ssl

Website gemeente Hollands Kroon: werk in uitvoering

Geschreven op door

Even een compliment voor de gemeente Hollands Kroon: Na het nieuws, vanmorgen in het Noordhollands Dagblad, hebben ze de oude link naar het onbeveiligde afspraakformulier vervangen door een link naar het beveiligde afspraakformulier. Het formulier was ooit onbeveiligd, maar nu niet meer. En sinds vandaag is het beveiligde formulier dus bereikbaar. Dat gaat de goede kant op!

Dan blijft enkel nog het onbeveiligde contactformulier, waarbij burgers de mogelijkheid hebben om bijlagen naar de gemeente te versturen.

Het zou niet onverstandig zijn om bij dat contactformulier een waarschuwing te vermelden met de tekst “Burger, let op! Dit contactformulier is onbeveiligd en daarom ongeschikt om gevoelige informatie mee naar ons te versturen. Stuurt u geen kopie van bijvoorbeeld uw paspoort mee als bijlage”. Blijft natuurlijk de vraag welke niet-gevoelige informatie je dan als burger wel zou kunnen meesturen. Beetje verwarrend.

Gratis tip voor de gemeente Hollands Kroon: De beveiliging van het afspraakformulier geschiedt met een zogenaamd wildcard-certificaat (*.hollandskroon.nl), dat tevens het contactformulier kan beveiligen! Als het contactformulier eenmaal is beveiligd, hoeft die waarschuwing er natuurlijk niet bij…

Hoe veilig is jouw gemeente?

Geschreven op door

Toevallig ontdekte ik dat de communicatie met de website van mijn eigen gemeente Schagen onbeveiligd was en daar schrok ik natuurlijk van!

Gelukkig is ons digitaal loket met ingang van 22 november 2013 niet meer onbeveiligd, maar de gemeente ontkent de noodzaak van beveiliging, dus het zit me nog niet lekker. Ik heb daarom wat aanvullend onderzoek gedaan, dat ik hier op mijn weblog per gemeente zal delen.

Hou er rekening mee, dat de informatie waarschijnlijk snel veroudert. Hopelijk krijgen de Nederlandse gemeenten er lucht van en gaan ze kundige mensen inschakelen. Ik zal met behulp van screenshots de situatie documenteren.

Ben je benieuwd naar de beveiliging van de website van jouw gemeente? Laat het me weten! En doe je gordel om, want het wordt een hobbelig ritje.

De beveiligingswereld kent het fenomeen Responsible Disclosure. Dit is een protocol dat aan de buitenwereld uitlegt hoe je als organisatie op de hoogte wenst te worden gesteld over beveiligingsproblemen met jouw producten of diensten. Hiermee geef je buitenstaanders de gelegenheid om beveiligingsproblemen kenbaar te maken, zodat de organisatie daarvan kan leren. Uitgangspunt hierbij is dat de informatie over beveiligingsproblemen op een verantwoorde wijze kenbaar wordt gemaakt, meestal in eerste instantie zonder publiek specifieke details te melden, waarmee kwaadwillenden het probleem kunnen uitbuiten.

Het Nationaal Cyber Security Centrum heeft hiervoor een Responsible Disclosure statement voor hun eigen organisatie:
https://www.ncsc.nl/security
Ook bestaat er een leidraad om als organisatie te komen tot responsible disclosure:
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

Helaas zijn de Nederlandse gemeenten nog lang niet zover. Op gebied van beveiliging zijn ze technisch en organisatorisch naïef, slecht op de hoogte van cybercriminaliteit, houden dus onvoldoende rekening met eigen falen op beveiligingsgebied en hebben dus ook geen Responsible Disclosure statement.

Bovendien kun je als klokkenluider bij totaal gebrek aan beveiliging niet zoveel technische details achterhouden. Ik zal niet ingaan op specifieke hacks en technische trucs om de beschreven beveiligingsproblemen uit te buiten, maar neem van mij aan dat als gemeenten de deur openzetten voor cybercriminelen daar ook misbruik van gemaakt wordt. Het lijkt mij dat de beteffende gemeente daarvoor verantwoordelijk is.

Zonder beveiliging zijn de websites van de gemeenten levensgevaarlijk. Door hiervan melding te maken, hoop ik op treffende beveiligingsmaatregelen door de gemeenten.

De #iPhone: Wolf in schaapskleren

Geschreven op door

Een tijdje geleden ontdekte dat, ondanks het fantastische uiterlijk van de iPhone, het eigenlijk een heel onveilig apparaat is en ik moet er niet aan denken dat ik hem ooit kwijtraak of dat-ie wordt gestolen. Tijd voor actie, dus!

Ik besloot mijn zakelijke gegevens eraf te halen. Daarna volgde mijn Gmail en nu gebruik ik mijn iPhone alleen nog maar voor Twitter en als digitaal boodschappenlijstje. Ik heb de voorzieningen van mijn BlackBerry BES tot beveiligingsstandaard verheven en blijkbaar staat BlackBerry hierin op eenzame hoogte…

Zelfs Twitter is gevaarlijk (als Twitter het tenminste doet), omdat mijn favoriete Twitter-applicatie SimplyTweet geen beveiligde SSL gebruikt om mijn gegevens naar Twitter te verzenden. Moet je nagaan: De hele beveiligingswereld predikt “SSL is onveilig, gebruik in plaats daarvan EV SSL“, terwijl er nog steeds bedrijven, diensten en applicaties zijn, die nog niet eens “gewone” SSL gebruiken… Zelfs Onze Overheid en Onze Banken zien nog maar net het nut van SSL en zij voelen zich bij gebleken en overduidelijke onveiligheid van SSL nog niet genoodzaakt EV SSL te implementeren, dus waarom zou jij je daar dan druk om maken?

Tweetie, mijn vorige favoriete Twitter-applicatie, maakt al jaren gebruik van SSL, alleen was Tweetie zijn tijd zó ver vooruit, dat er al tijden geen update meer van geweest is. Typisch geval van De Wet Van De Remmende Voorsprong.

Ik vind het ongelooflijk te moeten constateren dat veel mensen blijkbaar niet nadenken over diefstal of verlies van hun mobiele telefoon, over wat er dan met hun gegevens gebeurt en wat voor impact dat kan hebben op hun posities. En zolang de mensen zelf niet nadenken, denken de fabrikanten van de apparaten er ook niet over na. Behalve dan natuurlijk het Canadese bedrijf Research in Motion…

Stel je het volgende scenario eens voor: Je bent accountant en je maakt dagelijks gebruik van e-mail. Je hebt ook een mobiele telefoon. Laten we zeggen: een Nokia. Je hebt hem al een tijdje en je hebt er al behoorlijk wat telefoonnummers op verzameld. Ook heb je inmiddels de telefoon aan je Exchange-server op de zaak laten koppelen. Dat had wat voeten in de aarde (certificaat, software-update voor je toestel, soms doet-ie het niet en via WiFi heeft-ie eigenlijk al nooit lekker gewerkt), maar je kunt er af en toe een mailtje op bekijken en beantwoorden.

Stel nu dat je toestel stuk gaat, vermist raakt of gestolen wordt.

Toestel stuk
Welke informatie stond er eigenlijk op je toestel? Heb je wel dagelijks met dat datakabeltje of met de Bluetooth lopen stoeien om al je waardevolle contactpersoongegevens en je afspraken van je toestel naar je computer te krijgen? Heb je na die zondagmiddag dubbele afspraken verwijderen uit je agenda nog de behoefte gehad het later nog eens te proberen? Nee, natuurlijk niet, want het is veel te veel gedoe en er is veel te veel software voor nodig. Maar wat je dus niet elders hebt, ben je kwijt! Da’s jammer.

Toestel weg
Als je toestel weg is en je weet niet waar het is, kan het gewoon thuis tussen de kussens van de bank liggen, maar het kan ook gestolen zijn. Het probleem is, dat je het niet weet en je moet er dus van uit gaan dat je het niet meer zult vinden. Blokkeer als eerste je SIM-kaart, zodat de mogelijke dief niet op jouw kosten kan bellen. Beveilig je SIM-kaart ALTIJD met een pincode (en dan niet 0000 of 1234), zodat tussen de tijd die jij ervoor nodig hebt om vermissing van je toestel te constateren en je de kaart hebt laten blokkeren, de dief niet tóch kan bellen op jouw kosten. En dan je gegevens. Ze zijn niet alleen weg, maar iemand anders heeft ze. Iemand die enkel sterretje-menu hoeft te drukken om toegang te krijgen tot al jouw contactpersonen, telefoonnummers, afspraken, e-mails, smsjes, notities en wat ik verder nog vergeet.

En dan nog: Wat als je toestel niet wordt gestolen, maar je hebt een dankbare collega, concurrent, “vriend” of iemand die af en toe even door je telefoon gaat om te kijken of er nog iets interessants tussen zit? Ik ken geen mensen met staatsgeheimen op hun telefoons, maar jouw gegevens zijn jouw gegevens en daar moet iedereen met z’n handen vanaf blijven. Dat kun je dus niet goed regelen met je Nokia.

Wat voor Nokia geldt, geldt in gelijke mate ook voor de iPhone. Het koppelen van een iPhone aan de server op kantoor is makkelijker dan met een Nokia, maar ook voor de overige gegevens geldt dat wat je niet had gekopieerd met een kabeltje, je verliest als je het toestel kwijtraakt. En dan de beveiliging. Kun je je voorstellen dat Apple een iPhone 3GS maakt, waarbij alle gegevens worden versleuteld d.m.v. encryptie en dat ze de sleutel tot je gegevens op je toestel zelf bewaren?!? Je hoeft niet gestudeerd te hebben, om te begrijpen dat deze vorm van “beveiliging” een bedenksel is van de afdeling Marketing, die op de doos wilde zetten dat de iPhone 3GS Encryptie ondersteunt…

Klik hier om je aan te melden met je #Facebook-account

Geschreven op door

Er zijn veel websites (waaronder dae’s weblog), waar je je kunt aanmelden met je Facebook-account. Gek is dan, dat je een aanmeldschermpje krijgt, waarin de URL nauwelijks te zien is. Je weet dus niet of je je werkelijk aanmeldt bij Facebook en sowieso worden je naam en wachtwoord onbeveiligd over het netwerk verzonden. Zou het niet beter zijn als Facebook een SSL-certificaat zou gebruiken en de adresbalk wat groter zou weergeven, zodat je weet aan wie je je naam en wachtwoord geeft?

Klik hier om je aan te melden met je Facebook-account