Security Professionals - ipfw add deny all from eindgebruikers to any

EP: eIDAS2, EDIW: OK

01-03-2024, 14:12 door Erik van Straten, 9 reacties
Zoals ik gistermiddag al meldde ([1]) is het EuroParlement akkoord gegaan met het eIDAS 2.0 voorstel van de Europese Commissie.

Zoals viel te verwachten is het een flutcompromis geworden: u kunt uw digitale identiteit straks te grabbel gooien op lijkt-op-maar-hartstikke-nep-websites met een DV (Domain Validated) certificaat.

Mijn argumenten hiertegen noemde ik, ruim 1 jaar geleden ([2]), aan Ivo Jansch, één van de architecten van EDIW (European Digital Identity Wallet).

Nb. Ivo Jansch was ook de architect van CoronaMelder en CoronaCheck. Ik verwacht dat EDIW -eveneens na veel onnodige slachtoffers (toen qua levensverwachting, nu financieel en emotioneel) - uiteindelijk net zo "succesvol" gaat zijn.

Waarom dit in NL geen nieuws is, weet ik niet (onze oosterburen vinden het wel interessant [3][4]).

[1]: https://security.nl/posting/831757

[2]: https://tweakers.net/nieuws/204138/nederland-krijgt-een-paspoort-voor-op-internet-hoe-gaat-dat-werken.html?showReaction=18249704#r_18249704

[3]: (cookieplicht) https://www.golem.de/news/eidas-2-0-webbrowser-duerfen-staatliches-https-mitm-weiter-verhindern-2402-182744.html

[4]: https://www.heise.de/news/EU-Parlament-beschliesst-Online-Ausweis-beschraenkt-staatliche-Root-Zertifikate-9643681.html
Reacties (9)
01-03-2024, 14:25 door majortom
Inderdaad een erg slechte ontwikkeling. Na de invoering van de DSA, nu ook de eIDAS 2.0. Nu nog de EHDS. digitale Euro en de centrale biometrische database en de ellende is compleet.
01-03-2024, 14:33 door Anoniem
Browsers kunnen CAA controleren.
01-03-2024, 15:21 door Erik van Straten - Bijgewerkt: 01-03-2024, 15:21
@majortom: je vergeet CSS.
01-03-2024, 15:34 door majortom
Door Erik van Straten: @majortom: je vergeet CSS.
Ja, inderdaad, hoe kon ik die vergeten! Zal nog wel meer vergeten zijn vrees ik.
01-03-2024, 15:52 door Erik van Straten - Bijgewerkt: 01-03-2024, 16:02
Door Anoniem: Browsers kunnen CAA controleren.
Fijn.

Maar stel dat browsers dat zouden doen, hoe helpt dat dan tegen domeinnamen zoals gall-slijterij.nl, pornhub-leeftijdsverificatie.com of microsoft.secure-ediw-validation.eu ?

(Los van dat steeds meer, zichzelf hoog inschattende, aan bezoekers scheit hebbende, malloten overstappen op voor phishingsites bestemde [1] DV speelgoedcertificaten van Let's Encrypt - hoe gaat CAA jou, als websitebezoeker, dan helpen om nep van echt te onderscheiden?)

Om een idee te krijgen van de enorme hoeveelheid phishing-domeinnamen (vooral geparkeerde voormalige, die nu worden "witgewassen" door een parkeerder) bij Amazon: zie [2].

[1] https://www.virustotal.com/gui/ip-address/213.226.123.15/relations

[2] https://www.virustotal.com/gui/ip-address/199.59.243.225/relations.

Nb. klik bij bovengenoemde URLs een aantal maal op de eerste • • • die je, van boven naar beneden, tegenkomt in die pagina en let op de datum links (als je te snel achter elkaar klikt, moet je "bewijzen" dat je geen robot bent).

Als je rechts op een domeinnaam klikt, en vervolgens op de "Details" tab van VirusTotal, kun je, voor de meeste domeinnamen, een stukje naar beneden, het laatste door VT gesignaleerde (altijd DV) certificaat zien. Je kunt ook het "meest rechtse" deel van de domeinnaam invullen op https://crt.sh/, of in de URL meegeven, zoals in:

https://crt.sh/?q=avgsysteemveiligheid.com

(Bron voor die laatste, nog live om 15:51, niet geblokkeerd door Google Safe Browsing, phish-site: https://tweakers.net/nieuws/219250/#r_19668934).

Aanvulling 16:02, hier een mooie die zojuist voorbij kwam op genoemd Amazon IP-adres:

https://crt.sh/?q=internationaldrivingpermits.uk

"Meld u aan met uw EDIW om een rijbewijs te verkrijgen dat geldig is in ergenzië".
01-03-2024, 16:41 door Anoniem
Nederland heeft niets meer in te brengen in de EU.
https://www.europarl.europa.eu/doceo/document/CRE-9-2024-02-28-ITM-024_EN.html

Het commentaar van Nederland:

Michiel Hoogeveen, namens de ECR-Fractie. – Voorzitter, hoe de Europese digitale identiteit tot stand is gekomen, is een belediging voor de democratie. In het Nederlandse parlement werd in december 2022 een motie bij meerderheid aangenomen, waarbij staatssecretaris van Digitalisering Van Huffelen werd opgeroepen niet in te stemmen met de Raadsconclusies over de Europese digitale identiteit. Deze brengt namelijk ernstige risico’s met zich mee, zoals de centrale opslag van data en onveilig gebruikte technieken. Van Huffelen legde dit naast zich neer en stemde toch voor.

Het Nederlandse kabinet heeft dus ingestemd met een Europese wet waar de Tweede Kamer expliciet nee tegen heeft gezegd. Als in de EU nationale parlementen worden genegeerd, waarom zijn ze er dan überhaupt nog? De mensen die hierover moeten beslissen, zijn de Nederlandse kiezers via onze democratische mechanismen en procedures. Als we daartoe niet bereid zijn, dan kunnen we net zo goed onze nationale parlementen meteen sluiten en veranderen in een museum.


Gerolf Annemans, namens de ID-Fractie. – Voorzitter, collega’s, vandaag staan we op een kruispunt. We moeten een beslissing nemen die in de toekomst diepgaande gevolgen zal hebben voor de vrijheden van Europese burgers en voor hun privacy. De hier voorgestelde wetgeving over een digitale identiteit voor de hele Europese Unie verbergt een gevaarlijke, ja zelfs een sinistere agenda.

Het idee van een digitale portemonnee legt in feite de laatste hand aan een pad dat ons zal leiden naar de totalecontrolemaatschappij. Of het nu Big Brother of Brave New World is: ik laat het in het midden. Het is een Europese Unie waarin elke transactie, elke beweging, elke interactie wordt vastgelegd. Een werelddeel waar de vrijheden van de burger afhankelijk kunnen worden gemaakt van een digitaal groen licht. Dit wordt geen comfort, maar een leiband. Geen wallet, geen portemonnee, maar een gevangenis.

Privacy-experts hebben sinds het ontstaan van dit voorstel de alarmbel geluid en gewaarschuwd. Want hoe vrijwillig is een systeem dat naleving van regels gecentraliseerd kan afdwingen door de toegang tot essentiële diensten toe te staan en dus ipso facto ook níet toe te staan? De Europese Unie kan van hieruit een allesomvattende en altijddurende QR—codemaatschappij worden.

Ik roep daarom mijn collega’s op om het zekere voor het onzekere te nemen en om deze toegangspoort tot een sociaal kredietsysteem naar Chinees model te verwerpen. De keuze die voor ons ligt, is duidelijk: een toekomst van surveillance en controle omarmen, of de principes van vrijheid en autonomie hooghouden die onze democratische samenleving definiëren.
01-03-2024, 17:29 door Erik van Straten
Aanvulling op mijn laatste bijdrage - uit het leven van iemand met de beste bedoelingen.

De link naar mijn tweakers.net reactie werkt niet meer. Een mod (moderator) die niets lijkt te begrijpen van onschadelijk gemaakte links (naar een site met niet eens malware daarop) heeft éérst uitgebreid in mijn Tweakers reactie zitten editten, waaronder de link naar crt.sh op het einde verwijderd, waardoor mijn reactie een zinloos rommeltje werd (dit systeem heb ik al heel vaak toegepast op Tweakers, wat er ineens veranderd is ontgaat mij - anders dan dat die mod een hekel aan mij heeft; dat mag, maar modden doe je objectief). Daarna heb ik mijn hele reactie vervangen door uitleg waarom ik dat deed. Vervolgens heeft die mod mijn hele posting verwijderd. Fijne discussie zo :-(

Overigens reageerde ik op https://tweakers.net/nieuws/219250/#r_19668858 (ook daarin heeft dezelfde mod zitten editten, ruim nadat BI-Forcer de link onschadelijk had gemaakt - zoals ik voorstelde - en gebruikelijk is op *veel* websites. Nb. die mod heeft ook een reactie van BI-Forcer verwijderd waarin zij|hij mij bedankte en aangaf de link te hebben aangepast).

Mijn reactie luidde, met "inline URL's" noodzakelijkerwijs vervangen door "[]":
 
01-03-2024, 14:46 door ErikvanStraten @BI-Forcer
Dank! Verzoek: maak die link niet klikbaar, bijv. door er bijv. van te maken:

hxxps://avgsysteemveiligheid[.]com/rabobank/

Zojuist AnyDesk.exe vanaf die pagina gedownload, het gaat om de echte versie (zie Signature info op deze VirusTotal pagina [1]).

Microsoft Defender kan deze blokkeren [2], doe dus NIET wat hier [3] staat.

Aanvulling 15:02: Googlen naar site:avgsysteemveiligheid.com toont subpagina's voor de volgende banken: ABN AMRO, Triodos, SNS, banq [sic] en knab.

Aanvulling 15:05: voor de nepsite zijn, sinds 22 feb, 4 https servercertificaten uitgegeven [4].

[1]: https://www.virustotal.com/gui/file/55e4ce3fe726043070ecd7de5a74b2459ea8bed19ef2a36ce7884b2ab0863047/details

[2]: https://borncity.com/win/2024/02/29/microsoft-defender-blocks-anydesk-clients-since-28-february-2024/

[3]: https://support.anydesk.com/knowledge/i-receive-windows-defender-smart-screen-when-i-want-to-open-anydesk-what-should-i-do

[4]: https://crt.sh/?q=avgsysteemveiligheid.com

[Reactie gewijzigd door ErikvanStraten op 1 maart 2024 15:05]
02-03-2024, 03:11 door Anoniem
Door Erik van Straten: (Los van dat steeds meer, zichzelf hoog inschattende, aan bezoekers scheit hebbende, malloten overstappen op voor phishingsites bestemde [1] DV speelgoedcertificaten van Let's Encrypt - hoe gaat CAA jou, als websitebezoeker, dan helpen om nep van echt te onderscheiden?)

Hoe wil je clueless admins een clue geven?

Ik ken je gevoel over Let's Encrypt, maar laten we wel wezen, als je een phishing target bent en je gebruikt Let's Encrypt is er iets misgegaan in de selectieprocedure van een certificaatprovider. Uitgangspunt zijn admins mét een clue.

Ik heb je al eens eerder uitgelegd dat veel van die geregistreerde domeinnamen niet worden gebruikt, de meeste phishing heeft landing pages op gehackte servers. Meestal WordPress of een ander CMS met kwetsbare plugins.

Dat jij deze domeinen kunt vinden zegt niets over het daadwerkelijke gebruik. Ik heb zo nu en dan tienduizenden van dergelijke domeinen geblacklist met nauwelijks een hit in queries.

Overigens, geparkeerde sites worden soms verhuurd aan webcriminelen, al dan niet per ongeluk. Kijk goed naar de timeline, daarvoor moet je wel die data eerst hebben. Snowshoe spammers registreren ook tienduizenden domeinen, die lang niet allemaal worden gebruikt. Het aantal domeinen zegt daar ook weinig over het bereik.
03-03-2024, 08:17 door Erik van Straten - Bijgewerkt: 03-03-2024, 09:09
Door Anoniem: [...]
Ik heb je al eens eerder uitgelegd [...]
UITGELEGD? In de zin van "Erik, je lult uit jouw nek"? (Wat ik nooit uitsluit).

Maar dan verneem ik graag: welke IK weet het beter, en WAAR schreef jij dat, op basis van WELKE AANTOONBARE FEITEN?

Het probleem nogmaals toegelicht, nu a.d.h.v. https://www.bleepingcomputer.com/news/security/news-farm-impersonates-60-plus-major-outlets-bbc-cnn-cnbc-guardian/:
News farm impersonates 60+ major outlets: BBC, CNN, CNBC, Guardian...
March 2, 2024 11:31 AM, by Ax Sharma
[...]
[...]
www.dutchnewstoday.com
[...]
www.neatherlandnewstoday.com [sic]
[...]
Stel je Googled (of DuckDuckGoëd) naar een nieuwsitem zoals verzakkende huizen, klikt op de link en komt uit op zo'n site. Als je weet dat je naar domeinnamen moet kijken, en hoe je die uit URLs moet plukken, zou je aan die laatste kunnen zien dat deze nep is.

Maar als je op die eerste site uitkomt (met, zo te zien kopiën van nieuwsitems op https://dutchnews.com), zoals op de pagina https://www.dutchnewstoday[.]com/sinking-feeling-425000-properties-have-bad-foundations-dutchnews-nl/, met al meer dan 1 jaar Let's Encrypt certificaten (zie https://crt.sh/?q=dutchnewstoday.com) en leest:
Sinking feeling: 425,000 properties have bad foundations – DutchNews.nl
By Admin, February 29, 2024
[...]
… hoe weet je dan of het klopt wat daar staat? En vooral, of de links verderop op die pagina naar "eveneens" betrouwbare websites leiden?

Internet is een jungle met veel roofdieren - ongeschikt voor EDIW.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.