E-mailserver Brenno de Winter gehackt
Een aanvaller is erin geslaagd de e-mailserver van IT-journalist Brenno de Winter te hacken, waarbij duizenden e-mails mogelijk zijn ingezien. De Winter besloot de hack zelf via Twitter en Webwereld te melden. "Het kon niet uitblijven: Ontdekte dat ook mijn server gekraakt is vanochtend. Fout van mijn kant."
Twintig minuten na de publicatie werd de journalist naar eigen zeggen door een verslaggever van de Telegraaf gebeld, die over de hack was ingelicht. De Winter laat verder via Twitter weten dat niet de Telegraaf achter de aanval zit, maar alleen werd geïnformeerd.
Bronnen
De IT-journalist draaide op zijn persoonlijke mailserver een kwetsbare versie van e-mailclient Twig (The Web Information Gateway). Volgens Webwereld ging het om een bekende kwetsbaarheid, terwijl De Winter via Twitter meldt dat het om een nog niet gedocumenteerd lek gaat. Eerder liet hij op Twitter weten dat de fout aan zijn kant zat. Daardoor kreeg de aanvaller, waarvan het spoor naar een KPN IP-adres wijst, toegang tot de server en kon mogelijk duizenden e-mailberichten inzien.
De Winter organiseerde samen met Webwereld Lektober, waarbij er deze maand elke dag een beveiligingslek in de website van een overheidsdienst of andere organisatie werd aangetoond. De kwetsbare applicatie is inmiddels van de server verwijderd. Wat betreft de communicatie met tipgevers over deze lekken zegt de journalist dat hij daarvoor andere boxen, kanalen en mail gebruikte. Ook zou gevoelige e-mail naar een offline server worden gedownload. Tipgevers zouden dan ook geen risico lopen.
Zero-day
Tegenover Webwereld laat De Winter nu weten dat de aanvallers een zero-day kwetsbaarheid in Twig hebben gebruikt om toegang tot de server te krijgen."Respect dat ze de code van Twig hebben gedownload en daar een nieuw lek in hebben gevonden", zegt de journalist. "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."
Motief
De aanvallers, die zichzelf "Kwik, Kwek en Kwak" noemen, hebben een uitgebreid verslag over de aanval gemaakt en dat naar de Telegraafverslaggever gestuurd. De Winter zou het verslag hebben ingezien. Daarin staat dat hij met Lektober te ver is gegaan en bepaalde bedrijven ten onrechte aan de schandpaal heeft genageld. Ook zou het inmiddels een vrijbrief zijn voor het aanvallen van willekeurige bedrijven, en daarmee alleen maar angst verspreiden.
Update: zero-day vermelding toegevoegd
Update2: beweegredenen aanvallers toegevoegd
Reacties (33)
Wat een kots reactie van BdW. Hoog van de toren blazen als er ergens anders een probleem is en nu hij zelf de klos is de zaak een beetje bagitaliseren.
30-10-2011, 19:02 door
grizzler
Hoezo bagatelliseren? In tegenstelling tot wat hierboven staat, beweert Webwereld helemaal nergens dat het om een bekende kwetsbaarheid ging.
[admin] Dat is inmiddels door WW in de eigen tekst aangepast [/admin]
[admin] Dat is inmiddels door WW in de eigen tekst aangepast [/admin]
Het was geen bekende kwetsbaarheid. En ik ben zelf hiermee naar buiten getreden. Juist om het niet onder het tapijt te schuiven.
Door Anoniem: Laatste update van Twig ..... 2005 moet ik nog meer zeggen.
Ik zat ook te denken, zo een oud programma die al 6 jaar niet meer is onderhouden/bijgewerkt?
30-10-2011, 20:36 door
[Account Verwijderd]
[Verwijderd]
Als Webwereld problemen bij anderen rapporteert is het een 'lek' en schreeuwt men moord en brand; als dezelfde technieken tegen ze gebruikt worden is het ineens een 'cyberaanval'... Kan iemand even wat boter op Brenno's hoofd photoshoppen?
31-10-2011, 00:18 door
Bitwiper
Als ik Google cache mag geloven was het op 25 oktober ook goed mis op één van Brenno's websites, namelijk http://dewinter.com/. In Google's cache http://webcache.googleusercontent.com/search?q=cache:Ocfx7KFyvggJ:dewinter.com/+&cd=1&hl=en&ct=clnk:
Hoe dan ook, verderop de Google-cache pagina staat nog:Als je nu naar https://dewinter.com/twig/ gaat krijg je een self-signed certificate aangeboden, als je dat accepteert zie je een pagina met daarin:
De laatste versie van TWIG is volgens http://informationgateway.org/: "2.8.3 (3/29/2005)" en als je de daaronder genoemde twig-2.8.3.tar.gz downloadt dateren alle bestanden daarin van 2005-03-29 of eerder. Interessant is dat uit http://bugs.informationgateway.org/view_all_bug_page.php valt op te maken dat er ondertussen wel degelijk bugs gefixed zijn - maar die zijn kennelijk niet in de "latest" distributie terechtgekomen. Ook zijn die fixes niet terug te vinden in de laatste te downloaden twig-cvs-10-30-2011.tar.gz (van vandaag!) - naast dat er een aantal (niet relevante) files zijn toegevoegd, dateert de laatste relevante wijziging van 2005-10-13 in twig.table.mysql (waarin bij het creëren van tabellen steeds DEFAULT '0' is verwijderd, dat lijkt weer te maken te hebben met UTF8 problemen, zie http://bugs.mysql.com/bug.php?id=11819).
Daarnaast vermeldt in elk geval http://seclists.org/fulldisclosure/2007/Dec/412 een kwetsbaarheid in Twig 2.8.3 waarvan de status mij verder onbekend is.
This is Google's cache of http://dewinter.com/. It is a snapshot of the
page as it appeared on 25 Oct 2011 09:31:55 GMT.
page as it appeared on 25 Oct 2011 09:31:55 GMT.
Buy acyclovir
Order Acyclovir discount
buy cheap Acyclovir online August, 2011 at 6:31 pm
Ask your doctor about asiklovira, the only preparation made payable physician and used to treat all types of herpes.
[...]
Ook snapshots van langer geleden van dewinter.com geven dat beeld, zie http://web.archive.org/web/20110714024305/http://dewinter.com/ (ik moet tot 20090402170413 terug in de tijd voor Brenno's content).Order Acyclovir discount
buy cheap Acyclovir online August, 2011 at 6:31 pm
Ask your doctor about asiklovira, the only preparation made payable physician and used to treat all types of herpes.
[...]
Hoe dan ook, verderop de Google-cache pagina staat nog:Als je nu naar https://dewinter.com/twig/ gaat krijg je een self-signed certificate aangeboden, als je dat accepteert zie je een pagina met daarin:
Not Found
Apologies, but the page you requested could not be found. Perhaps searching will help.
Welke versie van TWIG door Brenno gedraaid werd weet ik dus niet (mocht dat 2.8.3 zijn geweest, deze wordt zo te zien best nog gebruikt, zie bijv. https://www.math.duke.edu/secure/twig/ en https://webmail.phys.ethz.ch/twig/).Apologies, but the page you requested could not be found. Perhaps searching will help.
De laatste versie van TWIG is volgens http://informationgateway.org/: "2.8.3 (3/29/2005)" en als je de daaronder genoemde twig-2.8.3.tar.gz downloadt dateren alle bestanden daarin van 2005-03-29 of eerder. Interessant is dat uit http://bugs.informationgateway.org/view_all_bug_page.php valt op te maken dat er ondertussen wel degelijk bugs gefixed zijn - maar die zijn kennelijk niet in de "latest" distributie terechtgekomen. Ook zijn die fixes niet terug te vinden in de laatste te downloaden twig-cvs-10-30-2011.tar.gz (van vandaag!) - naast dat er een aantal (niet relevante) files zijn toegevoegd, dateert de laatste relevante wijziging van 2005-10-13 in twig.table.mysql (waarin bij het creëren van tabellen steeds DEFAULT '0' is verwijderd, dat lijkt weer te maken te hebben met UTF8 problemen, zie http://bugs.mysql.com/bug.php?id=11819).
Daarnaast vermeldt in elk geval http://seclists.org/fulldisclosure/2007/Dec/412 een kwetsbaarheid in Twig 2.8.3 waarvan de status mij verder onbekend is.
31-10-2011, 07:51 door
[Account Verwijderd]
[Verwijderd]
Door rookie: Er zijn een paar dingen die je echt nooit moet doen: Dat is o.a. (grote) bedrijven gaan uitlachen (en in de media natrappen) wanneer ze gehacked zijn, want dat komt altijd als een boomerang terug.
te veel gerookt rookie?
Dit soort advies is overbodig voor mensen die dergelijke bekendheid nou juist via de media willen bereiken.
Je advies is wel van toepassing als je een goeie whitehat hackers wil worden oid.
@bitwiper Goed gevonden, het lijkt er inderdaad op dat dewinter.com al vaker gehacked is. Ben benieuwd wat de redactie van security hiermee doet, Brenno confronteren hiermee of laten ze het rusten ?
"Wat een kots reactie van BdW. Hoog van de toren blazen als er ergens anders een probleem is en nu hij zelf de klos is de zaak een beetje bagitaliseren."
Sommige mensen begrijpen niet dat de vraag of bijvoorbeeld Digid kwetsbaar is, of een EPD, ''ietsje'' belangrijker is dan de vraag of de mailserver van Brenno de Winter kwetsbaar is. Of host BdW soms privacy gevoelige data van miljoenen Nederlanders, en heeft een lek op zijn mailserver tot gevolg dat met onze gegevens identiteitsfraude kan worden gepleegd ?
Not all leaks are created equal, denk ook aan de vraag welk risico je loopt met een bepaald lek, en of je op iedere IT infrastructuur dezelfde mate van beveiliging dient te verwachten. Ik vind het geen kots reactie, eerder een sportieve reactie, omdat hij verder geen kritiek uit op de hackers, in tegenstelling tot de meeste gehackte organisaties, die wel onze gegevens beheren.
Sommige mensen begrijpen niet dat de vraag of bijvoorbeeld Digid kwetsbaar is, of een EPD, ''ietsje'' belangrijker is dan de vraag of de mailserver van Brenno de Winter kwetsbaar is. Of host BdW soms privacy gevoelige data van miljoenen Nederlanders, en heeft een lek op zijn mailserver tot gevolg dat met onze gegevens identiteitsfraude kan worden gepleegd ?
Not all leaks are created equal, denk ook aan de vraag welk risico je loopt met een bepaald lek, en of je op iedere IT infrastructuur dezelfde mate van beveiliging dient te verwachten. Ik vind het geen kots reactie, eerder een sportieve reactie, omdat hij verder geen kritiek uit op de hackers, in tegenstelling tot de meeste gehackte organisaties, die wel onze gegevens beheren.
ISSX zegt op webwereld uit frustratie gehandeld te hebben. Nu vraag ik mij af: welke frustatie? Dat een klein, nieuw clubje nooit de pers komt en Brenno wel?
"Er zijn een paar dingen die je echt nooit moet doen: Dat is o.a. (grote) bedrijven gaan uitlachen (en in de media natrappen) wanneer ze gehacked zijn, want dat komt altijd als een boomerang terug."
Lol, ik denk niet dat Brenno het met je eens zal zijn. Vind jij de vraag of Brenno's mailserver kwetsbaar is even belangrijk vanuit journalistiek oogpunt als de vraag of DigiD en dergelijke kwetsbaar zijn ? Brenno had je van te voren ook wel kunnen vertellen dat de beveiliging van zijn server minder goed is en hoeft te zijn, en ik denk niet dat hij hier echt wakker van ligt.
Lol, ik denk niet dat Brenno het met je eens zal zijn. Vind jij de vraag of Brenno's mailserver kwetsbaar is even belangrijk vanuit journalistiek oogpunt als de vraag of DigiD en dergelijke kwetsbaar zijn ? Brenno had je van te voren ook wel kunnen vertellen dat de beveiliging van zijn server minder goed is en hoeft te zijn, en ik denk niet dat hij hier echt wakker van ligt.
Dit soort reakties van bedrijven maakt mij alleen nog maar actiever om lekken en gaten te vinden in hun infrastructuur. Natuurlijk met als doel om ze te helpen om hun infrastructuur te verbeteren en hun serviceverlening aan ons, brave burgers, te verbeteren. ;-)
Tijd om ISSX een lesje te leren nietwaar?, uit frustratie zeg maar. Tja wie komt, wie maalt. Vuur met vuur bestrijden. Ach, het geeft aan hoe infantiel het Internet en haar gebruikers zijn. 100% beveiliging bestaat niet, ik durf te stellen dat ook jouw voordeur kwetsbaar is voor sleutel bumpen. Data op een server is publiek domein, het zit niet voor niets in een map genaamd: /public_html/. behandel het ook zo: alle data op een server is publiek domein.
Een snelle analyse leert mij dat ISSX draait op een Joomla of Mambo wat ze hebben proberen te verbergen door herkenbare opmaak te verwijderen, security through obscurity. ISSX->95.170.72.180 is een shared server. Waarschijnlijk een kleine VPS (geen dedicated) en deelt IP space met 57 andere websites. 1 lek vinden in de 57 andere websites en de beveiliging van ISSX is geschiedenis. Een beveligingsbedrijf wat Joomla of WordPress draait op een een shared server kun je niet serieus nemen. Tijd om de handjes weer eens te strekken, kijken of ik nog in vorm ben. Niemand komt aan onze Brenno! Expect us... ;-)
haha!
je kan er een heel verhaal aan besteden, maar als je je web applicatie(TWIG) onder een local root account draait heb je elke vorm van security basics gemist!. En ben je niks beter dan de gemiddelde gemeente.
En mensen die dit soort fouten maken, worden niet serieus genomen in de security wereld dus ga maar lekker recepten schrijven voor een kookboek ofzo..
je kan er een heel verhaal aan besteden, maar als je je web applicatie(TWIG) onder een local root account draait heb je elke vorm van security basics gemist!. En ben je niks beter dan de gemiddelde gemeente.
En mensen die dit soort fouten maken, worden niet serieus genomen in de security wereld dus ga maar lekker recepten schrijven voor een kookboek ofzo..
"En mensen die dit soort fouten maken, worden niet serieus genomen in de security wereld dus ga maar lekker recepten schrijven voor een kookboek ofzo.."
Brenno is geen beveiliger, maar een journalist. Ga maar weer lekker slapen.
Brenno is geen beveiliger, maar een journalist. Ga maar weer lekker slapen.
31-10-2011, 11:59 door
Security Scene Team
wat is hier nou weer interessant aan? een journalistje die eens zelf flink de oren gewassen krijgt van een misschien wel beter getalenteerde hacker(s). Nee jongen, van mij zulje geen vraag krijgen en ik hoef al helemaal niet je boek te lezen.
Quote van brenno: "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."
Idd mooie 0days, die heb je zelf niet kunnen vinden blijkt. dus mijn vraag rijst stiekem toch wel: Waarom bemoei jij je met lektober als je niet eens een 0day kan vinden in twig? (en nee voor deze vraag hoef ik je boek niet lol)
en hoe kan je nou twig gebruikers beter beschermen tegen 1 0day? misschien hebben ze er wel meer.. weet jij veel..
ik bedoel, hoe kan je nou anderen Tips geven en vragen laten stellen over Hacking / security, terwijl je je eigen zooitje niet eens op orde hebt?
moet die brenno de winter nou een voorbeeld zijn voor alle beveiligings expert in nederland? bah.
Of nog beter, met zijn 'Lektober' project hadie beter zijn eigen servers enof diensten kunnen laten testen.
en zoals Anoniempje boven mij al gezegt heeft "Joh, schrijf toch een kookboek!"
+1 voor de hacker.
Quote van brenno: "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."
Idd mooie 0days, die heb je zelf niet kunnen vinden blijkt. dus mijn vraag rijst stiekem toch wel: Waarom bemoei jij je met lektober als je niet eens een 0day kan vinden in twig? (en nee voor deze vraag hoef ik je boek niet lol)
en hoe kan je nou twig gebruikers beter beschermen tegen 1 0day? misschien hebben ze er wel meer.. weet jij veel..
ik bedoel, hoe kan je nou anderen Tips geven en vragen laten stellen over Hacking / security, terwijl je je eigen zooitje niet eens op orde hebt?
moet die brenno de winter nou een voorbeeld zijn voor alle beveiligings expert in nederland? bah.
Of nog beter, met zijn 'Lektober' project hadie beter zijn eigen servers enof diensten kunnen laten testen.
en zoals Anoniempje boven mij al gezegt heeft "Joh, schrijf toch een kookboek!"
+1 voor de hacker.
31-10-2011, 12:27 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Lol, ik denk niet dat Brenno het met je eens zal zijn. Vind jij de vraag of Brenno's mailserver kwetsbaar is even belangrijk vanuit journalistiek oogpunt als de vraag of DigiD en dergelijke kwetsbaar zijn ? Brenno had je van te voren ook wel kunnen vertellen dat de beveiliging van zijn server minder goed is en hoeft te zijn, en ik denk niet dat hij hier echt wakker van ligt.
Ik denk at hij hier wel van wakker ligt, want (1) zijn geloofwaardigheid is afgenomen en (2) de gegevens van zijn, veelal anonieme tipgevers (die anoniem willen blijven), liggen nu mogelijk op straat.Haha, ben ik even blij dat ik hem nog niet gemaild heb. Zal hem op Infosecuirty wel even knippen en scheren......
31-10-2011, 16:41 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem: Laatste update van Twig ..... 2005 moet ik nog meer zeggen.
hahaha ja..en dan een zero day lek vinden..php code die niet ontwikkeld wordt voor 6 jaar en dan piepen..ongelofelijk..
Ik vind het vrij hypocriet om te klagen met enorme koppen in webwereld waar bedrijven flink voor door het stof mogen gaan maar zelf zo een oude versie op je bak hebben en dan piepen dat het allemaal zo oneerlijk en fout is.
31-10-2011, 22:58 door
Security Scene Team
Door @n0nym0u$:
Brenno is een onderzoeksjournalist, misschien weet je niet wat dat inhoudt? Maar het is zijn taak/baan om misstanden op te sporen en aan de kaak te stellen..
Door Security Scene Team: wat is hier nou weer interessant aan? een journalistje die eens zelf flink de oren gewassen krijgt van een misschien wel beter getalenteerde hacker(s). Nee jongen, van mij zulje geen vraag krijgen en ik hoef al helemaal niet je boek te lezen.
Quote van brenno: "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."
Idd mooie 0days, die heb je zelf niet kunnen vinden blijkt. dus mijn vraag rijst stiekem toch wel: Waarom bemoei jij je met lektober als je niet eens een 0day kan vinden in twig? (en nee voor deze vraag hoef ik je boek niet lol)
en hoe kan je nou twig gebruikers beter beschermen tegen 1 0day? misschien hebben ze er wel meer.. weet jij veel..
ik bedoel, hoe kan je nou anderen Tips geven en vragen laten stellen over Hacking / security, terwijl je je eigen zooitje niet eens op orde hebt?
moet die brenno de winter nou een voorbeeld zijn voor alle beveiligings expert in nederland? bah.
Of nog beter, met zijn 'Lektober' project hadie beter zijn eigen servers enof diensten kunnen laten testen.
en zoals Anoniempje boven mij al gezegt heeft "Joh, schrijf toch een kookboek!"
+1 voor de hacker.
Quote van brenno: "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."
Idd mooie 0days, die heb je zelf niet kunnen vinden blijkt. dus mijn vraag rijst stiekem toch wel: Waarom bemoei jij je met lektober als je niet eens een 0day kan vinden in twig? (en nee voor deze vraag hoef ik je boek niet lol)
en hoe kan je nou twig gebruikers beter beschermen tegen 1 0day? misschien hebben ze er wel meer.. weet jij veel..
ik bedoel, hoe kan je nou anderen Tips geven en vragen laten stellen over Hacking / security, terwijl je je eigen zooitje niet eens op orde hebt?
moet die brenno de winter nou een voorbeeld zijn voor alle beveiligings expert in nederland? bah.
Of nog beter, met zijn 'Lektober' project hadie beter zijn eigen servers enof diensten kunnen laten testen.
en zoals Anoniempje boven mij al gezegt heeft "Joh, schrijf toch een kookboek!"
+1 voor de hacker.
Brenno is een onderzoeksjournalist, misschien weet je niet wat dat inhoudt? Maar het is zijn taak/baan om misstanden op te sporen en aan de kaak te stellen..
Zijn taak, is het om te onderzoeken en aan de kaak te stellen. precies zoals je het zegt, alleen gaat deze gast nog een paar stappen verder. onderandere, de winter maakt zicht schuldig aan het opruien van andere mensen d.m.v. lektober. mensen die eraan deelnemen zijn niet eens onderzoeks journalisten. wie geeft hen het recht om 'het' recht in eigen hand te nemen? dat is onze brenno ja. Laat de overheid maar eens net als alle andere EU landen komen met een Cyber militatie. hij misbruikt het woord "onderzoeks journalistiek" om zijn illegale activiteiten te rechtvaardigen. Ook zet hij de Testers die veel geld en tijd in hun Tester bedrijf steken in een kwaad daglicht. kijk we zijn hier in nederland, niet in Amerika.
en anoniemp van 18:10 +1
Jammer dat ISSX zelf ook nog niet klaar is met het beveiligen van hun eigen services, zo te zien.
Dus Brenno, jij kan nu weer aan zet zijn, en dat eens publiek maken.
.q.
Ps.
wie gebruikt er nu nog een niet goed gehardende apache server... tssss.
enter, enter, tweak, install, klaaaar is ISSX. maar niet heus.
Dus Brenno, jij kan nu weer aan zet zijn, en dat eens publiek maken.
.q.
Ps.
wie gebruikt er nu nog een niet goed gehardende apache server... tssss.
enter, enter, tweak, install, klaaaar is ISSX. maar niet heus.
"Ik denk at hij hier wel van wakker ligt, want (1) zijn geloofwaardigheid is afgenomen en (2) de gegevens van zijn, veelal anonieme tipgevers (die anoniem willen blijven), liggen nu mogelijk op straat."
Hoezo is zijn geloofwaardigheid afgenomen ? Brenno is een journalist, en niet een beveiligingsonderzoeker of pentester. Verder denk ik dat het met je tweede suggestie wel mee zal vallen, tenzij je er natuurlijk vanuit gaat dat ISSX gevonden gegevens gaat dumpen, om zo hun eigen faillissement te bewerkstelligen.
Hoezo is zijn geloofwaardigheid afgenomen ? Brenno is een journalist, en niet een beveiligingsonderzoeker of pentester. Verder denk ik dat het met je tweede suggestie wel mee zal vallen, tenzij je er natuurlijk vanuit gaat dat ISSX gevonden gegevens gaat dumpen, om zo hun eigen faillissement te bewerkstelligen.
Door Security Scene Team:
Zijn taak, is het om te onderzoeken en aan de kaak te stellen. precies zoals je het zegt, alleen gaat deze gast nog een paar stappen verder. onderandere, de winter maakt zicht schuldig aan het opruien van andere mensen d.m.v. lektober. mensen die eraan deelnemen zijn niet eens onderzoeks journalisten. wie geeft hen het recht om 'het' recht in eigen hand te nemen? dat is onze brenno ja. Laat de overheid maar eens net als alle andere EU landen komen met een Cyber militatie. hij misbruikt het woord "onderzoeks journalistiek" om zijn illegale activiteiten te rechtvaardigen. Ook zet hij de Testers die veel geld en tijd in hun Tester bedrijf steken in een kwaad daglicht. kijk we zijn hier in nederland, niet in Amerika.
en anoniemp van 18:10 +1
Door @n0nym0u$:
Brenno is een onderzoeksjournalist, misschien weet je niet wat dat inhoudt? Maar het is zijn taak/baan om misstanden op te sporen en aan de kaak te stellen..
Door Security Scene Team: wat is hier nou weer interessant aan? een journalistje die eens zelf flink de oren gewassen krijgt van een misschien wel beter getalenteerde hacker(s). Nee jongen, van mij zulje geen vraag krijgen en ik hoef al helemaal niet je boek te lezen.
Quote van brenno: "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."
Idd mooie 0days, die heb je zelf niet kunnen vinden blijkt. dus mijn vraag rijst stiekem toch wel: Waarom bemoei jij je met lektober als je niet eens een 0day kan vinden in twig? (en nee voor deze vraag hoef ik je boek niet lol)
en hoe kan je nou twig gebruikers beter beschermen tegen 1 0day? misschien hebben ze er wel meer.. weet jij veel..
ik bedoel, hoe kan je nou anderen Tips geven en vragen laten stellen over Hacking / security, terwijl je je eigen zooitje niet eens op orde hebt?
moet die brenno de winter nou een voorbeeld zijn voor alle beveiligings expert in nederland? bah.
Of nog beter, met zijn 'Lektober' project hadie beter zijn eigen servers enof diensten kunnen laten testen.
en zoals Anoniempje boven mij al gezegt heeft "Joh, schrijf toch een kookboek!"
+1 voor de hacker.
Quote van brenno: "Ze hebben een mooie zero-day gevonden, waardoor we nu alle Twig-gebruikers beter kunnen beschermen."
Idd mooie 0days, die heb je zelf niet kunnen vinden blijkt. dus mijn vraag rijst stiekem toch wel: Waarom bemoei jij je met lektober als je niet eens een 0day kan vinden in twig? (en nee voor deze vraag hoef ik je boek niet lol)
en hoe kan je nou twig gebruikers beter beschermen tegen 1 0day? misschien hebben ze er wel meer.. weet jij veel..
ik bedoel, hoe kan je nou anderen Tips geven en vragen laten stellen over Hacking / security, terwijl je je eigen zooitje niet eens op orde hebt?
moet die brenno de winter nou een voorbeeld zijn voor alle beveiligings expert in nederland? bah.
Of nog beter, met zijn 'Lektober' project hadie beter zijn eigen servers enof diensten kunnen laten testen.
en zoals Anoniempje boven mij al gezegt heeft "Joh, schrijf toch een kookboek!"
+1 voor de hacker.
Brenno is een onderzoeksjournalist, misschien weet je niet wat dat inhoudt? Maar het is zijn taak/baan om misstanden op te sporen en aan de kaak te stellen..
Zijn taak, is het om te onderzoeken en aan de kaak te stellen. precies zoals je het zegt, alleen gaat deze gast nog een paar stappen verder. onderandere, de winter maakt zicht schuldig aan het opruien van andere mensen d.m.v. lektober. mensen die eraan deelnemen zijn niet eens onderzoeks journalisten. wie geeft hen het recht om 'het' recht in eigen hand te nemen? dat is onze brenno ja. Laat de overheid maar eens net als alle andere EU landen komen met een Cyber militatie. hij misbruikt het woord "onderzoeks journalistiek" om zijn illegale activiteiten te rechtvaardigen. Ook zet hij de Testers die veel geld en tijd in hun Tester bedrijf steken in een kwaad daglicht. kijk we zijn hier in nederland, niet in Amerika.
en anoniemp van 18:10 +1
Dat ben ik :)
Ik ben het helemaal met je eens, aan de kaak stellen kan op verschillende manieren gebeuren en het lijkt er meer op dat omdat het nu zo hot is het meteen met Telegraaf koeienletters gepubliceerd moet worden.
Dat verdient IMHO niet de schoonheidsprijs, je kan het algemene probleem best met koeienletters publiceren maar ga niet moord en brand schreeuwen omdat je een XSS ergens vind.
Notify de admins van de website en voel jezelf er goed over dat je iemand geholpen hebt en besteed aandacht aan het onderliggende probleem: in 99 van de 100 keer input validatie.
En als je dan zo schreeuwt zorg dat iig dat je je eigen server en methodes wel voldoen aan de door jouw gestelde security norm.
Het encrypten van mail levert alleen maar integrity van berichten op (mits goed encrypt) maar de A van CIA ben je snel kwijt als mensen je mails gewoon deleten.
Kan best een leuke opdracht tussen zitten voor Dhr Winter.
Afgezien ik vind dat het simpelweg hypocriet is, als onze Petertje R de Vries opeens betrapt wordt met coke onder zijn neus en een beretta aan het kopen is van een dealer dan zal deze ook niet snel meer als integer overkomen.
Vind dat ISSX wel net zo hard meeschreeuwt, ook hier kan je volgens mij wat beter in handelen.
Ik hou niet zo van schreeuwen : "jij bent slecht!" , "nee jij bent nog slechter!!"
Kaart liever algemeen het probleem aan zodat mensen er over na gaan denken en gebruik wat voorbeelden (hoeft geen eens zo in depth of specifiek te zijn) om je punt bij te zetten maar maak er niet zo een prive rtl boulevard roddel rubriek van :)
My 0,02$
Michiel
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
