<div dir="ltr">"An Error does not become a mistake until you refuse to correct it"<br><br>Wellicht ben ik ietwat brutaal wanneer ik stel dat alle mensen in dit draadje een zo hoogwaardig mogelijke informatie infrastructuur wensen te zien.<div>
Zeker wanneer ik zou uitlichten dat er meerdere keren incidenten zijn geuit, waarna er draadjes zoals deze ontstaan waarin in alle partijgenoten</div><div>met vingertjes naar elkaar aan het wijzen zijn. Buitengewoon zonde omdat de zelfde energie in gifpijlen tegen onze gemeenschappelijke politieke opponenten buiten de partij gestoken had kunnen worden.</div>
<div>Of nog beter: Het voorkomen van toekomstige incidenten binnen de partij.<br><br></div><div>Omdat het voorkomen van incidenten mijn doel is, ben ik zo vrijpostig geweest om het bestuur en de ledenraad alsmede ICT in CC op te nemen.</div>
<div>Gezien het aankaarten van incidenten in het uitwisselen van gifpijlen uitmond, ben ik zo vrij geweest om een incident middels Twitter openbaar te maken.</div><div>Zoals Dirk al opmerkte, zijn het partijen als Sanoma die bezwaar op dergelijke praktijken hebben, en niet Piratenpartijen.</div>
<div>Ook zie ik een incidenten die al weken, maanden, jaren of wellicht langer spelen. In ieder geval bijzonder lang, zoals Roland Louter eerder al heeft aangekaart.</div><div>Dit moet zo spoedig mogelijk opgelost worden.</div>
<div><br></div><div>Laten we naar de Kern van de discussie verplaatsen en een aantal vragen stellen met als doel tot een oplossing te komen.</div><div>Ieder orgaan mag zich geroepen voelen om hier een constructief antwoord op te geven.</div>
<div><br></div><div>Concluderende dat er meerdere malen infosec incidenten hebben plaatsgevonden,</div><div>Concluderende dat meerdere mensen en partijen dit bij herhaling *ergens* hebben aangekaart,</div><div>Concluderende dat, niet alle betrokken partijen hier van op de hoogte zijn,</div>
<div><br></div><div>Wens ik te weten of;</div><div><br></div><div>A: Een incident response team bestaat, en of hier vacatures voor open staan.</div><div>B: Audits zijn uitgevoerd na alle incidenten met als doel op te merken of het systeem mogelijkerwijs dieper is gepenetreerd dan aanvankelijk gedacht.</div>
<div>C: Een eventuele audit door een 3e onafhankelijk partij is uitgevoerd, en of her vacatures voor open staan.</div><div>D: De oorzaak of oorzaken van incidenten zijn gedocumenteerd en gecommuniceerd, zo ja - waar kan men ze vinden ?</div>
<div>E: Alle eventuele "slachtoffers" van het incident of de incidenten persoonlijk op de hoogte zijn gesteld en of gecompenseerd.</div><div>F: Er maatregelen zijn getroffen om soortgelijke incidenten in de toekomst te voorkomen. - Zo ja, welke ? </div>
<div>G: Er een procedure bestaat voor het melden van incidenten, en hoe deze is gecommuniceerd. - Zo ja, waar en hoe ?</div><div>H: Datalekken zijn gemeld bij het meldpunt datalekken, of dat dit wel/niet op de planning staat.</div>
<div>I: Vulnerabilities voor of na forensisch onderzoek zijn gedicht.</div><div>J: Waar men inzage kan krijgen in het forensisch onderzoek als dit bestaat.</div><div>K: Er appeltaart is besteld voor de mensen die risico hebben aangekaart.</div>
<div>L: Een continuïteitsplan bestaat, waar deze inzichtelijk is.</div><div>M: Of eerder getroffen maatregelen bij incidenten van positieve, negatieve of geen invloed zijn geweest.</div><div>N: een rechtenmodel inzichtelijk is, en welke organen of werkgroepen voor welke systemen verantwoordelijk zijn.</div>
<div>O: Hoe lang onze systemen kwetsbaar zijn geweest.</div><div>P: Wat de implicaties kunnen zijn van eventuele zwakheden in onze systemen.</div><div>Q: Er afspraken bestaan met de werkgroep communicatie aangaande incident communicatie.</div>
<div>R: De regelmaat van aanvallen alsook het "type" aanvaller bekend is, met als doel deze te contacteren.</div><div>S: Evaluaties in de planning staan.</div><div>T: De gebruikers van systemen is gevraagd in welke mate ze soms onbedoeld "misbruik" plegen. ( pwd's delen e.d )</div>
<div>U: De gebruiksvriendelijkheid van systemen verbeterd zal worden.</div><div>V: Aan welke criteria men moet voldoen om toegang te verkrijgen tot systemen.</div><div>W: Met welke regelmaat er pentests worden uitgevoerd op onze systemen.</div>
<div>X: Ons netwerk in handen is van betrouwbare partijen.</div><div>Y: Wie onze peering en transit partners zijn.</div><div>Z:Mensen met toegang tot gevoelige systemen met regelmaat training volgen.</div><div><br></div><div>
Dit zijn slechts een aantal basale vragen die "snel" uit mijn toetsenbord komen in het kader van riskmanagement/informatiebeveiliging binnen de partij.</div><div>Ik verwacht geen SOX audits, of over 9k regeltjes - maar wel duidelijkheid over de situatie zodat iedereen mee kan werken aan de verbetering er van.</div>
<div>Het niet publiceren van de informatie zou "security through obscurity" zijn.</div><div><br></div><div>Daarom stel ik voor dat we met z'n allen antwoorden op deze vragen zoeken, om te bepalen of er zaken zijn voorgekomen die we in de toekomst</div>
<div>kunnen voorkomen. Daar is uiteindelijk iedereen blij mij.</div><div>Wanneer we klaar zijn, kunnen we gerust verder gaan met vingertjes wijzen en gifpijlen schieten.<br>Mensen die daar geen zin in hebben zijn dan vervolgens vrij om de discussie te verlaten zonder het gevoel</div>
<div>te hebben de partij "in de steek" te laten.</div><div><br></div><div>Yarrrr,</div><div><br></div><div>/Samir</div><div><br></div><div><br></div><div><br></div><div>P.S<br>Ik word overal en nergens uitgelachen i.v.m onze infrastructuur.</div>
<div>Nu geen grote ramp, wel tijdens de EU campagne.</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">Op 21 november 2013 00:09 schreef Lisa <span dir="ltr"><<a href="mailto:lisa@piratenpartij.nl" target="_blank">lisa@piratenpartij.nl</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
<font size="-1"><font face="Aller Light">Weet je wat </font></font>de
systemen van de Piratenpartij wél veiliger maken? Even een berichtje
aan ICT sturen. Het probleem was 2 uur en 10 minuten later opgelost.<br>
<br>
Maar goed... ik begrijp wel dat jij daar geen boodschap aan hebt,
aangezien je je "niet meer geroepen [voelt] om überhaupt nog te
helpen". Daarmee maak je het punt dat je volstrekt nutteloos wenst
te zijn voor de partij. Gefeliciteerd met het onderbouwen van mijn
klacht tegen jou. Het gevolg zal ik inderdaad met veel interesse
"bekijken".<span class="HOEnZb"><font color="#888888"><br>
<br>
- Lisa</font></span><div><div class="h5"><br>
<br>
<div>On 20-11-2013 23:03, Lucifer -
Piratenpartij wrote:<br>
</div>
<blockquote type="cite">
<div dir="ltr">Natuurlijk,<br>
<div><br>
Het bestuur zegt hier tussen de regels in: "klokkenluiden" =
"ondermijnend en destructief"<br>
<br>
Dat terwijl het publiekelijk helpen veroordelen van de
"klokkenluider/ethische hacker" de systemen van de
Piratenpartij niet veiliger maken.<br>
<br>
In tegendeel, hun "actie" heeft nu juist zelf op de lange
termijn een "ondermijnend en destructief" effect.<br>
<br>
Als het bestuur een meldingsprocedure voor privacy en security
fails wil invoeren dan behoren ze dit via een privacy
protocol/HR te doen.<br>
<br>
Het geven van "veroordelende tips" mist helaas het beoogde
doel.<br>
<br>
Lucifer<br>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div><br>
<br>
</div>
<div>
<div>
<div class="gmail_extra"><br>
<div class="gmail_quote">
2013/11/20 Lisa <span dir="ltr"><<a href="mailto:lisa@piratenpartij.nl" target="_blank">lisa@piratenpartij.nl</a>></span><br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000"> <font size="-1"><font face="Aller Light">Herinner
je je deze nog, Alex?<br>
<br>
"Dank voor de informatie, ik
zal ict er op wijzen.<br>
Tip voor toekomstige
incidenten: een directe CC
aan bestuur en de werkgroep
ICT was wel netjes geweest.
Op deze wijze wordt de
indruk gewekt dat de
ledenraad slechts onrust
beoogt onder de leden. Dit
zou weinig constructief
zijn, ik zou dit zelfs als
ondermijnend en destructief
willen kenmerken. We kunnen
urenlang discussiëren over
'hoe het hoort' en 'de
statuten' etc etc, maar
uiteindelijk is het
belangrijk dat deze data
netjes wordt afgeschermd en
dat bereiken we het snelst
door dit ook rechtstreeks en
zo snel mogelijk aan ICT
door te spelen. Zij zijn
uitstekend bereikbaar via
het IRC kanaal #ppnl-ict en
via de mailinglijst <a href="mailto:ict@lists.piratenpartij.nl" target="_blank">ict@lists.piratenpartij.nl</a>
"<br>
<br>
18 oktober 2013, 8:25 uur.<span><font color="#888888"><br>
<br>
- Lisa<br>
<i>indienster van de nog
in behandeling zijnde
klacht</i><br>
<br>
</font></span></font></font>
<div>
<div>
<div>On 20-11-2013 19:17,
Lucifer - Piratenpartij
wrote:<br>
</div>
<blockquote type="cite">
<div dir="ltr">
<div>
<div>Sander, <br>
<br>
XS4ALL had
voorwaarden,
Piratenpartij heeft
dit niet (ook niet
in de vorm van
huisregels)<br>
</div>
<br>
</div>
Ik heb bij het ontbreken
van
richtlijnen/huisregels
conform de wet het
juiste orgaan
gewaarschuwd nl.
bestuur.<br>
<div><br>
<div>Dus wat is je
punt?<br>
</div>
<div><br>
</div>
<div>Lucifer<br>
</div>
</div>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">2013/11/20
Sander Plas <span dir="ltr"><<a href="mailto:sander.plas@piratenpartij.nl" target="_blank">sander.plas@piratenpartij.nl</a>></span><br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Als
je als 'ethische
hacker' behandelt
wilt worden zou je
eerst eens<br>
kunnen beginnen
jezelf als zodanig
te gedragen.<br>
<br>
Ik heb op 18-10 geen
enkele melding aan
ict over een lek in
redmine van<br>
jouw hand gezien,
maar wel een poging
om individuele
'lekslachtoffers'<br>
op te jutten en een
mail met
quasi-juridisch
gedreig richting het
bestuur.<br>
<br>
Dat je geen enkele
interesse hebt in
het zo snel mogelijk
oplossen van<br>
dergelijke problemen
maar des te meer in
het creëren van een
zo groot<br>
mogelijke rel blijkt
ook nu weer. Je hebt
blijkbaar informatie
over een<br>
gapend
beveiligingsprobleem
maar je vertelt het
niet aan de mensen
die<br>
er iets aan zouden
kunnen doen.<br>
<br>
Trouwens, uit de
XS4ALL-voorwaarden
van 2003:<br>
<br>
"4.4 Onverminderd
het in artikel 4.3
gestelde is het
klanten toegestaan<br>
het systeem van
XS4ALL te hacken.<br>
De klant die als
eerste erin slaagt
een positie te
verwerven gelijk aan<br>
de systeembeheerder
van XS4ALL, krijgt
van XS4ALL zes
maanden gratis<br>
gebruik van het
systeem aangeboden,
onder voorwaarde dat
de<br>
desbetreffende klant
uitlegt op welke
wijze hij of zij
geslaagd is in<br>
het hacken, hij of
zij geen schade
heeft toegebracht
aan het systeem en<br>
aan andere klanten
en hij of zij de
privacy van andere
klanten heeft<br>
gerespecteerd.
Iedere klant geeft
bij deze toestemming
aan andere<br>
klanten onder
voornoemde
voorwaarden te
trachten het systeem
te hacken."<br>
<br>
Zoals je ziet werden
ook toen er al
duidelijke
voorwaarden gesteld<br>
waaronder "gehackt"
mocht worden.
Afgezien van het
feit dat alleen een<br>
heel specifieke hack
(nl. het verkrijgen
van volledige<br>
systeembeheer-rechten)
werd beloond, lijkt
mij het aan anderen<br>
rondbazuinen hoe
privacy-gevoelige
informatie uit het
betreffende<br>
systeem op te vragen
is in plaats van het
lek direct aan de
beheerder(s)<br>
te melden, me geen
uiting van het hier
in de voorwaarden
genoemde<br>
respect voor de
privacy van andere
klanten (of in dit
geval,<br>
vrijwilligers).<br>
<div><br>
On 11/20/2013
05:50 PM, Lucifer
- Piratenpartij
wrote:<br>
> Sorry Sander,<br>
><br>
> Bij XS4ALL
kreeg je vroeger
nog appeltaart of
een gratis
abonnement als<br>
> je een lek
ontdekte. Die
tijden zijn daar
ook voorbij en
vervangen door<br>
> strenge
juridische
voorwaarden.<br>
><br>
> Ethische
hackers worden
binnen de
Piratenpartij
letterlijk en
figuurlijk<br>
> beloond met
bedreigingen en
chantage door
middel van
klachten en
royementen.<br>
><br>
> Vergeef het
me maar ik voel me
op dit gebied me
niet meer geroepen
om<br>
> überhaupt nog
te helpen. Het
kost veel tijd om
systemen te
checken en om<br>
> als beloning
2 pagina's klacht
te ontvangen en
een bedreiging met<br>
> royement. Dan
mag het bestuur
van de
Piratenpartij en
de klager het<br>
> bekijken.<br>
><br>
> Als straks op
diverse pagina's
komt te staan
"0wn3d by
Anonymous" en een<br>
> LDAP dump op
pastebin terecht
komt dan weten
jullie precies
welk systeem<br>
> lek was ;)<br>
><br>
> tot die tijd
kan ICT enkel en
alleen maar haar
best doen om alles
zo<br>
> goed mogelijk
draaiende te
houden.
Piratenpartij is
immers off-limits<br>
> voor ethische
hackers dus
verwacht niet al
te veel storm van
meldingen<br>
</div>
> op <a href="mailto:ict@piratenpartij.nl" target="_blank">ict@piratenpartij.nl</a>
<mailto:<a href="mailto:ict@piratenpartij.nl" target="_blank">ict@piratenpartij.nl</a>><br>
<div>><br>
> Groet,<br>
><br>
> Lucifer<br>
><br>
><br>
> 2013/11/20
Sander Plas <<a href="mailto:sander.plas@piratenpartij.nl" target="_blank">sander.plas@piratenpartij.nl</a><br>
</div>
> <mailto:<a href="mailto:sander.plas@piratenpartij.nl" target="_blank">sander.plas@piratenpartij.nl</a>>><br>
<div>><br>
> On
11/20/2013 05:11
PM, Lucifer -
Piratenpartij
wrote:<br>
> > De
ALV had immers al
bepaald dat ik het
bestuur niet om
mijn<br>
> manier
mag<br>
> >
controleren en ik
hou me hieraan.<br>
><br>
> Zouden
mensen die
security issues
tegenkomen dit svp
EERST bij<br>
</div>
> <a href="mailto:ict@piratenpartij.nl" target="_blank">ict@piratenpartij.nl</a>
<mailto:<a href="mailto:ict@piratenpartij.nl" target="_blank">ict@piratenpartij.nl</a>>
willen melden?<br>
<div>><br>
> Als daar
niet snel &
accuraat
gereageerd blijkt
te worden kun je
altijd<br>
> nog een
rel in een
bestuursorgaan
naar keuze
beginnen.<br>
>
_______________________________________________<br>
>
Communicatie
discussielijst |
Piratenpartij<br>
> <a href="mailto:Communicatie@lists.piratenpartij.nl" target="_blank">Communicatie@lists.piratenpartij.nl</a><br>
</div>
> <mailto:<a href="mailto:Communicatie@lists.piratenpartij.nl" target="_blank">Communicatie@lists.piratenpartij.nl</a>><br>
> <a href="https://lists.piratenpartij.nl/mailman/listinfo/communicatie" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/communicatie</a><br>
<div>
<div>><br>
><br>
><br>
><br>
>
_______________________________________________<br>
>
Communicatie
discussielijst |
Piratenpartij<br>
> <a href="mailto:Communicatie@lists.piratenpartij.nl" target="_blank">Communicatie@lists.piratenpartij.nl</a><br>
> <a href="https://lists.piratenpartij.nl/mailman/listinfo/communicatie" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/communicatie</a><br>
><br>
<br>
_______________________________________________<br>
Communicatie
discussielijst |
Piratenpartij<br>
<a href="mailto:Communicatie@lists.piratenpartij.nl" target="_blank">Communicatie@lists.piratenpartij.nl</a><br>
<a href="https://lists.piratenpartij.nl/mailman/listinfo/communicatie" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/communicatie</a><br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
Communicatie discussielijst | Piratenpartij
<a href="mailto:Communicatie@lists.piratenpartij.nl" target="_blank">Communicatie@lists.piratenpartij.nl</a>
<a href="https://lists.piratenpartij.nl/mailman/listinfo/communicatie" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/communicatie</a>
</pre>
</blockquote>
<br>
</div>
</div>
</div>
<br>
_______________________________________________<br>
Communicatie discussielijst |
Piratenpartij<br>
<a href="mailto:Communicatie@lists.piratenpartij.nl" target="_blank">Communicatie@lists.piratenpartij.nl</a><br>
<a href="https://lists.piratenpartij.nl/mailman/listinfo/communicatie" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/communicatie</a><br>
<br>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br>
<fieldset></fieldset>
<br>
<pre>_______________________________________________
Communicatie discussielijst | Piratenpartij
<a href="mailto:Communicatie@lists.piratenpartij.nl" target="_blank">Communicatie@lists.piratenpartij.nl</a>
<a href="https://lists.piratenpartij.nl/mailman/listinfo/communicatie" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/communicatie</a>
</pre>
</blockquote>
<br>
</div></div></div>
<br>_______________________________________________<br>
Communicatie discussielijst | Piratenpartij<br>
<a href="mailto:Communicatie@lists.piratenpartij.nl">Communicatie@lists.piratenpartij.nl</a><br>
<a href="https://lists.piratenpartij.nl/mailman/listinfo/communicatie" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/communicatie</a><br>
<br></blockquote></div><br></div>