[Communicatie] We zijn lek?
Sander Plas
sander.plas op piratenpartij.nl
Do Nov 21 11:10:18 CET 2013
Natuurlijk kun je zeggen dat er geen duidelijke procedures rondom het
melden van problemen zijn, maar je kunt mij niet wijsmaken dat de
'klokkenluiders' waar we het hier over hebben nog nooit van het ICT-team
(of het 'techteam') gehoord hadden en/of geen flauw idee hadden dat dit
de beste plek is om incidenten te melden.
Er is voor zover ik weet nooit sprake geweest van een 'hack' of een
misbruikt beveiligingsgat in Redmine. Degene die de software heeft
geinstalleerd heeft simpelweg niet nagedacht over het feit dat het
publiek tonen van voornaam, achternaam en e-mailadres van gebruikers die
iets in een project hebben gedaan een standaardfunctionaliteit van
Redmine is en dat dit wellicht in onze situatie niet wenselijk is.
Gevolg: voornaam, achternaam en e-mailadres van o.a. Lisa waren publiek
inzichtelijk en in google geindexeerd. Natuurlijk is dat best slordig,
maar opmerkingen over "hoe diep het systeem gepenetreerd was" zijn m.i.
niet echt van toepassing op deze situatie.
Uiteraard ben ik voor elke poging om de boel te professionaliseren.
Begin 2012 hadden we alleen een wordpress.com-blog. In de anderhalf jaar
daarna zijn er allerlei eigen websites en andere diensten door de
piratenpartij ict/techteam vrijwilligers opgezet. Veel van die
vrijwilligers zijn inmiddels niet meer (erg) actief.
Er was sprake van een ICT-team van redelijke omvang, maar door allerlei
oorzaken die er hier en nu niet echt toe doen zijn de enige mensen die
zich momenteel actief met systeembeheer bezighouden Bob en ik - en
allebei hebben we er eigenlijk geen tijd voor. Het komt op het moment
dus vooral neer op zorgen dat de boel in de lucht blijft, dat er
regelmatig sofware upgrades gebeuren en we reageren op eventuele gemelde
incidenten.
Onze insteek momenteel: wij doen alleen het "kale" systeembeheer, voor
evt. nieuwe ontwikkeling (voorbeeld dat nu speelt: nieuwe
websiteindeling) moeten aparte projectteams opgestart worden.
Heel veel input/vragen vanuit de rest van de organisatie over gewenste
uitbreidingen en wijzigingen van de ict-diensten ontvangen we trouwens
niet.
De technische infrastructuur bestaat uit 2 betaalde virtuele machines
bij TransIP (mail + proxy) en 2 door mijn bedrijf "gesponsorde" (=in
ruil voor een linkje op een uithoek van de pp website in bruikleen
gegeven) fysieke servers in een colocatiekast bij XS4ALL. Deze servers
zitten qua cpu-kracht en geheugen stampvol.
Geld voor uitbreiding van de infrastructuur, voor cursussen aan
teamleden, voor het inhuren van externe partijen voor audits of voor de
aanschaf van appeltaarten is er voor zover ik weet niet.
Hoewel ik persoonlijk vind dat binnen een organisatie van onze omvang
een informele aanpak zoals we nu hebben best prima kan werken, kan ik me
best voorstellen dat je juist binnen de Piratenpartij dingen die met
dataveiligheid te maken hebben extra goed wilt regelen.
Ik heb er alleen momenteel echt geen tijd voor om hier een heel project
van te maken. Als jij of iemand anders een voorstel voor een procedure
wil maken en/of de uitvoering daarvan wil aanjagen juich ik dat ten
zeerste toe! Als een ervaren en te vertrouwen systeembeheerder met meer
vrije tijd dan ik het werk wil overnemen trouwens ook :)
On 11/21/2013 01:30 AM, Core TX wrote:
> "An Error does not become a mistake until you refuse to correct it"
>
> Wellicht ben ik ietwat brutaal wanneer ik stel dat alle mensen in dit
> draadje een zo hoogwaardig mogelijke informatie infrastructuur wensen te
> zien.
> Zeker wanneer ik zou uitlichten dat er meerdere keren incidenten zijn
> geuit, waarna er draadjes zoals deze ontstaan waarin in alle partijgenoten
> met vingertjes naar elkaar aan het wijzen zijn. Buitengewoon zonde omdat
> de zelfde energie in gifpijlen tegen onze gemeenschappelijke politieke
> opponenten buiten de partij gestoken had kunnen worden.
> Of nog beter: Het voorkomen van toekomstige incidenten binnen de partij.
>
> Omdat het voorkomen van incidenten mijn doel is, ben ik zo vrijpostig
> geweest om het bestuur en de ledenraad alsmede ICT in CC op te nemen.
> Gezien het aankaarten van incidenten in het uitwisselen van gifpijlen
> uitmond, ben ik zo vrij geweest om een incident middels Twitter openbaar
> te maken.
> Zoals Dirk al opmerkte, zijn het partijen als Sanoma die bezwaar op
> dergelijke praktijken hebben, en niet Piratenpartijen.
> Ook zie ik een incidenten die al weken, maanden, jaren of wellicht
> langer spelen. In ieder geval bijzonder lang, zoals Roland Louter eerder
> al heeft aangekaart.
> Dit moet zo spoedig mogelijk opgelost worden.
>
> Laten we naar de Kern van de discussie verplaatsen en een aantal vragen
> stellen met als doel tot een oplossing te komen.
> Ieder orgaan mag zich geroepen voelen om hier een constructief antwoord
> op te geven.
>
> Concluderende dat er meerdere malen infosec incidenten hebben
> plaatsgevonden,
> Concluderende dat meerdere mensen en partijen dit bij herhaling *ergens*
> hebben aangekaart,
> Concluderende dat, niet alle betrokken partijen hier van op de hoogte zijn,
>
> Wens ik te weten of;
>
> A: Een incident response team bestaat, en of hier vacatures voor open staan.
> B: Audits zijn uitgevoerd na alle incidenten met als doel op te merken
> of het systeem mogelijkerwijs dieper is gepenetreerd dan aanvankelijk
> gedacht.
> C: Een eventuele audit door een 3e onafhankelijk partij is uitgevoerd,
> en of her vacatures voor open staan.
> D: De oorzaak of oorzaken van incidenten zijn gedocumenteerd en
> gecommuniceerd, zo ja - waar kan men ze vinden ?
> E: Alle eventuele "slachtoffers" van het incident of de incidenten
> persoonlijk op de hoogte zijn gesteld en of gecompenseerd.
> F: Er maatregelen zijn getroffen om soortgelijke incidenten in de
> toekomst te voorkomen. - Zo ja, welke ?
> G: Er een procedure bestaat voor het melden van incidenten, en hoe deze
> is gecommuniceerd. - Zo ja, waar en hoe ?
> H: Datalekken zijn gemeld bij het meldpunt datalekken, of dat dit
> wel/niet op de planning staat.
> I: Vulnerabilities voor of na forensisch onderzoek zijn gedicht.
> J: Waar men inzage kan krijgen in het forensisch onderzoek als dit bestaat.
> K: Er appeltaart is besteld voor de mensen die risico hebben aangekaart.
> L: Een continuïteitsplan bestaat, waar deze inzichtelijk is.
> M: Of eerder getroffen maatregelen bij incidenten van positieve,
> negatieve of geen invloed zijn geweest.
> N: een rechtenmodel inzichtelijk is, en welke organen of werkgroepen
> voor welke systemen verantwoordelijk zijn.
> O: Hoe lang onze systemen kwetsbaar zijn geweest.
> P: Wat de implicaties kunnen zijn van eventuele zwakheden in onze systemen.
> Q: Er afspraken bestaan met de werkgroep communicatie aangaande incident
> communicatie.
> R: De regelmaat van aanvallen alsook het "type" aanvaller bekend is, met
> als doel deze te contacteren.
> S: Evaluaties in de planning staan.
> T: De gebruikers van systemen is gevraagd in welke mate ze soms
> onbedoeld "misbruik" plegen. ( pwd's delen e.d )
> U: De gebruiksvriendelijkheid van systemen verbeterd zal worden.
> V: Aan welke criteria men moet voldoen om toegang te verkrijgen tot
> systemen.
> W: Met welke regelmaat er pentests worden uitgevoerd op onze systemen.
> X: Ons netwerk in handen is van betrouwbare partijen.
> Y: Wie onze peering en transit partners zijn.
> Z:Mensen met toegang tot gevoelige systemen met regelmaat training volgen.
>
> Dit zijn slechts een aantal basale vragen die "snel" uit mijn
> toetsenbord komen in het kader van riskmanagement/informatiebeveiliging
> binnen de partij.
> Ik verwacht geen SOX audits, of over 9k regeltjes - maar wel
> duidelijkheid over de situatie zodat iedereen mee kan werken aan de
> verbetering er van.
> Het niet publiceren van de informatie zou "security through obscurity" zijn.
>
> Daarom stel ik voor dat we met z'n allen antwoorden op deze vragen
> zoeken, om te bepalen of er zaken zijn voorgekomen die we in de toekomst
> kunnen voorkomen. Daar is uiteindelijk iedereen blij mij.
> Wanneer we klaar zijn, kunnen we gerust verder gaan met vingertjes
> wijzen en gifpijlen schieten.
> Mensen die daar geen zin in hebben zijn dan vervolgens vrij om de
> discussie te verlaten zonder het gevoel
> te hebben de partij "in de steek" te laten.
>
> Yarrrr,
>
> /Samir
>
>
>
> P.S
> Ik word overal en nergens uitgelachen i.v.m onze infrastructuur.
> Nu geen grote ramp, wel tijdens de EU campagne.
>
>
>
>
>
>
>
> Op 21 november 2013 00:09 schreef Lisa <lisa op piratenpartij.nl
> <mailto:lisa op piratenpartij.nl>>:
>
> Weet je wat de systemen van de Piratenpartij wél veiliger maken?
> Even een berichtje aan ICT sturen. Het probleem was 2 uur en 10
> minuten later opgelost.
>
> Maar goed... ik begrijp wel dat jij daar geen boodschap aan hebt,
> aangezien je je "niet meer geroepen [voelt] om überhaupt nog te
> helpen". Daarmee maak je het punt dat je volstrekt nutteloos wenst
> te zijn voor de partij. Gefeliciteerd met het onderbouwen van mijn
> klacht tegen jou. Het gevolg zal ik inderdaad met veel interesse
> "bekijken".
>
> - Lisa
>
>
> On 20-11-2013 23:03, Lucifer - Piratenpartij wrote:
>> Natuurlijk,
>>
>> Het bestuur zegt hier tussen de regels in: "klokkenluiden" =
>> "ondermijnend en destructief"
>>
>> Dat terwijl het publiekelijk helpen veroordelen van de
>> "klokkenluider/ethische hacker" de systemen van de Piratenpartij
>> niet veiliger maken.
>>
>> In tegendeel, hun "actie" heeft nu juist zelf op de lange termijn
>> een "ondermijnend en destructief" effect.
>>
>> Als het bestuur een meldingsprocedure voor privacy en security
>> fails wil invoeren dan behoren ze dit via een privacy protocol/HR
>> te doen.
>>
>> Het geven van "veroordelende tips" mist helaas het beoogde doel.
>>
>> Lucifer
>>
>>
>>
>> 2013/11/20 Lisa <lisa op piratenpartij.nl <mailto:lisa op piratenpartij.nl>>
>>
>> Herinner je je deze nog, Alex?
>>
>> "Dank voor de informatie, ik zal ict er op wijzen.
>> Tip voor toekomstige incidenten: een directe CC aan bestuur en
>> de werkgroep ICT was wel netjes geweest. Op deze wijze wordt
>> de indruk gewekt dat de ledenraad slechts onrust beoogt onder
>> de leden. Dit zou weinig constructief zijn, ik zou dit zelfs
>> als ondermijnend en destructief willen kenmerken. We kunnen
>> urenlang discussiëren over 'hoe het hoort' en 'de statuten'
>> etc etc, maar uiteindelijk is het belangrijk dat deze data
>> netjes wordt afgeschermd en dat bereiken we het snelst door
>> dit ook rechtstreeks en zo snel mogelijk aan ICT door te
>> spelen. Zij zijn uitstekend bereikbaar via het IRC kanaal
>> #ppnl-ict en via de mailinglijst ict op lists.piratenpartij.nl
>> <mailto:ict op lists.piratenpartij.nl> "
>>
>> 18 oktober 2013, 8:25 uur.
>>
>> - Lisa
>> /indienster van de nog in behandeling zijnde klacht/
>>
>> On 20-11-2013 19:17, Lucifer - Piratenpartij wrote:
>>> Sander,
>>>
>>> XS4ALL had voorwaarden, Piratenpartij heeft dit niet (ook
>>> niet in de vorm van huisregels)
>>>
>>> Ik heb bij het ontbreken van richtlijnen/huisregels conform
>>> de wet het juiste orgaan gewaarschuwd nl. bestuur.
>>>
>>> Dus wat is je punt?
>>>
>>> Lucifer
>>>
>>>
>>> 2013/11/20 Sander Plas <sander.plas op piratenpartij.nl
>>> <mailto:sander.plas op piratenpartij.nl>>
>>>
>>> Als je als 'ethische hacker' behandelt wilt worden zou je
>>> eerst eens
>>> kunnen beginnen jezelf als zodanig te gedragen.
>>>
>>> Ik heb op 18-10 geen enkele melding aan ict over een lek
>>> in redmine van
>>> jouw hand gezien, maar wel een poging om individuele
>>> 'lekslachtoffers'
>>> op te jutten en een mail met quasi-juridisch gedreig
>>> richting het bestuur.
>>>
>>> Dat je geen enkele interesse hebt in het zo snel mogelijk
>>> oplossen van
>>> dergelijke problemen maar des te meer in het creëren van
>>> een zo groot
>>> mogelijke rel blijkt ook nu weer. Je hebt blijkbaar
>>> informatie over een
>>> gapend beveiligingsprobleem maar je vertelt het niet aan
>>> de mensen die
>>> er iets aan zouden kunnen doen.
>>>
>>> Trouwens, uit de XS4ALL-voorwaarden van 2003:
>>>
>>> "4.4 Onverminderd het in artikel 4.3 gestelde is het
>>> klanten toegestaan
>>> het systeem van XS4ALL te hacken.
>>> De klant die als eerste erin slaagt een positie te
>>> verwerven gelijk aan
>>> de systeembeheerder van XS4ALL, krijgt van XS4ALL zes
>>> maanden gratis
>>> gebruik van het systeem aangeboden, onder voorwaarde dat de
>>> desbetreffende klant uitlegt op welke wijze hij of zij
>>> geslaagd is in
>>> het hacken, hij of zij geen schade heeft toegebracht aan
>>> het systeem en
>>> aan andere klanten en hij of zij de privacy van andere
>>> klanten heeft
>>> gerespecteerd. Iedere klant geeft bij deze toestemming
>>> aan andere
>>> klanten onder voornoemde voorwaarden te trachten het
>>> systeem te hacken."
>>>
>>> Zoals je ziet werden ook toen er al duidelijke
>>> voorwaarden gesteld
>>> waaronder "gehackt" mocht worden. Afgezien van het feit
>>> dat alleen een
>>> heel specifieke hack (nl. het verkrijgen van volledige
>>> systeembeheer-rechten) werd beloond, lijkt mij het aan
>>> anderen
>>> rondbazuinen hoe privacy-gevoelige informatie uit het
>>> betreffende
>>> systeem op te vragen is in plaats van het lek direct aan
>>> de beheerder(s)
>>> te melden, me geen uiting van het hier in de voorwaarden
>>> genoemde
>>> respect voor de privacy van andere klanten (of in dit geval,
>>> vrijwilligers).
>>>
>>> On 11/20/2013 05:50 PM, Lucifer - Piratenpartij wrote:
>>> > Sorry Sander,
>>> >
>>> > Bij XS4ALL kreeg je vroeger nog appeltaart of een
>>> gratis abonnement als
>>> > je een lek ontdekte. Die tijden zijn daar ook voorbij
>>> en vervangen door
>>> > strenge juridische voorwaarden.
>>> >
>>> > Ethische hackers worden binnen de Piratenpartij
>>> letterlijk en figuurlijk
>>> > beloond met bedreigingen en chantage door middel van
>>> klachten en royementen.
>>> >
>>> > Vergeef het me maar ik voel me op dit gebied me niet
>>> meer geroepen om
>>> > überhaupt nog te helpen. Het kost veel tijd om systemen
>>> te checken en om
>>> > als beloning 2 pagina's klacht te ontvangen en een
>>> bedreiging met
>>> > royement. Dan mag het bestuur van de Piratenpartij en
>>> de klager het
>>> > bekijken.
>>> >
>>> > Als straks op diverse pagina's komt te staan "0wn3d by
>>> Anonymous" en een
>>> > LDAP dump op pastebin terecht komt dan weten jullie
>>> precies welk systeem
>>> > lek was ;)
>>> >
>>> > tot die tijd kan ICT enkel en alleen maar haar best
>>> doen om alles zo
>>> > goed mogelijk draaiende te houden. Piratenpartij is
>>> immers off-limits
>>> > voor ethische hackers dus verwacht niet al te veel
>>> storm van meldingen
>>> > op ict op piratenpartij.nl <mailto:ict op piratenpartij.nl>
>>> <mailto:ict op piratenpartij.nl <mailto:ict op piratenpartij.nl>>
>>> >
>>> > Groet,
>>> >
>>> > Lucifer
>>> >
>>> >
>>> > 2013/11/20 Sander Plas <sander.plas op piratenpartij.nl
>>> <mailto:sander.plas op piratenpartij.nl>
>>> > <mailto:sander.plas op piratenpartij.nl
>>> <mailto:sander.plas op piratenpartij.nl>>>
>>> >
>>> > On 11/20/2013 05:11 PM, Lucifer - Piratenpartij wrote:
>>> > > De ALV had immers al bepaald dat ik het bestuur
>>> niet om mijn
>>> > manier mag
>>> > > controleren en ik hou me hieraan.
>>> >
>>> > Zouden mensen die security issues tegenkomen dit
>>> svp EERST bij
>>> > ict op piratenpartij.nl <mailto:ict op piratenpartij.nl>
>>> <mailto:ict op piratenpartij.nl
>>> <mailto:ict op piratenpartij.nl>> willen melden?
>>> >
>>> > Als daar niet snel & accuraat gereageerd blijkt te
>>> worden kun je altijd
>>> > nog een rel in een bestuursorgaan naar keuze beginnen.
>>> > _______________________________________________
>>> > Communicatie discussielijst | Piratenpartij
>>> > Communicatie op lists.piratenpartij.nl
>>> <mailto:Communicatie op lists.piratenpartij.nl>
>>> > <mailto:Communicatie op lists.piratenpartij.nl
>>> <mailto:Communicatie op lists.piratenpartij.nl>>
>>> >
>>> https://lists.piratenpartij.nl/mailman/listinfo/communicatie
>>> >
>>> >
>>> >
>>> >
>>> > _______________________________________________
>>> > Communicatie discussielijst | Piratenpartij
>>> > Communicatie op lists.piratenpartij.nl
>>> <mailto:Communicatie op lists.piratenpartij.nl>
>>> >
>>> https://lists.piratenpartij.nl/mailman/listinfo/communicatie
>>> >
>>>
>>> _______________________________________________
>>> Communicatie discussielijst | Piratenpartij
>>> Communicatie op lists.piratenpartij.nl
>>> <mailto:Communicatie op lists.piratenpartij.nl>
>>> https://lists.piratenpartij.nl/mailman/listinfo/communicatie
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> Communicatie discussielijst | Piratenpartij
>>> Communicatie op lists.piratenpartij.nl <mailto:Communicatie op lists.piratenpartij.nl>
>>> https://lists.piratenpartij.nl/mailman/listinfo/communicatie
>>
>>
>> _______________________________________________
>> Communicatie discussielijst | Piratenpartij
>> Communicatie op lists.piratenpartij.nl
>> <mailto:Communicatie op lists.piratenpartij.nl>
>> https://lists.piratenpartij.nl/mailman/listinfo/communicatie
>>
>>
>>
>>
>> _______________________________________________
>> Communicatie discussielijst | Piratenpartij
>> Communicatie op lists.piratenpartij.nl <mailto:Communicatie op lists.piratenpartij.nl>
>> https://lists.piratenpartij.nl/mailman/listinfo/communicatie
>
>
> _______________________________________________
> Communicatie discussielijst | Piratenpartij
> Communicatie op lists.piratenpartij.nl
> <mailto:Communicatie op lists.piratenpartij.nl>
> https://lists.piratenpartij.nl/mailman/listinfo/communicatie
>
>
More information about the Communicatie
mailing list