Korte link naar deze reactie:
https://security.nl/posting/852741.
@Anoniem, vandaag 10:05: allereerst dank voor jouw uitgebreide en niet haatdragende antwoord.
Door Anoniem: Het is wel zo dat het ontbreken van een KvK-inschrijving een signaal is dat je even goed moet opletten waarmee je te maken hebt, [...] kan je overwegen om voor €2,75 een uittreksel uit het handelsregister te kopen bij de KvK
Staan er dan domeinnamen in zo'n uittreksel, en zo ja, hoe up-to-date zijn die? En
als domeinnamen in KvK-uittreksels staan, waarom vermeldt de KvK dat dan niet bij de gegevens die ik
wél zie? En waarom zou ik überhaupt moeten betalen voor het kennisnemen van één of meer domeinnamen?! Hallo KvK, het is 2024!!
Juist domeinnamen lijken mij
niet privacy-gevoelig - ervan uitgaande dat eigenaren willen dat hun website bezocht wordt. De meeste winkels met bakstenen muren hebben allang een website, en voor steeds meer webshops geldt dat er geen alternatief met openingstijden en een toonbank bestaat. De KvK zit
al jaaaren te slapen.
Wat ik probeerde te laten zien is dat het
niets hoeft te zeggen als een website
wel een KvK-inschrijving claimt te hebben. En zoals anderen ook al schreven, lang niet elke eigenaar van een website
ís ingeschreven bij de Nederlandse KvK. Conclusie:
•
Géén KvK-inschrijving betekent niet altijd kwaadaardig;
•
Wél een KvK-inschrijving is als het kunnen overleggen een kopietje paspoort: het kán om een leugen gaan en dus misleidend zijn.
Het zijn
onbetrouwbare aanwijzingen met zowel veel valspositieven als veel valsnegatieven.
Door Anoniem: net zo goed als het gebruik van URL-verkorters dat is, en andere dingen waar je op kan letten die al genoemd zijn.
Wat je beschrijft is een stompzinnig zoekplaatje met zeer onbetrouwbare resultaten als gevolg - vooral voor minder ervaren internetters.
Waarvan op z'n minst een deel,
als gevolg van de gedwongen winkelnering van dit systeem, ernstig gedupeerd raakt (voorbeelden te over, zoek bijv. naar Kifid op deze site). Hoeveel voorbeelden van valspositieven en valsnegatieven moet ik nog geven voordat je toegeeft dat het door jou gesteunde systeem op door en door verrotte heipalen bouwt?
De KvK-aanpak
Terug naar het KvK-systeem: voor een KvK-inschrijving zul je je op een KvK kantoor moeten "legitimeren" met een geldig identiteitsbewijs, om identiteitsfraude zo lastig mogelijk te maken. Verder bestaan er nauwelijks eisen om te kunnen worden ingeschreven.
Zo'n KvK-inschrijving zegt dus,
primair,
NIETS over de
betrouwbaarheid van ingeschrevenen.
De kracht van een KvK-inschrijving is echter dat klanten van ingeschreven individuen (of van verantwoordelijken voor organisaties), kunnen achterhalen
wat de identificerende gegevens zijn van een ingeschrevene. Daardoor is het risico van ingeschrevenen groter als zij zich niet aan de wet houden; iemand die zich opgelicht waant kan aangifte doen of een civiele procedure starten, omdat die klant weet
wie de dader is - mits die klant niet is opgelicht door een identiteitsfraudeur die naar de KvK-gegevens
van een andere, nietsvermoedende en geenszins betrokken partij verwees.
Echter, voor websites is zo'n inschrijving totaal zinloos als de KvK het
webadres (of de webadressen) niet toont, of als het om een Nederlandse organisatie gaat
zonder KvK-registratie, of als het om een buitenlandse partij gaat.
Fix: niet 100% betrouwbaar, wel véél beter dan nu
Net als de KvK was (maar niet meer is), is een betrouwbare derde partij die identiteiten verifieert en koppelt aan
wél beschikbare gegevens (zoals het adres van een fysieke winkel), de best mogelijke oplossing voor het -waardeloze- alternatief dat iedereen zelf maar uit moet zien te vinden met wie zij daadwerkelijk "zaken doen".
Er
bestond een matig
en wereldwijd werkende (beslist niet 100% veilige, beslist niet door iedereen begrepen, beslist voor verbetering vatbare, en beslist strengere audits en sancties vereisende) oplossing die de genoemde soort identiteitsfraude enorm bemoeilijkte. Met een
enorm voordeel voor websites t.o.v. een negentientoenige KvK-inschrijving, namelijk, in plaats van een koppeling tussen:
1) Een uniek, nietszeggend, Nederlands KvK-nummer;
2) Uniek identificerende gegevens van de verantwoordelijke(n);
3) Het verstigingsadres van de verantwoordelijke.
een koppeling tussen:
1) Een, potentieel nietszeggende, wereldwijd unieke pseudonieme identifier, namelijk een domeinnaam;
2) Uniek identificerende gegevens van de verantwoordelijke(n);
3) Een private key "op de server" (toegankelijk voor berekeningen daarmee door de server met de website met diezelfde domeinnaam).
Big Tech heeft dit laatstgenoemde krachtige systeem, opzettelijk, gebruikmakend van leugens en de hulp van vele voor het karretje van Big Tech gespannen, lakse, er
niets van (willen) begrijpende (*) website-beheerders, "succesvol" om zeep geholpen - door punt 2 uit de oplossing te slopen.
(*) Het type dat niet (wil) begrijpen dat de oplossing niet voor hen bedoeld is, maar voor bezoekers van hun website - om hen zo goed als redelijkerwijs mogelijk in staat te stellen om hun website van een nepwebsite te kunnen onderscheiden. Om daarmee het vertrouwen in hun website te vergroten en om te voorkómen dat bezoekers van een nepwebsite (die, inhoudelijk, identiek is aan hun website of daarop lijkt) worden opgelicht. Iets waar zij (en big tech) mede schuldig aan zijn - omdat je niet van alle internetters kunt en mag verwachten dat zij forensiche experts zijn, elke domeinnaam exact kunnen onthouden en überhaupt de tijd hebben/krijgen om allerlei checks te doen, met potentieel onbruikbare resultaten.
Met als gevolg steeds meer anonieme nepsites (beheerd door nauwelijks of niet te traceren oplichters) die nauwelijks of niet van authentieke websites onderscheiden kunnen worden.
Bovendien is het uitgiftesysteem van DV-certificaten uiterst kwetsbaar voor doortastende aanvallers en daarom onvoldoende betrouwbaar voor kritische websites (omdat nepsites te eenvoudig over onterecht uitgegeven certificaten
met dezelfde betrouwbaarheid kunnen beschikken).
De bedoelde kwetsbaarheid ontstaat doordat DV-certificaten voor 100% afhankelijk te zijn van notoir onbetrouwbare protocollen (DNS en BGP, inclusief daarvoor noodzakelijke registraties, en wie geautoriseerd zijn om die records te wijzigen), zoals recentelijk minstens tweemaal het geval bleek; zie
https://security.nl/posting/852185, en uit
https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/ (+):
Threat actors have obtained SSL certificates for the domains in many cases, both from free services like Let’s Encrypt and paid services like DigiCert.
(+) Uit mijn bron (
https://www.bleepingcomputer.com/news/security/sitting-ducks-dns-attacks-let-hackers-hijack-over-35-000-domains/) hiervoor:
Sitting Ducks DNS attacks let hackers hijack over 35,000 domains
By Bill Toulas, August 1, 2024 01:10 PM
Noodzakelijke veranderingen
Nogmaals, van mij mogen gratis DV-certificaten blijven bestaan. Maar omdat zij massaal worden misbruikt voor criminele websites, moet m.i. het volgende gebeuren:
(a) Het schema voor TLS servercertificaten moet worden uitgebreid met ruimte voor méér identificerende (optionele) gegevens, die begrijpelijk zijn voor
mensen (geen "machine readable" keurslijf met "CN=", "O=" etc.);
(b) Elk certificaat moet worden voorzien van een indicator van de betrouwbaarheid waarmee de identiteit van de eigenaar is vastgesteld (door de certificaatuitgever) met verwijzingen naar de daarvoor toegepaste procedures;
(c) Elke certificaatuitgever moet regelmatig worden geaudit door aantoonbaar onafhankelijke partijen (niet door de brance zelf) en een betrouwbaarheidsscore krijgen. Ook de auditors moeten, van een wereldwijde onafhankelijke toezichtsorganisatie, een regelmatig bijgestelde betrouwbaarheidsscore krijgen;
(d) Op z'n minst als mensen (vanzelfsprekend via https) met een specifieke webbrowser een specifieke website
voor het eerst bezoeken, moet die browser, nog vóórdat deze
überhaupt content van die website ophaalt (en identificerende gegevens van browser van de internetter met de server deelt) de internetter laten zien wat er, op basis van het certificaat, bekend is over de website. Dus, indien beschikbaar,
wie verantwoordelijk is voor die website, en -mits de gegevens van de verantwoordelijke uit het certificaat afkomstig zijn- de betrouwbaarheid van die gegevens, aangevuld met de betrouwbaarheidsscores van de certificaatuitgever en van de toezichthoudende auditor(s). De keuze om wel of niet met een specifieke website te communiceren, moet
niet door Big Tech - maar weer door
internetgebruikers zelf worden gemaakt (zonder het bos te worden ingestuurd met, al dan niet aanwezige, vaak extreem onbetrouwbare "aanwijzingen");
(e) Voor
elke third party website, waar de primaire website hun browsers mee laat communiceren, moet punt (d) ook
by default aan staan. Bovendien moet worden vermeld welke soorten informatie er met elke third party zullen worden uitgewisseld en welke data er client-side zal worden opgeslagen (waaronder tracking cookies). Nb. ik vind het prima als gebruikers dat "toestemming vragen" voor third party sites uit zouden kunnen zetten, d.w.z. dat zij alle eigenaren van primaire sites voldoende vertrouwen (m.i. onterecht, maar soit) bij hun keuzes voor third party sites;
(f) Internetters moeten
de keuze hebben om communicatie met specifieke third party sites te weigeren. De primaire site moet duidelijk maken wat daar de consequenties van zijn (desgewenst dat je dan geen toegang krijgt tot de primaire site). Het moet voor internetters, vooral degenen die de risico's (willen) inzien, véél duidelijker worden welke risico's zijn lopen indien zij "een" website bezoeken;
(g) Het moet voor internetters, die een website bezoeken, te allen tijde mogelijk zijn om de browser een overzicht (inclusief tenaamstellingen in certificaten) te laten genereren van alle (ook third party) websites waarmee de browser sinds de start van de sessie mee communiceerde en evt. nog mee communiceert. Tevens moeten browsermakers verplicht worden om hier, op verzoek van de gebruiker, redelijk begrijpelijke logging van te produceren die een in te stellen tijd wordt bewaard (en beslist ontoegankelijk is vanuit code in webpagina's);
(h) Browsers moeten tutorials aanprijzen (bevatten en/of daarnaar verwijzen) die internetters uitleggen waarom het belangrijk is om te weten
wie verantwoordelijk is voor een website met de daarop getoonde informatie en/of aangeboden downloads - vooral als je vertrouwelijke gegevens deelt met zo'n website, en beslist als het gaat om een website die bezoekers zou kunnen oplichten. Ook moeten die tutorials inzichtelijk maken waarom het belangrijk is om te weten welke third party sites er allemaal "meekijken" en/of zelf content aanleveren;
(h) Indien een website, ná het door de gebruiker gegeven akkoord voor de uitwisseling van specifieke gegevens, die afspraken aan diens laars lapt, moet de browser de sessie beïndigen met een foutmelding. Nb. het moet beslist
niet worden toegestaan dat een site
later om "aanvullende permissies" kan vragen (dergelijke functionaliteit zal ongetwijfeld worden misbruikt. Keihard afstraffen is het enige dat zal helpen).
De blunder
Met Let's Encrypt heeft Big Tech ons een betrouwbaarder internet beloofd, maar het tegendeel werd bewaarheid - namelijk doordat ons
eenheidsworst werd opgedrongen, waardoor internetters geen omderscheid meer kunnen maken tussen enerzijds een zwaar beveiligde webserver met een website bestemd voor bijvoorbeeld internetbankieren of het uitwisselen van gezondheidsgevens, en anderzijds een criminele website draaiend op een anonieme Raspberry Pi, een gehackte server, een server van een bullet-proof Russische hoster en/of -steeds vaker- verstopt achter een CDN-proxyserver zoals van Cloudflare.
Het is de hoogste tijd dat we stoppen met accepteren dat Big Tech de lakens uitdeelt op internet, vooral omdat zij daarmee cybercriminaliteit faciliteren - simpelweg omdat zij daaraan
meeverdienen.