Is toch (semi) overheid? Had iemand dan wat anders verwacht? Echt??

Ik vermoed dat de kadastrale informatie niet direct in dat portal zal zijn opgeslagen. Waarschijnlijk zijn er lekken te vinden in een of meer achterliggende systemen die op andere technologie stacks zijn gebaseerd.

Dus nu kan ik een stuk van de tuin van de buren claimen, aangezien de integriteit van de gegevens bij het Kadaster niet meer gegarandeerd is?

Er zijn ook diverse overheidssystemen die afnemen van het Kadaster. Zijn die nu illegaal bezig omdat ze informatie afnemen die mogelijk niet klopt, of informatie leveren aan het Kadaster terwijl daar de vertrouwelijkheid niet gewaarborgd wordt?

Ik ben wel benieuwd naar de juridische consequenties voor de keten.

Dat zal één van de laatste Windows servers zijn, die de overheid gebruikt.
Het verbaast mij eigenlijk dat ze nog bestaan.

In 5 gevallen bleek het om een echt datalek te gaan. Twee van deze datalekken waren zodanig van aard en omvang dat ze bij de Autoriteit Persoonsgegevens zijn aangemeld.

Say whut? Die dienen ze ALTIJD te melden hoor. Daarna kan er bekeken worden op er echt sprake is van een datalek en welke vervolg acties er uitgevoerd dienen te worden.

@ Ron625,

Daar draait helemaal geen Microsoft server, Apache, maar er zijn wel issues:
Scan gegevens.

Zie verder het diverse status overicht hier: https://observatory.mozilla.org/analyze.html?host=mijn.kadaster.nl

Onveilige tracking:
Quotes uit algemeen toegankelijke third party scans. x-content-type-options

Header not returned for x-xss-protection; Header not returned for content-security-policy, Header not returned forcache-control, Geen "best practices". Helaas ontbreekt er nog veel om te komen tot een veilig(er) infrastructuur.
Dus wegwuiven en de vingers richten op externe bedreigingen, hackers en populisme. De schuld ligt immers nooit bij jezelf.
Ik moet de eerste politicus nog ontmoeten, die toegeeft het helemaal verkeerd ingeschat te hebben, maar feitelijk moeten ze dat bijna allemaal nu doen. Neen, al leg je ze op de pijnbank ontkennen en draaien ze nog. Infrastructuur is gatenkaas, geef het nu eindelijk eens toe. Veel beveiliging is compleet incompetent of niet goed opgeleid en soms nog corrupt ook.

Oh, als toegift uit het Crypto Certificaat rapportje: Warnings
Root installed on the server.
For best practices, remove the self-signed root from the server.

Euhhh, er zijn er nog duizenden. Zelfs nog PC's met Win95. Dus waar hebben we het over?

Het lijkt er op dat nu elke niet aangebrachte Patch voor een bekend CVE als datalek bestempeld wordt.
Elke rondslingerende usb, ook die met privé kiekjes, als data lek wordt neergezet. Goed voor de klik en krantenverkopen of het reëel is of nepnieuws is nog de vraag.

Wel typisch dat er intern de cio om budgetten moet knokken, waar is dat niet het geval. Wil de toko die alles perfect heeft ingeregeld volgens de kennis van pakweg over 3 jaar zich melden. Dan kan de rest neergezet worden als "heeft ernstige datalekken".

De overheid heeft geen Windows-95 servers en ook niet duizenden Windows-Servers.
De overheid heeft ook geen Windows-95 in gebruik, mogelijk staat er nog "iets" op een vergeten apparaat in een stoffige kelder, maar dan wordt deze niet meer gebruikt.......

Natuurlijk...... Had eigenlijk ook geen ander (dom) antwoord verwacht van je.

Maar even om tot de realiteit te komen.... Of iets veilig is hangt niet direct af van het het OS waarop de applicatie draaien. Het hangt voor 95% van de applicatie af. En welk OS host nu net de meest gehackte websites? Ik zal je alvast helpen dat is niet een IIS webserver.
Ik denk dus als we naar de meest gehackte websites kijken, dat het eigenlijk raar is, dat er nog Linux webservers aan het Internet hangen. Of zal het gewoon aan de applicaties liggen waarop iets draaien? Zal dat niet een betere conclusie zijn?

En er draaien echt nog wel duizenden Microsoft servers bij de overheid. Net zoals er duizenden Linux server draaien bij de overheid. Desktops is een ander verhaal.

Van de site van de AP:

En in de FAQ:

Er staat ook onzin op hun inlog pagina. b.v. dat de inlog veilig is als de adresregel begint met "https://mijn.kadaster.nl.". Nu weet ik zeker dat ook "https://mijn.kadaster.nl.phishingsite.com" met deze tekst begint en zeker niet veilig hoeft te zijn.

Men had op zijn minst een slash achter dat "nl" moeten zetten, en zeker geen punt.

Vandaar dat ik uitga van een antieke Windows server.
Een scan met nmap geeft ook geen uitsluitsel over de web-server.

Dat is een zinsnede die alarmbellen over de betrouwbaarheid van de berichtgeving moet doen afgaan.
1/ Het is gewoonlijk onmogelijk om te bewijzen dat er voor nu en later iets over het te hebben gezien. Het is wel mogelijk een vergeten iets aan te wijzen.
Als je niet kan bewijzen dat ketens falen dan moet je aannemen dat alles goed zit. De omgekeerde bewering nuanceert de boel.
2/ een ieder die thuis is in iso27k als internationale normen weet dat het raamwerken zijn en beslist niet d es technische details met afvinklijstjes tooltje werkt volgens .... j/n.
Die moet je stuk voor stuk bij elk onderdeel uitwerken.

Het kadaster is de registratie met vastlegging zoals aangeleverd door notarissen. Wat er veranderd en hoe wordt aan betrokkenen apart medegedeeld met de optie voor onderzoek/herstel. Van alles is openbaar en controleerbaar.
Ik ben benieuwd of we echt te horen krijgen wat hier speelt.

Update:
Iemand opgevallen dat er Pdf's bij het FD over de audits (score-cards) te vinden zijn zodat je beter kan zien waarover het gaat. Kernpunten: De ICT is uitbesteed aan CAP het autorisatie proces met ltb is aan SAP opgehangen. Dan krijg je wat blokjes met de kleuren hoe belangrijk het zou zijn en wat het issue is. Daar zitten mogelijk meningen bij die weerlegd kunnen worden. Nu is de benodigde kennis daarvoor mogelijk niet meer in huis.

Wat verder kijkend het lijken normaal gangbare documenten te zijn die in een PDCA cyclus voor verbeteringen gebruikt worden.

Assumption is the mother of all.... Je bent meestal scherper.
Er staat niet dat mijn.kadaster.nl draait op verouderde webservers. Er staat vermeld dat men oa nog oude 2003 servers gebruikt, maar niet wat er op die server draait.

De website gebruikt jsp, de kans is dus veel groter dat het een Linux server is aangezien je jsp code meestal niet draait op een IIS webserver. Linux is daar veel krachtiger in, dat hoef ik je niet te vertellen.

Andere anoniem hier.
http://toolbar.netcraft.com/site_report?url=mijn.kadaster.nl
http://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fmijn.kadaster.nl
Bij http-toegang rapporteert netcraft geen OS, maar wel dat Apache Jakarta, Java servlets en SSL worden ondersteund, bij https-toegang wordt Windows 2003 als OS genoemd.

Dat scanners (of dat nou netcraft of zo is of een tool als nmap) rapporteren over het domein boven het subdomein is onzin, als je mijn.kadastaster.nl opgeeft wordt niet kadaster.nl gescand (tenzij dat dezelfde machine is), daarvoor moet je kadaster.nl opgeven. Bedoel je misschien dat load balancers het scanresultaat kunnen beïnvloeden?

En praat geen onzin over Linux. Voor de duidelijkheid: ik heb zelf een uitgesproken voorkeur voor Linux boven Windows, ik gebruik al meer dan 15 jaar niets anders op mijn eigen systemen, en ik blijf me verbazen over hoeveel ergernis de UI-stijlen van de diverse Windows-versies nog steeds bij me oproepen. Maar het is onzin om te stellen dat Linux overal beter in is. Alle besturingssystemen hebben hun sterktes en zwaktes, en wat het beste is hangt af van hoe die sterktes en zwaktes zich verhouden tot de behoeftes van een persoon of organisatie. Als een applicatie alleen op Windows draait (Wine werkt niet goed voor alles) dan is Windows domweg de enige optie voor die applicatie. Zo simpel kan het zijn, en nee, er is niet altijd een alternatief voor Linux voorhanden. Als de leverancier van een apparaat of installatie de software waarmee het wordt aangestuurd voor Windows heeft geschreven, bijvoorbeeld, dan houdt het gewoon op. Dus gooi alsjeblieft niet met absolute oordelen als "Linux is overal beter in", dan praat je net zo'n grote onzin als iemand die beweert dat Windows overal beter in is.

Zie: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

Hoezo ALTIJD melden? Volgens mij heeft het Kadaster dat goed gedaan. 2 ERNSTIGE lekken, dus melden, en 3 niet-ernstige lekken.

Dan kan Linux nog steeds beter zijn.
Dat bepaalde software niet geschreven wordt voor Linux, staat los van de kwaliteit, het zegt meer over de makers van die software.

Ik post per definitie herkenbaar. Ik werk voornamelijk met linux/unix omgevingen. Zeer teleurstellend hoe het beheer in security visie in de big data setting daar verloopt.
Het ka zo veel beter.
Vervolgens gaan de linux mensen daar niets aan doen maar lopen alleen maar af te geven op Microsoft en Windows. Zoiets werkt mogelijk ver door naar beslissers zoals bij kadaster.

Lees de documenten eens door die bin het fd gelinked staan en bedenk dan Hoe het interne politieke steekspel gaat.
Ik herken dat omdat ik zulke zaken eerder gezien heb.

Goed lezen.... Ik weet dat dit soms lastig is met oog kleppen op.


Ik lees hier oa "daarnaast" dus hebben we het over andere systemen waar de toegangs controle beperkt is. Ik lees echt nergens dat dit allemaal met mijn.kasterster.nl te maken heeft.


Ik mompel iets over, oog kleppen, trolls, flames, zinloze discussie. Beheerders die zo denken over iets, komen er gelukkig bij ons niet in. Daar heb je helemaal niets aan.


Als je de URL gebruikt mijn.kasterer.nl gebruikt, wordt je geredirect naar https://mijn.kadaster.nl/security/login.jsp. ofwel een JSP pagina. De inlog pagina is dan in iedergeval JSP. Dat de rest van de applicatie dan ook JSP is, doe ik even als een aanname.

Waarom is Linux dan nog steeds beter? Linux is krachtig, dat zal ik niet ontkennen. Ik gebruik het zelf ook veel, liefst FreeBSD moet ik zeggen.
Maar Linux bv als desktop....Daar is het nog steeds niet sterk ik. File servers is het ook niet optimaal is. En zo kunnen we wel door gaan.
Je kiest een OS op basis van de applicatie die je wilt draaien. Dan heb je de beste te pakken.

Maar zoals je vorige opmerking ook zijn. Als je oog kleppen ophebt, dan is een discussie al niet meer mogelijk.

Dat ze software bouwen voor een platform waarop waarschijnlijk de meeste klant werken.

Daarom staat er ook kan bij.Je kunt ook kiezen voor een veilig systeem en de applicatie daarop kiezen.
Er is geen beste besturingssysteem, je moet per geval beoordelen.

Kan dus ook niet zijn. Maar goed punt.


Dan zou ICT de business bepalen en dat is juist de verkeerde kant op. ICT moet ondersteunend zijn, binnen de grenzen natuurlijk.
Je kiest een applicatie, en dan kijk je waarop je dit kunt draaien. Waarop het draaien, dan natuurlijk wel een requirement zijn. Alles je infra alleen Windows servers bevat, is het niet slim om een linux server zo maar er even neer te zetten. Immers deze moet onderhouden worden. Maar als je infrastructuur weer alleen suse bevat, kan je een probleem hebben als de applicatie leverancier weer alleen redhat ondersteund.

Correct.

Ik schreef het, ik ben beslist niet karma4, en ben een aantal keer stevig tegen tegen karma4 ingegaan als die OS-discussies uitlokte door bij voorbaat te doen alsof Linux-adepten dat wel zouden gaan doen. Maar als iemand met wie ik op zich voorkeuren deel zich van hetzelfde soort argumenten bedient vind ik dat net zo min een zuivere discussie opleveren. Vandaar ;-).