De veiligheid van het internet is het afgelopen jaar verder verslechterd, maar Nederlandse overheden en gebruikers merken hier nog weinig, dat blijkt uit het GOVCERT Trendrapport 2009 dat vandaag in Den Haag werd gepresenteerd. Volgens Erik de Jong, projectleider van het Trendrapport, draait het niet om techniek, maar gaat het om mensen. Toch zijn het de problemen met DNS, BGP en TCP waardoor de overheidsorganisatie somber gestemd is. In het geval van het door Dan Kaminsky gevonden DNS-lek, is GOVCERT niet op de hoogte van aanvallen op Nederlandse overheden of internetproviders.
In andere landen is dat al wel voorgekomen. Vanwege deze "brandjes" her en der, pleit het voor de invoering van DNSSEC. "We moeten het nu oplossen", zegt De Jong. Govcert fungeert in deze meer als een trendwatcher dan een waakhond. Het adviseert gemeenten en overheden, maar kan die niet verplichten om over te gaan. Het uitrollen naar DNSSEC is daarnaast makkelijker gezegd dan gedaan. De samenwerking met alle betrokken partijen is een moeizaam proces. In het geval van het "sockstress" TCP/IP-lek, hoopt GOVCERT later dit jaar met details te komen. Hierbij houdt het nauw contact met de Finse CERT, dat alles coördineert.
Cryptografie onderschat
Een ander punt in het Trendrapport, wat zeker de moeite waard is om te lezen, zijn de problemen met cryptografie. Met name de kwetsbaarheid van MD5-certificaten was reden tot alarm. Uit eigen onderzoek van 466 provincie, gemeente en departement websites, werd in 163 gevallen een SSL-certificaat gevonden, waarvan in 7% het om kwetsbare MD5-certificaten ging. In deze gevallen werden de betrokken overheidsinstanties ingelicht hoe ze naar het veiligere SHA-1 kunnen migreren. Het ging in het geval van de kwetsbare certificaten vooral om externe diensten.
Mobiele platformen
GOVCERT had ook goed nieuws te melden. Zo nemen steeds meer fabrikanten beveiliging in hun ontwikkelproces op. Daarbij noemde De Jong Microsoft als een goed voorbeeld. Toch staat de beveiliging van software nog steeds in de kinderschoenen, getuige het aantal advisories dat naar deelnemers verstuurd werd. Ging het in 2007 nog om zo'n 350 waarschuwingen, vorig jaar werd de 400 gepasseerd. Het aantal updates daalde echter. In het geval van mobiele telefoons kan het updaten een probleem zijn en hebben gebruikers daar minder controle over dan bij een computer, ging De Jong verder. Het Trendrapport adviseert dan ook om software automatisch te laten updaten. "Automatisch updaten zorgt voor minder kwetsbare software. Dit geldt voor traditionele besturingssystemen en zeker ook voor mobiele platformen."
GOVCERT zag vorig jaar een verschuiving van aanvallen op het besturingssysteem naar applicaties op het web. Deze dreiging gecombineerd met de onveiligheid van programma's en het moeilijk updaten van mobiele telefoons, is dan ook een "match made in heaven". De Jong verwacht dan ook meer aanvallen op mobiele platformen.
Gerichte aanvallen
Doelbewuste aanvallen, waarbij aanvallers veel tijd steken in het op maat maken van e-mails en exploits, komen ook in Nederland voor. Van alle 150 incidenten die vorig jaar door deelnemers bij GOVCERT werden gemeld, ging het in drie procent van de gevallen om een gerichte aanval. In deze gevallen wordt de informatie met andere deelnemers gedeeld en waar nodig de AIVD ingeschakeld. Ook in het geval van de GhostNet aanvallen zijn er in Nederland slachtoffers gemaakt. Net als met de gerichte aanvallen op de overheidsinstanties wilde men niet zeggen om wie het precies gaat. Deze week werd bekend dat in sommige landen Ghostnet nog steeds actief is, omdat de getroffen partijen niet waren ingelicht. Het gaat hier niet om Nederland. GOVCERT werd meteen door het Canadese CERT over de aanvallen ingelicht, zo laat De Jong weten.
De 17 koppen tellende organisatie houdt zich vooral bezig met het adviseren en vastleggen van ontwikkelingen. Zo adviseert het deelnemers over het gebruik van sociale netwerken, maar ook dat het niet verstandig is om Gmail en Google Docs te gebruiken voor het uitwisselen en opslaan van vertrouwelijke documenten. Meer dan adviseren kan GOVCERT niet doen. Het kan ambtenaren niet verplichten om geen Gmail meer te gebruiken of het gebruik van DNSSEC afdwingen. "Dat is de verantwoordelijkheid van de betreffende partijen." Die sturende kracht is ook iets dat niet in het "takenpakket" van de organisatie is opgenomen. Het ambieert wel een bredere doelgroep, waarbij het zich niet alleen op de overheid richt, maar ook op het bedrijfsleven. In juli start er een Postbus-51 campagne van het Ministerie van Justitie, waarbij GOVCERT de input voor de spotjes over internetveiligheid leverde. Veel details kon men nog niet geven, maar het zou technischer en breder zijn dan de 3x Kloppen campagne van de banken.
Deze posting is gelocked. Reageren is niet meer mogelijk.