Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Blundert fiscus met BAPI aangiftes?
22-12-2008, 20:07 door Anoniem, 4 reacties
Vorige week zijn onze certificaten voor het aangeven van IB, LB, OB etc verlopen. Aangezien we aan de late kant waren met het verlengen hebben we de nieuwe certificaten pas kunnen installeren na het verlopen van de oude. Als het goed is zou de belastingdienst vanaf 30 dagen voor het verlopen van deze certificaten bij diginotar controleren of er een verlenging is aangevraagd en vervolgens die nieuwe certificaten gebruiken om de retourberichten mee te versleutelen. Zoals te verwachten viel werden de aangiftes die ingestuurd werden met de oude certificaten geweigerd. Nadat we de berichten met de nieuwe certificaten ingestuurd hebben kregen we een retourbericht dat onleesbaar was nadat het ontcijferd was met het nieuwe certificaat maar wat wel versleuteld was. Uiteindelijk bleek de belastingdienst te antwoorden met gebruikmaking van de verlopen certificaten. Nu vraag ik me af of de belastingdienst zich realiseert dat ze retourberichten sturen met certificaten die al verlopen zijn (en dus niet meer gebruikt zouden mogen worden) en belangrijker roept dit de vraag op in hoevere er gecontroleerd word of het certificaat waar mee ingestuurd word gekoppeld is aan het certificaat waar mee geantwoord word (niet dus anders zou dit nooit kunnen gebeuren). Mijn vraag is nu: Zijn er nog meer mensen die dit zien gebeuren of is dit een incident?
Reacties (4)
23-12-2008, 09:40 door
[Account Verwijderd]
[Verwijderd]
Door IceyoungVaak zijn deze beveiligingsmaatregelen opgelegd door de regering.
De regering vindt dat de Belastingdienst een bepaalde vorm van beveiliging moet hanteren.
Er wordt dan op advies van experts een bepaalde mate van beveiling bepaald
De Belastingdienst confirmeert hier aan en implementeert dat.
Op het moment dat dit niet werkt door welke reden dan ook waardoor het normale werk geen doorgang kan vinden komt er natuurlijk druk vanuit de klant om dat zo snel mogelijk op te lossen.
Als dan geen passende oplossing gevonden kan worden op het zelfde beveiligingsniveau dat zie je vaak dat de beveiling moet wijken ten behoeve van de vlotte doorgang van het werk. (vergelijking: zet maar even die en die poort open op de firewall om iets tijdelijk te bewerkstelligen)
Jouw voorval zal waarschijnlijk geen incident zijn.
De meeste klanten van de dienst zijn geen beveiligskenners en zullen elk advies of excuus van de dienst voor zoete koek nemen.
De regering vindt dat de Belastingdienst een bepaalde vorm van beveiliging moet hanteren.
Er wordt dan op advies van experts een bepaalde mate van beveiling bepaald
De Belastingdienst confirmeert hier aan en implementeert dat.
Op het moment dat dit niet werkt door welke reden dan ook waardoor het normale werk geen doorgang kan vinden komt er natuurlijk druk vanuit de klant om dat zo snel mogelijk op te lossen.
Als dan geen passende oplossing gevonden kan worden op het zelfde beveiligingsniveau dat zie je vaak dat de beveiling moet wijken ten behoeve van de vlotte doorgang van het werk. (vergelijking: zet maar even die en die poort open op de firewall om iets tijdelijk te bewerkstelligen)
Jouw voorval zal waarschijnlijk geen incident zijn.
De meeste klanten van de dienst zijn geen beveiligskenners en zullen elk advies of excuus van de dienst voor zoete koek nemen.
Een en ander houd dus wel in dat ondernemers wel hun aangifte kunnen insturen maar het retourbericht niet kunnen lezen. Aangezien de berichten met de oude certificaten zijn ondertekend zal dat ook nooit meer lukken omdat de meeste paketten de sleutels alleen in paren kunnen inlezen en ze geen verlopen certificaten accepteren. Nou zal dat in de meeste gevallen geen probleem zijn maar ik zie toch ene Murphy om het hoekje kijken met daarbij (uiteraard zou ik zeggen) een boete.
Voor ontsleuteling mag je uiteraard altijd sleutels met verlopen certificaten gebruiken.
Software waarmee dat niet kan heeft een ontwerpfout.
Voor versleuteling en handtekening mag je NOOIT sleutels met verlopen certificaten gebruiken.
Software waarmee dat wel kan is niet helemaal lekker.
Maar misschien heeft iemand bij de belastingdienst de datum en tijd even teruggezet. Ook een beveiligingsprobleem.
Iemand vergeten renewal op de agenda te zetten?
Software waarmee dat niet kan heeft een ontwerpfout.
Voor versleuteling en handtekening mag je NOOIT sleutels met verlopen certificaten gebruiken.
Software waarmee dat wel kan is niet helemaal lekker.
Maar misschien heeft iemand bij de belastingdienst de datum en tijd even teruggezet. Ook een beveiligingsprobleem.
Iemand vergeten renewal op de agenda te zetten?
Zoiets ja, maar dat neemt niet weg dat de belastingdienst het retourbericht versleuteld met een verlopen certificaat. Aangezien dit automatische processen betreft lijkt het me niet dat iemand de datum heeft terug gezet, dat zou impliceren dat een ambtenaar moet denken en handelen en dat is (zeker gezien de tijd van het jaar) waarschijnlijk teveel gevraagd. Even zonder gekheid, het lijkt me niet dat hier nog menselijk handelen aan te pas komt, het retour bericht komt binnen enkele seconden (in de meeste gevallen) en dat impliceert (mijns insziens) een niet goed functionerend systeem.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
