Hulpverleningsforum
Media => Fotografen & Journalistiek => Topic gestart door: Sem van der Wal op 28 januari 2015, 11:02:53
-
Drunense persfotograaf voor rechter na 'inbraak' in crisissysteem landelijke hulpdiensten - http://www.omroepbrabant.nl/?news/223744872/Drunense+persfotograaf+voor+rechter+na+inbraak+in+crisissysteem+landelijke+hulpdiensten.aspx (http://www.omroepbrabant.nl/?news/223744872/Drunense+persfotograaf+voor+rechter+na+inbraak+in+crisissysteem+landelijke+hulpdiensten.aspx)
-
Fotograaf 'kraakt' crisissysteem hulpdiensten
DEN BOSCH -
Een 21-jarige persfotograaf uit Drunen wordt ervan verdacht dat hij heeft ingebroken in het Landelijk Crisis Management Systeem (LCMS) dat hulpdiensten gebruiken bij calamiteiten......
Meer:
http://www.telegraaf.nl/binnenland/23610164/__Fotograaf__kraakt__systeem__.html?utm_source=t.co&utm_medium=referral&utm_campaign=twitter (http://www.telegraaf.nl/binnenland/23610164/__Fotograaf__kraakt__systeem__.html?utm_source=t.co&utm_medium=referral&utm_campaign=twitter)
-
Drunense persfotograaf voor rechter na 'inbraak' in crisissysteem landelijke hulpdiensten
DRUNEN - Een 21-jarige persfotograaf uit Drunen moet op 5 februari voor de politierechter verschijnen nadat hij zich in februari 2014 toegang had weten te verschaffen tot het Landelijk Crisis Management Systeem (LCMS). Het wachtwoord daarvoor vond hij via Google. 'Het was een amateuristische bende'.
De man had drie dagen toegang tot het LCMS, een ondersteunend systeem voor het delen van informatie en het creëren van een actueel, gedeeld totaalbeeld tijdens incidenten, rampen en crises.
Wachtwoord gevonden op Google
"Als persfotograaf vind ik dat natuurlijk wel interessant. Ik had via-via een gebruikersnaam gevonden en het wachtwoord vond ik na drie minuten zoeken op Google", zegt de verdachte tegen Omroep Brabant.
Wat hij gedurende die drie dagen meemaakte, had hij echter nooit kunnen vermoeden. Op maandagochtend 24 februari 2014 ontsnapte Peter H. uit de gevangenis in Vught. H. werd in 2007 veroordeeld tot vijftien jaar cel voor het verkrachten en vermoorden van Melanie Sijbers (15) uit Geldrop.
Klopjacht gedetineerde te volgen
Hoewel H. zich verstopt bleek te hebben in het tuinhuisje van de gevangenis, sloegen de hulpdiensten groot alarm. "Ik kon de klopjacht heel nauwkeurig volgen via het LCMS. De naam van de man, zijn geschiedenis, de toedracht, de politie-inzet, enzovoort", zegt de fotograaf.
Hij maakte screenshots van het systeem en stuurde die naar een chatgroep in WhatsApp. Een collega-fotograaf die ook in die chatgroep zat, lekte dat naar de politie.
Gearresteerd vanwege hacken
lees verder: http://www.omroepbrabant.nl/?news/223744872/Drunense+persfotograaf+voor+rechter+na+inbraak+in+crisissysteem+landelijke+hulpdiensten.aspx (http://www.omroepbrabant.nl/?news/223744872/Drunense+persfotograaf+voor+rechter+na+inbraak+in+crisissysteem+landelijke+hulpdiensten.aspx)
Publicatie: woensdag 28 januari 2015 - 08:30
Gewijzigd: woensdag 28 januari 2015 - 11:25
Auteur: Jesse van Kalmthout
-
Nee het mag niet en is niet goed te praten maar wat is die zogenaamde collega een rat!
-
Dus iemand die een strafbaar feit constateert en daarover melding maakt bij de politie is een rat? ::)
-
Dit soort systemen zijn niet om in te kijken anders was er wel een burgerversie van geweest. Gewoon uit blijven en terecht gestraft dus.
-
Nee het mag niet en is niet goed te praten maar wat is die zogenaamde collega een rat!
Hallo Jos, een beetje minder mag ook wel. Er is duidelijk iets mis gegaan op het gebied van accountnamen en wachtwoorden. Dat deze fotograaf het anders had moeten aanpakken is ook wel duidelijk, maar ik denk dat de beheerder van het systeem ook wel wat te verwijten valt. Kennelijk is het dus mogelijk om vanaf een willekeurig huisadres / IP-nummer in te loggen op het systeem. Maar het systeem is weer wel belangrijk genoeg om een arrestatieteam op te trommelen. Klinkt allemaal een beetje scheef ;-)
-
Van de pot gerukt dat je een wachtwoord kunt googelen. Dat is niet eens hacken te noemen maar nalatigheid van de overheid. Hoewel het maken en verspreiden van screenshots, anders dan voor het maken van een nieuwsartikel, laakbaar is, is het grootste vrwijt te maken naar de overheid zelf.
-
Van de pot gerukt dat je een wachtwoord kunt googelen. Dat is niet eens hacken te noemen maar nalatigheid van de overheid. Hoewel het maken en verspreiden van screenshots, anders dan voor het maken van een nieuwsartikel, laakbaar is, is het grootste vrwijt te maken naar de overheid zelf.
Een compleet wachtwoord googelen of informatie opzoeken via Google om daar vervolgens een wachtwoord mee te kraken?
Ik weet niet hoe het gegaan is (was er niet bij), maar het is sowieso al kwalijk dat je het uberhaupt probeert...
-
Tja als overheid moet je gewoon voorkomen dat dit kan gebeuren. Het is gewoon ontzettend slordig zelfs. Als ik bij de pers had gewerkt had ik proberen in te loggen denk ik.
-
Een compleet wachtwoord googelen of informatie opzoeken via Google om daar vervolgens een wachtwoord mee te kraken?
Ik weet niet hoe het gegaan is (was er niet bij), maar het is sowieso al kwalijk dat je het uberhaupt probeert...
Er zijn zat mensen die het proberen met als doel zwakheid in ICT systemen aan te tonen. Wat je vervolgens doet met die ontdekking is het punt. Ga je rondneuzen of ga je deze wetenschap neerleggen bij de verantwoordelijken.
-
Er zijn zat mensen die het proberen met als doel zwakheid in ICT systemen aan te tonen. Wat je vervolgens doet met die ontdekking is het punt. Ga je rondneuzen of ga je deze wetenschap neerleggen bij de verantwoordelijken.
Mensen krijgen er zelfs dik voor betaald om zwakheden in ICT systemen op te sporen
-
Het zou mooi zijn als de Drunense persfotograaf dan er van af komt met (maximaal) een geldboete. Het is toch potjandorie van de achterlijke dat de overheid opnieuw faalt met een ICT systeem. Kijk, dat je er drie dagen in rondsnuffelt, daar valt zeker wat over te zeggen. Een andere aanpak (na een dag aan de bel trekken) is natuurlijk veel meer gewenst. Maar het feit dat er in zo'n systeem binnen te komen valt zonder al te veel moeite, zegt meer over de overheid dan over de persfotograaf.
Wat ik mij dan wel weer af vraag: hoe kom je dan in vredesnaam aan het (web)adres van het LCMS? Dat moet je toch ook van iemand die bij de overheid werkt, te pakken hebben gekregen? Of is het ergens voorbij gekomen in een video van de overheid, waar het adres te zien was?
-
Het zou mooi zijn als de Drunense persfotograaf dan er van af komt met (maximaal) een geldboete. Het is toch potjandorie van de achterlijke dat de overheid opnieuw faalt met een ICT systeem. Kijk, dat je er drie dagen in rondsnuffelt, daar valt zeker wat over te zeggen. Een andere aanpak (na een dag aan de bel trekken) is natuurlijk veel meer gewenst. Maar het feit dat er in zo'n systeem binnen te komen valt zonder al te veel moeite, zegt meer over de overheid dan over de persfotograaf.
Wat ik mij dan wel weer af vraag: hoe kom je dan in vredesnaam aan het (web)adres van het LCMS? Dat moet je toch ook van iemand die bij de overheid werkt, te pakken hebben gekregen? Of is het ergens voorbij gekomen in een video van de overheid, waar het adres te zien was?
En precies daarom krijgt hij dus een straf: hij had best even mogen inloggen om te kijken of het werkte en waar je toegang tot hebt, laten we zeggen hooguit een aantal minuten. Dat is prima, dan meld je netjes je lek en is iedereen weer blij, maar om hele operaties te gaan volgen en dat vervolgens bewust te verspreiden vind ik zelf uit den boze. Dat doe je gewoon niet, hoe interessant en spannend het LCMS ook is.
Ik denk dat je voor het (web)adres van het LCMS maar een of 2 mensen bij de politie hoeft te kennen die je best even de functie en de werking van het systeem willen uitleggen. En zoals blijkt: hij heeft via-via een gebruikersnaam gekregen, dus hij zal via-via ook wel het (web)adres gekregen hebben.
-
En dat is inderdaad het punt, wat doe je met de verkregen informatie.
Indien het inderdaad zo is dat hij door een blunder van de verantwoordelijken het wachtwoord "op straat" heeft gevonden, kun je hem bijna niet kwalijk nemen dat hij uit nieuwsgierigheid probeert in te loggen om te kijken of dat werkt.
Vervolgens had hij daar echter ook onmiddelijk melding van kunnen en moeten maken, zodat het lek gedicht kan worden, en er niet dagen in blijven rondsnuffelen. Vervolgens deze gevoelige en niet voor hem bestemde informatie met anderen delen is natuurlijk helemaal not done.
Wat ik mij dan wel weer af vraag: hoe kom je dan in vredesnaam aan het (web)adres van het LCMS? Dat moet je toch ook van iemand die bij de overheid werkt, te pakken hebben gekregen? Of is het ergens voorbij gekomen in een video van de overheid, waar het adres te zien was?
Misschien leest de betreffende persoon hier mee en kan hij zelf het antwoord geven?
-
En in dit geval was het een fotograaf...... Een extremist had hier ook mooi zijn voordeel uit kunnen halen. Of een crimineel.
-
En precies daarom krijgt hij dus een straf: hij had best even mogen inloggen om te kijken of het werkte en waar je toegang tot hebt, laten we zeggen hooguit een aantal minuten. Dat is prima, dan meld je netjes je lek en is iedereen weer blij, maar om hele operaties te gaan volgen en dat vervolgens bewust te verspreiden vind ik zelf uit den boze. Dat doe je gewoon niet, hoe interessant en spannend het LCMS ook is.
Ik denk dat je voor het (web)adres van het LCMS maar een of 2 mensen bij de politie hoeft te kennen die je best even de functie en de werking van het systeem willen uitleggen. En zoals blijkt: hij heeft via-via een gebruikersnaam gekregen, dus hij zal via-via ook wel het (web)adres gekregen hebben.
Volledig mee eens O0
Als hij het direct had gemeld had hij waarschijnlijk zelfs nog een taart gekregen o.i.d. Lekker slim om dan foto's te gaan verspreiden....
-
Wat ik mij dan wel weer af vraag: hoe kom je dan in vredesnaam aan het (web)adres van het LCMS? Dat moet je toch ook van iemand die bij de overheid werkt, te pakken hebben gekregen? Of is het ergens voorbij gekomen in een video van de overheid, waar het adres te zien was?
Nee het staat bovenin Google. ;D
https://www.google.nl/webhp?sourceid=chrome-instant&ion=1&espv=2&es_th=1&ie=UTF-8#es_th=1&q=LCMS (https://www.google.nl/webhp?sourceid=chrome-instant&ion=1&espv=2&es_th=1&ie=UTF-8#es_th=1&q=LCMS)
-
Wat ik nog veel meer bijzonder vind.....
Als hij dus niet was gaan 'opscheppen' met zijn screenshots, was er blijkbaar niets aan de hand geweest en had'ie nog steeds mee zitten lezen. Hij is door zijn opscheppen tegen de lamp gelopen; niet doordat zijn activiteiten opgemerkt werden.
Dat doet mij vermoeden dat er meer mis is met de beveiliging van het systeem. En dat er dus meer niet-geauthoriseerden stilletjes mee zitten te lezen.
Een systeem waarin dergelijke informatie verwerkt wordt, en waar blijkbaar statische usernamen/passwoords voor gebruikt worden. Ik zeg: tssss.
Peen
-
Ik zeg: ongeschikt
-
https://www.youtube.com/watch?v=F7IzbicjG7M (https://www.youtube.com/watch?v=F7IzbicjG7M)
-
Hij maakt nou niet echt een héél heldere indruk en vindt het best wel jammer dat het nu ontdekt is. Dat werkt allemaal niet in zijn voordeel lijkt mij.
-
Welkom123... LOL. Dat is bijna net zo erg als user/pass: admin/password... zucht. Overheid en ICT. En dan met zulke gevoelige informatie. Het zou mij niks verbazen als er nog veel meer systemen bij de hulpdiensten makkelijk te 'bekijken' zijn.
Zo zie je maar weer: de mens is de zwakste schakel in het geheel.
-
Op een reportage van Omroep Brabant werd gesteld dat het een 'streng beveiligd systeem' is.
Nou een systeem met dergelijke wachtwoorden als 'Welkom123' is, euh, niet echt mega-beveiligd naar mijn (overigens zeer bescheiden) mening. 098uo
Wat een gestuntel zeg....
-
Ben zelf ook wel eens in een gepubliceerd document gebruikersnamen en wachtwoorden van LCMS tegen gekomen.
Direct gebeld met de publicerende instantie en nog steeds gelukt om mijn nieuwsgierigheid te bedwingen. 8)
Wat ik gezien heb over de inlog procedure doet mij vermoeden dat een hacker tijdens zijn lunchpauze met zijn vrije hand zich toegang kan verschaffen...
-
Het feit dat het niet is goed te praten dat de fotograaf niet meteen aan de bel heeft getrokken blijft natuurlijk staan.
Maar wat een ongelooflijk prutswerk is dit van de eigenaar en beheerders van het LCMS systeem! Als een systeem gevoelige informatie bevat die niet in handen van buitenstaanders mag vallen, en via internet bereikbaar, dan is het belachelijk dat dit in deze tijden nog steeds alleen maar met een userid/password is beveiligd, en niet al veel langer met multi factor authentication (d.m.v. bijv. een token zoals RSA of een sms naar je telefoonnummer).
Degene die hier verantwoordelijk voor is en dan ook nog eens als wachtwoord Welkom123 verzint en op internet zet, is gewoon net zo schuldig dat de geclassificeerde info op straat komt te liggen en kunnen ze ook beter vannacht nog met een arrestatieteam van zijn bed lichten en opsluiten om te voorkomen dat deze persoon nog meer schade zal aanrichten. :-X
De fotograaf is door de mand gevallen omdat hij het niet voor zich kon houden, maar de kans is dus levensgroot dat er tientallen anderen dit ook via google gevonden hebben en tijdenlang hebben kunnen meelezen, en die hebben misschien wel veel slechtere bedoelingen dan alleen wat foto's maken voor 112drunen.nl
98uiye
-
Een compleet wachtwoord googelen of informatie opzoeken via Google om daar vervolgens een wachtwoord mee te kraken?
Ik weet niet hoe het gegaan is (was er niet bij), maar het is sowieso al kwalijk dat je het uberhaupt probeert...
Er is heel veel op internet te vinden qua slecht of niet beveiligde online systemen, die gewoon via google te vinden zijn. Als ICT security je interesseert, waarom zou dat niet opzoeken?
Daar heb ik zelf ook wel eens naar gezocht en gevonden. (Niks spannend aan, meestal kleine bedrijven of privé personen.)
Alleen ga je dan niet in een systeem rondneuzen, hooguit controleren of de toegang werkt, maar stel je de beheerder of eigenaar op de hoogte. In de meeste gevallen krijg je netjes een bedankje.
Let wel we hebben het hier niet over poort scanners of andere "professionele" hack software. Dat is van een andere orde.
(En ook daar zijn gewoon search engines voor die dit al voor je hebben gedaan, en de resultaten weergeven.)
-
Ik ben ook vooral heel benieuwd hoe dat PDF'je met die login op het internet is gekomen.
Het is natuurlijk onacceptabel dat een buitenstander het systeem binnen kan komen, maar dat die jongen na die dagen rondkijken nog steeds geen melding had gemaakt is een kwalijke zaak. Ten eerste lijkt het me zeer onwaarschijnlijk dat hij per ongeluk inlogde. Hij is dus zelf op zoek gegaan naar de inloggegevens, want zoals hij zei dat hij even had Gegoogled en het wachtwoord had gevonden.
Als het je dan lukt hoor je dat netjes door te geven en niet drie dagen rond te neuzen en via Whatsapp delen.
Je zou toch zeggen dat zo'n systeem ook IP adressen zou loggen, maar blijkbaar worden de logins niet gekoppeld aan IP adressen. En op zo'n gevoelig systeem verwacht je op zn minst two-factor auth.
-
Welkom123... LOL. Dat is bijna net zo erg als user/pass: admin/password... zucht. Overheid en ICT. En dan met zulke gevoelige informatie. Het zou mij niks verbazen als er nog veel meer systemen bij de hulpdiensten makkelijk te 'bekijken' zijn.
Zo zie je maar weer: de mens is de zwakste schakel in het geheel.
Kon mijn oren niet geloven toen hij het wachtwoord opnoemden :-X Hoop dat andere systemen wel ''beter'' beveiligd zijn!
-
Je zou toch zeggen dat zo'n systeem ook IP adressen zou loggen, maar blijkbaar worden de logins niet gekoppeld aan IP adressen. En op zo'n gevoelig systeem verwacht je op zn minst two-factor auth.
Je noemt nu twee totaal verschillende dingen. IP's loggen zal vast gebeuren, dat doet zelfs dit forum. Een beetje hacker (al dan niet amateur) weet dat wel te omzeilen, die mogelijkheden worden je (net als dit soort wachtwoorden) tegenwoordig bijna in de schoot geworpen. Voorts; het koppelen van een login aan een IP-adres? Ik heb voor mijn werk diverse, op diverse manieren beveiligde logins, maar als deze aan een vast (lees: niet dynamisch) IP-adres gekoppeld zouden worden dan kan ik mijn werk niet op een normale manier uitvoeren, aangezien ik niet vanaf 1 IP adres werk.
Live noemde het al. Tegenwoordig heb je OTP's (one time password), SMS tokens of hard tokens. Daarnaast is Welkom123 niet zomaar verzonnen, maar een bijzonder standaard wachtwoord. Je kunt je afvragen of ik dat hier wel moet zeggen, maar je kunt je ook afvragen of men uberhaupt wel zulke stompzinnige standaard wachtwoorden moet gebruiken. Als elk bedrijf nou zijn eigen standaard wachtwoord (zoals MediaMarkt123) zou gebruiken dan is dat al te eenvoudig, laat staan als het algemeen wordt gebruikt.
Volgens mij waait het buiten harder dan in dit glas, maar tegenwoordig hebben we schijnbaar meer olifanten dan muggen om ons heen :-X
-
Er zijn diverse websites die een beter paswoord afdwingen dan welkom123. Die accepteren zwakke wachtwoord niet eens.
-
Kunnen we ons wel blind staren op dat wachtwoord, maar enig hulp van binnenuit is ook belangrijk, een gebruikersnaam is ook wel handig. Anders heb je niets aan dat wachtwoord. Dus zal het mij niet verbazen als iemand anders binnenkort ook wat uit te leggen heeft. En zelfs zijn eigen advocaat geeft toe dat meneer de plaatjesschieter het voorval direct had moeten melden
Wachtwoord gevonden op Google
"Als persfotograaf vind ik dat natuurlijk wel interessant. Ik had via-via een gebruikersnaam gevonden en het wachtwoord vond ik na drie minuten zoeken op Google", zegt de verdachte tegen Omroep Brabant.
Dagvaarding rept niet over LCMS
Volgens advocaat Casimir Vink is het begrijpelijk dat de Drunenaar gezien zijn werk als persfotograaf nieuwsgierig was, maar had hij zijn bevindingen wel moeten melden.
-
Kunnen we ons wel blind staren op dat wachtwoord, maar enig hulp van binnenuit is ook belangrijk, een gebruikersnaam is ook wel handig.
Natuurlijk weten we nog niet hoe hij dit exact heeft gekregen. Maar er zijn meerdere manieren hoe dit kan, het hoeft niet per se bewust gebeurt te zijn.
Denk bijvoorbeeld aan presentaties met screenshots, bijvoorbeeld op persdagen of andere publiek toegankelijke gebeurtenissen.
Maar ook functionarissen die documenten op webservers zetten die gewoon publiek toegankelijk zijn, screenshots op linkedin, facebook, etc...
Zoekt en gij zult vinden. ;)
-
Natuurlijk weten we nog niet hoe hij dit exact heeft gekregen. Maar er zijn meerdere manieren hoe dit kan, het hoeft niet per se bewust gebeurt te zijn.
Denk bijvoorbeeld aan presentaties met screenshots, bijvoorbeeld op persdagen of andere publiek toegankelijke gebeurtenissen.
Maar ook functionarissen die documenten op webservers zetten die gewoon publiek toegankelijk zijn, screenshots op linkedin, facebook, etc...
Zoekt en gij zult vinden. ;)
En daarbij worden gebruikersnamen vaak logisch gekozen waardoor ze vaak ook te beredeneren zijn.
-
En daarbij worden gebruikersnamen vaak logisch gekozen waardoor ze vaak ook te beredeneren zijn.
Precies, heb met google al een document gevonden waarin wordt uitgelegd hoe een gebruikersnaam voor LCMS is samengesteld.
En ook in dat document staat het standaard wachtwoord, met de opmerking dat het aan de gebruiker is om dit te wijzigen.
("Kies wel een wachtwoord wat je makkelijk kan onthouden".)
In de resultaten van dezelfde zoekopdracht, ook de login gegevens voor een informatiesysteem uit de gele tak.. :-[
(Voor de duidelijkheid: geen patiënten gegevens. En natuurlijk een mailtje gestuurd..)
-
Het hoeft niet eens zo te zijn dat mensen deze gegevens willens en wetens online zetten.
Zoekmachines zijn tegenwoordig zo goed dat ze ook onbeveiligde PDF files die ooit zijn verstuurd gewoon als hit vinden. Files die verstuurd worden via een externe partij omdat ze voor de mailserver te groot zijn bijvoorbeeld. Hier is jaren geleden al voor gewaarschuwd toen het internet nog niet eens zoals nu zo groot bestond en ik nog met 3.11 werkte.
-
Ik heb de test gedaan. En ja hoor, binnen 3 minuten had ik het betreffende document ook gevonden.
@Beheer: linken naar onderstaand document is niet strafbaar / gewoon toegestaan volgens de wet!
Ik heb gezocht naar: https://www.google.nl/search?q=lcms+inloggen&ie=utf-8&oe=utf-8&gws_rd=cr&ei=hP3JVJnuFoOrPI22gIAC#q=lcms+ijsselland+wachtwoord+gebruikersnaam (https://www.google.nl/search?q=lcms+inloggen&ie=utf-8&oe=utf-8&gws_rd=cr&ei=hP3JVJnuFoOrPI22gIAC#q=lcms+ijsselland+wachtwoord+gebruikersnaam)
Eerste document:
Netcentrisch Werken - Veiligheidsregio IJsselland
www.rijv.nl/data/styleit/files/Q&A_nieuwsbrief_NCW.doc (http://www.rijv.nl/data/styleit/files/Q&A_nieuwsbrief_NCW.doc)
30 mrt. 2011 - In 2011 krijgen we instructies op het LCMS. Zijn de .... Om in te loggen heb je een gebruikersnaam en wachtwoord nodig. Deze kun je bij mij ...
En in dat document staat:
De gebruikersnamen kennen een standaard opbouw:
04-achternaamvoorletter. In mijn geval is mijn gebruikersnaam 04-XXXXXXX. Het standaard wachtwoord dat je krijgt is Welkom123. Let op: je bent zelf verantwoordelijk voor het wijzigen en het beheer van je wachtwoord. Kies dus slim, zodat je je wachtwoord kunt onthouden! [naar boven]
Ik sta er echt versteld van dat het zo ongelooflijk makkelijk te vinden is. Als overheid zou ik mij echt kapot schamen en sowieso moet er bij IT beheer ook het een en ander aan koppen rollen, want - wat Hunter ook al zegt: waarom geen SMS code of token etc. etc.
Bizar. Echt bizar.
-
Het hoeft niet eens zo te zijn dat mensen deze gegevens willens en wetens online zetten.
Nee, maar in de meeste gevallen is het toch wel echt bewust op een webserver gezet.
Als de beheerder dan vergeten is om deze mappen uit te sluiten van de indexering door zoekmachines, of er een ander foutje zit in de mapstructuur, zie je die gegevens dus zo terug in Google....
Ook hier geldt de wet van Murphy .... ;)
Ik heb de test gedaan. En ja hoor, binnen 3 minuten had ik het betreffende document ook gevonden.
@Beheer: linken naar onderstaand document is niet strafbaar / gewoon toegestaan volgens de wet!
Toch zou ik de gegevens die je quote weg halen. Het document kan verwijderd worden als je de persoon daarvan op de hoogte brengt. Maar dan blijft jouw quote nog steeds zichtbaar op een publiek deel van het forum. (Het is niet "illegaal" maar ook niet netjes. Ik heb het dus niet over de link....)
Als overheid zou ik mij echt kapot schamen en sowieso moet er bij IT beheer ook het een en ander aan koppen rollen, want - wat Hunter ook al zegt: waarom geen SMS code of token etc. etc.
Dit gaat verder dan beheer, het is ook weer een voorbeeld van hoe de overheid zich laat inpakken door allerlei ICT organisaties.
-
Toch zou ik de gegevens die je quote weg halen. Het document kan verwijderd worden als je de persoon daarvan op de hoogte brengt. Maar dan blijft jouw quote nog steeds zichtbaar op een publiek deel van het forum. (Het is niet "illegaal" maar ook niet netjes. Ik heb het dus niet over de link....)
Tja, valt onder citaatrecht ;-) maar dan nog: ik mag toch hopen dat men inmiddels hard aan het werk is om deze manier van inloggen te wijzigen naar een veiligere methode. Dus de waarde van de tekst vervalt dan toch wel.
-
Tja, valt onder citaatrecht ;-) maar dan nog: ik mag toch hopen dat men inmiddels hard aan het werk is om deze manier van inloggen te wijzigen naar een veiligere methode. Dus de waarde van de tekst vervalt dan toch wel.
Het is in- en intriest dat het nog steeds op Google te vinden is en met wat voor een gemak je zo'n veilige site op kan/kon. Waarom is het nu, terwijl men aan de rechtzaak begint tegen de journalist, nog steeds op zoekmachines te vinden?
-
Het is in- en intriest dat het nog steeds op Google te vinden is en met wat voor een gemak je zo'n veilige site op kan/kon. Waarom is het nu, terwijl men aan de rechtzaak begint tegen de journalist, nog steeds op zoekmachines te vinden?
Omdat niemand zich geroepen voelt om daar verder naar te zoeken, en/of de eigenaar op de hoogte heeft gebracht? (Ik heb eerder vandaag wel een mailtje gestuurd naar VR IJsselland.)
-
En zoals te verwachten is het document nu offline gehaald. http://www.rijv.nl/data/styleit/files/Q&A_nieuwsbrief_NCW.doc (http://www.rijv.nl/data/styleit/files/Q&A_nieuwsbrief_NCW.doc)
-
Maar goed, daarmee is het probleem natuurlijk niet opgelost. Want Google kent ook cache.
Van belang is dus dat er bij de systeembeheerders van LCMS hard gewerkt wordt aan b.v. inloggen met behulp van tokens / sms verificatie etc.
-
Laat staan al die mensen die het bestand nu lokaal hebben opgeslagen.
-
Bij brandweer toch idem, zij hebben genoeg documenten op internet staan met procedure's, onder andere voor de Waarschuwing & Verkenningsdienst om een voorbeeld te noemen waar een publieke versie van is (gegevens zoals telefoonnummers zijn weggehaald), maar ook waar een interne versie voor is. Wordt nog wel eens vergeten gegevens te halen uit een intern document.
-
Het is in- en intriest dat het nog steeds op Google te vinden is en met wat voor een gemak je zo'n veilige site op kan/kon. Waarom is het nu, terwijl men aan de rechtzaak begint tegen de journalist, nog steeds op zoekmachines te vinden?
Omdat een zoekmachine niet 'live' zoekt. Google struint continu het WWW af en alles wat hij vindt wordt opgeslagen. Iets wat offline wordt gehaald (als het offline wordt gehaald...) zal vaak nog lange tijd via Google te vinden zijn. Wel kan het zijn dat een link doodloopt, maar dan nog kun je een eerder gevonden pagina uit de cache van Google halen. Heeft zo zijn voordelen, maar ook zijn nadelen. Overigens is Google dermate snugger dat ze, op basis van eerdere zoekresultaten, weten welke sites dusdanig vaak veranderen (zoals dit forum) dat ze vaker bezocht moeten worden. Daarom zijn nieuwe topics van dit forum snel te vinden via Google, wat onterecht de indruk kan wekken dat er live gezocht wordt. Alles is al een keer gevonden :)
-
Natuurlijk weten we nog niet hoe hij dit exact heeft gekregen. Maar er zijn meerdere manieren hoe dit kan, het hoeft niet per se bewust gebeurt te zijn.
Denk bijvoorbeeld aan presentaties met screenshots, bijvoorbeeld op persdagen of andere publiek toegankelijke gebeurtenissen.
Maar ook functionarissen die documenten op webservers zetten die gewoon publiek toegankelijk zijn, screenshots op linkedin, facebook, etc...
Zoekt en gij zult vinden. ;)
Je kunt me vertellen wat je wil. Maar als je doelbewust via via aan een gebruikersnaam weet te komen en vervolgens ook nog een wachtwoord weet te vinden ben je met doelbewuste acties bezig. ::)
-
Je kunt me vertellen wat je wil. Maar als je doelbewust via via aan een gebruikersnaam weet te komen en vervolgens ook nog een wachtwoord weet te vinden ben je met doelbewuste acties bezig. ::)
Het lekken van de gebruikersnaam werd bedoeld.
-
Het lekken van de gebruikersnaam werd bedoeld.
Dat lek komt ergens vandaan, en ook dat lek zal uiteindelijk boven water gaan komen. Feit is dus dat hier doelbewust ingebroken is op een site waar meneer niets te zoeken had. En hij als dat binnenkomen op de site hij het beheer van die site op de hoogte had moeten stellen. Nu heeft hij er misbruik van gemaakt.
-
Ik vraag me af hoeveel mensen er al (jaren) toegang tot hadden via deze gebruikersnaam & wachtwoord, maar die het niet gemeld hebben of naar buiten hebben gebracht. Interessante ontdekking.
Hoe dan ook wel strafbaar, want het is gewoon computervredebreuk.
-
En hij als dat binnenkomen op de site hij het beheer van die site op de hoogte had moeten stellen. Nu heeft hij er misbruik van gemaakt.
Dat staat voor mij ook niet ter discussie.
En dat bewust op zoek zijn, ja er zijn mensen die dat doen. Maar niet allemaal om er misbruik van te maken.
Het is gewoon hetzelfde als een buurtwacht.
Kom je een schuurdeur tegen die niet goed dicht lijkt, dan controleer je of die inderdaad dicht is. Zo niet dan stel je de bewoner op de hoogte. Je gaat niet eerst de schuur in, bekijkt het gereedschap, gaat ff op de fiets zitten, etc...
-
Kom je een schuurdeur tegen die niet goed dicht lijkt, dan controleer je of die inderdaad dicht is. Zo niet dan stel je de bewoner op de hoogte. Je gaat niet eerst de schuur in, bekijkt het gereedschap, gaat ff op de fiets zitten, etc...
Mooi verwoord. ;) Hetzelfde als bij auto's: Staat er een auto open met de sleutel in het contact, geeft dit jou nog niet de toestemming om 'm te starten en erin weg te rijden.
-
Feit is dus dat hier doelbewust ingebroken is op een site waar meneer niets te zoeken had. En hij als dat binnenkomen op de site hij het beheer van die site op de hoogte had moeten stellen. Nu heeft hij er misbruik van gemaakt.
Er is geen sprake van 'inbraak' of 'hacken'. Laat dat toch eens duidelijk zijn. Hacken = doelbewust schade toebrengen aan een site en daardoor proberen jezelf toegang verschaffen. Denk aan: DDOS aanval, denk aan: brute force attacks. Etc. Hacken is niet met een openbaar gepubliceerd (want ja, dat is het!) wachtwoord en gebruikersnaam inloggen op een systeem. Dat is niet de definitie van hacken.
-
Er is geen sprake van 'inbraak' of 'hacken'. Laat dat toch eens duidelijk zijn. Hacken = doelbewust schade toebrengen aan een site en daardoor proberen jezelf toegang verschaffen. Denk aan: DDOS aanval, denk aan: brute force attacks. Etc. Hacken is niet met een openbaar gepubliceerd (want ja, dat is het!) wachtwoord en gebruikersnaam inloggen op een systeem. Dat is niet de definitie van hacken.
Je bevindt je op een site waar je geen sodemieter te zoeken hebt, en verspreidt vervolgens ook nog eens informatie van die site via whats-app. Dus hoezo geen inbraak?
-
Je bevindt je op een site waar je geen sodemieter te zoeken hebt, en verspreidt vervolgens ook nog eens informatie van die site via whats-app. Dus hoezo geen inbraak?
Technisch gezien is er sprake van insluiping, niet van inbraak. De sleutel zat aan de buitenkant in het slot... ;)
-
Er is geen sprake van 'inbraak' of 'hacken'. Laat dat toch eens duidelijk zijn. Hacken = doelbewust schade toebrengen aan een site en daardoor proberen jezelf toegang verschaffen. Denk aan: DDOS aanval, denk aan: brute force attacks. Etc. Hacken is niet met een openbaar gepubliceerd (want ja, dat is het!) wachtwoord en gebruikersnaam inloggen op een systeem. Dat is niet de definitie van hacken.
Er is wel degelijk sprake van hacken, ookwel computervredebreuk genoemd: http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/computervredebreuk/#diefstal (http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/computervredebreuk/#diefstal)
"De bekendste vorm van computercriminaliteit is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk. Dit heet computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf. Hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro (art. 138ab lid 1). Onder de oude wetgeving was computervredebreuk alleen strafbaar wanneer een beveiliging werd doorbroken. Deze eis is komen te vervallen. Computerinbraak is nu strafbaar wanneer de dader wist dat hij op verboden terrein was."
Daarnaast heeft hij gegevens gekopieerd uit de website waar hij niets te zoeken heeft en geldt dus het volgende:
"Wie na het opzettelijk en wederrechtelijk binnendringen ook nog eens gegevens kopieert, kan een straf van maximaal vier jaar cel (of boete van 16.750 euro) verwachten (art. 138ab lid 2). Dit misdrijf wordt wel diefstal van gegevens genoemd, al is die term niet helemaal juist. Gegevens in een computerbestand kunnen niet worden weggenomen, en zonder wegnemen kan er geen sprake van diefstal zijn. Wat meestal gebeurt is dat de inbreker de gegevens kopieert naar zijn eigen systeem, en ze zo zelf kan gebruiken of aan derden kan doorgeven. De oorspronkelijke eigenaar heeft ze dan nog steeds. Het enige dat hij kwijt is, is de exclusieve toegang tot de gegevens."
-
Hacken = doelbewust schade toebrengen aan een site en daardoor proberen jezelf toegang verschaffen.
"Hacken" is eigenlijk veel meer dan dat, en heeft ook niks te maken met wel of niet schade toebrengen. Uiteindelijk is het gewoon een woord waar mensen verschillende betekenissen aanhangen.
Doet er ook niet toe, honderd heeft al de juiste juridische term uitgelegd, dit valt namelijk gewoon onder computervrede breuk.
-
Het lekken van de gebruikersnaam werd bedoeld.
Een gebruikersnaam is vaak niet zo geheim. En op basis van één gebruikersnaam kun je ze vrijwel allemaal beredeneren. Van lekken kun je haast niet spreken voor wat betreft gebruikersnaam.
Het wachtwoordbeleid is wel redelijk schokkend.
-
Nu kom je hier zo een paar reacties tegen, van mensen die het verafschuwen dat de jongeman dit doet, als zij wachtwoord én gebruikersnaam zouden hebben zouden ze het niet doen. Serieus? Wat als je in de trein een map vindt met een dossier van Justitie, defensie o.i.d. dan zouden ze ook allemaal géén kijkje erin nemen en het direct afleveren bij het politiebureau?
-
Het juiste vergelijk is dat de jongeman dan de map meeneemt naar huis, het een paar dagen doorleest, en een foto eruit kopieert om die het aan vrienden te laten zien. Daarna stopt hij het dossier in de kast.
Nee, ik denk dat de meeste mensen die hier reageren dat niet zouden doen.
-
Technisch gezien is er sprake van insluiping, niet van inbraak. De sleutel zat aan de buitenkant in het slot... ;)
Hij bevond zich op een site waar hij niks te maken had, en misbruikt de informatie die hij daar vond ook nog eens. En zoals blijkt is dit gewoon een misdrijf, en kan hij daarvoor beboet worden en loopt hij nu zelfs zomaar de kans 4 jaar zijn zonde te gaan overdenken tussen 4 muren. Had hij beter van te voren kunnen doen. ::)
-
Sleutel in het slot? In computertermen stond de deur wagenwijd open.
-
Sleutel in het slot? In computertermen stond de deur wagenwijd open.
En zelfs dan mag het niet....
Hetzelfde als bij auto's: Staat er een auto open met de sleutel in het contact, geeft dit jou nog niet de toestemming om 'm te starten en erin weg te rijden.
-
Sleutel in het slot? In computertermen stond de deur wagenwijd open.
Zo denk ik er ook over, sterker nog, het lijkt wel bijna een uitnodiging: "vindt de juiste inlognaam en zoek op google naar de inlogcode en kijk wat wij te bieden hebben".
En zelfs dan mag het niet....
Dat zal best maar er is niet veel aan beveiliging gedaan. Zo lijkt het bijna uitlokking.
-
Zo lijkt het bijna uitlokking.
Mooi, als jij een keer per ongeluk je voordeur open laat staan en onbekenden halen je huis leeg dan hoeven we in ieder geval geen aangifte op te nemen, dan heb je het zelf uitgelokt.
-
Als ik alle deuren open laat staan en dit op Internet zet en vertrek zal mijn verzekering mij ook een ongelovige oetlul vinden. En me dat ook nog vertellen als ik spullen kwijt ben.
-
Als ik alle deuren open laat staan en dit op Internet zet en vertrek zal mijn verzekering mij ook een ongelovige oetlul vinden. En me dat ook nog vertellen als ik spullen kwijt ben.
Dan ben je inderdaad een grote oetlul, en doe je aan uitlokking. Deze site zit niet voor niets achter een inlog, en je enkel kunt inloggen met een gebruikersaccount met daar aan gekoppeld een wachtwoord. Dat is al een teken dat je als buitenstaander niets te maken hebt op die site. Dat heeft niks met openstaande deuren te maken, want die deur was dicht. Vandaar ook dat dit een misdrijf is, en meneertje dus minimaal een geldboete kan gaan verwachten en een strafblad. Alleen maar omdat hij zo dom is geweest om zich op een site te bevinden waar hij niet te maken had. En ook nog eens de informatie op die site te gaan misbruiken door dat door te sturen. Het gaat hier allang niet alleen meer om dat inloggen. Het gaat ook over het misbruik van de informatie. Probeer het eens te begrijpen eer je reageert.
-
De deur is niet dicht. Als je wachtwoord Welkom123 gebruikt staat de deur wagenwijd open. Welkom 123, Welkom2014, Welkom2015 zijn veel gebruikte standaard wachtwoorden die gegeven worden door systeembeheerders om als eerste keer in te kunnen loggen. Het gebruik is niet handig maar als gebruikers direct afgedwongen wordt een ander WW aan te maken met daarbij een wachtwoord sterkte controle bouw je enige zekerheid op. Ook moet je regelmatig een ander WW aan laten maken.
Gebruikersnamen zijn geen onderdeel van beveiliging maar alleen een persoonsspecificatie.
-
User "administrator" met password "administrator" komt ook vaak voor en heeft een nog veel leuker effect. :-X
-
User "administrator" met password "administrator" komt ook vaak voor en heeft een nog veel leuker effect. :-X
of "Admin" "Admin"
-
Ik denk dat we kunnen concluderen dat wat hij gedaan heeft, computervredebreuk (bizarre benaming trouwens) en strafbaar is.
Maar dergelijke onachtzaamheid aan de kant van de beheerders zou ook strafbaar moeten zijn.....
-
Rechtszaak tegen persfotograaf (21) uit Drunen voor onbepaalde tijd uitgesteld
DEN BOSCH - De rechtszaak tegen de 21-jarige persfotograaf uit Drunen die vorig jaar inbrak in het Landelijk Crisismanagement Systeem (LCMS) is voor onbepaalde tijd uitgesteld.
De politierechter heeft de zaak doorverwezen naar de meervoudige kamer vanwege de ‘complexiteit en het principiële karakter’.
Nog maanden duren
“Zorgvuldigheid staat bovenaan”, zei de rechter donderdagochtend voor de rechtbank in Den Bosch.
Naar verwachting gaat het nog maanden duren voordat de zaak wordt behandeld.
Bron: http://www.omroepbrabant.nl/?news/224223542/Rechtszaak+tegen+persfotograaf+(21)+uit+Drunen+voor+onbepaalde+tijd+uitgesteld.aspx (http://www.omroepbrabant.nl/?news/224223542/Rechtszaak+tegen+persfotograaf+(21)+uit+Drunen+voor+onbepaalde+tijd+uitgesteld.aspx)
-
In de resultaten van dezelfde zoekopdracht, ook de login gegevens voor een informatiesysteem uit de gele tak.. :-[
(Voor de duidelijkheid: geen patiënten gegevens. En natuurlijk een mailtje gestuurd..)
Het GHOR bureau uit de desbetreffende regio heeft antwoord gegeven. Bedankje, login gegevens uit document verwijderd en wachtwoord veranderd. Zo kan het dus ook als je wat vind.....
(En dat is ook mijn ervaring met alles wat ik in de afgelopen jaren heb gevonden. Soms moet je wel even aandringen, maar dat is een ander verhaal)
-
40 uur werkstraf geëist tegen Drunense persfotograaf na inbraak crisissysteem hulpdiensten
http://www.omroepbrabant.nl/?news%2F231940672%2FVeertig+uur+werkstraf+geeist+tegen+persfotograaf+Drunen+na+inbraak+crisissysteem+hulpdiensten.aspx (http://www.omroepbrabant.nl/?news%2F231940672%2FVeertig+uur+werkstraf+geeist+tegen+persfotograaf+Drunen+na+inbraak+crisissysteem+hulpdiensten.aspx)
-
OM eist werkstraf tegen calamiteitenfotograaf
29 juni 2015 - Landelijk Parket
Het Openbaar Ministerie heeft maandag voor de rechtbank Den Bosch 40 uur werkstraf geëist tegen een 22-jarige calamiteitenfotograaf uit Drunen. De man wordt ervan verdacht dat hij zich eind februari 2014 onrechtmatig toegang heeft verschaft tot het Landelijk Crisis Management Systeem (LCMS).
Dit systeem ondersteunt de gecoördineerde inzet van politie, brandweer en ambulancezorg en is uitsluitend bedoeld voor Veiligheidsregio’s en hun partners.
Screenshot
Het Landelijk Parket van het Openbaar Ministerie en de politie zijn op 28 februari 2014 een onderzoek gestart, nadat een politiemedewerker via, via een screenshot van het LCMS had ontvangen. Het betrof een print screen van de melding dat een 'zeer gevaarlijke TBS'er gevlucht was'. Dat screenshot is door verdachte rondgestuurd in een Whats App-groep van hem en vier andere freelance calamiteitenfotografen. Ook deelde hij het in een andere Whats App-groep met drie anderen die, net als hij, achter meldingen van calamiteiten en rampen aangaan.
Aangifte
De 112-fotograaf wist tussen 24 en 27 februari 2014 toegang te verkrijgen tot het LCMS-systeem. Van D. had de beschikking over meerdere gebruikersaccounts. Dat is gebleken uit het opsporingsonderzoek door het team high tech crime en uit een aangifte van de beheerder van LCMS. De verdachte heeft in een politieverhoor verklaard deze inloggegevens uit open bronnen te hebben verkregen.
Kwalijk
Volgens de politie valt het standaardwachtwoord inderdaad door onbevoegden via open bronnen te achterhalen. De officier van justitie noemde het maandag “kwalijk” dat juist een systeem als LCMS zo slecht beveiligd was en onbevoegden, zoals verdachte, zich daartoe de toegang konden verschaffen. Dat laat echter onverlet dat verdachte zijn eigen verantwoordelijkheden heeft, aldus de officier van justitie. “De beschikbaarheid van de gegevens betekent niet dat er toestemming is om de gegevens ook voor eigen gewin te gebruiken en met anderen te delen.”
De uitspraak is op maandag 13 juli om 13.00 uur.
-
Lol. Dat media hem zelfs een hacker durven te noemen. De URL wordt geindexeerd door Google en vervolgens kun je via internet gewoon een gebruikersnaam en wachtwoord vinden. Dat noem ik geen hacken maar inloggen. Dat kun je verwachten als je alles openbaar op internet gooit. Hij had het natuurlijk wel meteen moeten melden en niet op zoek moeten gaan naar gevoelige informatie.
-
Ik was even benieuwd wat de daadwerkelijke uitspraak was geworden van de zaak:
http://www.thuisinhetnieuws.nl/artikel/51709/persfotograaf-krijgt-taakstraf-voor-computervredebreuk.html (http://www.thuisinhetnieuws.nl/artikel/51709/persfotograaf-krijgt-taakstraf-voor-computervredebreuk.html)
Persfotograaf krijgt taakstraf voor computervredebreuk
Drunen (Heusden): Een 22-jarige man uit Drunen is veroordeeld voor computervredebreuk. Hij vond online inloggegevens van een beveiligd systeem, logde in en verspreidde informatie. De rechtbank Oost-Brabant legt hem een taakstraf op van 80 uur, waarvan 40 uur voorwaardelijk.
De verdachte had op internet gebruikersnamen en wachtwoorden gevonden van het Landelijk Crisis Management Systeem (LCMS). Dat systeem coördineert de inzet van overheidsdiensten bij rampen en andere incidenten. Met de gegevens logde hij op meerdere momenten in op het systeem en maakte hij een screenshot van een pagina met informatie over een incident in de Penitentiaire Inrichting in Vught in 2014. Hij deelde deze schermafbeelding in een WhatsApp-groep.
Volgens de advocaat van de verdachte is het LCMS geen beveiligd systeem omdat de inloggegevens te vinden waren op openbare websites met daarbij instructies over de wijze van inloggen. Ook kan volgens de verdediging niet gesproken worden van “binnendringen”, omdat de man op reglementaire wijze verbinding maakte met de server en hem de toegang niet is geweigerd.
Oordeel van de rechtbank
De verdachte is in zijn vrije tijd 112-fotograaf en logde naar eigen zeggen uit nieuwsgierigheid in op het systeem en keek er rond. De verdachte werkt niet bij een van de overheidsdiensten waarvoor het LCMS bestemd is. Ook had hij geen toestemming om in te loggen op het systeem en heeft hij verklaard te begrijpen dat het niet de bedoeling is dat iedereen toegang heeft tot LCMS. De man moet volgens de rechtbank dus hebben geweten dat hij de aangetroffen inlognamen/accounts en wachtwoorden niet mocht gebruiken. De rechtbank stelt dat er wel degelijk sprake is van een beveiligd systeem omdat het alleen toegankelijk was na het ingeven van een inlognaam/account en een bijbehorend wachtwoord. Dat anderen fouten maken of slordig zijn bij de beveiliging van een systeem, is geen vrijbrief om zich vervolgens zonder autorisatie toegang te verschaffen tot dat systeem, zo oordeelt de rechtbank. Dat de man zich toegang verschafte met gevonden inlognamen/accounts en wachtwoorden levert “binnendringen” in de zin van de wet op.
Bij het bepalen van de straf weegt de rechtbank onder meer mee dat de man de verkregen data met anderen deelde via WhatsApp. Daardoor was er een reëel risico op verdere verspreiding. De rechtbank houdt er rekening mee dat de verdachte niet eerder is veroordeeld voor strafbare feiten en dat de negatieve gevolgen van deze strafzaak voor hem al groot zijn geweest, met name het verlies van zijn baan.
Volgens de rechtbank is de verdachte er onvoldoende van doordrongen dat dit een kwalijke zaak is. Gelet op zijn hobby als 112-fotograaf en als beheerder van een nieuwssite zou de man wellicht opnieuw in de verleiding kunnen komen om op illegale wijze informatie te verkrijgen. Om hem daarvan te weerhouden legt de rechtbank hem bovenop de geëiste onvoorwaardelijke taakstraf, ook een voorwaardelijke taakstraf op.