Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 37, views: 8.225 •

Beveiligingsbedrijf Networking4all stelt dat de contactformulieren op diverse overheidswebsites onveilig zijn. De ingevoerde informatie wordt onversleuteld verstuurd, en dit is strijdig met de Wet bescherming persoonsgegevens.

Networking4all heeft naar eigen zeggen 684 websites van gemeenten en rijksoverheid bekeken. Daarvan zouden er 570 onveilig zijn, waaronder grote rijkssites als Overheid.nl, Postbus51.nl, Minaz.nl en enkele wervingssites van het ministerie van Defensie. Volgens de beveiligingsfirma gebruiken veel websites van de overheid geen ssl-versleuteling bij het verzenden van de informatie die via webforumulieren wordt verzameld, omdat de daartoe benodigde certificaten ontbreken, zijn verlopen of niet goed zijn geïnstalleerd.

Paul van Brouwershaven, technisch directeur van Networking4all, laat aan Tweakers.net weten dat het ontbreken van ssl-versleuteling in strijd is met de Wet bescherming persoonsgegevens. Deze wet vereist dat ook de overheid zorgvuldig met de persoonsgegevens van burgers omspringt. Bovendien zouden hackers door de gebrekkige beveiliging relatief eenvoudig databases met persoonsgegevens van burgers kunnen aanleggen, waardoor de kans op identiteitsdiefstal wordt vergroot.

Brouwershaven stelt ook dat het schrijnend is dat de overheid onlangs met veel bombarie de Veilig Internetten'-campagne lanceerde, terwijl diezelfde overheid zijn eigen zaken niet op orde heeft. Hij stelt twee weken geleden gesproken te hebben met het ministerie van Justitie en dat van Algemene Zaken over zijn bevindingen, maar volgens Brouwershaven zouden zij gevraagd hebben de zaak stil te houden.

Volgens Brouwershaven moet de Nederlandse overheid een voorbeeld nemen aan de Verenigde Staten, waar strenge voorwaarden worden gesteld aan de beveiliging van overheidssites en de daarmee verzamelde gegevens. Bovendien zou de rijksoverheid ernaar moeten streven om op termijn Extended Validation-certificaten voor haar sites aan te vragen. Daarbij wordt door de officiële certificaatverstrekkers extra streng op de identiteit van de aanvrager toegezien.

Reacties (37)

Niet toevallig zelf een officiële certificaatverstrekker :)
Bingo!

Wilde ik ook net zeggen inderdaad... De formulieren zijn dus niet lek, het gaat meer om gevaar voor het 'afluisteren' tijdens het versturen van het formulier.

Vindt dat dat best een beetje in context geplaatst mag worden alhier!
De Staat der Nederlanden heeft een eigen CA (waarvan het certificaat ook in IE en bijvoorbeeld Firefox), dus ze gaan waarschijnlijk geen gebruik maken van een externe partij (of iig: dat zouden ze niet moeten doen).

Ik vind het trouwens een beetje onzin:
  • Niet alle informatie vereist versleuteling
  • Het ontbreken of verlopen zijn van een certificaat betekent nog niet dat de gegevens niet versleuteld worden, alleen dat je browser gaat klagen (aangezien het een teken kan zijn dat het certificaat niet meer betrouwbaar is)
Ik gooi de boel hopelijk weer even open door op te merken dat je ook berichten kunt versturen zonder zelf een email account te hebben via deze formulieren.

Veel van die formulieren hebben namelijk de optie: "stuur een kopie naar mijn email adres".
Daar vul je dan niet je eigen email adres in maar dat van de gewenste ontvanger. En zo is het dus moeilijk te controleren wie het bericht verzonden heeft.

Natuurlijk kun je het bericht dat je op deze manier wenst te versturen zelfs eerst even versleutelen als het om gevoelige info gaat.

Er zijn denk ik wel genoeg mogelijkheden om deze grap te gebruiken of misbruiken. Maar wie gaat dat nu dichtspijkeren?

Ga zelf maar na hoe gemakkelijk het op deze manier voor een criminele nigeriaan is om zich voor te doen als een nederlandse overheids intstantie of gerenomeerd bedrijf om vervolgens geld te eisen van een nietsvermoedend slachtoffer.

Dan heb je dus gewoon helemaal niets aan ssl, alleen de misbruiker kan het handig vinden.
laten we stellen dat de overheid omwille van deze rede net een andere zal zoeken :P
Geen toeval maar wel correct om te zeggen dat de overheid zich zelf niet echt in een goed daglicht plaatst met een website die veilig internetten promoot aan de ene kant en een totaal gebrek aan basis beveiligingen aan de andere kant.
Natuurlijk kan ook een overheid fouten maken maar missende SSL certificaten, of verlopen certificaten zijn toch wel heel erg slordig en zo makkelijk te voorkomen.

Als de overheid zich echt gaat interesseren voor veilig internetten en beveiliging van persoons gegevens dan begint dit bij een simpele strategie van een centrale organisatie verantwoordelijk maken voor alle beheerde domeinen en webservers. Op die manier is er maar een enkel punt dat de certificaten inkoopt en ook maar een enkel punt dat de infrastructuur beheert. Beveiliging is dan simpel weg een kwestie van een organisatie goed opvoeden en trainen, en niet meer een enorme verzameling losse beheers organisaties die dat alleen als een bijzaak zien waar het onderhoud van de interne servers en desktops een veel hogere prioriteit heeft.
De volgende stap is natuurlijk om de sites te gaan standariseeren, een standaard manier van aanmelden, en een interface die gelijk is voor de websites waardoor je als burger niet altijd maar moet zoeken en op iedere nieuwe website van de overheid weer met een nieuwe navigatie structuur moet leren om gaan.

Maar de hoeveelheid totaal overbodige IT ambtenaren die op dit moment alle losse sites en verschillende servers beheren zullen dat denk ik nooit toe laten het zou namelijk betekenen dat zo als in een normaal bedrijf er steeds minder beheerders nodig zijn voor een altijd maar groeiend aantal servers en websites omdat de automatisering nu eenmaal ook er voor zorgt dat dit soort taken steeds minder tijd vergen. Maar voor zo ver ik weet heeft de overheid nog nooit welk jaar dan ook minder mensen in dienst gehad dan het jaar er voor, de truck van de overheid is juist dat ze altijd maar groter en groter worden...
Eén centrale beheersorganisatie klinkt leuk in theorie, maar in de praktijk wordt dat dus te groot om handelbaar te managen, en dus wordt dan de roep voor decentralisatie groter vanwege gebrek aan klantgerichtheid, snelle respons of klantspecifieke kennis. Ook het single-point-of-failure concept doet dan ook opgeld.

Het is dus niet een ideale oplossing zoals jij voorspiegelt.
Mensen moeten eens ophouden om klakkeloos nieuwsberichten op internet en tv voor waarheid aan te nemen. Er wordt zoveel onzin verspreid, dit is weer een uitstekend voorbeeld hiervan. Gelukkig denken de meeste Tweakers nog altijd voor zichzelf :)

Uiteraard zal de beveiliging van overheidsites hier en daar te wensen overlaten, maar dat geldt niet alleen voor overheidsites maar voor alle sites. Nu en dan hoor je in het nieuws dat via een lek in de software persoonsgegevens van derden opvraagbaar waren.

Centralisatie zoals jij voorstelt is in de praktijk niet haalbaar. Daarvoor zijn er veel teveel departementen, agentschappen, etc. Centralisatie zou, zoals Remus terecht aangeeft, een groot log apparaat als resultaat hebben.

Bij ons agentschap groeit de IT omgeving alleen maar door allerlei redenen en zijn er juist meer beheerders nodig dan minder. Desondanks is de overheid op dit moment bezig om af te slanken. Je hebt je feiten dus niet helemaal op een rijtje. Maarja, het is altijd wel lekker om als een kip zonder kop de overheid te bashen :P

een toch niet zo overbodige overheid IT specialist met een flink aantal websites onder zijn hoede :)
"DE OVERHEID" is natuurlijk niet 1 monolytische instantie die 1 centraal team van systeembeheerders heeft die de duizenden sites van elke instantie in elk boerendorp beheerd.

hij die zonder zonde is, werpe de eerste steen. Ik durf te stellen dat Networking4all ook nog wel wat 128-bit certificaatjes heeft die te kraken zijn.

dat het lokale comité ter bevordering van Friesche volksdans hun inschrijvingsformulier voor de maandelijkse bijeenkomst niet door een systeembeheerder met SSL laat beschermen lijkt me normaal.

dus ga maar lekker wat vissen bij andere instanties, want hier ga je niets vangen
en vervolgens blijven mensen maar zeggen dat ze niets te verbergen hebben }:O
Om maar te zwijgen over het aantal schapen dat blindelings vertrouwen heeft in het EPD dat er om wat voor reden dan ook koste wat kost moet komen van ene bepaalde minister. Ze kunnen nog niet eens contactformulieren correct behandelen en er wordt verwacht dat het technisch onderlegde gedeelte van de bevolking een grootschalig project durft toe te vertrouwen?
Overheid + (persoonlijke) gegevens = jouw standaard antwoord :?

Als je een beetje van techniek afweet, dan weet je ook dat de gegevens veelal tussen jou en de website wordt verstuurd. Je weet niet hoe het op de server zelf wordt afgehandeld. Dit kan streng beveiligd zijn.
De kans dat je webverkeer wordt afgeluisterd (door personen die die informatie nog niet hebben) lijkt me zeer klein. En dan nog zou je bij andere (particuliere) websites hetzelfde probleem hebben.
Nee, het is bedoeld om een discussie te beginnen. Mensen zijn veel te makkelijk in hun gegevens weg te geven.. Hoe meer mensen zich er bewuster van worden hoe beter dat is.

Dat we van de backend niets afweten is een feit, maar er hoeft maar één zwakke schakel te zijn...
Ik ben het niet eens met de uitspraak dat door het effectief ontbreken van SSL beveiliging betekent dat je relatief eenvoudig de gegevens van de formulieren kan stelen. De bescherming tegen man-in-the-middle-attacks die het biedt is wel noodzakelijk, maar een dergelijke aanval is lastiger in vergelijking met het verspreiden van spyware met keylogger.
geheel mee eens, maar SSL beveiliging is eigenlijk wel een kleine stap om toe te voegen aan een formulier, en legt de verantwoordelijkheid van beveiliging (tegen bijv een keylogger) bij de gebruiker (burger).
Maar stellen dat het schrijnend is dat de overheid geen SSL bescherming heeft op sommige contactformulieren terwijl diezelfde overheid bevorderd dat burgers hun PC redelijk beschermen, is natuurlijk complete onzin. Een veilige PC van de eindgebruiker doet veel meer voor de bescherming van de informatie van die burger dan een SSL sessie met de server. Bescherming van gegevens over burgers is belangrijk genoeg om niet gebruikt te worden in een nogal misplaatste zelf-promotie actie.
Idd, hoewel het gevaar van afluisteren van een zwak of onbeveiligde WLAN-lijn wel op de loer ligt. SSL/TLS kan sowieso geen kwaad, en de Nederlandse Staat heeft zelfs een CA-certificaat in de browsers (of iig in Opera, de rest boeit me niet zo ;)) dus het kost ze in theorie ook nog niets!

Ik zie een veel grotere gevaar in de crackbaarheid van de servers en software waar alle data op gehost wordt. SQL-injection gaat ook prima over HTTPS...
Eens, de kans op een man-in-the-middle-aanval is, zeker voor particulieren, te verwaarlozen omdat het gewoon niet genoeg resultaat levert. Bankzaken lopen vziw altijd via SSL, dus welke gek zou er zoveel moeite gaan doen voor het sniffen van een contactformuliertje.
Wat ik zelf erg vervelend vind is dat Networking4all spreekt van "onveilige websites" terwijl het een stuk genuanceerder ligt. Zo is er wellicht 1 certificaat op belastingdienst.nl niet helemaal correct. Alle andere certificaten zijn dat wel. Toch noemt Networking4all "www.belastingdienst.nl" als geheel een onveilige site. Dat is paniek zaaien en leidt tot verkeerde berchtgeving in de media. Waarvan ik overigens blij ben dat tweakers.net wel de juiste berichtgeving doet. :)
Inderdaad.

De site www.defensie.nl staat ook in het lijstje van onveilige sites. Dit is gewoon een klein beetje veel onzin. Al zou je de moeite nemen om als man-in-the-middle formulier postjes te sniffen dan zal je niet veel verder komen dan dan een email of telefoonnummer. Er zijn veel betere methodes om achter dit soort informatie te komen.

Dit is gewoon een beetje paniek zaaien en om media aandacht vragen.

Cross site scripting, SQL injection, keyloggers of gewoon slecht ontworpen applicaties zijn een veel groter probleem. En die werken ook gewoon braaf via een SSL verbinding. Beter nog, menig infrastructuur verbreekt de SSL encryptie voordat het daadwerkelijk naar de webserver heen gaat zodat men network packets kan controleren.
Beter nog, menig infrastructuur verbreekt de SSL encryptie voordat het daadwerkelijk naar de webserver heen gaat zodat men network packets kan controleren.
Dat is knap, ik dacht dat het idee van zo'n verbinding juist is dat (afgezien van de client en de server) niemand de data kan uitlezen.
Oh, er zijn wel meer technologieën waarbij op een netwerkdevice een SSL verbinding word getermineerd en vervolgens weer opnieuw word opgebouwd.
De nieuwe generatie anti-virus tools, doen dat namelijk ook al/straks. Een SSL tunnel is niet meer een exclusief gegeven hoor. Check hier maar eens: http://www.thetechherald....ome-Systems-SSL-Inspector
edit:
Als je dit verder trekt, is het straks mogelijk, voor organisaties als BREIN, ISP's via de rechter af te dwingen om de inhoud van SSL verkeer van en naar nieuwsservers te loggen en inzichtelijk te maken. Overigens gebruikt vrijwel iedere ISP deze technologie inmiddels. Hierop voortbordurend zou je ervan moeten uit gaan dat geen enkele SSL verbinding per definitie meer te vertrouwen is.

[Reactie gewijzigd door regmaster op 4 augustus 2009 09:40]

Dit werkt enkel als dat toestel zelf een certificaat gebruikt dat je vertrouwt...
aha! een wakker handig directeurtje van een SSL-certificatenfabriekje heeft ook GeenStijl gelezen en probeert het door-de-strot-duwen van zijn product eens via de media. Grote klasse, best nog wel een strakke actie, alleen heel jammer dat ik de comments nodig had om te begrijpen wie er überhaupt op dit onderzoek zat te wachten. Bedankt medetweakers!

Niet dat die contactformuliertjes nou ineens geen SSL meer nodig hebben, maar toch.
Daarnaast ben ik er ook voor dat er een soort gov.nl komt, gewoon dat het duidelijk is wanneer je je op het internet bij de overheid bevind, de overheid is namelijk nogal creatief tegenwoordig met hun domeinnamen en niet iedere website ziet er echt prof uit.
Het grootste probleem met SSL is dat geen mens het begrijpt.
Ik weet zeker dat 95% van de Tweakers niet in staat is om een "echt" van een "vals" SSL certificaat te onderscheiden.

Snel test, welk van de volgende namen gebruikt Microsoft op haar SSL certificaten?:
a. "Microsoft.com"
b. "MicroSoft"
c. "Microsoft Inc."
d. "MICROSOFT"
e. "MS"
f. "Microsoft Corporation"
g. Geen van allen, de certificaten van Microsoft hebben een blanco eigenaar.

(juist ja, g)

SSL kun je in praktijk gewoon niet gebruiken als bewijs voor de identiteit van een website. Je kan het gebruiken om te zorgen dat je verbinding niet wordt afgeluisterd, maar niet om te controleren of www.mijnregering.nl echt een overheidssite is. (En ja, afluisteren is in principe ook mogelijk, maar daar hoef je je nog geen zorgen over te maken).
Ik weet zeker dat 95% van de Tweakers niet in staat is om een "echt" van een "vals" SSL certificaat te onderscheiden.
Ik hoop toch echt dat je 95% van de gewone gebruikers bedoeld, alhoewel de tegenwoordige tweaker ook geen lampje meer is. Maar 95% is wel overdreven hoor, ik zie het wat positiever en zeg ruim 60% snapt het niet.

[Reactie gewijzigd door regmaster op 3 augustus 2009 18:26]

Dat bedoel ik wel. Snappen hoe het werkt is nog niet genoeg om te controleren of het klopt.
(juist ja, g)
SSL kun je in praktijk gewoon niet gebruiken als bewijs voor de identiteit van een website. Je kan het gebruiken om te zorgen dat je verbinding niet wordt afgeluisterd, maar niet om te controleren of www.mijnregering.nl echt een overheidssite is. (En ja, afluisteren is in principe ook mogelijk, maar daar hoef je je nog geen zorgen over te maken).
Nu hebben ze ongetwijfeld verschillende certificaten met verschillende eigenschappen maar op https://login.live.com/ staat toch echt een naam in het certificaat, dus ik ga voor antwoord 'F: Microsoft Corporation".

SSL certificaten waarmee je de identiteit van een website niet kunt vaststellen zijn vrij waardeloos. Immers de verbinding kan wel beveiligd zijn, maar als je niet weet met wie je aan het praten bent dan kan het best zijn dat je gegevens alsnog op straat liggen.
Voor belangrijke websites lijkt het me dan ook een pre dat er gebruik gemaakt wordt van EV certificaten vooral omdat dan de naam van de organisatie prominent in beeld is.
[...]

Nu hebben ze ongetwijfeld verschillende certificaten met verschillende eigenschappen maar op https://login.live.com/ staat toch echt een naam in het certificaat, dus ik ga voor antwoord 'F: Microsoft Corporation".
Ik heb gekeken naar www.microsoft.com
Ik zal er eerlijk bij zeggen dat ik nogal verbaasd was dat er geen naam op dat certificaat staat, maar het is echt zo.
SSL certificaten waarmee je de identiteit van een website niet kunt vaststellen zijn vrij waardeloos. Immers de verbinding kan wel beveiligd zijn, maar als je niet weet met wie je aan het praten bent dan kan het best zijn dat je gegevens alsnog op straat liggen.
Voor belangrijke websites lijkt het me dan ook een pre dat er gebruik gemaakt wordt van EV certificaten vooral omdat dan de naam van de organisatie prominent in beeld is.
Zolang het goed gaat.
Bij gewone SSL certificaten was ons dat ook beloofd, maar na verloop van tijd werden de eisen aan een SSL certificaat steeds lichter, en nu kun je ze voor een schijntje krijgen, met iedere naam er op die je wil.
Ze hebben die EV certificaten ingevoerd om weer een premium-tarief te kunnen rekenen.
Voor kleine organistaties zijn ze toch te duur.
sorry hoor, maar blijkbaar ben je zelf nog minder in staat om een "echt" van een "vals" ssl certificaat te onderscheid.

Dat onderscheid maak je namelijk niet op basis van een abitraire naam.
Dat onderscheid maak je op basis van de CA. Je vertrouwt dat die CA netjes gecontroleerd heeft wie het certificaat heeft aangevraagd.
Tja, maar daar gaat het fout, want er zijn veel te veel CA's, en de meeste zijn niet echte te vertrouwen, en geven iedereen die een paar tientjes neer wil leggen een certificaat.

Eerlijk gezegd dacht ik dat ik hier een andere versie van deze post had gezet, die ook vroeg om naar de CA.

Microsoft gebruikt de Microsoft Secure Server Authority. Ik had nog nooit van die club gehoord. Als er Verisign had gestaan had ik het zonder meer geloofd.
Was vandaag ook BNR (radio). Waar mensen totaal geen rekening mee houden is dat identiteitsdiefstal _zelden_ door afluisteren van verkeer gebeurd, maar 99% door:

- Fishing (die best een valide certificaat kunnen voor hun eigen domein, bv. p0stb3nk.com)
- Door keyloggers en andere malware die op hun PC terecht is gekomen door zomaar ergens door te klikken of door bugs via veroudere software.
Er is weinig interesse voor zo'n belangrijk onderwerp.

[Reactie gewijzigd door E_E_F op 3 augustus 2009 18:45]

Nouja, iedereen die iets kan doen bij zulke gegevens heeft deze allang verzameld en kopen gewoon ergens een ontevreden system admin om. Veel effectiever en veel minder sporen.
Hoe ironisch; Networking4all's eigen website www.isdezesiteveilig.nl komt niet goed door hun eigen test...
"Wij adviseren u geen vertrouwelijke informatie of persoonsgegevens op deze website achter te laten, aangezien het SSL Certificaat mogelijk is vervalst of onjuist geïnstalleerd is."

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013