De belastingdienst heeft zijn https certificaat gewoon uit Ierland, dus dus zo belangrijk zal het ook weer niet zijn.
"Goed op het slotje letten" hadden ze gezegd. Nou, dat doe ik, en "DigiCert Ireland Limited" is niet bepaald Nederland!

Ik had verwacht dat de Nederlandse overheid wel ten minste hun eigen certificaat zou hebben.
Blijkbaar dus niet!

gemeente.amsterdam: geen SPF en geen DMARC records.

https://gemeente.amsterdam: werkt niet.

http://gemeente.amsterdam: zonder AitM wordt je browser doorgestuurd naar https://www.amsterdam.nl/.

Bijv. almere.nl heeft nog steeds geen HSTS policy (terwijl dit allang wettelijk verplicht is voor overheidsdomeinnamen): https://internet.nl/site/almere.nl/3085976/#control-panel-10.

Prutsers.

Bijzonder dat wetgeving alleen geld voor burgers. Kijk naar de belastingdienst die de boetes voor schijn zelfstandigheid gaat betalen maar door gaat met de inzet van zzp’ers.

Dat krijg je met al die nutteloze ambtenaartjes die allerlei regeltjes bedenken en die geen flauw benul hebben van hoe zaken in de praktijk werken. Je hebt dan ook nog eens allerlei puristische IT' ers die ook al niet weten hoe het binnen organisaties werkt die betrokken worden en et voila, een hoop nutteloze niet handhaafbare richtlijnen. Hetzelfde zie je met de NIS2 en de BIO2 gebeuren. Allemaal voer voor de groene vinkjes halers maar wordt het dan echt veiliger? Compliancy is niet hetzelfde als weerbaar zijn en met een aantal groene vinkjes ben je er nog lang niet.
Een gemiddelde gemeente heeft iets van 180 processen varierend van medium tot high risk waarvan de proceseigenaren vaak helemaal niet in staat zijn om te sturen op risico's omdat a het management er niet in is geinteresseerd en b ze behoren allerlei onhaalbare doelen te behalen waardoor er geen tijd is om zich met risico management bezig te houden.
Weerbaarheid begint vooral eerst tussen de oren en niet op papier. Van proceseigenaren verwachten dat ze voor elke scheet in hun proces een risico analyse moeten gaan uitvoeren is utopisch denken. Die BBN waarde was zo gek nog niet want het benadrukte juist de waarde voor vertrouwelijkheid. Dat was nog vrij goed uit te leggen dat hun proces BBN2 was en dat er daarvoor een flink aantal maatregelen genomen moesten worden. Beter dat met vage BIV waarden aankomen waarvan ze al helemaal niet wisten wat ze ermee aan moesten. Daarnaast zit bijna 90% van de processen op die BBN2 waarde dus waarom dan een risico analyse uitvoeren als je van te voren al weet welke maatregelen genomen moeten worden. De processen veranderen niet of nauwelijks en bij een aanpassing van een verwerking kijk je toch al met een pre dpia wat er precies veranderd en of het risklevel van het proces ermee veranderd. Dat is je PDCA cyclus die je er ieder jaar mee doorloopt.
Ik ben zeker geen tegenstander van een goed uitgedachte baseline aan maatregelen maar als ik zelf zie dat veel gemeenten en overheden nog niet eens aan de minimale baseline voldoen heb ik er een hard hoofd in dat de nieuwe richtlijnen wel gaan werken.
Het beste om de weerbaarheid te testen is om gemeenten en overheden te verplichten om zich jaarlijks te laten testen via bijvoorbeeld een hackers collectief. Een paar honderd hackers die los gaan op de omgevingen, zonder scoping overigens want die gebruiken criminelen tenslotte ook niet. Van alle bevindingen moeten gemeenten en overheden dan verantwoording afleggen hoe en hoe snel ze deze gaan oplossen. Mijns inziens, naast een verplichte baseline op basis van de 6 pijlers van infosec, heeft dat veel meer impact op weerbaarheid dan weer een shitload aan allerlei onhaalbare regeltjes en doelstellingen bedacht door een stel overbetaalde ambtenaartjes en veel te dure ZZP' ers.

Dit is zo te zien gewoon een doorstuur DNS. Domain gemeente.amsterdam heeft geen MX records op dit domein dus zit hier geen mail server achter. En logisch dus geen SPF en geen DMARC records.

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10663
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;gemeente.amsterdam. IN A

;; ANSWER SECTION:
gemeente.amsterdam. 3600 IN A 213.249.93.250

;; Query time: 24 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Sat Dec 21 21:44:08 CET 2024
;; MSG SIZE rcvd: 63


www.amsterdam.nl is hun hoofdomein en deze gebruiken Microsoft 365
Fijn dan kan de NSA mee kijken wat de ambtenaren uitvoeren in Amsterdam, lekker secure ...

MX 10 amsterdam-nl.mail.protection.outlook.com.


;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11775
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;amsterdam.nl. IN MX

;; ANSWER SECTION:
amsterdam.nl. 138 IN MX 10 amsterdam-nl.mail.protection.outlook.com.

Een http verbinding kan door een AitM worden gekaapt (zonder foutmelding in de browser).

Nee, niet logisch.

Door het ontbreken van die records kan een oplichter mail sturen vanaf een server naar keuze met bovenaan de mail:

From: <WammesWaggel@gemeente.amsterdam>

De bedoeling van SPF en DMARC is het voorkómen dat er mail, schijnbaar afkomstig vanaf een specifiek domein, vanaf een niet geautoriseerde server verzonden kan worden (d.w.z. verzenden kan, maar als de ontvangende mailserver op SPF en DMARC checkt, hoort deze mails met gespoofd afzenderdomein te weigeren).

Bovendien, een computer heeft een MX-record nodig om mail te kunnen ontvangen, niet om te kunnen verzenden.

Zelfs als er nooit e-mail vanaf de server met domeinnaam gemeente.amsterdam wordt verstuurd: burgers weten dat niet (en het kan morgen veranderen). Als burgers weten dat het domein gemeente.amsterdam een alternatief is voor amsterdam.nl, en zij e-mail krijgen met een From: veld als hierboven, zullen zij -terecht- denken dat de gemeente Amsterdam de echte afzender is. Dat hoort de gemeente Amsterdam te voorkómen, maar laat dat na.