Had ie daar uitdrukkelijke schriftelijke toestemming gehad?
Of is tie iets doorgeschoten.

Het ging dus om een aanval van binnenuit. Dat is vaak makkelijker dan van buitenaf maar de claim dat men veilig is voor aanvallen van buitenaf lijkt mij dubieus. Ik ga er van uit dat een deel van de medewerkers toch email moet ontvangen of het internet wil browsen. Een goede phish zal je waarschijnlijk wel een stepping stone naar het interne net opleveren.

Je kan jezelf nog zo hard "democratisch" en "volksrepubliek" noemen, het maakt je geen van beiden.
Je kan jezelf nog zo hard "ethisch" en "hacker" noemen, het maakt je geen van beiden.

De technische term is "pentester", en het enige wat zo iemand inhuren je vertelt is dat'ie wat gevonden heeft; of als'ie niets vindt, dat'ie niets gevonden heeft. Het zegt niets over hoeveel er nog meer te vinden is.

Dat er wat te vinden is, is niet verbazend. De hele stack van hardware, via firmware, besturingssoftware, tussensoftware, applicatiesoftware en zo verder, het zit vol met gaten en zwakheden. Dat als je administratieve toegang te pakken krijgt je overal toegang toe hebt is ook al niet verbazend, zo zijn de systemen opgezet. Dat dit te doen is, nouja gaten in de software of zelfs een simpele misconfiguratie want meestal worden de goedkoopste mensen die nog net kunnen wat er van ze verwacht wordt ingehuurd. Systeembeheer voor een enkel machientje kun je wel door MBOers laten doen maar voor een hele organisatie wordt dat snel anders, gewoon omdat de complexiteit toeneemt met de grootte.

Dit weten we al jaren. Iedereen die het niet wist had het op z'n vingers na kunnen tellen. Waarmee deze sensatie de gebruikelijke s'kiddie-hype is waar de security industrie zichzelf relevant mee probeert te maken. Het werkt al 30 jaar niet. Erger nog, je hebt helemaal niets aan zulke aankondigingen. Je zou denken van wel, maar in de praktijk toch niet. Het grotere gevaar is niet dat deze gemeente nu met de billen bloot gaat, maar al die andere gemeentes die dat nog niet gegaan zijn. En alweer, je weet absoluut niet of hiermee de kous af is.

Waarmee we onszelf met zulke berichtjes in slaap sussen dat er toch iets gebeurt dus moet het wel de goede richting op gaan... alleen dat doet het dus niet. Maar toch weer mooi in het nieuws geweest en jezelf als "ethisch" en "hacker" weggezet. Goed gedaan hoor, maar je bent en blijft een poser, een s'kiddie, en onderdeel van het probleem.

Geslaagde pentest, het falen van de beheersorganisatie is blootgelegd. Met deze resultaten is het terecht dat er op het hoogste nivo aandacht voor de problemen is.

Ik lees dat er al maatregelen genomen zijn; laten we volgend jaar eens hertesten.

En wanneer dezelfde pentester niets vindt, misschien iemand van een heel ander bedrijf ook eens laten testen. Verschillende werkwijzen kunnen verschillende resultaten opleveren en 2 zien meer dan 1.

Eens! Ik verwacht eigenlijk dat het college een andere pentester inhuurt wanneer de beheersorganisatie meldt de zaken op orde te hebben, kan de rekenkamer later nog eens een hertest door de oorspronkelijke tester laten doen.

Het door een enkele pentester laten testen heeft idd niet zo veel nut. Minstens een team maar het liefst zoiets als HackerOne maar dan moet je wel goede beloning kunnen bieden. Voor overheid onbegonnen werk tenzij men nog meer belastinggeld wil uitgeven. Dan kan men beter meer centraal proberen te regelen of dmv samenwerken. Nu zal waarschijnlijk elke gemeente het wiel opnieuw uitvinden. Maar idd de afgelopen 30 jaar is er helaas te weinig veranderd en zijn we alleen maar kwetsbaarder geworden.

Het lijkt er op dat men de gangbare bekende pentesten voor aanvallers met Cyber tools in beeld had. Deze waren opgepakt.

Waar het dan mis gaat is het onverwacht gebruik op andere manieren. In dit geval vanuit de interne fysieke locatie. Wat zou nog meer als een alternatief aanvalspunt open kunnen staan?

Ik wacht nu op de beloofde goed betaalde IT banen of is de "pentest" bedoeld om een punt te demonstreren? In dit geval is het een (nutteloze) stunt te noemen.

Niemand zet zichzelf als ethisch en hacker weg, dat doet het persbericht. En zonder te weten wat hoe het precies in zijn werk ik gegaan iemand afserveren als poser, scriptkiddie en onderdeel van het probleem gaat ook volledig onnodig lekker kort door de bocht. Opbouwen is moeilijk, afbreken des te makkelijker. Jammer dat ik in heel je bericht niets opbouwends tegenkom, terwijl je daar misschien wel ideeën over hebt. Het maakt je post onnodig betweterig en uit de hoogte. Probeer het anders nog een keer.

Zodra je toegang hebt tot GRUB in een Virtuele Machine, in wat voor cloud dan ook, een eenvoudige reboot afwachten.

The passwd command changes passwords for user accounts. A normal user
may only change the password for his/her own account, while the
superuser may change the password for any account. passwd also
changes the account or associated password validity period.

Als je ' passwd ' invoert op een systeem zonder paswoord 'et al' ???