Privacy - Wat niemand over je mag weten

checkjeschoolgebouw.nl ?!

22-09-2014, 21:21 door Anoniem, 15 reacties
Gezien in 8 uur journaal van vanavond: checkjeschoolgebouw.nl

De site is eerst onbereikbaar, maar later lukt het me wel om verbinding te krijgen - via http. Je kunt de site niet via https benaderen, wel kun je foto's uploaden (met het verzoek geen herkenbare personen in beeld te brengen, maar welke onnozele onbenul let daarop) en bij stap 2 wordt om je e-mail adres gevraagd.

Naar deze site wordt inderdaad verwezen door http://www.rekenkamer.nl/Nieuws/Nieuwsberichten/2014/09/Geef_je_mening_over_je_schoolgebouw_op_www_checkjeschoolgebouw_nl. Die Rekenkamer site herken ik overigens niet meteen als een NL overheidswebsite, de bekende blauwe streep met kroontje middenboven ontbreekt).

Ik vind het de Rekenkamer onwaardig om enquetes via andere dan https sites uit te laten voeren.

Er zijn nu 60 ingezonden foto's die je kunt bekijken. Erg handig ook voor inbrekers om, zonder een school binnen te gaan, te kijken wat er zoal te halen valt, bijv. aan moderne ICT middelen.

Technische details:

nslookup www.checkjeschoogebouw.nl
Name: checkjeschoolgebouw.nl
Address: 95.85.22.224
Aliases: www.checkjeschoolgebouw.nl

inetnum: 95.85.16.0 - 95.85.23.255
netname: DIGITALOCEAN-AMS-4
descr: Digital Ocean, Inc.
country: NL
admin-c: BU332-RIPE

Volgens http://www.plotip.com/ip/95.85.22 bevindt deze server zich in Kostroma, Russian Federation, maar of dit klopt betwijfel ik; toen was het IP-adres nog van "LLC Sirius", nu van "Digital Ocean".

Tracing route to 95.85.22.224 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms mijn lokale IP
2 31 ms 56 ms 32 ms IP van mijn ISP
3 30 ms 31 ms 30 ms IP van mijn ISP
4 31 ms 31 ms 31 ms IP van mijn ISP (Amsterdam)
5 31 ms 30 ms 31 ms 77.67.74.209 Tiscali
6 31 ms 31 ms 31 ms 89.149.186.241 Tiscali
7 75 ms 30 ms 31 ms 195.219.194.89 Tata
8 31 ms 31 ms 35 ms 195.219.194.26 Tata
9 31 ms 32 ms 31 ms 95.85.0.238 Digital Ocean
10 32 ms 31 ms 31 ms 95.85.22.224 Digital Ocean

Waar de server staat weet ik hierdoor nog niet, maar het lijkt erop dat dit niet in Nederland is.

Er lijkt geen sprake van shared hosting, want een reverse lookup (nslookup 95.85.22.224) levert op: s1.checkjeschoolgebouw.nl. http://s1.checkjeschoolgebouw.nl/ geeft een lege pagina.
https://95.85.22.224/ werkt niet, vaak vind je daar een admin panel.

Maak ik mij overdreven zorgen? Weet iemand meer?
Reacties (15)
23-09-2014, 10:05 door Anoniem
SIDN:


Domeinnaam
checkjeschoolgebouw.nl

Status
actief

Houder
Dienst Publiek en Communicatie

Administratieve contactpersoon
domeinnaam@minaz.nl

Registrar
Dienst Publiek en Communicatie
Buitenhof 34
2513AH Den Haag
Nederland

Technische contactpersonen
domeinnaam@minaz.nl

DNSSEC
nee

Domeinnaamservers
ns2.isource.nl


ns1.isource.nl

Datum registratie
2014-04-11

Administratie door
NL Domain Registry


Seems legit. Waar die site dan precies draait, en of het wel en goed idee is is een andere vraag.
23-09-2014, 11:17 door Anoniem
Door Anoniem:
Ik vind het de Rekenkamer onwaardig om enquetes via andere dan https sites uit te laten voeren.

Er zijn nu 60 ingezonden foto's die je kunt bekijken. Erg handig ook voor inbrekers om, zonder een school binnen te gaan, te kijken wat er zoal te halen valt, bijv. aan moderne ICT middelen.

En wat gaat https daar aan verbeteren? Helemaal niks, toch?
Je moet niet een lijstje van hippe termen maken en daarmee sites afchecken om te kijken of ze het wel hebben.
Als je op een site openlijk spullen kunt neerzetten die iedereen kan zien, dan dient https geen enkel doel.
23-09-2014, 11:42 door Anoniem
Waarom denk je dat de Rekenkamer niet achter deze site staat, omdat het IP naar Rusland verwijst, terwijl dit oude gegevens zijn?

Eerst: http://www.rijksoverheid.nl/adres/a/algemene-rekenkamer.html
Hier zie je dat de website van de rekenkamer www.rekenkamer.nl is. Zoals jij linkt naar dat nieuwsbericht.
Zij linken weer verder. Waarom er geen blauw rijksoverheid logo te zien is? Volgens mij zijn ze geen kerntak van de Rijksoverheid, dus krijgen ze niet zo'n banner. Net zoals http://www.eerstekamer.nl/home
Daarnaast is een banner natuurlijk makkelijk na te maken en zou je daar geen waarde aan moeten hechten.

Het IP verwijst in meerdere geotracking tools naar Amsterdam. Daarnaast komt de route naar de server niet in de buurt van Rusland, ook de ping blijft zeer laag, in de praktijk dus haast onmogelijk dat dit in Rusland wordt gehost.

Als we naar de source code kijken van de website zien we dan yume.nl de ontwikkelaar is. Dit webdesign bureau heeft meerdere semi-overheid klanten.

Alles wijst er op dat dit gewoon legitiem is. En ja, we kunnen discussiëren of ze HTTPS moeten gebruiken, maar enkel de aanname doen dat het niet klopt, omdat ze geen HTTPS gebruiken en omdat het IP ooit is gebruikt in Rusland, gaat mij een beetje ver.
23-09-2014, 12:27 door Anoniem
Door Anoniem: En wat gaat https daar aan verbeteren? Helemaal niks, toch?
(1) Het barst op het internet van fake sites die graag zoveel mogelijk gegevens van je verzamelen. Helaas hebben we in NL niet een DNS systeem als .gov.nl waaruit meteen al zou blijken dat het om een overheidssite gaat (DNSSEC zou dan zeker helpen, maar zoals Anoniem van 10:05 aangeeft wordt dat niet ondersteund).
Als https gebruikt wordt en uit het certificaat kan worden herleid dat het om een overheidssite gaat (een PKI overheid certificaat bijvoorbeeld), geeft dat verstandige gebruikers meer zekerheid waar ze gegevens achterlaten, waaronder hun e-mail adres, maar ook foto's (die kennelijk worden gescreend door de ontvangende partij en selectief worden geplaatst). Lang niet elke bezoeker zal het certificaat checken, maar alleen al het feit dat zo'n site een certificaat heeft betekent dat deze lastiger door criminelen is na te maken. En vaak zijn er alerte nerds (zoals ik) die kijken of het allemaal klopt en op sites als security.nl vragen stellen als ze twijfelen en/of zich zorgen maken. En als het echt niet deugt, bereikt dat de grotere media vervolgens heus wel.

(2) We hebben in NL op heel veel plaatsen public WiFi hotspots en zeker bij leerlingen met kleine internetbundels moet je ervan uitgaan dat zij daar gebruik van maken. Een e-mail adres is tot een persoon herleidbare informatie en zou m.i. uitsluitend mogen worden verzonden als duidelijk is wie de ontvanger is en dit met fatsoenlijke versleuteling gebeurt.

De regel zou moeten zijn dat je uitsluitend vertrouwelijke en/of privacygevoelige informatie verstrekt aan een site waarvan duidelijk is wie erachter zit en dit alleen doet als je zeker weet (kunt zien) dat de gegevens fatsoenlijk versleuteld worden verzonden. Pas als dat de norm is kun je gebruikers zo opvoeden dat ze hierop moeten letten. Triest dat onze overheid, hier notabene een organisatie die de overheid controleert, dit soort "best current practices" aan de laars lapt terwijl de "groten" als Google e.d. dit allang hebben ingezien.

Oh ja, of "het was op het journaal, dan zal het wel goed zijn" mag je zelf beoordelen. In datzelfde journaal werd verteld dat Apple een groot datacenter in de Eemshaven gaat bouwen (de nieuwslezeres versprak zich zelfs een keer en zei "appel").

TS
23-09-2014, 12:45 door Anoniem
Volgens http://www.plotip.com/ip/95.85.22 bevindt deze server zich in Kostroma, Russian Federation, maar of dit klopt betwijfel ik; toen was het IP-adres nog van "LLC Sirius", nu van "Digital Ocean".

Indien je in de whois informatie kijkt, dan zie je dat het IP zich bevindt in NL. Met een traceroute zie je dat je gaat via de "Verio NL amsterdam facility", welke gevestigd is in het Telecity DC in Amsterdam, waarna je bij de host uitkomt.

TraceRoute from Network-Tools.com to 95.85.22.224 [s1.checkjeschoolgebouw.nl]
Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 206.123.64.46 -
2 2 0 0 129.250.202.253 xe-0-4-0-12.r01.dllstx04.us.bb.gin.ntt.net
3 37 29 28 129.250.2.10 ae-1.r20.dllstx09.us.bb.gin.ntt.net
4 38 36 36 129.250.3.50 ae-3.r20.asbnva02.us.bb.gin.ntt.net
5 35 Timed out 45 129.250.4.5 ae-0.r21.asbnva02.us.bb.gin.ntt.net
6 121 126 121 129.250.2.145 ae-2.r23.amstnl02.nl.bb.gin.ntt.net
7 126 130 124 129.250.2.147 ae-1.r03.amstnl02.nl.bb.gin.ntt.net
8 155 127 122 83.231.213.2 -
--> Verio NTT (Telecity DC Amsterdam)
9 131 126 127 95.85.0.242 -
10 137 138 136 95.85.22.224 s1.checkjeschoolgebouw.nl

[Bij de traceroute boven liep de verbinding via de Tata infra, eveneens in Amsterdam]

Waar de server staat weet ik hierdoor nog niet, maar het lijkt erop dat dit niet in Nederland is.

Een rare redering. Zowel jouw traceroute, als de mijne, laten duidelijk zien dat de host in Amsterdam staat. Hieronder een stukje van DigitalOcean zelf, m.b.t. hun hosting in het Telecity DC A'dam.

DigitalOcean Announces Second Amsterdam Datacenter (AMS2)
https://www.digitalocean.com/company/blog/digitalocean-announces-second-amsterdam-datacenter-ams2/

De site is eerst onbereikbaar, maar later lukt het me wel om verbinding te krijgen - via http. Je kunt de site niet via https benaderen

Welk risico denk je te lopen, bij het invullen van deze enquete ? Welke relevantie zou het hier hebben om HTTPS te gebruiken ?

Maak ik mij overdreven zorgen? Weet iemand meer?

Leg eens uit waar je je uberhaupt zorgen over maakt, want dat is niet geheel duidelijk. Je hebt uitgevonden dat een website bij een enquete, waarbij geen gevoelige informatie wordt gevraagd, HTTP gebruikt, en dat deze gehost wordt bij Digital Ocean ?
23-09-2014, 12:57 door Anoniem
Het gaat TS niet om het lezen via https maar om het sturen via https.
En daar heeft TS een punt.
Wanneer ik mee wil werken aan het onderzoek kan ik mijn persoonsgegevens achterlaten via verschillende invulvelden op een formulier. Echter wordt de formulier geheel over http afgewerkt. En dan snap ik dat TS daar een punt van maakt.
Het is niet meer van deze tijd om webformulieren via http af te werken. Zeker niet waar het gaat om een (semi)overheidsdienst.
23-09-2014, 13:00 door Anoniem
Correctie op mijn laatste bijdrage: dat van Apple was niet in het journaal van 20:00 (zie http://nos.nl/uitzendingen/21473-nos-journaal-22-september-2014-2000u.html). Mogelijk in het daaropvolgende journaal van ca. 00:00, maar dat kan ik niet terugvinden. Ik dacht dat NOS Google en Apple door elkaar haalde, maar verschillende media melden vandaag dat ook Apple zou een datacenter bij de Eemshaven zou willen bouwen.

TS
23-09-2014, 13:47 door Anoniem
Anoniem van 12:57 heeft mij begrepen. Ter verduidelijking voor de anderen: aan landgenoten wordt gevraagd een niet-anonieme enquete in te vullen op een site waarvan ik (en ik denk dat ik meer van ICT weet dan een doorsnee medelander) niet kan vaststellen van wie deze site is. Om meer zekerheid te krijgen heb ik geprobeerd uit te vinden waar de server staat, dat is mij niet gelukt (de eerste Google zoekopdracht leidde naar Rusland en daarom heb ik verder gezocht). Dank aan anoniem van 12:45 die daar beter in lijkt te zijn.

Door Anoniem 11:42: Eerst: http://www.rijksoverheid.nl/adres/a/algemene-rekenkamer.html
Hier zie je dat de website van de rekenkamer www.rekenkamer.nl is. Zoals jij linkt naar dat nieuwsbericht.
Zij linken weer verder. Waarom er geen blauw rijksoverheid logo te zien is? Volgens mij zijn ze geen kerntak van de Rijksoverheid, dus krijgen ze niet zo'n banner. Net zoals http://www.eerstekamer.nl/home
Daarnaast is een banner natuurlijk makkelijk na te maken en zou je daar geen waarde aan moeten hechten.
Inderdaad. Daar zijn digitale certificaten voor uitgevonden. Waarom is die site niet via https te bereiken?

Kortom: hoe stel je, als gemiddelde eindgebruiker, vast of een website legitiem is, voordat je er informatie naar toestuurt?

TS
23-09-2014, 16:31 door Eric-Jan H te D - Bijgewerkt: 23-09-2014, 16:33
Door Anoniem: Ik vind het de Rekenkamer onwaardig om enquetes via andere dan https sites uit te laten voeren.

Om 20:32 hadden ze al de volgende E-mail van mij op de mat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
to: checkjeschoolgebouw@rekenkamer.nl
date: 22 September 2014 20:32

Heeft het geachte College van Staat overwogen om voor het
invullen van de vragenlijst een versleutelde verbinding te
gebruiken om de privacy van de invullers echt te beschermen.

Zo niet wilt U dan zo vriendelijk zijn mij op de hoogte te stellen
van die beweegreden. Ik kan mij in voorkomende gevallen ten
overstaan van het CBP dan van dezelfde redenen bedienen.

Hoogachtend,
Eric-Jan H......,
A............
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Nog geen reactie gehad!
23-09-2014, 16:59 door Anoniem
Door Anoniem: En wat gaat https daar aan verbeteren? Helemaal niks, toch?
Je moet niet een lijstje van hippe termen maken en daarmee sites afchecken om te kijken of ze het wel hebben.
Als je op een site openlijk spullen kunt neerzetten die iedereen kan zien, dan dient https geen enkel doel.
Ho even, ik duw een kaartje ook altijd in een enveloppe, ondanks dat daar nooit iets persoonlijks op staat.

Security gaat verder dan 1+1=2
23-09-2014, 17:32 door [Account Verwijderd]
[Verwijderd]
23-09-2014, 17:58 door Anoniem
Mijn oproep lijkt succes te hebben, want https://checkjeschoolgebouw.nl/ werkt nu. Het certificaat is vandaag uitgegeven. Helaas Comodo domain control validated, dus heel veel zegt dat niet, maar het is wel een stap in de goede richting!

Er vindt nog geen automatische redirect plaats naar https vanuit http://checkjeschoolgebouw.nl/, maar wie weet volgt dat ook binnenkort.

Natuurlijk zijn ook alle links ernaar, o.a. vanuit de Rekenkamer site, nog steeds http, bijv. in http://www.rekenkamer.nl/Nieuws/Werkprogramma/Lopend_onderzoek/2015/Kwaliteit_onderwijshuisvesting_in_het_primair_en_voortgezet_onderwijs/Posters_Check_je_schoolgebouw (de Rekenkamer-pagina waar mijn 1e bijdrage naar verwijst bevat geen clickable link).

Als de redacteuren van de Rekenkamer site nou eens een cursus security awareness zouden volgen waarin wordt uitgelegd waarom je, als remote sites https ondersteunen, je ook zoveel mogelijk https URL's moet publiceren, kunnen ze meteen ook de volgende links aanpassen:

@Rekenkamer is nu http://twitter.com/rekenkamer, moet zijn https://twitter.com/rekenkamer

www.facebook.com/rekenkamer is nu http://www.facebook.com/rekenkamer, moet zijn https://www.facebook.com/rekenkamer
23-09-2014, 19:22 door Anoniem
In aanvulling op mijn vorige post (waarin ik schrijf dat https nu werkt en vergat met TS af te sluiten): dank aan Eric-Jan H te A voor het schrijven van de mail!

Wie uiteindelijk de doorslag heeft gegeven om naar https over te gaan weet ik niet, maar ik hoop dat dit een eerste stap is naar bewustwording bij de overheid dat van al hun sites (ook de "read only" exemplaren) zo duidelijk mogelijk moet zijn wie er verantwoordelijk is voor de inhoud.

De automatische redirect van http naar https lijkt nu (19:20) ook te werken. De ondersteuning van SSL/TLS door checkjeschoolgebouw.nl kan wel beter, want van https://www.ssllabs.com/ssltest krijgen ze maar een B onder andere omdat ze nog de (al heel lang geleden gekraakte) 56bit DES cipher ondersteunen (naast 3DES die nog wel acceptabel geacht wordt).

Toch vind ik het knap dat ze SSL/TLS in 1 dag aan de praat gekregen hebben, want er wordt door de webbrowser ook met statistiek.rekenkamer.nl en mapbox.com gebabbeld en dat moet natuurlijk ook maar allemaal via https kunnen.

TS
23-09-2014, 21:29 door Eric-Jan H te D - Bijgewerkt: 23-09-2014, 21:33
Klagen helpt wel degelijk.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
from: CheckjeSchoolGebouw <CheckjeSchoolGebouw@rekenkamer.nl>
to: Eric-Jan H......... <............@gmail.com>
date: 23 September 2014 20:58
subject: RE: Privacy en https
mailed-by: rekenkamer.nl
Geachte heer H........

Ik had uw vraag doorgezet naar onze techneuten. Inmiddels heeft uw vraag aanleiding
gegeven https aan te zetten (als ik het zo goed uitdruk). Dank voor uw opmerkzaamheid.

vriendelijke groet,

J.. B......

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
23-09-2014, 21:46 door Eric-Jan H te D
to: CheckjeSchoolGebouw <CheckjeSchoolGebouw@rekenkamer.nl>
date: 23 September 2014 21:45

Geachte mevrouw B........,

petje af voor de snelle reactie en actie.

Voor de toekomst hoop ik dat De Rekenkamer bij dit soort acties
meteen zorgvuldiger te werk gaat. Want zoals u misschien ter ore
is gekomen, staat de Staat er niet zo goed op wanneer het om
automatisering gaat. En dit soort beginnersfouten helpen niet om
dit imago te verbeteren.

Onderstaande link bevat een discussie omtrent dit onderwerp.Ik
raad u aan dit ook aan uw IT-ers door te geven omdat er gesproken
wordt over enkele tekortkomingen die er door de wijziging naar
https zijn ontstaan.

Met vriendelijke groet,
Eric-Jan H........,
A..............
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.