:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)
Voor een van mijn projectjes heb ik de afgelopen weken enkele tientallen web- en dns-hosts gemailed om ze te wijzen op configuratiefouten en beveiligingsproblemen aan hun kant. Tot mijn verbazing reageerden de meeste snel en postief op mijn zeer technische verhaal. De meeste techneuten zijn welwillend en geinteresseerd.
Helaas zit er ook een keerzijde aan deze medaille. Een heel stel van die bedrijven reageerden alsof ik de klant was. Tientallen hebben op mijn verzoek aanpassingen* gedaan aan de domeinen van hun klanten, terwijl ik daar eigenlijk niks over te zeggen heb. Gelukkig ging het om het corrigeren van fouten. Een goede techneut kan beoordelen dat er inderaad iets fout zat en dat het geen kwaad kan om mijn advies te volgen, maar ik geloof niet dat we zoveel goede techneuten hebben.
Ik vrees dus dat als ik had gevraagd om minder onschuldige aanpassingen dat die ook wel waren uitgevoerd. Ik heb de proef op de som genomen en mijn eigen host (een van de grootste van Nederland) een anonieme mail gestuurd met het verzoek om iets te veranderen. Dat werd gelukkig geweigerd.
Ik weet dat ik niks nieuws vertel en dat Social Engineering de oudste vorm van misbruik is, maar ik ben toch geschrokken. De volgende keer dat ik een nieuwe hoster nodig heb ik ga ik ze van te voren testen. Ik adviseer jullie om dat ook te doen. Je kan beveiligen wat je wil, maar als je host de deur openzet heb je er niks aan.
* Het gaat vooral over domeinen die DNSSEC hebben ingeschakeld zonder dat hun DNS-servers dat ook echt doen. Mijn advies was: "schakel deze beveiliging uit totdat je de tijd hebt om het goed te doen".
Helaas zit er ook een keerzijde aan deze medaille. Een heel stel van die bedrijven reageerden alsof ik de klant was. Tientallen hebben op mijn verzoek aanpassingen* gedaan aan de domeinen van hun klanten, terwijl ik daar eigenlijk niks over te zeggen heb. Gelukkig ging het om het corrigeren van fouten. Een goede techneut kan beoordelen dat er inderaad iets fout zat en dat het geen kwaad kan om mijn advies te volgen, maar ik geloof niet dat we zoveel goede techneuten hebben.
Ik vrees dus dat als ik had gevraagd om minder onschuldige aanpassingen dat die ook wel waren uitgevoerd. Ik heb de proef op de som genomen en mijn eigen host (een van de grootste van Nederland) een anonieme mail gestuurd met het verzoek om iets te veranderen. Dat werd gelukkig geweigerd.
Ik weet dat ik niks nieuws vertel en dat Social Engineering de oudste vorm van misbruik is, maar ik ben toch geschrokken. De volgende keer dat ik een nieuwe hoster nodig heb ik ga ik ze van te voren testen. Ik adviseer jullie om dat ook te doen. Je kan beveiligen wat je wil, maar als je host de deur openzet heb je er niks aan.
* Het gaat vooral over domeinen die DNSSEC hebben ingeschakeld zonder dat hun DNS-servers dat ook echt doen. Mijn advies was: "schakel deze beveiliging uit totdat je de tijd hebt om het goed te doen".
This post is warranted for the full amount you paid me for it.
/u/61403/crop58bff192a74cb_cropped.png?f=community)
