NCSC bedankt onderzoekers met beste bugmeldingen via Wall of Fame
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid gaat beveiligingsonderzoekers die kwetsbaarheden rapporteren voortaan bedanken via een Wall of Fame. Vanaf dit jaar zal de overheidsinstantie ieder jaar een Wall of Fame publiceren waarin het onderzoekers met de beste bugmeldingen van het voorgaande jaar bijzonder wil bedanken.
Bij de beoordeling wordt onder andere gekeken naar de impact van de melding op de digitale veiligheid van Nederland, het percentage goede en kwalitatieve meldingen als een melder meerdere meldingen doet en of de rapportages waarin de kwetsbaarheid wordt omschreven van goede kwaliteit zijn. Op de Wall of Fame van 2022 staan in totaal zes onderzoekers bij naam genoemd en is ook het Dutch Institute of Vulnerability Disclosure (DIVD) opgenomen. Deze Nederlandse vrijwilligersorganisatie houdt zich bezig met het scannen naar kwetsbare systemen op internet om vervolgens betrokken organisaties te waarschuwen.
Wie een kwetsbaarheid in systemen van de Rijksoverheid vindt kan die rapporteren bij het NCSC. Ook kunnen onderzoekers bij de overheidsinstantie terecht wanneer ze kwetsbaarheden hebben gevonden die meerdere systemen of leveranciers raken. Daarbij hanteert het NCSC een Coordinated Vulnerability Disclosure (CVD) beleid. Melders mogen details dan niet openbaar maken totdat het is opgelost. Het NCSC zal dan geen "juridische consequenties" aan de melding verbinden, tenzij dit wettelijk of door de rechter is verplicht.
Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding worden onderzoekers door het NCSC beloond. De beloning kan variëren van een T-shirt tot cadeaubonnen. Vorig jaar ontving de overheidsinstantie ruim 2500 meldingen.
Re:
#obserwator
Re:
#obserwator
Dat zo'n frame verborgen is is makkelijk te verklaren uit de functie: het staat er niet om de gebruiker iets te laten zien, dus laten ze het de layout niet verstoren met ingenomen ruimte die geen doel dient.
Wat denk jij? Vind je dit plausibel? Had je er zelf op kunnen komen, op basis van "statistiek" en "noscript"?
Re:
#obserwator
Inderdaad is het vragen wat een URL met statistiek erin doet vrij dom .
Of het is gewoon de passief-agressieve manier van klagen die veel nerds hebben als ze iets vinden maar niet het lef om gewoon direct hun mening te geven over wat ze zien , waarvoor ze denken het dat is - en waarom ze dat slecht vinden.
Inderdaad is de statistiek call met noscript.html de fallback voor een statistiek call met javascript en analytische cookies enabled erin, als je in de websource kijkt.
Netjes in eigen beheer , niet naar een externe statistiek provider.
In eigen beheer of niet, dit is een verborgen iFrame en de website bezoekers hebben er,
als ze er al niet naar scannen, merendeels en dat betekent heel vaak dus geen weet van
(want 'NoScript = no access).
Met javascript is er meer mee te doen voor de end-user,
maar dat zal wel niet de bedoeling zijn (geweest).
Vroeger kon je de enquete-ambtenaar van de statistiek wel of niet thuis ontvangen.
De uitnodigingsbriefjes hingen in het openbaar vervoer aan een koordje.
Met een online verborgen iFrame ligt dat toch wat anders (en ook m.i. heel wat onpersoonlijker).
Daarom is de analoge wereld snel vervangen met een digitale wereld
vaak zo ondoordacht idee, hoe de voorstanders dat ook willen bagatelliseren.
IT moet persoonlijke keuzen laten voor de eindgebruiker.
Wil ik niet meewerken aan tracking, statistiek of data vergaren moet dat mijn goed recht zijn.
Of het tegendeel moet in een wet verankerd liggen net als met een toonplicht,
dus een tracking verplichting in dat geval.
Maar hierover is behalve door een figuur als Schrems nog nooit een fundamentele discussie gevoerd.
Dat hebben ze meestal ook niet aangaande tracking en monitoren gedaan of hoe ze als product worden gebruikt.
iFrame kan ook gebruikt worden voor het domein forensisch instituut en info over de prikjes bijvoorbeeld
Quo Vadis dus, die dit zo script en die maakt het uit voor de overheid. Wederom commercie die bepaalt.
Zie https://www.shodan.io/search?query=.rijksoverheid.nl%2F
Dus als jij een mapje tegen komt met de naam " DNP " vol met mp4 bestanden met teksten als 'teens' "MILF' of 'momma'... dan denk je ook 'er staat toch echt 'definately not porn'...' dus dat kan het niet zijn?
Ik denk niet dat ze het zouden aangeven als 'secret-script-to-infect-all-security-minded-people-in-the-netherlands.rijksoverheid.nl'... als het dat zou zijn...
Even los van of het daadwerkelijk stats zouden zijn.
Back on topic, ik zou persoonlijk nooit lekken melden wanneer het met naam en toenaam zou gebeuren in een hall-of-targets... want je tekent wel een groot doelwit op je hoofd en op het hoofd van je familie en vrienden enz...
Jij bent schijnbaar iemand die iets kan wat geld waard is.. dus jij bent geld waard, dus jij bent een commodity geworden en die kunnen gestolen (lees ontvoerd) en verhandeld worden (aan het werk in een donkere kelder voor een andere mogendheid)...
En ik zie heel veel security mensen toch narcistische trekjes hebben en kunnen het niet laten zich op internet te profileren waardoor ze iedereen die ze kennen in gevaar brengen.. mij niet gezien.. Ik heb geen behoefte om ineens wakker te worden met een zak over mijn hoofd in een donkere engelse, amerikaanse of russische kelder...
Men vraagt als het ware om constant te worden aangevallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
