Tijd voor full disclosure zou ik zeggen!

Heb je het nu over werkelijk een probleem, of een hypothetische vraag?

Wat verwacht je nu? Dat ze je direct terug bellen? Of dat ze je dagelijks op de hoogte houden?
Heb je daarna nog een keer met ze contact op genomen? Welke Email adres heb je gebruikt?

Wat verwacht je van hun? Dat ze direct jou terug bellen? Ze sturen het hoog uit door naar het NCSC.

Lees bevestiging zegt bij een extern systeem, niet dat ze het bericht ook werkelijk gelezen hebben. Lees en ontvangst bevestigingen doen tegenwoordig niet zo veel meer en zijn zeker niet betrouwbaard.

Verwacht je nu een persoonlijk bloemetje? Die gaan hier ook helemaal niet over. Je mag blij zijn, als die je email lezen.

Hij volgt dus de juiste procedure.

Ze moeten je toch een bevestiging sturen?



Je moet de juiste personen hiervoor aanspreken. Zoals ik dat die is dat cert@ncsc.nl.


Wat wil je nu exact bereiken? Je zet hier diverse informatie in, maar cruciale informatie laat je weg. Bijvoorbeeld tijdslijnen. Wie je gemailed hebt.

Het NCSC is het aanspreek punt.... die moet je hebben, rest is buiten de standarden omwerken, en dan kan je dit verwachten.....

Hoe lang geleden is dit gebeurd? Een dag? Een week? De oplossing van security lekken die via het responsible disclosure traject zijn ingeschoten laat wel vaker weken tot maanden op zich wachten. Wat had je precies verwacht, afgezien van een bevestiging dat je bericht is ontvangen? De zin "Dank voor het verantwoord melden van de security bug, we gaan ermee aan de slag. Als we meer informatie hebben houden we u op de hoogte."? Dan denk je dat zinnetje er toch bij. Als ze over een maand of 3 à 4 nog niets hebben gedaan, kun je altijd nog over gaan op full disclosure. Ambtelijke molens draaien nou eenmaal niet zo snel.

Uit de leidraad Responsible Disclosure van het NCSC [1]:Het staat er niet letterlijk in, maar daar hoort m.i. bij dat als het NCSC niet precies weet met welke organisatie zij contact moet zoeken, die organisatie niet kan bereiken, of als de organisatie geen contact wenst (met NCSC en/of melder), dat het NCSC dit ASAP doorgeeft aan de melder.

[1] https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

Hé, hé, hé, alle organisaties moeten wel bestaansrecht houden hoor tanta Anna.
Als alles snel opgelost wordt, raken straks een heleboel mensen hun baan kwijt.
Maar om burgers tegemoet te komen nemen ze al niet meer op met "hallo met Mark, Ron, Stef, Jeanine, etc.: "Hoe kan ik u van het kastje naar de muur sturen met een kluitje in het riet?" Want dat is natuurlijk onbeleefd.
Dus zeggen ze dit al een hele poos niet meer, maar doen ze het gewoon.

Volgens mij klets je uit je nek.. Een simpele whois naar whois,ripe.net geeft dit terug:

inetnum: 159.46.0.0 - 159.46.255.255
netname: JUSTNET
descr: Ministerie van Justitie

Dus dit is openbare info.

Maar een koppeling met gemeentehuizen en id-kaarten? Op Justitienet? Dat lijkt me meer wat voor Binnenlandse zaken.

En als je een backdoor vind in een overheidsnetwerk dan reageert de NCSC niet zo lauw.. Er zijn genoeg mensen die HEEL GRAAG willen meekijken in de systemen van Justitie (zoals criminelen, de NSA, enzovoort). Dus die backdoor kan je voor goed geld verkopen als de NCSC er niks mee doet. Tenslotte is het rapporteren van een backdoor niet strafbaar.. dat is het plaatsen alleen.

Juist ja.. Bezigheidstherapie van (Not My! Problem) kastje-muur ambtenaren in al die (nu al meer dan 15) overheids zogenaamde Cyber-Security organisaties en advies commissies, die miljoenen cadeau krijgen zonder daar tastbaar resultaat voor te moeten leveren. ? Melkertbaantjes.

RDP die weken/maanden op zich laat wachten, is domweg Zinloos.

1e contact er over was ong 3 maanden geleden.

cert@ncsc.nl heeft een CC gekregen.

Justnet is bijzonder breed direct & indirect gekoppeld aan allerlei netwerken. Vraag me af of ze zelf nog een plaatje kunnen tekenen er van? MinBZ, Gemnet, Fiscus, de Veiligheid-Regio's, enz, die vallen binnen 't plaatje.
Dat 't te waanzinnig is om te Geloven, is helaas 't resultaat van die alles maar aan elkaar blijven knopen gekke-kooien-ziekte. De zelfrechtvaardiging van de security officers is iets als "ze zijn gescheiden van elkaar!! want.. er staat toch een firewall tussen", en dat soort ambtenaren logica.

De backdoor zit in hele dure firewalls die geconfigureerd zijn door de leverancier om zo lekker gemakkelijk remote aanpassingen te kunnen doen zonder dat de eigenaar daar iets van merkt.
Bomen 't bos niet meer zien / Blind vertrouwen in de "cyber security" industrie / niemand die 't hete hangijzer nog durft aan te raken.
:~(...

Dikke Knuffel
*Tante anna

Begrijp ik het goed en gaat het om een openstaande RDP poort ? (tcp 3389)

Da's toch geen backdoor joh, maar een nog steeds populaire lazy Mickeysoft admin feature. En.. komt in de system logs.

Backdoor: nl.wikipedia.org/wiki/Achterdeurtje


Maar stel:
Als een producent van firewalls(met N-IPS, deep packet traffic analysis, authentication trust relationship met de ms-AD, enz) van ongeveer 30.000,- .. 50.000,- per stuk voor de enterprise class, en nog duurder voor carrier class. Het voor development handig vindt om allerlei extra features en debug data er in te duwen om development, debugging en testing zo eenvoudig mogelijk te maken.
Maar die features er niet uit haalt Voor de Productie release versies naar buiten gaan.
Dan heb je een hele dure "next generation firewall" met heeeel veeel extra functionaliteit die er Nooit in zou mogen zitten bij een "security" device. Want Jail-break'n is dan bijv ook een fluitje van een cent.
Als ze die zelfde software dan ook nog als VM versie op 't internet gooien, dan is het vinden van "issues" met behulp van bijvoorbeeld Hex-Rays IDA Pro in een firewall die (oh how jolly) op Linsux toyware loopt, wel erg eenvoudig gemaakt. Of niet? "Leuker kunnen we het niet maken, wel makkelijker"
En als dan blijkt dat er features in zitten die ook als bijzonder sluwe backdoor gebruikt worden. De rest kan men aan de wilde fantasietjes van black-hat hackers overlaten, die weten er meestal wel munt uit te slaan.

Als zwaar overbetaalde incompetente mensen die voor MinVenJ projecten doen het dan ook nog stoer vinden om er over te publiceren dat zij oh zo gelukkig zijn met 't locale ICT boertje die hun specifiek dat soort apparaten hebben doorverkocht, incl wat details en naam en functie titel van MinVenJ project manager.
En tevens MinVenJ 't nooit de moeite waard vindt om ook maar eventjes te Controleren (P.D.C.A. !?) of ICT boertjes wel/niet de eigen beveiliging daadwerkelijk op orde hebben alvorens daar mee zaken te gaan doen en vertrouwelijke informatie uit te wisselen (ICT boertjes mogen waar ze maar willen een ISO27001 certificaatje Kopen, en dat is dan "voldoende zekerheid" voor deze overheid, blijkbaar).
ICT boertjes geilen op remote access, en wat firewall producenten nog veel meer omdat die tevens dwingende verplichtingen hebben van hun eigen overheid die bijzonder nieuwsgierig is zoals we nu toch allemaal weten.

Dan heeft dus MinVenJ zelf de voorkeur voor gemakzucht keuzes, ten kosten van de veiligheid van land en volk. En daarbij ook nog alle nodige info zelf op 't publieke internet gesmeten, zonder daar ook maar even bij stil te staan of dat wel mag volgens De beveiliging richtlijnen, voorschriften, wetten en BIR/VIR.
En ~~~~> NCSC, Cyber Security Raad, DCC, enz...enz.. weten er nu al maanden van, en doen allemaal alsof hun neus bloedt, onder 't motto "If we don't touch it first, it will not become our problem".
Net als NVWA al lang wist van de giftige eieren en domweg met een bloed-rood WC-papiertje in de neus ontkennend bleef doorlopen. Oh ja.. NVWA valt onder Economische Zaken, dus inherent belangenverstrengeling. Net als NCSC onder MinVenJ valt, en Cyber Security Raad bestaat uit belangenvertegenwoordigers ipv onafhankelijke vakmensen, en die zeker dus allen never nooit niet de hand zou willen bijten die hun pluche baantjes met miljoenen per jaar financiert.


Nou, waar blijft toch die dikke warme fijne knuffel, voor volk en vaderland l?
*Tante anna

En TO is hiervoor een stuk beter, CC is ter informatie. Ik weet niet wie je daar nu geselecteerd had, maar blijkbaar misschien een verkeerde? De overheid is best groot.....

Je weet ook dat dit de externe IP range is? Wat achter zo'n publieke IP range zit dan van alles zijn. Zelfs totaal gescheiden netwerken. Of deze "opening" ergens mee verbinding is, valt op afstand helemaal niet te zeggen. Je noemt nu van alles even, maar je het eigenlijk helemaal geen idee wat er precies achter hangt. Maar dit klinkt natuurlijk wel erg interessant om maar gewoon even wat te roepen....

Zonder de achtergrond van de systemen te kennen, is er helemaal niets over te zeggen.

Je Topics gaat van hot naar her toe en is erg lastig te begrijpen.
Je hebt het over een open RDP port, want nog niet een backdoor is. Tenzij dit niet afgesproken is, want dit zou best nog wel eens gewoon afgesproken mogen zijn. Of het dan een goede oplossing is, is een tweede.

Maar je hebt het in eens ook over een dure Firewall? Of is het een beheer machine van de firewall?

Als je Email net zo goed te begrijpen is, als je topic hier, is het misschien wel te verklaren waarom er mogelijk geen actie ondernomen is.

Assumptions..... Je hebt blijkbaar geen idee hoe eilanden werken in de overheid. Of je hebt blijkbaar interne informatie te pakken? Maar de kans is groter dat je dit gewoon op gut feeling loopt te spuien om je frustratie te uiten.

@TS: probeer US-CERT eens. In 2012 had ik daar ook succes met een lek in Fortinet Fortigate firewalls (zie https://www.security.nl/posting/38728/Verkeer+Fortigate+DPI-apparaten+af+te+luisteren en https://www.security.nl/posting/37180/Fortinet+SSL+DPI+ook+lek+%28net+als+Cyberoam%29%3F).

De nuttige dingen die je zegt verdrinken in je cynisme en halve waarheden. Dat komt de leesbaarheid en je verhaal niet ten goede. Jammer.

Je begrijpt het niet. full security bij het ambtelijke apparaat houd ook in dat ze niet meer op FB, Instagram, Twitter, Youtube etc etc kunnen. Ook kunnen ze geen prive mail meer openen e.d. Al dat soort geneugten houden ze natuurlijk graag in stand.
Daarom zijn ze allemaal werkzaam bij ministerie van Ikea: van Kästje naar de Müur ;)

Jouw verhaal bevat kop nog kont. AD trust op firewalls? Jailbreak op firewalls? je praat hier niet over IOS 10


Dus de appliance firewall wordt als VM gedraaid?


Want dat is kwetsbaar? Even google gebruiken en je ziet dat ASP4all/SOlvinity het netwerk van VenJ dragen.
Dat is op zich niet zo raar.. Sterker nog.. laat de kennis zitten waar hij hoort.


Dus heeft de ICT boer nu een kwetsbaarheid .. of de leverancier?



De BIR is een normenkader.. geen wet


Jij bent wat veel mensen een 'gekkie' zouden noemen.. Een verward persoon.. een waandenker.
Er zullen vast kwestbaarheden en lekken zitten bij VenJ of andere departementen.. En er zullen vast fouten gemaakt worden. Maar jou verhaal hangt aan elkaar van termen.. niet van inhoud.. Ik heb NIETS gelezen waar ik maar een beetje nerveus van zo worden. Misschien moet je je weer richten op wie JFK vermoord heeft.. is betere materie.


Ik denk dat die samen met een doosje antipsychotica op je staat te wachten bij de huisarts

Beschouw jij dat als full security?