Tip van een ICT security man

[Auke M535i]

Jij suggereert dat wanneer je doorlinken gebruikt de GPS data niet meer aanwezig is... Dat is dus pertinent onjuist... Dat jij toevallig Facebook gebruikt en Facebook de GPS data automatisch verwijderd is eerder geluk dan dat je er vanaf wist.. Toch?

Ga maar is wat foto topic's doorlopen! Dan zie je dat er heel wat GPS data aanwezig is.

Nogmaals, check dit topic is, die fotos zijn ook, zoals jij het noemt, doorgelinkt; http://forum.driving-fun.com/viewtopic.php?f=3&t=27270" onclick="window.open(this.href);return false;

Je hoeft niks met mijn advies te doen, ik zit er idd rechtlijnig in omdat het mijn beroep is.

[Eric Z]

Dat is dus een beetje mijn punt.

De meeste foto's die hier of op een ander forum worden geplaatst dat gaat bijna altijd via een link naar een andere website waar die foto is geupload. Het origineel (lokaal of in de cloud) bevat de GPS data. Die komen in de meeste gevallen als die foto op deze manier hier wordt gepost ook niet mee omdat ze bij de upload in eerste instantie al niet mee zijn gestuurd. Ik vraag me überhaupt af hoe ik een foto hier gepost kan krijgen mét GPS gegevens.

Heb het net toch maar even getest met de MacBook erbij. Bovenstaande foto is gemaakt bij Porsche Centrum Twente in Enter. En is direct vanaf m'n iphone geupload naar facebook. Op facebook zijn al geen GPS gegevens meer bij die foto bekend. Dus als je die dan vervolgens op DF of Porscheforum post ook niet. Eigenlijk is dat altijd de manier waarop ik foto's post, via een online link.

Als, iets minder security-man, denk ik dus dat het risico hier best meevalt, maar een beetje awareness kan nooit kwaad. Je schrijft het feitelijk zelf al, "er moet wel natuurlijk GPS data in de afbeelding zitten". En die zit er dus (vaak) niet in. Dus het uizetten van die GPS registratie op je mobile device lijkt me een erg zware maatregel in dit geval.

Dikgedrukte is voor zover mij bekend onjuist. Het is heel goed mogelijk dat facebook gewoon over een foto beschikt met daarin jou gps gegevens maar deze niet serveert aan de gebruikers.

[Martijn_bmw]

Als ik een foto post op DF is het met tetten en ik zou willen dat die foto's thuis gemaakt waren.....

OMG

[MarkS]

Auke, op de vorige pagina schrijf je (ik citeer) "het maakt niet uit hoe je ze post". Dat maakt dus wel uit.

Bij Fotobucket blijven GPS data dus intact, via facebook niet. Ik pretendeer ook niet alle scenario's hier even te hebben getest.
"Pertinent onjuist" lijkt me dus ook nog even iets te voorbarig.

Het klopt dat ik niks met je advies doe. Omdat het in mijn geval ook niet relevant is. Dat wil niet zeggen dat het geen goed advies is/kan zijn.

[MarkS]

Dat is dus een beetje mijn punt.

De meeste foto's die hier of op een ander forum worden geplaatst dat gaat bijna altijd via een link naar een andere website waar die foto is geupload. Het origineel (lokaal of in de cloud) bevat de GPS data. Die komen in de meeste gevallen als die foto op deze manier hier wordt gepost ook niet mee omdat ze bij de upload in eerste instantie al niet mee zijn gestuurd. Ik vraag me überhaupt af hoe ik een foto hier gepost kan krijgen mét GPS gegevens.

Heb het net toch maar even getest met de MacBook erbij. Bovenstaande foto is gemaakt bij Porsche Centrum Twente in Enter. En is direct vanaf m'n iphone geupload naar facebook. Op facebook zijn al geen GPS gegevens meer bij die foto bekend. Dus als je die dan vervolgens op DF of Porscheforum post ook niet. Eigenlijk is dat altijd de manier waarop ik foto's post, via een online link.

Als, iets minder security-man, denk ik dus dat het risico hier best meevalt, maar een beetje awareness kan nooit kwaad. Je schrijft het feitelijk zelf al, "er moet wel natuurlijk GPS data in de afbeelding zitten". En die zit er dus (vaak) niet in. Dus het uizetten van die GPS registratie op je mobile device lijkt me een erg zware maatregel in dit geval.

Dikgedrukte is voor zover mij bekend onjuist. Het is heel goed mogelijk dat facebook gewoon over een foto beschikt met daarin jou gps gegevens maar deze niet serveert aan de gebruikers.

En dus? Mijn punt was dat jij dat er op facebook als gebruiker niet vanaf kunt halen (uit de foto). Als er GPS data bij facebook bekend zouden zijn van mijn foto's? Ik kan er niet wakker van liggen. Ik kies er toch zelf voor die foto te delen. In het betreffende voorbeeld had ik er zelf ook nog eens expliciet bijgezet waar de foto was gemaakt en hoe laat het was. Voor de geinteresseerden.

Doet niks af van de relevantie van de tip van Auke, dat het goed is je te beseffen welke info je deelt hier op het forum en welke locatie data je meestuurt als je foto's plaatst.

[smiley]

Leuk allemaal.
Even de foto erin plakken, en je staat zo virtueel op de oprit. http://www.geoimgr.com/en/tool" onclick="window.open(this.href);return false;

[MarkS]

[Tom]

Of een dienst nou wel of niet die data eruit sloopt, het gaat om het missen van besef dat foto's ook GPS coordinaten kunnen bevatten, ondanks dat je het in eerste instantie niet 'ziet'. Dus: goed advies, want veel mensen weten het niet.

[Eric Z]

Dat is dus een beetje mijn punt.

De meeste foto's die hier of op een ander forum worden geplaatst dat gaat bijna altijd via een link naar een andere website waar die foto is geupload. Het origineel (lokaal of in de cloud) bevat de GPS data. Die komen in de meeste gevallen als die foto op deze manier hier wordt gepost ook niet mee omdat ze bij de upload in eerste instantie al niet mee zijn gestuurd. Ik vraag me überhaupt af hoe ik een foto hier gepost kan krijgen mét GPS gegevens.

Heb het net toch maar even getest met de MacBook erbij. Bovenstaande foto is gemaakt bij Porsche Centrum Twente in Enter. En is direct vanaf m'n iphone geupload naar facebook. Op facebook zijn al geen GPS gegevens meer bij die foto bekend. Dus als je die dan vervolgens op DF of Porscheforum post ook niet. Eigenlijk is dat altijd de manier waarop ik foto's post, via een online link.

Als, iets minder security-man, denk ik dus dat het risico hier best meevalt, maar een beetje awareness kan nooit kwaad. Je schrijft het feitelijk zelf al, "er moet wel natuurlijk GPS data in de afbeelding zitten". En die zit er dus (vaak) niet in. Dus het uizetten van die GPS registratie op je mobile device lijkt me een erg zware maatregel in dit geval.

Dikgedrukte is voor zover mij bekend onjuist. Het is heel goed mogelijk dat facebook gewoon over een foto beschikt met daarin jou gps gegevens maar deze niet serveert aan de gebruikers.

En dus? Mijn punt was dat jij dat er op facebook als gebruiker niet vanaf kunt halen (uit de foto). Als er GPS data bij facebook bekend zouden zijn van mijn foto's? Ik kan er niet wakker van liggen. Ik kies er toch zelf voor die foto te delen. In het betreffende voorbeeld had ik er zelf ook nog eens expliciet bijgezet waar de foto was gemaakt en hoe laat het was. Voor de geinteresseerden.

Doet niks af van de relevantie van de tip van Auke, dat het goed is je te beseffen welke info je deelt hier op het forum en welke locatie data je meestuurt als je foto's plaatst.

Dus is dat dikgedrukte feitelijk nog steeds niet waar. Het maakt in geval van Facebook niet uit voor jou doel inderdaad. Maar uit de post maakte ik niet op dat het expliciet om Facebook ging.
Verder eens met wat Tom ondertussen post, de awareness is belangrijker dan het middel in eerste instantie!

[Auke M535i]

Of een dienst nou wel of niet die data eruit sloopt, het gaat om het missen van besef dat foto's ook GPS coordinaten kunnen bevatten, ondanks dat je het in eerste instantie niet 'ziet'. Dus: goed advies, want veel mensen weten het niet.

Dat dus!
Om het voorbeeld van het porsche topic te nemen.. Hij woont in het noorden en had ook een dikke E34 M5 als ik Streetview mag geloven

[Auke M535i]

Ook een mooie uit dit topic; http://forum.driving-fun.com/viewtopic. ... &start=775" onclick="window.open(this.href);return false;
Foto links komt van het forum, rechts is streetview.

2016-12-14 22_04_32-Geotag Photos Online.png (879.25 KiB) 1492 keer bekeken

[MarkS]

Akkoord, fair point. Mea culpa. Opletten dus.
Maar voor alles wat al is gepost is het kwaad al geschied, of is dat nog anders op te lossen zonder al die foto's eraf te halen?

[Auke M535i]

Geen probleem!
Weghalen helpt idd al een hoop! Vervolgens GPS data verwijderen en foto opnieuw plaatsen.
Omdat een dergelijk foutje snel gemaakt is ben ik daarom zo stellig in het uitzetten van GPS voor foto's.

[MarkS]

Snap ik. Een preventieve maatregel is ook sterker in dit geval. Hoop dat de meesten dit lezen.

Maar wat vind jij dan van die bijlage optie bij het posten van berichten. Heel handig natuurlijk, mij was hij eerlijk gezegd nog niet opgevallen. Maar zet je daarmee ook niet de deur open voor het bewust plaatsen van schadelijke content (denk spam, phishing, virus) of wordt dat wel gefilterd?

[Auke M535i]

Geen idee. Ik ken de back end niet van DF.
Ik heb zelf bijna 10 jaar geleden http://www.e28forum.nl" onclick="window.open(this.href);return false; opgezet, daar kunnen alleen een selectief groepje mensen dergelijke functies gebruiken.

[Eric Z]

File upload zit een zeker risico in, maar gezien er phpbb achter df zit ga ik er vanuit dat het wel af en toe gepatched word als er een exploit is gevonden. Moet df wel upgraden uiteraard.

Ik zou mij eerder druk maken om het geval dat df niet over https gaat. Wachtwoorden gaan dus plain tekst over de lijn en kunnen dus makkelijker onderschept worden tijdens inloggen op openbare netwerken en dergelijke.

[MarkS]

Een security topic sticky maken zou ook niet zo'n slecht idee zijn. Veel van dit soort zaken gaat technisch niet of onvoldoende geregeld worden. En dan moet je het toch van awareness hebben. Worden alleen maar grotere risico's de komende tijd.

[Eric Z]

Opzich niet zo'n gek idee maar wie leest het dan nog?

Tijdens mijn MBO opleiding was het voor mij en m'n klasgenoten de sport om elkaars producten te kraken. Van school uit totaal geen aandacht voor. Juist als je start met software ontwikkeling is het belangrijk om dit soort dingen te doen want het is leerzaam en het voorkomt dat "foute" dingen in je standaard patroon gaan zitten.
SQL injection, html encoding, klooien met cookies etc. toen was (en nu nog) dat interresant.

Security kost geld en dat willen weinig mensen er aan uitgeven.
Als het kalf verdronken is dempt men de put...

Helaas op m'n werk ook zo, niet dat we daar direct onveilige troep bouwen, maar je krijgt/hebt er de tijd niet voor. In de paar jaar die ik nu full-time werk is het aantal security rapporten wat ik heb gezien ook nog op een hand te tellen helaas... En ook die rapporten bevatten soms niet de dingen waarvan je eerst dacht dat gaan ze 100% zeker opmerken.

[MarkS]

En inmiddels zijn de ethical hackers niet aan te slepen en de vraag naar dat soort kennis en ervaring zal de komende jaren alleen nog maar toenemen ...

Mijn ervaring met goede pentest of vulnerability onderzoeken en rapportages is juist dat daar vaak zaken uitkomen waarvan de klant/organisatie zich niet of onvoldoende bewust was.

[Eric Z]

Pentest was inderdaad wat ik bedoelde, kon niet op die naam komen.
Er komen zeker goede dingen uit, maar zijn ook geen vrijbrief.
Ik vermoed dat de meeste ontwikkelaars wel een paar puntjes in de door hun geschreven software weten die niet 100% veilig zijn.

[MarkS]

Pentest is kort voor "(attack &) penetration testing"

Normaliter richt die zich ook op een organisatie / IT omgeving als geheel niet (alleen) de software, als je tenminste software als applicatielaag bedoelt. Grofweg heb je een aantal varianten van black- tot whitebox testing waarbij de (ethical) hacker al dan niet op basis van informatie vooraf (wel = whitebox, niet = blackbox) over de organisatie en de ICT infrastructuur probeert binnen te komen en kwetsbaarheden te inventariseren. Meestal wordt vooraf de scope afgesproken welke servers/platforms/boxes worden meegenomen. En hoever mag worden gegaan. Bijvoorbeeld ook het toepassen van social engineering, proberen te hacken door gebruik te maken van de zwakste schakel in de security keten, de mens. Voor dat soort tests of hackpogingen is de beveiliging van applicaties zelf vaak ook minder relevant omdat ze rechtstreeks, buiten de applicatie om, bij de data proberen te komen.

Maar we dwalen af.

[Eric Z]

Ik bekijk het uit ontwikkelaars perspectief vandaar de focus op de software kant. Ik zie/bekijk dus niet de volledige pentest.

[MarkS]

Zoiets?

[indobesar]

Haha een welbekend plaatje in IT-land.

Andere security tips:
- ontgoogle (protonmail is een goed alternatief)
- gebruik een VPN
- browse incognito (of via TOR)
- gebruik adblockers

[Arthur]

Jeetje, ik post geen foto's meer. Vanwege "iets" uit het verleden post ik geen doorgelinkte foto's/foto's van anderen meer. Alleen nog bijlages. Waarom is dat nog erger? Ik dacht juist dat dan de herkomst moeilijker te traceren was. Maar ik heb er dus ook geen verstand van