image

Ethische hacker neemt netwerk gemeente Arnhem van binnenuit over

vrijdag 18 mei 2018, 10:07 door Redactie, 30 reacties

Een ethische hacker die door de Rekenkamer van de gemeente Arnhem werd ingeschakeld heeft het gemeentenetwerk van binnenuit weten over te nemen. De Rekenkamer wilde weten hoe goed de gemeentesystemen en gegevens van burgers waren beveiligd. De ingeschakelde ethische hacker wist van binnenuit een gemeentegebouw verbinding met het gemeentenetwerk te krijgen.

Vervolgens wist hij adminrechten te verkrijgen waardoor hij in principe controle had over de complete infrastructuur van de gemeente Arnhem, aldus de Rekenkamer. De ethische hacker kon zich zo ook toegang verschaffen tot privacygevoelige informatie van burgers, ambtenaren en bestuurders. Volgens de Rekenkamer zijn de systemen waar de gemeente gebruik van maakt onvoldoende beveiligd.

De gemeente laat in een reactie weten dat het zich van de "inside-out kwetsbaarheid" bewust was maar er een achterstand bestond in de te nemen maatregelen. "Onze eigen reguliere informatiebeveiligingsaudits (zelftesten) richten zich primair op outside-in aanvallen, waarbij van buitenaf wordt getracht binnen te dringen op ons netwerk (en waarbij de aanvaller zich dus niet in een gemeentelijk gebouw hoeft te begeven). De meeste aanvallen vinden namelijk ook op deze manier plaats", zo laat de gemeente weten (pdf).

Bij het onderzoek van de Rekenkamer bleek het niet mogelijk om van buitenaf toegang te krijgen. De gemeente stelt dat het nog nooit heeft getest of het kwetsbaar was voor 'inside-out' aanvallen. "De aangetroffen kwetsbaarheden bleken daar te zitten. Het ict-systeem gaf wel op een later moment een alarmering af, maar het had absoluut nooit zover mogen komen. Deze grote kwetsbaarheid voor aanvallen van binnenuit vormt voor ons het belangrijkste leerpunt van dit onderzoek van de rekenkamer", stelt de gemeente verder.

Naar aanleiding van het onderzoek zijn er verschillende maatregelen genomen. Die moeten het lastiger voor een aanvaller maken om adminrechten te krijgen als er ondanks getroffen beveiligingsmaatregelen toch toegang tot het netwerk wordt verkregen. De gemeente is niet van plan om de fysieke toegankelijkheid van gemeentegebouwen voor burgers te beperken.

Reacties (30)
18-05-2018, 10:19 door Anoniem
Goed dat de test is uitgevoerd.
Maar 1 ding snap ik niet: waarom publiceren voor het is opgelost?
Dit is toch gewoon criminelen tippen?

Overigens is het niet echt schokkend nieuws. Dit zal gelden voor elk bedrijf dat geen red-teaming heeft gedaan of al geleerd heeft van anderen.
18-05-2018, 11:14 door Anoniem
maargoed dat er een AVG komt want er wordt wat afgeprutst door bedrijfjes die ingehuurd worden door onwetende ambtenaren die de data van anderen onnodig risicovol behandelen en als er dan iets gebeurt het slachtoffer de rekening daarvan krijgt met een beetje pech de rest van zijn leven. wat ict betreft zitten we nog in een 'wilde westen' fase.
18-05-2018, 11:25 door Anoniem
Soms moet je het als organisatie eens meemaken hoe het is om keihard in het gezicht geslagen te worden als het gaat om informatiebeveiliging, daar is dit een mooi praktisch voorbeeld van. Het is maar goed dat er een dergelijke toetsing is gedaan, zodat er knelpunten naar boven komen.

Overigens wel een beetje geschrokken dat het al bekend was maar dat er niets mee gedaan is tot op heden.
18-05-2018, 11:33 door [Account Verwijderd]
En dit is niet de eerste keer dat de gemeente Arnhem in het nieuws is.
Soms krijg je het idee dat er een ICT-chaos heerst.
https://www.security.nl/search?origin=frontpage&keywords=Arnhem
18-05-2018, 11:42 door Tha Cleaner
Door Fidelis: En dit is niet de eerste keer dat de gemeente Arnhem in het nieuws is.
Soms krijg je het idee dat er een ICT-chaos heerst.
https://www.security.nl/search?origin=frontpage&keywords=Arnhem

Ik vind het wel mee vallen. En de ICT bij Arnhem zal niet veel anders zijn dan bij andere bedrijven......
18-05-2018, 11:56 door Anoniem
Door Tha Cleaner:
Door Fidelis: En dit is niet de eerste keer dat de gemeente Arnhem in het nieuws is.
Soms krijg je het idee dat er een ICT-chaos heerst.
https://www.security.nl/search?origin=frontpage&keywords=Arnhem

Ik vind het wel mee vallen. En de ICT bij Arnhem zal niet veel anders zijn dan bij andere bedrijven......

Deze fout zie je principieel gemaakt worden bij bedrijven die uitgaan van de bescherming van firewalls e.d. Die zetten een muur om het netwerk en vervolgens denken ze veilig te zijn.
Het klopt dat de meeste aanvallen van buiten afkomstig zijn, maar als je je richt op het beveiligen van de informatie zelf, in casu de systemen waar die informatie op staat, dan stop je zowel de aanvaller van buiten aan als een willekeurige persoon op je eigen netwerk. Dus ook kwaadwillende medewerkers. En besmette machines.

Als je van buiten naar binnen werkt, ben je langer bezig en je loopt het risico dat management op een gegeven moment stopt, omdat "we toch een firewall hebben".

Peter
18-05-2018, 11:56 door Anoniem
Door Tha Cleaner:En de ICT bij Arnhem zal niet veel anders zijn dan bij andere bedrijven......
De gemeente Arnhem is een overheid en wordt betaald door de burgers, het minste wat ze horen te doen, is goed zorgen voor hun inwoners.
Waarom wil iedere gemeente toch het wiel uitvinden, waarom gebruiken zo weinig gemeenten (en andere overheden) niet een software pakket, dat samen is ontwikkeld?
Dit kan miljoenen besparing opleveren, gewoon allemaal op dezelfde manier (leren) werken.
18-05-2018, 12:52 door Anoniem
Bij het onderzoek van de Rekenkamer bleek het niet mogelijk om van buitenaf toegang te krijgen.
Nee, bij het onderzoek bleek niet dat het mogelijk is om van buitenaf toegang te krijgen. Een wezenlijk verschil.
18-05-2018, 14:35 door Anoniem
Door Anoniem:
Bij het onderzoek van de Rekenkamer bleek het niet mogelijk om van buitenaf toegang te krijgen.
Nee, bij het onderzoek bleek niet dat het mogelijk is om van buitenaf toegang te krijgen. Een wezenlijk verschil.

Yep.
18-05-2018, 15:54 door Anoniem
De meeste aanvallen vinden namelijk ook op deze manier plaats", zo laat de gemeente weten (pdf).

Leuke aanname. Waarop is dit gebaseerd, dat insiders een minder grote dreiging zijn dan outsiders ?
18-05-2018, 15:57 door karma4
Door Anoniem: .....
Waarom wil iedere gemeente toch het wiel uitvinden, waarom gebruiken zo weinig gemeenten (en andere overheden) niet een software pakket, dat samen is ontwikkeld?
....
Dat is vanuit het politieke de Haag opgelegd. Het dogma is dat de vrije markt alles veel beter goedkoper en sneller doet. Dat het dogma niet de realiteit is is waarom het een dogma heet.
Met logius stuff krijgt je de koppelvlakken standaarden die bij een vernieuwing niet standaard blij k en te zijn (eg brp mgba).
18-05-2018, 16:01 door karma4
Door Anoniem: .....
Als je van buiten naar binnen werkt, ben je langer bezig en je loopt het risico dat management op een gegeven moment stopt, omdat "we toch een .....l hebben".

Peter
Eens Peter. Mag ik op de plaats van Firewall .... hebben?
Ik heb vele opties meegemaakt op die plaats.
18-05-2018, 17:53 door Anoniem
Door Anoniem: Waarom wil iedere gemeente toch het wiel uitvinden, waarom gebruiken zo weinig gemeenten (en andere overheden) niet een software pakket, dat samen is ontwikkeld?
Dat is niet iets wat je even goed doet.

Softwareprojecten mislukken maar al te makkelijk door gebrek aan betrokkenheid en te lange communicatielijnen. Als de toekomstige gebruikers van software niet actief bij het project betrokken zijn is het vrijwel zeker dat allerlei misverstanden pas worden geconstateerd als het systeem af is, en organisaties die geen grote automatiseringsprojecten gewend zijn onderschatten steevast hoeveel inspanning er van allerlei gewone medewerkers nodig is om een project goed te laten gaan. En als men dan toch met een resultaat gaat werken dat niet voldoet is de kans dat het alleen maar frustratie en ergernis bij de gebruikers oplevert enorm, en de acceptatie van het systeem minimaal.

Als je zo'n project dan ook nog over alle gemeenten van Nederland laat lopen dan heb je iets van 380 verschillende organisaties met allemaal hun eigenaardigheden in hoe ze werken en die ook nog eens verspreid over het hele land zitten. Dat leidt tot een lappendeken aan vaak tegenstrijdige eisen en moeizame communicatie erover. En dan zullen er ook nog de nodige plaatselijke bobo's rondlopen die graag uniek zijn en het graag beter weten dan de rest.

Een big-bang-aanpak waarbij je een groot systeem voor iedereen opbouwt en waar iedereen zich aan moet conformeren wordt daardoor een erg riskante aangelegenheid.
18-05-2018, 18:58 door Anoniem
Door Anoniem:Waarom wil iedere gemeente toch het wiel uitvinden, waarom gebruiken zo weinig gemeenten (en andere overheden) niet een software pakket, dat samen is ontwikkeld?
Dit kan miljoenen besparing opleveren, gewoon allemaal op dezelfde manier (leren) werken.

Zoals? Heb je voorbeelden van deze (bestaande?) software die miljoenen kan besparen?

De kennissystemen van de gemeenten kun je niet zomaar vervangen door een opensource pakketje (dat niet bestaat, en dus eerst gebouwd moet worden), en vervolgens kostebaar is om te bouwen vanwege alle toeters en bellen die nodig zijn. (Denk aan uitzondering agv wet- en regelgeving, bedacht door politici). Verder hebben grote gemeenten andere eisen en behoeften dan kleinere gemeenten. mbv vanwege speciale regio taken.

Waarom denk je datl gemeenten in een vendor lock-in zitten. Voor de lol?
Dit is gewoon een nis-markt. En daar breek je niet zomaar uit. Of het kost miljoenen aan ontwikkelkosten om het vwiel opnieuw uit te vinden.
Dat is ook gemeenschapsgeld.
18-05-2018, 19:15 door karma4
Door Anoniem: Waarom wil iedere gemeente toch het wiel uitvinden, waarom gebruiken zo weinig gemeenten (en andere overheden) niet een software pakket, dat samen is ontwikkeld?
Zoals "Dat is niet iets wat je even goed doet."al gesteld heeft is dat het probleem. 300-400 gemeentes met een overheidsbeleid uit den Haag dat de markt het beter sneller en goedkoper kan.

Met de BPR is er in 10 jaar boven de 100 miljoen doorheen gejaagd en inmiddels geannuleerd.
https://www.binnenlandsbestuur.nl/bestuur-en-organisatie/nieuws/gemeenten-met-brp-aan-een-ramp-ontsnapt.9567106.lynkx
https://www.rijksictdashboard.nl/projecten/158751/kosten
18-05-2018, 19:20 door Anoniem
Door Anoniem:
De meeste aanvallen vinden namelijk ook op deze manier plaats", zo laat de gemeente weten (pdf).

Leuke aanname. Waarop is dit gebaseerd, dat insiders een minder grote dreiging zijn dan outsiders ?

Omgekeerde logica inderdaad. De oorzaak moet altijd bij insiders gezocht worden en corrupte / foute insiders die hun gebrekkige loyaliteit en onprofessionaliteit op outsiders projecteren om zelf de galg te ontlopen....
18-05-2018, 20:03 door Anoniem
Door Anoniem:
Door Tha Cleaner:En de ICT bij Arnhem zal niet veel anders zijn dan bij andere bedrijven......
De gemeente Arnhem is een overheid en wordt betaald door de burgers, het minste wat ze horen te doen, is goed zorgen voor hun inwoners.
Waarom wil iedere gemeente toch het wiel uitvinden, waarom gebruiken zo weinig gemeenten (en andere overheden) niet een software pakket, dat samen is ontwikkeld?
Dit kan miljoenen besparing opleveren, gewoon allemaal op dezelfde manier (leren) werken.
Goed idee! Het grote voorbeeld is Windows dat door bijna iedereen gebruikt wordt. Dat softwarepakket wordt nooit aangevallen door kwaadwillenden.
18-05-2018, 20:48 door karma4
Door Anoniem:
Omgekeerde logica inderdaad. De oorzaak moet altijd bij insiders gezocht worden en corrupte / foute insiders die hun gebrekkige loyaliteit en onprofessionaliteit op outsiders projecteren om zelf de galg te ontlopen....

Door Anoniem: [Goed idee! Het grote voorbeeld is Windows dat door bijna iedereen gebruikt wordt. Dat softwarepakket wordt nooit aangevallen door kwaadwillenden.

Prachtig zo onder elkaar. Zeker die laatste, Die is met een OS flaming bezig waarbij hij niet doorheeft dat fysieke toegang en open netwerken een ander iets is. Daarmee een toonbeeld van de verblinding als foute insider.
18-05-2018, 21:37 door Anoniem
Door karma4:
Door Anoniem:
Omgekeerde logica inderdaad. De oorzaak moet altijd bij insiders gezocht worden en corrupte / foute insiders die hun gebrekkige loyaliteit en onprofessionaliteit op outsiders projecteren om zelf de galg te ontlopen....

Door Anoniem: [Goed idee! Het grote voorbeeld is Windows dat door bijna iedereen gebruikt wordt. Dat softwarepakket wordt nooit aangevallen door kwaadwillenden.

Prachtig zo onder elkaar. Zeker die laatste, Die is met een OS flaming bezig waarbij hij niet doorheeft dat fysieke toegang en open netwerken een ander iets is. Daarmee een toonbeeld van de verblinding als foute insider.

Zucht. Karma vliegt weer eens uit de bocht. Wel goed de context lezen aub.
Beide reageerden op verschillende eerder geplaatste opmerkingen. het "OS flaming" heeft niets te maken met de "hack" in Arnhem, maar met de opmerking dat de overheid miljoenen kan besparen door niet allemaal "zelf het wiel uit te vinden".

Iets van "zoals de waard is..."?
Heeft Karma misschien een blinde vlek als het over Windows gaat? (Of reageert erop alsof het een rode lap is?) :-)
19-05-2018, 08:23 door karma4
Door Anoniem:
Iets van "zoals de waard is..."?
Heeft Karma misschien een blinde vlek als het over Windows gaat? (Of reageert erop alsof het een rode lap is?) :-)
Natuurlijk weet ik dat de post niet op elkaar afgestemd zijn, de moderatie op die post's kan nogal wat tijd kosten.
Daarmee is het toeval dat ze onder elkaar komen niet minder leuk. Soms denk ik wel eens, die post had ik nog niet gezien maar je kon hem zien aankomen. Voorspelbaarheid van menselijk gedag.

De rode lap waarop ik reageer zijn de domme OS flamers die de boel feitelijk verzieken. Ik heb niets met microsoft maar zit in bi analtyics. De overlast van Linux adepten voor informatieveiligheid in dat specifiek werkveld is zeer storend.
Voor dit gebeuren rond het Topic ICT Arnhem heb ik nog wel wat achtergronden.
19-05-2018, 08:42 door karma4 - Bijgewerkt: 19-05-2018, 09:21
Wat achtergronden "De Connectie" en de hack als ICT Arnhem.
De pentest is uitgevoerd door https://www.gelderlander.nl/arnhem/arnhem-gaat-stadhuis-niet-extra-beveiligen-na-hack~ae90c2a5/ "Deze week werd bekend dat hacker Wouter van Dongen van het bedrijf DongIT alleen en soms met collega's tot vier keer toe het met een pasjessysteem beveiligde deel van het stadskantoor binnen wandelde."

Als je kijkt naar https://www.dongit.nl/diensten Dan zie je:
- Webontwikkeling PHP / CakePHP / Drupal / Magento Content management systemen Betalingssystemen en meer..
- Penetratietesten / Web audits Penetratietesten/web audits Ethische hacking diensten Herstellen gehackte webapplicaties
- ..
Waar "Certified Secure" (deze site) zich op opleiding richt, richt Dongit zich op de dienstverlening (pentesten) in de praktijk.
De combinatie met php website bouw een gangbaar iets met open source bij gemeente applicaties kan een goede verklaring van de keus als inhuur voor deze pentest zijn. Als je verwacht dat de website getest gaat worden dan is een pentester die ook dat websites bouwt geen verkeerde associatie.
Nu is die verwachting niet uitgekomen doordat bij de pentest naar de fysieke toegang (poortjes) als zwakste punt geschakeld is.

DongIt zit in Leiden, heeft een "DongIT heeft zich als nieuwe partner aangesloten bij The Hague Security Delta." (knip/plak bij over ons), . De fysieke locatie zit dicht bij "Certified Secure" den Haag. Dat wat betreft het bedrijf.

"De Connectie" wordt wel aangeduid als de ICT van Arnhem, het is een samenwerkingsverband Arnhem Renkum Rheden. (GTFW) EY 2015: Business case Partners in de Intergemeentelijke Uitvoeringsorganisatie

"De IGUO-organisatie is de gezamenlijke bedrijfsvoeringsorganisatie van de drie gemeenten Arnhem, Renkum en Rheden. De aard van de organisatie vraagt dat alle medewerkers en leidinggevenden beschikken over de generieke kerncompetenties van de IGUO: professionaliteit, eigenaarschap en resultaatgerichtheid."

"Naar toekomstige huisvesting zal serieus gekeken moeten worden. De gemeente Arnhem huurt haar huidige locatie tot 2020. De gebouwen waar de gemeenten Renkum en Rheden gehuisvest zijn, zijn beide eigendom van de gemeente."


"Een samenwerking als binnen de IGUO kan op termijn tot financiële voordelen leiden. In de business case IGUO is uitgegaan van een besparingspotentieel van minimaal 4% tot maximaal 9% op de exploitatiekosten. De range van het besparingspotentieel tussen 4-9% is door ons gebaseerd op (1) de situatie binnen de deelnemende gemeenten, (2) externe onderzoeken en (3) ervaringen binnen andere SSC in de publieke sector, met name gemeenten."

Raadsbesluiten zijn penbaar. "GemICT-­?bedrijfsplan_rev20151207-­?301_DEFINITIEF"
"GemICT als aanbieder van ICT diensten op operationeel, tactisch en strategisch niveau" pag 10(48)
" De GemICT bestaat – onder voorbehoud -­? uit de volgende FTE aantallen (bron: IGUO Businesscase):
- Arnhem: 55,5 FTE - Renkum 5,0 FTE - Rheden 12,5 FTE TOTAAL: 73,0 FTE

"5.7 Besparingen
Eén van de belangrijkste beweegreden om GemICT te starten is de mogelijkheid om de kosten te verlagen. Hieronder worden de mogelijkheden om kosten te verlagen toegelicht."

"Uit de IGUO Businesscase (EY) blijkt dat er 660 applicaties in gebruik zijn. (Opmerking: bij Rheden zijn alleen ICT applicaties meegeteld. Het totaal kan dus hoger kunnen uitvallen.)"


Ofwel het hele gangbare circus van kostenbesparing en geen ICT kwaliteit.
Ik houd er van om iets meer te weten wat er allemaal gebeurt en speelt voordat ik wat beweer.
19-05-2018, 11:38 door Anoniem
De beperkte informatie verstrekking in het nieuws roept bij mij nog wel wat vragen op.

Dat de hacker en zijn collega's het beveiligde deel van het stadskantoor te Arnhem konden binnenlopen (dirngen) verbaasd me niet. Het is een grote organisatie, met een hoog eilandjes cultuur, dus een vreemde die meeloopt zal niet snel opvallen.

Dat een wildvreemde op een vrije werkplek kan gaan zitten, is ook niet opvallend, want het stadskantoor werkt met flexplekken. Je kunt dus (kortweg) gaan zitten waar je wil.

Het binnenlopen in de beveiligde gedeelten van stadskantoren en gemeentehuizen is vaak niet zo moeilijk.
Je loopt naar binnen en zegt dat je een afspraak heb, cq dat je naar het toilet wilt. Of dat je een vergadering wilt bijwonen. Of er staat een deur open, vanwege een huwelijk oid. Of je loopt met personeel mee door de beveiligings-deuren. Genoeg mogelijkheden.


,,De hacker wist wachtwoorden te omzeilen en zich binnen het netwerk te gedragen als een systeembeheerder. Hierdoor had hij toegang tot alle vertrouwelijke systemen’’, zegt voorzitter Arie Teeuw van de Arnhemse Rekenkamer.

Heeft hier de grootschaligheid en eilandjescultuur de organisatie parten gespeeld, of zijn er computers onbeheerd achtergelaten door mensen die beter moeten weten?
Hier zou wat meer achtergrond informatie over naar buiten moeten komen.


De Connectie is de uitvoeringsorganisatie voor Arnhem, Rheden en Renkum.
Dit probleem speelt nu bij Arnhem. (aldus de kranten en de hacker).
Maar zijn de gemeenten Rheden en Renkum door diezelfde werkwijze/houding van de medewerkers in het stadskantoor niet ook zo lek als een mandje?
(In het stadskantoor zitten zowel de medewerkers van de gemeente Arnhem als die van De Connectie)
20-05-2018, 15:00 door Anoniem
@ karma4 & anoniem van 11:38

Er zou echt eens een onafhankelijke autoriteit van security expertise medewerkers moeten komen, die de excessen vanuit de commerciele marketing en communicatie wereld kan overrulen en de onveiligheid links- en rechtsom een halt toeroepen, zodat aan allerlei ontsporingen op dit gebied ouderwets paal en perk kan worden gesteld. Mooi begin om bij te starten is onze eigen overheid. Die moet immers de juiste veiligheidsnormen stellen en dus ook hanteren en garanderen. Vastgesteld - het is nog steeds op veel plekken een zooitje en Amerikaans gesproken "a free for all"!

Alles wordt maar privaat uitbesteedt en toezichthouders hebben er onvoldoende weet en kennis van om hier adequaat wat aan te doen. De graaier wil graag graaien en degenen, die zeggen, dat dat niet kan uit veiligheidsoogpunt hebben veel te weinig te zeggen of in de melk te brokken om dit een halt toe te roepen.

Het is allemaal te ver doorgeschoten en hoe dat historisch zo komt is vers twee en minder belangrijk, maar het moet eens een keer irrelevant worden. We blijven anders "roependen in de woestijn" en de anderen blijven "horende doof en ziende blind". Het roer moet echt om, anders ruimt het schip met zo veel duwbakken de Waalkade niet bij de Nijmeegse brug. Alle hens aan dek zogezeid!

Bij de site van Arnhem - veiligheid-issues:
x-content-type options 34 errors;
validate-set.cookie-headers 4 errors;
strict-transport-security 4 errors;
disown-opener 1 error;
no-disallowed-headers 8 errors;
sri 34 errors;
Van de bovenste kwetsbaarheden, nader genoemd.
no-vulnerable-javascript libraries 1 error ( Snyk vindt jQuery@1.11.3 met 1 bekende kwetsbaarheid (1 medium)
-https://www.arnhem.nl/
Detected libraries:
jquery - 1.11.3 : (active1) -https://www.arnhem.nl/js/custom/jquery-1.11.3.min.js
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
http://research.insecurelabs.org/jquery/test/
Info: Severity: medium
https://bugs.jquery.com/ticket/11974
http://research.insecurelabs.org/jquery/test/
prototypejs - 1.7 : (active1) -https://www.arnhem.nl/js/lib/prototype.js
(active) - the library was also found to be active by running code
1 vulnerable library detected

Ook voor bijvoorbeeld header niet gespecificeerd ->

<link rel="stylesheet" type="text/css" media="screen" href="htxps://www.arnhem.nl/styles/custom/default.css.jsp" title="Verklein letters" class="toggle default"> en bij voorbeeld htxps://websurveys2.servm … lient/gm_intro.js?v=2.1.0:82:90
<script src="htxps://websurveys2.servmetric.com//js/client/gm_intro.js?v=2.1.0"></script>

disown-opener: 1 error
DOCUMENTATION
CLOSE DETAILS
ERROR
'<a href="htxps://websurveys2.servmetric.com/them … .png" alt="Wat vindt u van onze website?"> </a>' is missing 'rel' values 'noopener', 'noreferrer'
https://www.arnhem.nl/:484:19
<a href="https://websurveys2.servmetric.com/theme/gm/1942" target="_blank" class="gm_sidebar_anchor" title="Wat vindt u van onze website?" rel="nofollow"> <img src="https://geo1.arnhem.nl/ga/kf_rh.png" alt="Wat vindt u van onze website?"> </a>

Dit zijn algemeen publiek toegankelijke 3rd party cold reconnaissance scanresultaten. Ik heb dus de website geenszins hoeven te bezoeken hiervoor. Iiedereen met relevante kennis kan dit zonder speciale hulpmiddelen zelf vaststellen via een run of the mill browser Waarom is er dan niets mee gedaan?

Zou het een te grote klus betekenen om alle websites op dit vlak wat veiliger te willen maken. Is het onbegonnen werk omdat het veld niet wil, de educatie er geen oog voor heeft en men meer verdeient als men de gehele website bouw- en onderhoudswereld in veiligheidsopzicht maar wat aan laat rommelen. 63 % van alle Magento CMS websites heeft in verschikllende mate last van zulke problematiek. Gaat men er iets aan doen. Mijn vrees is neen.

luntrus
20-05-2018, 16:20 door Anoniem
Ongevraagd hacken om aandacht...bruine acite. Kan zo bij de "heeren boven ons" gaan werken.
20-05-2018, 19:11 door karma4
Door Anoniem: @ karma4 & anoniem van 11:38

Er zou echt eens een onafhankelijke autoriteit van security expertise medewerkers moeten komen, die de excessen vanuit de commerciele marketing en communicatie wereld kan overrulen en de onveiligheid links- en rechtsom een halt toeroepen, zodat aan allerlei ontsporingen op dit gebied ouderwets paal en perk kan worden gesteld. Mooi begin om bij te starten is onze eigen overheid. Die moet immers de juiste veiligheidsnormen stellen en dus ook hanteren en garanderen.
..
Zou het een te grote klus betekenen om alle websites op dit vlak wat veiliger te willen maken. Is het onbegonnen werk omdat het veld niet wil, de educatie er geen oog voor heeft en men meer verdeient als men de gehele website bouw- en onderhoudswereld in veiligheidsopzicht maar wat aan laat rommelen. 63 % van alle Magento CMS websites heeft in verschikllende mate last van zulke problematiek. Gaat men er iets aan doen. Mijn vrees is neen.

luntrus
Luntrus ik wil wat weer weten wat er in het politieke spel speelt. Ik heb wat jaarverslagen en aanbestedingen doorgelopen en van een wethouder van financiën nieuwsberichten nagelopen. Het beeld is helder: de mening is dat ICT te duur is en beter op afstand gezet kan worden en de grote klussen als desktop virtualisatie (citrix icm MS V-App) besteed je uit terwijl je de applicaties inkoopt (eg Centric). Dan is een gedegen security zoals met de BIV is voorgeschreven vanuit de Nora wordt uitgedragen ver weg. Een gemeente heeft ICT niet als doel maar als middel zoals ook het werk voor de omgeving wordt uitbesteed. Het Ap geeft geen thuis voor controles.

Je hebt helemaal gelijk dat het meer en beter aandacht verdient. Zolang ICT een kostenpost is, is er weinig kans dat de verantwoordelijken hun verantwoording zien.

Wat de website betreft je ziet vermoedelijk PHP met Typo3 als open source tool. Dat komt terug bij dongit.
Het is het laatste sluitstuk naar de buitenwereld, In deze pentest is het niet het belangrijkste gebrek gebleken.
21-05-2018, 16:07 door Anoniem
Zie: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fwww.arnhem.nl

IP via Versatel-block geen host naam (via Webreus BigIP server) met 23 domeinen (Diemen).
Voor arnhem.nl krijg ik een certificaat fout: De domein naam komt niet overeen met de common name of SAN.
Waarschuwing - root installatie op de server, d.w.z. geen "best policy" gehanteerd.

Certificate chain
Staat der Nederlanden Root CA - G2Root certificate
Staat der Nederlanden Organisatie CA - G2Intermediate certificate
QuoVadis CSP - PKI Overheid CA - G2Intermediate certificate
www.arnhem.nl Tested certificate
Server configuration

Geen HSTS geimplementeerd

Zie resultaten hier: https://privacyscore.org/site/93423/

Embedded third party trackers: cloudfront.net en siteimprove.com.
Site is kwetsbaar for SWEET32 aanval en LUCKY13 aanval.
De server gebruikt geen TLS_FALLBACK_SCSV als bescherming tegen downgrade-aanvallen.
Er wordt geen X-Content-Type-Options-Header gezet en ook geen privacy-vriendelijke referer-policy header

EncMail is kwetsbaar voor her-negotiatie aanvallen.

luntrus
21-05-2018, 22:50 door Anoniem
@karma4,

De website code zal hier en daar best wel goed doorgespit zijn, toch zitten er nog fouten in her en der, bij de gebruikte technieken als Green Valley CMS (CMS); Modernizr (JavaScript Frameworks); Prototype (JavaScript Frameworks) ;
jQuery (JavaScript Frameworks) ; script.aculo.us (JavaScript Frameworks); Java (Programming Languages) ;
Font Awesome (Font Scripts);Google Font API (Font Scripts); Apache Tomcat (Web Servers)

Ik richtte me op een javascriptje in de DOM om te kijken of een predifined variable ergens ontbreekt.
Dit in verband met een mogelijke herstart issue, als die is uitgevoerd. We gaan niet over een nacht ijs.

We vinden zoiets in de vorm van "undefined variable: s" bijv. in de code van -geo1.arnhem.nl/ga/SiteImprove.js

Je moet de code wel van de DOM ingeven in de javascript unpacker
<script type="text/javascript">
/*<![CDATA[*/
(function() {
var sz = document.createElement('script'); sz.type = 'text/javascript'; sz.async = true;
sz.src = 'https://geo1.arnhem.nl/ga/SiteImprove.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(sz, s);
})();
/*]]>*/
</script>
Dus verkregen we de DOM via een 3rd party cold reconnaissance scan, namelijk bij: https://urlscan.io/result/1e4a684c-205d-4bb7-b713-dacf4f59a857/dom/

Gedeeltelijk is de site wel degelijk goed beschermd tegen het scannen van de uri link: unpacker.scan called CreateElement script //jsunpack.url element = https://geo1.arnhem.nl/ga/SiteImprove.js , omdat dat een failure: [Errno 104] Connectie reset door peer oplevert, dat is tegen automatische requests gericht en dus best wel goed dichtgetimmerd. (goed gedaan, web admin, proficiat, waarvan akte).

Het bovenstaande toont wel aan, dat er ook nog wat kan vastgesteld worden over een site, zonder direct aan "ramen en deuren" te rammelen, wat natuurlijk in dit verband nooit gedaan is of kon worden. Alle relevante wederwaardigheden zijn te vinden via een reguliere browser via publiek toegankelijke scan rapportjes, zonder de site zelf(s) maar te bezoeken.

Maar eigenlijk zou ik dit hier niet moeten hoeven te posten en zouden website developers en degenen, die het onderhoud erover voeren zelf al deze zaken al goed in ogenschouw moeten hebben genomen. Beschouw het in dit geval dan maar als aanzet om betere studie naar deze zaken te doen. Goed, dat dit platform, security dot nl, de verantwoordelijk neemt om educatief IT security beter te presenteren, zodat dit besef en de relevante kennis erover groeit. Dank aan redactie en moderatoren daarvoor,

luntrus
22-05-2018, 12:34 door PJW9779
Goed gedaan Luntrus.
Een feest van herkenning van 25 jaar gepruts. Opnieuw blijkt de kloof tussen IT-beveiliging en privacy-bescherming (afvalpas?).
Overigens heeft in mijn ervaring het gros van de webdevelopers geen benul van webstandaarden, laat staan van testen, laat staan van Privacy by Design en Privacy by Default.

Gelukkig zijn er allerlei stoere Arnhemse 'managers' die het wel even zullen 'regelen'.
22-05-2018, 17:36 door Anoniem
@ PJW9779,

Goed dat je deze visie deelt. Voor een "quick and dirty" had men minimaal wel eens hier kunnen kijken,
naar het Website Security Cheat Sheet voor de minimale security configuraties op:
https://infosec.mozilla.org/guidelines/web_security.html

De zaken moeten dan niet alleen voor de website in orde zijn en daar moeten zogenaamde
"best policies" worden gevolgd, maar ook bij de hoster moet e.e.a. goed zijn ingesteld en onveiligheid gemitigeerd.
( geen extensieve info proliferatie , geen rare sub-domein onveiligheid, geen nameserver info proliferatie, enz.).

Naast dat dit soort zaken goed geregeld zijn, moet men natuurlijk weer niet via een zijweg hernieuwd onveiligheid introduceren, met PHP gedreven code bijvoorbeeld,

Zie een PHP "cookbook" bijvoorbeeld: https://getkirby.com/docs/cookbook/debugging-basics .

Verder ook even hier scannen of met Snyk: retire.insecurity.today/# om eventueel kwetsbare of verlaten jQuery libraries af te voeren. Verder zal CMS software kernel code nog wel redelijk goed worden bijgehouden, maar bij plug-in-code altijd op laatste versie controleren of naar iets anders omzien als de plug-in niet meer onder houden wordt. "Alle code, die eenmaal is verkregen, zal eerdaags weer moeten worden afgevoerd". Dat is een vaste stelregel bij onze 'stiel'.

Bij WordPress websites staat "user enumeration" en "directory listing" nog weleens aan met alle proliferatie gevolgen van dien, met user en password is op een inlog pagina veel kwaad aan te richten.

Als het waar deze basale dingen aangaat al te vaak fout gaat, waar zijn we dan met z'n allen mee bezig?

Wat de 'stoere' managers en CEO's, waar jij het over hebt, betreft heb ik zo mijn twijfels,
ze blinken uit in echt van alles en nog wat en veinzen bijkans van van alles verstand te hebben,
behalve echter vaak op het gebied van relevante website security & error-hunting. Jammer, toch.

Hoop met jou dat het eens zal verkeren, maar denk voorlopig nog van niet.

luntrus
23-05-2018, 06:09 door karma4
Door PJW9779: Goed gedaan Luntrus.
.....
Gelukkig zijn er allerlei stoere Arnhemse 'managers' die het wel even zullen 'regelen'.
Mee eens.

Wat dat laatste betreft in gemeente termen heet die manager wethouder. Inderdaad is er in Arnhem nogal wat onrust.
Ict viel onder de portefeuille financiën. Terugkerende opmerking "het moet goedkoper".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.