Dus om de stempel "Hacker" te krijgen moet je tegenwoordig gewoon goed zijn met je zoek opdrachten? Vandaar dat zoveel "hackers" in de huidige generatie opgroeien -_- .

"De hacker wilde zijn ontdekking naar eigen zeggen met het net opgerichte Nationaal Cyber Security Centrum coördineren, maar vond daar geen gehoor. Ze zijn niet open genoeg en vertelden me niet wat ze met mijn informatie gingen doen en wie er met de eer zou strijken."

Geen gehoor vinden is iets heel anders dan ontevreden zijn over het antwoord. Het CSMC kan dergelijke informatie wel oppakken, maar kan vanwege confidentiality van de desbetreffende bedrijven moeilijk namens hun terugkoppeling geven aan de melder.

Het CSMC kan de informatie doorgeven, wat vervolgens met de informatie gedaan wordt, dat zal je de bedrijven die de systemen hosten moeten vragen, het CSMC is immers -niet- hun woordvoerder en beschikt in principe -niet- over die informatie.

Volgens mij is hier sprake van onrealistische verwachtingen.

"Dus om de stempel "Hacker" te krijgen moet je tegenwoordig gewoon goed zijn met je zoek opdrachten? "

Jups, en de belangrijkste vraag wanneer je dit meldt als "hacker" (sic) is de vraag of je wel genoeg met de eer kan strijken voor het uitvoeren van die zoekopdracht.......

lol, ik neem aan dat jullie beide een grapje maken en niet zo kortzichtig zijn ....

In de tekst wordt niet gesproken over een Hack, wel wordt er gesproken over een Hacker maar in deze context kan het net zo goed een putjesschepper zijn.....

de man heeft eerst de kenmerken van een bepaalde systeem vastgelegd en vervolgens middels de zoekfunctie de conclusie kunnen trekken dat de systemen open staan. Natuurlijk is dit een simpele handeling maar schijnbaar was het bewust zijn daar nog niet van aanwezig....

Moeilijk is het niet maar het lijkt net alsof jullie het incident in het belachelijke trekken. Als het zo makkelijk kan verwacht ik eigenlijk volgende week nog een zelfde publicatie maar dan ondersteund vanuit jullie kant......

wat betreft CSMC hoop ik dat het een succes gaat worden, maargoed voorgaande voorbeelden behoren allemaal tot een dikke faal ...

@NTISEC


Ik heb aan het @NCSC_NL Gemeld wat ik wel heel erg gevaarlijk vond. Het gaat dus niet alleen om de zoekopdracht alleen. Dat is niet het probleem. Het probleem is dat veel #SCADA infrastructuur die wordt gebruikt in processen niet zijn gemaakt om aan het web te hangen, en veel #exploits , #backdoors en #0days bevatten. De invloed van deze systemen variëren van het sturen van processen in een koekjesfabriek, tot het groen sein geven en wissels omzetten van de NS, danwel al het gas van slochteren naar het binnenhof pompen.

Deze systemen blijken zo lek als een mandje. En ik beweer dat ik daar in kan als het moet!

Maar dat maakt mij in nederland een Terrorist ook al ben ik alleen een klokkenluider.

Deze systemen horen niet #webfaced danwel aan het openbare internet gekoppeld te zijn.!
TERUG MET DIE OUDE VERTROUWDE #AIRGAP =dus losgekoppeld van het internet.

Ik heb dingen gemeld aan het @NCSC_NL over ondermeer:

#GASUNIE -> Krijg te horen dat dit geen gevaarlijk systeem was (BEWIJS=GEEN)
#SCHIPHOL -> Niets op terug gehoord
#Minesterie van Verkeer & Waterstaat -> Niets op terug gehoord
#Riolerings Webscada systeem van de riolering in #DOETINCHEM -> Niets op terug gehoord
#Balast nedam -> Niets op terug gehoord.
#Gaspompstation/Gaswinning CANADA ->Niets op terug gehoord

Ik ben nu dus begonnen met het openbaar maken van legale #SCADA problemen in Nederland alleen maar om aan te geven wat voor een werkelijk gevaar wij lopen.

De systemen die ik heb laten zien daar loop je legaal binnen en kun je slagbomen openen en dichtdoen. Verlichting aan en uit, Kachel op stand 10 zetten en alarmsystemen in of uitschakelen.

Niets ernstig nog.
Moet het dan eerst misgaan voordat dit wordt opgepikt danwel openbaar eens goed wordt onderzocht?

Met vriendelijke groet,

contact via twitter @ntisec

@ntisec lijkt me we belangrijk vanwege jullie laatste update en mijn kijk op de communicatie met ncsc!

shodan is inderdaad best aantrekkelijk.Neem de dreambox(sat receiver) voor velen bekend maar voor veel mensen die hem zelf hebben weten ze niet eens dat ie aan het net hangt.
perfect om virussen en dergelijke (kinderporno,etc,ec) te verstoppen: ipv van eerst een site te exploiten en hem daar te verstoppen) met HD's tot 500 gb.
Shodan is meer dan alleen ......
gr..

Er zijn zoveel apparaten!:)

ik weet niet of jij weet hoe het werkt,. maar Reconnaissance(informatie op doen) is stap één bij een goed georganiseerde hack.(en of je dat nu doet via phishing,the net, social engeneerig maakt niet uit)
en als je bij die stap al binnen komt of kan komen, sla je een flink aantal stappen over imo.

gr
...

Ik ben geen voorstander van dit soort disclosures en al helemaal niet als je dat als klokkenluider uit frustratie doet omdat het je niet snel genoeg gaat en/of niet weet of je wel met de eer kan strijken. Wat dat betreft ben je dan nmm geen klokkenluider maar iemand die uit eigen belang de disclosure doet ten kosten van belanghebbenden die machteloos afhankelijk zijn van een eigenaar van zo'n systeem. Ik zal dat verder uitleggen:

Het valt natuurlijk eveneens niet goed te praten dat dit soort systemen, met ook nog eens prehistorische services en bijbehorende beveiliging, publiek aan het internet hangen.

Dat zegt al veel over de eigenaren van de systemen. Daar kan je met de beste wil niet van verwachten dat ze snel reageren of zelfs maar actie ondernemen. Ook al zou je dat als klokkenluider maar al te graag willen, of als veiligheidsbewust persoon vinden dat dat eigenlijk moet.

Hele volksstammen eigenaren zijn niet competent wat betreft het hebben en onderhouden van dit soort systemen. Ze zijn niet op de hoogte van wat ze in huis hebben, weten hooguit wie er mee kan werken, hebben geen flauw idee welke risico's er aan de omgeving kleven omdat ze er nooit naar gekeken hebben of zelfs nooit aan gedacht hebben dat er risico's kunnen zijn. En middelen om escalaties op te vangen zijn er vaak niet, omdat ze geen escalaties verwachten of het niet gewend zijn.

Denk je dan dat je met dit soort disclosures die eigenaren wakker maakt? Of dat ze erdoor verantwoordelijkheid nemen? Wie je er werkelijk direct mee treft zijn de personen die afhankelijk van de systemen zijn!!! Personen die vaak geen enkele invloed hebben op die eigenaren hebben, volledig afhankelijk zijn zonder te beseffen welke risico's ze lopen. Wil je dat op je geweten hebben? Kennelijk. Ben je daardoor een terrorist? Nee, maar je kan je wel afvragen waarom je niet medeverantwoordelijk zijn zijn als er nu wat gebeurt. Je kan iig nooit beweren dat het zeker niet mede je schuld is als er nu wat zou gebeuren.... Wat dat betreft verdien je helaas inderdaad wat eer.

Het "probleem is" voor de gemelde bedrijven dat
- ze zizchzelf kompleet afhankelijk hebben gemaakt van toe-levenanciers
- er zelf dus inhoudelijk de b***** verstand van hebben
En dus.. het fixen hen weer extra tijd, inspanning en dus geld kost

En geld zijn de meeste bedrijven niet happig op om dat uit te geven in deze barre economische tijden. Zolang het draait,draait het en niemand klaagt erover. En als het fout gaat, spelen ze weer een speleltje dat ZIJ er niet voor verantwoordelijk zijn, het niet wisten mentaliteit

Welcome to the Corporate Mindset waar alles draait om maximizing profits (over de ruggen, lijken van anderen).