Veilige e-mailstandaarden: niet omdat het kan, maar omdat het moet!

Ik schreef eerder over beveiligingsstandaarden die e-mail betrouwbaarder maken: SPF, DKIM en DMARC. Het merendeel van deze standaarden is inmiddels verplicht voor overheidsorganisaties. Ook private organisaties doen er verstandig aan om deze standaarden zo snel mogelijk te implementeren. Het ontbreken van deze standaarden kan zomaar voor veel problemen zorgen. Niet alleen voor de eigen organisatie, maar ook voor de rest van de wereld. En daarvan heb ik -helaas- een mooi voorbeeld. Lees meer

Restaurants met tablets: hacken als toetje

Je komt het steeds vaker tegen in restaurants: een tablet die per tafel fungeert als digitale menukaart, en waarmee je zonder tussenkomst van bedienend personeel bestellingen kunt plaatsen. Super handig, met name in all-you-can-eat restaurants waar je gedurende een aantal rondes meerdere kleine gerechten per persoon kan bestellen. Vorige week vrijdag at ik samen met een aantal collega’s bij een Japans restaurant in het midden van het land en maakten we gebruik van zo’n tablet. Op basis van visuele kenmerken had ik meteen door dat het om een Windows tablet ging. Bij het ontgrendelen van de tablet voor een volgende bestelronde, viel me op dat de gebruikersnaam van de ingelogde gebruiker ‘beheer’ was. Mijn interesse was meteen gewekt, maar we spraken af om de nieuwsgierigheid nog even te onderdrukken en eerst op ons gemak te eten. Lees meer

MySchoolApp Junior lekt privacygevoelige gegevens basisschoolkinderen

Het zoontje van een goede vriend gaat naar basisschool De Grote Reis (onder bestuur van de RVKO) in de regio Rotterdam. Begin 2016 werd ik door deze vriend gebeld met de vraag om eens door een beveiligingsbril naar de app MySchoolApp Junior (iOS, Android) te kijken. Sinds een aantal maanden werd deze, door Orange in a box BV ontwikkelde app, door de school ingezet om te kunnen communiceren met de ouders/verzorgers van het schoolgaande kroost. Zo kunnen ouders/verzorgers hun contactgegevens up-to-date houden, maar bijvoorbeeld ook aangeven of hun zoon of dochter zonder begeleiding naar huis mag, bepaalde allergieën heeft, of een bepaalde geloofsovertuiging heeft. Los van het feit of dergelijke bijzondere persoonsgegevens vastgelegd mogen worden, begrijp ik prima dat ouders/verzorgers en onderwijsinstellingen een communicatiebehoefte hebben. De uitvoering laat echter te wensen over, en de opvolging naar aanleiding van een responsible disclosure melding op 2 februari 2016 ook. Lees meer

Toekomstbestendige hosting voor web en e-mail (update)

Ik liep al enige tijd rond met het idee om wat nieuwe technieken in te zetten ten behoeve van mijn hosting praktijk. Een aantal weken geleden vond ik dan eindelijk de tijd én motivatie om ermee aan de slag te gaan, en uiteindelijk heeft dit geresulteerd in de implementatie van IPv6, SPF, DKIM, DMARC, DNSSEC en DANE. Hiermee wordt de bereikbaarheid en veiligheid van gehoste websites en de e-mailvoorziening verder verbeterd. Op dit moment pas ik de technieken uitsluitend toe op mijn eigen domeinen, maar ik ben inmiddels bezig met de uitrol naar de domeinen van alle klanten. Mijn ambitie is om deze technieken voortaan standaard in te gaan zetten. In deze blogpost vertel ik je per bovengenoemde techniek over mijn ervaringen tijdens de implementatie ervan. Lees meer

TLS verkeer debuggen zonder privésleutel

Een medewerker van een klant vroeg me laatst of het mogelijk is om een package capture (pcap) van een TLS verbinding te decrypten voor debugging en/of troubleshooting doeleinden. Mijn initiële reactie was dat dit alleen mogelijk is wanneer je beschikt over de privésleutel waarmee de TLS verbinding is opgezet. Maar toen ik er wat beter over nadacht, realiseerde ik me dat dit niet meer klopt. “Vroeger” was dit onder bepaalde omstandigheden wel mogelijk, maar bij een moderne TLS verbinding werkt dit niet meer als gevolg van verbeterde protocol eigenschappen. Lees meer

Versleuteld e-mailverkeer vaak toch niet veilig

Het uitwisselen van informatie is tegenwoordig net zo gewoon als water uit de kraan. Veel organisaties richten hier separate voorzieningen voor in, of besteden dit zelfs uit aan een externe partij. Wanneer de uitwisseling beperkt van omvang en incidenteel van aard is, maken organisaties echter nog steeds graag gebruik van het oude vertrouwde e-mail. Deze voorziening is vaak al aanwezig, waardoor het gebruik ervan goedkoop en bovendien snel geregeld is. Maar ook bij uitwisseling via e-mail is het belangrijk om de beveiliging goed te regelen. Helaas gaat dit niet altijd goed, en zie ik nog regelmatig dat er ten onrechte wordt vertrouwd op maatregelen die niet de benodigde zekerheid bieden. Lees meer

Afhankelijk van willekeur: /dev/random vs /dev/urandom

Een aantal weken geleden werd ik gebeld met een interessante vraag: “De entropy op een productieserver wordt niet snel genoeg aangevuld, waardoor processen vertragen. Deze wachten namelijk totdat er weer voldoende entropy beschikbaar is. Is het veilig om /dev/urandom te gebruiken in plaats van /dev/random?”. Eerlijk is eerlijk, mijn eerste gedachte was: kan dit opraken dan? Ja dat kan, is eigenlijk ook heel logisch, maar ik was een dergelijk probleem nog nooit eerder tegengekomen. En daardoor was er dus ook niet eerder een aanleiding geweest om me hier wat verder in te verdiepen. De hoogste tijd dus om dat te gaan doen.  Lees meer

Android en iOS apps kwetsbaar voor man-in-the-middle aanval op SSL

Eind juli ontdekte ik een kwetsbaarheid in de wijze waarop een aantal Android apps een SSL verbinding opzetten. Het beveiligingscertificaat werd niet (goed) geverifieerd, waardoor een man-in-the-middle aanval op SSL relatief makkelijk kan worden uitgevoerd. Benieuwd of ik nog meer kwetsbare apps kon ontdekken, nam ik een aantal steekproeven onder (voor mij) bekende Android en iOS apps en stopte ik met 9 apps van 8 leveranciers op de teller. Middels een responsible disclosure heb ik de desbetreffende leveranciers geïnformeerd en ze ruimschoots de gelegenheid gegeven om de kwetsbaarheden te verhelpen. Lees meer

Android apps verifiëren SSL certificaat niet

Tijdens het uitvoeren van een man-in-the-middle (MITM) aanval binnen een geïsoleerde Wi-Fi testomgeving, ontdekte ik dat een tweetal Android apps het beveiligingscertificaat niet verifieert tijdens het opzetten van een SSL/TLS verbinding met servers op internet. Hierdoor was het in beide gevallen mogelijk om inloggegevens te onderscheppen die (als gevolg van de aard van de apps) toegang geven tot privacygevoelige- en bedrijfsvertrouwelijke gegevens. De twee leveranciers (waarvan ik de namen niet zal noemen) zijn inmiddels op de hoogte gebracht, erkennen het probleem, en werken aan een oplossing. Lees meer

KPN blundert met opslaan wachtwoorden uit Experiabox

Een goede vriend, laten we hem Sipke noemen, belde me vandaag op en vertelde dat eerder deze week de bliksem is ingeslagen: nagenoeg alle aangesloten elektronische apparaten zijn kapot. Heel vervelend, maar gelukkig dekt de verzekering alle schade. Een van de getroffen apparaten betrof het ADSL modem: de KPN Experiabox V9. Vervanging daarvan is relatief makkelijk geregeld: je belt KPN, zij sturen een servicemonteur, hij sluit een nieuw modem aan, en dan is het klaar. Klaar? Ja inderdaad, klaar: na het opstarten van de nieuwe Experiabox meldt de thuislaptop opeens (zonder enige handmatige configuratie van de Experiabox) verbonden te zijn met het draadloze thuisnetwerk. Met andere woorden: KPN slaat gegevens uit jouw modem op. Lees meer