/dev/null - Overig

belastingdienst-in-beeld.nl ?

03-10-2017, 17:32 door Bitwiper, 13 reacties
Aanleiding
Om een reden die er even niet toe doet keek ik of tweakers.net in de HSTS preloadlijst van Firefox [1] staat, en dat staat ie.

Toen ik die lijst open had, dacht ik, laat ik eens kijken of belastingdienst.nl er in staat. Want die site stuurt welliswaar een HSTS header mee, maar met de volgende inhoud:
Strict-Transport-Security: max-age=31536000
31536000 = 365 dagen. Als je die site meer dan 365 dagen niet bezocht hebt, ook al gebruik je dezelfde webbrowser op dezeldfe PC met een daadwerkelijk 1 jaar oud profiel, is HSTS niet meer actief.
Omdat de kans bestaat dat mensen pas na meer dan 365 dagen (of voor het eerst) deze site bezoeken, is belastingdienst.nl wat mij betreft bij uitstek een kandidaat voor deze lijst - maar staat er dus niet in.

Is belastingdienst-in-beeld.nl een phishing site?
De site "belastingdienst-in-beeld.nl" staat echter wel in de HSTS preload lijst (waardoor zal Firefox, zonder dat ik deze site ooit bezocht heb, de link http://belastingdienst-in-beeld.nl/ automatisch in de https variant wijzigen, nog voordat er netwerkcommunicatie plaatsvindt - een maximaal effectieve methode om MitM aanvallen, zoals SSLstrip, te voorkomen). Lekker boeiend als dit niet een echte site is van de Belastingdienst!
Deze site gebruikt momenteel een Comodo wildcard SSL certificaat (gen PKI Overheid dus) met in het subject:
Organization: Belastingdienst Centrum voor ondersteuning IV
terwijl de layout van de site als twee druppels water op de site van de echte Belastingdienst lijkt.
Als deze site van de echte Belastingdienst is, snap ik niet waarom ze dan juist deze site in de HSTS preload lijst zetten en niet belastingdienst.nl.

Vragen
1) Weet iemand van wie de site https://belastingdienst-in-beeld.nl/ daadwerkelijk is?
2) Als deze site daadwerkelijk van de Belastingdienst is, hoe kan een ervaren iemand en een leek dat dan zien, oftewel hoe kun je deze site van een phishingsite onderscheiden?
3) Waarom staat belastingdienst-in-beeld.nl wel in de HSTS preload lijst, en belastingdienst.nl niet?

[1] https://dxr.mozilla.org/comm-central/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc
Reacties (13)
03-10-2017, 18:08 door Anoniem
1) Weet iemand van wie de site https://belastingdienst-in-beeld.nl/ daadwerkelijk is?
Dat moet je uit de whois kunnen opmaken.

Als niet, klagen bij SIDN. Oh wacht, ze hebben de whois moedwillig kapot gemaakt. Nouja, toch maar klagen bij SIDN.

2) Als deze site daadwerkelijk van de Belastingdienst is, hoe kan een ervaren iemand en een leek dat dan zien, oftewel hoe kun je deze site van een phishingsite onderscheiden?
Vraag het de belastingdienst. Ofwel het is een phishingsite en de belastingdienst zelf zal toch hopelijk wel weten welke sites ze bedrijven en welke niet. Ofwel het is van de belastingdienst en dan is het interessant te weten hoe ze dit gedacht hadden. En vertel ons ook even wat ze daar te melden hebben?

3) Waarom staat belastingdienst-in-beeld.nl wel in de HSTS preload lijst, en belastingdienst.nl niet?
Is er iets van een paper trail van tickets of commits ofzo te vinden? Bij de makers van die lijst bijvoorbeeld.

Als je niet kan uitvogelen wie die lijst geklust heeft geeft dat ook te denken.
03-10-2017, 20:29 door Anoniem
Denk dat het wel meevalt. Waar moet je je gegevens invullen dan?

Website is geregistreerd door Kaliber Interactive B.V. (Utrecht)
Doet wel meer werk voor de overheid zoals werkenbijdeoverheid.nl
03-10-2017, 20:32 door karma4
Whois van sidn geeft netjes aan dat die site (-in-beeld) van de belastingdienst is. De dienstverlener kaliber is ook op tenderned terug te vinden. ALs je daar een rondgekeken heb dan zie dat zowat elk wissewasje aanbesteed wordt.

Dat levert een antwoord voor 3) op. Verwacht geen enkele eenheid in techniek en realisatie met zoveel verschillende aannemers zonder echte regie. Als je overheidssites vind op internet moet je ook niet raar kijken als het weesjes zijn.
De aanbesteding gaat over implementatie realisatie en daarna houdt het op.

Dan zie je een wezenlijk verschil van de bekende site belastingdienst.nl daar zit de operatie achter. Aangezien elke verandering een change en gevaarlijk is zal het veranderen moeizaam zijn.
04-10-2017, 12:57 door Anoniem
Door Anoniem: Doet wel meer werk voor de overheid zoals werkenbijdeoverheid.nl
Ik zou het, los van andere controlemogelijkheden, érg prettig vinden als men subdomeinen toe zou passen. werkenbijde.overheid.nl dus, en in-beeld.belastingdienst.nl. Dat zou expliciet zichtbaar maken dat een site onderdeel van een bekend groter geheel is, en als dat de gewoonte zou zijn zou het zinvol worden om mensen aan te leren erop te letten. Helaas passen zelfs internetreuzen als Google dit niet consequent toe (gstatic.com in plaats van static.google.com). Ik heb me wel eens afgevraagd of dat is om NoScript-gebruikers, die er veel baat bij zouden hebben, het leven zuur te maken.

Als deze site van de echte Belastingdienst is, snap ik niet waarom ze dan juist deze site in de HSTS preload lijst zetten en niet belastingdienst.nl
Vermoedelijk omdat verschillende onderdelen van de belastingdienst die URLs en websites hebben geregeld, onafhankelijk van elkaar, en daarbij met verschillende dingen rekening hebben gehouden. De belastingdienst is een enorme organisatie, het is een illusie om te denken dat alles daar consistent op dezelfde manier gebeurt, daar slagen aanzienlijk kleinere organisaties al niet in.
04-10-2017, 15:19 door Anoniem
Je kunt de site zelf aanmelden: https://hstspreload.org/ alleen is zoals je gezien hebt de preload optie in HSTS niet aangezet , dat geldt ook voor mijn.digid.nl, en daar vind de authenticatie plaats. Ze hebben bij de belastingdienst een responsible-disclosure policy waarbij je beveiligingslekken en verbeteringen kunt melden: www.belastingdienst.nl/security. Je krijgt daar wellicht antwoord van: responsible-disclosure@belastingdienst.nl
05-10-2017, 02:26 door Bitwiper
Dank voor alle reacties!

Ondertussen vond ik in http://forum.fok.nl/topic/2284326 dezelfde vraag, waarop "Nizno" antwoordt dat, onderaan de homepage van belastingdienst.nl, "> Over de organisatie" naar belastingdienst-in-beeld.nl verwijst. Het lijkt dus wel om een tweede site van "de Belastingdienst" te gaan. Maar dit beantwoordt lang niet al mijn vragen...

Ik haal slechts enkele stukjes aan om deze bijdrage niet al te lang te maken.

Door Anoniem:
3) Waarom staat belastingdienst-in-beeld.nl wel in de HSTS preload lijst, en belastingdienst.nl niet?
Is er iets van een paper trail van tickets of commits ofzo te vinden? Bij de makers van die lijst bijvoorbeeld.
Het gaat mij er niet om dat belastingdienst-in-beeld.nl op deze lijst staat (hoewel ik het verspilling van resources vindt voor een "over de organisatie" website), maar vooral dat als beheerders van de belastingdienst die site op deze lijst zetten, waarom dan belastingdienst.nl niet? (Waarschijnlijk omdat die laaste nog niet 100% https ondersteunt, maar sjeemig, fix dat dan een keer).

Door Anoniem: Denk dat het wel meevalt. Waar moet je je gegevens invullen dan?
De term "phishing" is wellicht onjuist als je (nog) nergens gevraagd wordt om gegevens in te vullen, maar hoe noem je een site die je (mogelijk) op het verkeerde been zet? De verwijzing "> Over de organisatie" en de sitenaam belastingdienst-in-beeld suggereren een soort kijkje in de keuken. Daar kan ik me dan ook nog wel blogs op voorstellen met in elk een disclaimer dat het om een persoonlijke mening gaat en niet het overheidsstandpunt vertegenwoordigt.

Echter ik zie hier inhoudelijke stukken op zonder disclaimer. Bijv. in https://belastingdienst-in-beeld.nl/geen-huurtoeslag-meer-voor-bewoners-van-recreatiewoningen/ van 23 juni 2017 staat onder meer:
De huurtoeslag wordt niet met terugwerkende kracht per 1 juli 2016 gestopt, maar pas de maand nadat de bewoner een brief van ons hierover heeft ontvangen.
Dit heeft natuurlijk niets met "over de organisatie" te maken. Belangrijker: is deze informatie nu juist of niet? Ik bedoel, is dit het authentieke overheidsbeleid op dit punt, uitgevoerd door de belastingdienst? Zo nee, krijg je gelijk van een rechter als je meer moet terugbetalen en hiernaar verwijst? Zo ja, waarom staat deze informatie dan niet op de officiële site van die belastingdienst? Ik heb er niet naar gezocht, maar stel dat op belastingdienst.nl zou staan dat eigenaren van recreatiewoningen huurtoeslag met terugwerkende kracht tot 1-7-2016 moeten terugbetalen, wat klopt er dan? Dit lijkt op een organisatie die met twee tongen praat.

Over de "whois" antwoorden: geen leek die dat snapt en bovendien, de registrars zijn:
- belastingdienst.nl: "Belastingdienst Centrum voor Infrastructuur en Exploitatie"
- belastingdienst-in-beeld.nl: "Kaliber interactive B.V."
Volgens SIDN:
De registrar is een tussenpersoon die namens de houder verantwoordelijk is voor de registratie en het technisch beheer van een .nl-domeinnaam. Registrars hebben een contract met SIDN en toegang tot het domeinnaamregistratiesysteem.
Dit zegt mij 2 dingen:
1) De belastingdienst heeft een eigen afdeling die zelf domeinen kan registreren, en die afdeling lijkt hier buiten spel gezet te zijn;
2) Kennelijk vindt SIDN het prima dat een commercieel bedrijf een domeinnaam voor een website registreert die "klinkt" als mogelijk iets van een overheidsorganisatie (die notabene zelf zo'n dienst heeft, zie punt 1).

Dat laatste punt verbaast mij totaal niet. De SIDN zal hooguit verhinderen dat domeinnamen geclaimd door de overheid worden gekaapt, maar zal er geen bezwaar tegen maken als ik bij een willekeurige registrar voor .nl namen iets als happy-belastingdienst-friends.nl registreer.

Met andere woorden: alleen als belastingdienst-in-beeld.nl ook door registrar "Belastingdienst Centrum voor Infrastructuur en Exploitatie" was geregistreerd, had ik uit whois kunnen herleiden dat het waarschijnlijk om 2 sites van dezelfde organisatie gaat.

Notabene onderaan belastingdienst-in-beeld.nl (niet onderaan belastingdienst.nl!) staat, met klikbare links:
Websites organisatie
> Belastingdienst.nl
> Douane.nl
> Fiod.nl
> Werken bij de Belastingdienst
> Zakendoen met de Belastingdienst
Hier staat belastingdienst-in-beeld zelf niet bij (ook niet grijsgemaakt, unclickable).

Daaronder, onder "Over deze site" staat niets als een colofon o.i.d. dat uitlegt waarin deze site verschilt van belastingdienst.nl. In https://belastingdienst-in-beeld.nl/cookies/ staat onder meer:
Cookies die wij gebruiken op belastingdienst.nl, douane.nl en toeslagen.nl bevatten geen persoonsgegevens.
Die sitenamen worden meerdere keren genoemd, belastingdienst-in-beeld.nl geen enkele keer. Wellicht geen phishingsite maar wel een amateuristische puinhoop.

Ik ben het dan ook volstrekt eens met anoniem van 12:57: domeinnamen als x.nl en y.nl hebben als enige gemeenschappelijke factor dat het (waarschijnlijk) om Nederlandse organisaties gaat. Als de douane onderdeel is van de belastingdienst, hoort haar website douane.belastingdienst.nl te heten.

Door Anoniem: De belastingdienst is een enorme organisatie, het is een illusie om te denken dat alles daar consistent op dezelfde manier gebeurt
Hoe ze dat intern regelen moeten ze maar zien, maar we hebben het hier over een overheidsorgaan dat met 1 mond hoort te spreken. Twee sub-.nl domeinnamen voor dezelfde overheidsorganisatie -waar elke Nederlander mee te maken heeft- kennelijk vanwege politieke eilandjes en/of ego's, vind ik krankzinnig. Sla maar net zolang koppen tegen elkaar tot de betrokken neuzen, op z'n minst voor op internet gepubliceerde informatie, dezelfde kant opwijzen!

Welke site vertegenwoordigt het overheidsstandpunt, d.w.z. bevat authentieke informatie? (Authenticiteit is onderdeel van integriteit). Dit ondermijnt mijn vertrouwen in de overheid. En belangrijker: met stinkende doch kennelijk "legitieme" domeinnamen als belastingdienst-in-beeld.nl kan ik (beroepsmatig) niet aan leken uitleggen hoe zij phishingsites kunnen herkennen.
05-10-2017, 17:38 door Anoniem
Wat weer eens bewijst dat de afdeling commercie en marketing overal de lakens uitdeelt of denkt te kunnen uitdelen.
Gevolgen van voortgezette privatisering en de managerscultuur, die de dienst uitmaken.

Gevolgen het "belang van het gemeen (wij allemaal dus)" komt steeds verder onder druk en telt niet meer mee of slechts als om het eindproduct te genereren. Overal hetzelfde bij de overheid, semi-overheid, de zorg etc.

Eventjes een Quick and Dirty dus...

Organisatie: Belastingdienst Centrum voor ondersteuning IV Wildcard SSL Ttransip B.V. *)
De certificeringsketen: Addtrust External CA Root - Comodo RSA - 2 intermediate certs - *belastingdienst-in-beeld.nl
Root geïnstalleerd op de server, geen best practices -

* 8 geblackliste URLs - http://sitevet.com/db/asn/AS20857

Af te serveren jQuery library op website: http://retire.insecurity.today/#!/scan/58d816a6f7a8e7f5bb631fc1c7ecba2c25858f3eec9a3b55acd558a5046be826

Cookie rapport: https://webcookies.org/cookies/belastingdienst-in-beeld.nl/9205724

nog meer? -> werken.belastingdienst.nl Lubbers Box Telematica BV


en ...https://pwa001.belastingdienst.nl/piwik/piwik.js
GoogleSafe:
OK Load:
791ms Server: 85.159.98.240
Apache/2.2.15 (Red Hat) ASN: 34663 Netherlands
Belastingdienst/Centrum voor Infrastructuur en Exploitatie Reverse DNS:
pwa001.belastingdienst.nl
05-10-2017, 17:45 door Anoniem
Dit heeft natuurlijk niets met "over de organisatie" te maken. Belangrijker: is deze informatie nu juist of niet? Ik bedoel, is dit het authentieke overheidsbeleid op dit punt, uitgevoerd door de belastingdienst? Zo nee, krijg je gelijk van een rechter als je meer moet terugbetalen en hiernaar verwijst? Zo ja, waarom staat deze informatie dan niet op de officiële site van die belastingdienst? Ik heb er niet naar gezocht, maar stel dat op belastingdienst.nl zou staan dat eigenaren van recreatiewoningen huurtoeslag met terugwerkende kracht tot 1-7-2016 moeten terugbetalen, wat klopt er dan? Dit lijkt op een organisatie die met twee tongen praat.
Deze informatie staat wél op de officiële site van de belastingdienst:
https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/toeslagen/huurtoeslag/huurtoeslag-2017/voorwaarden-2017/zelfstandige-woonruimte

Op de pagina https://belastingdienst-in-beeld.nl/geen-huurtoeslag-meer-voor-bewoners-van-recreatiewoningen/
wordt er o.a. naar doorverwezen met "Zie ook:" en wat er verder volgt. Daar staat dan inhoudelijk hetzelfde, dus niets mis mee.

Het enige zotte eraan is dat de overheid hiermee mensen blijkbaar uit hun permanent bewoonde recreatiewoningen jaagt (waar dat nog is toegestaan) om een flutreden. Er zijn heel wat woningen in de provincie Groningen die minder veilig zijn om in te wonen. En wat denk je van rieten dak-boerderijen (voor zover die worden verhuurt, dat weet ik niet)
06-10-2017, 11:42 door Anoniem
Certificaat is root geïnstalleerd op de server. Organisatie: Organization:
Belastingdienst Centrum voor ondersteuning IV Wildcard SSL
AddTrust en Comodo certificatie chain.
Server versie info proliferatie: Apache/2.4.7 (Ubuntu)
Onveilig in deze zin: Website is insecure by default
100% of the trackers on this site could be protecting you from NSA snooping. Tell belastingdienst-in-beeld.nl to fix it.

All trackers
At least 3 third parties know you are on this webpage.

-belastingdienst-in-beeld.nl
-Google
-pwa001.belastingdienst.nl -pwa001.belastingdienst.nlhttp://toolbar.netcraft.com/site_report?url=https://pwa001.belastingdienst.nl -piwik

C+ graad status & aanbevelingen: https://observatory.mozilla.org/analyze.html?host=belastingdienst-in-beeld.nl

Af te voeren jQuery bibliotheek: http://retire.insecurity.today/#!/scan/b1b51b9aa93b068c1a635a8f491b25aaec5373111ad13bfaf9089d66ec291fcb

Code fouten:
-belastingdienst-in-beeld.nl/wp-includes/js/jquery/jquery-migrate.min.js?ver=1.4.1 benign
[nothing detected] -belastingdienst-in-beeld.nl/wp-includes/js/jquery/jquery-migrate.min.js?ver=1.4.1
saved 10056 bytes 90532aff6d4121954254cdf04994d834f7ec169b
info: [decodingLevel=0] found JavaScript
error: undefined variable jQuery
06-10-2017, 13:01 door Anoniem
Belastingdienst-in-beeld is wel een wordpress site.. de normale belastingdienst site niet
06-10-2017, 13:27 door Anoniem
Juist. Is deze plug-in gecheckt: WordPress Plugins
The following plugins were detected by reading the HTML source of the WordPress sites front page.

responsive-charts
Plugins are a source of many security vulnerabilities within WordPress installations, always keep them updated to the latest version available and check the developers plugin page for information about security related updates and fixes.

WordPress Theme
The theme has been found by examining the path /wp-content/themes/ *theme name* /

Avada Child 1.1.1
While plugins get a lot of attention when it comes to security vulnerabilities, themes are another source of security vulnerabilities within WordPress installations, always keep them updated to the latest version available and check the developers theme page for information about security related updates and fixes.

Information Linked Sites
Google Safe browse checks have been performed on each of the linked sites. Links with poor reputation could be a threat to users of the site. Hosting and location are also included in the results.

Externally Linked Host Hosting Provider Country

www.facebook.com Facebook United States

www.linkedin.com LinkedIn Corporation United States

werken.belastingdienst.nl Lubbers Box Telematica BV Netherlands

twitter.com United States

www.accessibility.nl DataCT v.o.f. Netherlands

www.belastingdienst.nl Belastingdienst/Centrum voor Infrastructuur en Exp Netherlands

Transip BV staat hier centraal als hoster : http://belastingdienst-in-beeld.nl/
GoogleSafe:
OK Load:
481ms Server: 149.210.176.158
Apache/2.4.7 (Ubuntu) ASN: 20857 Netherlands
Transip B.V. Reverse DNS:
belastingdienst-in-beeld.nl

Bovenstaande scan gegevens van een third party scan hier: https://hackertarget.com/wordpress-security-scan/
06-10-2017, 14:33 door Anoniem
Website is insecure by default
100% of the trackers on this site could be protecting you from NSA snooping. Tell belastingdienst-in-beeld.nl to fix it.
Huh?
06-10-2017, 15:26 door Anoniem
Ook verhelderende scan en de rol van hoster TransIP:

https://urlscan.io/result/5737ce0f-d799-43b1-b1f3-d63bf1563c67#summary
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.