Opening Strandseizoen Hoek van Holland 2009

Traditiegetrouw wordt elk jaar op Hemelvaartsdag in Hoek van Holland het strandseizoen geopend. Dit jaar begon de opening al om 11 uur 's-morgens. In het begin van de middag heb ik even een stukje over het vernieuwde strand gelopen, waar onder andere vandaag de nieuwe Water Skihut werd geopend. Kunnen Après skiën, aan het strand in Hoek van Holland, wie had dat ooit gedacht!

Een impressie van de foto's, welke ik tijdens de Hoekse strandopening gemaakt heb, zijn te zien op de website van Marketimedia Fotografie.

Gezien de drukte en de onmogelijkheid om vlakbij de podia echt goede foto's te nemen, heb ik de optredens van o.a. Gerard Joling en Mental Theo niet afgewacht. Reden te meer om voor volgend jaar eens met de organisatoren van dit evenement te babbelen of perstoegang mogelijk gemaakt kan worden.

Failing your security audit - Deel 1: Online Passwords

Het Wereld Wijde Web (WWW) is sinds haar introductie eind jaren 80 ontzettend gegroeid. Denk nu eens na, voor hoeveel sites gebruik jij vandaag de dag niet een loginnaam en een wachtwoord?
Je overal te bereiken ToDo lijst online? Netjes beveiligd met een wachtwoord. Je eigen Wiki online? Netjes beveiligd met een wachtwoord. Een handje vol Twitter accounts? Ook netjes beveiligd natuurlijk.

Maar, met wat voor een wachtwoord? Heb je voor elke website met loginnaam een nieuw gegenereerd (of goed bedacht) wachtwoord? Of gebruik je op al die sites hetzelfde wachtwoord? Is dat wachtwoord simpel te raden of is het zo complex dat je het zelf niet kan onthouden? Het gebruik van hetzelfde wachtwoord op een handjevol websites is wellicht niet handig, als er een partij je gegevens lekt, ben je voor alle websites het haasje. Of als iemand je wachtwoord achterhaalt, heeft hij toegang tot alle websites waar je dat wachtwoord gebruikt. Aan de andere kant, hoeveel verschillende wachtwoorden ga je gebruiken voor al die hippe Web 2.0 websites zoals Facebook, Twitter, Hyves, etc.?

Voor de gemiddelde burger zal het allemaal wel loslopen. Als je echter voorzitter bent van een vereniging in de Webhosting business, wil je misschien toch niet dat het gebeurt dat iemand de contactgegevens van bijvoorbeeld al je leden in kan zien. Feit is dat een zwak wachtwoord, wat je op meerdere plekken gebruikt, kan leiden tot het lekken van gegevens. Mocht je wachtwoord ook nog erg gemakkelijk te 'Social Engineeren' zijn, dan mag je helemaal op je knietjes hopen dat niemand de gegevens van al je leden heeft achterhaald.

Zoals Jeroen van Nieuwenhuizen in zijn weblog posting over dit onderwerp schrijft:

What will happen then? Well the following information may get publicly known:

1. The personal information of all zoloos members.
2. The confidential minutes of zoloos meetings.
3. Passwords of various zoloos services. I.e. the zoloos cacti and zoloos zabbix.
4. The configuration of the zoloos switch.


En zo hebben we security incident #2 van 2009 voor desbetreffende VPS vereniging: nog niet al te lang geleden 'blunderde' Hostingvereniging Soleus al toen de storage server voor de hele wereld toegankelijk was.

Laksheid vs. Security: 1-0.

Update: Op zaterdag 9 mei liet de voorzitter van de vereniging mij weten, dat er acties na aanleiding van dit incident zijn uitgevoerd: De ledenadministratie van de vereniging is inmiddels gescheiden en staat fysiek op een andere server. Deze wiki is alleen toegankelijk voor het bestuur en het technische team en niet gekoppeld aan de hoofdpagina van de vereniging. Ook is deze wiki inmiddels alleen via een beveiligde verbinding te benaderen. Daarnaast gaf men mij aan dat de bestuursverslagen in principe op aanvraag toegankelijk zijn en hierdoor geen 'geheime' passages zullen bevatten. Dit geldt ook voor de Cacti instance: Deze is op aanvraag toegankelijk.
Het gelekte wiki account is binnen zeer korte termijn, na het melden, afgesloten door een lid van het technische team.

Powered by Pivot. RSS Feed & ATOM Feed