Security Professionals
- ipfw add deny all from eindgebruikers to any
Pssst! Grade F!
02-01-2017, 15:20 door Anoniem, 4 reacties
Er wordt geadverteerd met een hackaton voor slimmerts.
Een hackaton roept het beeld op van een uitdagend wedstrijdje hacken.
Als de AIVD dat organiseert zou je denken dat men op zoek is naar competente mensen voor de eigen organisatie.
Die moet natuurlijk ook zo competent als mogelijk zijn.
Maar als we naar die website kijken, AIVDHackathon.nl
Er wat standaard testjes van derden op loslaten, dan onstaat een wat ander beeld.
Een beeld dat je niet zou verwachten.
Grade F
https://securityheaders.io/?q=AIVDHackathon.nl&hide=on&followRedirects=on
Score F
https://observatory.mozilla.org/analyze.html?host=AIVDHackathon.nl
O.a.
En een wat betere score, score A
https://www.ssllabs.com/ssltest/analyze.html?d=AIVDhackathon.nl&latest
Zijn de F scores de AIVD website te vergeven?
Is een A vermelding van ssllabs voldoende bij een totale beoordeling op Grade F?
Of is het toch een beetje een teken van slordigheid, desinteresse of zelfs onkunde?
Hadden deze heren niet op alle punten een keiharde A moeten scoren?
Om te laten zien of op zijn minst te suggereren dat zorgvuldigheid en perfectie in de digitale (genen) van de organisatie zit?
Menigeen zou misschien denken van wel, een goede eerste indruk maak je maar 1 keer.
Een marketingwaarheid als een mammoet die als je het niet goed doet ook tegen je kan werken.
Tegenwoordig wordt er volop ingezet op beeldvorming.
Uiteindelijk redt je het daar niet alleen mee, maar waarom het jezelf lastig maken door alvast het omgekeerde te doen?
Het roept toch wat vraagtekens op.
De hackatontest zit vast beter in elkaar.
Of juist niet, anders valt er geen eer te behalen in de wedstrijd.
Pssst!
De AIVD organiseert op 11 en 12 maart 2017 weer een Hackathon!
De AIVD organiseert op 11 en 12 maart 2017 weer een Hackathon!
Een hackaton roept het beeld op van een uitdagend wedstrijdje hacken.
Als de AIVD dat organiseert zou je denken dat men op zoek is naar competente mensen voor de eigen organisatie.
Die moet natuurlijk ook zo competent als mogelijk zijn.
Maar als we naar die website kijken, AIVDHackathon.nl
Er wat standaard testjes van derden op loslaten, dan onstaat een wat ander beeld.
Een beeld dat je niet zou verwachten.
Grade F
https://securityheaders.io/?q=AIVDHackathon.nl&hide=on&followRedirects=on
Missing Headers: Strict-Transport-Security, Content-Security-Policy, Public-Key-Pins, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options
Score F
https://observatory.mozilla.org/analyze.html?host=AIVDHackathon.nl
O.a.
hstspreload.org
- Initial redirect is to an insecure page.
- Site doesn't issue an HSTS header.
- Site redirects to www, instead of directly to HTTPS version of same URL.
- Initial redirect is to an insecure page.
- Site doesn't issue an HSTS header.
- Site redirects to www, instead of directly to HTTPS version of same URL.
En een wat betere score, score A
https://www.ssllabs.com/ssltest/analyze.html?d=AIVDhackathon.nl&latest
Zijn de F scores de AIVD website te vergeven?
Is een A vermelding van ssllabs voldoende bij een totale beoordeling op Grade F?
Of is het toch een beetje een teken van slordigheid, desinteresse of zelfs onkunde?
Hadden deze heren niet op alle punten een keiharde A moeten scoren?
Om te laten zien of op zijn minst te suggereren dat zorgvuldigheid en perfectie in de digitale (genen) van de organisatie zit?
Menigeen zou misschien denken van wel, een goede eerste indruk maak je maar 1 keer.
Een marketingwaarheid als een mammoet die als je het niet goed doet ook tegen je kan werken.
Tegenwoordig wordt er volop ingezet op beeldvorming.
Uiteindelijk redt je het daar niet alleen mee, maar waarom het jezelf lastig maken door alvast het omgekeerde te doen?
Het roept toch wat vraagtekens op.
De hackatontest zit vast beter in elkaar.
Of juist niet, anders valt er geen eer te behalen in de wedstrijd.
Reacties (4)
Ten eerste, wedstrijdje software schrijven is niet hetzelfde als hacken.
Daarnaast, de enige mensen die iets vinden over deze security headers zijn de scanskids uit India op zoek naar easy RD geld bij domme bedrijven. Als je niet weet wat deze "standaard testjes" inhouden moet je gewoon niet posten.
Een goeie indruk geven ze wel, namelijk door mensen te betrekken en te laten zien dat ze niet een supershady orga zijn.
tldr; stfu :)
Daarnaast, de enige mensen die iets vinden over deze security headers zijn de scanskids uit India op zoek naar easy RD geld bij domme bedrijven. Als je niet weet wat deze "standaard testjes" inhouden moet je gewoon niet posten.
Een goeie indruk geven ze wel, namelijk door mensen te betrekken en te laten zien dat ze niet een supershady orga zijn.
tldr; stfu :)
De URL aivdhackathon.nl is gehost bij een virtuele server van Exonet. Dus niet eens bij de Rijksoverheid. Ik neem aan dat een particuliere partij de hosting doet, en dus ook verantwoordelijk is voor de headers die worden verstuurd. De webserver ondersteunt geen SSL2 of SSL3, dus qua beveiliging zit het wel snor.
De AIVD gaat tenminste niet stroomafwaarts.
De AIVD gaat tenminste niet stroomafwaarts.
03-01-2017, 15:33 door
[Account Verwijderd]
-
Bijgewerkt: 03-01-2017, 15:36
[Verwijderd]
Die security headers helpen de bezoeker die de website bezoeken met een browser die de headers ondersteunt.
Zo kan nl. geruisloos en zonder tussenkomst van de gebruiker de optimale beveiliging van de browser worden ingesteld tegen bijv. MITM, Cross site scripting en clickjack aanvallen zonder dat de werking van de betreffende website hierdoor wordt verstoord.
Maar als je zelf een beetje kennis van zaken hebt, kun je zulke zaken ook zelf regelen, of in het certificaat controleren.
En soms zul je misschien instellingen moeten wijzigen als blijkt dat er onderdelen niet goed genoeg werken met de bezochte website. Mogelijk staan dan je browserbeveiligingen "te strak" ingesteld.
Of anders kies je ervoor om de website links te laten liggen, of neem je genoegen met wat je nog wél ziet en kan.
Denk in Firefox aan about:config -instellingen en ook aan aanvullende tools als bijv. Noscript-instellingen e.d.
Daar kun je zelfs nog meer mee dan die security headers kunnen.
Die kennis om zelf de browser optimaal veilig in te stellen voor een website is echter de meeste mensen niet gegeven.
Maar dankzij de security headers kan een stukje veiligheid op recente browserversies door de bezochte server worden geregeld. Je zou kunnen zeggen: AIVD kandidaten weten zelf hoe ze veilig surfen, en hebben die headers niet nodig. ;-)
Een belangrijk probleem is echter wel, dat via die headers gemakkelijk meer informatie over het systeem naar buiten lekt dan wenselijk. Dit kan kwaadaardige hackers enorm helpen! Dus probeer dat als systeembeheerder te voorkomen.
Meer daarover in: https://www.troyhunt.com/shhh-dont-let-your-response-headers/
Goeroehoedjes
Zo kan nl. geruisloos en zonder tussenkomst van de gebruiker de optimale beveiliging van de browser worden ingesteld tegen bijv. MITM, Cross site scripting en clickjack aanvallen zonder dat de werking van de betreffende website hierdoor wordt verstoord.
Maar als je zelf een beetje kennis van zaken hebt, kun je zulke zaken ook zelf regelen, of in het certificaat controleren.
En soms zul je misschien instellingen moeten wijzigen als blijkt dat er onderdelen niet goed genoeg werken met de bezochte website. Mogelijk staan dan je browserbeveiligingen "te strak" ingesteld.
Of anders kies je ervoor om de website links te laten liggen, of neem je genoegen met wat je nog wél ziet en kan.
Denk in Firefox aan about:config -instellingen en ook aan aanvullende tools als bijv. Noscript-instellingen e.d.
Daar kun je zelfs nog meer mee dan die security headers kunnen.
Die kennis om zelf de browser optimaal veilig in te stellen voor een website is echter de meeste mensen niet gegeven.
Maar dankzij de security headers kan een stukje veiligheid op recente browserversies door de bezochte server worden geregeld. Je zou kunnen zeggen: AIVD kandidaten weten zelf hoe ze veilig surfen, en hebben die headers niet nodig. ;-)
Een belangrijk probleem is echter wel, dat via die headers gemakkelijk meer informatie over het systeem naar buiten lekt dan wenselijk. Dit kan kwaadaardige hackers enorm helpen! Dus probeer dat als systeembeheerder te voorkomen.
Meer daarover in: https://www.troyhunt.com/shhh-dont-let-your-response-headers/
Goeroehoedjes
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
