image

Politie lekt gevoelige e-mails via verlopen domeinnamen

vrijdag 20 januari 2017, 07:57 door Redactie, 20 reacties

De politie heeft e-mails met gevoelige informatie naar verlopen domeinnamen gestuurd, waardoor ze in handen van een beveiligingsexpert kwamen die de domeinen had geregistreerd. Het gaat om arrestatiebevelen, rapporten van Veilig Thuis en beveiligingsplannen, zo meldt BNR.

Al twee jaar geleden werd de politie voor dit beveiligingsrisico gewaarschuwd. Bij de overgang naar de Nationale Politie heeft de politie allerlei domeinnamen laten verlopen, die vervolgens door anderen kunnen worden geregistreerd. Daarvoor waarschuwde beveiligingsexpert Wouter Slotboom al in februari 2015. De politie zou echter niets met zijn melding hebben gedaan.

"Ik heb een probleem aangekaart en vervolgens een oplossing op een presenteerblad aangediend. Toen ik na een half jaar erachter kwam dat zij hier niets mee hebben gedaan, heb ik zelf maar weer enkele domeinnamen geregistreerd om aan te tonen dat er wel degelijk gevoelig informatie via de mail op binnenkomt. Ik hoop dat m’n punt nu wel duidelijk is." Niet alleen gaat het om informatie die kan worden ontvangen. Volgens Gerrit van de Kamp van politievakbond ACP zou er via de domeinnamen ook om informatie kunnen worden gevraagd.

De Nationale Politie stelt dat er inmiddels meer dan 3600 oude domeinnamen door de politie zelf zijn geregistreerd, maar er een aantal tussendoor zijn geglipt. Hiervoor zullen passende maatregelen worden getroffen. Verder benadrukt de Nationale Politie dat zowel burgers als politiemedewerkers alleen de domeinnaam politie.nl moeten gebruiken.

Reacties (20)
20-01-2017, 08:23 door Anoniem
En dat is dan hetzelfde overheidsorgaan dat ons mag hacken op basis van de wet computercriminaliteit 3...
1e kamer, voorkom dat wij als burgers de dupe worden en dat ons grondrechtelijk recht op privacy geschonden wordt!!!
20-01-2017, 09:18 door Anoniem
Als je iets aanschaft doe je er goed aan meteen na te denken over hoe je het weer afschaft of vervangt. Een organisatie die met vertrouwelijke informatie werkt of een reputatie liever niet al te makkelijk door een ander kapot wil laten maken zou zodra die vraag gesteld is moeten kunnen bedenken dat daar bij internetdomeinen problemen kunnen ontstaan. Een erg voor de hand liggende oplossing is dan om domeinen nooit meer af te schaffen, en dat regel je weer het makkelijkst door met subdomeinen te werken: subdomein.politie.nl, subdomein.overheid.nl, subdomein.gemeentenaam.nl, etc. Dan houd je altijd zelf in de hand welke subdomeinen waarvoor uitgegeven kunnen worden.

Vergelijkbaar: bij de aanschaf van software, maatwerk of niet, moet je je afvragen hoe dat in de toekomst naar een nieuw pakket van een andere leverancier te converteren is. Dan ga je opeens nadenken over open standaards, over de mogelijkheid data te exporteren naar een gedocumenteerd formaat dat elders te importeren is of redelijk makkelijk kan worden omgezet in een te importeren formaat.

Bij heel veel zaken doet het er niet zo veel toe. Een nieuw type dienstwapen functioneert zonder van alles van het oude dienstwapen over te moeten nemen. Een nieuwe auto heeft geen onderdelen van de vorige auto nodig. Bij informatiesystemen bouw je in allerlei opzichten een erfenis op die wél meegenomen moet worden, en als je daar niet al bij stilstaat als je eraan begint kan dat problemen opleveren.
20-01-2017, 09:40 door Anoniem
Waar moet ik aan denken bij 3600 domeinnamen? Waarom hebben ze er zoveel nodig (gehad)?
20-01-2017, 09:40 door Anoniem
Door Anoniem: En dat is dan hetzelfde overheidsorgaan dat ons mag hacken op basis van de wet computercriminaliteit 3...
1e kamer, voorkom dat wij als burgers de dupe worden en dat ons grondrechtelijk recht op privacy geschonden wordt!!!

Ja en? Overal zitten personen die ergens niet iets van af weten, of een configuratie fout maken. Of dat iemand iets ergens een keer gemaakt heeft zonder de officieel kanalen te gebruiken.

De beste stuurlui staan aantal aan wal, en denken het altijd beter te weten. Dus kijk eerst eens in de spiegel om even je zelf goed te bekijken.
20-01-2017, 09:44 door jefdom
als je domein-namen laat verlopen,worden de data dossiers daaraan verbonden door de politie niet ontkoppeld maw verwijderd,vermits het politie data is zal die toch altijd privatie en crimineel gevoelig zijn?
20-01-2017, 09:52 door Erik van Straten
Onder andere daarom begrijp ik niet waarom organisaties en bedrijven soms enorme aantallen second-level domeinnamen registreren, en ook niet waarom we geen .gov.nl o.i.d. gebruiken voor alle overheidszaken.
20-01-2017, 10:09 door Anoniem
Bij de Politie zit wel veel TALENT!!
20-01-2017, 10:44 door SPlid
Door Anoniem:
Door Anoniem: En dat is dan hetzelfde overheidsorgaan dat ons mag hacken op basis van de wet computercriminaliteit 3...
1e kamer, voorkom dat wij als burgers de dupe worden en dat ons grondrechtelijk recht op privacy geschonden wordt!!!

Ja en? Overal zitten personen die ergens niet iets van af weten, of een configuratie fout maken. Of dat iemand iets ergens een keer gemaakt heeft zonder de officieel kanalen te gebruiken.

De beste stuurlui staan aantal aan wal, en denken het altijd beter te weten. Dus kijk eerst eens in de spiegel om even je zelf goed te bekijken.

Omdat men de arrogantie heeft om niets te doen zelfs als ze worden gewaarschuwd voor datalekken en dergelijk. Omdat men schijnbaar vind dat ze boven de wet staan (vraag me af of men hiervoor ook beboet gaat worden.)
20-01-2017, 10:47 door SPlid
En natuurlijk omdat we met ons allen aannemen dat de politie als een goed huisvader met hun (onze) gevoelig informatie omgaat en dan niet moet komen (acheraf) met denk erom alleen sites met politie.nl zijn betrouwbaar .
20-01-2017, 11:07 door Anoniem
Ik hou zelf al 5 jaar een domeinnaam in stand waar ik helemaal niks meer mee doe behalve alle mail opvangen. Nu er al meer dan 4 jaar niks zinnigs meer op aankomt laat ik hem nu maar verlopen.
20-01-2017, 11:22 door Anoniem
Door Anoniem: Waar moet ik aan denken bij 3600 domeinnamen? Waarom hebben ze er zoveel nodig (gehad)?
Dat heeft te maken met een verkeerd gebruik van het domeinnamen systeem wat helaas moeilijk uit te bannen
is, zeker als er sprake is van niet volledig geintegreerde organisaties. Echter er zit ook een fout in het ontwerp zelf.

Doordat een domeinnaam is opgebouwd als subdomein.domein.land ipv als land.domein.subdomein en mensen in
de westerse wereld van links naar rechts lezen ipv van rechts naar links, "wringt" het gebruik van subdomeinen.
Een niet-it'er snapt niet dat amsterdam.politie.nl en rotterdam.politie.nl logische namen zijn. Als het was opgebouwd
als nl.politie.amsterdam en nl.politie.rotterdam was dit waarschijnlijk wel gelukt. Dit is het systeem wat in Engeland
gebruikelijk was op het moment dat DNS bedacht werd maar uiteindelijk heeft dit het onderspit moeten delven
tegenover het Amerikaanse systeem wat verkeerd-om geschreven is.
Had dit systeem het wel gehaald dan waren er veel minder van die rare domeinnamen als politie-amsterdam.nl
en politie-rotterdam.nl nodig geweest.

Maar los daarvan was er dan toch wel een soort van samenwerking nodig geweest om op die manier
boom-gestructureerde namen aan te maken, waarbij in organisaties en al helemaal bij losstaande organisaties
niet altijd de bereidheid is om "onder een ander te vallen". Dat maakt een boom-gestructureerd systeem meestal
gedoemd te mislukken. Dit kom je echt niet alleen tegen in DNS, het is een probleem op velerlei vlakken.
Ga maar eens een directory structuur voor een netwerkschijf verzinnen, dan loop je tegen hetzelfde aan.
20-01-2017, 12:57 door ph-cofi
Wat doen die onversleutelde dossiers in de mail, is dit 1 grote reeks van beveilingsincidenten? Oh ja, het lukte Opstelten niet om PKI versleuteling in berichtenverkeer te implementeren.
20-01-2017, 13:07 door Anoniem
Door Anoniem:
Door Anoniem: En dat is dan hetzelfde overheidsorgaan dat ons mag hacken op basis van de wet computercriminaliteit 3...
1e kamer, voorkom dat wij als burgers de dupe worden en dat ons grondrechtelijk recht op privacy geschonden wordt!!!

Ja en? Overal zitten personen die ergens niet iets van af weten, of een configuratie fout maken. Of dat iemand iets ergens een keer gemaakt heeft zonder de officieel kanalen te gebruiken.

De beste stuurlui staan aantal aan wal, en denken het altijd beter te weten. Dus kijk eerst eens in de spiegel om even je zelf goed te bekijken.

Non-argumentatie. Het beheren van domeinnamen laat je door iemand doen die kennis heeft van zowel de voordelen als gebreken, dat laatste is hier minstens niet het geval geweest. En dat kan enkel voortvloeien uit een lakendheid van verantwoordelijkheids-gevoel/-besef.
20-01-2017, 13:36 door Anoniem
Door Anoniem:
Non-argumentatie. Het beheren van domeinnamen laat je door iemand doen die kennis heeft van zowel de voordelen als gebreken, dat laatste is hier minstens niet het geval geweest. En dat kan enkel voortvloeien uit een lakendheid van verantwoordelijkheids-gevoel/-besef.

Als alles uitbesteed wordt dan lopen we te miepen dat het allemaal veel te duur is en als men dingen zelf doet dan
miepen we dat men het aan iemand anders moet overlaten. Als er maar wat te miepen is!
20-01-2017, 15:02 door karma4
Door Anoniem: Als alles uitbesteed wordt dan lopen we te miepen dat het allemaal veel te duur is en als men dingen zelf doet dan
miepen we dat men het aan iemand anders moet overlaten. Als er maar wat te miepen is!
Door Anoniem: Waar moet ik aan denken bij 3600 domeinnamen? Waarom hebben ze er zoveel nodig (gehad)?
Het heeft 2cts niets te maken met de volgorde hoe een DNS is opgebouwd. Onze getallen schrijven we ook als het Arabisch (omgekeerde volgorde) en daar heeft niemand problemen mee. Het is geleerd en een gewoonte.

De DNS namen zijn nooit in doel geweest op zich in het ARPA opbouw gebeuren. Het was eerst een middel om machine-aanduidingen los te koppelen van ip-nummers (hostnames bestand /etc/..).

In de hype van het internet hebben marketing mensen zich erover ontfermd. Toen was die naam ineens het merk beeld waar je je mee bekend moest maken. Hoe meer namen hoe beter of het nu logisch was of niet. Elke plaatsnaam in veelvoud in je komt een eind. Een gemist iets om een duidelijk beleid van te maken, het zijn gedane zaken.

Wat zorgelijk is, dat zijn niet die vervallen domeinnamen die toch gebruikt worden.
Het zijn de caches automatismes om toch data naar die vervallen zaken te sturen. Duidt meer op iets wat bij functioneel databeheer niet goed zit. Ook daar geld de wet van kosten en bezuinigingen. Het wordt pas relevant als het fout gaat.
20-01-2017, 15:20 door Rolf73
Door SPlid:
Door Anoniem:
Door Anoniem: En dat is dan hetzelfde overheidsorgaan dat ons mag hacken op basis van de wet computercriminaliteit 3...
1e kamer, voorkom dat wij als burgers de dupe worden en dat ons grondrechtelijk recht op privacy geschonden wordt!!!

Ja en? Overal zitten personen die ergens niet iets van af weten, of een configuratie fout maken. Of dat iemand iets ergens een keer gemaakt heeft zonder de officieel kanalen te gebruiken.

De beste stuurlui staan aantal aan wal, en denken het altijd beter te weten. Dus kijk eerst eens in de spiegel om even je zelf goed te bekijken.

Omdat men de arrogantie heeft om niets te doen zelfs als ze worden gewaarschuwd voor datalekken en dergelijk. Omdat men schijnbaar vind dat ze boven de wet staan (vraag me af of men hiervoor ook beboet gaat worden.)

Arrogantie lijkt me het probleem niet, wel een gebrek aan kunde en kennis en vooral ook gebrek aan resources.
Vergeet ook niet dat, als je een goede security specialist bent, je wel erg goede redenen moet hebben om bij de Politie te gaan werken en niet in het bedrijfsleven. In het bedrijfsleven is de beloning gewoon hoger. De hoogste loonschaal bij Politie is vaak het salaris wat bij een security bedrijf gemiddeld loon is, los van de secundaire voorwaarden zoals auto (bij overheid krijg je vaak zoiets als een fietsplan. Nobel streven, maar je houdt de specialisten weg)
20-01-2017, 15:38 door Anoniem
Door karma4:
Het heeft 2cts niets te maken met de volgorde hoe een DNS is opgebouwd. Onze getallen schrijven we ook als het Arabisch (omgekeerde volgorde) en daar heeft niemand problemen mee. Het is geleerd en een gewoonte.

Dat is de mening van de IT'er. Dat zei ik al. Het gaat er echter om hoe de rest van de mensen denkt want die
moeten het gebruiken.


Wat zorgelijk is, dat zijn niet die vervallen domeinnamen die toch gebruikt worden.
Het zijn de caches automatismes om toch data naar die vervallen zaken te sturen. Duidt meer op iets wat bij functioneel databeheer niet goed zit. Ook daar geld de wet van kosten en bezuinigingen. Het wordt pas relevant als het fout gaat.

Dat moet je dan SIDN verwijten in plaats van de ex-gebruiker. Men zou her-uitgifte van domeinen moeten verbieden,
zeker als het om dergelijke namen gaat. Her-uitgifte zou dan een handmatig proces moeten zijn waarbij je aannemelijk
moet maken dat je de rechtmatige gebruiker van de naam bent. Een dergelijk proces zou zo in elkaar moeten zitten
dat het niet mogelijk is om iets als "politie-amsterdam.nl" te claimen als het door de eerdere gebruiker is opgezegd.
20-01-2017, 17:26 door karma4
Door Anoniem:
Dat is de mening van de IT'er. Dat zei ik al. Het gaat er echter om hoe de rest van de mensen denkt want die
moeten het gebruiken.
Daarom gaf ik ook het voorbeeld volgens de beleving van de rest van de gewone mensen. Het metrisch stelsel heeft ook zeer veel tijd nodig gehad. De kalender doen we nog steeds naar de romeinse aanpak. Geheel onlogisch maar iedereen doet het. Bedenk die vele namen het is en was een keuze van de communicatiedeskundigen niet va IT-ers.

Dat moet je dan SIDN verwijten in plaats van de ex-gebruiker. Men zou her-uitgifte van domeinen moeten verbieden,
zeker als het om dergelijke namen gaat. Her-uitgifte zou dan een handmatig proces moeten zijn waarbij je aannemelijk
moet maken dat je de rechtmatige gebruiker van de naam bent. Een dergelijk proces zou zo in elkaar moeten zitten
dat het niet mogelijk is om iets als "politie-amsterdam.nl" te claimen als het door de eerdere gebruiker is opgezegd.
De SIDN registreerd enkel en doet niet aan regulatie. merknamen mogen verhandeld en hergebruikt worden. Alleen bij duidelijk misbruik kan er door handhavers opgetreden worden. Dat met een proactieve rol van handhaven is geen taak van de SIDN. Het is de keus van degeen die registreerd welke namen hij wil gebruiken, als ze vrij zijn.

Zelfs handelsnamen mogen vaker gebruikt worden, dan moet duidelijk zijn dat ze niet in dezelfde branche zitten. Dat is met een DNS niet mogelijk dan is wie het eerste is, krijgt het. Ooit was er een levendige lucratieve handel in namen.
20-01-2017, 18:37 door Anoniem
Door karma4:
De SIDN registreerd enkel en doet niet aan regulatie. merknamen mogen verhandeld en hergebruikt worden. Alleen bij duidelijk misbruik kan er door handhavers opgetreden worden. Dat met een proactieve rol van handhaven is geen taak van de SIDN. Het is de keus van degeen die registreerd welke namen hij wil gebruiken, als ze vrij zijn.

Dat weet ik, maar dat vind ik dus slecht.
In het begin werd dit allemaal veel beter gecontroleerd maar door dat er losers waren die processen gingen aanspannen
heeft men besloten de handdoek maar in de ring te gooien en het allemaal vrij te geven.
Men zou die SIDN beter kunnen onderbrengen bij een instantie die iets kan zeggen over merknamen en andere speciale
namen en die de validatie daarvan kan doen. En dan tevens een default-deny op herverlening van een reeds eerder
uitgegeven naam waarna bewijs moet worden overlegd mbt de rechtmatigheid.
Dan zou meteen ook alle ellende rond het kapen van namen (die men nu heeft opgelost met tijdsperiodes) opgelost zijn.

Als een merknaam verhandeld is dan is er niks aan de hand want dan kan de nieuwe eigenaar bewijs overleggen.
Maar als iemand bijvoorbeeld politie-amsterdam.nl wil registreren zal hij met een heel goed verhaal moeten komen
zo niet dan pech gehad.
24-01-2017, 13:39 door Anoniem
Door Anoniem: En dat is dan hetzelfde overheidsorgaan dat ons mag hacken op basis van de wet computercriminaliteit 3...
1e kamer, voorkom dat wij als burgers de dupe worden en dat ons grondrechtelijk recht op privacy geschonden wordt!!!


Lees eerst eens het wetsvoorstel goed....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.