Op basis van wiens blauwe ogen weten melders dat RevSpace geen misbruik zal maken van de verstrekte gegevens?

En mochten alle betrokkenen bij RevSpace wel te goeder trouw zijn, hoe goed hebben zij hun beveliging op orde zodat dit soort meldingen niet onbedoeld in verkeerde handen vallen?

de mijne, Bitwiper, al moet ik toegeven dat ze groengekleurd zijn.

Mocht je revspace wantrouwen (wat natuurlijk mag), dan zou ik de data zelf zo anoniem mogelijk bij hun neerleggen. Het idee hiervan is, voor zover ik begrijp, dat je je hack daar neer kan leggen, en dat hun moeilijk gaan doen met de bedrijven die hun beveiliging niet op orde hebben, in plaats dat je het zelf doet omdat je bang bent door hun aangeklaagd te worden.

De site van revspace meld ook additionele extra maatregelen die je kan nemen om het ook daadwerkelijk bij hun anoniem aan te leveren.
En daarbij hun opmerking:

'Wat we niet hebben, kunnen we ook niet lekken'

Als je de jongens van RevSpace kent weer je dat ze het beste met je voor hebben en dat misbruik wel het laatste is waar zij aan denken.

Goed initiatief jongens !

en wat als je een lek gevonden heb in dit meldpunt?

Zou het? er is toch al zoiets namelijk het NCSC vanuit de overheid. doet de overheid eindelijk eens wat, komen er weer wijsneuzen die denken het beter te kunnen doen. nog effe en we hebben er zoveel dat je niet eens meer weet waar te beginnen met het melden van lekken. Laat dit lekker over aan NCSC, RevSpace zijn zoiszo een stelletje apen met een toetsenbord. kunnen niet eens hun eigen 'meldpunt van lekken' beveiligen. ik zeg een grote FAIL.

en dan te vergeten dat deze luitjes straks met de eer weglopen in de media. dat zij al diverse lekken hebben gerapporteert en hebben verholpen (zoals nu genoemd werd) nou daar benje lekker druk mee geweest als hacker, enzij lopen met jouw eer weg.

als een Web admin niet luistert, zou je kunnen overwegen om een shell te plaatsen in zijn systeem, en hem wat screenshots van zn root map te sturen. (met de woorden, vakantie man 't is gezellig hé) (wel met de nadrukkelijke belofte niks met die gegevens te doen!!) dat zou je reputatieschade geven. 9 van de 10x worden Admins wel wakker.

Of denken jullie dat die apen van RevSpace een admin wel kunnen dwingen om hun lekken serieus te nemen? nadat jij 100x geprobeert hebt uberhaupt in contact te komen met deze admin? als je je goed verbergt hoef je ook niet bang te zijn dat ze autoriteiten inschakelen dus das geen excuus.

Beste Security Scene Team,

Kom morgen avond eens langs, misschien kan je dan een wat meer doordachte reactie geven. Binckhorstlaan 172 in Den Haag, meld ook even op IRC als je mee wilt BBQén. :)

Overheid en blind vertrouwen gaan niet goed samen.

En lekken melden bij een partij die desgewenst de AIVD en KLPD achter je aan kan sturen is toch behoorlijk 'vertrouwen'.

(Overigens zou je een stuk geloofwaardiger overkomen zonder protserige nick, verwijten, slordige spelling en belachelijke spelfauten als 'zoiszo'. Nu lijk je net een veertienjarige scriptkiddie..)

(Laatste punt: 'zou je kunnen overwegen om een shell te plaatsen in zijn systeem, en hem wat screenshots van zn root map te sturen'. Het vinden van een lek is een ding, maar inbreken en informatie stelen is een heel ander soort misdrijf. Opeens kijk je aan tegen voorarrest en dus DNA-afname aan, en in theorie maximaal vier jaar celstraf. Je zal maar net een bedrijf hebben wat zichzelf heel serieus neemt..)

@Security Scene Team,

Let op, ook aspirant hackers lezen dit, en je advies is... niet helemaal correct in mijn ogen.

Een hack melden aan de overheid is welhaast een garantie op verkeerde aaname van de informatie. Ofwel er word niets mee gedaan, ofwel je krijgt een agent aan de deur. met een streep.

Een publieke club die hacks processed, is veel beter dan dat UlTiMaTeHaXorZ weer een lekke garagehoudersite meld, dat interesseert niemand. Public exposure doet veel meer bij een bedrijf dan een melding van een puistekop met een pc.

En verder wat burne101 zegt.

Is hier een RSS feedje van zodat men het zelf kan monitoren?

BBQen? hmm.. Als jullie daarmee alle techniche problemen oplossen, dan begrijp ik wel waarom er niet op gereageert word. 't word besproken op de bbq en das dan ook alles.. of bespreken jullie elke "anonieme" melding die jullie krijgen? dat lost wat op zeg! het is te zot voor woorden om te zeggen dat 10tallen pentesters het niet voorelkaar krijgen om bij een site admin een melding te doen vanwege een lek op zijn website. en jullie strarten "iets" en jullie beweren gelijk dat jullie dat wel voorelkaar krijgen?

op z'n minst merkwaardig!

hmmhmm.. als jij iemand beoordeelt op spel fouten, en niet kijkt naar wat ik al wel opgelost heb voor mensen op dit forum. (voorbeeld: ik moest HEELVEEL mensen uitleggen INCL sommigen die nu reageren, wat FUD is.) is meer dan wat jij doet als kapitein die op wal staat! (ik bedoel bespreken jullie dat nooit op jullie BBQ?) NCSC verhaal moet ik eigenlijk wel gelijk ingeven de overheid en blind vertrouwen gaat niet samen zo bedoelde ik het eigenlijk ook niet, wat ik wel bedoelde is dat elke pentester de keus heeft om naar het NCSC te gaan. met het risico dat de KLPD achter je aankomt. Iemand ervaring mee? nee? ik wel!

ik heb "zoiszo" wel 15 (meerdere) meldingen gedaan daar, over lekke websites. Mét contact gegevens van mij zelf erbij,
ik werd vriendelijk bedankt voor mijn oplettendheid, en geen enkele blauwe smurf van de KLPD op de stoep gehad.

wat jij doet, is iemand beoordelen op spel fouten en gelijk "overderooie" bent zodra er kritiek is op jullie site ontstaat.
ik denk niet dat jullie wel voorelkaar krijgen, wat 10 zelfstandige pentesters niet voorelkaar krijgen.

gaan jullie nou maar lekker BBQen en discussieren over hoe je technich gezien een spiesje door je stukje vlees kunt halen,
dan ga ik ondertussen nog wat meldingen doen bij het NCSC(inclusief het lek op jullie anonieme meld siteje), en wat mensen helpen met hun techniche problemen hier op 't forum.
dat is wat ik graag doe, en dat is wat meerderen zouden moeten doen. i.p.v. een 1337 clubje op te zetten, en jullie zelf uitroepen tot onafhankelijke en zeer vertrouwenswaardige anonieme Hacker clubje...

just one last question..... U mad? héhéhé
en oh ja over mijn nick, dat refereet naar SSTeam (Security Scene Team) een Team die weldegelijk meer inzich heeft dan dat clubje die zich aftrekt op de foto van brenno winter.

ik zou zeggen BBQ-ze en laten we over ongeveer een week ons onze prestaties vergelijken ja(je hele club mag mee doen)? ipv typ en spel fouten te letten, zo win je een discussie niet, probeer eens een échte weerwoord tegeven.

Laters.

je bedoelt een Shell te plaatsen op jullie anonieme meld site? hahaha.. daar waag ik me niet aan joh, ik meld het lekker bij het NCSC en wacht op jullie gezichts verlies als clubje zijnde. (en oh ja, ik heb geen bedrijfje in pentesting, nooit beweert ook! puur hobbymatig)
en doe 't soms nog beter dan pentesters zoals jij.. je praat te veel en das het probleem met jullie club. BBQ en praten. nou ik besteed mijn tijd liever zinvoller.

Hmm.. publiekelijk maken van zulke hacks is niet zinvoller, je geeft een scriptkid de mogelijk om de hack uittevoeren zonder dat hij zelf na hoeft te denken. en de ervaring leert, kids kunnen zoiets niet laten. ( en de schade is groot, tja dan kan je IDD het KLPD verwachten, want je hebt hieraan bijgedragen.)

En tja UlTiMaTeHaXorZ zoals jij het noemt met een puistenkop en een pc lost niks op. maar wat lost 1 club met 10 puisten koppen en een anonieme meld site op dan? ook niks. ohja, je geeft ze het gevoel dat ze iets betekenen in de hacking scene.

wat ik liever doe is het melden bij het NCSC, de overheid duidelijk maken dat zij daar wat aan moeten doen. doen ze er niks mee is het hun probleem, maar ik heb wel mijn taak gedaan zoals een nederlandse burger dat betaamt.
of was je ook al vanplan om een stuk land te kopen alle puistenkoppen van je anonieme meld hackclubje daarheen te laten verhuizen en het als onafhankelijk land te verklaren want jah, als je de overheid zou moeten vertrouwen das ook niet de bedoeling.

ik wil in een land leven waar we alles kunnen zeggen of vinden, als ik daaraan kan bij dragen door een auto garage website de lekken kan vinden en netjes melden dan doe ik dat. het zal niemand wat interesseren (en dat interesseert mij weer niets) maar mijn steentje is bij gedragen aan iemand die hard werkt voor zijn/haar bedrijf. en dat komt vanzelf de maatschappij ten goede.

ik snap ook niet dat jullie clubje nog met de ideologie leven dat een hacker een puistenkop met een pc is. 't zegt veel over je denk vermogen. of word alles voorkauwd en uitgespuugt in jullie mond bij dat clubje. (oh ja dat verklaar het BBQ gebeuren elke keer)

Damn underachievers, they're all alike. < zie je 'm? van het hacker manifesto, zooo oud, maar nogsteeds van toepassing op o.a Revspace...... U mad? héhéhé.

im out,

keep safe stay smart and keep thinking for your self not by whats told.

Nationaal Cyber Security Center doet hier niets op uit. Ik heb laatst een 20-tal lekken in Nederlandse websites ontdekt en gemeld aan NCSC.

Het antwoord wat ik kreeg was gek genoeg en helaas ongeveer "Dit is niet onze verantwoordelijkheid, we doen alleen overheid gerelateerde websites e.d. Je moet dit zelf melden aan de hostingpartij of desbetreffende bedrijf."

Dan haak ik alweer af! Ik heb geen zin in gezeik met dat soort "houtje-touwtje" bedrijven die hun website niet op orde hebben over of je wel of niet de wet hebt overtreden en de hele reeks bijbehorende (onzin)communicatie.

Het liefst zie ik een anoniem meldpunt, maar of het goed is dat dit door hackersspace word gedaan en niet door een professioneel beveiligingsbedrijf (met genoeg juristen en advocaten achter zich) betwijfel ik.

Dan is het wachten toch maar weer op de politiek, die taak dus ook nadrukkelijk bij het NCSC neer moet leggen of wachten op een hackers bescherming van de overheid. Zolang je kunt aantonen dat je niet te ver bent gegaan, kun je de bedrijven benaderen, zonder vervolgd te worden. Dat durf ik dus nu niet aan.

Politiek Nederland, we zijn toch allemaal voor een veilig internet?

Goh,
je hebt gelijk, ook ik geef toe dat het NCSC niet naar behoren functioneert, maar wat verwacht je anders van stoffige en oude politicussen? ik denk dat de taak ook een beetje bij ons ligt simpel weg omdat nederland van ons allemaal is. niet van een groep dat zich "overheid" noemt. oke dat zijn de bestuursleden van het land, maar wij zouden moeten aantonen met onze gehele "internet generatie'' dat het beter moet. qua onze infrastructuur op ICT gebied, liggen we erg goed inde markt en als iedereen zijn steentje blijft bijdragen en blijft hameren op beterschap qua wetgeving, moet het lukken om tot de politiek door te dringen.

want ja, wat moet je anders? een clubje als die hackerspace verandert echt niet dat die websites of overheid gaan luisteren omdat zij een "normaal" hacker gemeenschap zijn ipv bijv, 1ms01337Crew. die zogenaamde hackerspace daar zitten dus koppige ouwe luitjes in (en bet-weterige studenten) die alleen hun stem niet kunnen laten horen op eigenhoutje, dus gaan ze maar samen een beetje BBQen en een anoniem sitetje oprichten. Hoezo anoniem? er bestaat ook zoiets als bewaarplicht, en de meeste skids die daar een melding doen hebben er waarschijnlijk nooit rekening mee gehouden en gewoon gemail via een simpele proxy, die waarschijnlijk niet eens zo anoniem blijkt te zijn als gedacht werd. zij kunnen jouw geen anonimiteit bieden of de zekerheid dat het verholpen word.(dus ze zijn net zo'n grote fabel, als dat over NCSC word beweerd.) ze doen gewoon iets wat je heel goed zelf kan. (BBQen kan je ook zelf trouwens)

en ook nog, mensen kunnen heel goed zelf het initiatief nemen, en zorgen dat ze een proxychain gebruiken of een goede vpn.
de commerciële vpns raad ik sterk af overigens maar das een ander verhaal. een Whois op de site doet de beheerder mail tonen waar je je beklag kunt doen over een lek in zijn site. eventueel zet je er de oplossing bij. maar plaats geen shells of ander bestand om te bezwijzen dat de site lek is(je bent dan zo schuldig als maar kan). als je hebt gemailt laat het dan rusten, wat ze er mee doen is hun zaak. jij hebt jouw steentje bij gedragen, en wellicht heb je iets geleerd (in het ergste geval) maar je bent zeker dat het klpd niet op je stoep staat.

Dus ja, ik ben geheel voor een veiliger internet.

Om even wat duidelijkheid te scheppen. Het hackmeldpunt van Revspace is opgezet door twee Revspace deelnemers. Wij hebben puur als doel om lekken gefixed te krijgen en gaan niet breeduit lekken in de media publiceren. De publicatie blijft beperkt tot 1/2 regels die het soort lek en het soort site beschrijven in de hoop dat dit de anonieme melder zekerheid kan geven dat zijn gemelde lek bij ons bekend is. Hier kan de melder dan ook zien wanneer het lek als gefixed is gemeld.

Tot nu toe zijn alle reacties van zowel ISP's als bedrijven met lekke websites uitermate positief. Wij hopen natuurlijk dat dat zo blijft. Het hele meldpunt staat echter nog in de kinderschoenen, en we hopen de komende weken een wat beter ogende site te hebben en wat meer infrastructuur te kunnen optuigen.

Het meldpunt gaat ook verhuizen naar een eigen host en domein, om zo de infrastructuur van Revspace niet meer te hoeven gebruiken en het meldpunt een losse entiteit naast revspace te laten zijn. Op termijn zullen er vermoedelijk meer mensen issues uit het meldpunt gaan oppakken, maar discretie en integriteit staat bij ons centraal. Wij hebben absoluut geen behoefte om 'misbruik' te maken van de bij ons gemelde hacks/lekken.

Natuurlijk staat het een-ieder vrij om een lek bij andere instanties te melden, maar wij zijn er voor de mensen die ons hiermee vertrouwen, of die zoiets liever uit de hacker-scene zelf zien komen ipv bij security bedrijven of de overheid.

Het hackmeldpunt is voorlopig nog even bereikbaar op meldanoniem [@] revspace.nl en op hackmeldpunt.nl

RevSpace heeft een goede reputatie en zal die natuurlijk niet zomaar op het spel zetten. Maar garanties kunnen we uiteraard niet geven.

Als je uitgaat van het principe dat beveiliging zo sterk is als de zwakste schakel, dan kom je tot de conclusie dat de communicatie van de lekken bij de zwakste schakel onversleuteld gebeurt. Wij nemen (met onze naam en contactgegevens erbij, maar namens de anonieme melder) contact op met de betreffende organisatie, en doen dat via normale onversleutelde e-mail en telefoon. Maar wie genoeg clue heeft om dat te onderscheppen, kan sowieso de lekken in websites waarschijnlijk sneller zelf vinden dan dat ze binnenkomen bij het Hackmeldpunt.

Ook die kun je anoniem melden :-). Ik kan me voorstellen dat je na al je beledigingen aan ons adres niet meer durft te vertellen wie je bent. Echter, de BBQ-uitnodiging is serieus. Kom gerust eens langs vanavond! Overigens is "het meldpunt" niet meer dan een Mailman-mailinglist op dit moment. Dat kan natuurlijk lek zijn.

Aw, wat lief van je. We zien je melding over het gat dat je in ons meldpunt hebt gevonden graag tegemoet. Het NCSC heeft andere doelstellingen dan wij. We bieden graag een alternatief, en laten dan vervolgens aan de hackers over, wie zij liever aan het werk zetten: het NCSC of de "apen met een toetsenbord" van het Hackmeldpunt...

De media schrijven over het Hackmeldpunt zonder dat wij daarom gevraagd hebben. We hebben er niet eens vooraf wat over gehoord van de journalisten in kwestie. Echter, wie graag met z'n naam in het nieuws wil, moet vooral geen meldingen doen bij een anoniem meldpunt. Wij zullen je naam namelijk niet doorgeven. De hackers die bij ons een melding doen, hebben al besloten dat ze geen behoefte hebben om bij naam genoemd te worden. Als Hackmeldpunt leggen wij de eer echter altijd bij de anonieme melder, niet bij onszelf. Wij zijn maar een doorgeefluikje.

Als je graag reputatieschade wilt aanrichten, moet je niet bij het Hackmeldpunt zijn. Wij willen dat problemen worden gefixt, en zijn niet uit op schade of publiciteit. Publiciteit is een middel dat we in principe pas inzetten als onze stille aanpak niet doeltreffend is om een lek gedicht te krijgen.

In de praktijk blijkt dat bedrijven anonieme meldingen waarop ze niet kunnen reageren, vaak niet serieus nemen. Dat is dom van ze, maar frustrerend voor de melder. Het Hackmeldpunt is in het leven geroepen zodat wij ertussen zitten en het bedrijf een aanspreekpunt heeft.

Wij doen pas aan public exposure als onderling contact niks oplevert. Vooralsnog is het niet nodig geweest!