image

GOVCERT: Geen Gmail voor ambtenaren

vrijdag 26 juni 2009, 16:12 door Redactie, 12 reacties

De veiligheid van het internet is het afgelopen jaar verder verslechterd, maar Nederlandse overheden en gebruikers merken hier nog weinig, dat blijkt uit het GOVCERT Trendrapport 2009 dat vandaag in Den Haag werd gepresenteerd. Volgens Erik de Jong, projectleider van het Trendrapport, draait het niet om techniek, maar gaat het om mensen. Toch zijn het de problemen met DNS, BGP en TCP waardoor de overheidsorganisatie somber gestemd is. In het geval van het door Dan Kaminsky gevonden DNS-lek, is GOVCERT niet op de hoogte van aanvallen op Nederlandse overheden of internetproviders.

In andere landen is dat al wel voorgekomen. Vanwege deze "brandjes" her en der, pleit het voor de invoering van DNSSEC. "We moeten het nu oplossen", zegt De Jong. Govcert fungeert in deze meer als een trendwatcher dan een waakhond. Het adviseert gemeenten en overheden, maar kan die niet verplichten om over te gaan. Het uitrollen naar DNSSEC is daarnaast makkelijker gezegd dan gedaan. De samenwerking met alle betrokken partijen is een moeizaam proces. In het geval van het "sockstress" TCP/IP-lek, hoopt GOVCERT later dit jaar met details te komen. Hierbij houdt het nauw contact met de Finse CERT, dat alles coördineert.

Cryptografie onderschat
Een ander punt in het Trendrapport, wat zeker de moeite waard is om te lezen, zijn de problemen met cryptografie. Met name de kwetsbaarheid van MD5-certificaten was reden tot alarm. Uit eigen onderzoek van 466 provincie, gemeente en departement websites, werd in 163 gevallen een SSL-certificaat gevonden, waarvan in 7% het om kwetsbare MD5-certificaten ging. In deze gevallen werden de betrokken overheidsinstanties ingelicht hoe ze naar het veiligere SHA-1 kunnen migreren. Het ging in het geval van de kwetsbare certificaten vooral om externe diensten.

Mobiele platformen
GOVCERT had ook goed nieuws te melden. Zo nemen steeds meer fabrikanten beveiliging in hun ontwikkelproces op. Daarbij noemde De Jong Microsoft als een goed voorbeeld. Toch staat de beveiliging van software nog steeds in de kinderschoenen, getuige het aantal advisories dat naar deelnemers verstuurd werd. Ging het in 2007 nog om zo'n 350 waarschuwingen, vorig jaar werd de 400 gepasseerd. Het aantal updates daalde echter. In het geval van mobiele telefoons kan het updaten een probleem zijn en hebben gebruikers daar minder controle over dan bij een computer, ging De Jong verder. Het Trendrapport adviseert dan ook om software automatisch te laten updaten. "Automatisch updaten zorgt voor minder kwetsbare software. Dit geldt voor traditionele besturingssystemen en zeker ook voor mobiele platformen."

GOVCERT zag vorig jaar een verschuiving van aanvallen op het besturingssysteem naar applicaties op het web. Deze dreiging gecombineerd met de onveiligheid van programma's en het moeilijk updaten van mobiele telefoons, is dan ook een "match made in heaven". De Jong verwacht dan ook meer aanvallen op mobiele platformen.

Gerichte aanvallen
Doelbewuste aanvallen, waarbij aanvallers veel tijd steken in het op maat maken van e-mails en exploits, komen ook in Nederland voor. Van alle 150 incidenten die vorig jaar door deelnemers bij GOVCERT werden gemeld, ging het in drie procent van de gevallen om een gerichte aanval. In deze gevallen wordt de informatie met andere deelnemers gedeeld en waar nodig de AIVD ingeschakeld. Ook in het geval van de GhostNet aanvallen zijn er in Nederland slachtoffers gemaakt. Net als met de gerichte aanvallen op de overheidsinstanties wilde men niet zeggen om wie het precies gaat. Deze week werd bekend dat in sommige landen Ghostnet nog steeds actief is, omdat de getroffen partijen niet waren ingelicht. Het gaat hier niet om Nederland. GOVCERT werd meteen door het Canadese CERT over de aanvallen ingelicht, zo laat De Jong weten.

De 17 koppen tellende organisatie houdt zich vooral bezig met het adviseren en vastleggen van ontwikkelingen. Zo adviseert het deelnemers over het gebruik van sociale netwerken, maar ook dat het niet verstandig is om Gmail en Google Docs te gebruiken voor het uitwisselen en opslaan van vertrouwelijke documenten. Meer dan adviseren kan GOVCERT niet doen. Het kan ambtenaren niet verplichten om geen Gmail meer te gebruiken of het gebruik van DNSSEC afdwingen. "Dat is de verantwoordelijkheid van de betreffende partijen." Die sturende kracht is ook iets dat niet in het "takenpakket" van de organisatie is opgenomen. Het ambieert wel een bredere doelgroep, waarbij het zich niet alleen op de overheid richt, maar ook op het bedrijfsleven. In juli start er een Postbus-51 campagne van het Ministerie van Justitie, waarbij GOVCERT de input voor de spotjes over internetveiligheid leverde. Veel details kon men nog niet geven, maar het zou technischer en breder zijn dan de 3x Kloppen campagne van de banken.

Reacties (12)
26-06-2009, 16:22 door Anoniem
Waarom zo omslachtig doen en Gmail gebruiken ? het is toch veel gemakkelijker om Amerikaanse diensten gewoon een cc te sturen van alle vertrouwelijke overheidsstukken; hoeven ze geen mails te filteren en hebben ze direct waarover ze vroeger of later hoe dan ook kunnen beschikken. Is misschien ook een goed idee voor China en Rusland; hoeven die niet meer bij ons in te breken.
26-06-2009, 16:50 door Eerde
Nee laat ze maar hotmail nemen en de lekke meuk van M$ gebruiken.
Verder; alsof de eigen gekunstelde emailservers van de overheid veilig zijn..... :(
Bizar geneuzel door mensen die typisch geen verstand van zaken hebben, maar wel een mening...
26-06-2009, 17:50 door Anoniem
Een platform dat bewijsbare veiligheid ondersteund is te vinden op de link
http://www.wuala.com/freemovequantumexchange. Onder andere door de ingebouwde (hardware) security functies waaronder quantum random generatoren voor (fysische) true randomness in plaats van de pseudo-randomness van Intel en AMD processoren, biedt dit platform de echte bewijsbare veiligheid welke gevraagd is. Maar ook de energiezuinigheid van de VIA processoren is een voordeel van dit platform.
26-06-2009, 18:57 door Anoniem
Verder; alsof de eigen gekunstelde emailservers van de overheid veilig zijn..... :(
Die zijn zeker veiliger als het om afscherming van data gaat; ik kan precies inzien wie er wanneer verbinding probeert te maken. Bij een online (web)maildienst kan ik niet zien wie er wanneer (bijv.) een query uitvoert.

Bizar geneuzel door mensen die typisch geen verstand van zaken hebben, maar wel een mening...
Gevalletje 'beste stuurlui staan aan wal?'
26-06-2009, 19:59 door Anoniem
"De 17 koppen tellende organisatie houdt zich vooral bezig met het adviseren en vastleggen van ontwikkelingen."
"Meer dan adviseren kan GOVCERT niet doen."
"Het kan ambtenaren niet verplichten of het gebruik [...] afdwingen. Die sturende kracht is ook iets dat niet in het "takenpakket" van de organisatie is opgenomen. "

Samenvattend:
Weer 17 mensen die nutteloos werk uitvoeren, en zich meteen bij het arbeidsbureau kunnen gaan vervoegen.
Dit is pas geldverspilling zeg. En natuurlijk betaald door Den Haag, van ons geld.

Ik dacht dat er een financiële crisis was? Maar blijkbaar in Den Haag (nog) niet.
26-06-2009, 23:07 door Eerde
Gelukkig nog iemand die de voordelen van wuala inziet :)
En voor de anonieme ambtenaar: Resultaten 1 - 10 van circa 25.000 voor email overheid gekraakt (0,20 seconden)
26-06-2009, 23:26 door Anoniem
Volgens Erik de Jong, projectleider van het Trendrapport, draait het niet om techniek, maar gaat het om mensen.
Erik snapt het! Het gaat, net als bij auto's, puur om de mensen: wanneer een bestuurder een fout maakt, gebeurt er een ongeluk. Daarom is het totaal niet belangrijk hoeveel sterren die auto in de Euro NCAP-test heeft gescoord.
Mooie techniek is leuk voor nerds maar biedt verder geen enkele bescherming.
26-06-2009, 23:30 door Anoniem
"GOVCERT had ook goed nieuws te melden. Zo nemen steeds meer fabrikanten beveiliging in hun ontwikkelproces op. Daarbij noemde De Jong Microsoft als een goed voorbeeld."

Waaruit leidt De Jong dit af? In het trendrapport kan ik nergens terugvinden waaaruit concreet blijkt dat (o.a. MS) beveiliging in zijn/hun ontwikkelproces opneemt en welk (zichtbaar) resultaat daarmee is geboekt. Zonder onderbouwing een losse flodder.
Wat mij betreft security-prio-actiepunt voor MS: op orde brengen van de notoire slechte logging/logfiles in de gehele microsoft produktfamilie voor b.v. incident-response doeleinden. Go for it MS !
27-06-2009, 21:59 door Van Hoorne
Ha ha, Eerde weer in de bocht. ROFLOL
27-06-2009, 23:37 door TraxDigitizer
Dat de situatie is verslechterd ben ik het zeker mee eens. Eerder dit jaar schreef ik er samen met een collega nog een artikel over in AG: http://www.dennisbaaten.com/docs/internetprotocollen-zijn-gevaar.pdf. Hierin gebruiken we het hierboven genoemde DNS lek als voorbeeld om aan te geven dat samenwerking heel belangrijk is en blijft wanneer het aankomt op de veiligheid van internet.
28-06-2009, 23:17 door Anoniem
Heeft GovCert al een advisory uitgebracht aan de hand waarvan organisaties bijvoorbeeld in hun logfiles kunnen traceren of ze mogelijk slachtoffer zijn van GhostNet activiteiten ?
29-06-2009, 14:33 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.