Security Professionals
- ipfw add deny all from eindgebruikers to any
Verdrietig over PKIoverheid
Zucht. Op http://www.diginotar.nl/Aanvragen/Lopendeprojecten/MinisterievanJustitie/tabid/340/Default.aspx zie ik een link naar http://www.justid.nl/organisatie/producten/JEP/index.aspx en dacht, laat ik die eens volgen.
Op http://www.justid.nl/organisatie/producten/JEP/index.aspx ziet ik: onder meer:
Helaas, als ik in de handleiding voor de installatie van JEP voor Windows kijk (http://www.justid.nl/images/Installatie-JEP-Windows-20110803-v1.2_tcm54-313803.pdf) zie ik op pagina 3:
Daarna zie ik bij stap 1:
De handleiding gaat verder. Bij stap 10 zie ik een plaatje van de bekende waarschuwingsbox "Bestand openen - Beveiligingswaarschuwing - onbekende uitgever". De handleiding vermeldt daarbij: "Indien het volgende scherm verschijnt, klikt u op Uitvoeren". Uit de plaatjes daaronder blijkt dat software, waaronder drivers, worden geïnstalleerd.
Dus PKIoverheid vraagt justitiemedewerkers om, ingelogd als Administrator op de PC, in te loggen op een website gebruikmakend van een niet door SSL/TLS beveiligde en geauthenticeerde verbinding, en van diezelfde site software te downloaden die niet digitaal is ondertekend en deze te installeren, zodat "uitsluitend daartoe geautoriseerde personen, via internet, de aan hen toegewezen webapplicaties op het Justitienet kunnen benaderen". Ik begrijp er niets meer van.
Op http://www.justid.nl/organisatie/producten/JEP/index.aspx ziet ik: onder meer:
Justitie Extranet Portal (JEP) is een beveiligde toegangspoort die ervoor zorgt dat uitsluitend daartoe geautoriseerde personen, via internet, de aan hen toegewezen webapplicaties op het Justitienet kunnen benaderen.
Dat is handig voor telewerken, (een volledige werkplek op afstand). Tijd en plaats onafhankelijk, waar ook ter wereld.
Daaronder staan verwijzingen naar handleidingen die je kunt downloaden voor Windows, Mac en Ubuntu (op zich heel netjes!).Dat is handig voor telewerken, (een volledige werkplek op afstand). Tijd en plaats onafhankelijk, waar ook ter wereld.
Helaas, als ik in de handleiding voor de installatie van JEP voor Windows kijk (http://www.justid.nl/images/Installatie-JEP-Windows-20110803-v1.2_tcm54-313803.pdf) zie ik op pagina 3:
Om de software, zoals genoemd in deze handleiding, te kunnen installeren, heeft u beheerrechten (administrator) nodig op uw computer.
Okay, dat is wel vaker zo (maar je kunt er natuurlijk je bedenking bij hebben of het goed is dat justitiemedewerkers voor werk gebruik maken van privé computers waar ze verder weet-ik-wat mee doen).Daarna zie ik bij stap 1:
Start uw browser en ga naar
http://www.justid.nl/pkioverheid
Vul hier de gebruikersnaam en wachtwoord in die in de JEP Snelstart handleiding worden vermeld.
WAT? Inloggen op een site van PKIoverheid moet je via http doen? Mag dit ook op een publiek draadloos netwerk op een station/vliegveld? Okay, het is zo dat als je http://www.justid.nl/pkioverheid opent, je automatisch wordt doorgestuurd naar https://www.justid.nl/pkioverheid, maar dat (doorsturen) gebeurt natuurlijk niet als er een aanvaller tussenzit!http://www.justid.nl/pkioverheid
Vul hier de gebruikersnaam en wachtwoord in die in de JEP Snelstart handleiding worden vermeld.
De handleiding gaat verder. Bij stap 10 zie ik een plaatje van de bekende waarschuwingsbox "Bestand openen - Beveiligingswaarschuwing - onbekende uitgever". De handleiding vermeldt daarbij: "Indien het volgende scherm verschijnt, klikt u op Uitvoeren". Uit de plaatjes daaronder blijkt dat software, waaronder drivers, worden geïnstalleerd.
Dus PKIoverheid vraagt justitiemedewerkers om, ingelogd als Administrator op de PC, in te loggen op een website gebruikmakend van een niet door SSL/TLS beveiligde en geauthenticeerde verbinding, en van diezelfde site software te downloaden die niet digitaal is ondertekend en deze te installeren, zodat "uitsluitend daartoe geautoriseerde personen, via internet, de aan hen toegewezen webapplicaties op het Justitienet kunnen benaderen". Ik begrijp er niets meer van.
Reacties (9)
05-09-2011, 00:25 door
Bitwiper
En waarom is SSL/TLS zo essentieel? Omdat DNS veel te gemakkelijk om zeep te helpen is.
Zo resolven op dit moment bij mij zowel "www.theregister.co.uk" als "ups.com" als "nationalgeographic.com " in 68.68.20.116, en dat is echt niet hun IP adres. Meer info: http://isc.sans.org/diary/Several+Sites+Defaced/11503 en http://zone-h.org/archive/notifier=turkguvenligi.info
Zo resolven op dit moment bij mij zowel "www.theregister.co.uk" als "ups.com" als "nationalgeographic.com " in 68.68.20.116, en dat is echt niet hun IP adres. Meer info: http://isc.sans.org/diary/Several+Sites+Defaced/11503 en http://zone-h.org/archive/notifier=turkguvenligi.info
05-09-2011, 08:19 door
sjonniev
Het wordt nog vervelender wanneer de CSPs en de beheerders van DNSSEC dezelfden zijn...
05-09-2011, 11:20 door
[Account Verwijderd]
[Verwijderd]
Was het je trouwens al opgevallen dat de login-pagina https://www.justid.nl/login.aspx?ReturnUrl=https://www.justid.nl/organisatie/producten/pkioverheid/index.aspx de volledige url laat specificeren waarnaar je wordt doorgestuurd? Lijkt me ook leuk voor phishers :-)
0101
Door Peter V: Als de meest basale vorm van beveiliging achterwege blijft, dan wordt het tijd om dit uit overheidshanden te gaan halen.
Dit slaat nergens op. Het was juist niet in overheidshanden, maar in handen van een commercieel bedrijf die een heel andere doelstelling heeft dan de belangen van de klanten te behartigen.
05-09-2011, 14:13 door
Ed_Emmer
Afgezien van een userID en pwd heb je ook nog een smartcard nodig. Dus zo simpel kom je niet binnen. (deze cerrtificaten zijn niet uitgegeven door DigiNotar, maar door Getronics)
05-09-2011, 20:11 door
Bitwiper
Door Anoniem (2011-09-05 12:02): Was het je trouwens al opgevallen dat de login-pagina https://www.justid.nl/login.aspx?ReturnUrl=https://www.justid.nl/organisatie/producten/pkioverheid/index.aspx de volledige url laat specificeren waarnaar je wordt doorgestuurd? Lijkt me ook leuk voor phishers :-)
Oops. Nee, zo ver heb ik niet gezocht...0101
Door Ed_Emmer: Afgezien van een userID en pwd heb je ook nog een smartcard nodig. Dus zo simpel kom je niet binnen. (deze cerrtificaten zijn niet uitgegeven door DigiNotar, maar door Getronics)
Mijn eerste zorg is niet dat aanvallers met verkregen logongegevens meteen op justitiesites kunnen inloggen. Het gaat bij mijn pleidooi juist niet om certificaten (en eventuele 2FA devices), maar om het potentiële gebrek daaraan.Mijn bezwaar is dat justitiemedewerkers wordt gevraagd als admin een verbinding met een website via http te openen, daar in te loggen, software te downloaden en te installeren, en daarbij beveiligingswaarschuwingen in de wind te slaan (zie de onderste alinea van de 1e bijdrage in deze thread).
Je kunt zo niet uitsluiten dat justitiemedewerkers t.g.v. een DNS (of phishing-) aanval (targeted attack) naar een website worden gestuurd die lijkt op http://www.justid.nl/pkioverheid, daar hun username en wachtwoord invoeren en vervolgens malware downloaden en installeren (daar komt dan geen enkel certificaat of smartcard aan te pas). De melding vanuit de geïnstalleerde malware "Er is iets fout gegaan, probeer het nog eens: log in op https://www.justid.nl/pkioverheid, download de software en installeer deze nogmaals" ligt vervolgens voor de hand. N.b. via malware kunnen aanvallers in principe wel "meekijken" zodra de justitiemedewerker op een verder streng beveiligde justitie site is ingelogd.
Ik had in die handleiding willen lezen: voer uw justitie wachtwoord(en) uitsluitend in op justitie websites waarvan u de authenticiteit hebt vastgesteld (met uitleg hoe) en installeer nooit software op uw computer waarvan u de authenticiteit en integriteit niet kunt vaststellen (met eveneens uitleg waar op te letten). Dan is er pas sprake van PKI en certificaten en leer je gebruikers (hopelijk) daar goed op te letten.
Gelukkig is er 1 gezamelijke username en wachtwoord en staat alle benodigde software in een onbeveiligde diretory...
19-06-2013, 16:42 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
