

Medicijnmeester, genees Uzelven.

Ik heb het bedrijf al een mailtje gestuurd, meerdere malen zelfs. Maar ze reageren maar niet op mij. Dus zoals u al zei naar een integere journalist gaan, maar hoe vind ik die? En komt het dan wel of niet in het nieuws? Want ik weet als het in het nieuws zou komen dan zou het de hele wereld rondgaan. En dan denk ik dat ik zelf dan ook hang. Dus hoe gaat het in zijn werk met zo'n journalist? Vertel ik het hem gewoon alles en gaat hij daarmee naar het bedrijf?

Alvast bedankt.

En iedereen anders ook bedankt voor jullie reacties!
19-10-2012, 13:26 door Anoniem
Gewoon bellen zonder nr-herkenning en vragen naar b.v. helpdesk en dan een manager, direct naar of een integriteitsmanager, security officier of zelfs een woordvoerder vragen. Die 'en person' uitleggen hoe & wat, zodat duidelijk is dat 1) er een enorm issue is dat per direct opgepakt dient te worden en 2) jij alleen de beste intenties voor hebt, geen misbruik (of kopieen) van info gemaakt hebt en het daarom direct gemeld hebt. 3) Je er geen ruchtbaarheid aangegeven hebt of gaat geven (imagoschade bedrijf, dus pas op !).

Als je belt en zegt dat je allerlei vertrouwelijke documenten gevonden hebt op een slecht geconfigureerde server, dan gaan ze echt wel direct luisteren hoor. En anders gewoon een mailtje naar de abuse@ en helpdesk@ en info@, inclusieff CC naar een CIO/CTO/iemand van het bestuur. Die contact info is vaak ook publiekelijk te vinden en garandeert dat het niet > dev-null gaat :)
19-10-2012, 13:37 door dawwg
PS: Nooit vragen of ze je kunnen helpen met je carriere, etc, dat kan opgevat worden als poging tot chantage, etc. Als alles heel netjes afgehandeld is, kun je altijd NA AFLOOP nog eens aan die manager of contactpersoon vragen of ze geen leuke stage-plek hebben, etc ... hele andere insteek.
19-10-2012, 20:52 door Cryptografie
Door dawwg: PS: Nooit vragen of ze je kunnen helpen met je carriere, etc, dat kan opgevat worden als poging tot chantage, etc. Als alles heel netjes afgehandeld is, kun je altijd NA AFLOOP nog eens aan die manager of contactpersoon vragen of ze geen leuke stage-plek hebben, etc ... hele andere insteek.

Ja dat ga ik doen dan. Alleen ik wil er wel wat voor terug krijgen, En stage naast mijn school gaat beetje moeilijk worden. Dus ik weet niet of dat kan..
19-10-2012, 22:14 door Cryptografie
Het enigste waar ik nog mee zit, is dat ik het bijna niet kan begrijpen dat ik die informatie heb kunnen krijgen. Wat nou als het blijkbaar wel public was? Daar ben ik bang voor.
19-10-2012, 22:57 door Anoniem
@anomiem (10:56);

als dat irrelevant is, waarom komt het dan waarschijnlijk bij een rechter uit?

Waarom wil je dat niet, wanneer je gelijk hebt? Een zaak? Onze rechtsstaat blijft toch gezond met behulp van jurisprudentie evenals het 'besef' van onze uitvoerende macht? Bedoel je misschien dat je het vertrouwen al kwijt bent?

Zelf naar ze toe stappen is niet alleen wat 'risicovol' (wat tegenvalt, ze hebben per slot zelf een open ftp op het internet geplant en vervolgens daar OOk nog deze informatie instaan), het is ook nog eerlijk en betoond eventueel later bij een rechter van je goede wil; helemaal als nietsvermoedende tiener.

Maak je geen zorgen aub over mij. Je spreekt jezelf meer tegen dan je blijk geeft van kennis van zaken. Ik ben overigens geen medicijnmeester en ik weet niet waar je dat uit haalt. En ik zeg nog steeds, BAH WETEN VEEL MENSEN NIET WAAR ZE HET OVER HEBBEN EN BLEREN ZE ER HEEL HARD OVER. En: wat is dat eigenlijk nooit anders geweest. Rara waar gaat dat allemaal mee samen qua problematiek en welvaartsziektes in onze westerse maatschappij?

Journalisten als brenno de winter kun je al bereiken via google. Ik ben het wel eens met het comment van dawwg. wellicht ben ik wat te zwart wit in mijn procedures. dawwg heeft een goed punt hier.

Contact informatie van journalisten zegt nog niet iets over wat je ze te bieden hebt, let daar goed op. Dat kan dus jou ook niet verweten worden. Het kan wel dat bepaalde journalisten in de gaten gehouden worden en jij met zon contact poging kan opvallen. dat kan wel.

Wees niet zo bang, als je niets expres zelf hebt gedaan om aan die informatie te komen dan behalve een publieke open ftp bezoeken. Je hebt hooguit een tiener uitglijder begaan. Dom bedrijf om uberhaubt een ftp open te zetten dan behalve slechts als een honeypot betreft.
20-10-2012, 00:00 door Bitwiper
Door Cryptografie: Is het dan alsnog computer vredebreuk?
In http://wetten.overheid.nl/BWBR0001854/TweedeBoek/TitelV/Artikel138ab/geldigheidsdatum_19-10-2012 staat onder meer:
Wetboek van Strafrecht: 1.Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
Bij wat jij als "open ftp" beschrijft lijkt het hier niet om binnendringen te gaan, omdat je geen beveiliging doorbreekt (ik vermoed dat je anonymous ftp bedoelt, d.w.z. dat je niet hoeft in te loggen).

Het vervelende van dit soort wetten is echter dat er "in ieder geval" in staat en dat "een technische ingreep" zo duidelijk is als een zwarte modderpoel. Mocht de zaak voorkomen, dan ben je dus overgeleverd aan de grillen van de rechter die de zaak behandelt.

Door Cryptografie: Aangezien ik minderjarig ben weet ik deze dingen niet zo goed.
Kijk uit dat je je carrière niet met een strafblad begint, dan blijven er "later" heel veel deuren gesloten. Voor steeds meer banen heb je een VOG nodig (Verklaring Omtrent het Gedrag, zie http://overheidsloket.overheid.nl/index.php?p=product&product_id=1012383).

In bijv. http://www.juridischloket.nl/vraagenantwoord/politie-justitie/strafblad/vog/Pages/default.aspx kun je lezen onder welke omstandigheden je zo'n VOG niet krijgt; let op de regel "Daarbij tellen ook strafbare feiten mee die u pleegde toen u nog minderjarig was".

Het is natuurlijk spannend om een lekke site te ontdekken, maar uiteindelijk maak je daar niemand gelukkig mee (integendeel). Als je ervoor kiest om als een soort klokkenluider op gebreken te wijzen kan dat een pad zijn waar je nog moeilijk van af komt.

De data op "jouw" ftp site lijkt niet zodanig gevoelig dat dit een schok in de maatschappij teweeg zal brengen, ik vermoed dan ook dat bijv. Brenno de Winter er niets mee zal doen; het patiëntendossiers lekkende ziekenhuis in Gouda vorige week is andere koek. Maar zelfs in dat soort zaken wacht je geen "eeuwige roem" en is het zaak om heel zorgvuldig op te treden en bij voorkeur volstrekt anoniem te blijven. En dat is lastiger dan je denkt.
20-10-2012, 11:55 door WhizzMan
Alles wat jij vind wat niet openlijk op hun website staat zou in theorie vertrouwelijk kunnen zijn. Je zal het in ieder geval zo moeten behandelen tot het tegendeel door dat bedrijf zelf bevestigd is. Als je dat niet doet, ben je zeer waarschijnlijk strafbaar bezig. De ouderdom van de gegevens maakt niet zo uit, het gaat er om dat jij op andermans systeem zit rond te kijken zonder toestemming.

Mailen naar info@bedrijfsnaam ofzo werkt meestal niet. Je zal moeten gaan bellen of via-via de securityofficer moeten proberen te vinden en die rechtstreeks mailen. Helaas is het vaak lastig om volk te vinden die wat aan dit soort lekken kan doen.

Er zijn diverse journalisten die met bronbescherming bedrijven die lek zijn benaderen. Brenno de Winter is al genoemd, maar bijvoorbeeld bij Tweakers zitten ook mensen die dit wel eens doen.

"Er zelf iets aan over houden" zal waarschijnlijk niet lukken. Als je geluk hebt kan de journalist voor jou regelen dat je niet vervolgd wordt en kan je zelf kontakt opnemen met het bedrijf. Dan kan je in ieder geval deze "vondst" op je CV zetten. Wat het bedrijf jou als beloning geeft is aan dat bedrijf. Ze zijn je wettelijk niets verschuldigd, want er is geen contract afgesloten en wettelijk "vindersloon" bestaat niet voor dit soort dingen.

Whitehatten is voor veel mensen te ondankbaar werk. Je loopt risico's op vervolging en de waardering en beloning is meestal niet in verhouding met het werk of de uitkomst van dat werk. Ik denk zelf dat de grootste "beloning" die je er uit kan krijgen het idee is dat je wat goeds doet voor de maatschappij en dat je het eventueel op je CV kan zetten. Dat levert soms meer kans op een leuke en/of beter betalende baan op in de toekomst.

Volgens mij wordt het tijd dat je het of laat rusten, of actie onderneemt. Wellicht dat we binnenkort nog wat op een website lezen over een openstaande server bij een groot Nederlands bedrijf?
20-10-2012, 12:38 door Anoniem
Wat misschien interessanter is. Klopt de informatie die er op staat wel. Of is het niet een IDS/Honeypot? Om te voorkomen dat je in de shit raakt (strafblad enzo met gevolg van meer dan 50% kans om geen goede baan in de IT meer te vinden).

Er zou een meldpunt komen (die is er ook geweest) waar je dit kon melden, maar dat is ook weer verdwenen. En let op:
1. Als het een Honeypot is, dan zit je nu al in de shit als je te vaak daar komt en je de boel leeg trekt. Een Honeypot wordt gebruikt om "inbrekers" te vangen.
2. In Nederland kan je beter geen "klokkenluider" zijn, dan ben je gewoon het lulletje met alle gevolgen van dien.
3. Als je niet in staat bent om anoniem de site te benaderen (dus via Tor en andere omwegen - Meerlaags toegangs strategie - Dus niet alleen op Tor vertrouwen) handen af.
4. Als je specifieke inloggevens gebruikt "dus anders dan anonymous als account" dan ben je strafbaar, want dan geef je je uit voor een ander, en dat is in NL verboden en strafbaar.

Het kan namelijk zijn dat ze mensen op het oog hebben om te "pakken" en dat je toevallig daar terecht bent gekomen. Het enige wat je zou kunnen doen is hier een bericht posten met bijvoorbeeld de inhoud: Klopt het dat ftp://........ (sitenaam) open staat voor anonymous access en dan pakken professionele mensen het wel op.
20-10-2012, 13:27 door Anoniem
Echt niet hoor whizzman. als die informatie vertrouwelijk is, is het bedrijf in gebreke gebleven met diezelfde informatie in een publiek benaderbare open ftp te zetten. ik kan geen vertrouwelijke word op mijn (open) httpd deponeren en vervolgens diegene die het download zomaar even bestraffen om hoe ie er mee omgaat. zo gemakkelijk werkt dat nu ook weer even niet.

Het is uitermate gevaarlijk zo'n angstcultuur te creeren en ook procedures omtrent vog (volkomen onzinnig, gemakkelijk te omzeilen en daar kijkt dan zog. niemand naar) is voor mij een reden zelfs te weigeren mijn inhoud aan bedrijven te geven. vooral het stuk waar niemand naar effectiviteit schijnt te kijken, realisme en meer van dat soort dingen. en dan vervolgens wel om het hardst anderen verplichten. zoals een bepaalde zeer intelligente figuur me dat laatst omschreef; het fascisme is weer in opkomst. De verantwoordelijkheid (bijvoorbeeld) voor eigen gebrek aan bij anderen deponeren. Lachen over andermans ellende en dit aan je eigen status relateren. Toen de beste man me dat vertelde dacht / hoopte ik dat het nog ietwat overdreven is, inmiddels weet ik beter. Mede dankzij 'feilloos' reageren van onze trias politica op punten waar dat niet eens nodig is, waar het wel nodig is - laten we daar maar even niet over uitwijden hier. Dat komt voor mij binnenkort in een hoger beroep, waar ik het uit eigen belang liegen bij de rechter om er zo goed mogelijk vanaf te komen kan gaan oplossen voor mijn land. Wat waarschijnlijk niet eens meer gaat lukken, voor diegene die ook zo graag de gemakkelijke weg kiest - dank daarvoor.

Het is ook heel gemakkelijk, evenwel niet zo effectief gebleken, voor een collectief (als een bedrijf/organisatie) om in een padstelling naar een individu te wijzen. Daarnaast betoond het bestuurlijke incompetentie. We moeten zoiets maar willen met elkaar, in een kenniseconomie en vrije samenleving.

Het gaat erom dat anderman zijn systeem beschikbaar stelt voor toegang zonder toestemming. En het gaat er natuurlijk ook wel om dat je daarmee als 'toevallige bezoeker' niet gaat chanteren en intimideren. kijk, ik ben wel met mensen eens als je meteen dat bedrijf door de stront gaat trekken voor de lol moet je niet wakker liggen van een reputatieschadestaat/claim of meer van dat soort dingen.
20-10-2012, 14:34 door Anoniem
als dat irrelevant is, waarom komt het dan waarschijnlijk bij een rechter uit?

Hoezo waarschijnlijk? Je legt me woorden in de mond. Doet dat eens niet, heerschap betwetert.

Ik had het erover dat je het risico niet wil lopen zelfs maar dat traject te beginnen. En ik ben niet de enige die hier op wijst.

De praktijk leert namelijk dat de reflex om de melder te hangen het sterkst is bij tenten die er zelf de grootste bende van gemaakt hebben. Zoals, kennelijk, deze. Dus dek je jezelf in, in plaats van dat je naïef gaat hopen dat anderen, die al niet met hun eigen data om konden gaan, wèl ineens het licht zien als het om jouw claims van goede bedoelingen gaat.

Maar hee, als je graag dom schreeuwt, dan moet je dat maar doen. Niet dat ik je dan nog serieus neem.
20-10-2012, 17:15 door Bitwiper
Goede reacties met argumenten van Whizzman en Anoniem@13:27!

Echter, bekijk het eens vanuit het perspectief van de eigenaar van de site (volgens Cryptografie één van de grootste bedrijven van Nederland, en in mijn ervaring hebben die meer juristen dan ICT beheerders in dienst). Ik ga in deze post dus een beetje "advocaat van de duivel" spelen.

Dat bedrijf heeft ooit een FTP site in het leven geroepen om bestanden met resellers uit te kunnen wisselen. Stel dat die resellers daarop moesten inloggen maar dat op enig moment, t.g.v. een mensenlijke fout, anonieme FTP per ongeluk is opengezet zonder dat men zich heeft gerealiseerd. Of dat tijdelijk anonieme FTP mogelijk is gemaakt maar men vergeten is dit weer dicht te zetten.

Als er op het web geen links naar die FTP site worden geadverteerd (vooral als deze via Google niet te vinden zijn) dan zal een advocaat van het bedrijf al snel argumenteren dat je de sitiatie kunt vergelijken met een huis waarvan men vergeten is het raam dicht te doen. Cryptografie ontdekt bij toeval (of door het scannen van Internet IP-adressen op openstaande poort 21) dat dit raam openstaat, kruipt naar binnen en maakt (tijdelijke?) kopiën van de documenten die hij daar aantreft (om documenten te kunnen inzien zullen deze via FTP naar zijn PC zijn gedownload, of hij ze daarna bewaart weet ik niet).

Nu lees ik ook:
Door Cryptografie op 2012-10-19 20:52: Alleen ik wil er wel wat voor terug krijgen
Dat is een gevaarlijke opmerking. Juristen van de tegenpartij zullen dit onmiddellijk als een "zakelijk belang" o.i.d. uitleggen. Ik neem aan dat Cryptografie niet over bewijsmateriaal beschikt (bij voorkeur een ondertekend schrijven) waarin het betreffende bedrijf hem heeft gevraagd een security assessment uit te voeren op de infrastructuur van dat bedrijf.

Met andere woorden, een anoniem persoon die zich op security.nl "Cryptografie" noemt loopt om ons bedrijf op zoek naar openstaande ramen, vindt er één die wij perongeluk open hebben laten staan, kruipt naar binnen, maakt kopiën van vertrouwelijke documenten en begint ons nu te chanteren...

Wat wil Cryptografie hiermee bereiken? Aantonen dat er fouten worden gemaakt waardoor vertrouwelijke informatie "op straat" ligt? N.b. het gaat hier niet om een gevonden USB stick; de "technische ingreep" uit het wetboek van strafrecht zou best wel eens van toepassing kunnen zijn indien naar openstaande poort 21 is gezocht. Het wordt heel lastig als het bedrijf over logging beschikt van het scannen op die poort in haar IP-range vanaf het thuis-IP-adres van Cryptografie.

Een rechter zou wel eens mee kunnen gaan met de argumentatie dat zulk onderzoek in het algemeen (uit eigen beweging, d.w.z. zonder opdracht van het bedrijf zelf of een onderzoekjournalist) helemaal niet nodig is, omdat het gangbaar is dat dit soort fouten door bedrijven worden gemaakt, en de acties die Cryptografie naar aanleiding van zijn vondst meent te moeten ondernemen, disproportioneel zijn.

Indien het daarbij ook nog eens om nauwelijks vertrouwelijke gegevens gaat vervalt tevens het argument van journalistieke waarde van de "ontdekking". Dat degradeert Cryptografie tot een soort McKinnon (zie http://www.security.nl/artikel/43582/1/%27McKinnon_was_niet_eens_goed_in_hacken%27.html) die in eigenbelang rondstruint in andermans bezittingen.

Cryptografie komt op mij over als iemand die z'n hart (nog) op de goede plaats heeft en in zijn (of haar?) carrière nog veel goeds kan doen voor Nederland. Geef je vondst door aan het bedrijf maar laat het rusten als ze er niets mee doen. Fight the good fight, maar gooi niet je carière weg met zinloze uitstapjes waarin je je gelijk probeert te krijgen!
20-10-2012, 20:14 door Cryptografie
Stel dat die resellers daarop moesten inloggen maar dat op enig moment, t.g.v. een mensenlijke fout, anonieme FTP per ongeluk is opengezet zonder dat men zich heeft gerealiseerd. Of dat tijdelijk anonieme FTP mogelijk is gemaakt maar men vergeten is dit weer dicht te zetten.

Wat ik wel raar vind is dat er een welkomst bestand dan staat op de ftp server met: welkom op de FTP server van: ******
Dus ik weet niet of dat voor de resellers wie weet waren. Dat is namelijk wel een goede :)

Indien het daarbij ook nog eens om nauwelijks vertrouwelijke gegevens gaat vervalt tevens het argument van journalistieke waarde van de "ontdekking". Dat degradeert Cryptografie tot een soort McKinnon (zie http://www.security.nl/artikel/43582/1/%27McKinnon_was_niet_eens_goed_in_hacken%27.html) die in eigenbelang rondstruint in andermans bezittingen.

Zou u mij kunnen vertellen wat wel vertrouwelijk is, waar ik naar zoeken moet? Want ik was even bezig en toen kwam ik al 60 duizend file's tegen.. Dus mijn idee was om alles te kopiëren en dan uit te zoeken. (niet voor blackhat doelen).

Cryptografie komt op mij over als iemand die z'n hart (nog) op de goede plaats heeft en in zijn (of haar?) carrière nog veel goeds kan doen voor Nederland. Geef je vondst door aan het bedrijf maar laat het rusten als ze er niets mee doen. Fight the good fight, maar gooi niet je carière weg met zinloze uitstapjes waarin je je gelijk probeert te krijgen!

Toevallig ken ik wat mensen die bij het bedrijf werken. Zou ik daar contact mee op kunnen nemen en het probleem uitleggen zodat hun er verder mee kunnen gaan? Of is dat ook nog te riskant.. Verder probeer ik mijn hart op de juiste plaats te houden, wat in het verleden niet zo was. Je zult het geloven of niet maar ik kwam in de Database van Wall-ie Kaart en wou dat gebruiken. Gelukkig eigenlijk is Wall---ie overgenomen en kon ik verder niks kwaads doen.

Dat waren in mijn zwarte jaren. Nu hou ik me meer bezig als witte hoed.
21-10-2012, 19:11 door S-q.
Even een "bij elkaar gewinkelde"samenvatting;

Ik ken een beroemde website,
allemaal contracten, gegevens van resellers en digitale handtekeningen en certificaten vinden en nog meer
Is 1 van het grootste bedrijf van Nederland.
In mijn ogen belangrijke gegevens
Een heleboel presentaties via Powerpoint
als dit geheim is zoals jij zegt? dat het dan wel op wat tv-zendertjes terecht komt
Het is een super groot bedrijf.
Het is denk ik zelfs een miljarden bedrijf
Want ik weet als het in het nieuws zou komen dan zou het de hele wereld rondgaan.
Het enigste waar ik nog mee zit, is dat ik het bijna niet kan begrijpen dat ik die informatie heb kunnen krijgen.
Wat nou als het blijkbaar wel public was? Daar ben ik bang voor.
waar ik naar zoeken moet
toen kwam ik al 60 duizend file's tegen..
Dus mijn idee was om alles te kopiëren
Toevallig ken ik wat mensen die bij het bedrijf werken [opmerking]: "sarcasmemode: (??????? Oh ja??)

'Einde lijstje"

Nog steeds bezig
Weet de aandacht vast te houden
Vist hier en daar naar aanwijzigen voor het uitvoeren van verdere aktiviteiten die een verband met misdrijf inhouden.

Iemand nog vragen/opmerkingen?

Voor mij -1
21-10-2012, 20:47 door Cryptografie
Door S-q.: Even een "bij elkaar gewinkelde"samenvatting;

Ik ken een beroemde website,
allemaal contracten, gegevens van resellers en digitale handtekeningen en certificaten vinden en nog meer
Is 1 van het grootste bedrijf van Nederland.
In mijn ogen belangrijke gegevens
Een heleboel presentaties via Powerpoint
als dit geheim is zoals jij zegt? dat het dan wel op wat tv-zendertjes terecht komt
Het is een super groot bedrijf.
Het is denk ik zelfs een miljarden bedrijf
Want ik weet als het in het nieuws zou komen dan zou het de hele wereld rondgaan.
Het enigste waar ik nog mee zit, is dat ik het bijna niet kan begrijpen dat ik die informatie heb kunnen krijgen.
Wat nou als het blijkbaar wel public was? Daar ben ik bang voor.
waar ik naar zoeken moet
toen kwam ik al 60 duizend file's tegen..
Dus mijn idee was om alles te kopiëren
Toevallig ken ik wat mensen die bij het bedrijf werken [opmerking]: "sarcasmemode: (??????? Oh ja??)

'Einde lijstje"

Nog steeds bezig
Weet de aandacht vast te houden
Vist hier en daar naar aanwijzigen voor het uitvoeren van verdere aktiviteiten die een verband met misdrijf inhouden.

Iemand nog vragen/opmerkingen?

Voor mij -1



Oké, wow -1 erg zeg. Nee serieus deze reactie hoefde niet geplaatst te worden.
22-10-2012, 00:43 door Anoniem
Waarom stuur je niet gewoon een briefje naar dat bedrijf over de post en laat het daarbij?
22-10-2012, 01:24 door Anoniem
anoniem@Za 14:34;

Ik leg je helemaal geen woorden in de mond. Je meent, net als ik, inhoudelijk te moeten reageren.

Daar geef je al duidelijk blijk van het eea. Laat staan hoe je mensen tot weet ik het wat voor titels veroordeeld. Het wordt hilarisch.

Dom schreeuwen, tenten die er de grootste bende van maken?

LOL, veel succes ermee.

even technisch inhoudelijk;

mijn argumenten zijn ALLE gebaseerd op de nederlandse wet, ken je die niet? blijkbaar, kennelijk, wat voor woord we er ook voor gebruiken.

mijn argumenten zijn realistisch, al vele malen eerder betoond in o.a. jurisprudentie.

waar is jou argument eigenlijk in dat hele stukkie?

tenten die schreeuwen en er bende van maken? IN EEN WOORD: TOEPASSELIJK :D

LOL nu snap je me wel he, veel succes ermee :D
22-10-2012, 03:25 door AA_CS
Door Cryptografie:
Door S-q.: Even een "bij elkaar gewinkelde"samenvatting;

--knip--

Voor mij -1

Oké, wow -1 erg zeg. Nee serieus deze reactie hoefde niet geplaatst te worden.

Hij heeft toch gelijk? Je stelt een vraag en krijgt daar vervolgens antwoord op. Uit niets blijkt dat je iets met die antwoorden gedaan hebt. Je blijft alleen maar vaag en komt met "sensatie-zinnen" die S-q. noemde.
Stuur de relevante info (desnoods annoniem via tor en/of een wegwerpadres) door naar een journalist. Het liefst één die een beetje thuis is in de materie zoals Brenno, maar voor "sensatie" kan je ook de telegraaf o.i.d. kiezen. Ga iig niet zelf de files kopiëren, dat dient geen enkel doel.
Geef eens wat meer informatie over de voortgang als die er is. Mocht je het hele gebeuren min of meer uit je duim gezogen te hebben (waar het steeds meer op begint te lijken), geef dat dan gewoon toe. Dat scheelt anderen weer moeite jou te beantwoorden.
22-10-2012, 08:32 door Anoniem
"Dat is het gene wat ik wou weten. Het is wel oudere Data.. Wat ik ook al zei. Is het dan alsnog computer vredebreuk?"

De ouderdom van de data is volslagen irrelevant, computervredebreuk is en blijft een misdrijf.

"Aangezien ik minderjarig ben weet ik deze dingen niet zo goed."

Ook als minderjarige hoor je de wet te kennen, al is de straf die je bij overtreding krijgt iets lager.

"Zou u mij kunnen vertellen wat wel vertrouwelijk is, waar ik naar zoeken moet? Want ik was even bezig en toen kwam ik al 60 duizend file's tegen.. Dus mijn idee was om alles te kopiëren en dan uit te zoeken. (niet voor blackhat doelen)."

Je beseft je dat je indien je opgepakt wordt voor hacken, je jezelf niet kan verbergen achter de stelling dat je de informatie niet voor blackhat doelen wilde gebruiken niet zo bijster relevant is ? Immers heb je op dat moment de wet al overtreden.
22-10-2012, 17:57 door Cryptografie
Door Anoniem: "Dat is het gene wat ik wou weten. Het is wel oudere Data.. Wat ik ook al zei. Is het dan alsnog computer vredebreuk?"

De ouderdom van de data is volslagen irrelevant, computervredebreuk is en blijft een misdrijf.

"Aangezien ik minderjarig ben weet ik deze dingen niet zo goed."

Ook als minderjarige hoor je de wet te kennen, al is de straf die je bij overtreding krijgt iets lager.

"Zou u mij kunnen vertellen wat wel vertrouwelijk is, waar ik naar zoeken moet? Want ik was even bezig en toen kwam ik al 60 duizend file's tegen.. Dus mijn idee was om alles te kopiëren en dan uit te zoeken. (niet voor blackhat doelen)."

Je beseft je dat je indien je opgepakt wordt voor hacken, je jezelf niet kan verbergen achter de stelling dat je de informatie niet voor blackhat doelen wilde gebruiken niet zo bijster relevant is ? Immers heb je op dat moment de wet al overtreden.

Inderdaad, je hebt gelijk! Dan ga ik maar even Naar een journalist.

Hartstikke bedankt allemaal, nu weet ik dat ik naar een journalist moet reporten en hoe alles in zijn werking gaat in het echte leven.

Ik mail de journalist, en hopelijk komt er iets uit! Zoals jij al zei verbreek ik anders wel de wet met file's kopiëren, wat ik niet wil. Dus bedankt, dan is dit de beste optie voor wat ik wil en kan doen.

Groeten!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.