Kamervragen over gekaapte IP-adressen Buitenlandse Zaken
Dit weekend werd bekend dat IP-adressen van Buitenlandse Zaken vorig jaar enkele dagen door aanvallers gekaapt zijn geweest. Volgens het ministerie zou er geen misbruik met de gekaapte IP-adressen hebben plaatsgevonden. De kaping werd echter door een externe partij en niet door het ministerie zelf ontdekt, wat voor kritiek van verschillende experts zorgde.
Inmiddels heeft PvdA-Kamerlid Oosenbrug verschillende Kamervragen aan minister Koenders van Buitenlandse Zaken en minister Blok voor Wonen en Rijksdienst gesteld. Zo wil ze weten hoe de IP-adressen werden overgenomen en op welke wijze de adressen in deze periode zijn misbruikt. Het ministerie van Buitenlandse Zaken had echter aangegeven dat er geen misbruik heeft plaatsgevonden. Oosenbrug vraagt dan ook hoe dit met zekerheid kan worden gezegd.
"Weet u bijvoorbeeld zeker dat er geen verkeer naar deze adressen is omgeleid, waarbij mensen dachten met de Nederlandse overheid te communiceren en mogelijk informatie is gedeeld?". Verder moeten de ministers laten weten op welke wijze de integriteit van overheidsnetwerken wordt gecontroleerd en gewaarborgd en welke wijzigingen daarin zijn gemaakt naar aanleiding van het incident. De ministers hebben drie wekend de tijd om de vragen te beantwoorden.
Reacties (8)
Doe zelf wat research zodat je begrijpt hoe het werkt in plaats van tijd en geld te verspillen zodat je weer media-aandacht kunt krijgen.
29-07-2015, 13:28 door
Joep Lunaar
Door Anoniem: Doe zelf wat research zodat je begrijpt hoe het werkt in plaats van tijd en geld te verspillen zodat je weer media-aandacht kunt krijgen.
Het is de taak van een parlementslid om de regering te controleren en daarvoor stel je vragen, wat mogelijk meer met verantwoording dan met het vergaren van kennis te maken heeft.Voor zover niet duidelijk: het verwijt aan het kamerlid geld te verspillen is verwend, arrogant en lui gedrag.
29-07-2015, 13:49 door
Erik van Straten
In aanvulling op wat Joep Lunaar schrijft: die media-aandacht kan eraan bijdragen dat meer mensen zich ervan bewust worden dat routering op Internet niet 100% betrouwbaar is.
Regelmatige lezers van security.nl zullen wel weten dat enerzijds DNS redelijk eenvoudig gemanipuleerd kan worden (en dat DNSSEC nog maar mondjesmaat van de grond komt) en dat anderzijds spoofen van IP-adressen bij TCP-verbindingen in de praktijk knap lastig is (tenzij je directe toegang hebt tot zo'n verbinding). Het succesvol kapen van blokken IP-adressen komt echter zelden in het nieuws.
Ook dit is trouwens een goede reden om als overheid (en anderen) over te stappen op verbindingen waarbij de server zich, met acceptabele betrouwbaarheid, authenticeert. Hoewel er veel op aan te merken valt, bieden digitale certificaten enige garantie dat een publieke sleutel (uit een asymmetrisch sleutelpaar) daadwerkelijk toebehoort aan een specifieke organisatie.
En als de bijbehorende private key dan ook uitsluitend op een specifieke server van die organisatie te vinden is, weet je als "klant" redelijk zeker dat je met een server van die organisatie communiceert - namelijk indien er geen certificaatfoutmeldingen optreden. Treden die wel op, dan kun je niet uitsluiten dat je met een andere dan de bedoelde server communiceert, ongeacht of dat komt door manipulatie van DNS, routering en/of MITM (Man-in-the-Middle) aanvallen.
De kans dat "mensen dachten met de Nederlandse overheid te communiceren en mogelijk informatie is gedeeld" (met derden) wordt daarmee een stuk kleiner. Mijn vraag aan de ministers is dan ook: waarom maakt de overheid nog gebruik van ongeauthenticeerde verbindingen?
Regelmatige lezers van security.nl zullen wel weten dat enerzijds DNS redelijk eenvoudig gemanipuleerd kan worden (en dat DNSSEC nog maar mondjesmaat van de grond komt) en dat anderzijds spoofen van IP-adressen bij TCP-verbindingen in de praktijk knap lastig is (tenzij je directe toegang hebt tot zo'n verbinding). Het succesvol kapen van blokken IP-adressen komt echter zelden in het nieuws.
Ook dit is trouwens een goede reden om als overheid (en anderen) over te stappen op verbindingen waarbij de server zich, met acceptabele betrouwbaarheid, authenticeert. Hoewel er veel op aan te merken valt, bieden digitale certificaten enige garantie dat een publieke sleutel (uit een asymmetrisch sleutelpaar) daadwerkelijk toebehoort aan een specifieke organisatie.
En als de bijbehorende private key dan ook uitsluitend op een specifieke server van die organisatie te vinden is, weet je als "klant" redelijk zeker dat je met een server van die organisatie communiceert - namelijk indien er geen certificaatfoutmeldingen optreden. Treden die wel op, dan kun je niet uitsluiten dat je met een andere dan de bedoelde server communiceert, ongeacht of dat komt door manipulatie van DNS, routering en/of MITM (Man-in-the-Middle) aanvallen.
De kans dat "mensen dachten met de Nederlandse overheid te communiceren en mogelijk informatie is gedeeld" (met derden) wordt daarmee een stuk kleiner. Mijn vraag aan de ministers is dan ook: waarom maakt de overheid nog gebruik van ongeauthenticeerde verbindingen?
29-07-2015, 14:13 door
_R0N_
Door Erik van Straten: In aanvulling op wat Joep Lunaar schrijft: die media-aandacht kan eraan bijdragen dat meer mensen zich ervan bewust worden dat routering op Internet niet 100% betrouwbaar is.
Regelmatige lezers van security.nl zullen wel weten dat enerzijds DNS redelijk eenvoudig gemanipuleerd kan worden (en dat DNSSEC nog maar mondjesmaat van de grond komt) en dat anderzijds spoofen van IP-adressen bij TCP-verbindingen in de praktijk knap lastig is (tenzij je directe toegang hebt tot zo'n verbinding). Het succesvol kapen van blokken IP-adressen komt echter zelden in het nieuws.
Ook dit is trouwens een goede reden om als overheid (en anderen) over te stappen op verbindingen waarbij de server zich, met acceptabele betrouwbaarheid, authenticeert. Hoewel er veel op aan te merken valt, bieden digitale certificaten enige garantie dat een publieke sleutel (uit een asymmetrisch sleutelpaar) daadwerkelijk toebehoort aan een specifieke organisatie.
En als de bijbehorende private key dan ook uitsluitend op een specifieke server van die organisatie te vinden is, weet je als "klant" redelijk zeker dat je met een server van die organisatie communiceert - namelijk indien er geen certificaatfoutmeldingen optreden. Treden die wel op, dan kun je niet uitsluiten dat je met een andere dan de bedoelde server communiceert, ongeacht of dat komt door manipulatie van DNS, routering en/of MITM (Man-in-the-Middle) aanvallen.
De kans dat "mensen dachten met de Nederlandse overheid te communiceren en mogelijk informatie is gedeeld" (met derden) wordt daarmee een stuk kleiner. Mijn vraag aan de ministers is dan ook: waarom maakt de overheid nog gebruik van ongeauthenticeerde verbindingen?
Regelmatige lezers van security.nl zullen wel weten dat enerzijds DNS redelijk eenvoudig gemanipuleerd kan worden (en dat DNSSEC nog maar mondjesmaat van de grond komt) en dat anderzijds spoofen van IP-adressen bij TCP-verbindingen in de praktijk knap lastig is (tenzij je directe toegang hebt tot zo'n verbinding). Het succesvol kapen van blokken IP-adressen komt echter zelden in het nieuws.
Ook dit is trouwens een goede reden om als overheid (en anderen) over te stappen op verbindingen waarbij de server zich, met acceptabele betrouwbaarheid, authenticeert. Hoewel er veel op aan te merken valt, bieden digitale certificaten enige garantie dat een publieke sleutel (uit een asymmetrisch sleutelpaar) daadwerkelijk toebehoort aan een specifieke organisatie.
En als de bijbehorende private key dan ook uitsluitend op een specifieke server van die organisatie te vinden is, weet je als "klant" redelijk zeker dat je met een server van die organisatie communiceert - namelijk indien er geen certificaatfoutmeldingen optreden. Treden die wel op, dan kun je niet uitsluiten dat je met een andere dan de bedoelde server communiceert, ongeacht of dat komt door manipulatie van DNS, routering en/of MITM (Man-in-the-Middle) aanvallen.
De kans dat "mensen dachten met de Nederlandse overheid te communiceren en mogelijk informatie is gedeeld" (met derden) wordt daarmee een stuk kleiner. Mijn vraag aan de ministers is dan ook: waarom maakt de overheid nog gebruik van ongeauthenticeerde verbindingen?
Iets van klepel en klok ofzo..
De ip-allocatie van het ministerie van buitenlandse zaken was dmv BGP door een derde partij "overgenomen".
Dus alle verkeer naar alle ip-adressen van dit ministerie werden naar een andere partij gerouteerd dan waar het heen zou moeten.
Nou, eigenlijk lijkt het me heel simpel..
Wanneer bulgaren de moeite nemen om dit te doen, hebben ze daar vast een goede reden voor gehad.
En die zal niet zijn geweest "kom, laten we kijken of het lukt'...
Maar meer in de trend van "ip space mag door firewall X heen, we kunnen op deze manier rechtstreeks in database X kijken of database Y aanpassen, bijvoorbeeld uitkeringen, zodat fraude nog makkelijker wordt en/of niet gecontrolleerd kan worden.
Die duffe ambtenaren zeggen dan toch 'volgens onze database is er GEEN uitkeringfraude meer in Nederland"...
En ja, die database die net door die criminelen is aanpast geeft dat inderdaad aan...
Wanneer bulgaren de moeite nemen om dit te doen, hebben ze daar vast een goede reden voor gehad.
En die zal niet zijn geweest "kom, laten we kijken of het lukt'...
Maar meer in de trend van "ip space mag door firewall X heen, we kunnen op deze manier rechtstreeks in database X kijken of database Y aanpassen, bijvoorbeeld uitkeringen, zodat fraude nog makkelijker wordt en/of niet gecontrolleerd kan worden.
Die duffe ambtenaren zeggen dan toch 'volgens onze database is er GEEN uitkeringfraude meer in Nederland"...
En ja, die database die net door die criminelen is aanpast geeft dat inderdaad aan...
29-07-2015, 16:19 door
Erik van Straten
29-07-2015, 14:13 door _R0N_:
Iets van klepel en klok ofzo..
Ik ben zeker geen BPG expert, maar uit de 1e regel van mijn mijn bijdrage blijkt volgens mij best dat ik begrijp wat er aan de hand was.Iets van klepel en klok ofzo..
De zorg van PvdA-Kamerlid Oosenbrug is dan ook terecht wat mij betreft. Als bijvoorbeeld in het IP-blok 193.177.64.0/18 (bron: http://tweakers.net/nieuws/104414/bulgaarse-criminelen-misbruikten-ip-adressen-nederlandse-overheid.html) webservers zouden voorkomen, bijv. www.minbuza.nl, en een burger opent die site, dan kunnen de kapers van die IP-reeks die site laten tonen wat ze maar willen. En als de bezoeker een buitenlands visum wil aanvragen o.i.d. deze ertoe verleiden zijn DigiD in te voeren op een nepsite.
Als burger ben ik verplicht op straat een geldig ID bewijs bij mij te dragen, waarom hoeft een overheidssite zich niet tegenover mij de authenticeren - terwijl dat helemaal niet zo moeilijk is?
Overigens staan de IP-adressen zo te zien nog op een blacklist van Spamhaus, zie https://www.robtex.com/en/advisory/ip/193/177/64/1/.
Door Joep Lunaar: het verwijt aan het kamerlid geld te verspillen is verwend, arrogant en lui gedrag.
Je volksvertegenwoordigers ter verantwoording roepen bestempelen als verwend, arrogant en lui is nogal wat.Om als volksvertegenwoordiger je taak uit te voeren heb je niet alleen een mandaat en vrijheid verkregen, maar ook de verantwoordelijkheid om je taak zo zorgvuldig mogelijk te vervullen. Voor iedere vraag die gesteld is en beantwoord moet worden kan geen tijd gegeven worden aan andere zaken en andere verantwoording. Gezien een volksvertegenwoordiger het gewoonlijk ook niet ontbeert aan eigenschappen ijdelheid, populisme en onwetendheid is het niet onaannemelijk dat het er bij de zorgvuldigheid bij inschiet. Maar zo ook bij een volk dat vragen stelt over of opmerkingen plaats bij de uitvoering door haar vertegenwoordigers.
Door Anoniem: Je volksvertegenwoordigers ter verantwoording roepen bestempelen als verwend, arrogant en lui is nogal wat.
Heb je door dat de kans erg klein is dat je op security.nl in gesprek raakt met volksvertegenwoordigers? Een sneer op deze website neerzetten is iets volkomen anders dan ze ter verantwoording roepen.Om als volksvertegenwoordiger je taak uit te voeren heb je niet alleen een mandaat en vrijheid verkregen, maar ook de verantwoordelijkheid om je taak zo zorgvuldig mogelijk te vervullen. Voor iedere vraag die gesteld is en beantwoord moet worden kan geen tijd gegeven worden aan andere zaken en andere verantwoording.
Goed, stel dat zo'n volksvertegenwoordiger haar huiswerk wel doet en wel degelijk weet waar ze het over heeft. Dan moet ze toch nog controleren of de regering dat ook weet en die kennis goed toepast. Dat krijgt ze niet voor elkaar als ze geen vragen stelt (BuZa alleen al bestaat uit meer dan 5000 mensen, wat die allemaal aan rapporten en notulen produceren kan je echt niet allemaal bijhouden als kamerlid of politieke partij). En dat moet ook nog in het parlement gebeuren, omdat dat niet alleen de bewindspersoon verplicht verantwoording af te leggen (zo is het nou eenmaal ingericht) maar het is ook een plek waar pers en publiek kunnen volgen wat er gebeurt, zo kan de samenleving de controleur controleren.Door Anoniem: Gezien een volksvertegenwoordiger het gewoonlijk ook niet ontbeert aan eigenschappen ijdelheid, populisme en onwetendheid is het niet onaannemelijk dat het er bij de zorgvuldigheid bij inschiet.
Maar om dan maar aan te nemen dat die veronderstelde ijdelheid de enige reden is om vragen te stellen is wel erg kort door de bocht. Jij creëert zo een cirkelredenatie voor jezelf waarin er ook geen andere verklaring meer denkbaar is dan die ijdelheid, waardoor een kamervraag voor jou alleen nog maar die ijdelheid kan bevestigen. Je hebt beslist wel eens gelijk met die interpretatie, maar je sluit zo je ogen voor de mogelijkheid dat je ook wel eens ongelijk hebt. Iedereen heeft wel eens ongelijk, ook jij. Doe jezelf een lol en kijk af en toe eens met een onbevangen blik naar alles waar je een mening over klaar hebt staan, sta jezelf toe om andere mogelijkheden te zien en af te wegen. Zo bouw je wijsheid op, en anders ben je net zo beperkt als je veronderstelt dat dat kamerlid is.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
