"Overheidssites onveilig door ontbreken HTTPS"
Verschillende websites van de overheid gebruiken geen SSL-certificaat voor het versturen van informatie die burgers invoeren, zo laat een aanbieder van SSL-certificaten weten. Volgens Networking4all zijn de sites daarom onveilig te noemen en bieden die criminelen ruimschoots de gelegenheid zonder problemen (persoons)gegevens van Nederlanders te pakken te krijgen. Van de 684 onderzochte websites gebruikten er 570 geen SSL-certificaat. "In het slechtste geval kan een crimineel de complete identiteit van een persoon overnemen. Met alle vreselijke gevolgen van dien. Gevolgen die veel verder gaan dan alleen creditcardfraude."
"Het is schrijnend dat er een dure campagne wordt gelanceerd waarin met het belerende vingertje ons wordt verteld hoe we veilig moeten internetten, terwijl dezelfde overheid websites heeft waar alles vanaf kan worden geplukt, waaronder ook onze persoonsgegevens", zegt technisch directeur Paul van Brouwershaven.
"Bij organisaties die hun website veilig hebben gemaakt, juist in het belang van de consument, komt deze campagne over als 'de bel horen luiden, maar niet weten waar de klepel hangt' en dan druk ik me erg diplomatiek uit", aldus Van Brouwershaven. "Wat nog verbazingwekkender is, is het gegeven dat de overheid niet haar eigen verantwoordelijkheid neemt om zorg te dragen voor veiligheid op het web. Ze hebben de wettelijke verplichting én mogelijkheden de burger die veiligheid te garanderen. Dit laten ze echter gewoon na. Al jaren!"
Onderschat
Veel mensen die via een bekabeld netwerk surfen denken dat dit probleem ze niet treft, zo laat Van Brouwershaven aan Security.nl weten. "Het is niet alleen een probleem dat draadloze netwerken treft." De informatie van Nederlandse websites wordt via maximaal 3 tot 10 hops verstuurd. Op deze hops kan een aanvaller een tap zetten om de gegevens te onderscheppen. Daarbij gaat het niet alleen om lekke routers en switches, ook frauduleuze werknemers vormen in dit geval een risico, gaat de technisch directeur verder. Een ander voordeel voor potentiële dieven is dat alle data al netjes gecategoriseerd is.
Hij noemt het dan ook een ernstig probleem dat in potentie zeer verstrekkende gevolgen kan hebben. "Het laat zien hoe de overheid hiermee bezig is. Ze geven honderdduizenden uit aan het beveiligen van de overheid, maar de basis hebben ze niet goed. Het aanschaffen van SSL-certificaten verhelpt dit probleem en kost de overheid slechts een paar duizend euro." Hoewel gevallen van identiteitsdiefstal in Nederland onbekend zijn, wil dat niet zeggen dat het niet voorkomt. Dat zelfde geldt voor de infrastructuur die voor het versturen van de informatie wordt gebruikt. "Je kunt niet op een ander vertrouwen", zo besluit Van Brouwershaven.
Update 14:05
Volgens Joost Pol van Certified Secure zijn SSL-certificaten belangrijk, maar wordt het geschetste gevaar dat vanwege het ontbreken van een certificaat eenvoudig vertrouwelijke gegevens te bemachtigen zijn, ernstig overdreven. "Het installeren van een SSL-certificaat is geen enkele garantie dat criminelen er niet met je gegevens vandoor gaan." Het grootste gevaar schuilt in fouten in de applicatie zelf, kwetsbaarheden als SQL-injectie en cross-site scripting zijn nog altijd dé achilleshiel van de meest websites.
Pol vindt het jammer dat de media zich in dit geval niet kritischer heeft opgesteld en van een mug een olifant maakt. "Waarom zou je moeilijk doen door netwerkverkeer te onderscheppen, als je ook via één eenvoudig commando een hele database kunt leeghalen." Certified Secure adviseert bedrijven en overheidsinstanties vooral in de beveiliging van de webapplicatie zelf te investeren. Pol raadt verder iedereen aan de gratis webapplication scan checklist te downloaden, in plaats van geld te investeren in een vals gevoel van veiligheid.
Als het niet encrypted is kun je de site aanpassen???
Btw: bij de ssl check van meneer wordt niet eens gekeken naar de hash van de bovenliggende CA (zou wel grappig zijn als meneer zelf ook nog certificaten zou laten uitgeven onder MD5 CA's)
Het is een geautomatiseerde scan waarbij geen additioneel onderzoek naar de targets is uitgevoerd. En dat door een verkoper van SSL certificaten die zelf niet eens durft aan te geven dat bepaalde "nieuwe" features, zoals Extended Verification, eigenlijk al vanaf het begin van certificaten meegenomen had moeten worden, maar waarschijnlijk was de marketingafdeling het daar niet mee eens (als we het later introduceren dan levert het meer op).
Als we dan toch al de populatie moeten gaan voorlichten (die blijven waarschijnlijk toch willekeurig op OK drukken en hebben lak aan al dan niet gesloten slotjes of groen gekleurde URL balkjes) laten we het dan eens doen met een stukje gedegen onderzoek en niet allerlei ongefundeerde stellingen uitbraken zoals hier en elders zo treffend wordt weergegeven...
Tevens als er niet wordt uitgegeven met een MD5 signature is er niets aan de hand.
Hmmm, noem mij een security realist, maar door het ontbreken van SSL heeft een crimineel echt niet 1,2,3 persoonsgegevens van burgers in handen. Toegegeven: door misbruik te maken van kwetsbaarheden in protocollen als BGP en DNS (of onveilige WIFI verbindingen) ontstaan er mogelijkheden om verkeer te onderscheppen. En onversleuteld verkeer is daardoor niet verstandig. Maar zou iemand die het verkeer kan herrouteren ook niet weer een nieuwe onversleutelde pagina kunnen maken om daar vervolgens de gegevens af te vangen? Geen burger die daar op let. Om nog maar niet te spreken van direct weggeklikte beveiligingswaarschuwingen van niet gevalideerde SSL certificaten... Daarnaast: zijn er niet veel makkelijker manieren om aan iemands SOFI nummer te komen? Geef een kortingsbon weg voor de Jumbo en iedereen vult op je site alle gegevens in die je nodig hebt...
Ik ben overigens de laatste die het gebruik van SSL zal afraden. Elke extra beveiligingslaag helpt en deze laag is nou niet het moeilijkste toe te voegen. En ik ben ook van mening dat de overheid hier het goede voorbeeld moet geven. Maar dit bericht ruikt wel weer heerlijk naar een stukje promotie voor networking4all. Doemscenario neerzetten en hopen dat de media op je trein springt. Bah.
maar zoals hierboven al vermeld vind ik niet dat dit de naam onderzoek mag dragen, ik vraag me af of een organisatie als networking4all uberhaupt wel weet waar ze mee bezig zijn en wat ze uitkramen. het gedocumenteerde onderzoek kan ik tot nu toe niet vinden, dat zou meer antwoord moeten geven op bepaalde vragen en twijfel omtrent het onderzoek.
1. Twee van de 3 bieden geen SSL aan op de homepage maar wel op de pagina waar je moet inloggen.
2. De derde biedt geen SSL maar daar kan je je abonneren met je e-mailadres. Dus de bewering van sofinummers en persoonsgegevens jatten klopt niet. Alleen een e-mailadres in verband brengen met een abonnement op informatie.
Dit onderzoek heeft me ongeveer 5 minuten gekost in totaal. Had de redactie van security.nl dus ook kunnen doen.
Flutartikel en weer een hoop ruis veroorzaken. Met de inlogpagina's van www.overheid.nl en www.belastingdienst.nl is niets aan de hand. Certificaten zijn nog geldig en ook die van de uitgever.
Totaaloplossingen bestaan nl. niet in securityland.
Blijkbaar is het voor sommigen lastig te behappen dat je website evengoed slecht beveiligd kan zijn met SSL of goed beveiligd zonder SSL.
Zo staat Postbus51.nl ook in het rijtje.
Het enige gevaar wat ik kan ontdekken als je deze website zonder SSL bezoekt, is dat je mailtje via het contactformulier onderschept kan worden.
Voor Ombudsman.nl geldt hetzelfde.
Spuit 11 geeft ook nog even modder hoor!
http://www.networking4all.com/nl/helpdesk/tools/site+check/report/?fqdn=www.networking4all.nl
- Site staat niet vermeld in het certificaat
http://www.networking4all.com/nl/helpdesk/tools/site+check/report/?fqdn=www.networking4all.com
en dat terwijl ze zelf de zooi niet in orde hebben.
http://www.networking4all.com/nl/helpdesk/tools/site+check/report/?fqdn=www.networking4all.nl
- Site staat niet vermeld in het certificaat
Networking4all is net zo lek als de overheid. Liggen nu ook al hun klantgegevens op straat?
http://www.networking4all.com/nl/helpdesk/tools/site+check/report/?fqdn=www.networking4all.nl
- Site staat niet vermeld in het certificaat
Networking4all is net zo lek als de overheid. Liggen nu ook al hun klantgegevens op straat?
Waarom lek..? Als de site niet vermeld staat in het certificaat wordt het verkeer toch gewoon over https verstuurd hoor. Niets mis mee.
http://www.networking4all.com/nl/helpdesk/tools/site+check/report/?fqdn=www.networking4all.nl
- Site staat niet vermeld in het certificaat
Networking4all is net zo lek als de overheid. Liggen nu ook al hun klantgegevens op straat?
Waarom lek..? Als de site niet vermeld staat in het certificaat wordt het verkeer toch gewoon over https verstuurd hoor. Niets mis mee.
Lees goed, er staat "net zo lek".
Maw. 'lek' is hier een toespeling op de stemmingmakerij van deze 'wc eend' jongens die de overheid lek noemen als er geen SSL certificaat op de voorpagina van een site staat (ook dat wc eend is een toespeling, ze zijn natuurlijk niet van wc eend).
Alleen dat al; een .pdf, ja dan heb je verstand van beveiliging..... NOT !!!
You can trust us, we are businessman .... ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
