donderdag 29 december 2011

Java Considered Harmful















Do you need Java in your web browser? Seriously, do you? If not, get rid of it.

Turns out, most users don't need Java any more, yet people keep running it.

Do not confuse Java with JavaScript: it's hard to use the web without JavaScript. But JavaScript has nothing to do with Java.

The risks of Java are nicely illustrated by the recent Java Rhino vulnerability (aka CVE-2011-3544). If you're running Java, but not the latest version, you're vulnerable. So either you have to check at all times that you have the latest version of Java — or get rid of it altogether.

And the Java Rhino vulnerability is not theoretical: the most common exploit kits have incorporated this vulnerability in their default exploits, and it seems to be working very well for the online criminals.

Here's a sample screenshot from a Blackhole exploit kit control panel. In this picture we can see 16,144 computers which were taken over with the CVE-2011-3544 vulnerability.

So, ditch Java if you can. It might not be as painful as you think, as Larry Seltzer found out when he tried it.

Do you need Java for a specific web application? Such as an online bank or an intranet app? Leave Java on your system but remove the Java plugin from your daily browser. Then use another browser that you use only for this one service.

Also note that Chrome has been doing a good job in sandboxing or otherwise securing risky add-ons and extensions. Many Java exploits do not work against Chrome. Also, Chrome does not use an Adobe Reader plugin to render PDF files. This is good news, as Chrome is quickly becoming the most common browser on the planet.


Bron: F-Secure

woensdag 28 december 2011

Een top-recept voor Informatiebeveiliging

Net als ieder diner dient ict-beveiliging goed georganiseerd te worden. Het eten kan door van alles worden verpest, en daarom dit recept voor een structuur die de veiligheidshonger stilt.

Want laten we eerlijk zijn: 2011 stond (mede door Webwereld) sterker in het teken van informatiebeveiliging dan ooit tevoren. Dat gaat volgend jaar niet anders zijn. Een gedegen menu is dus van groot belang.

"We zien dat de steeds grotere afhankelijkheid van ict steeds zichtbaarder worden in de incidenten", zegt Paul Overbeek, partner bj OIS Information Risk & Security Management en docent aan onder andere de Technische Universiteit Eindhoven. Op 30 en 31 januari is hij een van de sprekers tijdens de Masterclass Informatiebeveiliging, georganiseerd door Webwereld en IIR. "Als er een storing is bij Vodafone, dan staat de tram in Utrecht stil."

Wat ligt daar aan ten grondslag? "De aanvallers worden professioneler en hebben professionele middelen tot hun beschikking. Het romantische beeld van de puber met cola en een zak chips heeft al nooit bestaan." Dat betekent meer voorbereiding voor de beveiligingsprofessionals. Hun directe tegenstanders zijn immers gelijkwaardig in zowel kunde als technologie.

"Het tweede punt is dat we anno 2012 nog steeds niet in staat zijn veilige systemen te bouwen", treurt Overbeek. "De ontwerpprincipes voor veilige systemen bestaan al sinds de jaren 60 en zijn heel eenvoudig, maar worden bij nieuwe systemen toch keer op keer overboord gezet." Hij verwijt dat aan de opleidingen. "Die concentreren zich alleen maar op antivirus en toegangsbeheersing. Maar dat is maar het topje van de ijsberg. We lopen achter de feiten aan, met een 'o god o god, er gaat weer iets kapot'-mentaliteit."

Wat bedrijven volgens Overbeek nodig hebben, is een proces voor information security management. "Daar hoort ook risk management bij." Een aantal sectoren, zoals de banken, hebben het al ("wellicht niet op het niveau dat je zou willen", zegt Overbeek er nog bij). Maar het meest geleden wordt er bij het midden- en kleinbedrijf.

Maar hoe kom je tot zo'n proces? Volgens de kookbijbel van de informatiebeveiliging en topkok Overbeek dien je ongeveer dit recept aan te houden.

Basisvulling (vanuit de processen, niet vanuit de techniek)

Benodigd:

- 1 flinke scheut processen, slechts een snufje techniek (LET OP: niet andersom)

- Een eetlepel noodzakelijkheidsgevoel. Prop in kalkoen en dicht af met naald en draad

Om een risico aan te kunnen voelen, moet je eerst weten wat het risico voor de organisatie kan zijn. Niet alleen de directe schade moet worden ingeschat, maar ook de indirecte schade die veel lastiger te vatten is. Maar daarnaast moet er ook iets met die schattingen gebeuren. Dat dit niet altijd serieus wordt genomen, is volgens Overbeek omdat de beveiliging vaak vanuit de IT-organisatie wordt ingevlogen.

"De IT-organisatie is op zichzelf al een kostenpost, een lastpak", zegt hij. "Als zij ook nog eens een aanvraag doen voor investeringen in beveiliging, dan wordt dat dus als de zoveelste kostenpost gezien." Het moet volgens Overbeek worden omgedraaid. "De verantwoordelijkheid hoort bij het line management te liggen. Zij horen de risico's heel bewust te ervaren." Dat kan alleen als de gevolgen concreet worden neergezet.

"Technische risico's zijn belangrijk, maar zeggen een manager niets. Hen moet je concreet duidelijk maken wat de gevolgen voor het bedrijf zijn." Als voorbeeld noemt hij een fabrikant van babyvoeding waar een recept verkeerd was ingevoerd. Het risico moet je dan niet definiëren: 'in ons systeem kan een onoplettend iemand een verkeerd recept invoeren', maar: 'De invoer van een verkeerd recept kan leiden tot het gedwongen terugroepen van de complete productie'.

Voeg standaarden toe en laat een beetje sudderen

Benodigd:

incident-management, backup en controle (evt. andere kruiden naar smaak)

Een eigen bouillon van informatiestandaarden (Europees ISO27000-gekruid, specifieke kruiden naar keuze)

Je hebt minimaal incident-management, backup en controle op die eerste twee nodig, en je moet doelen stellen. Moet moeten de genoemde risico's worden vermeden? Wat moet het personeel allemaal weten? Welke opleidingen moeten ze genieten? "Je stelt met dit alles eigenlijk een baseline op voor informatiebeveiliging", zegt Overbeek.

Die baseline is onderhand gestandaardiseerd in de Code voor Informatiebeveiliging, welke volgens Overbeek door 90 procent van de Europese bedrijven wordt aangewend. "Ik vergelijk het altijd met de verkeersregels. 's Ochtends denk je ook niet: 'ga ik nou links rijden of ga ik rechts rijden?' Iedereen rijdt rechts, zonder te weten waarom nou eigenlijk."

Verplicht bijgerecht: Risicomanagement, afgeblust met maatregelen

Benodigd:

Een room van risicomanagement opgeklopt met risicokwalificatie

Een set van maatregelen in vloeibare vorm (technisch of niet-technisch, naar smaak)

De basis is algemeen en nog niet bedrijfsspecifiek. Dat wordt het als je het risicomanagement toevoegt. "Wat is het bedrijfsperspectief, wat zijn de bedrijfsrisico's en welke doelstellingen streef je na?" Pas daarna zet je een set van maatregelen op, en niet andersom, zo waarschuwt Overbeek. "Stel dat je doelstelling is dat er geen vreemde mensen het pand mogen binnenkomen", noemt Overbeek. "Dan kun je iemand bij de deur zetten, of misschien een pasjessysteem invoeren. Een niet-technische of een technische oplossing dus."

Optioneel bijgerecht (voor vegetariërs en schoonfamilie)

Benodigd:

Afhankelijk van eetwensen en eventuele allergieën van individuele gasten

LET OP: presentatie en rijke smaak belangrijk

In sommige gevallen dien je je processen voor specifieke klanten aan te passen. Wat zijn hun behoeften? Wat voor compliance heeft hij nodig? "Hoe moet de klant aantonen dat hij de hele handel beheerst?" is de vraag die volgens Overbeek in dat soort gevallen gesteld dient te worden. Uiteraard geldt dat ook de instanties die over jouw organisatie waken: hoe bewijs je aan hen dat je alles volgens de regels doet? Dat moet presentabel zijn.

Toetje van controle

LET OP: avond van tevoren klaarmaken

Benodigd:
Controle-hiërarchie, nacht in de koelkast

De controles op je processen voer je uiteraard pas uit als het proces er ligt. Maar het is volgens Overbeek van belang dat je de controles ruim van tevoren inricht, nog voordat de processen zijn ingevoerd. "De controles beginnen al op de werkvloer", zegt Overbeek. "De directe leidinggevende voert daar controles uit. Vervolgens heb je de interne controle, die feitelijk dubbel werk verricht op wat de lijnmanager dient te doen, zoals iemand ook de accountant moet controleren." Voor het topmanagement moet er een internal audit worden uitgevoerd. "En dan heb je natuurlijk de external audit", waarbij een externe het uiteindelijk gerecht controleert.

Bron: Webwereld

10 gemeenten nog steeds DigiD-loos na megalek

De Rijksoverheid heeft 10 gemeenten nog altijd niet aangesloten op DigiD. Bijna 3 maanden na het afsluiten vanwege het Lektober-megalek staat het sein niet op groen.

"Er zijn nu 29 gemeenten die weer een werkende DigiD-koppeling hebben en 10 nog niet", meldt woordvoerder Michiel Groeneveld van DigiD-beheerder Logius. "Wij hebben contact met de gemeenten. Sommigen zijn nog bezig met het aanleveren van de gevraagde informatie, anderen willen nog wachten met aansluiten." De gemeenten zijn begin oktober afgesloten na de onthulling van het Lektober-megalek waardoor DigiD-sessies van burgers zijn te klonen.

Tussenstand

Groeneveld geeft de nieuwe tussenstand in reactie op vragen van Webwereld. Die zijn gesteld naar aanleiding van een schrijven van ex-minister Donner aan de Tweede Kamer. De bewindsvoerder meldt dat er schot zit in de heraansluiting van ontkoppelde gemeenten op DigiD. De ict-leverancier die het leeuwendeel van de afgesloten gemeenten bedient, heeft inmiddels de informatie aangeleverd die nodig is voor heraansluiting.

Dat bedrijf, Sim Groep, vertegenwoordigt 32 van de 39 DigiD-loze gemeenten. Donner schrijft dit in zijn antwoord op Kamervragen van de PVV over DigiD. "Een deel van de afgesloten gemeenten had moeite met het leveren van de benodigde informatie om aan te tonen dat hun websites veilig zijn. Veel gemeenten hebben hun ict uitbesteed, en zijn afhankelijk van hun ict-leverancier voor de noodzakelijke informatie", schrijft Donner.

Direct contact gelegd

De aanlevering van deze informatie betekent niet automatisch herstel van de DigiD-koppeling. Formeel is de communicatie betreffende DigiD namelijk een kwestie van contact tussen de Rijksoverheid, in de vorm van Logius, en de gemeenten zelf. Zij hebben dan elk weer contact met hun ict-leverancier die maatregelen moet nemen om de beveiliging te verbeteren.

Niet alleen dat ict-werk heeft tijd nodig, maar ook de formele communicatie door de keten heen. Sim Groep heeft de benodigde informatie wel direct aan Logius opgeleverd. Dat is gebeurd nadat die overheidsinstantie daarvoor direct contact met het bedrijf heeft opgenomen. Donner maakt daar ook melding van in zijn antwoorden: "Daarnaast hebben Logius en KING zelf contact gelegd met de ICT-leveranciers van de gemeenten om het proces te bespoedigen."

Wachten op gemeenten

Het opnieuw aansluiten op DigiD moet dan vlotter verlopen. "Hierdoor kunnen de gemeenten zelf volstaan met het afgeven van een verklaring en verwijzen naar de meer technische antwoorden van de leverancier. Dit maakt het proces aanzienlijk sneller en makkelijker voor de gemeenten."

Herstel van de DigiD-koppeling is vervolgens echter niet automatisch een feit. De betreffende gemeenten moeten zelf officieel een signaal daartoe geven, vertelt Logius-woordvoerder Michiel Groeneveld nu. "Een stuk of zes gemeenten kan in ieder geval aangesloten worden wanneer ze willen, omdat we de juiste info hebben ontvangen van de leverancier." Het wachten is hierbij op de officiële verklaring van de gemeenten dat ze klaar zijn om aangesloten te worden.

'Optimaliseren'

Overheidsinstanties Logius en KING, het ict-adviesorgaan voor gemeenten, voeren nu overleg hoe zij de ondersteuning van gemeenten kunnen optimaliseren, laat Donner weten. Dit om een "zo snel mogelijke heraansluiting van gemeenten in de toekomst te kunnen bevorderen." Begin november heeft Webwereld boven water weten te krijgen dat er toen 33 gemeenten nog DigiD-loos waren. Nu, bijna 3 maanden na de ontkoppeling, blijken er dus nog 10 gemeenten zonder DigiD te zitten.

Govcert-'feestje'

In zijn beantwoording van de Kamervragen over DigiD verdedigt Donner ook de kosten en opzet van het Govcert-symposium. Die jaarlijkse bijeenkomst van Govcert, het KLPD, OM, NFI, Logius, SIDN en KPN-CERT kost net geen kwart miljoen euro. Ondertussen worstelen gemeenten om weer aangesloten te worden op DigiD. Ook nu nog, eind december.

"240.000 euro is veel geld", geeft de net afgetreden minister eerst toe. Vervolgens legt Donner uit dat deze uitgave gerechtvaardigd is. "Dit geld is uitgegeven om civiel-militair en publiek-privaat kennis te delen op het terrein van cyber security en het belangrijke internationale CERT- en cyber security netwerk te onderhouden. Het belang van samenwerking en kennisdeling op deze gebieden is benadrukt in de Nationale Cyber Security Strategie."

'Waardevolle contacten'

Hij stelt dat "een vertrouwd (inter)nationaal publiek-privaat netwerk noodzakelijk is in de strijd tegen cybercrime, en andere digitale dreigingen die geen grenzen kennen." Donner roemt de vruchten van eerdere edities van het Govcert-symposium. De daar gelegde contacten "zijn tot op heden zeer waardevol gebleken, onder andere tijdens het Diginotar-incident en bij de bestrijding van (internationale) digitale dreigingen en verstoringen."

De beruchte DigiNotar-affaire is door deze kennisuitwisseling en contacten niettemin niet voorkomen. De Nederlandse certificaatverstrekker is pas na internationale tip en rumoer onderzocht, waarna de vergaande cyberinbraak pas echt aan het licht kwam. Overheidsinstanties als Govcert en Logius hebben daarbij aanvankelijk verkeerde signalen afgegeven, onder meer aan browsermaker Mozilla. Vervolgens is de hulp van cybersecurity-'hofleverancier' Fox-IT ingeroepen.

Bron: Webwereld

Spyware Carrier IQ onder Nederlandse loep


(zie ook bericht op 2 december 2011)

De OPTA onderzoekt de invloed die smartphonespyware Carrier IQ in Nederland heeft. De telco's is om opheldering gevraagd.

Minister Maxime Verhagen van Economische Zaken, Landbouw en Integratie (EL&I) schrijft aan de Tweede Kamer dat hij nog geen antwoord kan geven op Kamervragen over smartphonespyware Carrier IQ. " De reden van uitstel is dat voor de beantwoording gewacht wordt op resultaten van een onderzoek door de toezichthouder." De Kamervragen werden gesteld na een publicatie van Webwereld.

OPTA vraagt om uitleg

Telecomwaakhond OPTA bevestigt de door de minister genoemde toezichthouder te zijn. "We hebben de telecompartijen een brief gestuurd met een verzoek om meer uitleg", zegt Cynthia Heijne, zegsvrouw van de OPTA in een telefoongesprek. Wel vindt ze het woord "onderzoek" een beetje groot. Volgens Heijne heeft de OPTA simpelweg meer informatie gevraagd aan de operators, en gaat het niet om een officieel onderzoek.

Wanneer het onderzoek is afgerond kan Heijne nog niet zeggen. "Nog niet alle info is terug van de telco's dus we kunnnen nog geen deadline stellen." Of er een officieel onderzoek komt hangt helemaal af van de respons. "Misschien vinden we die wel heel erg en gaan we er wat mee doen, of misschien valt het allemaal wel mee", legt Heijne uit.

Netwerkanalsye

Carrier IQ kwam in opspraak toen bleek dat er meer dan 141 miljoen smartphones zonder medeweten van gebruikers zijn uitgerust met de software die soms zo is geprogrammeerd dat alle toetsaanslagen worden gelogd. Ook locatie van telefoons, sms-berichten een de sterkte van het signaal plus legio andere diagnostische informatie kan worden gemeten en doorgestuurd voor analyse.

De gegevens worden door telecomoperators onder andere gebruikt voor het analyseren en verbeteren van hun netwerken. Dat gebeurt voornamelijk in de Verenigde Staten. De Nederlandse grote drie: KPN, Vodafone en T-Mobile, ontkennnen allemaal gebruik te maken van de diensten van Carrier IQ.

Meerdere onderzoeken

OPTA's verzoek om uitleg volgt op onderzoeken van verschillende Europese privacywaakhonden. In de VS doen handelsautoriteit FTC en telecomwaakhond FCC volgens Wired eenzelfde informeel vooronderzoek naar het gebruik van de dienst.

Carrier IQ werd in eerste instantie aangetroffen op Android-smartphones. HTC en Samsung ontkennen dat de software is geïnstalleerd op Nederlandse telefoons. De software wordt ook gebruikt op iOS. Op Nederlandse iPhones draait Carrier IQ dus wel. Apple stelt tegen techblog All Things D recent te zijn gestopt met het gebruik van de software en gaat de code in een toekomstige update van de firmware verwijderen.

Onafhankelijke analyse

Inmiddels is de Electronic Frontier Foundation (EFF) een onafhankelijk onderzoek gestart naar het gebruik van Carrier IQ. Wie een geroote of gejailbreakte telefoon bezit waar software op staat wordt opgeroepen details aan de EFF te sturen.

Bron: Webwereld

woensdag 21 december 2011

Belasting-phishers hengelen naar DigiD-inlog


De Belastingdienst waarschuwt voor phishingmails aan toeslaggerechtigden, waarmee wordt gepoogd DigiD-inlogdata buit te maken. De FIOD doet onderzoek.

Fraudeurs misbruiken de recente publiciteit over de nieuwe toeslagensite van de fiscus om te hengelen naar Digid-logins. Er zijn verschillende e-mails in omloop waarin toeslaggerechtigden om hun DigiD-gegevens wordt gevraagd.

Lokken of dreigen

Soms bevat de mail een lokkertje, soms een dreigement. In de ene mail wordt beloofd dat met het afgeven van de data de toeslag binnen 24 uur gestort wordt. In de andere wordt echter gedreigd met de deurwaarder, vertelt de woordvoerder van de Belastingdienst.

De phishers hebben echter niet de moeite genomen om een nepsite op te tuigen, maar vragen simpelweg om de mail te beantwoorden. Meestal bevatten phishingmails een link naar een authentiek ogende site, waar vervolgens de inloggegevens worden geoogst.

Mijntoeslagen.nl niet van fiscus

Dat scenario wordt wel steeds aantrekkelijker, nu de Belastingdienst stapsgewijs migreert van invoer met software naar invoer online. Vorige week introduceerde de fiscus mijn.toeslagen.nl, dat de toeslagensoftware overbodig maakt. Op termijn zal ook de software voor de belastingaangifte worden uitgefaseerd ten faveure van een webdienst.

Security experts wijzen er echter op dat deze strategie phishers in de kaart kan spelen. Het is immers relatief eenvoudig om de code van een site kopiëren en een nepsite optuigen, om daar persoonsgegevens en DigiD-logins te kunnen afvangen.

Feit is dat phishers niet ver hoeven te zoeken voor een geschikt domein: mijntoeslagen.nl is een geparkeerd domein, in handen van een particulier. De zegsman van de Belastingdienst kon niet meteen aangeven of de fiscus rekening houdt met dergelijke scenario's.

Bonanza voor phishers

Dit jaar werden al diverse gevallen bekend van criminelen die duizenden euro's aan toeslagen hadden binnengeharkt. Kwaadwillenden bleken met andermans DigiD in te loggen bij de Belastingdienst. Daar hebben zij vervolgens het bankrekeningnummer voor uitkeringen of teruggave veranderd, zodat dat geld niet bij de eigenlijke begunstigde terechtkwam.

Eerder bleek dat het met andermans Burgerservicenummer (BSN) kinderspel was om een nieuw DigiD-account aan te maken.

Bron: Webwereld

vrijdag 16 december 2011

Run op certificaten bracht KPN in problemen

Toen de DigiNotarcrisis uitbrak, kreeg KPN plots een stortvloed aan aanvragen voor nieuwe certificaten. Maar daar was het bedrijf niet meer op ingericht. Dus liepen zaken spaak.

Dat vertelt het bedrijf aan Webwereld in reactie op berichtgeving over het massaal intrekken van certificaten, vlak voor en na de ondergang van DigiNotar. De productielijn moest in een rap tempo flink worden opgeschaald, en dat leidde tot fouten. In de haast geproduceerde certficaten moesten daardoor weer snel worden ingetrokken.

Geen core business

Op 2 september werd voor iedereen duidelijk dat alle Diginotar certificaten zouden worden ingetrokken. Vanaf de volgende ochtend moest KPN zich volledig richten op het uitgeven van losse certificaten voor bijvoorbeeld webservers.

Ooit had het bedrijf deze dienstverlening wel, toen ze certificaten van Verisign uitgaven. Maar dat onderdeel is in oktober 2010 verkocht en de organisatie is afgeschaald, zoals KPN dat noemt. "Wij zijn ingericht op grote managed PKI-omgevingen, zoals bijvoorbeeld de UZI-pas", vertelt Henk Hendriks, manager Trusted Services bij KPN. Dat proces richt zich op het leveren van batches met 10.000 pasjes met meerdere certificaten erop en niet het leveren van een certificaat voor een server. Die zaterdagochtend werd dat ineens anders. "Opeens krijg je zo'n hoos over je heen."

Volgens het bedrijf is er door Logius druk uitgeoefend op KPN om deze business te gaan oppakken. "We gaven daarvoor slechts enkele honderden certificaten voor PKI Overheid uit", stelt Hendriks. Maar in de DigiNotarcrisis ging het volgens hem over duizenden certificaten, maar precieze getallen wil Hendriks niet geven. Die verzoeken moesten in korte tijd worden afgewikkeld.

Idiote werkdruk

Wat volgde was een spitsuur met aanvragen voor nieuwe certificaten. De werkdruk was extreem, terwijl alles wel volgens de procedure moest verlopen. Zo moeten aanvragers papieren overhandigen zodat kan worden gecontroleerd dat iemand bevoegd is een certificaat aan te vragen en ook daadwerkelijk de persoon is die hij zegt te zijn. "Op een gegeven moment stonden koeriers in de file in de straat om die stukken te brengen", vertelt Hendriks.

De hele procedure is zodoende erg arbeidsintensief. KPN heeft wel genoeg personeel in dienst dat bevoegd is om de procedures af te werken, maar de meesten hadden er geen ervaring mee. "Soms heb je het over consultants die bij klanten zaten en die we daar hebben weggehaald voor deze problemen", legt Hendriks uit. Ook was het nodig om extern mensen in te huren. Eerder heeft het KPN al laten weten dat er daardoor veel verkorte opleidingen moesten worden doorlopen.

Ministerie van het lijf houden

Ondertussen moest ook het Ministerie van Binnenlandse Zaken van het lijf worden gehouden. KPN wil geen 'Diginotar-2' worden en wilde vooral correct werken, maar het PKI Overheid-onderdeel van BZK oefende grote druk uit. Veel kritieke diensten van de overheid dreigden in gevaar te komen en de overheid wilde dus snel over nieuwe certificaten beschikken. "Iedere dag was er crisisoverleg", herinnert Hendriks zich dan ook.

Die hoge werkdruk leidde tot fouten, zoals tikfouten in namen, het vergeten van een ondersteunend document. Allemaal zaken die bij de extra controles die waren ingesteld meteen opvielen, omdat er al rekening werd gehouden dat er fouten zouden worden gemaakt. "In al die gevallen moet je een certificaat intrekken, ook al is het nog niet uitgegeven."

Falende printers

Later wisten ook de notarissen en deurwaarders KPN te vinden voor het vervangen van hun certificaten. Die traditionele doelgroep van DigiNotar gebruikte kaarten met daarop drie certificaten, en dus moest ook die productielijn weer op volle toeren gaan draaien. Omdat ieder kaart volgens de regels rond PKI Overheid drie certificaten heeft (een voor ondertekenen, een voor authenticatie en een voor versleuteling) was dit nog arbeidsintentiever. En als er iets verkeerd ging, kwamen er ineens ook drie ingetrokken certificaten op de intrekkingslijst.

En misgaan deed het. Door de forse toename in aantal aanvragen werd er extra apparatuur neergezet. De kaarten moeten gedrukt worden en daarvoor zijn er smartcardprinters. Volgens Hendriks weigerden deze dienst en was het niet duidelijk waarom. Uiteindelijk na dagenlang onderzoek bleek er een probleem in de combinatie van computer en printer te zijn, omdat de chip voor USB-aansluitingen een probleem had. "Uiteindelijk hebben we de computer verwisseld en toen werkte de printer wel." Welke apparatuur het precies betrof wil KPN niet zeggen.

Niet gehackt

En dan was er nog de onderbreking van de dienstverlening op 4 november. "Er was een vuiligheidje waargenomen door externe auditors (van KPMG - redactie). Dat, in combinatie met het nemen van je eigen verantwoordelijkheid, was reden om te stoppen met het uitgeven van certificaten", verklaart Hendriks. Dat "vuiligheidje" bestond uit historische commando's in de logfiles, die niet goed te verklaren leken. "Mogelijk zou het gebruikt zijn voor een aanval op derden, maar mogelijk ook niet. Het is niet bewezen."

Wel erkent het bedrijf dat het verbeteringen heeft moeten doorvoeren. In de loop van de jaren waren er ook oudere php-scripts blijven staan die "niet allemaal even handig" waren. Maar van een inbraak was uiteindelijk geen sprake, zouden ook de auditors hebben geconcludeerd. Maar na herhaalde verzoeken van Webwereld willen KPN noch het ministerie van BZK het auditrapport of de conclusies openbaar maken. Hendriks is desondanks stellig: "Op beveiliging hebben wij hier nog nooit bezuinigd."

Bron: Webwereld

dinsdag 13 december 2011

Gemnet lekte ook niet-openbare informatie

Volgens Minister Donner was er alleen algemene informatie op de KPN-server van Gemnet aanwezig. Maar via een hacker wordt duidelijk dat er ook klantgegevens toegankelijk waren.

In een brief aan de Tweede Kamer stelt Minister Donner dat er een algemene publiekssite is gehackt. De brief volgt op de onthulling dat een onderdeel van KPN was gekraakt.

Meer dan algemene informatie

Volgens KPN vielen de problemen behoorlijk mee. "Inmiddels is uit intern onderzoek gebleken dat een inbraak uitsluitend openbare, algemene informatie betrof", stelt het bedrijf in een verklaring.

Maar tijdens de hack was al duidelijk dat er ook andere documenten op de server toegankelijk waren. Een voorbeeld is een document met interne routering tussen Gemnet en diverse klanten.

Dominus Decedere

Inmiddels is duidelijk dat er daadwerkelijk meerdere hackers actief waren. Een daarvan voert de alias 'Dominus Decedere', hij had ook toegang tot de server. Hij kreeg een database in handen met daarin klantgegevens en ordergegevens van Gemnet. Daarbij gaat het om aansluitingen voor beveiligde verbindingen (VPN), uitbreidingen op dienstverleningen, enzovoort.

KPN erkent de nieuwe ontdekking. "Klanten kunnen algemene Gemnet-diensten aanvragen via gemnet.nl. Dit gaat niet om aanvragen van certificaten. Bij zo'n algemene aanvraag laten klanten hun contactgegevens achter", stelt Simona Petescu, voorlichter bij KPN.

"Het CMS, waarmee het openbare deel van de website wordt beheerd houdt die zakelijke naw-gegevens nog vast: deze zijn achterbleven op de webserver van www.gemnet.nl. Het gaat hierbij om aanvraaggegevens voor Gemnet-diensten zoals een internet upgrade, verandering Service Levels, upgrade bandbreedte Gemnet verbinding."

Het bedrijf benadrukt dat het niet mogelijk was PKI Overheidscertificaten aan te vragen.

Debat

Er blijkt dus een verschil te bestaan tussen de uitleg in de kamerbrief en de nieuwe feiten waarmee de hacker komt. Arjan El Fassed, die om de brief van de regering vroeg en ook een debat heeft aangevraagd, schrikt van de bevindingen.

"Ik hoop dat dit een vergissing is", zegt hij tegen Webwereld en laat doorschemeren dat hij daar ook vanuit gaat. "Het maakt duidelijk hoe belangrijk goed toezicht is. Dat moet volledig transparant zijn. Tijdens het debat moet hier maar duidelijkheid over komen."

Bron: Webwereld

Nederlandse bedrijven doelwit phishingaanval


De Nederlandse Vereniging van Banken (NVB) waarschuwt bedrijven voor een gerichte phishingaanval. De e-mail lijkt afkomstig van de NVB en heeft als onderwerp "Geannuleerde transactie". Het bericht waarschuwt voor een geannuleerde "transfer". De reden voor de afwijzing staat in een link, die naar een bestand genaamd "report_29261.pdf.exe" wijst. Dit zou een "self-extracting archief, Adobe PDF" zijn. Het bestand wordt op een gehackte Nederlandse website gehost.

Om de phishingaanval legitiem te laten lijken, wordt ook de bedrijfsnaam in het bericht vermeld. "Helaas is er een mailbericht, zogenaamd afkomstig van de NVB met als onderwerp 'Geannuleerde transactie', in omloop. Deze mail is NIET van ons afkomstig. Deze (zogeheten phishing)mail dient u direct te verwijderen. U moet zeker niet de bijlage (rapport.pdf.exe) aanklikken. Deze bijlage bevat virussen die uw computer kunnen schaden", aldus de NVB.

Bron: Security.nl

maandag 12 december 2011

OpenDNS Releases DNSCrypt


Another innovation from those overachievers at OpenDNS; namely, DNSCrypt, the company’s latest foray into protective DNS client-side applications, encrypting all traffic to the OpenDNS nameservers, from, at this time, Apple Inc. (NasdaqGS: AAPL) MAC OS X systems.

Currently utilizing the released bits on the MAC and found it to be a well-behaved, network encryption product. Albeit the pre-release versioning, and the inability to keep persistent settings (users must re-enable default encryption post-reboot. After all, this is pre-release). Outstanding.

“…In the same way the SSL turns HTTP web traffic into HTTPS encrypted Web traffic, DNSCrypt turns regular DNS traffic into encrypted DNS traffic that is secure from eavesdropping and man-in-the-middle attacks. It doesn’t require any changes to domain names or how they work, it simply provides a method for securely encrypting communication between our customers and our DNS servers in our data centers. We know that claims alone don’t work in the security world, however, so we’ve opened up the source to our DNSCrypt code base and it’s available on GitHub…” - OpenDNS


Bron: Infosecurity

vrijdag 9 december 2011

KPN: Externe inhuur maakte fouten met certificaten

Geen van de duizend door KPN ingetrokken beveiligingscertificaten is daadwerkelijk in omloop geweest, stelt het bedrijf. Auditors stopten fouten van zwaar overbelast personeel vroegtijdig.

Dat stelt het bedrijf in reactie op het onderzoek van Webwereld dat de afgelopen maanden duizend certificaten zijn ingetrokken. Na de ondergang van Diginotar moesten in een korte tijd meer certificaten worden uitgegeven dan normaliter in een jaar tijd gebeurt. Ook moesten opeens veel persoonlijke certificaten worden uitgegeven waardoor er een dubbele piek was.

Achtervang voor fouten

"Om de enorme piek aan nieuwe aanvragen op te vangen heeft KPN veel tijdelijk personeel moeten inhuren. Na een korte training en inwerkperiode zijn deze mensen aan het werk gegaan maar niettemin zijn er in de beginperiode (logischerwijze) meer dan gemiddeld fouten gemaakt", erkent Simona Petescu, voorlichter bij KPN, tegenover Webwereld. "Aangezien wij dit hadden voorzien hebben wij vanaf het eerste moment, begin september, extra controles uitgevoerd om elk risico op een ten onrechte uitgegeven certificaat te voorkomen."

Die extra controles vinden plaats op het moment dat het certificaat al is gemaakt, maar nog niet in omloop is gebracht. Volgens KPN gaat het daarbij om zowel interne als externe auditors. Het externe toezicht wordt door KPMG uitgevoerd. Webwereld heeft zowel KPN als BZK gevraagd deze rapportages te openbaren, dit is nog niet gebeurd.

Als blijkt dat er iets niet deugt staat de procedure het niet toe om het certificaat meteen te vernietigen. Er wordt alsnog een melding van intrekking gemaakt die wél naar buiten toe wordt gecommuniceerd. Dit is volgens KPN puur procedureel "waarbij wij met nadruk stellen dat vanuit bovengenoemde oorzaken geen enkel ingetrokken certificaat daadwerkelijk is uitgegeven."

Ongezien tekenen

Beveiligingsexpert Mattijs van Ommeren, die zelf ook onderzoek deed naar de uitgiftepraktijk van KPN, denkt dat het wel mogelijk is dat inhuurkrachten meer fouten maken maar vindt de gang van zaken opmerkelijk.

"Bij de productie van smartcards is het enrollmentproces en het printen het meest arbeidsintensief. In deze fase wordt normaliter echter niet het feitelijke certificaat aangemaakt, slechts de certificaataanvraag", stelt hij tegenover Webwereld. "De inhuur van tijdelijke krachten levert weliswaar een lage 'yield' aan correcte aanvragen op, maar zou in principe niet mogen leiden tot foutief verleende certificaten, tenzij de foutcontrole achteraf plaatsvindt. Dit zou overeenkomen met het ondertekenen van een contract zonder het eerst gelezen te hebben."

Veel fouten

Ook de uitleg van de persoonlijke certificaten is geloofwaardig, maar laat opnieuw vragen open. "De toename van smartcardaanvragen na Diginotar komt mij redelijk plausibel over. Overigens lijken de niet-smartcardgerelateerde certificaten in batches van 10 a 15 stuks met tussenpozen van ca. een halve minuut te zijn ingetrokken", vertelt hij. "KPN verklaart de stijging door klandizie van Diginotar; Diginotar's specialiteit waren volgens eigen zeggen persoonlijke certificaten. Dit klopt met de gegevens die ik heb van mijn SSL-scan van overheidssites."

Maar daarmee blijft nog wel staan dat er volgens Van Ommeren veel fouten overblijven. "Dit alles neemt niet weg dat er nog een flink aantal certificaten in oktober overblijft na filtering van de smartcards", legt hij uit. Op basis van het antwoord van KPN voert hij een berekening uit en blijft kritisch. " Het aantal 'productiefouten' van dit type certificaten zou significant lager moeten zijn getuige de operatie van de Getronics CA tot september 2011. Als het aantal ex-Diginitar servercertificaten de 500 overstijgt zou me dat verbazen. 177 misbaksels is in dat geval niet realistisch."

Van Ommeren pleit ervoor dat de laatste twijfel wordt weggenomen door een lijst met inhoudelijke intrekkingen te verstrekken. "De enige die hier definitieve duidelijkheid over kan verschaffen zijn uiteraard KPN en de externe auditors."

Bron: Webwereld

KPN trekt duizend certificaten in

KPN trok na DigiNotar-gate zo'n duizend eigen certificaten in. Ook blijkt dat het bedrijf PKI-overheidscertificaten uitgeeft die niet aan de regels voldoen. KPN reageert niet.

Dat blijkt uit een analyse van de informatie van certificaten die door KPN/Getronics zijn uitgegeven. Daarbij zijn ook zogeheten intrekkingslijsten met daarop ongeldig verklaarde certificaten bekeken.

Massale intrekkingen

Onder normale omstandigheden worden certificaten heel af en toe ingetrokken. Voordat Diginotar problemen had, kwam zo'n revocation door de bank genomen bij KPN zeven keer per maand voor. Wil een certificaat worden ingetrokken, dan moet er sprake zijn van een uitzonderlijke situatie. Daarbij zijn er vier mogelijkheden. Ofwel de houder is zijn vertrouwelijk gedeelte van het certificaat kwijt, ofwel er zijn procedurele fouten gemaakt, de gebruiker is gehackt of de uitgevende instantie is gehackt.

Vanaf 28 september 2011 gaat het ineens hard met het intrekken van certificaten van KPN/Getronics. Die maand worden er op de valreep nog 120 certificaten ingetrokken. In oktober zijn dat er maar liefst 743, in november nog eens 111 en tot 7 december zijn er nog eens 24 certificaten ingetrokken. Er is dus sprake van een spectaculaire stijging van het aantal 'revocations'.

Het begin van die groei (28 september) is niet helemaal toevallig. Op diezelfde dag wordt het leeuwendeel van de certificaten van Diginotar ingetrokken. Maar waarom de certificaten van KPN/Getronics zijn ingetrokken blijft vooralsnog onduidelijk.

Onterecht uitgegeven certificaten

Daar bovenop speelt er nog een ander probleem. Dit jaar haalt Logius, verantwoordelijk voor de uitgifte van certificaten van de Nederlandse overheid, oude certificaten uit de markt en vervangt ze voor een nieuwer type. De oude mogen slechts lopen tot eind dit jaar. Al vanaf begin dit jaar is begonnen met het uitsluitend uitgeven van vernieuwde exemplaren. In een factsheet schrijft het Ministerie van Binnenlandse Zaken: "Logius heeft ervoor gezorgd dat leveranciers van de PKI Overheid-certificaten vanaf januari 2011 alleen nog verbeterde certificaten uitgeven."

Maar uit onderzoek blijkt het tegendeel. Er zijn tientallen certificaten uitgegeven zonder dat ze aan de nieuwe eisen voldoen, en die zijn bovendien langer geldig dan 31 december 2011. Deze certificaten zijn onder andere in gebruik bij de website Officiële Bekendmakingen, mijn.overheid.nl, de webservices van de Belastingdienst, het Digitaal loket van de Gemeente Rotterdam, de webmail en VPN van de gemeente Amsterdam en het Digitaal loket van de gemeente Den Haag.

Een pijnlijk voorbeeld is het certificaat van de Gemeente Amsterdam voor beschermde VPN-verbindingen. De uitgifte ervan vond in november plaats, ruimschoots na het Diginotar-debacle, maar toch is er iets mis mee. Het certificaat zou op 31 december 2011 moeten verlopen, maar verloopt in plaats daarvan op 1 januari 2014.

Ministerie van BZK

Volgens Simona Petescu, persvoorlichter van KPN, is de vraag rond het grote aantal ingetrokken certificaten al eerder gesteld en is de zaak prima te verklaren. Maar ze geeft die uitleg niet als Webwereld hierover opnieuw contact zoekt.

Ondanks het feit dat er een aantal uur tussen het stellen van de vraag en publicatie zit, moet het Ministerie van Binnenlandse Zaken nog verder zaken uitzoeken.

In het recente verleden heeft Webwereld via een Wob-verzoek geprobeerd toegang te krijgen tot eventuele noodscenario's voor PKI Overheid. Alleen voor het geval er een beveiligingsincident met DigiD is, bestaat er een noodscenario.

Bron: Webwereld

donderdag 8 december 2011

Weer certificatenleverancier overheid gehackt


De website van KPN-dochter Gemnet, leverancier van PKI Overheidscertificaten, blijkt te zijn gehacked. Een beheerpagina gaf toegang tot documenten en database. Het lek wordt gedicht.

De leverancier van overheidsbeveiligingscertificaten heeft woensdagavond, na melding door Webwereld, de website van Gemnet uit de lucht gehaald. Het bedrijf dicht het lek en is een actie gestart om alle bedrijfswebsites te screenen op fouten.

Meerdere fouten

Die stappen zijn gezet omdat bleek dat bij Gemnet informatie werd gelekt. Dat was mogelijk, doordat de database op de server werd beheerd via PHP MyAdmin. Het was via deze webtoegang tot de database mogelijk om zonder wachtwoord binnen te komen. Vervolgens bleek het via de database mogelijk om bestanden op de server aan te maken, waaronder uitvoerbare scripts.

Zo kon de aanvaller niet alleen informatie uit de database halen of toevoegen, maar was het mogelijk om voor een deel de besturing over de computer over te nemen. Op die manier kwamen alle documenten op de webserver beschikbaar. Ook was het beheerderswachtwoord te achterhalen, omdat dit niet heel erg sterk gekozen was (braTica4).

Niet openbare informatie

Tussen de documenten bleken stukken te staan die niet op de webserver thuis horen. Zo stonden er documenten met informatie over de technische inrichting van het vertrouwde netwerk tussen KPN en overheden of bedrijven. Het gaat daarbij onder andere over diverse diensten van het Ministerie van Veiligheid en Justitie, ICT onderdelen van het Ministerie van Binnenlandse Zaken, UWV, politie, Centric, Govunited, Bank Nederlandse Gemeenten en de Belastingdienst.

Ook wordt uit de stukken duidelijk dat voor bijvoorbeeld het toetsen van BKR-status weliswaar via een VPN wordt gewerkt, maar vanuit de overheidsorganisaties vervolgens vanaf werkplekken met onversleutelde verbindingen. Dat gebeurt niet alleen via de webbrowser, maar ook om met beheerderstools als telnet toegang te testen tot een firewall.

Het moet beter

KPN spreekt in een reactie van een 'mogelijke hack', omdat het bedrijf de zaak zelf nog niet helemaal heeft onderzocht. Toch erkent het bedrijf de gang van zaken.

"KPN is door internetjournalist Brenno de Winter woensdagmiddag 7 december attent gemaakt op de mogelijk hack op de website van Gemnet", schrijft het bedrijf. "Omdat KPN en Gemnet de veiligheid van zijn systemen van het allergrootste belang vindt, neemt KPN dit signaal heel serieus. Het toont aan dat op onderdelen de werkwijze verbeterd moet worden."

Webwereld werd getipt door een hacker. Voor hem is het belangrijk dat er snel wordt gehandeld, omdat hij 'een herhaling van Diginotar' wil voorkomen. Ook heeft hij aanwijzingen gevonden dat hij niet de eerste persoon is geweest die toegang heeft verkregen tot de systemen.

Meer beveiligingsperikelen

Het is niet de eerste keer dat er problemen spelen met een leverancier van PKI Overheidscertificaten. KPN meldde zelf op 4 november dat dochter Getronics jaren eerder was gehackt. Na tijdelijk met de uitgifte van certificaten te zijn gestopt, kon na onderzoek van KPMG weer worden verder gewerkt.

In reactie op het nieuws meldt GroenLinks zich. "Ik wil een reactie van het kabinet", zegt Arjan El Fassed. "Ik maak mij ernstig zorgen dat er problemen lijken te zijn bij een certificaat. Het zou heel ernstig zijn als opnieuw blijkt dat er problemen zijn bij een certificaatverstrekker."

Bron: webwereld

dinsdag 6 december 2011

Zorginstelling verslaafden lekt persoonsgegevens

Zorginstelling De Hoop bewaart persoonlijke gegevens van klanten op een server met tientallen sites. Door een lek waren deze toegankelijk. Er zitten wel klanten, maar geen patiëntgegevens tussen.

Dat ontdekte hacker Pompiedompiedom, die vaker wijst op slechte bescherming van privacygevoelige informatie. Hij ontdekte dat de webserver van De Hoop, een wereldwijd bekende organisatie op het gebied verslavingszorg en geestelijke gezondheidszorg, gevoelig is voor een SQL-injectionaanval. In totaal gaat het om tientallen sites.

Veel gevoelige gegevens

De server met de database is inmiddels offline gehaald, maar er is veel gevoelige informatie beschikbaar geweest. Daarbij ging het onder andere om de persoonsgegevens van ruim 3300 klanten, waaronder naam, adres, bankrekeningnummer, e-mailadres, gebruikersnaam om in te loggen met bijbehorend leesbaar wachtwoord.

Ook gegevens over aanmeldingen voor familiesessies, bijeenkomsten voor pastores en andere bijeenkomsten staan in de database, net als de die van 1396 sollicitanten voor een baan, en 237 sollicitaties voor vrijwilligerswerk. Ook lijsten met 'oude' sollicitaties en andere tabellen bleken toegankelijk.

De instelling erkent het probleem, maar benadrukt dat er geen patiëntgegevens tussen zitten. "Dit zijn klanten van de webwinkels die we ook beheren", vertelt Frans Koopmans, voorlichter van Stichting De Hoop, tegenover Webwereld. Het gaat volgens hem dan ook niet om aanmeldingen van cliënten die zorg afnemen. Hij bevestigt dat soms gegevens te lang zijn bewaard. "De tabellen zijn dan ook geleegd."

Beheeraccounts

De verschillende beheeraccounts van de website worden verder afgeschermd door hetzelfde wachtwoord (admin2themax). Hierdoor bleek het mogelijk om volledige toegang te krijgen tot de websites.

Pompiedompiedom benadrukt dat hij zich vooral druk maakt over het feit dat veel van de privacygevoelige informatie online bewaard wordt, terwijl dat helemaal niet nodig is. "Dat moet je snel offline halen, want dit is niet nodig. Natuurlijk kan ik klagen over de beveiliging. Laat ik dat maar eens niet doen. We weten dat langzamerhand wel", stelt hij in een reactie aan Webwereld.

Nadat Webwereld het lek heeft gemeld aan De Hoop, heeft de organisatie meteen actie ondernomen. De websites zijn offline gehaald en komen na inspectie weer online. In een eerste reactie toont de voorlichter zich geschrokken en bedankt hij voor de melding. "We vinden het niet leuk, maar zijn wel dankbaar dat het niet misbruikt is", zegt de voorlichter dan ook. "

Bron: webwereld

vrijdag 2 december 2011

Carrier IQ ontkent privacyschending door 'spyware'

AMSTERDAM – Carrier IQ, dat de afgelopen dagen in opspraak raakte vanwege software die het gedrag van smartphonegebruikers volgt, ontkent dat er naar inhoud gekeken wordt en dat de privacy geschonden is.

Dat blijkt uit een verklaring van het bedrijf.

“We meten en versturen de prestaties van telefoons”, aldus Carrier IQ. “Onze software registreert geen inhoud van sms’jes, foto’s, audio of video. We weten bijvoorbeeld alleen of er gebeld wordt en of een sms’je goed is aangekomen.”

Het bedrijf stelt op deze manier waardevolle informatie te leveren aan mobiele providers. Zij weten dan waar er eventueel iets misgaat.

Privacy

De afgelopen dagen raakte het bedrijf in opspraak omdat de software op de smartphones ook toetsaanslagen en inhoud van berichten zou volgen en mogelijk doorsturen. Dat is volgens Carrier IQ dus niet het geval.

Het bedrijf stelt dat de privacy gewaarborg is en dat de informatie alleen met bijvoorbeeld providers gedeeld wordt om de diensten te verbeteren. Bovendien zou in de contracten die providers met klanten hebben, staan wat er precies verzameld wordt.

KPN, Vodafone en T-Mobile hebben laten weten dat in Nederland geen contracten zijn afgesloten met Carrier IQ. Telefoonfabrikanten kunnen echter ook de diensten van het bedrijf afnemen.

Dit is bijvoorbeeld bij Apple het geval. Dat bedrijf heeft echter inmiddels laten weten dat het hier volledig mee zal stoppen na een update van het besturingssysteem.

Bron: nu.nl