<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 25 April 2013 02:18, Michael Kahl <span dir="ltr"><<a href="mailto:michael@kahl.id.au" target="_blank">michael@kahl.id.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">It's interesting that a "commonly known exploit" was used to "hack" a government website.</div></blockquote><div><br></div><div style>Regular patch cycles anyone?</div><div style> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div>If it was actually exploited remotely and assuming it is a government website it's safe to assume it was compliant with all of the various security standards, so what does that say for all of the standards and certification testing that's required these days? </div>

<div><br></div></div></blockquote><div><br></div><div style>Have to disagree, as there are very few "standards" besides PCI-DSS which is just a money-spinner for security vendors. I would think its safe to assume that government websites don't implement the access controls and RBAC policies typically found in software for defence agencies. All your security policies boil down to the weakest link - that being the user and their password. In the age of Single-Sign-On, etc it's all up to how good your password policy is and how often that gets changed (which is also a flawed way of thinking IMHO).</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div></div><div>Businesses spend huge amounts of money complying with those requirements just to be allowed to stay in business but when Government sites get hacked through "commonly known exploits", and assuming they're the champions of those rules seeing as they created them, it has to be questioned the value of those rules and certifications in the first place.</div>

<div><br></div><div><br></div></div></blockquote><div><br></div><div style>Agreed. It doesn't take a genius to read through Full-Disclosure or Bugtraq and fire off Metasploit. Deploying firewalls/IDS, etc. just mean all you're mitigating is the lowest hanging fruit with brute force type scanners, etc...  If you get someone who is determined to break into your site then that's where things get real interesting...</div>
</div><br clear="all"><div><br></div>-- <br>Shaineel Singh<br>e: <a href="mailto:shain.singh@gmail.com" target="_blank">shain.singh@gmail.com</a><br>p: +61 422 921 951<br>w: <a href="http://buffet.shainsingh.com" target="_blank">http://buffet.shainsingh.com</a><br>
<br>--<br>"Too many have dispensed with generosity to practice charity" - Albert Camus
</div></div>