gesloten security forum - Lieve adjes

woensdag 29 februari 2012 12:56

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hallo, even een korte uitleg van een idee waar ik al even mee rond loop.

Tweakers is voor mij al een jaar of 10 behalve een tijdverdrijf ook een vraagbaak voor allerlij problemen waarbij je via google niet veel verder komt en waar je vooral door de interactie en het elkaar helpen vaak een hele goede uitkomst krijgt.

Heel veel topic zijn goed vertegenwoordigd, maar 1 onderwerp is altijd wat ondergesneeuwd. Ik studeer zelf IT Security en begin er ook steeds meer in het wereldje thuis te raken. De tools zoals Metasploit, Armitage, SED en distro's zoals Backtrack zijn relatief makkelijk te gebruiken. Voor een startende penetration tester is het echter heel moeilijk hulp te krijgen bij juiste technieken, problemen en het bekijken van de resultaten.

Tweakers heeft een "beveiliging en virussen" forum. Leuk idee, maar het lijkt wel half-dood te zijn. Zo nu en dan een probleem over een virus op een pc of een probleem over het kraken van een password...
Ho wacht! kraken van een password???? Nee, topic gesloten want hier helpen wij niet aan mee!

Ja, dan kom je met je penetration testing ook niet ver. Natuurlijk zijn er wel veel andere fora waar je terecht kunt zoals de backtrack fora, linkedin groups en vele andere sites, maar ik zie in mijn ogen een groot gat in de breedte van GoT.
Beveiliging wordt steeds belangrijker, steeds meer IT-ers specialiseren zich hierin en steeds meer technieken en tools worden voor testen ingezet. Een heel groot deel van alle nieuws posts op de Frontpage gaan zelfs over beveiliging of het testen daarvan. Tweakers' moderatie beleid lijkt alleen een "security through obscurity" te zijn. Als iets makkelijk te hacken lijkt, praten we er hier niet over.

Stel dat GoT een besloten forum heeft voor Security-Pro's met op de een of andere manier een controle op leeftijd, datum lidmaatschap, opleiding, geen idee... dat zou na een tijdje best een goed te gebruiken bron van kennis kunnen worden?

woensdag 29 februari 2012 13:10

Acties:

0 Henk 'm!

iisschots

Zelf vind ik het ook wel eens jammer dat discussies niet altijd mogelijk zijn. Persoonlijk probeer ik zo veel mogelijk de grensen van het beleid op te zoeken.

Dingen waar ik persoonlijk wel tegen ben is mensen helpen beveiligingen om omzeilen die een werkgever oid heeft ingesteld. Maar een discussie over hoe omzeil ik beveiligingen kan zinnig zijn, zeker ook om oplossingen te vinden om dat te voorkomen.

Ik denk dat het verstandig is dat er gekeken word of het beleid wat opgeschoven kan worden binnen het B&V forum en/of er idd een appart forum voor kan komen. Er moet dan wel ruime belangstelling voor bestaan.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

woensdag 29 februari 2012 13:56

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

...en vervolgens blijkt een gebruiker er niet zo'n zuivere bedoelingen op na te houden en hackt hij met behulp van de info op onze site de servers van een groot bedrijf. Kun jij dan garanderen dat Tweakers niet aansprakelijk is?

Het is natuurlijk niet voor niks dat dergelijke dingen momenteel niet bespreekbaar zijn.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 29 februari 2012 14:04

Acties:

0 Henk 'm!

SmartDoDo

Woeptiedoe

NMe schreef op woensdag 29 februari 2012 @ 13:56:
...en vervolgens blijkt een gebruiker er niet zo'n zuivere bedoelingen op na te houden en hackt hij met behulp van de info op onze site de servers van een groot bedrijf. Kun jij dan garanderen dat Tweakers niet aansprakelijk is?

Aan de andere kant zijn discussies hoe een brommer is op te voeren wel toegestaan. Je kunt namelijk best op eigen erf met een opgevoerde brommer crossen en zo voorkomen dat je een strafbaar feit pleegt. Rondom beveiligingen geldt natuurlijk hetzelfde, het hoeft niet persé illegaal te zijn.

Ik snap de opgelegde beperkingen ten aanzien van het omzeilen van beveiligingen, maar die beperkingen zijn bij mijn weten al enige tijd geleden bepaald en nooit geëvalueerd. Wellicht dat nav een interne discussie er in de huidige tijd meer mogelijkheden blijken te zijn?

woensdag 29 februari 2012 14:18

Acties:

0 Henk 'm!

Verwijderd

[

NMe schreef op woensdag 29 februari 2012 @ 13:56:
...en vervolgens blijkt een gebruiker er niet zo'n zuivere bedoelingen op na te houden en hackt hij met behulp van de info op onze site de servers van een groot bedrijf. Kun jij dan garanderen dat Tweakers niet aansprakelijk is?

Het is natuurlijk niet voor niks dat dergelijke dingen momenteel niet bespreekbaar zijn.

Ik neem aan dat via die redenatie MS en Cisco dan ook aansprakelijk zijn wegens het verstrekken van kennis info en tooling aan hackers ?

woensdag 29 februari 2012 14:23

Acties:

0 Henk 'm!

JohnR

Koffie is lekker!

NMe schreef op woensdag 29 februari 2012 @ 13:56:
...en vervolgens blijkt een gebruiker er niet zo'n zuivere bedoelingen op na te houden en hackt hij met behulp van de info op onze site de servers van een groot bedrijf. Kun jij dan garanderen dat Tweakers niet aansprakelijk is?

Het is natuurlijk niet voor niks dat dergelijke dingen momenteel niet bespreekbaar zijn.

Cool dus als ik hier advies vraag over electra, en mijn huis brandt af kan ik tweakers aansprakelijk stellen? Praktisch...

Volgens mij is dit echt het grootste kulargument dat ik in jaren heb gelezen...

/(bb|[^b]{2})/

woensdag 29 februari 2012 14:27

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

Ik vind het een slecht argument eerlijk gezegd.
Het heeft denk ik meer te maken met de reputatie van t.net dan met aansprakelijkheid, no way dat t.net aansprakelijk gesteld kan worden voor het door derden verstrekte informatie.

Ik vind het eigenlijk wel een goed idee om een gesloten forum te hebben (ala HK), om hier met mensen met kennis nieuwe technieken etc te bespreken.

* CrankyGamerOG roept CAPSLOCK2000

[ Voor 31% gewijzigd door CrankyGamerOG op 29-02-2012 14:29 ]

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 14:28

Acties:

0 Henk 'm!

Hahn

CrankyGamerOG schreef op woensdag 29 februari 2012 @ 14:27:
Ik vind het een drogargument eerlijk gezegd.
Het heeft denk ik meer te maken met de reputatie van t.net dan met aansprakelijkheid, no way dat t.net aansprakelijk gesteld kan worden voor het door derden verstrekte informatie.

Net zoals The Pirate Bay en MegaUpload bedoel je? Als Tweakers.net het toestaat, dan kunnen ze er vroeg of laat echt wel verantwoordelijk voor gesteld worden.

En ik gok dat je drogreden bedoelt, een drogargument heb ik nog niet eerder gezien.

The devil is in the details.

woensdag 29 februari 2012 14:30

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

Hahn schreef op woensdag 29 februari 2012 @ 14:28:
[...]

Net zoals The Pirate Bay en MegaUpload bedoel je? Als Tweakers.net het toestaat, dan kunnen ze er vroeg of laat echt wel verantwoordelijk voor gesteld worden.

Nee dat is toch wel van andere orde imo.

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 14:31

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

NMe schreef op woensdag 29 februari 2012 @ 13:56:
...en vervolgens blijkt een gebruiker er niet zo'n zuivere bedoelingen op na te houden en hackt hij met behulp van de info op onze site de servers van een groot bedrijf. Kun jij dan garanderen dat Tweakers niet aansprakelijk is?

Het is natuurlijk niet voor niks dat dergelijke dingen momenteel niet bespreekbaar zijn.

Het niveau waarop is in elk geval heel belangrijk. Vaak krijg je een 16 jarige van school die het netwerk op school wil "hacken". Dat is iets heeeeeel anders dan een Security Pro die met een systematische lijst zwakheden in een firewall aan het testen is voor een klant, maar waarbij bijvoorbeeld Metasploit niet wil updaten.

Probleem is vaak dat mensen die niet in "het wereldje" zitten, meteen denken dat de beveiliging testen hetzelfde als de beveiliging omzeilen en / of slopen is.

woensdag 29 februari 2012 14:31

Acties:

0 Henk 'm!

zeef

Ik wil er best nog eens goed over nadenken maar ik beloof niks op voorhand.

woensdag 29 februari 2012 14:32

Acties:

0 Henk 'm!

SmartDoDo

Woeptiedoe

CrankyGamerOG schreef op woensdag 29 februari 2012 @ 14:27:
Ik vind het eigenlijk wel een goed idee om een gesloten forum te hebben (ala HK), om hier met mensen met kennis nieuwe technieken etc te bespreken.

Dat biedt alsnog geen garantie dat er binnen dat geselecteerde groepje enkel legale zaken worden besproken. Hoe screen je dat? Is dat te screenen? Is die groep niet te klein om het tot een leefbaar forum te maken?

Ik denk dat dit met de beste wil van de wereld niet leefbaar valt te maken.

woensdag 29 februari 2012 14:33

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

SmartDoDo schreef op woensdag 29 februari 2012 @ 14:32:
[...]
Dat biedt alsnog geen garantie dat er binnen dat geselecteerde groepje enkel legale zaken worden besproken. Hoe screen je dat? Is dat te screenen? Is die groep niet te klein om het tot een leefbaar forum te maken?

Ik denk dat dit met de beste wil van de wereld niet leefbaar valt te maken.

Heb je (helaas) een valide punt.......
feck....

Hoe controleer je vooraf of iemand (echt)een pro is al dan niet ......

[ Voor 7% gewijzigd door CrankyGamerOG op 29-02-2012 14:34 ]

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 14:35

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

nog ter verduidelijking...: Ik heb het over PRO onderwerpen...

Ik heb zelf bijna een Master of Information Systems Security met daarin digital forensics en encryptie en dat soort onderwerpen. Of AES 128 bit sterker en sneller is dan DES3 bijvoorbeeld en hoe de verwijderde IE logs van een werknemer terug te halen zijn... en of het uberhaubt wettelijk is toegestaan.

Net zoals er van netwerken een PRO versie is waar huis-tuin-en-kuiken routervragen verwijderd worden, kan het toch ook gemodereerd of zelfs besloten worden?

woensdag 29 februari 2012 14:37

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik wist dat dit al eens ter sprake was gekomen: Security Subforum

Equator schreef op donderdag 24 december 2009 @ 07:29:Maar goed, ik denk persoonlijk dat Beveiliging & Virussen prima werkt als forum voor security gerelateerde vragen/discussies. Verplaatsen naar technische fora als PNS of WSS is nonsense daar Informatie beveiliging veelal op niet technisch gebied (procedureel) wordt bepaald. Natuurlijk zijn er technische controls om bepaalde zaken dicht te timmeren, maar die vind ik persoonlijk niet onder PNS of WSS vallen.

De discussies waar duidelijk een relatie met een tech forum is kan gewoon prima een alias van gemaakt worden.

En als er een animocheck komt, dan worden er waarschijnlijk weer topics aangemaakt met de titel [SEC] ervoor.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

woensdag 29 februari 2012 14:38

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 29 februari 2012 @ 14:18:
[
[...]

Ik neem aan dat via die redenatie MS en Cisco dan ook aansprakelijk zijn wegens het verstrekken van kennis info en tooling aan hackers ?

Inderdaad... ik noem een CCSP cursus en de Microsoft Cofee Forensic Kit

Goede en slechte beveiliging moeten juist bespreekbaar zijn. Mede vanwege de angst en geheimzinnigheid is er zo weinig kennis en wat er is wordt via schimmige forumpjes gedeeld.

woensdag 29 februari 2012 14:38

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

gesloten, besloten , potatoe , potato, waar het om gaat is dat niet elke hackbeluste tiener erbij kan.

[ Voor 47% gewijzigd door CrankyGamerOG op 29-02-2012 14:39 ]

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 14:39

Acties:

0 Henk 'm!

alex3305

En toch vind ik het persoonlijk niet geheel in BV vallen. Misschien zou het eerder een idee zijn om zo'n forum op te zetten in de Pro-groep van Tweakers in plaats van Softe Goederen.

Verder ben ik er ook voor dat het een besloten groep moet zijn, maar eerder in vorm van SG, dus dat je niet meteen zo'n forum in kunt zien en dat je actief moet zijn op het forum - in algemene zin - om daar te mogen lezen en meediscussieren. Dit vooral om script kiddies en 16-jarige te weren.

woensdag 29 februari 2012 14:41

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

alex3305 schreef op woensdag 29 februari 2012 @ 14:39:
En toch vind ik het persoonlijk niet geheel in BV vallen. Misschien zou het eerder een idee zijn om zo'n forum op te zetten in de Pro-groep van Tweakers in plaats van Softe Goederen.

Verder ben ik er ook voor dat het een besloten groep moet zijn, maar eerder in vorm van SG, dus dat je niet meteen zo'n forum in kunt zien en dat je actief moet zijn op het forum - in algemene zin - om daar te mogen lezen en meediscussieren. Dit vooral om script kiddies en 16-jarige te weren.

Ja en dan blijven de scriptkiddies gewoon wat langer actief totdat ze er wel bij kunnen, en hebben ze alsnog toegang, dat gaat ook niet werken imho.

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 14:43

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

JohnR schreef op woensdag 29 februari 2012 @ 14:23:
[...]

Cool dus als ik hier advies vraag over electra, en mijn huis brandt af kan ik tweakers aansprakelijk stellen? Praktisch...

Volgens mij is dit echt het grootste kulargument dat ik in jaren heb gelezen...

Gelukkig is dat een weloverwogen en goed uiteengezette ontkrachting van mijn argument.

Verwijderd schreef op woensdag 29 februari 2012 @ 14:35:
Net zoals er van netwerken een PRO versie is waar huis-tuin-en-kuiken routervragen verwijderd worden, kan het toch ook gemodereerd of zelfs besloten worden?

Als de topics er al niet zijn in een open versie van het forum, waarom zouden ze er in een besloten versie van hetzelfde forum dan wel komen? En als mensen zich blijkbaar eerst als "professional" moeten laten bestempelen, hoe willen ze zich dan bewijzen als de topics afgeschermd staan? Waarom kan zo'n forum in alle openheid niet werken?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 29 februari 2012 14:44

Acties:

0 Henk 'm!

Mike2k

Zone grote vuurbal jonge! BAM!

alex3305 schreef op woensdag 29 februari 2012 @ 14:39:
En toch vind ik het persoonlijk niet geheel in BV vallen. Misschien zou het eerder een idee zijn om zo'n forum op te zetten in de Pro-groep van Tweakers in plaats van Softe Goederen.

Verder ben ik er ook voor dat het een besloten groep moet zijn, maar eerder in vorm van SG, dus dat je niet meteen zo'n forum in kunt zien en dat je actief moet zijn op het forum - in algemene zin - om daar te mogen lezen en meediscussieren. Dit vooral om script kiddies en 16-jarige te weren.

Waarom in de vorm van SG en niet HK?
Als er werkelijk zo huiverig gedaan wordt over het al dan niet aanwenden van de kennis voor illegale zaken zou ik zeggen dat mensen die er in willen, toegang moeten aanvragen ipv het automagisch krijgen.

Dat gezegd hebbende ben ik wel van mening dat er te krampachtig gereageerd wordt op het opzetten van een dergelijk forum.

Ik denk dat de scriptkiddies weinig hebben aan een forum over bijv netwerkbeveiliging aangezien je daar toch wel een aardig pakket aan kennis voor nodig hebt...vraag me af of, als black hat hacken je doel is, je die tijd en moeite investeert...

You definitely rate about a 9.0 on my weird-shit-o-meter
Chuck Norris doesn't dial the wrong number. You answer the wrong phone.

woensdag 29 februari 2012 14:44

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

CrankyGamerOG schreef op woensdag 29 februari 2012 @ 14:41:
[...]

Ja en dan blijven de scriptkiddies gewoon wat langer actief totdat ze er wel bij kunnen, en hebben ze alsnog toegang, dat gaat ook niet werken imho.

Scriptkiddie vragen haal je er zo tussenuit. Als het niveau te laag is gooi je ze net als bij de HK er weer uit.

Het is een PRO forum. Penetration testing is nog het enige half-bruikbare voor een scriptkiddie, maar ook daar kan ie weinig "cools" mee doen. Een scriptkiddie gaat wel op een ander forum spul zoeken. Veel makkelijker en sneller.

woensdag 29 februari 2012 14:44

Acties:

0 Henk 'm!

beany

Meeheheheheh

SmartDoDo schreef op woensdag 29 februari 2012 @ 14:32:
[...]
Dat biedt alsnog geen garantie dat er binnen dat geselecteerde groepje enkel legale zaken worden besproken. Hoe screen je dat? Is dat te screenen? Is die groep niet te klein om het tot een leefbaar forum te maken?

Ik denk dat dit met de beste wil van de wereld niet leefbaar valt te maken.

Klopt, het moet ook gewoon openbaar zijn of een HK constructie achtig iets zodat het niet zomaar door google wordt geïndexeerd.

En zolang het constructieve topics zijn is er niets aan de hand. Dus:

ik wil zwaktes in AES1024 vinden om een nieuwe encryptie te creëren die niet die zwaktes heeft

Is een prima topic om de zwaktes te bespreken maar ook elkaar te helpen om die zwaktes te vinden.

Echter

Ik wil het HTTPS mechaniek kraken om de bankzaken van mijn buurvrouw te kunnen onderscheppen

verdient gelijk een slotje.

Probleem is natuurlijk dat eerste post mooi opgepoetst kan zijn met als doel om kwade dingen te doen. Maar ja, de verkoopster bij de Blokker weet ook je bedoelingen niet van dat mes wat je daar koopt.

Dagelijkse stats bronnen: https://x.com/GeneralStaffUA en https://www.facebook.com/GeneralStaff.ua

woensdag 29 februari 2012 14:50

Acties:

0 Henk 'm!

Schnor

Tweakers probeert in veel opzichten soms te braaf te zijn. Dat komt ook doordat het geen onafhankelijke organisatie is, maar een onderdeel van een groot bedrijf.

Er zijn denk ik genoeg forums waar de echte specialisten elkaar wel vinden, en wel openlijk alles kunnen bespreken.

Tevens ben ik het met de TS eens dat sommige forums dood zijn, en echt inhoud missen. Echte netwerkspecialisten of echte microsoft specialisten... ze zitten hier misschien wel maar antwoorden op uitdagende vragen mbt microsoft vind ik toch echt eerder op technet of op US forums.

woensdag 29 februari 2012 14:52

Acties:

0 Henk 'm!

azerty

Ik denk dat het niet slecht zou zijn om zo'n forum te voorzien, al dan niet afgesloten.

Zelf volg ik ... van ..., en dit semester hebben we "...". Elke keer aan het begin van de les toont de leerkracht een disclaimer met expliciete mededeling dat het alleen voor educatieve doeleinden is. Als mijn leerkrachten menen dat dit genoeg is om het ons te mogen laten doen, zou een gelijkaardige waarschuwing op elke pagina van dat specifieke subforum ook genoeg moeten zijn?

[ Voor 7% gewijzigd door azerty op 08-11-2014 23:31 ]

woensdag 29 februari 2012 14:54

Acties:

0 Henk 'm!

Cyphax

Moderator LNX

NMe schreef op woensdag 29 februari 2012 @ 13:56:
...en vervolgens blijkt een gebruiker er niet zo'n zuivere bedoelingen op na te houden en hackt hij met behulp van de info op onze site de servers van een groot bedrijf. Kun jij dan garanderen dat Tweakers niet aansprakelijk is?

Weet je wat het probleem een beetje is... je weet dat ook niet zeker. Ik ben ook weleens een wachtwoordje kwijtgeraakt, al dan niet op mijn machine of die van een ander wiens rotzooi ik weer eens op mag ruimen (hoewel tegenwoordig een herinstallatie stap 1 zo'n beetje is). Dat geldt voor veel topics. Als ik een game niet kan starten kan ik een topic openen en gewoon doen alsof ie legaal is, terwijl het in werkelijkheid over een illegaal gedownloade game gaat.

Als je uit zo'n topic niet op kan maken dat iemand kwade bedoelingen heeft, waarom zou t.net dan aansprakelijk zijn? Andersom geldt ook: als je echt zekerheid wilt hebben, dan moet je geen forum meer draaien: je kan niemand vertrouwen.

Ik denk dat je het idee iets te snel afschiet onder het mom "er zitten risico's aan dus we doen het niet".

Saved by the buoyancy of citrus

woensdag 29 februari 2012 14:55

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Schnor schreef op woensdag 29 februari 2012 @ 14:50:
Tweakers probeert in veel opzichten soms te braaf te zijn. Dat komt ook doordat het geen onafhankelijke organisatie is, maar een onderdeel van een groot bedrijf.

Want een onafhankelijke organisatie (wat Tweakers tot 2006 gewoon was terwijl we ook toen deze beperking al kenden!) kan niet aansprakelijk gesteld worden? We leven in een wereld waarin TPB en MegaUpload offline worden getrokken en/of de eigenaren aangeklaagd wegens (onder andere) medeplichtigheid aan illegale zaken. Een wereld waarin er al jurisprudentie bestaat van fora die aansprakelijk gesteld zouden kunnen worden voor hetgeen de gebruikers erop bespreken. Vind je het heel gek dat hier voorzichtig mee omgegaan wordt?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

woensdag 29 februari 2012 14:59

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

NMe schreef op woensdag 29 februari 2012 @ 14:55:
[...]

Want een onafhankelijke organisatie (wat Tweakers tot 2006 gewoon was terwijl we ook toen deze beperking al kenden!) kan niet aansprakelijk gesteld worden? We leven in een wereld waarin TPB en MegaUpload offline worden getrokken en/of de eigenaren aangeklaagd wegens (onder andere) medeplichtigheid aan illegale zaken. Een wereld waarin er al jurisprudentie bestaat van fora die aansprakelijk gesteld zouden kunnen worden voor hetgeen de gebruikers erop bespreken. Vind je het heel gek dat hier voorzichtig mee omgegaan wordt?

Mee eens, maar zeker in de Security wereld is er heel veel veranderd sinds 2006. Het is veel professioneler geworden. Zoals je ziet zijn er zat gespecialisserde universitaire opleidingen waar je "gewoon" leert testen. Defensie, politie, commerciele bedrijven, overal lopen ze rond. Hoogopgeleid en zoekend naar nieuwe kwetsbaarheden in hun eigen netwerken.

woensdag 29 februari 2012 15:00

Acties:

0 Henk 'm!

Schnor

Nee ik vind het niet gek, daarom zijn er ook wat "vagere" sites waar dit wel beproken kan worden, t.net is gewoon niet een dergelijk forum.

woensdag 29 februari 2012 15:04

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

Schnor schreef op woensdag 29 februari 2012 @ 15:00:
Nee ik vind het niet gek, daarom zijn er ook wat "vagere" sites waar dit wel beproken kan worden, t.net is gewoon niet een dergelijk forum.

Maar daar word niet het testen besproken als doel op zich, maar het hacken van netwerken e.d. met andere doeleinden.
Ik ken zelf persoonlijk geen website/forum waar open door pro's besproken word wat wel en niet te doen etc.
Dat is nou ook het hele probleem, security in it is zo'n hush hush onderwerp geweest, dat hele netwerken waarvan je het niet verwacht gewoon brak in elkaar steken.
Puur omdat iedereen de kennis voor zich houd uit angst, en juist die angst breekt nu vele sites/netwerken op.

[ Voor 34% gewijzigd door CrankyGamerOG op 29-02-2012 15:05 ]

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 15:11

Acties:

0 Henk 'm!

Tens

beany schreef op woensdag 29 februari 2012 @ 14:44:
[...]

Klopt, het moet ook gewoon openbaar zijn of een HK constructie achtig iets zodat het niet zomaar door google wordt geïndexeerd.

En zolang het constructieve topics zijn is er niets aan de hand. Dus:

[...]

Is een prima topic om de zwaktes te bespreken maar ook elkaar te helpen om die zwaktes te vinden.

Echter

[...]
verdient gelijk een slotje.

Probleem is natuurlijk dat eerste post mooi opgepoetst kan zijn met als doel om kwade dingen te doen. Maar ja, de verkoopster bij de Blokker weet ook je bedoelingen niet van dat mes wat je daar koopt.

Precies, het is een dunne lijn tussen legaal en illegaal.
Je kunt de mooiste verhalen ophangen dat je een beveiligingsprobleem hebt, terwijl je juist op zoek bent naar een middel om die beveiliging te omzeilen.

Het is vrijwel onmogelijk om te discussiëren over verbetering van beveiliging zonder specifiek de zwakheden van beveiliging te noemen.

En Tnet heeft natuurlijk een reputatie hoog te houden en mogelijk aansprakelijkheidsproblemen.

Een disclaimer: 'de info uit dit forum mag niet gebruikt worden voor illegale praktijken' zal niet afdoende zijn lijkt me.

if you are neutral in a situation of injustice you have chosen the side of the oppressor

woensdag 29 februari 2012 15:14

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Ik snap eerlijk gezegd niet waarom dit soort discussiemateriaal niet geplaatst kunnen worden in BV? Security = Beveiliging. Mochten er uitspattingen zijn richting illegaal content, dan is er heus wel een mod/admin in de buurt om er wat aan te doen.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

woensdag 29 februari 2012 16:02

Acties:

0 Henk 'm!

Loev

Als softwaretester vind ik een security forum erg interessant. Ik test onze webapps/services wel op beveiliging maar verder dan '1=1-- of het nummertje in de adresbalk aanpassen kom ik niet. Wat tips en tricks van de pro's zijn zeer welkom.

woensdag 29 februari 2012 16:46

Acties:

0 Henk 'm!

Pim.

Aut viam inveniam, aut faciam

Phoeh....

Moeilijke, Ik zit met dezelfde bedenkingen als NMe aan de andere kant is dit imo ook helemaal wat tweakers doen

Als ik mijn gevoel laat speken zie ik het wel zitten maar zou ik wel een soort van NDA/Ethical hacking agreement willen hebben voor iedereen die in het forum wordt toegelaten. Dat betekend naw gegevens inleveren en online form tekenen.

Dus VOOR... mits

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

woensdag 29 februari 2012 16:50

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Maar moet dat in een specifiek sub- of themaforum? Kan dat in BV? Een voorstel zou zijn om een topic aan te maken en dat je de gebruikers in de TS plaatst die hun gegevens hebben ingeleverd (evt in een note/waarschuwing aan het topic vast).

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

woensdag 29 februari 2012 17:08

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

En wat heb je daar aan? Dat houdt niemand tegen om te lezen. Juist het lezen is gevaarlijk. Daarmee is soms al genoeg informatie beschikbaar om toch wat vreemde praktijken uit te halen. Indien het niveau dermate hoog en de inhoud dermate diep gaan dat een aspirerend scriptkiddie er een paar servers mee plat kan leggen of erger, wil je het niet publiek gaan bespreken.

Anyone who gets in between me and my morning coffee should be insecure.

woensdag 29 februari 2012 17:15

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

MueR schreef op woensdag 29 februari 2012 @ 17:08:
En wat heb je daar aan? Dat houdt niemand tegen om te lezen. Juist het lezen is gevaarlijk. Daarmee is soms al genoeg informatie beschikbaar om toch wat vreemde praktijken uit te halen. Indien het niveau dermate hoog en de inhoud dermate diep gaan dat een aspirerend scriptkiddie er een paar servers mee plat kan leggen of erger, wil je het niet publiek gaan bespreken.

In React heb je de mogelijkheid om forums aan te maken voor bepaalde groepen. Is dat dan niet mogelijk voor bepaalde topics?
Wil je anders een Abo forum creëren voor Security? Zoiets als SG/NSTM/HK is makkelijk te omzeilen door veel posts te maken.

En verder heb je gelijk, was te snel met tikken en te langzaam met nadenken

[ Voor 5% gewijzigd door Outerspace op 29-02-2012 17:15 ]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

woensdag 29 februari 2012 17:29

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

Op het moment dat het mogelijk zou zijn om op topicniveau bepaalde groepen toegang te verlenen (denk niet dat het kan overigens) zit je in de eerste plaats al met een stukje actie die van moderators vereist is. Voor elk topic zal bepaald moeten worden door een mod of de inhoud "gevaarlijk" genoeg is om verborgen te moeten worden. Lijkt me niet zo praktisch.

Anyone who gets in between me and my morning coffee should be insecure.

woensdag 29 februari 2012 17:30

Acties:

0 Henk 'm!

Rukapul

Een discussie is - zoals iisschots al heeft aangegeven - helemaal niet zo'n punt. Het heikele punt is dat veel discussies ingestoken worden vanuit een bepaald probleem wat ongewild kan uitdraaien op het ongewild helpen van een hackpoging van deze of gene. Daar voorzichtig mee omgaan heeft te maken met reputatie, dat heeft te maken met een goed (verantwoord) burgerschap en in kleine mate met zaken als aansprakelijkheid (vergezocht, maar niet uit te sluiten in bepaalde scenarios).

Als ik zie hoe er in het verleden grootschalig misbruik is gemaakt (door forumleden) nadat bijvoorbeeld een SQL injection vulnerability is bekend gemaakt op het forum dan is voor mij al duidelijk dat concrete casussen bijna niet op het forum mogelijk zijn. Of je loopt het risico iemand aan de hand mee te nemen voor een doeleinde waar je geen weet hebt, of iemand openbaart de casus en voor je het weet duikt er een kluit op (en dan bedoel ik niet de discussie).

Blijft over dat er ook in abstracto best discussie mogelijk is. Toy examples, publieke hack games, sample VMs, etc idem, maar daar is geen verandering van beleid voor nodig.

Discussie over password crackers btw lijkt me nou niet echt een meerwaarde. Die sta je vooral niet toe omdat de discussiewaarde nul is

Lost een besloten forum dit op? Ik heb persoonlijk zo mijn twijfels.

[ Voor 3% gewijzigd door Rukapul op 29-02-2012 17:32 ]

woensdag 29 februari 2012 17:34

Acties:

0 Henk 'm!

Hooglander1

Zot intellegent

Overigens heeft iemand zelf al een keer een hack game voorgesteld op zijn eigen verbinding en pc.

Dat werd direct afgeschoten, dus ik ben bang dat daar wél een beleidswijziging voor nodig is, of in ieder geval een gezonde beleidsdiscussie.

Overigens wordt er tegenwoordig zelfs op HBO's vakken gegeven op dit gebied, dus wat dat betreft wordt het steeds geaccepteerder om het hierover te kunnen hebben.

Lid van de Tweakers Kenwood TTM-312 club.

woensdag 29 februari 2012 17:39

Acties:

0 Henk 'm!

Rukapul

Hooglander1 schreef op woensdag 29 februari 2012 @ 17:34:
Overigens heeft iemand zelf al een keer een hack game voorgesteld op zijn eigen verbinding en pc.

Dat werd direct afgeschoten, dus ik ben bang dat daar wél een beleidswijziging voor nodig is, of in ieder geval een gezonde beleidsdiscussie.

In dergelijke gevallen is het moeilijk zekerheden te krijgen over dat het daadwerkelijk iemand's eigen systemen en netwerk betreft, dat anderen er geen last van kunnen krijgen, dat de persoon in kwestie overziet wat hij aanbiedt en waar het worst case op uit kan draaien, etc.

Ik ben overigens ook bij een discussie betrokken geweest van een voorstel waarbij we uiteindelijk wel toestemming hebben gegeven voor een bepaald experiment. (Maar is afaik nooit doorgegaan.)

Overigens wordt er tegenwoordig zelfs op HBO's vakken gegeven op dit gebied, dus wat dat betreft wordt het steeds geaccepteerder om het hierover te kunnen hebben.

Het is ook niet de abstracte discussie die het probleem vormt. Het probleem is hoe je het operationaliseert en daarbij concrete casussen kunt betrekken rekening houdend met het feit dat er altijd een aantal rotte appels tussen zitten.

woensdag 29 februari 2012 18:33

Acties:

0 Henk 'm!

zeef

Hooglander1 schreef op woensdag 29 februari 2012 @ 17:34:
Overigens heeft iemand zelf al een keer een hack game voorgesteld op zijn eigen verbinding en pc.

Dat werd direct afgeschoten, dus ik ben bang dat daar wél een beleidswijziging voor nodig is, of in ieder geval een gezonde beleidsdiscussie.

Overigens wordt er tegenwoordig zelfs op HBO's vakken gegeven op dit gebied, dus wat dat betreft wordt het steeds geaccepteerder om het hierover te kunnen hebben.

Ik ben helemaal niet bang om het beleid te herzien, niets is in steen gebeiteld. Discussie is altijd mogelijk.

Het enige is dat wat anderen ook verwoorden : waar stopt een interessante discussie en begint het gevaar (voor scriptkiddies en ander relbelust tuig

). NDA's en besloten fora zijn daar maar een zeer beperkte bescherming tegen. Dus ik wil best wel wat meer toelaten maar tot waar? Daar ben ik nog niet over uitgedacht.

woensdag 29 februari 2012 18:47

Acties:

0 Henk 'm!

Trenchdog

Je zou kunnen beginnen met een besloten forum waar topic-starts bijvoorbeeld goedgekeurd moeten worden door een mod, en waar het duidelijk is dat de mods al doende een beleid proberen te formuleren dat werkt (met alle gevolgen voor topics en posts van dien). Zeker als je een NDA en NAW-gegevens verlangt van gebruikers, gekoppeld aan eventuele andere voorwaarden gelijk aan de HK of SG, zou die houding mogelijk kunnen werken?

woensdag 29 februari 2012 18:50

Acties:

0 Henk 'm!

zeef

Trenchdog schreef op woensdag 29 februari 2012 @ 18:47:
Je zou kunnen beginnen met een besloten forum waar topic-starts bijvoorbeeld goedgekeurd moeten worden door een mod, en waar het duidelijk is dat de mods al doende een beleid proberen te formuleren dat werkt (met alle gevolgen voor topics en posts van dien). Zeker als je een NDA en NAW-gegevens verlangt van gebruikers, gekoppeld aan eventuele andere voorwaarden gelijk aan de HK of SG, zou die houding mogelijk kunnen werken?

Maar doen we met een besloten forum niet afbreuk aan de open gedachte van Tweakers? Natuurlijk, in GC zijn wat semi besloten fora. Maar alle tech is openbaar.

woensdag 29 februari 2012 18:51

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

Zeef, ik denk dat je sowieso een eis als, x aantal jaar actief in verwante fora, moet stellen.
Dan nog kan er relbelust tuig tussen zitten, maar ik neem aan dat de meeste meerjarige leden hun t.net lidmaatschap niet op het spel willen zetten

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 18:56

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

CrankyGamerOG schreef op woensdag 29 februari 2012 @ 18:51:
Zeef, ik denk dat je sowieso een eis als, x aantal jaar actief in verwante fora, moet stellen.
Dan nog kan er relbelust tuig tussen zitten, maar ik neem aan dat de meeste meerjarige leden hun t.net lidmaatschap niet op het spel willen zetten

Gevalletje discriminatie, waarom oud wel en jong niet?. Ouder tuig reageren (in mijn beleving) een stuk minder dan tuig dat recenter is aangemaakt.

Ik ben in ieder geval benieuwd wat er uit komt rollen.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad

woensdag 29 februari 2012 19:12

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

Kijken naar cijfertjes schiet niet veel op. Aantal posts of registratietijd zegt geen drol. Behulpzaamheid wel. In een dergelijk screeningsproces zou je dus voornamelijk naar inhoudelijke kennis moeten kijken en de bereidheid die te delen.

Anyone who gets in between me and my morning coffee should be insecure.

woensdag 29 februari 2012 19:13

Acties:

0 Henk 'm!

CrankyGamerOG

Assumption is the mother.....

Outerspace schreef op woensdag 29 februari 2012 @ 18:56:
[...]

Gevalletje discriminatie, waarom oud wel en jong niet?. Ouder tuig reageren (in mijn beleving) een stuk minder dan tuig dat recenter is aangemaakt.

Ik ben in ieder geval benieuwd wat er uit komt rollen.

Kun je eens verdiepen waarom het discriminatie is?

Naar mijn mening is zo'n eis, net zo veel discriminatie , als HK XS regels.
_{naar mijn mening dus geen discriminatie}

MueR schreef op woensdag 29 februari 2012 @ 19:12:
Kijken naar cijfertjes schiet niet veel op. Aantal posts of registratietijd zegt geen drol. Behulpzaamheid wel. In een dergelijk screeningsproces zou je dus voornamelijk naar inhoudelijke kennis moeten kijken en de bereidheid die te delen.

Daarom was actief ook bold gedrukt

[ Voor 31% gewijzigd door CrankyGamerOG op 29-02-2012 19:14 ]

KPN - Vodafone Ziggo Partner

woensdag 29 februari 2012 19:23

Acties:

0 Henk 'm!

zeef

Tsja, dan zet je experts die meelezen maar niet meeposten buitenspel en potentiële klieren die wel posten maak je het makkelijk. Elke barrière die je opwerpt geeft een vals gevoel van veiligheid dus imho kan je maar beter zo min mogelijk beperkingen in de toegang hebben en daarmee bij het posten rekening houden.

woensdag 29 februari 2012 19:28

Acties:

0 Henk 'm!

Trenchdog

zeef schreef op woensdag 29 februari 2012 @ 18:50:
[...]

Maar doen we met een besloten forum niet afbreuk aan de open gedachte van Tweakers? Natuurlijk, in GC zijn wat semi besloten fora. Maar alle tech is openbaar.

Openbaarheid en transparantie zijn naar mijn mening een groot goed, maar ook gebaat bij realisme. Meer specifiek vind ik dat je daarvan moet kunnen afwijken als je daar gegronde redenen voor hebt. Die redenen zijn hier (zeker in de opstartfase van dit deel van het forum) aanwezig:

het gaat om gevoelige en (potentieel) voor misbruik vatbare informatie;
de modjes moeten een nieuw beleid ontwikkelen, uittesten en evalueren;
foutjes/problemen kunnen potentieel grote gevolgen hebben voor de goede naam van Tweakers en betrokkenen.

Tegelijkertijd is het zo dat naast actief postende gebruikers er een groep is die met name meeleest uit interesse, om bij te blijven met ontwikkelingen e.d. Die groep zou ik niet uitsluiten door als eis te stellen dat mensen actief zijn (geweest) in aanverwante fora, zeker niet als ook beleidsmatige of bedrijfsvoeringtechnische onderwerpen aan bod komen naast meer technisch-inhoudelijke onderwerpen. Toegegeven, dit laatste is ook een beetje in mijn eigen belang

Beroepsmatig probeer ik op dit vlak gevoel te hebben voor wat er gebeurt op dit vlak, terwijl ik eerlijk genoeg ben om te weten dat mijn technische kennis niet afdoende zal zijn om een technisch-inhoudelijke bijdrage te leveren.

@Zeef hier direct boven: deze tekst is getypt terwijl jouw laatste post verscheen. Met jouw eerste zin ben ik het dus eens; met de tweede dus niet helemaal, zeker niet in de opstartfase van het forum.

[ Voor 6% gewijzigd door Trenchdog op 29-02-2012 19:31 ]

woensdag 29 februari 2012 22:34

Acties:

0 Henk 'm!

zeef

Een besloten forum met NDA en een kopie ID bewijs van iedereen met XS in een mapje in de kluis op Tweakers HQ garandeert bottom line niets. Er hoeft maar een iemand te zijn die bijvoorbeeld vergeet uit te loggen op een PC bij een ROC of andere school en we hebben de poppen aan het dansen. Dan hebben wij (lees: Tweakers) het gedaan. Als het openbaar is en blijft dan ben je misschien wat terughoudender met posten of met de inhoud. Het is wel veiliger voor de deelnemers en voor ons.

Dat is de afweging en die is lastig.

woensdag 29 februari 2012 23:26

Acties:

0 Henk 'm!

beascob

Gevolg van een open en transparant forum:
- PRO's bij nacht en ontij beschikbaar mogen zijn om bijvoorbeeld websites met vulnerabilities te fixen.
- Script Kiddies leren al vroeg zoveel dat ze wereldwijd gewild zijn.
- Nederland Kennisland kan niet jong genoeg beginnen...
- Security by knowlegde inplaats van security by obscurity.

Bijwerking: af en toe wil de Binnenlandse veiligheidsdienst of Brein bijvoorbeeld een tweaker spreken...

ik ben voor openheid.

gewaarwordingshorizon

donderdag 1 maart 2012 01:30

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

zeef schreef op woensdag 29 februari 2012 @ 22:34:
Een besloten forum met NDA en een kopie ID bewijs van iedereen met XS in een mapje in de kluis op Tweakers HQ garandeert bottom line niets. Er hoeft maar een iemand te zijn die bijvoorbeeld vergeet uit te loggen op een PC bij een ROC of andere school en we hebben de poppen aan het dansen. Dan hebben wij (lees: Tweakers) het gedaan. Als het openbaar is en blijft dan ben je misschien wat terughoudender met posten of met de inhoud. Het is wel veiliger voor de deelnemers en voor ons.

Dat is de afweging en die is lastig.

Ik denk dat een probleem hierbij is dat mensen denken: security=hacken

Security gaat zoveel verder dan hacken en de proactieve defensieve technieken zoals Penetration Testing. Vragen zoals "Hoe kraak ik een RDP password van een server in Amsterdam waar poort 3389 open staat?" zullen bijna niet langs komen en indien toch: topic gesloten en TS krijgt een waarschuwing. Eigenlijk net zoals dat iemand een porno foto plaats in de HK. Dat doet ook niemand vanwege de gevolgen.

En waarom krijgt de juist zeer professionele Security wereld zo'n reactie? Waar kom de angst vandaan om letterlijk neer te zetten dat je poort 3389 bijvoorbeeld moet dichtgooien zodat je netwerk veiliger is? Dat een scriptkiddie dat leest? Success scriptkiddie met het installeren van je tools en het proberen te kraken van wachtwoorden voor een netwerk dat voldoende beveiligd zou moeten zijn, omdat alle kennis openbaar is.

Dat een inbraak terug te leiden is naar GoT? Dat lijkt me niet als er fastoenlijk gemod wordt. Kleine kans dat er straks 10 specialisten een hacker stap voor stap door een hack heen leiden zonder iets door te hebben.

Los daarvan, even een zeer exteem voorbeeld, wat doe je tegen de mogelijkheid van mij om morgenmiddag een hoogst illegale, wansmakelijke kinderporno foto op GoT te zetten? Wat zouden de gevolgen voor tweakers zijn als het binnen 10 minuten eraf gegooid wordt en de user geband wordt? Is het ooit wel eens voorgekomen? Hoe zit de wet in elkaar?

Ho wacht... we hebben het hier nu over bijvoorbeeld het juridische aspect van Security en er zijn nog geen hack scenarios langs gekomen. Zo zie je maar dat Security veeeeeel verder gaat dan alleen hacken.

donderdag 1 maart 2012 09:40

Acties:

0 Henk 'm!

Verwijderd

MueR schreef op woensdag 29 februari 2012 @ 17:08:
lezen is gevaarlijk.

MueR schreef op woensdag 29 februari 2012 @ 17:08:
een aspirerend scriptkiddie er een paar servers mee plat kan leggen of erger, wil je het niet publiek gaan bespreken.

Servers platleggen kan iedere dwaas dat hoeven ze hier niet te leren het lijkt mij nu juist eens nuttig als we een vraagbaak kunnen maken voor mensen die hun beveiliging op orde willen hebben.

Juist door dit soort kennnis te onderdrukken faciliteer je de kwaadwillenden.

donderdag 1 maart 2012 09:41

Acties:

0 Henk 'm!

Rukapul

Verwijderd schreef op donderdag 01 maart 2012 @ 01:30:

Wat is het probleem dan? Niemand houd je tegen een topic te openen.

Als je zelf al aangeeft dat "Security gaat zoveel verder dan hacken en de proactieve defensieve technieken zoals Penetration Testing" dan vraag ik mij af wat het concrete probleem is.

[ Voor 34% gewijzigd door Rukapul op 01-03-2012 10:01 ]

donderdag 1 maart 2012 09:56

Acties:

0 Henk 'm!

Verwijderd

Waarom zou tweakers aansprakelijk zijn voor zaken die over het hele internet te vinden zijn? Je kan als mod toch zorgdragen voor kennisoverdracht in topics. Het is toch niet dat er een complete lijst zal komen met kwetsbare servers, complete handleidingen om CC nummers te misbruiken? Maar discussies over mogelijkheden, technieken, bronnen etc. Tenminste dat vermoeden heb ik. Mocht het verkeerd gaan kan een modje altijd ingrijpen. Met een besloten topic maak je het ook wel weer groter als het is.

donderdag 1 maart 2012 10:27

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

Verwijderd schreef op donderdag 01 maart 2012 @ 09:40:
Servers platleggen kan iedere dwaas dat hoeven ze hier niet te leren het lijkt mij nu juist eens nuttig als we een vraagbaak kunnen maken voor mensen die hun beveiliging op orde willen hebben.

Juist door dit soort kennnis te onderdrukken faciliteer je de kwaadwillenden.

De basics van beveiliging kan ook iedere dwaas. Die vraagbaak is er al: Beveiliging & Virussen. Je software up to date houden en niet onnodig poorten naar buiten open zetten. Zoals de TS het beschrijft wil hij juist op een wat zwaarder niveau gaan discussiëren. Penetration testing en dergelijke. Dat is heel boeiend materiaal, maar daar zit ook spul tussen wat niet iedere dwaas hoeft te weten.

Is dat nou nodig?

Anyone who gets in between me and my morning coffee should be insecure.

donderdag 1 maart 2012 10:35

Acties:

0 Henk 'm!

CodeCaster

Can I get uhm...

beascob schreef op woensdag 29 februari 2012 @ 23:26:
Gevolg van een open en transparant forum:
- PRO's bij nacht en ontij beschikbaar mogen zijn om bijvoorbeeld websites met vulnerabilities te fixen.
- Script Kiddies leren al vroeg zoveel dat ze wereldwijd gewild gehaat zijn.
- Nederland Kennisland kan niet jong genoeg beginnen...
- Security by knowlegde inplaats van security by obscurity.

Bijwerking: af en toe wil de Binnenlandse veiligheidsdienst of Brein bijvoorbeeld een tweaker spreken...

ik ben voor openheid.

Of er wordt een topic geopend over een willekeurige tool die kwaad kan, met de insteek "Als ik die tool draai heb ik probleem X en Y op mijn site, hoe kan ik dat het beste dichten?".

Vervolgens komt er een willekeurige scriptkiddie langs, die hiervoor nog nooit van penetratie in deze vorm gehoord had, en ook nooit op het idee is gekomen om security-forums te gaan bezoeken om hier meer over te lezen. Nu hij er op tweakers tegenaan loopt vindt hij de naam van het tooltje echter wel leuk klinken, hij gaat wat Googlen en hobbyen en sloopt vervolgens de server van z'n shared hoster omdat die hun beveiliging niet goed op orde hadden.

Of een dergelijk scenario hetgeen is waar t.net of sommige mods zich voor willen indekken weet ik niet, maar het lijkt me reëel en daarnaast erg onwenselijk. Iets met een kat en spek.

[ Voor 5% gewijzigd door CodeCaster op 01-03-2012 10:37 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

donderdag 1 maart 2012 10:40

Acties:

0 Henk 'm!

Verwijderd

CodeCaster schreef op donderdag 01 maart 2012 @ 10:35:
Of een dergelijk scenario hetgeen is waar t.net of sommige mods zich voor willen indekken weet ik niet, maar het lijkt me reëel en daarnaast erg onwenselijk. Iets met een kat en spek.

ik vind van niet. op de keper beschouwd is het hele internet het "spek" waarmee het scritpkiddie de "kat" wordt die zijn host probeert te cracken.

er zijn ontelbare (ok, lichtjes overdreven) securitylists waar pocs van 0days gepubliceerd worden, maar ik heb zo uit het hoofd nog geen weet van vervolgingen in dat kader.

misschien moet eens bekeken worden wat de legale status is in Nederland van het omgaan met securitytools en -exploits. m.i. kan daaruit besloten worden dat een dergelijk forum geen probleem is.

donderdag 1 maart 2012 11:02

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik zit in het buitenland maar las op tweakers laatst dat de EU een voorstel de tools illegaal te maken had verworpen?

donderdag 1 maart 2012 11:11

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

De tools zelf zijn dan misschien niet illegaal, maar dat zijn keukenmessen bij de Blokker ook niet. Bepaalde vormen van gebruik zijn dan weer wel illegaal. Ik maak me vooral zorgen om de eerder genoemde scriptkiddie die iets nieuws leest en denkt "goh, dat gaan we eens proberen".

Anyone who gets in between me and my morning coffee should be insecure.

donderdag 1 maart 2012 11:16

Acties:

0 Henk 'm!

Verwijderd

wel, als je in het ergste geval dan de analogie doortrekt en kijkt naar het illegaal gebruik van een keukenmes uit de blokker, dan stel je vast dat de persoon die het illegaal aangewend heeft verantwoordelijk is, en nog steeds niet blokker.

donderdag 1 maart 2012 11:17

Acties:

0 Henk 'm!

Verwijderd

MueR schreef op donderdag 01 maart 2012 @ 11:11:
De tools zelf zijn dan misschien niet illegaal, maar dat zijn keukenmessen bij de Blokker ook niet. Bepaalde vormen van gebruik zijn dan weer wel illegaal. Ik maak me vooral zorgen om de eerder genoemde scriptkiddie die iets nieuws leest en denkt "goh, dat gaan we eens proberen".

Dus als we Tweakers even als Blokker neerzetten: Dit zou dus beteken dat deze winkel alles waar eventueel iets mee te doen is waarvoor het niet bedoeld is niet verkocht zou worden?
In deze vergelijking zou je de toko snel kunnen sluiten. Slecht voorbeeld in dit geval

donderdag 1 maart 2012 11:45

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

MueR schreef op donderdag 01 maart 2012 @ 11:11:
De tools zelf zijn dan misschien niet illegaal, maar dat zijn keukenmessen bij de Blokker ook niet. Bepaalde vormen van gebruik zijn dan weer wel illegaal. Ik maak me vooral zorgen om de eerder genoemde scriptkiddie die iets nieuws leest en denkt "goh, dat gaan we eens proberen".

Zoals iedereen weet kun je voor de wet niet zomaar de digitale en de tastbare wereld vergelijken, dus laten we niet in eindeloze voorbeelden verzanden.

Het punt is dat een scriptkiddie echt helemaal niks haalt uit een post van mij over hoe ik een DoS op een firewall van een klant kan lanceren, want daar is het overige internet (waar ie niet minimaal 6 maanden lid hoeft te zijn op een gecontroleerd, gesloten forum) veel makkelijker voor.
Een ander voorbeeld is het scannen of de telnet poort van een klant openstaat en wat erachter hangt. Erg leuk voor een scriptkiddie, maar dan? Het bruteforcen van wachtwoorden, etc. is meestal geen onderdeel van een penetration test toch...
En zelfs als 'ie dan toch iets zinnigs eruit haalt... is de verantwoordelijke dan de scriptkiddie of de server beheerder die de domme fout maakt? Toch zeker niet een professioneel beveiligingsforum waar ie maanden op toegang heeft zitten wachten?

donderdag 1 maart 2012 11:55

Acties:

0 Henk 'm!

Jheroun

Volgens mij kan het gros van de te bespreken securityzaken gewoon in normale topics waar geen apart besloten forum voor nodig is.

Pro's die te maken hebben met vraagstukken rond penetratietests, hacks of wat dan ook zullen daar uberhaupt weinig over willen/mogen praten. Ik zou het er ook in een besloten forum waarvoor iedereen een NDA heeft moeten tekenen niet over hebben. Security through obscurity mag dan niet leiden tot een hogere veiligheid an sich maar ik durf wel te stellen dat de kans op bedreigingen een stuk groter wordt als je als bedrijf alles maar op straat gooit. Mensen die in hun dagelijks werk met gevoelige zaken te maken hebben zullen daarvoor ook regelmatig NDA's moeten tekenen, en daar zal niet instaan dat je het er op tweakers wel over mag hebben

Met de vraag van OP en de zinnige discussie die daardoor met de diverse mods is ontstaan is de kans dat een topic over ddossen of penetratietests direct wordt gesloten volgens mij sowieso al lager geworden. Dus start die topics maar, zou ik zeggen

woensdag 7 maart 2012 15:43

Acties:

0 Henk 'm!

zeef

Knoophaktijd. We geen géén besloten securityforum maken. Naast de risico's vinden we het dwars staan op onze stijl en dat is vooral openbaar kunnen praten over van alles en nog wat. Discussie die openbaar kan en mag binnen de grenzen van de wet en het betamelijke zijn welkom in B&V. In de komende tijd gaat iisschots een voorzet doen voor de openbare discussie.