Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Diginotar issue ook voor niet-klanten van Diginotar schadelijk
08-09-2011, 11:15 door Anoniem, 10 reacties
Vanaf het openbaar worden van DigiNotar-Gate wordt (mede door de overheid) gesteld dat juist klanten van Diginotar maatregelen moeten nemen.
Ik heb de overtuiging dat dit niet afdoende is en men onbewust voorbij gaat aan het effect voor niet-DigiNotar-klanten. Fake sites kunnen namelijk wél de (vervalste) diginotar certificaten hanteren.
Zie bijvoorbeeld dat er een certificaat is uitgegeven voor SECURE.LOGMEIN.COM.
(BRON: http://www.diginotar.nl/Actueel/tabid/264/articleType/ArticleView/articleId/337/Publicatie-rapport-FoxIT.aspx)
Terwijl deze site zélf een certificaat hanteert dat is uitgeven door Thawte!
Ditzelfde geldt natuurlijk voor de microsoft update services! Microsoft heeft (zover ik kan zien) geen certificaten uit beverwijk betrokken.
En dan geldt dat ook voor die sites waarvoor een vals certificaat is afgegeven maar nog niet is bemerkt (het rapport stelt, als ik het goed lees, dat de lijst niet compleet hoeft te zijn).
parallel met een andere wereld:
Bedrijf x laat een accountants verklaring opstellen door accountant A.
Als nu accountant B valse accountants verklaringen opstelt, dan kan een kwaadwillend persoon zich uitgeven voor bedrijf x en met een verklaring van accountant B bijvoorbeeld geld lenen. Dit terwijl de huisaccountant van x gewoon A is en deze dus geen relatie heeft met B.
VRAAG 1: klopt mijn beredenering dat niet alleen Diginotar klanten hiermee direct een beveiligingsrisico lopen?
Enige juiste (korte termijn) maatregel volgens mijn gedachte om de CA van diginotar volledig te blokkeren. (zoals dat inmiddels door de meeste browsers in de updates is gedaan). We constateren alleen dat niet alle browsers dit doorvoeren én we weten dat het 100% patchen vrijwel is uitgesloten. Aanvullende maatregelen aan de bedrijfsgrens lijken noodzakelijk
VRAAG 2: Heeft het zin (toegevoegde waarde) om in de corporate firewalls netwerkverkeer van/naar de compromised CA's (zoals Diginotar) te blokkeren?
TIP 1: Voor MAC gebruikers met Safari oid: http://ps-enable.com/articles/diginotar-revoke-trust
Dit is vrij heftig omdat het mogelijk is dat ook andere certificaat verstrekkers verkeerde certificaten afgeven. (BRON: http://pastebin.com/u/ComodoHacker) waarin de vermeende hacker zich meldt en claimed meerdere CA's onder controle te hebben. We weten nog niet welke certificaten vanuit die authorities zijn aangemaakt. (zie ook: http://www.globalsign.com/company/press/090611-security-response.html)
VRAAG 3: Zijn we hier tegen te wapenen? Welke maatregelen zou men (tijdelijk) moeten nemen om kwetsbaarheden hierin uit te sluiten (in mijn professionele omgeving wordt zéér veel belang gehecht aan beveiliging). In ieder geval tot het moment dat duidelijk is welke CA's niet geraakt zijn door deze persoon. (onze certificaten zijn betrokken via Thawte)
Hartelijk dank.
(vanwege mijn professionele verbondenheid kan ik helaas niet persoonlijk signeren, maar zal wel reageren op antwoorden)
Ik heb de overtuiging dat dit niet afdoende is en men onbewust voorbij gaat aan het effect voor niet-DigiNotar-klanten. Fake sites kunnen namelijk wél de (vervalste) diginotar certificaten hanteren.
Zie bijvoorbeeld dat er een certificaat is uitgegeven voor SECURE.LOGMEIN.COM.
(BRON: http://www.diginotar.nl/Actueel/tabid/264/articleType/ArticleView/articleId/337/Publicatie-rapport-FoxIT.aspx)
Terwijl deze site zélf een certificaat hanteert dat is uitgeven door Thawte!
Ditzelfde geldt natuurlijk voor de microsoft update services! Microsoft heeft (zover ik kan zien) geen certificaten uit beverwijk betrokken.
En dan geldt dat ook voor die sites waarvoor een vals certificaat is afgegeven maar nog niet is bemerkt (het rapport stelt, als ik het goed lees, dat de lijst niet compleet hoeft te zijn).
parallel met een andere wereld:
Bedrijf x laat een accountants verklaring opstellen door accountant A.
Als nu accountant B valse accountants verklaringen opstelt, dan kan een kwaadwillend persoon zich uitgeven voor bedrijf x en met een verklaring van accountant B bijvoorbeeld geld lenen. Dit terwijl de huisaccountant van x gewoon A is en deze dus geen relatie heeft met B.
VRAAG 1: klopt mijn beredenering dat niet alleen Diginotar klanten hiermee direct een beveiligingsrisico lopen?
Enige juiste (korte termijn) maatregel volgens mijn gedachte om de CA van diginotar volledig te blokkeren. (zoals dat inmiddels door de meeste browsers in de updates is gedaan). We constateren alleen dat niet alle browsers dit doorvoeren én we weten dat het 100% patchen vrijwel is uitgesloten. Aanvullende maatregelen aan de bedrijfsgrens lijken noodzakelijk
VRAAG 2: Heeft het zin (toegevoegde waarde) om in de corporate firewalls netwerkverkeer van/naar de compromised CA's (zoals Diginotar) te blokkeren?
TIP 1: Voor MAC gebruikers met Safari oid: http://ps-enable.com/articles/diginotar-revoke-trust
Dit is vrij heftig omdat het mogelijk is dat ook andere certificaat verstrekkers verkeerde certificaten afgeven. (BRON: http://pastebin.com/u/ComodoHacker) waarin de vermeende hacker zich meldt en claimed meerdere CA's onder controle te hebben. We weten nog niet welke certificaten vanuit die authorities zijn aangemaakt. (zie ook: http://www.globalsign.com/company/press/090611-security-response.html)
VRAAG 3: Zijn we hier tegen te wapenen? Welke maatregelen zou men (tijdelijk) moeten nemen om kwetsbaarheden hierin uit te sluiten (in mijn professionele omgeving wordt zéér veel belang gehecht aan beveiliging). In ieder geval tot het moment dat duidelijk is welke CA's niet geraakt zijn door deze persoon. (onze certificaten zijn betrokken via Thawte)
Hartelijk dank.
(vanwege mijn professionele verbondenheid kan ik helaas niet persoonlijk signeren, maar zal wel reageren op antwoorden)
Reacties (10)
08-09-2011, 12:11 door
Bitwiper
Door Anoniem: Ditzelfde geldt natuurlijk voor de microsoft update services! Microsoft heeft (zover ik kan zien) geen certificaten uit beverwijk betrokken.
(Korte reactie, ik heb eigenlijk geen tijd). Ja en nee. Het updateproces zelf verloopt via http. Echter de updates zelf zijn gesigneerd door Microsoft. Van Microsoft zijn ook certificaten vervalst.Als voorbeeld heeft de DigiNotarHacker een gesigneerde calc.exe op pastebin gezet. De handtekening is op basis van het *.google.com certificaat (en bewijst dat deze aanvaller over de bijbehorende private key beschikt), maar dit had hij/zij waarschijnlijk net zo goed met een Microsoft certificaat kunnen doen.
N.b. updates van de lijst met rootcertificaten zijn, vermoed ik, ook met een Microsoft certificaat ondertekend. of daar aanvullende (hardcoded) checks op plaatsvinden (zoals Chrome doet met Google certificaten) weet ik niet. Het feit dat er ook valse root CA certificaten zijn aangemaakt suggereert dat de aanvaller van plan is deze naar Microsoft gebruikers te pushen.
VRAAG 1: klopt mijn beredenering dat niet alleen Diginotar klanten hiermee direct een beveiligingsrisico lopen?
Ja, zie boven.Enige juiste (korte termijn) maatregel volgens mijn gedachte om de CA van diginotar volledig te blokkeren. (zoals dat inmiddels door de meeste browsers in de updates is gedaan).
Dus niet in het meest gebruikte besturingssysteem, Microsoft Windows. Het gebruik van de certificate store in Windows strekt zich verder uit dan alleen in MSIE.We constateren alleen dat niet alle browsers dit doorvoeren én we weten dat het 100% patchen vrijwel is uitgesloten.
100% patchen voor (valse) DigiNotar certificaten werkt prima. Installeer de laatste Microsoft patches handmatig.VRAAG 2: Heeft het zin (toegevoegde waarde) om in de corporate firewalls netwerkverkeer van/naar de compromised CA's (zoals Diginotar) te blokkeren?
Nee, integendeel. Je blokkeert daarmee CRL en OCSP requests (voor wat die nog waard zijn).Dit is vrij heftig omdat het mogelijk is dat ook andere certificaat verstrekkers verkeerde certificaten afgeven
Dat risico is er altijd. Daarnaast is er altijd een risico dat private keys zijn gestolen en worden misbruikt voordat de bijbehorende certificaten worden ingetrokken. Ten slotte worden er regelmatig bugs in de controle van certificaten geconstateerd en deels gepubliceerd (ik bedoel in webbrowsers, openssl, verificatie van bestanden etc).VRAAG 3: Zijn we hier tegen te wapenen?
Met het huidige systeem van certificaatuitgifte en revocation methodes (met notabene revocation URL's in het betreffende certificaat zelf in plaats van in het parent certificaat).
08-09-2011, 14:41 door
iamhere
Het probleem bij Diginotar is dat ze zich naast met de high-end certificaten (basis infrastructuur voor de Nederlandse overheid nota bene) bezighielden met de hoog volume, low trust SSL certificaten. En dat heeft ze nu beregoed opgebroken.
In feite mag je niet teveel vertrouwen stellen in SSL certificaten. Het is niet meer dan enkele administratieve processen en niet al te hoge horden zoals een onbeveiligde mail aan een domein adres om een organisatie aan een domeinnaam te koppelen en zo'n certificaat uit te reiken.
Het echte probleem ontstaat doordat in een autoritair land de netwerk backbone geheel gedirigeerd wordt door de overheid en het probleemloos is om met een onjuist verkregen certificaat een man in the middle op te zetten. Google heeft dit doorzien en in Chrome een extra horde opgeworpen. Waarschijnlijk komen bij hen ook alle gmail aanvragen uit Iran vanaf een centraal ip adres, dus ze weten dat de infrastructuur daar in handen van de overheid is.
Voor ondertekenen van documenten zijn de SSL certificaten niet geschikt, dus daar schuilt eigenlijk geen gevaar. Ook geloof ik niet dat de hardware private key van de Diginotar certificaten in vreemde handen is, dus zolang ze niets meer uitgeven kunnen er ook geen valse certificaten meer gemaakt worden. Het lijkt me onwaarschijnlijk dat de krakers zich beziggehouden hebben met het maken van valse Nederlandse ondertekeningscertificaten tenzij ze specifieke persoonlijke doelwitten in Nederland op het oog hadden.
Kun je gevaren voor de Nederlandse infrastructuur 100% uitsluiten? Nee, dat is duidelijk dat je dat niet kan stellen, maar zolang de krakers hier geen backbone infrastructuur in handen hebben en niet op voorhand bedacht hebben dat ze ook wat ondertekeningscertificaten voor willekeurige Nederlandse personen of bedrijven moesten aanmaken lijkt het feitelijke directe gevaar me klein, tenzij je netwerkverkeer langs Iran passeert of je zaken doet met personen waarin de Iraanse overheid interesse kan hebben of zelf zo'n persoon bent.
Windows update wordt ook niet direct bedreigd. Er kunnen alleen valse updates geinstalleerd worden als een kraker van te voren jouw pc onder handen heeft genomen en de publieke microsoft update sleutel in je Windows installatie vervangen heeft door een andere. Dit kun je controleren met de fingerprints.
Microsoft Root Authority (tot ?donderdag ?31 ?december ?2020 9:00:00) heeft fingerprint: ?a4 34 89 15 9a 52 0f 0d 93 d0 32 cc af 37 e7 fe 20 a8 b4 19
Microsoft Root Certificate Authority (tot ?maandag ?10 ?mei ?2021 1:28:13) heeft fingerprint: ?cd d4 ee ae 60 00 ac 7f 40 c3 80 2c 17 1e 30 14 80 30 c0 72
Microsoft Certificate Trust List PCA (tot ?dinsdag ?2 ?april ?2019 19:47:10) heeft fingerpint: ?f7 7a 3f 82 b7 c4 b3 a9 d8 69 a9 3e 33 35 cf 1f 78 bc 44 1e
Microsoft Internet Authority (tot ?zaterdag ?14 ?april ?2018 20:12:14) heeft fingerprint: ?e5 95 8d 48 fe 10 d7 34 03 11 e8 c0 3b b2 29 40 da ba 2d a3
Microsoft Secure Server Authority (tot ?dinsdag ?20 ?mei ?2014 0:23:30) heeft fingerprint: ?3a dd 0e 7e a2 b2 84 ff 45 9e 13 73 65 b4 82 d1 88 df bf 8a
In feite mag je niet teveel vertrouwen stellen in SSL certificaten. Het is niet meer dan enkele administratieve processen en niet al te hoge horden zoals een onbeveiligde mail aan een domein adres om een organisatie aan een domeinnaam te koppelen en zo'n certificaat uit te reiken.
Het echte probleem ontstaat doordat in een autoritair land de netwerk backbone geheel gedirigeerd wordt door de overheid en het probleemloos is om met een onjuist verkregen certificaat een man in the middle op te zetten. Google heeft dit doorzien en in Chrome een extra horde opgeworpen. Waarschijnlijk komen bij hen ook alle gmail aanvragen uit Iran vanaf een centraal ip adres, dus ze weten dat de infrastructuur daar in handen van de overheid is.
Voor ondertekenen van documenten zijn de SSL certificaten niet geschikt, dus daar schuilt eigenlijk geen gevaar. Ook geloof ik niet dat de hardware private key van de Diginotar certificaten in vreemde handen is, dus zolang ze niets meer uitgeven kunnen er ook geen valse certificaten meer gemaakt worden. Het lijkt me onwaarschijnlijk dat de krakers zich beziggehouden hebben met het maken van valse Nederlandse ondertekeningscertificaten tenzij ze specifieke persoonlijke doelwitten in Nederland op het oog hadden.
Kun je gevaren voor de Nederlandse infrastructuur 100% uitsluiten? Nee, dat is duidelijk dat je dat niet kan stellen, maar zolang de krakers hier geen backbone infrastructuur in handen hebben en niet op voorhand bedacht hebben dat ze ook wat ondertekeningscertificaten voor willekeurige Nederlandse personen of bedrijven moesten aanmaken lijkt het feitelijke directe gevaar me klein, tenzij je netwerkverkeer langs Iran passeert of je zaken doet met personen waarin de Iraanse overheid interesse kan hebben of zelf zo'n persoon bent.
Windows update wordt ook niet direct bedreigd. Er kunnen alleen valse updates geinstalleerd worden als een kraker van te voren jouw pc onder handen heeft genomen en de publieke microsoft update sleutel in je Windows installatie vervangen heeft door een andere. Dit kun je controleren met de fingerprints.
Microsoft Root Authority (tot ?donderdag ?31 ?december ?2020 9:00:00) heeft fingerprint: ?a4 34 89 15 9a 52 0f 0d 93 d0 32 cc af 37 e7 fe 20 a8 b4 19
Microsoft Root Certificate Authority (tot ?maandag ?10 ?mei ?2021 1:28:13) heeft fingerprint: ?cd d4 ee ae 60 00 ac 7f 40 c3 80 2c 17 1e 30 14 80 30 c0 72
Microsoft Certificate Trust List PCA (tot ?dinsdag ?2 ?april ?2019 19:47:10) heeft fingerpint: ?f7 7a 3f 82 b7 c4 b3 a9 d8 69 a9 3e 33 35 cf 1f 78 bc 44 1e
Microsoft Internet Authority (tot ?zaterdag ?14 ?april ?2018 20:12:14) heeft fingerprint: ?e5 95 8d 48 fe 10 d7 34 03 11 e8 c0 3b b2 29 40 da ba 2d a3
Microsoft Secure Server Authority (tot ?dinsdag ?20 ?mei ?2014 0:23:30) heeft fingerprint: ?3a dd 0e 7e a2 b2 84 ff 45 9e 13 73 65 b4 82 d1 88 df bf 8a
Dag Bitwiper & iamhere,
dank voor jullie reacties en toevoegingen: Food-for-thought.
@Bitwiper: dat was een zéér waar iets: dat het certificaat op OS niveau moet worden ge-wan-trouwd (is dat goed Nederland?) en dat het geen issue is van het bladerprogramma alleen. Dat had ik mij nog onvoldoende gerealiseerd.
inmiddels draaien de updates over het machinepark en monitoriern we (as usual) de voortgang via WSUS. alleen 100% handmatig is gezien het volume helaas niet mogelijk...
Daar kwam mijn vraag vandaan of er additionele maatregelen mogelijk waren zoals het blokken op de firewall. Je hebt me uitgelegd dat dat niet kan. (al had ik wat hulp nodig van mijn mensen om het ook te snappen :-)
@iamhere: aardige invals hoek: high-end-certificaten vs. hoog volume...
je opmerkingen mbt het omleiden v/h verkeer én windowsupdate moet ik nog eens overdenken.
Mochten er nog lezers zijn met concrete suggesties hoe een corporation (welke informatie beveiliging zeer hoog in het vaandel heeft staan en hiervoor ook écht een extra stap wil zetten), zich vandaag beter kan beschermen met de huidige kennis van zaken m.b.t. de mogelijke overige hacks
hartelijk dank weer en vriendelijk groet!
(afzender: de original poster)
dank voor jullie reacties en toevoegingen: Food-for-thought.
@Bitwiper: dat was een zéér waar iets: dat het certificaat op OS niveau moet worden ge-wan-trouwd (is dat goed Nederland?) en dat het geen issue is van het bladerprogramma alleen. Dat had ik mij nog onvoldoende gerealiseerd.
inmiddels draaien de updates over het machinepark en monitoriern we (as usual) de voortgang via WSUS. alleen 100% handmatig is gezien het volume helaas niet mogelijk...
Daar kwam mijn vraag vandaan of er additionele maatregelen mogelijk waren zoals het blokken op de firewall. Je hebt me uitgelegd dat dat niet kan. (al had ik wat hulp nodig van mijn mensen om het ook te snappen :-)
@iamhere: aardige invals hoek: high-end-certificaten vs. hoog volume...
je opmerkingen mbt het omleiden v/h verkeer én windowsupdate moet ik nog eens overdenken.
Mochten er nog lezers zijn met concrete suggesties hoe een corporation (welke informatie beveiliging zeer hoog in het vaandel heeft staan en hiervoor ook écht een extra stap wil zetten), zich vandaag beter kan beschermen met de huidige kennis van zaken m.b.t. de mogelijke overige hacks
hartelijk dank weer en vriendelijk groet!
(afzender: de original poster)
09-09-2011, 09:37 door
iamhere
@OP
Ik zou nog wel even controleren of in het windows certificaat register de Staat der Nederlanden Root CA G2 staat na de update, want ik heb sterk het vermoeden dat Microsoft in eerste instantie een incorrecte patch heeft uitgebracht in ieder geval voor Windows 7.
Het register kun je bekijken via inetcpl.cpl en dan tab inhoud en dan de knop Certificaten. Bij vertrouwde basiscertificaten moet je de Staat der Nederlanden Root CA en Root CA G2 zien, en uiteraard moet Diginotar Root CA weg zijn.
Je kunt mij nog bereiken op bedrijf@golgol.nl als je professioneel advies nodig hebt.
Ik zou nog wel even controleren of in het windows certificaat register de Staat der Nederlanden Root CA G2 staat na de update, want ik heb sterk het vermoeden dat Microsoft in eerste instantie een incorrecte patch heeft uitgebracht in ieder geval voor Windows 7.
Het register kun je bekijken via inetcpl.cpl en dan tab inhoud en dan de knop Certificaten. Bij vertrouwde basiscertificaten moet je de Staat der Nederlanden Root CA en Root CA G2 zien, en uiteraard moet Diginotar Root CA weg zijn.
Je kunt mij nog bereiken op bedrijf@golgol.nl als je professioneel advies nodig hebt.
09-09-2011, 12:39 door
Bitwiper
@OP: misschien heb je nog wat aan mijn eerdere uitleg hier: https://secure.security.nl/artikel/38352/1/Uitleg_DigiNotar_problematiek.html.
Ik merk dat veel IT-ers het concept intermediate certificates niet kennen. Het is in deze zaak essentieel om te begrijpen dat er Diginotar intermediate certificates in omloop zijn die ondertekend zijn door zowel een Diginotar Root CA (die kun je makkelijk uit browsers gooien) maar ook door een tweetal root CA's van de Staat der Nederlanden en in elk geval ook door een Entrust root CA (misschien nog meer, geen idee). Die laatste root certs moet je niet uit je browser verwijderen, anders werken ook veel sites niet meer die nog nooit, of sinds kort niet meer, op een intermediate Diginotar certificaat vertouwen.
Met de alias die ik hier gebruik heb ik een e-mail account at xs4all.nl, mocht je nog vragen hebben dan kan ik proberen te helpen. Op korte termijn in m'n eigen tijd gratis (niet professioneel vanwege andere werkzaamheden), op lange termijn zijn er ook wel commerciële/professionele mogelijkheden. Maar je kunt je natuurlijk ook tot iamhere wenden!
Ik merk dat veel IT-ers het concept intermediate certificates niet kennen. Het is in deze zaak essentieel om te begrijpen dat er Diginotar intermediate certificates in omloop zijn die ondertekend zijn door zowel een Diginotar Root CA (die kun je makkelijk uit browsers gooien) maar ook door een tweetal root CA's van de Staat der Nederlanden en in elk geval ook door een Entrust root CA (misschien nog meer, geen idee). Die laatste root certs moet je niet uit je browser verwijderen, anders werken ook veel sites niet meer die nog nooit, of sinds kort niet meer, op een intermediate Diginotar certificaat vertouwen.
Met de alias die ik hier gebruik heb ik een e-mail account at xs4all.nl, mocht je nog vragen hebben dan kan ik proberen te helpen. Op korte termijn in m'n eigen tijd gratis (niet professioneel vanwege andere werkzaamheden), op lange termijn zijn er ook wel commerciële/professionele mogelijkheden. Maar je kunt je natuurlijk ook tot iamhere wenden!
"Fake sites kunnen namelijk wél de (vervalste) diginotar certificaten hanteren."
En hoe krijgen fake sites valse diginotar certificaten in handen ? Een mailtje sturen naar de Comodo hacker ? ;-)
En hoe krijgen fake sites valse diginotar certificaten in handen ? Een mailtje sturen naar de Comodo hacker ? ;-)
09-09-2011, 16:56 door
Bitwiper
Door Anoniem: En hoe krijgen fake sites valse diginotar certificaten in handen ? Een mailtje sturen naar de Comodo hacker ? ;-)
Als je de Comodohacker ervan kunt overtuigen dat je in Nederland een pro-Islam "strijd" voert (en/of veel geld biedt) zou het me niet verbazen als dat inderdaad mogelijk blijkt. Het is naïef om te denken dat deze hack uitsluitend Iraniërs zal treffen.Zie ook http://www.security.nl/artikel/38430/1/Comodo-hacker_geeft_nieuwe_details_in_interview.html (met dank aan 0101 voor het plaatsen van deze melding).
09-09-2011, 19:09 door
iamhere
Zodra je een lokale DNS server kunt beheersen of een stukje netwerk, dan kun je de valse certificaten gebruiken voor de mensen op dat stukje netwerk, zolang deze specifieke certificaten niet ongeldig zijn verklaard in je browser of besturingssysteem of de root er van is teruggetrokken. MacOS X schijnt nogal achter te lopen in terugtrekken en hier in Nederland zou Microsoft de patches dus nog tegenhouden.
Op zich klinkt de comodohacker via de NOS wel een stuk begrijpelijker dan via zijn eigen schrijfsels. Hij geeft dus ook toe dat hij zijn verkregen certificaten aan 'bepaalde' mensen binnen Iran heeft gegeven. En hij leert veel over Nederland, maar hij richt zich natuurlijk vooral op de voor hem negatieve aspecten van ons land om zijn daden te kunnen rechtvaardigen.
Op zich klinkt de comodohacker via de NOS wel een stuk begrijpelijker dan via zijn eigen schrijfsels. Hij geeft dus ook toe dat hij zijn verkregen certificaten aan 'bepaalde' mensen binnen Iran heeft gegeven. En hij leert veel over Nederland, maar hij richt zich natuurlijk vooral op de voor hem negatieve aspecten van ons land om zijn daden te kunnen rechtvaardigen.
@ Anoniem & Bitwiper,
Nogmaals hartelijk dank voor jullie reacties. Heeft mij geholpen om de interne discussie met IT te voeren (en te begrijpen!). Leverde voldoende voer tot discussie (en actie!) op.
Dank hiervoor
m.vr.gr.
"OP"
Nogmaals hartelijk dank voor jullie reacties. Heeft mij geholpen om de interne discussie met IT te voeren (en te begrijpen!). Leverde voldoende voer tot discussie (en actie!) op.
Dank hiervoor
m.vr.gr.
"OP"
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.