Gepubliceerd: Woensdag 21 september 2011
Het securitybedrijf Fox-IT doet onderzoek naar hacks bij het digitale loket van de gemeente Amsterdam. Nadat de Dienst ICT na een eerste scan de site heropende vond RTL Nieuws echter nog meer gaten.
Toon volledig artikel
Fox-IT gaf toen echter al snel het 'sein veilig', waarop Amsterdam het digitale loket weer opende. Maar daarna vond RTL Nieuws nog meer eenvoudige achterdeurtjes tot het cms (content management systeem) van het digitale loket.
RTL Nieuws vind dingen die Fox-IT niet zag... *proest*
Ik weet niet waar jouw quote vandaan komt, maar in dit artikel lees ik het volgende:
Fox-IT gaf toen al snel aan dat het "geen andere sporen van illegale uploads" had aangetroffen, waarop de Dienst ICT besloot het digitale loket van Amsterdam weer te openen.
Die jongens van Fox-IT zijn echt niet achterlijk. Wij kennen de opdracht niet die ze hebben meegekregen, maar uit bovenstaande kan worden opgemaakt dat het vooral was om te onderzoeken of andere ook in hun systemen hebben lopen klooien. Fox heeft gemeld dat dit niet uit logfiles bleek waarna de Dienst-ICT besloot...
De interpretatie "veilig" lijkt hier meer van de Dienst-ICT af te komen dan van Fox-IT.
In welke zin is het aanpassen van een URL (en als ik de reportage begrijp het zoeken van informatie via google) een hack? Je kunt toch niet veroordeeld worden voor het gebruik van de uploadfunctionaliteit van een website die op google staat?
Volgens mij is creatief browsen niet zo zeer strafbaar, zolang je maar geen schade aanricht.... Maar ja, definieer schade.
Van dat ego en reputaties was toch al niets meer over. Volgens mij kon het niet verder om zeep geholpen worden.
Interessant voor een proefproces om na te gaan waar de grens ligt van "doorbreken van een beveiliging" of "technische ingreep" van art 138a strafrecht. Het lijkt me dat een verandering in de url van het soort 2010 naar 2011 om de miljoenennota van dit jaar te vinden, evident niet hieronder moet vallen, zelfs niet als je dat zonder waarschuwing publiceert. Wat ingewikkelder wordt het als je weet welk CMS de gemeente Amsterdam heeft en je kunt met die kennis de standaard url's voor gegevensupload vinden en gewoon gebruiken. Het lijkt me dat ook dat niet onder het strafrecht moet vallen. Het wordt anders als je met een programma een jaar lang laat zoeken en je vindt het document 1awe299uqwefqwalkewoe.pdf dan lijkt me dat wel kwalijk, zeker als je publiceert zonder de gemeente te waarschuwen. Dit wel met de kanttekening dat de gemeente Amsterdam ook dan nog eens naar de beveiliging zou moeten kijken.
Jaap, Bij een CMS zou ik een effectief toegangsbeheersysteem verwachten. Of dat in het CMS geïmplementeerd is, of dat men gebruik maakt van htpasswd bestanden maakt niet uit. Als een gebruiker op het niet-publieke deel van de website komt, hoort hij een "Wachtwoord AUB" scherm te krijgen.
Het gebruik van "random" URLs is te gevoelig voor lekken...
Om te kunnen reageren, dient u ingelogd te zijn.
Banken worden belemmerd in hun agility door de beperkte flexibiliteit van hun IT-systemen. Onderzoeksrapport waarin de drastische vernieuwing wordt beschreven.
Downloaden
3 jaar geleden: 22 mei 2009
4 jaar geleden: 22 mei 2008
12 jaar geleden: 22 mei 2000
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, Jobworld, MacWorld, SHUTR fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
