Gepubliceerd: Dinsdag 9 september 2008
Automatiseerder Getronics en de gemeente Amsterdam volharden in hun onjuiste en onvolledige lezing over de DNS-beveiliging van het gemeentelijk netwerk.
Toon volledig artikel
Kaminsky wil niet reageren op het feit dat zijn test als incorrect wordt aangemerkt.
Tijdje terug ook op het flash speeltje van meneer Kaminsky geklikt
en tot mijn verbazing was mijn up2date interne dns server ook lek.
Klik ik vandaag en kijk eens! Your name server, at *.*.*.*, appears to be safe.
Ik denk dat meneer Kaminsky ook niet op mij gaat reageren ;)
hmm, wat zoekwerk op het net brengt inderdaad soms wat twijfel gevallen aan het licht.
Het is natuurlijk best mogelijk dat kamisky zijn test tussentijds wat heeft aangepast zonder daar een melding van te doen.
I think this tool is of questionable value. I have tried testing from work and from home, and get results that I am using name servers that are in no way related to the ones I have entered in my system configurations. I have checked with my ISP and with our DNS server admins at work, they have patched their systems. This tells me that the tool is somehow producing bad results.
JMer on July 24th, 2008 11:50 pm
bron: www.doxpara.com/?p=1185
Why does the tool say that the server is vulnerable if you run it the second time ? While the first time it said the server appears to be non-vulnerable.
Thanks.
Wat een gedoe omdat een test van één of andere pipo (even zijn bevindingen en reputatie negerende) op het internet zegt dat de DNS lek is. Als de gemeente en Getronics blijven volhouden dat het in orde is, dan is er toch niets aan de hand? Wat moeten ze doen om iedereen er van te overtuigen dat alles in orde is? Patch-rapporten opleveren? Audit laten uitvoeren? Dacht het niet. De statement dat het in orde is moet voldoende zijn. Zonde van tijd en geld dit gedoe. Ok...volgend nieuwsbericht...
Kan iemand die link naar de werken van Annie MG Schmidt eens aanpassen? De server blijft redirecten naar de homepage.
het zou de gemeente en Pink roccade/ getronics of hoe ze nu mogen heten sieren als ze Dan gewoon zouden uitnodigen om aan de wereld te laten zien dat ze het WEL op orde hebben; dat ze dit niet doen toont mij alleen maar aan dat ze niet zeker zijn van hun zaak. Erg dom dat een gemeente en de IT dienst verlener hier zo makkelijk mee omgaan.
Ja, laat hem maar eens langskomen, laat hem zien wat je gedaan hebt, en laat hem zeggen of dat veilig is. De oorspronkelijke situatie zal vast niet helemaal veilig geweest zijn, maar Getronics kennende zal er wel geen informatie bewaard zijn gebleven van wat er allemaal gefixt is, wanneer en waarom. Mijn gok is dat het inderdaad niet in orde was, maar gemeenschapsgeld kun je beter besteden aan toekomstige verbeteringen dan aan het zemelen over ouwe koeien.
Grappig hoe het probleem dus echt niet begrepen wordt door zowel Gazic zelf als de beantwoorder van de vragen (zie de 'beantwoording..'-PDF).
Ik quote:
"Deze tests heb ik ook thuis en op mijn werk uitgevoerd met een totaal andere resultaat: Your name server, at XXX.XXX.XXX.XXX, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...)."
Ook deze situatie is dus -niet- veilig, aangezien de poortnummers oplopen en dus niet willekeurig zijn. Er staat zelfs expliciet 'make sure the ports listed below aren't following an obvious pattern', maar dat wordt blijkbaar niet gelezen of gesnapt.
Uit de beantwoording wordt ook duidelijk dat het probleem niet gesnapt wordt. Het probleem is niet zozeer dat er geen patches uitgerold zouden zijn, maar dat er geen random ports worden gebruikt bij uitgaande queries. Dat dat komt door missende patches of door een NATtende firewall die random source ports weer niet-willekeurig maakt is niet relevant.
Wat je uit de PDF en de berichtgeving op zou kunnen maken is dat hoewel GPR de nameservers mogelijk wel op tijd gepatcht heeft, hun firewall het randomizen van de source port teniet lijkt te hebben gedaan. Als dat zo is, dan heeft de gemeente Amsterdam dus inderdaad een risico gelopen.
Grom. Nu loop ik zelf weer fouten te maken in bovenstaande reactie. Zo te zien was de nameserver van Gazic wel gewoon veilig (1001, 1003 e.d. horen bij de uitleg van Kaminsky's tool, niet bij het resultaat van de test).
Blijft staan dat de reactie in de PDF niet strookt met het daadwerkelijke probleem.
De situatie: bestuurders die van geen toeten noch blazen weten, zich zwaar afhankelijk opstellen naar zogenaamde professionals die hun eigen agenda hebben om hun financieel gewin veilig te stellen. Manipulatie van de hoogste orde.
Gevolg: De zogenaamde professionals krijgen gelegenheid om de doofpot te hanteren en het bestuur doet daarom geen barst om daadwerkelijk openheid te geven in de waarschijnlijke beerput omdat ze zich blind laten maken door de professionals.
Er moet een hele grote bezem door die kast gehaald worden en de verantwoordelijke professionals keihard aangepakt worden. Dit smeerwerk kan niet geaccepteerd worden met publieke zaken.
Als er straks allemaal privacy gevoelige gegevens op straat liggen zal men dan hier de schuld aan geven? Of zou het dan een 'andere' fout zijn? Ik vertrouw het niet helemaal.
Zoals hier boven ook al geopperd, laat die man tekst en uitleg geven. Ze hebben toch, net als wij, niets te verbergen?
Waarom houden politici zich bezig met zo'n futiliteit als het telecommunicatienetwerk van de gemeente Amsterdam? Politici worden geacht visie te hebben, de grote lijnen uit te zetten. Niet om op Internet te prutsen met scripts die lekke DNS-servers aantonen.
Ik kan me overigens niet voorstellen dat het netwerk van de gemeente Amsterdam niet op honderd andere plaatsen lek is. Als IT je als politicus interesseert, dwing dan een officiële audit af, maar ga niet zelf zitten bitchen. Daar word je niet voor betaald. Melden bij de netwerkbeheerder en verder hands off.
Om te kunnen reageren, dient u ingelogd te zijn.
1 jaar geleden: 14 februari 2011
4 jaar geleden: 14 februari 2008
5 jaar geleden: 14 februari 2007
6 jaar geleden: 14 februari 2006
12 jaar geleden: 14 februari 2000
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
