Hacker Safe websites weer zo lek als een mandje
Weer zijn er ernstige beveiligingsproblemen gevonden op websites die het Hacker Safe logo van McAfee dragen, waardoor consumenten risico lopen. Begin januari was het ook al raak, toen ging het om 62 lekke websites die toch een certificaat droegen. Nu gaat het om vijf sites waar al maanden cross-site scripting mogelijk is, zoals deze video demonstreert.
De websites in het filmpje accepteren creditcardgegevens en slaan klantgegevens op. Sites waar cross-site scripting mogelijk is, zijn niet PCI compliant. Eerder waarschuwden experts al dat het Hacker Safe logo een vals gevoel van veiligheid geeft, maar het wordt nog veel erger. Een aantal van de sites is al maanden lek en al meerdere keren door beveiligingsonderzoeker Russ McRee gewaarschuwd. Toch zijn de waarschuwingen genegeerd en staat al die tijd gewoon het logo op de websites.
Volgens McAfee controleert Hacker Safe wel op cross-site scripting en zouden kwetsbare websites niet het logo moeten tonen. "Ze zijn niet hacker safe en consumenten lopen risico," aldus McRee, die wordt bijgevallen door andere onderzoekers die ook problemen met de dienst aantroffen. "Ik heb het al in het verleden gezegd dat het Hacker Safe logo niets meer is dan een schijnvertoning, het draait alleen maar om marketing," aldus Rafal Los.
"Onwetende consumenten verdienen meer dan valse beloftes over veiligheid en lege garanties die alleen bedoeld zijn om de kas van McAfee te spekken," gaat McRee verder. Hij is een open brief gestart waarin McAfee wordt opgeroepen om de "arrogant genoemde Hacker Safe" dienst te verbeteren en lekke websites niet te certificeren.
worden, omdat de garantie dat een website "hacker safe" is niet waar te
maken is, en valse verwachtingen schept.
Hoe wil iemand garanderen dat een website volledige 'hacker safe' is, zolang
er nog niet-ontdekte vulnerabilities bestaan welke in de toekomst
geexploiteerd kunnen gaan worden, nog afgezien van huidige zwakheden ?
Tevens worden updates gedraaid die problemen verhelpen, maar dikwijls ook
weer nieuwe problemen kunnen veroorzaken.
Security is niet statisch, maar is een dynamisch proces, en het is onmogelijk
om dit soort garanties te geven (danwel die verwachting te wekken), men kan
hoogstens stellen dat een website aan allerlij eisen voldoet, en alles doet om
zo veilig mogelijk te blijven.
Mcafee zou dit toch moeten weten, aangezien (om een vergelijking te maken)
bijvoorbeeld hun virusscanner ook nooit 100% beveiliging kan bieden, alleen
om vanwege de simpele reden dat een nieuw virus er eerder is dan een
update van hun virus definities.
hacking aproved..
voorsteld. Sinds de vorige keer dat hackersafe in het nieuws
kwam met xss sites, hebben ze niks gedaan.
Lek of \"niet lek\" ze blijven het gewraakte logo uitdraaien
als je maar betaald!
Als we hacken/hacker nu weer eens gaan gebruiken voor het
hakken op je toetsenbord, code inkloppen dus. Een 'hack'
weer als slimme oplossing voor een lastig probleem.
Dan kan het woord 'cracker' weer voor het kraken (als in
inbreken) van systemen gebruikt worden en kan de industrie
met dat woord opnieuw aan de slag !
merkje ergens op plakken om te tonen dat het gecontroleerd
is. Maar wat er allemaal gecontroleerd is, en wat niet, en
hoe dit is gedaan, dat laten ze niet weten. Heel wat
managers staan bij dat soort diensten en werkzaamheden te
kwijlen van genot, omdat ze het op papier lekker kunnen
meten dat er voldoende gedaan zou zijn. Helaas staat dat in
schril contrast met de werkelijkheid van risico beheersing.
Je beveiligd geen systemen door simpelweg een merkje te
kunnen scoren omdat je iets niet kan aantonen. Het gaat
juist om de onderbouwing van waarom je iets niet hebt kunnen
vinden en wat je dus mogelijk mist. Maar voor veel geld je
kop in het zand steken is helaas heel erg in.
dan al snel vinden dat ze veilig zijn, en dus worden er vaak
nog geen source audits gedaan.
niet dus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
