Hallo!

Eergister kwam een onderzoek naar buiten over de (on)veiligheid van Hyves. Kort gezegd, het is mogelijk om dingen te zien van een groot aantal gebruikers, ook al hebben zij hun profiel afgesloten voor het publiek.

Twee websites hebben hierover geschreven en gepubliceerd. Gevolg: zij (en Hyves) komen in de pers, Hyves gaat er naar kijken.

Maar hoe ver mag je gaan? Ik ben van plan om een redelijk onderzoek te doen naar een ander onderwerp wat laatst in de pers is gekomen, over beveiliging van websites. Ik praat hier over een (tot nu toe nog onbekend) aantal websites. Deze websites zitten aangesloten bij één website. Die website zal dus ook worden besproken in mijn onderzoek.

Als ik dat onderzoek (klaar over een à twee weken) zou plaatsen, kan die website mij dan aanklagen?

Hoop dat dit duidelijk is, mocht dit niet zo zijn hoor ik het graag :-)

Vriendelijke groeten,
Chris H.

http://www.security.nl/artikel/27700...losure%3F.html

Raar. Dus de manier waarop je het artikel publiceert, de boodschap, geeft aan of je een rechtszaak kan krijgen of niet? Zoals al in de comments daar werd gezegt; dat is een grijs en glad gebied dus...

Ligt er ook aan welk belang jij erbij hebt. Waarom wil jij de mogelijk falende beveiliging in de publiciteit brengen?

Lastig om dat te zeggen, zonder direct het onderwerp van mijn onderzoek te noemen. Het zou gaan om een paar honderd-duizend mensen te waarschuwen..

Zou je niet beter de desbetreffende website benaderen?

Als je dit doet om de problemen onder de aandacht te brengen (dus niet omdat je zelf een concurrerende site hebt en je concurrente 'zwart' wilt maken) lijkt het me geen probleem. Maar het zou mischien wel netjes zijn om bijvoorbeeld een week van te voren de betreffende site op de hoogte te brengen voor je het zelf publiceert zodat zij de problemen in de tussen tijd misschien kunnen verhelpen.

Chris,

Ik begrijp je belang er niet bij? En ja een bedrijf kan je aanklagen als de inhoud belastelijk is.

Voor de duidelijkheid, het is een onderzoek naar de beveiliging. Het zijn dus géén concurrenten van mij!

Ik merk dat het té lastig is om niets te vertellen. Ik hoop dat het met de tekst hieronder duidelijker wordt.

De vereniging waarover ik een artikel over wil plaatsen, heeft ongeveer 750 "leden", die elk een website hebben. De vereniging stelt een aantal eisen, voordat een lid wordt goedgekeurd. Mijn onderzoek gaat over de eisen die de vereniging stelt tegenover de (on)veiligheid van de websites van de leden.

De leden hebben bij elkaar een aantal miljoen bezoekers per maand. Mijn "belang" is dan ook om die bezoekers te waarschuwen.

Ik hoop dat dit het duidelijk maakt..

Ik zou hier erg mee uitkijken omdat het (gezien je bedrijfswerkzaamheden) ook kan worden gezien als dwangmiddel om een opdracht binnen te halen.

Dit bedoel ik in de zin van:
- jij vind een groot beveilingslek en benaderd de partij die hiervoor verantwoordelijk is.
- deze geven je stank voor dank, en willen geen gebruik maken van je diensten
- jij besluit de exploit te publiceren om wat meer druk te zetten achter het hele geheel

Ik ga er overigens niet van uit dat dit je doel is, maar voor de "buitenwereld" heb je toch enig bedrijfsbelang bij het publiceren van de exploit.

Ik snap waar je naar toe wilt gaan, en ben blij dat jij dit (ook) inziet. Ik heb op dit moment nog geen enkele partij benaderd, dat ga ik pas doen als het onderzoek afgerond is. Ik zal dan eerst contact opnemen met de vereniging en hun antwoord afwachten.

Het belang dat ik/het bedrijf er bij heeft, is enige publiciteit. Uiteindelijk gaat het om het maatschappelijke belang.

Origineel gepost door Chris H

Ik snap waar je naar toe wilt gaan, en ben blij dat jij dit (ook) inziet. Ik heb op dit moment nog geen enkele partij benaderd, dat ga ik pas doen als het onderzoek afgerond is. Ik zal dan eerst contact opnemen met de vereniging en hun antwoord afwachten.

Dit lijkt me inderdaad het beste, wellicht haal je er dan nog een opdracht mee binnen ;)

Origineel gepost door Chris H

Het belang dat ik/het bedrijf er bij heeft, is enige publiciteit. Uiteindelijk gaat het om het maatschappelijke belang.

Hier ben ik het niet helemaal mee eens, als jij het "wereldwijd" publiceert komt dit de maatschappij niet ten goede, scriptkiddies zullen namelijk gebruik gaan maken van de exploit waardoor de gebruikersgegevens die je juist wil beschermen massaal naar buiten komen.

Ik spreek helaas uit ervaring met een exploit die ik ontdekte in Joomla 1.5.x - 1.5.5
Destijds heb ik de exploit op het publieke bugforum geplaatst waarna 1.5.6 al binnen 24uur werdt vrijgegeven.

http://forum.dutchjoomla.org/t36792-...gegeven.html#5

Toch zijn er in die 24uur honderdduizenden sites gehackt omdat ik helaas teveel informatie heb vrijgegeven. Daar komt nog bij dat veel mensen niet upgraden en zelfs vandaag de dag nog versie < 1.5.6 draaien. (spijt achteraf)

Wel eens aan het feit gedacht dat de webmasters in sommige gevallen er al lang van op de hoogte zijn dat hun script een beetje onveilig is....
Dat ik een val plaats voor een ander, betekend nog niet dat jij er in moet trappen!
Want ik beloof dat ik je op alle mogelijke manieren leeg zal plukken!!!

Ik zou het niet kunnen waardeerden, en als ik na aanleiding van die publicatie gehackt word, kom ik toch echt bij jou terecht aangezien jij daar toe aan zet!

Toch zijn er in die 24uur honderdduizenden sites gehackt omdat ik helaas teveel informatie heb vrijgegeven. Daar komt nog bij dat veel mensen niet upgraden en zelfs vandaag de dag nog versie < 1.5.5 draaien. (spijt achteraf)

Tja en dat krijg je ervan, en nu begrijp je misschien mijn reactie...
Hoe je het ook went of keert, over 10 jaar gebruiken sommige nog steeds dat script.
Wellicht bij mij op een gedeelde server, hun gehackt: Mijn sites plat.
U word bij voorbaat hartelijk bedankt!

Dat soort troep hou je gewoon voor je, en bezoek beter eens een vacature site als je om werk verlegen zit ;-)

Origineel gepost door Ralf H.

Wel eens aan het feit gedacht dat de webmasters in sommige gevallen er al lang van op de hoogte zijn dat hun script een beetje onveilig is....
Dat ik een val plaats voor een ander, betekend nog niet dat jij er in moet trappen!
Want ik beloof dat ik je op alle mogelijke manieren leeg zal plukken!!!

Ik zou het niet kunnen waardeerden, en als ik na aanleiding van die publicatie gehackt word, kom ik toch echt bij jou terecht aangezien jij daar toe aan zet!


Tja en dat krijg je ervan, en nu begrijp je misschien mijn reactie...
Hoe je het ook went of keert, over 10 jaar gebruiken sommige nog steeds dat script.
Wellicht bij mij op een gedeelde server, hun gehackt: Mijn sites plat.
U word bij voorbaat hartelijk bedankt!

Dat soort troep hou je gewoon voor je, en bezoek beter eens een vacature site als je om werk verlegen zit ;-)

Ik vind dit toch wel verreweg de meest belachelijke reactie van dit jaar.

Ralf, bij bestaat het vermoeden dat een van uw websites is gehacked, wellicht nadat bekend werd dat het systeem wat u gebruikt een exploit bevatte.

Het bekend maken van een beveiligingsrisico, is juist iets waardoor een systeem veiliger wordt. Door dit niet te vermelden, zullen hackers tóch wel erachter komen dat er ergens een fout zit. Doordat dit wordt vermeld bij de maker (er zijn natuurlijk ook andere websites waar exploits op staan zoals milw0rm), kan de maker van het systeem een update uitbrengen die ervoor zorgt dat de exploit niet meer werkt. Op die manier is de schade kleiner, dan wanneer het alleen op fora wordt vermeld die bekend zijn bij hackers.

Dat soort troep hou je gewoon voor je, en bezoek beter eens een vacature site als je om werk verlegen zit ;-)

Niet mee eens dus, en over uw "persoonlijke aanval"; ik héb al een baan :-)
@Z Tas, had jij dit gemeld bij de "Joomla Bugsquadteam" of gewoon op het (publiekelijke) forum? Dan begrijp ik dat er in die 24 uur een groot aantal websites zijn gehacked. Had jij ook een dusdanige exploit geschreven waarin precies werd omschreven wáár de fout zich bevat, en hoé deze kon worden misbruikt?

Dit ben ik namelijk niet van plan. Ten eerste, omdat van die 750 websites er vrij weinig websites zijn die hetzelfde systeem gebruiken. Ten tweede, geef ik niet eens aan wélke websites er precies fouten bevatten. Ik geef enkel statistieken weer; aantal geteste websites - percentage van het aantal websites welke fouten bevatten.

Op die manier blijf ik (in tegenstelling overigens tot de schrijver van dat Hyves gebeure) veilig, ik geef niet aan wélke websites er precies fouten bevatten.

Origineel gepost door Chris H

@Z Tas, had jij dit gemeld bij de "Joomla Bugsquadteam" of gewoon op het (publiekelijke) forum? Dan begrijp ik dat er in die 24 uur een groot aantal websites zijn gehacked. Had jij ook een dusdanige exploit geschreven waarin precies werd omschreven wáár de fout zich bevat, en hoé deze kon worden misbruikt?

De exploit was door derden "ontdekt" en geplaatst op milw0rm.

Toen ik de proof of concept tegenkwam heb ik een post geplaatst op het publieke forum omdat ik destijds nog geen contacten had binnen het Joomla team.

Maargoed waar het om gaat is dat publicatie niet altijd ten goede komt van de gebruikers, ondanks dat er (in mijn geval) mede daardoor zo snel een fix is uitgebracht.