De Security en Privacy Dieptepunten van 2011

Posted on December 21, 2011 by Johan Vermij

In de afgelopen maanden even wat weinig geblogd. Een nieuwe baan vreet toch altijd meer energie dan je vooraf denkt. Maar goed, ondertussen is het jaar wel weer voorbijgevlogen. En wat een bewogen jaar is het geweest op Security gebied. Te veel om allemaal op te noemen.

Er is zoveel gebeurd op Security en Privacy gebied dat het volledig terecht is dat Brenno de Winter, alias ‘the Big Wobber’ deze maand verkozen is tot Journalist van het jaar. Aan de ene kant is het triest dat dit gebeurd is: ‘Dit land is zo lek als een mandje en de overheden nemen het niet zo serieus met onze privacy’. Aan de andere kant is het natuurlijk ontzettend positief dat het onderwerp nu zo ontzettend in de spotlights staat. Het is niet meer een niche thema voor IT Nerds of academisch geleuter: Het is de realiteit en de mainstream media aandacht die er nu voor het thema is kan er alleen maar toe leiden dat bedrijven en overheden beter gaan nadenken over de grenzen van privacy en hun maatregelen gaan nemen om de security te verbeteren.

Gisteren was ik in Ede bij de opnamen voor het jaaroverzicht van Ede TV, waar Brenno als één van de gasten aan tafel zat om het jaar van commentaar te voorzien. Als persoonlijk hoogtepunt noemde hij vooral het sepot in de OV Chipzaak;

“Op 5 september 2011 besloot het Openbaar Ministerie de strafzaak tegen Brenno de Winter voor het reizen op gehackte chipkaarten te seponeren”

Het sepot mag natuurlijk nooit een vrijbrief worden om voor eigen voordeel te hacken maar het is een enorme winst in het onderzoek naar security issues. Strikt genomen is bijna elke poging die je onderneemt om te onderzoeken of iets slecht beveiligd is een criminele daad, tenzij je vooraf toestemming hebt. Helaas denken nog steeds veel bedrijven dat het wel goed zit met hun security en zullen ze ook niet snel meewerken aan een penetratietest of security scan.

In de meeste gevallen is het risico dan voor het bedrijf. Wordt men dan toch kwaadwillend gehacked dan is er enorme schade. In een aantal gevallen staat echter de privacy van veel mensen op het spel en dan is het goed dat het sepot er nu ligt:

“Soms weegt het journalistieke belang van het tonen van een misstand –het falen van de OV-chipkaart – zwaarder dan het strafrecht. Er was geen andere weg om dit te tonen. Een goed journalist heeft als taak om misstanden te tonen.”

Een ander hoogtepunt, of eigenlijk dieptepunt, was natuurlijk het failliet van de CA (Certification Authority) DigiNotar. Niet alleen het bedrijf zelf is er aan onderdoor gegaan maar de positie van de CA’s staat onder druk. Vertrouwen is een belangrijk begrip als het om IT gaat. Dit vertrouwen wordt gegeven door de uitgifte van certificaten waarin aangegeven wordt dat je op het internet zaken doet met een bonafide partij. Er zijn steeds meer partijen die onderzoeken of zij een CA voor personen kunnen worden, zoals bijvoorbeeld het Kadaster en de ABN Amro. Is deze persoon echt wie hij zegt dat hij is? Klopt zijn CV op monsterboard of op LinkedIn. Dit is een interessante ontwikkeling, maar als je als CA gecertificeerde persoonsgegevens gaat bijhouden wordt je hacking target nummer één.

Een derde dieptepunt is het lekken van de Miljoenennota 2012 op prinsjesdag 2011. Hoewel er geen man overboord is en er geen staatsgeheimen geopenbaard zijn of echt nieuwe dingen gelekt is het wel een teken aan de wand hoe slordig we zijn in het beveiligen van onze gegevens.

En nu op naar 2012. Een jaar waarin we nog veel opzienbarende lekken zullen tegenkomen.

Databases lokale overheden en de miljoenennota gemeente Utrecht

Posted on September 16, 2011 by Johan Vermij

Het is prijsschieten op de kermis. Na het lekken van de miljoenennota 2012 gisteren was het vandaag weer raak in de IT huishouding van vele lokale overheden.

Gemeenteoplossingen

“Een dienstverlener die vaak zeer vertrouwelijke raadsstukken voor gemeenteraadsleden beheert, blijkt via een kinderlijk eenvoudig lek volledig te kraken. Inmiddels zou het lek gedicht zijn.

Dat blijkt uit onderzoek van Wouter van Dongen, een webexpert van DongIT. Hij was in staat om via een kinderlijk eenvoudige SQL-injection niet alleen in te loggen, maar ook volledige databasestructuur te zien. Omdat de databases ook de wachtwoorden bewaren, is het regelen van toegang tot systemen eenvoudig.”

Bron: Webwereld

Via GemeenteOplossingen.nl waren meer dan 342 databases van verschillende gemeenten besnuffelbaar. Maar dat was nog niet alles. Na Den Haag was Utreg aan de beurt. Hoezo Domstad?

Domstad Nota 2012

Een ezel stoot zich over het algemeen niet twee keer aan de zelfde steen. Na het kinderlijk eenvoudig uitlekken van de Haagse miljoenennota 2012 door een eentje in een tweetje te veranderen bedacht verslaggever René Cazander van het AD/Utrechts Nieuwsblad dat hetzelfde geintje eens bij de gemeente Utrecht moest uitproberen. En tot zijn verbazing met onverwacht succes.

Het kan natuurlijk een keer gebeuren, maar het bijzondere is dat er bij de gemeente kennelijk niemand is geweest die vlak na het uitlekken van de Miljoenennota 2012 gedacht heeft om te kijken of dit in de eigen keuken ook zo was. Welke gemeente is als volgende aan de beurt?

Volgens RTV Utrecht verslaggever Dennis van Ommeren is het eigenlijk helemaal niet zo grappig als dat het er uit ziet, zeker als je je bedenkt dat de gemeente de afgelopen jaren al miljoenen in de IT voorzieningen heeft geïnvesteerd.

Week in ReTweet 37

Posted on September 16, 2011 by Johan Vermij

De afgelopen weken zijn behoorlijk heftig met nieuws op het gebied van cybersecurity, privacy, digitale knulligheden en grootse plannen. Hoog tijd om maar eens een “Week in Review” categorie op te zetten met links naar het meest relevante nieuws op dit gebied. Helaas zijn “Week in Review”, “Security Weekly” of “Keek op de Week niet bijster origineel. Voorlopig maar de werk titel “Week in ReTweet” met een overzicht van artikelen die ik getweet heb.

DigiNotar

Het nieuws van afgelopen week kwam natuurlijk van DigiNotar. Het meest volledige overzicht is te vinden op Security.nl in het DigiNotar dossier.

MiljoenenNotar

Met stip op nummer twee natuurlijk de gelekte Miljoenennota 2012. Na de Notar lijkt de overheid met de Nota notoir de ranglijst securityklunzen aan te gaan voeren.

Via NOS.nl van minuut tot minuut te volgen.

Naast de Haagse Miljoenennota is op dezelfde knullige wijze de Utrechtse begroting 2012 gelekt.

RT @rtvutrecht: Verslaggever Dennis van Ommeren over ICT-blunder #Utrecht. Stad zet #begroting te vroeg online. http://bit.ly/n2ndJO

Via Nu.NL

Verreweg het meeste nieuws komt van Nu.nl, niet omdat ze zulk geweldige speurneuzen zijn maar vanwege het simpele feit dat het Nu-Appje zo makkelijk retweet.

IBM pleit voor cyber-NAVO: http://op.nu.nl/o2oraz

Hackers zijn beveiligingsproblemen beu: http://op.nu.nl/pgBXSx

‘Veiligheid Staat was in geding bij ICT’: http://op.nu.nl/rcpeW9

‘Recht op flexibel werk vanaf 2013’ http://www.nu.nl/economie/2610897/recht-flexibel-werk-2013.html

Vertrouwelijke raadsstukken openbaar door lek: http://op.nu.nl/nn7xW9

Bits of Freedom

Smulweb heeft 1 miljoen passwords onversleuteld opgeslagen. Onversleuteld! http://bit.ly/oki3Tf

Eindhovens Dagblad

Zelf baas worden over je digitale leven – Mening – ED: http://bit.ly/om8qT4

Miljoenennota Prinsjesdag 2011 gelekt

Posted on September 15, 2011 by Johan Vermij

In het kader van Overheid 2.0 bestaat de doelstelling om een stuk opener, transparanter, te worden. Dat gaat ze op dit moment voortreffelijk af. Na het DigiNotar debacle (waar de overheid overigens zelf niet zoveel aan kon doen) stonden vanmiddag de poorten van de schatkist wagenwijd open.

Vanmiddag rond 16.00 uur bleek ineens de Miljoenennota al leesbaar te zijn en werd deze in een razend tempo via Twitter verspreid. Bram Talman twitterde

W000t, heb de miljoenennota 2012 gevonden. Christ wat slecht beveiligd :p”

Hij heeft het stuk gevonden door het adres van de vorige Miljoenennota in te tikken en vervolgens het jaartal te wijzigen. “Het was een uurtje werk“, zei hij tegen de NOS. “Ik had geen wachtwoord nodig of niks.”

Ondertussen is de kamer not amused en lijkt anarchie te heersen in Den Haag, maar hoe spannend is dit nu eigenlijk?

Als project manager ben ik enkele jaren geleden een paar keer verantwoordelijk geweest voor de realisatie van de Rijksbegrotingswebsite en de Prinsjesdag website. Destijds was alles nog onder embargo en mocht er absoluut voor die dinsdag 14.00 openbaar worden.

De organisatie die er omheen stond was best professioneel. Van het ministerie van financiën, de ‘staatsdrukker’ en de IT leverancier. Hoewel… professioneel…

Er mocht echt absoluut niets uitlekken tot het moment supreme. Behalve allerlei geheimhoudingsverklaringen die de programmeurs moesten ondertekenen werden de ramen van de kamer met kranten afgeplakt voor het geval een journalist op de onzalige gedachte mocht komen met een telelens vanuit het kantoor aan de overkant een kiekje te schieten van de schermen. Natuurlijk zorgden we er voor dat pas op het allerlaatse moment de nieuwe website – op een andere server dan de bestaande website – aan het internet gekoppeld werd.

Maar, laten we wel wezen. Wat is er nou eigenlijk allemaal aan de hand? Om maar met Henk Bleker te spreken die tegen Radio1 te kennen gaf “Hoogst ongelukkig, maar het is niet zo dat Nederland in brand staat of zo”

Zijn er mensenlevens in gevaar? Nou nee. Die geheimhouding is natuurlijk een prachtig mediaspektakel. Iedereen is op jacht naar de nota en de spanning bouwt op naar de derde dinsdag. Het is een traditie die we gecreeerd hebben, met allerlei riten er omheen die ondertussen mythische proporties hebben aangenomen. Maar het blijft een spel. Het aandeel van het Koninkrijk der Nederlanden is vandaag niet gedaald. Er zijn geen miljoenen verdampt op de beurs. De grootste ramp waarschijnlijk van vandaag is dat Frits Wester vandaag een keer niet de primeur heeft, ook al twittert hij druk dat hij hem ook al had en nog aan het lezen was. We houden het dus op gekrenkte ego’s. Verder geen slachtoffers vandaag.

Bijkomend voordeel is dat de kans dat de website dinsdag a.s. plat gaat weer een stuk kleiner is geworden. Er zal nu vast geen peak performance gevraagd worden