Toon posts:

Thema topic: melden en afhandelen van security incidenten Vorige deel Overzicht Volgende deel Laatste deel

Pagina: 1
Acties:

Onderwerpen

Beveiliging Security

maandag 18 oktober 2010 21:32

Acties:
  • 0 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Nu online

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter
Mede-auteur:
  • iisschots
  • Registratie: November 2002
  • Laatst online: 21-08 08:48

iisschots

Thema topic: Het melden van beveiligingslekken en incidenten

Introductie
Welkom in weer een nieuw thema topic.

Onlangs zijn we gestart met een aantal nieuwe items in het Beveiliging & Virussen forum.
Een nieuw item zijn de thema topics waarin ruimte is voor discussie over een bepaald wisselend onderwerp.

Deze maand hebben we gekozen voor een thema rond het melden van beveiligingslekken en -incidenten.
Dit is een onderwerp wat eigenlijk altijd actueel is. Over dit onderwerp hebben veel mensen een mening over hebben en er bestaan soms erg verschillende opvattingen. Kortom, volgens ons een leuk onderwerp om het eens over te hebben.

Thema: Het melden van beveiligingslekken en incidenten
Regelmatig komen er meldingen van beveiligingslekken en / of -incidenten in het nieuws.
Rond de meldingsprocedure en afhandeling hiervan bestaan verschillende opvattingen en vraagstukken:

Mag iemand een lek direct volledig in de openbaarheid brengen of is dat niet verantwoord?
Zou er een wettelijke meldingsplicht moeten zijn voor beveiligingszaken?
Hoe ver ga je bij het achterhalen bij wie je een lek het beste kunt melden?
Wat als je geen respons op een gemeld lek krijgt?
Hanteert het bedrijf waar je werkt een gedragscode welke beschrijft hoe om te gaan met dit soort meldingen wanneer je deze wilt aanmelden of wanneer deze aangemeld worden (afhandelen)?

Voldoende stof voor discussie lijkt ons.

Mogelijke onderwerpen voor discussie
Een interessante reactie in dit topic zou kunnen bestaan uit het beantwoorden van de hier gestelde vragen. Een aantal mogelijke onderwerpen zijn dus al gegeven. Nog interessanter zijn nieuwe inzichten en eigen ervaringen. Alles wat een relatie heeft met dit onderwerp mag worden ingebracht. Het is de bedoeling van elkaars ervaringen en inzichten te leren.

Suggesties voor komende thema topics.
Heb je een suggestie voor een volgend thema topic? Dan willen wij van jou horen!
Je kunt jouw suggestie achterlaten in het volgende topic: aankondiging: thema topics .

Natuurlijk kun je ook altijd een direct message te sturen naar een van de auteurs van dit thema topic.
Een direct message kun je versturen door te klikken op het Afbeeldingslocatie: http://tweakimg.net/g/forum/images/icons/dm.gif icoon bij de naam van een van de auteurs van dit thema topic.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 21 oktober 2010 23:15

Acties:
  • 0 Henk 'm!
  • iisschots
  • Registratie: November 2002
  • Laatst online: 21-08 08:48

iisschots

Topicstarter
Ik ben er een groot voorstander van dat data lekken openbaar worden gemaakt om de schade te verminderen. Dit zorgt er onder andere voor, vooral bij overheden, dat men meer gaat letten op beveiliging.

Een goed voorbeeld hiervan is: https://www.bof.nl/category/zwartboek-datalekken/

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

donderdag 21 oktober 2010 23:18

Acties:
  • 0 Henk 'm!

Verwijderd

Zeker, vooral die mailing van http://www.securityfocus.com/ is daar een goed voorbeeld van, zit nu al een aantal jaartjes in die mailing en vooral voor ons (lees: bij mij op kantoor) zijn wij er érg blij mee en kunnen wij ons netwerk of andere zaken beter penetreren en checken of wij wel zo veilig / beveiligd zijn en wat er mogelijk bij voorbaat al niet goed is a.d.h.v. dit soort meldingen.

maandag 1 november 2010 23:30

Acties:
  • 0 Henk 'm!
  • begintmeta
  • Registratie: November 2001
  • Niet online

begintmeta

Moderator General Chat
Ik ben geen beveiligingsexpert en hou me niet expliciet bezig met de beveiliging van gegevens, maar soms loop je gewoon ergens tegenaan (eventueel na een kort experimentje). Meestal meld ik dat dan bij de aanbieder van de betreffende dienst en doe eventueel suggesties, van de paar keer dat ik dat heb gedaan werd er meestal ook vrij snel en adequaat op gereageerd. Wat mij betreft is dat prima.

Maar het komt ook voor (zoals bij Zorgwekkende ziekenhuissite) dat er totaal niets gebeurd, terwijl de technisch juiste persoon is ingelicht. In dat geval heb ik een paar mij goed bekende/bevriende huisartsen maar op de hoogte gesteld van hun opdracht om zorgvuldig met patientgegevens om te gaan (en die niet zomaar op ongeauthentificeerde en onversleutelde sites invullen hoort daar volgens de richtlijnen bij) gewezen en er even over gepraat (een deel had overigens zelf ook al opgemerkt dat het wel een wat 'vrij' systeem was en gebruikte het maar niet).

[ Voor 4% gewijzigd door begintmeta op 01-11-2010 23:31 ]

maandag 1 november 2010 23:39

Acties:
  • 0 Henk 'm!
  • Onbekend
  • Registratie: Juni 2005
  • Laatst online: 23:39

Onbekend

...

Zelf ben ik van mening dat zwakke punten in de beveiliging, gemeld moeten worden aan de beheerder van die beveiliging.
Meestal doen ze er wel iets aan, maar soms ook niet. Zolang ik geen slachtoffer kan worden van dat zwakke punt in de beveiliging, zal het ook naast mij neerleggen.

Zelf ben ik als beheerder van een aantal websites wel strikt in beveiligingen. Zodra ik een lek heb doorgekregen, wordt meteen de gehele functionaliteit tijdelijk uitgeschakeld zodat het lek niet meer te misbruiken is.
Pas na het dichten van het lek, gaat die functionaliteit weer aan. :)

Speel ook Balls Connect en Repeat

vrijdag 26 november 2010 09:01

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

iisschots schreef op donderdag 21 oktober 2010 @ 23:15:
Ik ben er een groot voorstander van dat data lekken openbaar worden gemaakt om de schade te verminderen. Dit zorgt er onder andere voor, vooral bij overheden, dat men meer gaat letten op beveiliging.
Heb je het dan over een variant als responsible disclosure of over public disclosure, en met of zonder exploit ?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 23 december 2010 10:05

Acties:
  • 0 Henk 'm!
  • Marcel-Jan
  • Registratie: Juni 2010
  • Laatst online: 17-08 08:19

Marcel-Jan

Ik heb vorig jaar een lek gerapporteerd bij een gemeente. Of beter gezegd, ik heb gevonden dat hun site zeer gevoelig is voor SQL injection en dat de foutmelding daarbij ook nog eens hielp door het SQL statement te tonen. En dat heb ik aan hun doorgegeven. Men reageerde dat mijn mail naar de betrokken specialisten gestuurd was.

Een half jaar later was er nog niets gebeurd. Ik heb ze nogmaals uitgelegd dat ze het hackers wel erg makkelijk maakten. Nu kreeg ik een reactie terug van de helpdesk dat een incident was aangemaakt.

Een jaar later is er nog niets aan gedaan. Wat doe je met zoiets? Hogerop zoeken binnen de gemeente? Het lek publiceren?

zaterdag 8 januari 2011 18:08

Acties:
  • 0 Henk 'm!
  • EdwinG
  • Registratie: Oktober 2002
  • Laatst online: 09-09 16:54

EdwinG

Mag iemand een lek direct volledig in de openbaarheid brengen of is dat niet verantwoord?
Direct een lek (volledig) openbaar maken lijkt mij in de meeste gevallen onverantwoord. De personen/organisatie die het lek kunnen verhelpen zullen toch eerst ingelicht moeten worden, en de tijd krijgen om er iets mee te doen.

Indien zo'n organisatie niet wil reageren, is (het dreigen met) publicatie misschien een optie, maar dat hangt deels af van de ernst van het lek en de gevoeligheid van de betrokken gegevens.

Zou er een wettelijke meldingsplicht moeten zijn voor beveiligingszaken?
Het meest toepasselijke lijkt me een verplichting om alle betrokkenen in te lichten over de situatie, indien een beveiligingslek (mogelijk) misbruikt is.

Hoe ver ga je bij het achterhalen bij wie je een lek het beste kunt melden?
Als ik in mijn vrije tijd iets zou vinden: Informatie vanaf de website gebruiken, bijvoorbeeld een technisch contactpersoon, of als er niets te vinden is, gewoon info@, webmaster@ mailen.
Marcel-Jan schreef op donderdag 23 december 2010 @ 10:05:
Een jaar later is er nog niets aan gedaan. Wat doe je met zoiets? Hogerop zoeken binnen de gemeente? Het lek publiceren?
Wat denk je van de optie om te melden (ook hogerop + PR/Publieksafdeling of iets dergelijks) DAT je een Proof-of-Concept gaat publiceren, tenzij een gepaste reactie volgt binnen X weken.

Of je bij het verstrijken van de deadline daadwerkelijk iets gaat publiceren is dan een volgend verhaal. Misschien (afhankelijk van de informatie die op de webserver staat) kan een berichtje naar/via BoF of een andere organisatie helpen.
alt-92 schreef op vrijdag 26 november 2010 @ 09:01:
Heb je het dan over een variant als responsible disclosure of over public disclosure, en met of zonder exploit ?
Gezien het gegeven voorbeeld (Zwartboek datalekken), lijkt me dat een responsible disclosure, zonder exploit.

Bezoek eens een willekeurige pagina

woensdag 12 januari 2011 17:06

Acties:
  • 0 Henk 'm!
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

Marcel-Jan schreef op donderdag 23 december 2010 @ 10:05:
Ik heb vorig jaar een lek gerapporteerd bij een gemeente. Of beter gezegd, ik heb gevonden dat hun site zeer gevoelig is voor SQL injection en dat de foutmelding daarbij ook nog eens hielp door het SQL statement te tonen. En dat heb ik aan hun doorgegeven. Men reageerde dat mijn mail naar de betrokken specialisten gestuurd was.

Een half jaar later was er nog niets gebeurd. Ik heb ze nogmaals uitgelegd dat ze het hackers wel erg makkelijk maakten. Nu kreeg ik een reactie terug van de helpdesk dat een incident was aangemaakt.

Een jaar later is er nog niets aan gedaan. Wat doe je met zoiets? Hogerop zoeken binnen de gemeente? Het lek publiceren?
Zoek eens contact met Brenno de Winter en/of Bits of freedom. Persoonlijk zou ik naar brenno de winter gaan, dit is een onderzoek journalist en heeft al ervaring met overheids lekken (denk aan de ovchipkaart hack van 168.000 gegevens)

Persoonlijk ben ik voor responsable disclosure, bijvoorbeeld eerste keer mailen, en dingen concreet afspreken. Bij geen gehoor mailen dat je ze nog een kans geeft om binnen X weken te reageren/actie te ondernemen anders publicatie. Het publiceren geld ook voor als een bedrijf het niet wilt fixen. Echter moet je ze wel de tijd geven.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq