Crisis? Vergeet informatiebeveiliging niet!

Dat ICT onmisbaar is in onze samenleving wisten we al. De huidige Coronacrisis laat zien dat we onder bepaalde omstandigheden nóg meer steunen op een betrouwbare werking van ICT voorzieningen. Het valt echter op dat veel organisaties informatiebeveiliging even op een laag pitje zetten: “De focus ligt nu even op het primaire proces en het maximaal besparen van kosten” is het meest gehoorde argument. Ik begrijp het wel; hetzelfde resultaat moet worden bereikt onder beperkte omstandigheden met minder mensen, terwijl de kosten gelijk blijven of toenemen, en omzetten (mogelijk) afnemen. Kortom, organisaties verkeren in een crisis of verwachten hier binnenkort in te geraken, en dat vraagt om een andere aansturing. Toch is het niet verstandig om de aandacht voor informatiebeveiliging teveel te laten verslappen. Lees meer

Versleutelde verbindingen binnen het LAN

Wanneer ik organisaties begeleid bij het documenteren en implementeren van een passende informatiebeveiliging, word ik regelmatig gevraagd naar de noodzaak van versleutelde verbindingen binnen het interne netwerk. Best vaak wordt dit (vanwege andere prioriteiten of complexiteit) beschouwd als onnodig en zo nu en dan wordt dit duidelijk gemaakt met wegwerpgebaren en het argument dat “het hier geen bank is”. Hoewel er zeker redenen kunnen zijn om het risico van onversleutelde verbindingen in het LAN te accepteren, zijn er ook voldoende argumenten om transportversleuteling wél toe te passen. Lees meer

Wi-Fi horeca

Inrichting Wi-Fi netwerken horeca vaak kwetsbaar

Veel horeca ondernemers bieden tegenwoordig gratis Wi-Fi aan in hun restaurant. Hoewel ik de beveiliging van deze Wi-Fi netwerken de laatste jaren zag verbeteren, is er nog veel ruimte voor verbetering. In positieve zin valt op dat open Wi-Fi netwerken (waar je zonder wachtwoord gebruik van kan maken) minder vaak worden aangetroffen, ten gunste van wachtwoord beveiligde Wi-Fi netwerken (WPA2). Een welkome en noodzakelijke verbetering, maar daarmee zijn we er helaas nog niet. De wijze waarop Wi-Fi netwerken worden ingericht, maakt horeca ondernemers nog steeds kwetsbaar en daar zijn ze zich vaak niet bewust van. Lees meer

Automatisch updaten van DANE TLSA records

(English below) Als webhoster is mijn streven om uitsluitend internet.nl compliant webhosting aan te bieden. Dat betekent onder andere dat ik websites voortaan uitsluitend over het veilige HTTPS wil aanbieden. Door de komst van Let’s Encrypt is dat relatief gemakkelijk en ook nog eens gratis, maar toch bleef ik het gebruik ervan steeds uitstellen. Ondanks de hoge vernieuwingsfrequentie van Let’s Encrypt certificaten (90 dagen), is het automatisch vernieuwen van de certificaten volledig te automatiseren met Certbot snel voor elkaar te krijgen. Echter, voor het vernieuwen van de certificaat vingerafdruk (SHA256 hash) in het TLSA record, vond ik geen kant-en-klare oplossing die paste bij mijn implementatie en wensen. Lees meer

Veilige e-mailstandaarden: niet omdat het kan, maar omdat het moet!

Ik schreef eerder over beveiligingsstandaarden die e-mail betrouwbaarder maken: SPF, DKIM en DMARC. Het merendeel van deze standaarden is inmiddels verplicht voor overheidsorganisaties. Ook private organisaties doen er verstandig aan om deze standaarden zo snel mogelijk te implementeren. Het ontbreken van deze standaarden kan zomaar voor veel problemen zorgen. Niet alleen voor de eigen organisatie, maar ook voor de rest van de wereld. En daarvan heb ik -helaas- een mooi voorbeeld. Lees meer

Restaurants met tablets: hacken als toetje

Je komt het steeds vaker tegen in restaurants: een tablet die per tafel fungeert als digitale menukaart, en waarmee je zonder tussenkomst van bedienend personeel bestellingen kunt plaatsen. Super handig, met name in all-you-can-eat restaurants waar je gedurende een aantal rondes meerdere kleine gerechten per persoon kan bestellen. Vorige week vrijdag at ik samen met een aantal collega’s bij een Japans restaurant in het midden van het land en maakten we gebruik van zo’n tablet. Op basis van visuele kenmerken had ik meteen door dat het om een Windows tablet ging. Bij het ontgrendelen van de tablet voor een volgende bestelronde, viel me op dat de gebruikersnaam van de ingelogde gebruiker ‘beheer’ was. Mijn interesse was meteen gewekt, maar we spraken af om de nieuwsgierigheid nog even te onderdrukken en eerst op ons gemak te eten. Lees meer

MySchoolApp Junior lekt privacygevoelige gegevens basisschoolkinderen

Het zoontje van een goede vriend gaat naar basisschool De Grote Reis (onder bestuur van de RVKO) in de regio Rotterdam. Begin 2016 werd ik door deze vriend gebeld met de vraag om eens door een beveiligingsbril naar de app MySchoolApp Junior (iOS, Android) te kijken. Sinds een aantal maanden werd deze, door Orange in a box BV ontwikkelde app, door de school ingezet om te kunnen communiceren met de ouders/verzorgers van het schoolgaande kroost. Zo kunnen ouders/verzorgers hun contactgegevens up-to-date houden, maar bijvoorbeeld ook aangeven of hun zoon of dochter zonder begeleiding naar huis mag, bepaalde allergieën heeft, of een bepaalde geloofsovertuiging heeft. Los van het feit of dergelijke bijzondere persoonsgegevens vastgelegd mogen worden, begrijp ik prima dat ouders/verzorgers en onderwijsinstellingen een communicatiebehoefte hebben. De uitvoering laat echter te wensen over, en de opvolging naar aanleiding van een responsible disclosure melding op 2 februari 2016 ook. Lees meer

Toekomstbestendige hosting voor web en e-mail (update)

Ik liep al enige tijd rond met het idee om wat nieuwe technieken in te zetten ten behoeve van mijn hosting praktijk. Een aantal weken geleden vond ik dan eindelijk de tijd én motivatie om ermee aan de slag te gaan, en uiteindelijk heeft dit geresulteerd in de implementatie van IPv6, SPF, DKIM, DMARC, DNSSEC en DANE. Hiermee wordt de bereikbaarheid en veiligheid van gehoste websites en de e-mailvoorziening verder verbeterd. Op dit moment pas ik de technieken uitsluitend toe op mijn eigen domeinen, maar ik ben inmiddels bezig met de uitrol naar de domeinen van alle klanten. Mijn ambitie is om deze technieken voortaan standaard in te gaan zetten. In deze blogpost vertel ik je per bovengenoemde techniek over mijn ervaringen tijdens de implementatie ervan. Lees meer

TLS verkeer debuggen zonder privésleutel

Een medewerker van een klant vroeg me laatst of het mogelijk is om een package capture (pcap) van een TLS verbinding te decrypten voor debugging en/of troubleshooting doeleinden. Mijn initiële reactie was dat dit alleen mogelijk is wanneer je beschikt over de privésleutel waarmee de TLS verbinding is opgezet. Maar toen ik er wat beter over nadacht, realiseerde ik me dat dit niet meer klopt. “Vroeger” was dit onder bepaalde omstandigheden wel mogelijk, maar bij een moderne TLS verbinding werkt dit niet meer als gevolg van verbeterde protocol eigenschappen. Lees meer

Versleuteld e-mailverkeer vaak toch niet veilig

Het uitwisselen van informatie is tegenwoordig net zo gewoon als water uit de kraan. Veel organisaties richten hier separate voorzieningen voor in, of besteden dit zelfs uit aan een externe partij. Wanneer de uitwisseling beperkt van omvang en incidenteel van aard is, maken organisaties echter nog steeds graag gebruik van het oude vertrouwde e-mail. Deze voorziening is vaak al aanwezig, waardoor het gebruik ervan goedkoop en bovendien snel geregeld is. Maar ook bij uitwisseling via e-mail is het belangrijk om de beveiliging goed te regelen. Helaas gaat dit niet altijd goed, en zie ik nog regelmatig dat er ten onrechte wordt vertrouwd op maatregelen die niet de benodigde zekerheid bieden. Lees meer