image

Ict-systemen gemeente Den Haag doorstaan hackwedstrijd

zaterdag 30 september 2017, 06:03 door Redactie, 23 reacties
Laatst bijgewerkt: 02-10-2017, 13:59

De ict-systemen van de gemeente Den Haag hebben een hackwedstrijd die vrijdagochtend in het Atrium van het stadhuis plaatsvond doorstaan. Geen één van de meer dan dertig hackers die aan de wedstrijd deelnamen wist de ict-systemen binnen te dringen.

Wel zijn er drie mogelijk zwakke punten in de systemen gevonden. De gemeente organiseerde in samenwerking met securitybedrijf Cybersprint deze 'Bug Bounty Challenge' om haar systemen op mogelijke onveiligheden te laten testen. De gevonden problemen werden, zoals vooraf met de hackers was afgesproken, direct gemeld aan de organisatie, zodat direct actie kon worden ondernomen. Het betrof volgens de gemeente geen kritieke kwetsbaarheden, maar het dichtzetten van bepaalde ingangen.

De hacks werden door een jury beoordeeld. Er werden verdeeld over drie categorieën drie winnaars gekozen, die elk een bedrag van 1666 euro en een winnaarsbokaal ontvingen. De challenge was ook het moment om het nieuwe responsibledisclosurebeleid van de gemeente bekend te maken. "Met een goed responsibledisclosurebeleid kunnen we op een andere manier samenwerken met hackers en onze systemen dus nog beter beschermen op basis van de meldingen die we krijgen", zegt Marijn Fraanje, cio van de Gemeente Den Haag.

Reacties (23)
30-09-2017, 06:45 door Anoniem
Zo op het eerste gezicht een hele goede actie.
Zou overheid en ICT dan na een dikke 30 jaar met missers dan eindelijk een werkbare combinatie gaan worden?
30-09-2017, 08:38 door Anoniem
Waren deelnemers gebonden aan een scope?
30-09-2017, 11:05 door Briolet
verdeeld over drie categorieën drie winnaars gekozen, die elk een bedrag van 1666 euro … ontvingen

Daar heeft ook iemand 2euro weggemoffeld want ik verwacht dat het beschikbaar gestelde bedrag een ronde 5000 euro was.
30-09-2017, 11:29 door Anoniem
Door Briolet: Daar heeft ook iemand 2euro weggemoffeld want ik verwacht dat het beschikbaar gestelde bedrag een ronde 5000 euro was.
Jou verwachtingen zijn hersenspinsels voor een volstrekt overbodige kattige opmerking.
30-09-2017, 11:45 door Anoniem
Ddat komt omdat ik niet heb meegedaan ;) miezerige bedragen uitgedeeld trouwens...
30-09-2017, 12:54 door Anoniem
Het probleem is dat dit helemaal niets bewijst.

Maar het is wel weer een mooie parade van "hackers" en andere neppers.
30-09-2017, 13:26 door Anoniem
Door Anoniem: Zo op het eerste gezicht een hele goede actie.
Zou overheid en ICT dan na een dikke 30 jaar met missers dan eindelijk een werkbare combinatie gaan worden?

Die vraag is onjuist. Er is geen "de" overheid, er zijn diverse overheidseenheden, die zijn tamelijk zelfstandig in hun ICT beleid. Dat is maar goed ook, want eenheidsworst is dodelijk. Diversificatie is goed, want dat maakt aanvallen een stuk moeilijker.
30-09-2017, 14:43 door Anoniem
Door Anoniem: Het probleem is dat dit helemaal niets bewijst.
Het bewijst dat ze responsible disclosure belangrijk genoeg vinden om het te promoten.
30-09-2017, 16:48 door Anoniem
De geheime dienst deed niet mee zeker ?, zouden ze wel moeten, alleen hun hebben een andere agenda.
30-09-2017, 22:33 door tegenlicht
waren het wel goede hackers
01-10-2017, 07:00 door Anoniem
Door Anoniem:
Door Anoniem: Zo op het eerste gezicht een hele goede actie.
Zou overheid en ICT dan na een dikke 30 jaar met missers dan eindelijk een werkbare combinatie gaan worden?

Die vraag is onjuist. Er is geen "de" overheid, er zijn diverse overheidseenheden, die zijn tamelijk zelfstandig in hun ICT beleid. Dat is maar goed ook, want eenheidsworst is dodelijk. Diversificatie is goed, want dat maakt aanvallen een stuk moeilijker.
Wat al die instanties wel gemeen hebben, is dat 'ICT' als het al werkt, bijzonder onhandig en zo lek als een mandje is.
01-10-2017, 09:39 door Bitwiper
Door tegenlicht: waren het wel goede hackers
Pay peanuts get monkeys gaat niet altijd op, terwijl de hack van Deloite [1] laat zien dat als zij al goede pentesters in dienst hebben, die kennelijk niet op de eigen infra waren losgelaten.

Ik ben benieuwd of de gemeente een aantal honeypot-achtige systemen heeft ingezet die in elk geval gevonden hadden moeten worden, en of dat ook is gebeurd.

[1] https://www.security.nl/posting/532674/Bron%3A+Bij+aanval+op+Deloitte+zijn+alle+admin-accounts+gehackt
01-10-2017, 12:35 door Anoniem
Door tegenlicht: waren het wel goede hackers

dat weten we eigenlijk echt pas als ze over een tijdje gepowned zijn :). tot die tijd is het hooguit formeel te accepteren dat er security by obscurity aan de hand is.

wel denk ik zo, dat je kunt stellen dat de *kans* dat er iets mis is aanzienljik verlaagd wordt door te testen en te meten tov iets neerzetten en 'op hoop van zegen'. ik ben dus een voorstander van pen-testen, maar zal het nooit als een 'bewijs' van veiligheid accepteren.
01-10-2017, 13:28 door Anoniem
Nou misschien is dit dan een van de weinig Nederlandse gemeenten die alles goed op orde hebben met hun ICT systemen.
Misschien moeten alle Nederlandse instellingen het voorbeeld van de gemeente Den Haag volgen.
Maar ja dat is niet altijd mogelijk,omdat er verschillende systemen soms worden gebruikt.
01-10-2017, 14:42 door Anoniem
Door Anoniem: Nou misschien is dit dan een van de weinig Nederlandse gemeenten die alles goed op orde hebben met hun ICT systemen.
Dat weet je niet. Afwezigheid van bewijs is geen bewijs van afwezigheid. Net als dat correlatie geen causatie is. En zo verder. "Liegen met statistiek" is wellicht een aardige invoering in deze materie.

Wat je hier ziet is een show van "hackers"* en andere neppers die precies op de maat een paar uurtjes hun ding mochten doen en toen dat geen spectaculair faalvuurwerk op de haagsche gemeentemachines opleverde was dat reden voor een "succes! we zijn veilig!"-themafeestje. Leuk, zo'n applausje-voor-jezelluf netwerkevenement, maar je krijgt precies wat je lokt, en het is evenzo geloofwaardig.


* Deze ondertussen lege term op deze manier inzetten is wat mij betreft reeds een brevet van onvermogen. Ja, dat disqualificeert een heel groot stuk van de "computer security" cottage industry. Dat is inderdaad best nog een puntje, ja.
01-10-2017, 16:43 door Anoniem
Door Anoniem: Het probleem is dat dit helemaal niets bewijst.

Maar het is wel weer een mooie parade van "hackers" en andere neppers.

Welke neppers, waar baseer je dat op?
01-10-2017, 18:50 door SPer
Aan bovenstaande azijnpissers, doen ze een keer een leuke actie , is het nog niet goed.

Bewijs maar eens dat de boel werkelijk lek is .
01-10-2017, 18:57 door Anoniem
Door Anoniem:
Door Anoniem: Nou misschien is dit dan een van de weinig Nederlandse gemeenten die alles goed op orde hebben met hun ICT systemen.
Dat weet je niet. Afwezigheid van bewijs is geen bewijs van afwezigheid. Net als dat correlatie geen causatie is. En zo verder. "Liegen met statistiek" is wellicht een aardige invoering in deze materie.

Wat je hier ziet is een show van "hackers"* en andere neppers die precies op de maat een paar uurtjes hun ding mochten doen en toen dat geen spectaculair faalvuurwerk op de haagsche gemeentemachines opleverde was dat reden voor een "succes! we zijn veilig!"-themafeestje. Leuk, zo'n applausje-voor-jezelluf netwerkevenement, maar je krijgt precies wat je lokt, en het is evenzo geloofwaardig.


* Deze ondertussen lege term op deze manier inzetten is wat mij betreft reeds een brevet van onvermogen. Ja, dat disqualificeert een heel groot stuk van de "computer security" cottage industry. Dat is inderdaad best nog een puntje, ja.

en jij bent zeker 1337 dan? we moeten wel jouw commentaar at face value accepteren, maar dat van die andere niet?
01-10-2017, 19:02 door Anoniem
Door Anoniem:Wat je hier ziet is een show van "hackers"* en andere neppers die precies op de maat een paar uurtjes hun ding mochten doen en toen dat geen spectaculair faalvuurwerk op de haagsche gemeentemachines opleverde was dat reden voor een "succes! we zijn veilig!"-themafeestje.
Die aanname doe je omdat je perse wil bashen. Daarbij betrek je ook de valse suggestie dat de gemeente zou doen dat alles veilig is.
01-10-2017, 20:05 door karma4
Door SPer: Aan bovenstaande azijnpissers, doen ze een keer een leuke actie , is het nog niet goed.
Bewijs maar eens dat de boel werkelijk lek is .
prima reactie ben ik met je eens sp-er.
01-10-2017, 21:01 door Anoniem
Door SPer: Aan bovenstaande azijnpissers, doen ze een keer een leuke actie , is het nog niet goed.
Het is een "leuke actie" alleen in de zin dat het een mooi show schijnt te zijn, niet dat'ie zinvolle inhoud heeft.

Bewijs maar eens dat de boel werkelijk lek is .
Dit is een rebuttal met onzin. Ik zeg, "afwezigheid van bewijs is geen bewijs van afwezigheid", en dat is niet meer of minder valide door alsnog bewijs op te hoesten. Dus die eis is onzinnig. Makkelijk, goedkoop, voor de hand liggend, lekker onderbuikig, maar onzinnig.


Door Anoniem: en jij bent zeker 1337 dan? we moeten wel jouw commentaar at face value accepteren, maar dat van die andere niet?
Je moet niets. Ik weet wel beter dan "1337n355" te claimen. Ik zeg wel dat allerlei claims niet zijn wat ze lijken te zijn, en dat daarop steunende gevolgtrekkingen en nabijgelegen aannames net zo goed ledig zijn. En daarmee gevaarlijk, vanuit securityoogpunt.
01-10-2017, 23:15 door Anoniem
Door Anoniem:
Door SPer: Aan bovenstaande azijnpissers, doen ze een keer een leuke actie , is het nog niet goed.
Het is een "leuke actie" alleen in de zin dat het een mooi show schijnt te zijn, niet dat'ie zinvolle inhoud heeft.

Bewijs maar eens dat de boel werkelijk lek is .
Dit is een rebuttal met onzin. Ik zeg, "afwezigheid van bewijs is geen bewijs van afwezigheid", en dat is niet meer of minder valide door alsnog bewijs op te hoesten. Dus die eis is onzinnig. Makkelijk, goedkoop, voor de hand liggend, lekker onderbuikig, maar onzinnig.

Tsja, en een negatief bewijzen (afwezigheid van iets) is principieel onmogelijk .
Net zo logisch .

Of is er hier iemand zo arrogant om te stellen dat als _hij_ een systeem bouwt hierin geen bugs zitten - ik ben benieuwd hoe iemand zou menen een _gegarandeerd_ foutloos systeem te hebben.
Dat is wat anders dan een systeem waarvan de componenten geen op dat moment publiek bekende vulnerabilities bevatten.

Gemeente Den Haag hier hier een pentest van zo'n 60 uur gekocht/gekregen . (20 x 3 uur ) , en een duidelijk intern en extern statement dat ze aandacht voor security belangrijk vinden.
Beiden zijn waardevol.

Genoeg om te concluderen dat er aan de voorkant in elk geval geen stomme fouten in zullen zitten - wat dat betreft net zo waardevol als wanneer ze een klus van 60 of 80 uur met dezelfde scope gewoon bij een security toko besteld hadden.

Zolang de CSO niet concludeert dat ze nu 'klaar' zijn bij de gemeente qua security is het m.i. vooral positief .
02-10-2017, 12:02 door Anoniem
Door Anoniem:Of is er hier iemand zo arrogant om te stellen dat als _hij_ een systeem bouwt hierin geen bugs zitten - ik ben benieuwd hoe iemand zou menen een _gegarandeerd_ foutloos systeem te hebben.

Er lijken hier wel mensen te zijn die beweren dat als zij de systemen testen, ze 100% van de bugs vinden.

Zolang de CSO niet concludeert dat ze nu 'klaar' zijn bij de gemeente qua security is het m.i. vooral positief .

Het feit dat ze een responsible disclosure beleid hebben, geeft al aan dat hij weet dat er nog veel te doen is. Als je denkt dat alles goed is, heb je zoiets niet nodig.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.