Ethisch hacker Inti koopt vervallen overheidsdomeinnamen op, activeert email, en krijgt toegang tot vertrouwelijke info

Ander nieuws dat te maken heeft met technologie
ITnetadmin
userbase crew
userbase crew
Berichten: 9374
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 203 keer
Bedankt: 649 keer
Recent bedankt: 4 keer

Bericht

Inti De Ceukelaire is erin geslaagd om 107 vervallen domeinnamen van de overheid op te kopen voor 8 euro/stuk (de gangbare prijs), zette er terug email op, en ontving vervolgens duizenden verkeerd geaddresseerde mails met vaak zeer gevoelige informatie.

Sommige cloud services gebruikten de domeinnamen (enfin, email adressen ervan) ook voor hun accounts, en dus zijn ook wat dropboxen etc gehacked.

Bv De gemeentes Overpelt en Neerpelt die tot Pelt fusioneerden, lieten hun oude namen vervallen.
44 OCMW's
32 politiezones
12 CAW's
12 CLB's
4 (psychiatrische) ziekenhuizen
3 juridische instellingen
https://www.vrt.be/vrtnws/nl/2024/05/22 ... vervallen/

Ik ga wel niet akkoord met de conclusie dat "de overheid makkelijk die domeinnamen gewoon kan blijven registreren".
Dat klopt, maar ik ben voorstander van een of andere DNS block vanuit DNS Belgium, die makkelijk gevoelige ex-domeinnamen uit circulatie kunnen halen.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5706
Lid geworden op: 10 maa 2010, 11:30
Uitgedeelde bedankjes: 57 keer
Bedankt: 492 keer
Recent bedankt: 14 keer

Bericht

ITnetadmin schreef: 22 mei 2024, 15:56 Dat klopt, maar ik ben voorstander van een of andere DNS block vanuit DNS Belgium, die makkelijk gevoelige ex-domeinnamen uit circulatie kunnen halen.
wie beslist wat gevoelig is?
wie beslist hoelang een domein dan niet meer geregistreerd mag zijn?
wie vergoed dns.be voor het feit dat ze x domeinen hebben waar ze niet aan kunnen blijven verdienen?
...

nee, vanuit dns belgium zal het niet moeten komen - en het is ook niet aan de (federale) overheid om elk domein in de gaten te houden.
elke gemeente/dienst heeft hun eigen IT, en die moeten dat maar in de gaten houden.

als je fusies krijgt e.d. of om andere redenen een domein wil laten vervallen kan je dat in stappen doen:

- een catchall voor de mails met auto-reply dat ze dit adres niet meer mogen gebruiken gedurende 1 jaar
- alle mails weigeren gedurende 1 jaar
- mx-record verwijderen en domein nog minstens 2 a 3 jaar behouden
- na 5 jaar kan je het domein dan eventueel laten vervallen (al zullen er ook dan nog mails gaan toekomen, that's just how it works)

in principe zou je ook kunnen zeggen dat de overheid een .gov.be zou moeten gebruiken bv, en dat dit "enkel registreerbaar mag zijn door een overheidsdienst",
dat lijkt me voor alle partijen eigenlijk een logischere oplossing voor dit veiligheidsprobleem.
ITnetadmin
userbase crew
userbase crew
Berichten: 9374
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 203 keer
Bedankt: 649 keer
Recent bedankt: 4 keer

Bericht

De overheid kan dat beslissen; dat heet "wetgeving".
Hoelang? Ook weer "wetgeving".
Vergoeden? DNS Belgium beheert geen "finite resources". Ze beheren trouwens de .be TLD in naam van de overheid (want het is de overheid die uiteindelijk recht heeft op die TLD), en dus kan de overheid ook beperkingen opleggen (naast de bestaande restricties vanuit ICANN).

Een eigen domein binnen .be kan helpen om visueel op te vallen (zoals bv fgov.be dat al deed), en de uniefs vroeger ook allemaal op ac.be zaten.

En 1-2-3 jaar is veel te kort.
Ik denk dat je eerder naar termijnen van 10-20 jaar moet kijken; 10 jaar doorforwarden, waarna nog 10 jaar blokkeren.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5706
Lid geworden op: 10 maa 2010, 11:30
Uitgedeelde bedankjes: 57 keer
Bedankt: 492 keer
Recent bedankt: 14 keer

Bericht

ik bedoel met wie beslist wat gevoelig is: waar trek je de lijn? bij domeinen van de federale overheid? lokale zones? de zoon van een polticus zijn eigen domeintje? ....

de hoelang wou ik ook eerder mee aangeven dat je altijd nog wel mails zal ontvangen op een domein dat ooit mails aannam, dus het is nooit veilig van een gebruikt domein te releasen.

en vergoeden, an sich wel, want dns belgium is géén overheidsinstelling, maar een non-profit (en een extra 'blacklist' maintainen is nu eenmaal extra werk, of dat nu beperkt is of niet... en daar zal dus een bepaalde kost tegenover gaan staan, en die zou dan ook gedragen moeten worden door de gebruiker en niet door de prijzen voor iedereen weer maar omhoog te gooien)
om nog maar te zien in hoeverre de neutrale missie van dns belgium overeind kan blijven als je er zulke wetgeving omheen gooit (en dan zou je nog voor elk domein dat in die lijst moet komen een juridische procedure gebruiken ook, alsof ons belastingsgeld nu al niet genoeg versmeten is)

ik zeg niet dat het kan (de overheid kan ook zeggen dat be tld's gratis moeten zijn voor belgen....) maar ik zeg wel dat het niet zo zou mogen lopen.

again, wat is er op zich mis met alles van de overheid achter een .gov.be te steken? dan moeten ze maar 1 domein beheren voor de overheid,
en kunnen ze dat zelfs wat optimaler in elkaar steken.
desnoods kunnen ze dan nog steeds andere domeinen registreren om naar dat adres te redirecten, maar mails van een overheidsadres zouden dan altijd [email protected] ofzo kunnen zijn.
(gov.be is overigens toch al eeuwen geregistreerd door een overheidsinstantie....)
ITnetadmin
userbase crew
userbase crew
Berichten: 9374
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 203 keer
Bedankt: 649 keer
Recent bedankt: 4 keer

Bericht

Op zich ben ik zelf ook fan van het gebruik van een .Xgov.be (bv fgov federaal, vgov voor vlaanderen, wgov wallonie, etc), en soortgelijke voor ziekenhuizen.
Dan bestaat het probleem ook niet meer.
Intussen kan de overheid makkelijk een lijst samenstellen van kritieke sites (bv alle gemeentes gemeentenaam.be beschermen, alle overheidsdiensten, alle politiezones, alle ziekenhuis sites, ...).
Laat ons nu niet doen dat dat een moeilijke taak is om dat eenmaal per jaar te updaten.
Het duurste zal zijn om een flag te implementeren in de database, die gezet wordt bij registratie en vanaf dan zo'n domein by default beschermt tegen herregistratie.
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6673
Lid geworden op: 17 mei 2006, 18:10
Uitgedeelde bedankjes: 787 keer
Bedankt: 524 keer
Recent bedankt: 18 keer

Bericht

Allez, hij had weer eens wat publiciteit nodig en deed dan maar weer een "hack" wat gewoon default gebruik is van dns/mail.

Dat de overheid beslist van domeinen te laten vallen...tsjah. Mensen moeten leren van 2x te kijken eer je een mail stuurt.

(Ik had een tijd aelst.be - hoeveel mails daarop toekwamen voor medewerkers van stad Aalst...)
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
ITnetadmin
userbase crew
userbase crew
Berichten: 9374
Lid geworden op: 28 jan 2012, 17:22
Uitgedeelde bedankjes: 203 keer
Bedankt: 649 keer
Recent bedankt: 4 keer

Bericht

Ja, moeilijk was dit niet, maar daar gaat het ook vaak over; de stomste dingen eerst, en als er iemand anders op het idee kwam, had je nu een probleem gehad.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5706
Lid geworden op: 10 maa 2010, 11:30
Uitgedeelde bedankjes: 57 keer
Bedankt: 492 keer
Recent bedankt: 14 keer

Bericht

ITnetadmin schreef: 22 mei 2024, 17:18 Laat ons nu niet doen dat dat een moeilijke taak is om dat eenmaal per jaar te updaten.
zegt die over een overheid waar ze soap nog altijd als een courante/moderne/goede manier beschouwen voor hun api's in te bouwen,
en die studies nodig heeft om dan het antwoord naast hen neer te leggen omdat het overeenkwam met wat er voor de studie gezegd werd :angel:

ik zie ze dat eerder uitwerken als een 5jarig project met een voorafgaande studie, om dan vervolgens een gunning te doen met een te laag budget,
waardoor de uitvoerder dat niet uitgevoerd krijgt, waardoor ze eerst nog eens 3j stil liggen alvorens het budget te verdrievoudigen en opnieuw te laten uitvoeren,
om dan tot de conclusie te komen dat het eigenlijk niet meer nodig was.
(oh, en dan zal het nog maar half werken, en al helemaal niet op 29 februari om de 4 jaar)

Toegevoegd na 15 uren 55 seconden:
Splitter schreef: 22 mei 2024, 16:19 in principe zou je ook kunnen zeggen dat de overheid een .gov.be zou moeten gebruiken bv, en dat dit "enkel registreerbaar mag zijn door een overheidsdienst",
dat lijkt me voor alle partijen eigenlijk een logischere oplossing voor dit veiligheidsprobleem.
nederland is zo slim om dat te gaan doen blijkbaar: https://www.digitaleoverheid.nl/nieuws/ ... nextensie/