Privacy - Wat niemand over je mag weten

Verplicht Digitaal Account Waterschap (SSL onveilig)

29-08-2016, 16:26 door Anoniem, 31 reacties
Verplicht (onveilig) digitaal communiceren! : Geen keuze meer?

Het lijkt erop dat we daarnaar toegaan sinds de belastingdienst daarvoor de lans heeft gebroken met haar verplichte digitale postbus.
In die digitale postbus stond bij aanmaak van dat account standaard aangevinkt om voortaan via een reusachtige lijst van organisaties in Nederland alleen nog maar digitaal te communiceren in plaats van per post.
Hoewel dat af te vinken is maakt het kennelijk niet uit.
Bij het Waterschap bijvoorbeeld.

Drie weken geleden is er met het vooruitzicht op een deadline van 1 september door het Hoogheemraadschap Amstel, Gooi en Vecht (Waternet: Noord-Holland, Utrecht en Zuid-Holland) een brief de deur uit gegaan dat zij voortaan rechtstreeks watergelden gaan incasseren waar dat voorheen ging via bijvoorbeeld de verhuurder van je woning.
Voor de verstuurde informatie brief slechts drie weken voor de deadline heeft Waternet allerlei persoonsgegevens van de gemeente ontvangen.

So far, so good, zou je denken.
Overgedragen gegevens nodig voor financiële administratie
Even aangeven hoe je gaat betalen, huurbaas laten weten dat je het niet meer aan hun betaalt en klaar.
Daar lijkt het niet op.

Gegevens overdracht als opmaat voor verzamelen meer gegevens middels een verplicht digitaal account?
Echter, in de brieven die Waternet verstuurt gesuggereerd dat voor verdere dienstverlening een digitaal account verplicht is.
Op de website staat alleen informatie die de indruk wekt dat het aanmaken van een digitaal account bij Waternet benodigd is om de watergelden te incasseren.
Dat is ergens nogal opmerkelijk en de vraag is of Waternet wel het recht heeft om een digitaal account af te dwingen voor het incasseren van Watergelden.
Er zijn immers allerhande semi geprivatiseerde diensten die gelden incasseren zonder een benodigd digitaal account, oook voor het incasseren van gemeentebelasting is in principe helemaal geen digitaal account nodig.
Waarom waternet dan wel?

Het lijkt erop dat deze digitalisering waternet vooral zelf heel goed uitkomt en dat zij met de nodige bluf alle inwoners van Hoogheemraadschap Amstel, Gooi en Vecht wil dwingen zaken volledig digitaal te regelen.
Ten behoeve daarvan stuurt Waternet brieven met je inlog code en wachtwoord toe die kennelijk ook niet verlopen.
Naast de vraag of het wel geoorloofd is een digitaal account af te dwingen vraag ik mij af of een dergelijke handelswijze van het versturen van een wachtwoord + inlogcode per post wel mag volgens AP.

Immers, hoe vaak raakt post wel niet kwijt?
Ook gevoelige post.
Een ander kan dus inloggen op het account dat alvast is aangemaakt en alle persoonsgegevens inzien die Waternet van de gemeente heeft ontvangen en verder nog heeft verzameld.
Wat mij betreft hoort Waternet dus helemaal niet een inlogcode en wachtwoord tegelijkertijd in een brief te communiceren bij een ongevraagd aangemaakt account waar allerlei persoonsgegevens achter zijn te vinden.

Er wordt gevraagd in te loggen en alle gegevens te controleren.
Over het algemeen betekent gegevens controleren nogal eens verplicht ongewild gegevens aanvullen dat zeker niet alleen bij een email adres blijft.

Aangezien het gebied van het hoogheemraadschap Waternet zich lijkt uit te strekken tot drie provincies vraag ik me af of meer lezers hier dergelijk dwingend suggestieve post hebben mogen ontvangen en ergens ook dachten 'moet dat nou?', 'weer een account aanmaken en allerlei gegevens afstaan', 'Stuur maar een kaartje voor het afgeven voor een automatische incasso of acceptgiro's'.

Het vervelende is dus dat het begon met de belastingdienst en dat andere diensten dit kunstje nu proberen na te doen.
Niet vragen maar gewoon doordrukken die verplichte digitale accounts e communicatie.
Nog vervelender is dat als je dit ook doet je tevens de kans loopt dat de gemeente bij het weer terugdelen van informatie jou dan gaat verplichten ook van alles digitaal te doen, je zei immers ook ja bij Waternet.

Ik vind het echter onzin en wil niet meer allerlei digitale accounts met verplichte opgave van allerlei gegevens.
Stuur me de rekening, betalen en klaar.
Daarnaast is er nog wel wat aan te merken op de veiligheid van deze website, dat lijkt geen kleinigheidje en dat maakt wat mij betreft best 3 niet verwaarloosbare security missers.

Kijk, hover en huiver?
https://www.ssllabs.com/ssltest/analyze.html?d=waternet.nl
https://observatory.mozilla.org/analyze.html?host=waternet.nl

Een security bevestiging van de reden om helemaal niet digitaal te willen als dat niet nodig is!


Al samenvattend

1) Kan Waternet mij verplichten tot het afsluiten van een digitale account om alleen een waterrekening te moeten betalen?
Heb ik een wettelijk recht dat te weigeren?
Wie weet dat of heeft dat gedaan?

2) Is het vanuit het perspectief van Autoriteit Persoonsgegevens, dus wat betreft privacy en veiligheid niet erg onzorgvuldig om ongevraagd een online account aan te maken waarachter zich allerlei persoonsgegevens bevinden en doodleuk per post in 1 brief herhaaldelijk de inlognaam en het bijbehorende wachtwoord te versturen?
Als de brief ergens anders belandt belanden dus ook mijn verzamelde persoonsgegevens op straat.

3) Zoals je hebt gezien onder de links van SSL labs en Mozilla druist de manier waarop de security van de site van waternet is opgezet is tegen best practices in, als ik het zo mag samenvatten.
Het certificaat hoort helemaal niet bij het betreffende domein! *
En de wijze van configuratie laat een een gat openstaan, mede een reden waardoor zowel mozilla als SSL Labs deze website qua security de laagste score geven! *

4) Vindt je de termijn van drie weken om een dergelijk project aan het einde van de vakantie tijd ook niet wat kort om er op deze wijze door te drukken?
Of zou dat de bedoeling zijn? Dat mensen omdat er grote haast bij is en daarom zonder bij allerlei consequenties stil te staan gauw het zoveelste digitale account activeren?
Als je dat doet kan je niet meer terug, en dat lijkt maatschappijbreed de bedoeling, alles maar dan ook alles digitaal omdat dat vooral voor hen wel handig is.


Wie heeft antwoord (of aanvulling) op vraag 1 t/m 3 ?

Ik ben benieuwd, ik vond het wel een andere slag op de spreekwoordelijke tamtam waard.
Dank alvast voor inhoudelijke antwoorden.


Privacy & security groet,


____________________________________

* Geen wens en reden tot vertrouwen in digitale communicatie met …

Lees er zelf over en beoordeel het zelf

Mozilla observatory security beoordeling test
https://observatory.mozilla.org/analyze.html?host=waternet.nl
Score F !!!!!

Score: 0/100
Tests Passed: 2/10

SSL Labs test beoordeling
https://www.ssllabs.com/ssltest/analyze.html?d=waternet.nl
- Score F !!!!!
- Certificate name mismatch
Common names www.tamtam.nl MISMATCH
Alternative names www.tamtam.nl tamtam.nl

www.tamtam.nl
"Full service digital agency.

Wij ontwikkelen digital experiences die een glimlach op je gezicht toveren"
Niet bepaald!

CVE Gat
- OpenSSL Padding Oracle vuln.
(CVE-2016-2107) Yes INSECURE (more info)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2107

Meer verbeterpuntjes?
- HSTS Preloading Not in: Chrome Edge Firefox IE Tor
- HTTP forwarding http://www.waternet.nl PLAINTEXT

____________________________________

Alle links op een rij:

- http://www.waternet.nl
- https://nl.wikipedia.org/wiki/Lijst_van_Nederlandse_waterschappen
- https://nl.wikipedia.org/wiki/Hoogheemraadschap_Amstel,_Gooi_en_Vecht
- http://www.Tamtam.nl
- https://observatory.mozilla.org/analyze.html?host=waternet.nl
- https://www.ssllabs.com/ssltest/analyze.html?d=waternet.nl
-https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2107

Reacties (31)
29-08-2016, 19:49 door Anoniem
Jij bent degene die ze blijkbaar hebben kunnen overtuigen dat het VERPLICHT is en dus heb jij zelf een DigiD aaccount aan gemaakt. Nou zit je er aan vast, met alle gevolgen.

Hier komt alles nog steeds op papier aan, van welke instantie of bedrijf dan ook, en dat gaat zo blijven ook.
Niemand kan mij verplichten omdat er iemand weer iets bedacht heeft.
Had nou zelf ook daar maar over nagedacht, dan had je al deze ellende allemaal niet.
Dat krijg je nou van als een zeer trouw en volgzame burger bent die alles maar pikt.
29-08-2016, 20:02 door Anoniem
Door Anoniem: ......

En als je de checks nu eens op www.waternet.nl uitvoerd?

https://www.ssllabs.com/ssltest/analyze.html?d=www.waternet.nl

Er komt dan een hele mooie A uit.

Als je verbinding maakt met http://waternet.nl wordt je netjes geredirect naar https://www.waternet.nl

Ofwel, je conclusie is eigenlijk totaal verkeerd en slaat nergens op. Misschien je onderzoek de volgende keer beter uitvoeren?
29-08-2016, 23:58 door Anoniem
Leuk tekst in het SSL rapport over http://waternet.nl

Pin SHA256: lCppFqbkrlJ3EcVFAkeip0+44VaoJUymbnOaEUk7tEU=

Een rekening betalen gaat prima op papier en heeft zich in verleden zich zeker bewezen. Ik snap wel dat Waternet de overval techniek/methode piep gebruiken want zij willen zo op kosten besparen. De vraag is of het verstandig is om hun klanten te dwingen in om deze weg te volgen.

De overheid is hier zelf een voorloper en mocht je het zelf niet kunnen dan zetten zij gratis mensen in om je in bibliotheken te helpen met het invullen van de vereiste formulieren en lezen van post die de overheid aan de burger zend.

Het is inderdaad laakbaar dat de inlognaam en het wachtwoord tezamen gezonden wordt.

Verder is het alleen het subdomein www voorzien van een goed certificaat. Het certificaat van het hoofddomein is een zooitje en dat ondermijnt het vertrouwen in het gehele domein. Zeker een haastklus geweest en rommel is nog niet opgeruimd nu alles werkt en er waarschijnlijk eindelijk vakantie kan worden gevierd. ;-)
30-08-2016, 07:17 door Anoniem
Stop de digitalisering verder zou ik zeggen! Niemand wordt er blijer van.
30-08-2016, 08:21 door karma4
De waterschappen zijn overheidsinstanties, deze mogen zelfstandig belasting heffen. De belastingdienst is niet de enige die dat doet.
In november 2015 is er een wet aangenomen die iedereen verplicht om elektronisch met de overheid te communiceren
Dat is gestuurd vanuit logius (bzk) met de ministers van de Steur en Plasterk. In de mémoire van toelichting is opgenomen omdat privacy niet absoluut is (waar) het er niet toe doet (oeps dat is eng). Ik ben er niet blij mee, het is gebeurd.

Ergo ze kunnen je verplichten tot digitale communicatie. Gezien de commotie rond de blauwe envelop verdwijnt zullen ze het Den ik niet zo hoog op spelen.
Overigens rammelt er nog het nodige rond het proces van de waterschapsbelasting. Dat is een ander iets dan je vragen.
30-08-2016, 15:08 door Ron625
Door karma4:
In november 2015 is er een wet aangenomen die iedereen verplicht om elektronisch met de overheid te communiceren.
Bijna mee eens:
In november 2015 is er een wet aangenomen die iedereen die dat kan, verplicht om elektronisch met de overheid te communiceren.

Iemand van 99 jaar is niet verplicht om een PC aan te schaffen, evenals iemand met een blindengeleidehond.
De overheid heeft wel gezegd, dat het op papier communiceren wordt afgebouwd, maar dat kan nog laaaaaaaaaang duren.
30-08-2016, 17:14 door karma4
https://www.security.nl/posting/469423/5+miljoen+Nederlanders+activeren+account+op+MijnOverheid
Ron625 het zou logisch om het op jouw manier te formuleren. Gemak dient de mens. Echter ik heb eerder de links en wetsvoorstellen nagelopen. Het staat er echt anders.
De bron lijkt logius (bzk) te zijn. De toelichting van een andere partij de het AP. Kohnstam heeft nog geprotesteerd maar was daarna snel weg. De baas van het AP is bzk.
30-08-2016, 18:19 door Ron625 - Bijgewerkt: 30-08-2016, 18:20
Dat lijkt mij dan tegen de grondwet.
Er zijn veel ouderen die geen computer hebben en ook niet willen hebben, maar deze kunnen vaak (niet altijd) geholpen worden in een bibliotheek, of een gemeentehuis.
Maar ik ken ook mensen in mijn omgeving, die principieel weigeren om met een computer en/of smartphone te werken.
Deze mensen hebben ook geen TV in huis (het zijn geen Amish).
De belastingdienst heeft beloofd, om de komende jaren (?) door te gaan met de blauwe enveloppe voor deze bejaarden en gelovigen.
Ook andere overheden hebben zich aangesloten bij dit besluit.

Het zal wel weer Nederlands zijn, een regel met 100 uitzonderingen gevolgd door een gedoogbeleid ...........
30-08-2016, 22:59 door karma4
Door Ron625: Dat lijkt mij dan tegen de grondwet.
..
Het zal wel weer Nederlands zijn, een regel met 100 uitzonderingen gevolgd door een gedoogbeleid ...........
Eens Ron, en wel jammer dat er dan een wet doorgedrukt is die niet strookt met de grondwet. De partijpolitiek boven het ethisch handelen, zowel 2e en 1e kamer die falen en dan dat als gedoogbeleid met uitzonderingen.
30-08-2016, 23:14 door Anoniem
Door Anoniem:
Door Anoniem: ......

En als je de checks nu eens op www.waternet.nl uitvoerd?

https://www.ssllabs.com/ssltest/analyze.html?d=www.waternet.nl

Er komt dan een hele mooie A uit.

Als je verbinding maakt met http://waternet.nl wordt je netjes geredirect naar https://www.waternet.nl

Ofwel, je conclusie is eigenlijk totaal verkeerd en slaat nergens op. Misschien je onderzoek de volgende keer beter uitvoeren?

Dat en alles van belang gebeurd op https://mijn.waternet.nl/, niet op hun 'marketing www.' site.

@TS: wel op de juiste feiten blijven baseren, anders verspreid je alleen fud. Daar heeft niemand iets aan.
31-08-2016, 15:20 door Anoniem
Omgekeerd veilig? (dus onveilig)


In Stukjes

[X] Deel 1

Er is sprake van 2 configuraties een onveilige en een veilige (niet echt?).
Nou ja er is verschil in SSL configuraties op de twee domeinen onder verschillende ip adressen.

- www.waternet.nl (199.83.134.94)
heeft op SSL labs een status A en heeft een veiliger SSL configuratie

MAAR!

- waternet.nl (75.101.166.3)
heeft op SSL Labs een status F en een onveilige configuratie, het zogenaamde slotje certificaat hoort helemaal niet bij deze website.

Zouden we het van de bank ook accepteren als deze een certificaat van een geheel ander website domein zou gebruiken?
Wat is de suggestie van dat slotje dan nog waard?

De essentie van slotje certificaten is toch juist het idee enige garantie te bieden met wie je communiceert?

Dan doe je toch gewoon….

Nee, dat doen we allemaal nou net gewoon niet!

Wie typt er nog www. voor een domeinnaam?.

Inderdaad, dat doen nog aar heel weinig mensen.
Zelf als ze ergens een bijna volle url lezen als www.waternet.nl zal men standaardhalve waternet.nl intoetsen.

Hoewel het zogenaamde 'hoofddomein' www. waternet.nl heet te zijn is in de praktijk (qua bezoekers) dus waternet.nl het hoofddomein!

Het feit dat juist waternet.nl onveilig is omdat gebruikers tegenwoordig www. niet meer intoetsen is dus juist de grote fout!

.
31-08-2016, 15:25 door Anoniem
Omgekeerd veilig? (dus onveilig)


In Stukjes

[X] Deel 2

In deel 1 heb ik geconstateerd dat voornamelijk gebruik zal worden gemaakt van waternet.nl.
Gebruikt gemaakt zal worden van het onveilige domein op waternet.nl (75.101.166.3).

Maar zelfs als men nog gebruik, zou maken va het zogenaamd veilige domein met ander ip adres www.waternet.nl (199.83.134.94), lijkt het nog steeds niet veilig.

Want hoewel er verschil is in de boordelingen van SSL labs die deze site alleen beoordeelt op de SSL verbinding, kijkt Mozilla met haar nieuwe tool naar veel meer verschillende zaken en blijft de website als geheel, ongeachte het ip adres op de laagste score neerzetten.
Score F.

Hoe onveilig en hackbaar is deze website onder verschillende domeinen en ip adressen?

De resultaten van Mozilla Observatory en ook nieuwsberichten geven er indicaties voor, het lijkt erop dat dat zich van MitM aan vallen tot XSS injecties tot misbruik van een CVE strekt.

Een overzicht wederom van geconstateerde onveiligheden.
Aan jou de beoordeling of de site hierop te hacken valt (nog meer persoonsgegevens op straat?).

https://observatory.mozilla.org/analyze.html?host=waternet.nl
https://observatory.mozilla.org/analyze.html?host=www.waternet.nl

a) Content Security Policy : Content Security Policy (CSP) header not implemented

Recent kwam in het nieuws dat het Wouter van Dongen was gelukt op basis van ontbreken van een juiste CSS implementatie een XSS aanval uit te voeren en een Extra Fake Inlogveld te creëren.
Zou dat op 1 van deze twee domeinen ook kunnen?

En aangezien het SSL certificaat toch niet bij het domein hoeft te horen … "O, dat kan je negeren, doet ie altijd bij deze website, niets aan de hand"

https://tweakers.net/nieuws/115029/onderzoeker-vindt-opnieuw-xss-kwetsbaarheden-bij-drie-nederlandse-banken.html

b) Cookies : Session cookie set without using the Secure flag or set over http

c) HTTP Strict Transport Security : HTTP Strict Transport Security (HSTS) header cannot be set for sites not available over https .

Nou deed het certificaat er toch al niet toe op waternet.nl.
Wanneer je op een openbare wifi zit, wie doet dat niet regelmatig is een MitM nog meer voorstelbaar zonder HSTS implementatie.

d) Redirection : Redirects to https eventually, but initial redirection is to another http URL

Wie kan deze mysterieuze tussentijdse redirect verklaren?
Met wie communiceer je nou eigenlijk allemaal over de lijn?

e) Subresource Integrity : Subresource Integrity (SRI) not implemented, but all external scripts are loaded over https

f) X-Content-Type-Options : X-Content-Type-Options header not implemented

g) X-Frame-Options : X-Frame-Options (XFO) header not implemented

h)[/b] X-XSS-Protection : X-XSS-Protection header not implemented


SSL Labs
https://www.ssllabs.com/ssltest/analyze.html?d=waternet.nl

i) waternet.nl (75.101.166.3)

Certificate name mismatch
Click here to ignore the mismatch and proceed with the tests

Common names www.tamtam.nl MISMATCH
Alternative names www.tamtam.nl tamtam.nl


Hier kan je om twee redenen niet lichtzinnig over doen.
Als eerder gesteld toetsen de meeste mensen tegenwoordig geen www. meer in de urlbar en zulle dus hoogstwaarschijnlijker op dit domein uitkomen.

Als het certificaat niet bij het domein hoort (want hoort bij tamtam.nl) ondergraaf je het hele idee van certificaten bij bijbehorende domeinen.
Daarnaast als je een ander commercieel bedrijf toestaat haar certificaat op een overheidsdomein te gebruiken, in hoeverre heb je als overheid dan eigenlijk controle over je eigen communicatie?

Communiceer je dan geheel met de overheid of slechts half, dus ook een half niet en dus ook een 'half' (on)veilig?

j) CVE niet gepatcht.
Hoewel het een kleine 6 heeft is het toch een CVE gat dat niet is gepatcht.

OpenSSL Padding Oracle vuln.
(CVE-2016-2107) Yes INSECURE (more info)


Het hoort niet open te staan!

k) Geen HSTS zegt ook SSL Labs!

HSTS Preloading Not in: Chrome Edge Firefox IE Tor

Welk marktaandeel hebben deze browser bijelkaar?
Inderdaad, een hele grote meerderheid!


VRAAG

Hoe hackbaar is het digitale domein van Waternet met al deze openstaande onveiligheden bijelkaar?

Hoe kwetsbaar zijn dus de gegevens van klanten die daar op inloggen?


..
31-08-2016, 15:30 door Anoniem
Omgekeerd veilig? (dus onveilig)


In Stukjes

[X] Deel 3 van 3

In de vorige twee delen heb ik aangekaart dat wat mij betreft het onveiligste deel van waternet gebruikt zal worden maar dat het al met al niet eens hoeft uit te maken omdat het Observatory van Mozilla voor beide domein varianten onder beide ip adressen een hele lijst van niet geïmplementeerde security maatregelen laat zien.

De vragen bij deze waslijst aan genegeerde security maatregelen en een verkeerd certificaat op het vermoedelijk meest gebruikte domein was dan ook :

- Hoe hackbaar is Waternet?
- Hoe kwetsbaar zijn de gegevens van klanten op waternet door deze onveilige configuraties?

Daar komt nog een hele belangrijke vraag bij.
Er wordt door diverse reageerders gesteld dat het waarschijnlijk verplicht is te voldoen aan de suggestie van Waternet om verplicht een digitaal account aan te maken.

Waternet zelf verwijst overigens nergens naar die wettelijke verplichting in haar communicatie, ze suggereert slechts dat het moet om onder andere reeds bekende gegevens verkregen van een andere overheid(en) 'te controleren'.

Echter :

- Kunnen burgers verplicht worden door de overheid een account aan te maken op een digitaal domein dat slordig en slecht security geconfigureerd is?

Met andere woorden, kan je een burger dwingen onzorgvuldig met de veiligheid van haar eigen gegevens te laten omgaan?

Hoort de overheid als zij verplicht burgers digitaal te communiceren niet eerst zelf zorgvuldigheid te betrachten?
Heeft de overheid niet in eerste plaats de plicht om zorgvuldig met gegevens van burgers om te gaan?

Waternet doet dat niet : waternet gaat niet zorgvuldig om van privacy gevoelige gegevens van burgers.

1 !) Zij communiceert niet veilig via de post door brieven te versturen waarin zowel de inlognaam als het wachtwoord staan.

2 !!) Zij wekt de suggestie dat het verplicht is haar niet veilig geconfigureerde digitale platform te gebruiken.


HOEZO WETTELIJK VERPLICHT?

Ben ik verplicht om op digitaal onveilige wijze mijn gegevens af te staan / om op digitaal onveilige wijze met de overheid te communiceren?


Wat mij betreft heeft de overheid een zorgplicht over het beheer van mijn gevoelige gegevens en als zij daar niet aan voldoet of wil voldoen voel ik mij niet geroepen mee te werken aan het bewust kwetsbaar stellen van mijn persoonsgegevens.

AP?-tje?



...
31-08-2016, 18:53 door karma4
Ben ik verplicht om op digitaal onveilige wijze mijn gegevens af te staan / om op digitaal onveilige wijze met de overheid te communiceren?
Ze kunnen je verplicht een oorlog insturen en als te verwijderen uitschot beschouwen. Het is wat een staat overheid voor staat.
Deze vraag heeft als enig valide antwoord: ja dat kunnen ze je verplichten.

Je mag blij zijn dat je in een democratie als NL leeft. Er staan je vele mogelijkheden voor bezwaar aantekenen open.
Direct bij het waterschap bij het AP bij de rechter met een beroep tot aan de EU toe. Neem een voorbeeld aan https://en.wikipedia.org/wiki/Max_Schrems. Je zult het alleen niet anoniem kunnen afdoen.
Als je uiteindelijk geen gelijk krijgt, maar je overtuiging is anders, wat dan?
31-08-2016, 21:19 door Anoniem
Kijk eens hier voor 199.83.134.94 gehost in Maleisië?
-> http://toolbar.netcraft.com/site_report?url=https://www.waternet.nl

Shared hosting met nogal een paar kwade appels onder de domeinen gehost op een en hetzelfde adres bij Incapsula.

"Het waterschap ho(o)st goedkoop zullen we maar zeggen".

Incapsula, waarom heeft de Nederlandse overheid toch een voorkeur voor hosting in de V.S.
Hebben die eenzelfde privacy beleid als wij hier in Nederland of ruimer gezien in de EU?

Zie: https://www.reasoncoresecurity.com/ip-address-199.83.134.94.aspx
Valt nog mee met 16 URLs op de zwarte lijst: http://sitevet.com/db/asn/AS19551
Vreemd is dit 149.126.74.94.ip.incapdns.net - Resolving failed
Error code 22
The proxy failed to resolve site from host name, if this site was recently added please allow a few minutes before trying again.
-> http://toolbar.netcraft.com/site_report?url=http://149.126.74.94.ip.incapdns.net
01-09-2016, 16:33 door Anoniem
Door Anoniem: Kijk eens hier voor 199.83.134.94 gehost in Maleisië?
-> http://toolbar.netcraft.com/site_report?url=https://www.waternet.nl

Shared hosting met nogal een paar kwade appels onder de domeinen gehost op een en hetzelfde adres bij Incapsula.

"Het waterschap ho(o)st goedkoop zullen we maar zeggen".

Incapsula, waarom heeft de Nederlandse overheid toch een voorkeur voor hosting in de V.S.
Hebben die eenzelfde privacy beleid als wij hier in Nederland of ruimer gezien in de EU?



Tja,…

* Persoonsgegevens van Nederlanders opgeslagen in het buitenland, onder een shared hosting domein in Maleisië?

* De 'Safe' Harbor regeling telt niet meer, haar vervanger is nog niet actief of soort van wel maar wordt niet genoemd op de website van waternet.

Kan je de verzameling geconstateerde oneffenheden en onzorgvuldigheden die hier in dit topic aan bod zijn gekomen nog vatten onder accurate beveiliging?
Wat mij betreft zou de overheid het goede voorbeeld dienen te geven en haar eigen websites dus maximaal dienen te beveiligen.

Dat zou wat mij betreft op zijn minst mogen betekenen:
- Hosting op een niet gedeelde server * in Nederland.
- Veilige webconfiguratie aansluitend op de kennis die ruim en openbaar voorhanden is. SSL Labs en Mozilla Observatory zijn echt niet de enigen.

Er zijn dus allerlei website analyse tools op het internet die snel een indicatie kunnen geven of de eigen configuratie geslaagd is.
Aangetoond is dat met de laagste score in het Mozilla Observatory deze website daar alleszins ook maar bij in de buurt komt.

Maar goed, ondertussen heeft de burger dus geen enkele normale keus anders dan als een soort Max Schrems tegen Goliath de overheid gaan lopen boksen, om alsjeblieft voorelkaar te krijgen dat men zorgvuldig omgaat met data.
Het moet kennelijk altijd eerst een aantal keer goed fout gaan voordat er beweging in komt waarbij de verantwoordelijke dan allang op het kerkhof ligt.

Om moedeloos van te worden.
Ik kan mezelf steeds slechter overtuigen van het feit dat de bijkomstigheid van de moedeloze, dus dan maar meegaande burger, tegenwoordig een heel gewenste bijkomstigheid is bij deze vorm van digitalisering.
Keihard doordrukken en vooral stug negeren, elke opwinding kent haar einde nietwaar?


* Amsterdam (Gemeenten / Overheid?) : bij voorkeur shared hosting oplossingen ?

Zoals een tijd geleden de sexsite sexocomgravidas.com & gemeentewebsite amsterdam.nl onder hetzelfde (Red Light) ip adres waren gehost naast nog een hele andere berg aan domeinen die niets met gemeentelijke publieke zaken van doen hadden.
https://www.security.nl/posting/459360#posting460238

Voor de inlogfunctie had amsterdam.nl trouwens wel een aparte lokale ip route bedacht, zie betreffende forumtopic.
https://www.security.nl/posting/459360/Halve+Https+%26+Cloudflare%3F


Hoezo shared hosting van Nederlandse persoonsgegevens buiten Nederland?
Kan dat voor de verandering een keer afgelopen zijn en ook eens verboden worden?
01-09-2016, 18:26 door Anoniem
Door Anoniem: Omgekeerd veilig? (dus onveilig)
Zouden we het van de bank ook accepteren als deze een certificaat van een geheel ander website domein zou gebruiken?
Wat is de suggestie van dat slotje dan nog waard?
Gaat heel ergens anders over. Je moet gewoon de juiste URL gebruiken. Mocht je de verkorte naam gebruiken, dan heeft men netjes via een redirect het opgelost. Het kan mooier, dat moet ik wel zeggen.


Wie typt er nog www. voor een domeinnaam?.
De meeste eindgebruikers? En voor wie dit niet doet, heeft men een redirect gemaakt.


Inderdaad, dat doen nog aar heel weinig mensen.
Bron of gevoel?


Zelf als ze ergens een bijna volle url lezen als www.waternet.nl zal men standaardhalve waternet.nl intoetsen.
Zolang men waternet.nl in typed, en niet https://waternet.nl gaat het goed.


Hoewel het zogenaamde 'hoofddomein' www. waternet.nl heet te zijn is in de praktijk (qua bezoekers) dus waternet.nl het hoofddomein!
Vandaar de redirect. Voor als men een verkeerde url gebruikt.


Het feit dat juist waternet.nl onveilig is omdat gebruikers tegenwoordig www. niet meer intoetsen is dus juist de grote fout!
.
Valt mee. Het kan netter en beter. Maar het werkt wel indien een gebruiker een fout maakt, door een verkeerde URL te gebruiken.

* Persoonsgegevens van Nederlanders opgeslagen in het buitenland, onder een shared hosting domein in Maleisië?
Hoe kom je aan Maleisië, de site waternet.nl wordt gehost in Amazon cloud.

Kan je de verzameling geconstateerde oneffenheden en onzorgvuldigheden die hier in dit topic aan bod zijn gekomen nog vatten onder accurate beveiliging?
Bedoel je hiermee al je eigen foute constateringen?
En ja er kunnen zeker dingen beter, maar momenteel klopt er niet veel van je onderzoek.

- Hosting op een niet gedeelde server * in Nederland.
Zie zegt dat het op de zelfde servers gehost wordt? Dit is ook maar een aanname die JIJ weer doet. Het wordt gehost op de zelfde externe IP's, dat wil niet zeggen dat het op de zelfde servers gehost wordt. Reverse proxy servers zijn tegenwoordig vrij normaal om sites schaalbaar te maken, en van wegen het aantal vrije IPv4 adressen.

Ofwel een hoop slechte aanamens, slecht onderzoek en eigenlijk gewoon FUD.
Maar er kunnen wel zeker dingen beter. Of de redirect en jouw onderzoek.
02-09-2016, 13:09 door Anoniem
Hier voor de IP krijg ik hosting in Singapore en dat is volgens mij nog steeds Maleisië, zie info: . https://check-host.net/ip-info?host=149.126.74.94
Zie hosting country: https://check-host.net/ip-info?host=149.126.74.94
De andere IP wordt bij amozonaws dot com gehost in Illinois: IP address 75.101.166.3
Host name ec2-75-101-166-3.compute-1.amazonaws.com
IP range 75.101.164.0-75.101.167.255 CIDR
ISP Amazon.com
Organization Amazon.com, Inc.
Country United States (US)
Region Illinois
City Chicago

Zie betrouwbaarheidscore van de host name op WOT: https://www.mywot.com/en/scorecard/ec2-75-101-166-3.compute-1.amazonaws.com?utm_source=addon&utm_content=rw-viewsc

Waarom gebruikt de site geen dedicated hosting. Het wil kennelijk voor een dubbeltje op de eerste rang,
maar geven voor hun dienstverlening vast niet zulke kortingen.....
02-09-2016, 13:41 door Anoniem
Dan wordt de domeinnaam doorgestuurd naar een extern IP en moeten we een goede dns voorstelling van zaken hebben om de veiligheid van dit gegoochel te beoordelen/testen. Ook weten waarom ipv6 zo langzaam wordt uitgerold. Zo lang mogelijk verdienen aan koperdraad als de glasvezel er al lang is. KPN en andere providers zijn er goed in.
Het riekt allemaal naar "security through obscurity".
02-09-2016, 16:40 door Anoniem
Door 18:26 Anoniem:

Ofwel een hoop


Retorisch,
is ict van tamtam of een pr-thuisklussende waternet it-er die op zijn veters is getrapt en daarom hier aan public damage control aan het doen door te proberen lezers van dit topic te verwarren?

Veel te kinderachtig en doorzichtig tegengeluid, direct al door de mand gevallen.
29-08-2016, 20:02 door Anoniem, 30-08-2016, 23:14 door Anoniem dezelfde anoniem alsook Gisteren, 18:26 door Anoniem
Problemen los je niet of door ze te ontkennen, te flatteren, door anderen van fud te beschuldigen of door publiek op deze wijze in een topic te stoorzenderen.

Buiten je relativeringen blijft dat het algemene brede beeld van onzorgvuldigheid, met gebrek aan oog voor details en grotere zaken die er toe doen, als een paal boven water staan.

Nota bene, inloginformatie als password informatie en inlognaam gezamenlijk per post versturen bij een online account dat persoonsinformatie bevat is niet zorgvuldig.
Als digid dat zou doen is de wereld te klein, hier vinden we, jij dan kennelijk dat heel normaal en geen probleem.

Onterecht gebagatelliseerd.
Identiteitsfraude vindt plaats door gebruik te maken van stapeling van persoonsgegevens.
Je begint met een onderschepte brief, logt in en steelt persoonsdata en verkrijgt op andere plekken weer meer informatie met de eerder gestolen digitale informatie.
Persoonsfraude begint dus ergens met wat informatie en belandt daarna in een zichzelf versterkende spiraal omdat kennis van data in het communicatie verkeer gebruikt wordt bij authenticatie en beoordeling van de inschatting of men met de daadwerkelijke persoon heeft te maken.
Niet dus, mede mogelijk gemaakt door ...

Waternet faciliteert mogelijk misbruik door minder zorgvuldig te handelen dan zou kunnen.
Dat is een kwalijke zaak.
Punt.

Dus, met 'alleen' al met het versturen van alle inlogdata per post van honderdduizenden klanten, hebben honderdduizenden klanten het risico gelopen op digitale fraude door de reële kans op digitale inbraak op het vooraf aangemaakte digitale account met verzamelde persoonsgegevens per aansluitpunt.

De security configuratie van deze website is als aangekaart een onderdeel van een beeld dat er niet zorgvuldig gehandeld is waar dat wel had gekund.

Dat beeld van twijfel aan zorgvuldigheid op vele punten haal je echt niet onderuit door hier te stoorzenderen. Wat je belang ook mag zijn en al dan niet stiekem namens wie je dan ook mag of probeert te handelen.
In ieder geval ligt jouw belang niet bij het belang van het beschermen van persoonsdata, dat is duidelijk.
02-09-2016, 19:18 door Anoniem
Dank aan Anoniem van 18:26 hierboven voor de confirmatie van de algemene constatering.

Een security.nl draadje als dit topic kan heel verhelderend zijn.

Als men eens zou beginnen, de hier aangekaarte zaken aan te pakken, is men al een heel stuk verder.

Dingen fout of minder goed doen is niet probleem. Het niet willen aanpakken, vanwege allerlei drogredenen, is dat wel.

Ik heb me de materie ook eigen moeten maken. Door altijd te luisteren naar hen, die iets weten en zwijgen en leren als iemand relevante kennis deelt.

Leer om te weten, weet om te doen, slagen is je loon!

Ik heb van dit draadje weer een hoop opgestoken, dank aan alle posters, en het blijkt dat ik ook niet regelrecht alles volledig vertrouwen moet, wat ik aan configuraties en beveiliging of het ontbreken ervan op websites tegen kom.

Dit is de dns admin: tesdomeinen.tesdomeinen@kpn.com van de site en die zakelijke organisatie heeft nog meer van de overheid onder de paraplu.

Nog iets aanggaande de dns scan. Hoe verlaren we dit?

Check for Stealth Name Servers
WARNING: Found stealth name servers:
-ns1.pinkroccade.net.

En de crux van ons probleem: Resolve Domain Name
OK. Domain waternet.nl. resolves to:
United States 75.101.166.3
Domain Name IPs are Public
OK. No private IPs found for waternet.nl.. Web servers using private IPs can't be reached from the Internet.
Resolve WWW
OK. Domain www.waternet.nl. resolves to:
United Kingdom 149.126.74.94
WWW IPs are Public
OK. No private IPs found for www.waternet.nl.. Web servers using private IPs can't be reached from the Internet.

Zelf even zien, de scan is hier, ga naar: http://www.dnsinspect.com/waternet.nl/1472835755
04-09-2016, 11:15 door Anoniem
Door Anoniem:
Retorisch,
is ict van tamtam of een pr-thuisklussende waternet it-er die op zijn veters is getrapt en daarom hier aan public damage control aan het doen door te proberen lezers van dit topic te verwarren?
Ik heb helemaal niets met tamtam te maken en ben ook niet een thuisklussende icter. Ik ben wel iemand die even verder kijkt, en iemands onderzoeks resultaten controleert. Iets wat bij jouw informatie ook nodig is en blijkbaar blijft.
Ik ben ook iemand die met ook nog wel eens Gall en Gall bonnen krijgt van bedrijven wegens het melden van issues.


Veel te kinderachtig en doorzichtig tegengeluid, direct al door de mand gevallen.
Om iemand op zijn fouten te adresseren?


Ik zeg helemaal niet dat het perfect is, er zijn zeker diverse punten voor verbetering. Dat ben ik helemaal met je eens. Maar de wereld vergaat hierdoor niet.

Door Anoniem: Hier voor de IP krijg ik hosting in Singapore en dat is volgens mij nog steeds Maleisië, zie info: . https://check-host.net/ip-info?host=149.126.74.94
Slecht onderzoek....

Heb je op die site ook eens gecontroleerd wat er bij MaxMind GeoIP vermeld is? Dan komt United Kingdom in eens voor bij.

Bij https://www.iplocation.net/ komt het ook bij de meeste naar voren dat het in GB gehost wordt.
En als je even wat trace routes laat uitvoeren, kom je als snel tot de conclusie dat de site gewoon in GB gehost wordt in de Amazone cloud.
Dit koste mij wel 5minuten onderzoek werk.

Waarom gebruikt de site geen dedicated hosting. Het wil kennelijk voor een dubbeltje op de eerste rang,
maar geven voor hun dienstverlening vast niet zulke kortingen.....
Omdat het misschien op een loadbalancer/reverse proxy zit? Zou zo maar het geval kunnen zijn.
Daarnaast het is alleen een redirect, dus is het optimaal nee. Maar de wereld vergaat hier ook niet mee. Als een eindgebruiker gewoon de juiste URL gebruikt, is er geen probleem. Iets wat juist de meeste eindgebruikers doen. Immers die weten helemaal niets van computer af, en gebruiken exact de URL die mee aangeleverd wordt.

Dus JA, het is niet optimaal en kan zeker beter. Vele stukken beter zelfs.

Heb je misschien ook al contact met ze opgenomen, ipv een hoop FUD hier neer te zetten? Misschien is dat een stuk beter voor je bloeddruk
04-09-2016, 13:24 door Anoniem
@anoniem van 11.15

Een proxy oplossing dus om een a priori onveiliger header beveiligingstoestand te "repareren" of de bestaande "ellende" eruit te kunnen filteren. Laat we ons niets wijs laten maken.

Meehobbelen met/binnen een bestaand "broken standard" security model, "De huidige industrie bij IETF wordt beheerst door grote bedrijven als Microsoft, Google en andere (Amazon, CloudFlare), die eerst hun eigen standaarden intern ontwikkelen en al toepassen in haar eigen producten en zo deze doordrukken, zonder dat er goed wordt gekeken welke standaard hier nu een beter en veiliger internet opleveren". Het moet nodig op de schop (of gestroomlijnd). Quote"" van Jurre van Bergen. () van mij.

Een loadbalancer is toch wat anders als een reverse proxy. Aan de andere kant van de webserver, constateren we:

Of course, oftentimes adding a component to a system increases the overall insecurity, since this component may be directly broken into. But the more interesting thing about these entities is that there's an additional risk here: a security problem that materializes in a combination of entities, or (specifically) in the interaction between an entity and the web application. It is these problems that we're going to focus on. (info credits Amit Klein).
04-09-2016, 19:09 door Anoniem
www.waternet.nl Insecure <form> call.
Found on line # 208 in file: cdn.optimizely.com/js/183039579.js

(Note: Chrome will show a security error for any secure page with an insecure <form> call on the page)
17-09-2016, 17:45 door Anoniem
Inderdaad ik zit totaal niet te wachten op weer een instantie die digitaal met mij wenst te communiceren.
Maar ik word helemaal ziedend door een (semi) overheidsinstelling die mij aanspreekt als KLANT. Zolang ik afvalstoffenHEFFING en waterschapsBELASTING betaal ben ik BURGER en geen KLANT. Ik ben toch goddomme geen KLANT van mijn eigen roverheid!
17-09-2016, 18:54 door karma4
Door Anoniem: Inderdaad ik zit totaal niet te wachten op weer een instantie die digitaal met mij wenst te communiceren.
Maar ik word helemaal ziedend door een (semi) overheidsinstelling die mij aanspreekt als KLANT. Zolang ik afvalstoffenHEFFING en waterschapsBELASTING betaal ben ik BURGER en geen KLANT. Ik ben toch goddomme geen KLANT van mijn eigen roverheid!
Doe eens mij aan een managment lulkoek bingo. Ja je bent klant de proces optimalisatie conform lean six sigma zodat we voor de win-wins gaan met smart vastgelegde afspraken waarvan we de voortgang via bila's bewaken in agile benadering van de stand-up met de product owner.
18-09-2016, 23:54 door Anoniem
Het ziet er inderdaad wat amateuristisch ("houtje-touwtje" geklungel) uit, en ik kan mij de zorgen daarover goed voorstellen. Zou mijn hand er niet voor in het vuur durven steken, zelfs als men op http://mijn.waternet.nl moet inloggen.
Hoewel het certificaat van mijn.waternet.nl in orde is, krijg ik twijfels of er vervolgens met die data verder wel veilig wordt omgegaan en of deze misschien uiteindelijk unencrypted op een buitenlandse datacenter server terechtkomt.
19-09-2016, 10:13 door Anoniem
Door Anoniem: Inderdaad ik zit totaal niet te wachten op weer een instantie die digitaal met mij wenst te communiceren.
Maar ik word helemaal ziedend door een (semi) overheidsinstelling die mij aanspreekt als KLANT. Zolang ik afvalstoffenHEFFING en waterschapsBELASTING betaal ben ik BURGER en geen KLANT. Ik ben toch goddomme geen KLANT van mijn eigen roverheid!
Dan ga je toch een probleem kijken. De duivenpost is al een tijdje geleden afgeschaft, en men is aan het moderniseren. Men moet nu eenmaal goedkoper werken, want de burger wil ook niet meer gaan betalen. Dus moet er meer geautomatiseerd worden. Of jij dit nu leuk vind of niet, dit is wel de toekomst. Of je moet naar 22% belasting willen gaan?
20-09-2016, 19:39 door Anoniem
Dan ga je toch een probleem kijken. De duivenpost is al een tijdje geleden afgeschaft, en men is aan het moderniseren. Men moet nu eenmaal goedkoper werken, want de burger wil ook niet meer gaan betalen. Dus moet er meer geautomatiseerd worden. Of jij dit nu leuk vind of niet, dit is wel de toekomst. Of je moet naar 22% belasting willen gaan?
We hoeven niet eerst naar 22% belasting te gaan. Automatiseren is vaak duurder gebleken dan niet automatiseren,
en dan blijkt het nog naadje en vol gaten ook. Mensen komen zonder werk te zitten, en de gemiddelde koopkracht daalt.
Ga je de belasting verhogen, dan daalt de gemiddeld koopkracht nog meer, en belandt je in een spiraal naar beneden.
Als bepaalde meneren en mevrouwen eens afleerden om zo belust te zijn op geld ten koste van andere mensen dan zou de wereld weer wat op adem kunnen komen.
Geldzucht is de wortel van alle kwaad. Stop alle geldzucht is de enige oplossing.
Al het andere zijn schijnoplossingen die niet bestendig iets oplossen.
20-09-2016, 20:00 door Anoniem
Door Anoniem: Automatiseren is vaak duurder gebleken dan niet automatiseren.
Ik heb toch echt hele andere ervaringen. Automatiseren kan enorm veel schelen voor bedrijven en overheden. Echter het moet wel goed gedaan worden, en committent hebben vanuit alle lagen. Doe je dat niet, dan hebben we genoeg ervaringen.

Mensen komen zonder werk te zitten
Dat wil niet zeggen dat de automatisering duurder is geworden. En er is werk genoeg, je moet je alleen wel willen aanpassen. Dat is geen probleem van de automatisering.


Als bepaalde meneren en mevrouwen eens afleerden om zo belust te zijn op geld ten koste van andere mensen dan zou de wereld weer wat op adem kunnen komen.
Gelukkig leven we in een wereld waarin geld genoeg is. Momenteel geven we nog altijd meer geld uit, dan we binnen krijgen. En eigenlijk wil iedereen meteen het nieuwste van het nieuwste.
Aan de andere kant, geld rond pompen, levert weer banen en geld op.

Geldzucht is de wortel van alle kwaad. Stop alle geldzucht is de enige oplossing.
Volgens mij vergeet je godsdienst en macht.

Al het andere zijn schijnoplossingen die niet bestendig iets oplossen.
Dat is maar net hoe je er tegen aankijkt.
20-09-2016, 20:33 door Anoniem
Je hoort wel eens over niet langer beheerde en vergeten pagina's die eigenlijk beter offline hadden kunnen gaan.
Hoe zit dat met http://oud.waternet.nl en http://oud.agv.nl ?
Volgens https://observatory.mozilla.org/analyze.html?host=www.waternet.nl horen die domeinen namelijk ook bij het certificaat op www.waternet.nl.

Tamtam.nl is nog steeds het uitgeleende certificaat voor https://waternet.nl , in ieder geval kan het dienst doen als browser test. Waarschuwt het je wel of waarschuwt je browser je niet voor deze pagina?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.