De Jonge: scantool KAT vindt honderden kwetsbaarheden in zorgdomein
Met een scantool die het ministerie van Volksgezondheid ontwikkelt zijn al honderden kwetsbaarheden in het zorgdomein gevonden en meer dan twintig beveiligingslekken in systemen van de Tweede Kamer, zo heeft demissionair minister De Jonge van Volksgezondheid laten weten.
De tool heet KAT, wat staat voor Kwetsbaarheden Analyse Tool, en is een opensourcesysteem dat allerlei bestaande tools integreert, alsmede diverse nieuw ontwikkelde securitytests bevat. Vorige maand berichtte Security.NL al over de KAT-scantool, die in de eerste helft van 2022 openbaar moet worden. In een brief aan de Tweede Kamer heeft De Jonge meer details over de tool gegeven, die is te gebruiken voor het scannen van kwetsbaarheden in apps, software en infrastructuren en de uitslagen hiervan aan elkaar kan verbinden.
KAT kan systemen continu scannen en controleren of eraan beveiligingseisen en andere eisen wordt voldaan. "Waar nodig worden kwetsbaarheden en wijzigingen automatisch gemeld voor opvolging door medewerkers. Tijdrovende noodzakelijke handelingen worden geautomatiseerd en daardoor sneller uitgevoerd. Zo krijgen de betrokken informatiebeveiligingsexperts met KAT gemakkelijk de juiste context aangereikt om keuzes te maken", stelt De Jonge.
Minder afhankelijk
Volgens de minister zorgt KAT ervoor dat de overheid minder afhankelijk wordt van externe factoren en snel kwetsbaarheden kan vinden. "Snelheid is in deze tijd ook belangrijk om in te grijpen op mogelijke aanvallen, misstanden of onjuistheden. Zo scannen we elke dag alle testaanbieders die zijn aangesloten op CoronaCheck. Dit om te kunnen blijven garanderen dat de dienstverlening die wordt aangeboden zo min mogelijk risico’s kent en voldoet aan gestelde eisen en normen. Hiermee hebben we al honderden kwetsbaarheden gedetecteerd en samen met de stelselpartners opgepakt", aldus De Jonge.
Op dit moment wordt KAT specifiek binnen het zorgdomein toegepast. Het plan is om de tool in de eerste helft van volgend jaar als opensourcepakket beschikbaar te maken. "Dit is wat mij betreft pas het begin, want met meer ogen zien we ook meer. Met die gedachte hoop ik dat KAT een beweging op gang brengt bij een grotere community van bedrijven, (semi-)overheden en experts op het gebied van security en compliancy", laat de minister weten. Die voegt toe dat hij KAT wil blijven ondersteunen voor de informatieveiligheid van onder meer zijn eigen ministerie, de Rijksoverheid en de zorg.
KAT is inmiddels met toestemming ook toegepast op de systemen van de Tweede Kamer, wat 22 beveiligingslekken opleverde. Geen van deze kwetsbaarheden valt in de risicocategorie critical of high. De informatie is gedeeld met het Nationaal Cyber Security Center (NCSC) en inmiddels is de Tweede Kamer hiermee aan de slag gegaan. "Ik ben blij dat ik op deze manier heb kunnen bijdragen aan het veiliger maken van het systeemlandschap van de Tweede Kamer", besluit De Jonge.
Rutte is een fantastische gast, ik zou hem graag bij mij op bezoek willen hebben, maar de schade die zijn kabinetten hebben aangericht aan de zorg is onvergeeflijk.
Of lid van een hackbeweging.
Dunne lijn blijkbaar.
Blijkbaar de bedoeling dat er veel mensen van boven de 67 sterven.
Scheelt weer uitkering. Dat kan dan weer naar de vriendjes, waar later een goedbetaald baantje wordt geregeld.
Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.
Zorg ervoor dat de boel van alle updates voorzien zijn!
https://www.security.nl/posting/586115/Google-fuzzer+vindt+9_000+bugs+in+opensourcesoftware
Voor hetzelfde geld is het weer zo'n groene-vinkjes-zetter die mekkert over TLS versies en encryptiemethoden, of over
het al dan niet hebben van DMARC of DANE.
Gerelateerde en momenteel zeer relevante berichtgeving: trefwoord "fuzzer"
VS lanceert Log4j-scanner voor het vinden van kwetsbare applicaties
woensdag 22 december 2021, 16:44 door Redactie
https://www.security.nl/posting/735340/VS+lanceert+Log4j-scanner+voor+het+vinden+van+kwetsbare+applicaties
De voor de hand liggende oplossing is de fuzzer richten op een specifiek voor dat doel opgesteld testsysteem, dat geheel los staat van de productie -- maar dat verder identiek is aan wat er aan programmatuur op de productie wordt gedraaid.
Voor hetzelfde geld is het weer zo'n groene-vinkjes-zetter die mekkert over TLS versies en encryptiemethoden, of over
het al dan niet hebben van DMARC of DANE.
KAT maakt door middel van de geïntegreerde tools een kopie van de feitelijke werkelijkheid. Binnen deze kopie kan gezocht worden naar antwoorden op legio beveiligingsvraagstukken en beleidsvragen. Verwachte en onverwachte veranderingen in de wereld worden zichtbaar gemaakt, én waar nodig gerapporteerd of direct bij de juiste personen kenbaar gemaakt.
Dus ja, je kan aan KAT vragen hoe je TLS er bij staat en of er DMARC op je domein zit; maar je kan ook zien sinds wanneer.
Je leest dat dat het plan is, daar heeft/had Hugo er wel meer van :-) Voorlopig is het vooral Figma met veel 'lorem ipsum', vast nodig om te laten zien hoe eenvoudig en overzichtelijk het allemaal kan zijn (tot gebruikers de ellende zien die de scanners in de backend aan het licht brengen en de eigen IT'ers snel de toko verlaten om niet verantwoordelijk te worden gehouden voor de teringzooi die ze er van gemaakt hebben..)
Zou KAT door een WAF heen komen?
Wordt die KAT (VAT) betaald met BTW (VAT)?
Serieuzer: komt KAT beschikbaar voor Nederlandse bedrijven voordat het volledig open-source wordt (en het ook door aanvallers wellicht gebruikt gaat worden)?
Ik zie het innovatieve niet.
Vele problemen gevonden in het zorgdomein. Dat is niets bijzonders is al vaak genoeg eerder aangegeven. De onderliggende scantools zijn eerder gebruikt. De problemen met trackers zijn eerder aangegeven.
Of het echte problemen zijn is nog onduidelijk. Het bewijs ontbreekt te vaak. Wordt er een zoveelste keer aandacht getrokken? Wat moet verborgen blijven met deze aandacht?
Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.
Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.
Aldus geschreven in een brief van de Minster aan de voorzitter van de tweede kamer, in de allerlaatste zin. Daar waar iedereen altijd 'ik' schrijft, voor zover ik het even kan nazien. Dat wij die brief mogen lezen is slechts het mooie van onze democratie.
Dat woord komt in die brief 6 keer voor overigens. Op 1.307 woorden in totaal.
Hoe zou jij het opschrijven zonder wollig of onleesbaar te worden?
De voor de hand liggende oplossing is de fuzzer richten op een specifiek voor dat doel opgesteld testsysteem, dat geheel los staat van de productie -- maar dat verder identiek is aan wat er aan programmatuur op de productie wordt gedraaid.
Zoiets flikte een groot bedrijf beginnend met M en een S ook een keer bij me toen ik een zwaar issue voor ze had opgelost als developer.
En mijn naam doet niet dat ter zake maar dat pochen is om te kosten.
Gelijk gegeten en gedronken en doe er nooit meer zaken mee.
Bescheidenheid siert de mens
Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.
Aldus geschreven in een brief van de Minster aan de voorzitter van de tweede kamer, in de allerlaatste zin. Daar waar iedereen altijd 'ik' schrijft, voor zover ik het even kan nazien. Dat wij die brief mogen lezen is slechts het mooie van onze democratie.
Dat woord komt in die brief 6 keer voor overigens. Op 1.307 woorden in totaal.
Hoe zou jij het opschrijven zonder wollig of onleesbaar te worden?
"Dat deze voorziening vanuit het ministerie gedeeld kan worden is iets waar ik trots op ben."
Zoiets?
Nee, serieus hoeveel scantool zijn er niet op de markt te verkrijgen ook open source
Misschien kan Brenno de Winter uitleggen wat nu echt de toegevoegde waarde is
Omfg... Kregen ze de vrachtwagens nog opgesteld door die betonnen balk te storten die je voor je kop hebt? Hoe is het toch in vredesnaam mogelijk dat ik steeds weer van dit soort BS lees?!
Wat een lacher dit. Er zijn een aantal van deze tools die dit veel beter doen en waar hele research teams achter zitten om het up to date te laten zijn en blijven. Schoenmaker houd je bij de leest.
Zou KAT door een WAF heen komen?
Wordt die KAT (VAT) betaald met BTW (VAT)?
Serieuzer: komt KAT beschikbaar voor Nederlandse bedrijven voordat het volledig open-source wordt (en het ook door aanvallers wellicht gebruikt gaat worden)?
als het maar geen KAT in de ZAK is dan he?
woensdag 6 juli 2022, 10:35 door Redactie
https://www.security.nl/posting/759776/Ministerie+van+Volksgezondheid+maakt+scantool+KAT+open+source
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
