Een onbekende stuurde ons de 'geheime' test die Hit2000 op een aantal beveiligingsbedrijven uitvoerde, en waar we eerder deze week al melding van maakten.
Hier volgt het rapport:

----- Original Message -----
From: "Gerrie"

To:

Sent: Thursday, December 28, 2000 4:38 AM

Subject: op dit moment zijn er van security bedrijven 50 lek : svp niets
mee doen kun je gezeik mee krijgen.. media netwerkbeheerders hackers
liggen elkaar niet ;-)


Dit een officieele onderzoek van HIT2000 informatiebeveiling:

Ondanks het feit dat er veel bedrijven zijn die zich pur sang op ICT
security diensten en producten hebben gericht,
en er vele bedrijven zijn die het een aanwinst op hun diensten pakket
-en
omzet- vinden, hebben wij een onderzoek gedaan naar de beveiliging van
dat
soort bedrijven zelf, dit nadat een security bedrijf als promotie stunt
wist
te vertellend dat de door hun -random- onderzochte servers lek waren, en
dat
als groot nieuws naar buiten wisten te brengen, meestal komt het in de
handen van een redacteur die door de onzin heen prikt, en weet -net
zoals
de
meesten- dat het erg makkelijk is om in een dag duizenden lekke servers
op
het internet te vinden.

We hebben gekeken naar alle grote namen die in Nederland actief zijn op
het
gebied van ICT beveiliging, en met name E-bussiness en E-commerce en
Internet security, dit omdat we al enige tijd berichtgeving zagen, en om
commentaar werden gevraagd over persberichten die dit soort bedrijven
periodiek de deur uit doen.
Vaak zie je dat rond school vakanties -met name die wereldwijd zijn
zoals
rond kerst- en rondom data waarin in voorgaande jaren dingen zijn
gebeurd
dat bedrijven om marketing technische reden een persbericht de deur
uitdoen,
om te waarschuwen voor nieuwe virussen, lekken, aanvallen etc..etc..
hierbij
zie je geregeld dat zij direct en soms indirect naar hun producten
verwijzen
die het probleem -uiteraard- zou kunnen voorkomen.

Uiteraard is dit natuurlijk jereinste koppel verkoop, en wij hopen dat
de
media hier niet meer in trapt, sterker nog in sommige gevallen zoals het
aankondigen van virus activerings datums, en distributed denial of
service
(DDoS) aanvallen brengt dat soort bericht geving juist mensen op het
idee,
en is men indirect bezig met uitlokking.
Wij ergeren ons aan deze handelwijze, immers negatieve berichtgeving
over
computer infrastructuur en met name internet infrastructuur kent alleen
maar
1 winnaar, en dat zijn de security bedrijven, die handig met hun
producten
en diensten geld weten te verdienen aan de angst -die vaak onterecht
is-.
Men moet weten dat de meeste organisaties -gelukkig- hun interne
infrastructuur in het geheel niet aan het internet heeft hangen, en dat
de
organisaties die dat wel hebben, zich goed achter de oren moeten
krabben,
dat is namelijk nooit 100% te beveiligen, ook al claimt je leverancier
iets
anders.
Neem de proef op de som, surf naar www.hotmail.com en maak een account
aan,
verstuur daarna een mail, en doe daar een bestand bij, zoals je zult
zien
kun je elke bestand selecteren waar je toegang tot hebt, dus ook de
bestanden op gedeelte bronnen, zoals je netwerk. Indien U het bericht
kunt
verzenden, en het ook op u reguliere account thuis of op de zaak
aankomt,
heeft u organisatie een zeer grote lek, immers elke bestand waar een
persoon
die werkzaam is bij u in de organisatie en internet op de werkplek
heeft,
kan zonder enige controle -en vaak zonder achteraf te kunnen beschikken
over
adequate logfiles- elke bestand bewust of onderbewust het gebouw
verlaten.
Gezien het feit dat er al vele malen is aangetoond dat het geen enkele
probleem is om een actie uit te voeren op een computer zonder dat de
gebruiker iets hoeft te doen -zie: outlook bugs, IEX, NETSCAPE,
javascript
en java- is het vaak al mogelijk doormiddel van een simpele bezoek aan
een
website dat u bestanden gecopieerd worden.
Iets wat niet echt de bedoeling is, het afschermen van het aantal
websites
wat men mag bezoeken heeft ook geen zin, immers vrijwel alle belangrijke
websites in Nederland en daarbuiten zijn al een gekraakt -ook al is 99%
van
die kraken nooit in de media geweest!- of zullen vroeg of laat gekraakt
worden.
Om deze reden wil je niet jouw beveiliging afhankelijk laten zijn van
derden -lees: externe website-

Hierbij een kortverslag van de 87 onderzochte sites (onderaan dit
mailtje
de
volledige url list):

We hebben gekeken naar bekenden fouten die langer dan 2 maanden bekend
zijn,
en waarvoor een patch of workaround voor uit is, zodat geen enkele
partij
zich kan verschuilen achter enige excuus:

[ specifieke informatie verwijderd door redactie om mensen niet op een idee te brengen]

Ook is er hier en daar rondgekeken:
Universiteiten:

[ specifieke informatie verwijderd door redactie om mensen niet op een idee te brengen]

ISP's
XS4ALL (info volgt eind januari)
Freehosting (info volgt eind januari)

Overigens gelieve dit mailtje niet door te versturen aan degene die er
in
staan, we willen ze na eventuele publicatie zelf benaderen.
En we wensen hun het beste in het nieuwe jaar, wellicht is betere
security
wel een goed voornemen ;-))


Met vriendelijke groet/With kind regards,

G.Mansur

HIT2000 Information Security

Postbus 5028

2000 GA Haarlem

The Netherlands



Phone : +31 (0)6 16 824 675



bijlage(1): onderzochte security organisaties

www.3-angle.nl

www.acal.nl

www.axent.com

www.baltimore.com

www.bellid.com

www.bhold.net

www.bindview.com

www.biodata.com

www.bluex.com

www.brocom.nl

www.cai.com

www.capgemini.nl

www.celocom.com

www.checkpoint.com

www.cisco.com

www.cmg.nl

www.compaq.nl

www.compumatica.nl

www.comsol-net.com

www.concord-eracom.com

www.consul.com

www.controlbreak.nl

www.copymaster.nl

www.cosyco.com

www.cpa.nl

www.crypsys.nl

www.cylink.com

www.dataresults.nl

www.didata.nl

www.diginotar.nl

www.dss-nl.com

www.e92plus.com

www.edp-audit.ey.nl

www.elsevierfinancieel.nl

www.encase.nl

www.ensched-sdu.nl

www.entrust.com

www.euforce.tue.nl

www.eutron.com

www.fox-it.com

www.gemplus.com

www.gigamedia.nl

www.globalsign.net

www.gvib.nl

www.infoworld.nl

www.interaccess.nl

www.introcom.nl

www.iss.net

www.itsec.nl

www.jh-systems.nl

www.kpmg.nl

www.lanmagazine.nl

www.lcisecure-it.nl

www.megasign.nl

www.muxum.nl

www.netwerkcomputing.nl

www.networkice.com

www.norea.nl

www.norman.nl

www.onsight.nl

www.origin-it.com

www.pentasafe.com

www.pinewood.nl

www.pqr.com

www.pwcglobal.com

www.qi.nl

www.registratiekamer.nl

www.reseau.nl

www.rinner.nl

www.rittal.nl

www.rsasecurity.com

www.secgo.com

www.securant.com

www.security.nl

www.sony-cp.com

www.stonesoft.com

www.symantec.com

www.syntegra.nl

www.thunderstore.com

www.triple-p.com

www.tumbleweed.com

www.ubizen.com

www.unit4.nl

www.utimaco.com

www.veiliginternet.nl

www.vierpool-ict.nl

www.xion-consulting.com