Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Hoe bepaal je het 3rd party cold recon bedreigingsrisico van een willekeurige website?
07-11-2020, 23:53 door Anoniem, 5 reacties
L.S.
Wordt dit gemeten aan de hand van de stand van zaken rond kwetsbaarheden van de technologieën, waarmee de website gebouwd is en/of het onderhoud daarvan?
Zoals daar zijn, de CMS configuratie (settings, instellingen, bepaalde instellingen niet op disabled gezet na configuratie (user enumeration, directory listing bij Word Press bijvoorbeeld een op enabled laten staan, plug-ins (outdated en/of erger nog als verlaten code), kwetsbaarheden in afvoerbare jQuery bibliotheken, JavaScript errors, veiligheidsgebreken tussen website en achterliggende hosting (AS, Cloud provider etc.).
Ontbrekende HTTP -> HTTPS redirecting, kwetsbaarheden op achterliggende webserver connectie, te blokkeren ads en scripts en inline script zwakheden, cloaking, DOM-XSS sources en sinks die te misbruiken zijn, php downgrade aanvallen mogelijk, misbruik op achterliggende AS, IP deny listing (blacklisting), header security best policies (strict transport security, x-frame-options, x-content-type options. Shodan.io info van kwetsbaarheden, spammy links, PHISHING alerts, magenta kwetsbaarheden, verkeerde csp instellingen, certificeringsgebreken/ -zwakheden en nog een scala aan andere diverse zaken.
Wanneer moet je stellen dat een bepaalde website ieder moment overgenomen kan worden door een aanvaller/cybercrimineel en/of statelijke actor?
Of hoe herken je snel een site die louter als cybercrime site is opgezet (su domein etc.).
Waarom is website beveiliging dan nog steeds sluitstuk op de begroting. Vraagt men snel om verwijdering uit blacklists vanwege een mogelijke FP, maar doet geen pogingen aanbevelingen ter verbetering van de veiligheid door te voeren?
Bij website security gaan de beslissing nemers liever voor een gelikte dan een veilige(r) site, website developer firma's vaak eveneens en die vooral zouden toch beter moeten weten. Maar ja men gooit geen goed geld naar slecht geld in hun optie.
Tenslotte nog een wellicht domme vraag. Zouden grote tracking en profilering-data-slupers misschien baat hebben bij een niet al te veilig (sub-) website in stand te houden? Soms bekruipt mij wel eens dat idee? Ik zie namelijk de overall veiligheidssituatie maar kruipende wijs iets verbeteren of stabiel onveilig zijn.
Wie geeft commentaar? Een goede week allemaal van jullie aller,
luntrus
Wordt dit gemeten aan de hand van de stand van zaken rond kwetsbaarheden van de technologieën, waarmee de website gebouwd is en/of het onderhoud daarvan?
Zoals daar zijn, de CMS configuratie (settings, instellingen, bepaalde instellingen niet op disabled gezet na configuratie (user enumeration, directory listing bij Word Press bijvoorbeeld een op enabled laten staan, plug-ins (outdated en/of erger nog als verlaten code), kwetsbaarheden in afvoerbare jQuery bibliotheken, JavaScript errors, veiligheidsgebreken tussen website en achterliggende hosting (AS, Cloud provider etc.).
Ontbrekende HTTP -> HTTPS redirecting, kwetsbaarheden op achterliggende webserver connectie, te blokkeren ads en scripts en inline script zwakheden, cloaking, DOM-XSS sources en sinks die te misbruiken zijn, php downgrade aanvallen mogelijk, misbruik op achterliggende AS, IP deny listing (blacklisting), header security best policies (strict transport security, x-frame-options, x-content-type options. Shodan.io info van kwetsbaarheden, spammy links, PHISHING alerts, magenta kwetsbaarheden, verkeerde csp instellingen, certificeringsgebreken/ -zwakheden en nog een scala aan andere diverse zaken.
Wanneer moet je stellen dat een bepaalde website ieder moment overgenomen kan worden door een aanvaller/cybercrimineel en/of statelijke actor?
Of hoe herken je snel een site die louter als cybercrime site is opgezet (su domein etc.).
Waarom is website beveiliging dan nog steeds sluitstuk op de begroting. Vraagt men snel om verwijdering uit blacklists vanwege een mogelijke FP, maar doet geen pogingen aanbevelingen ter verbetering van de veiligheid door te voeren?
Bij website security gaan de beslissing nemers liever voor een gelikte dan een veilige(r) site, website developer firma's vaak eveneens en die vooral zouden toch beter moeten weten. Maar ja men gooit geen goed geld naar slecht geld in hun optie.
Tenslotte nog een wellicht domme vraag. Zouden grote tracking en profilering-data-slupers misschien baat hebben bij een niet al te veilig (sub-) website in stand te houden? Soms bekruipt mij wel eens dat idee? Ik zie namelijk de overall veiligheidssituatie maar kruipende wijs iets verbeteren of stabiel onveilig zijn.
Wie geeft commentaar? Een goede week allemaal van jullie aller,
luntrus
Reacties (5)
08-11-2020, 12:29 door
Erik van Straten
Zelf gebruik ik NoScript. Dat is verre van volledig bij het bepalen van welke sites allemaal "meekijken" als ik een pagina open, maar ik kan wel zien van welke sites allemaal getracht wordt JavaScript te downloaden en uit te voeren - met alle bijbehorende risico's, zowel qua "privacy" (rotwoord, spionage bedoel ik) als het risico op XSS, CSRF en malware.
Hoe langer de door NoScript getoonde lijst is, hoe minder betrouwbaar ik de eigenaar van de betreffende website vind. Als ik van teveel third-party-sites JavaScript moet toestaan om wat zinvols te kunnen zien, sluit ik die pagina; dan haal ik de door mij gezochte informatie liever van een andere website. Iets dat meestal prima mogelijk blijkt (in elk geval voor de informatie waar ik naar op zoek ben).
Hoe langer de door NoScript getoonde lijst is, hoe minder betrouwbaar ik de eigenaar van de betreffende website vind. Als ik van teveel third-party-sites JavaScript moet toestaan om wat zinvols te kunnen zien, sluit ik die pagina; dan haal ik de door mij gezochte informatie liever van een andere website. Iets dat meestal prima mogelijk blijkt (in elk geval voor de informatie waar ik naar op zoek ben).
Ik weet eerlijk gezegd niet wat je onder "3rd party cold recon" verstaat. Maar als ik zoek naar de term kom ik, behalve een heleboel resultaten die over messen gaan, een website tegen waar iemand met 14 jaar ervaring in het onderwerp regelmatig commentaar geeft[1]. Met zo'n staat van dienst kan die je wellicht verder helpen. Het is een zekere luntrus op security.nl...
[1] https://www.security.nl/posting/650557/WordPress+verwijdert+plug-in+met+100_000+installaties+wegens+lek#posting650675
[1] https://www.security.nl/posting/650557/WordPress+verwijdert+plug-in+met+100_000+installaties+wegens+lek#posting650675
Door Erik: Hoe langer de door NoScript getoonde lijst is, hoe minder betrouwbaar ik de eigenaar van de betreffende website vind. Als ik van teveel third-party-sites JavaScript moet toestaan om wat zinvols te kunnen zien, sluit ik die pagina; dan haal ik de door mij gezochte informatie liever van een andere website. Iets dat meestal prima mogelijk blijkt (in elk geval voor de informatie waar ik naar op zoek ben).
Exact. Het is absurd hoeveel van jouw data langs derde gaat op de meeste sites. Spreek je ze erop aan dat data delen van klanten met Facebook, Google e.d. echt niet kan is het steevast dat ze voldoen aan de AVG. Dit soort bedrijven hebben niets op met de privacy van een ander. Ontwijken kan helaas niet altijd, blokkeren vaak wel. Zo vraag ik mij al jaren af wat ze in de usa moeten met mijn data bij het internetbankieren. Rabobank weet het zelf ook niet.Dank voor je reactie, Erik, het scheelt al veel als je een pre-scan doet eer je een bepaalde website voor de eerste keer gaat bezoeken. (Natuurlijk kan op dit specifieke moment ook een site, die je vaker bezoekt, net gehackt of door een cybercrimineel zijn overgenomen en malware verspreiden of phishen e.d.), maar voorzichtigheid is de moeder van de porseleinkast.
Sommige extensies zijn ook goede indicatoren, zo je al aangeeft.
luntrus
Sommige extensies zijn ook goede indicatoren, zo je al aangeeft.
luntrus
3rd party cold recon ofwel 3rd party cold reconnaissance scanning is het vaststellen van de beveiligingsgraad van een bepaalde website door middel van publieke scanresultaten van derde partijen (dus zonder zelf 'aan ramen en deuren te hoeven rammelen', wat ongevraagd gedaan, kan worden opgevat als een vorm van computervredebreuk). Dat doen hackers wel door midel van allerlei onderzoek naar kwetsbaarheden op de achterliggende webserver (PHP zwakheden o.a.). Het inactieve van onze scans wordt onder meer ook aangeduid door de term cold recon (en website error scanning).
Er zijn in-browser extensies, maar die missen net als av-oplossingen nogal eens wat. Verouderde blacklist resultaten kunnen een site blokkeren, terwijl de dreiging alweer lang verholpen is (McAfee blacklist is wat dat aangaand berucht). Zoiets geeft (vervelende) FP's. Veelbelovende extensies zijn inmiddels al weer verlaten door de developer, zoals bij uMatrix en Zen Mate Web Firewall.
TrafficLight extensie resultaten zijn vaak overlappend met DrWeb's, Netcraft's en Avast Browser Extensie ( de ene oplossing vindt soms wat de andere niet heeft).
Dan hebben we Vulners, samen met shodan.io voor exploits en kwetsbaarheden op achterliggende servers. Quick Source Viewer voor inline scripts. Diverse DOM-XSS scanners voor sinks & sources. Recx Security Analyser voor Header & Cookie security, SSL checkers, Cookie checkers etc., JavaScript error scan extensie en Retire.JS extensie om afvoerbare bibliotheken op te sporen, CSP evaluator.
En dan ook nog de nodige online scan sites als sucuri en vele andere, waar ook een en ander verdwenen is door voortdurende aanvallen van lieden, die zulke scansites een kwaad hart toedragen (cybercrime etc.) - Redleg's file viewer, urlquery dot net etc. Dan zijn er verder nog script validators, blacklist monitors, HTML source viewers, speciale scanners voor bepaalde CMS - hackertarget voor Word Press, magereport voor Magento webshop sites etc.
De ASP scanner is ook al geruime tijd "discontinued". Reek's javascript scanner, een beauty, voor eeuwig verdwenen naar de digitale jachtvelden na malcode aanvallen. Jammer, jammer. Natuurlijk ondoenlijk om met alles tot aan de gootsteenbak te gaan scannen, maar toch er zijn bronnen genoeg om vast te stellen of een website op "omvallen" staat en waardevolle verbetertips zijn te vinden via een webhint scan.
Op den duur voel je op je klompen ongeveer aan welke site wel mooi gelikt is qua technologie, maar waaar het voor een hacker wellicht een koud kunstje zou kunnen zijn om die over te nemen. De goede analyticus kan het code-gras a.h.w. horen groeien ;).
Sommige sites zijn speciaal ontworpen of worden speciaal gehost om te scammen en spammen en om malware en onder meer ransomware te verspreiden. Klaar ben je als je daar als niets vermoedende browser eindgebruiker op belandt.
Eigenlijk zouden lieden die websites bouwen en onderhouden zich eens meer in deze security materie dienen te verdiepen.
Forewarned is forearmed zegt men in het Engels, een gewaarschuwd eindgebruiker telt derhalve voor twee,
#sockpuppet
Er zijn in-browser extensies, maar die missen net als av-oplossingen nogal eens wat. Verouderde blacklist resultaten kunnen een site blokkeren, terwijl de dreiging alweer lang verholpen is (McAfee blacklist is wat dat aangaand berucht). Zoiets geeft (vervelende) FP's. Veelbelovende extensies zijn inmiddels al weer verlaten door de developer, zoals bij uMatrix en Zen Mate Web Firewall.
TrafficLight extensie resultaten zijn vaak overlappend met DrWeb's, Netcraft's en Avast Browser Extensie ( de ene oplossing vindt soms wat de andere niet heeft).
Dan hebben we Vulners, samen met shodan.io voor exploits en kwetsbaarheden op achterliggende servers. Quick Source Viewer voor inline scripts. Diverse DOM-XSS scanners voor sinks & sources. Recx Security Analyser voor Header & Cookie security, SSL checkers, Cookie checkers etc., JavaScript error scan extensie en Retire.JS extensie om afvoerbare bibliotheken op te sporen, CSP evaluator.
En dan ook nog de nodige online scan sites als sucuri en vele andere, waar ook een en ander verdwenen is door voortdurende aanvallen van lieden, die zulke scansites een kwaad hart toedragen (cybercrime etc.) - Redleg's file viewer, urlquery dot net etc. Dan zijn er verder nog script validators, blacklist monitors, HTML source viewers, speciale scanners voor bepaalde CMS - hackertarget voor Word Press, magereport voor Magento webshop sites etc.
De ASP scanner is ook al geruime tijd "discontinued". Reek's javascript scanner, een beauty, voor eeuwig verdwenen naar de digitale jachtvelden na malcode aanvallen. Jammer, jammer. Natuurlijk ondoenlijk om met alles tot aan de gootsteenbak te gaan scannen, maar toch er zijn bronnen genoeg om vast te stellen of een website op "omvallen" staat en waardevolle verbetertips zijn te vinden via een webhint scan.
Op den duur voel je op je klompen ongeveer aan welke site wel mooi gelikt is qua technologie, maar waaar het voor een hacker wellicht een koud kunstje zou kunnen zijn om die over te nemen. De goede analyticus kan het code-gras a.h.w. horen groeien ;).
Sommige sites zijn speciaal ontworpen of worden speciaal gehost om te scammen en spammen en om malware en onder meer ransomware te verspreiden. Klaar ben je als je daar als niets vermoedende browser eindgebruiker op belandt.
Eigenlijk zouden lieden die websites bouwen en onderhouden zich eens meer in deze security materie dienen te verdiepen.
Forewarned is forearmed zegt men in het Engels, een gewaarschuwd eindgebruiker telt derhalve voor twee,
#sockpuppet
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.