Pssst! Grade F!
De AIVD organiseert op 11 en 12 maart 2017 weer een Hackathon!
Een hackaton roept het beeld op van een uitdagend wedstrijdje hacken.
Als de AIVD dat organiseert zou je denken dat men op zoek is naar competente mensen voor de eigen organisatie.
Die moet natuurlijk ook zo competent als mogelijk zijn.
Maar als we naar die website kijken, AIVDHackathon.nl
Er wat standaard testjes van derden op loslaten, dan onstaat een wat ander beeld.
Een beeld dat je niet zou verwachten.
Grade F
https://securityheaders.io/?q=AIVDHackathon.nl&hide=on&followRedirects=on
Score F
https://observatory.mozilla.org/analyze.html?host=AIVDHackathon.nl
O.a.
- Initial redirect is to an insecure page.
- Site doesn't issue an HSTS header.
- Site redirects to www, instead of directly to HTTPS version of same URL.
En een wat betere score, score A
https://www.ssllabs.com/ssltest/analyze.html?d=AIVDhackathon.nl&latest
Zijn de F scores de AIVD website te vergeven?
Is een A vermelding van ssllabs voldoende bij een totale beoordeling op Grade F?
Of is het toch een beetje een teken van slordigheid, desinteresse of zelfs onkunde?
Hadden deze heren niet op alle punten een keiharde A moeten scoren?
Om te laten zien of op zijn minst te suggereren dat zorgvuldigheid en perfectie in de digitale (genen) van de organisatie zit?
Menigeen zou misschien denken van wel, een goede eerste indruk maak je maar 1 keer.
Een marketingwaarheid als een mammoet die als je het niet goed doet ook tegen je kan werken.
Tegenwoordig wordt er volop ingezet op beeldvorming.
Uiteindelijk redt je het daar niet alleen mee, maar waarom het jezelf lastig maken door alvast het omgekeerde te doen?
Het roept toch wat vraagtekens op.
De hackatontest zit vast beter in elkaar.
Of juist niet, anders valt er geen eer te behalen in de wedstrijd.
Daarnaast, de enige mensen die iets vinden over deze security headers zijn de scanskids uit India op zoek naar easy RD geld bij domme bedrijven. Als je niet weet wat deze "standaard testjes" inhouden moet je gewoon niet posten.
Een goeie indruk geven ze wel, namelijk door mensen te betrekken en te laten zien dat ze niet een supershady orga zijn.
tldr; stfu :)
De AIVD gaat tenminste niet stroomafwaarts.
Zo kan nl. geruisloos en zonder tussenkomst van de gebruiker de optimale beveiliging van de browser worden ingesteld tegen bijv. MITM, Cross site scripting en clickjack aanvallen zonder dat de werking van de betreffende website hierdoor wordt verstoord.
Maar als je zelf een beetje kennis van zaken hebt, kun je zulke zaken ook zelf regelen, of in het certificaat controleren.
En soms zul je misschien instellingen moeten wijzigen als blijkt dat er onderdelen niet goed genoeg werken met de bezochte website. Mogelijk staan dan je browserbeveiligingen "te strak" ingesteld.
Of anders kies je ervoor om de website links te laten liggen, of neem je genoegen met wat je nog wél ziet en kan.
Denk in Firefox aan about:config -instellingen en ook aan aanvullende tools als bijv. Noscript-instellingen e.d.
Daar kun je zelfs nog meer mee dan die security headers kunnen.
Die kennis om zelf de browser optimaal veilig in te stellen voor een website is echter de meeste mensen niet gegeven.
Maar dankzij de security headers kan een stukje veiligheid op recente browserversies door de bezochte server worden geregeld. Je zou kunnen zeggen: AIVD kandidaten weten zelf hoe ze veilig surfen, en hebben die headers niet nodig. ;-)
Een belangrijk probleem is echter wel, dat via die headers gemakkelijk meer informatie over het systeem naar buiten lekt dan wenselijk. Dit kan kwaadaardige hackers enorm helpen! Dus probeer dat als systeembeheerder te voorkomen.
Meer daarover in: https://www.troyhunt.com/shhh-dont-let-your-response-headers/
Goeroehoedjes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.