'Belgische overheidssites hebben ssl-beveiliging niet op orde'

Niet alleen Belgische bankensites presteren ondermaats als het gaat om ssl-beveiliging van hun websites, maar ook tal van Belgische overheidssites zijn kwetsbaar, zo stelt een student die de sites controleerde op slecht geïmplementeerde ssl-beveiliging.

Gebrek aan ssl De in Nederland studerende Thomas Vanhoutte controleerde diverse Belgische overheidssites met een online ssl-scannertool van SSL Labs. Deze bekijkt hoe een ssl-implementatie is uitgevoerd en kent daar een score aan toe. Onder andere de eGov-site scoort met de beoordeling 'F' een zware onvoldoende. Daarnaast zijn de ssl-implementaties op de site van Digiflow en de sociale zekerheid ondermaats met scores van respectievelijk een F en C. Deze sites zijn potentieel gevaarlijk doordat zij gevoelig zijn voor de Poodle-bug, een kwetsbaarheid in het ssl 3.0-protocol. Alleen de eHealth-portaal scoort met een A- goed.

Beveiligingsonderzoeker Jan Guldentops stelt op Datanews dat overheden veelal uit nonchalance ssl-implementaties niet updaten. Ook heeft hij het vermoeden dat sommige overheidssites bewust met een verouderde ssl-implementatie worden uitgerust om zo bezoekers met oudere browserversies toch te kunnen bedienen.

Niet alleen Belgische overheidssites scoren slecht: uit een recent onderzoek van de Open State Foundation bleek dat slechts een op de vijf Nederlandse overheidssites überhaupt ssl gebruikt. Daarnaast bleken ook de websites van Belgische banken kwetsbaar na een scan met de tools van SSL Labs.

Lees meer

IT-banen

Reacties (31)

Teijgetje 13 april 2015 15:01

Anno 2015 zijn zulke onderzoeksresultaten toch wel beschamend voor de hele sector.

R4gnax @Teijgetje • 13 april 2015 17:19

Anno 2015 zijn zulke onderzoeksresultaten toch wel beschamend voor de hele sector.

Dit is niet zo zeer beschamend voor de IT sector als geheel. Meer voor het middle-management bij overheid en grootbedrijf, waar men IT nog altijd met een wantrouwend oog blijft gadeslaan en nog steeds enkel als een kostenpost blijft zien die vooral zo klein mogelijk gehouden moet worden.

[Reactie gewijzigd door R4gnax op 24 juli 2024 06:19]

Teijgetje @R4gnax • 13 april 2015 17:26

We hebben het hier over de banken- en overheids-sector.
En het dan afschuiven op het middle-management???
En als bestuurder/CEO toch je bonus pakken omdat je het zo goed gedaan hebt?
Da`s zo 2013..........

Als eindverantwoordelijke hoort je eerste eis gewoon te zijn dat het veilig is, kosten worden toch doorberekend aan de klant of betaald door de belastingbetaler.
Is die implementatie er niet dan ligt dat ook niet aan het ingehuurde ICT bedrijf, of aan het middle-management, dat maar een kwartje krijgt om het uit te (laten) voeren omdat er elk jaar meer winst gemaakt (cq bezuinigd) moet worden, terwijl het 30 cent kost.

[Reactie gewijzigd door Teijgetje op 24 juli 2024 06:19]

Enai @Teijgetje • 13 april 2015 18:08

Voor de IT-sector of voor de overheidssector? Voor de overheid is dit business as usual. Wees blij dat ze Windows XP grotendeels hebben uitgefaseerd en dank de sterren dat er nog privébedrijven zijn.

[Reactie gewijzigd door Enai op 24 juli 2024 06:19]

Teijgetje @Enai • 13 april 2015 21:03

De IT sector maakt waar ze voor betaald worden, naar wens van de klant.
Wil jij het zo, dan krijg je het zo, ook al hebben we je gewaarschuwd.

De banken en overheidssector, waar het in het artikel min of meer over gaat, heeft dus zelf schuld.
Van banken is dat onbegrijpbaar, dat de overheid al jaren een drama is heeft ook te maken met gestelde eisen en steeds veranderende toegevoegde mogelijkheden.
Dat ze eindelijk grotendeels op XP over zijn is maar deels het probleem, uitgebreide rapportage over dit probleem en de sloten geld die over de balk gaan wordt namelijk gewoon aan de kant gelegd door de kamer, WANT die zijn al goed bezig nu zeggen ze

Jolke @Teijgetje • 13 april 2015 15:22

True. Ook goed dat er gecontroleerd wordt en dat er vervolgens ook actie ondernomen wordt. Dat laatste moet dan natuurlijk ook maar weer blijken.

anargeek 13 april 2015 15:39

Ook heeft hij het vermoeden dat sommige overheidssites bewust met een verouderde ssl-implementatie worden uitgerust om zo bezoekers met oudere browserversies toch te kunnen bedienen.

Hier zit hem in Nederland ook een pijnpunt: doordat volgens Nederlandse wet alle overheids sites moeten voldoen aan de Webrichtlijnen, en de webrichtlijnen voorschrijft dat IE6 ondersteund moet worden, en IE6 niet TLSv1.0 ondersteund, is het bij wet dus verplicht voor Nederlandse overheidssites om kwetsbaar te zijn en te blijven.

[Reactie gewijzigd door anargeek op 24 juli 2024 06:19]

Sinnergy @anargeek • 13 april 2015 16:29

En is het niet voldoende om voor deze 'legacy' gebruikers een subdomeintje te voorzien waarop men nog wél kan verbinden met deze oude clients?

anargeek @Sinnergy • 13 april 2015 18:00

Daar weet ik niet direct het antwoord op. De vuistregel omtrent webrichtlijnen is meestal: Alles hetzelfde voor iedereen.

aikebah @anargeek • 13 april 2015 23:36

De vuistregel omtrent webrichtlijnen is meestal: Alles hetzelfde voor iedereen.

toch niet hoor...

een quote uit de webrochtlijnen zelf (en zo zijn alle richtlijnen die ik tot op heden gezien heb altijd ingericht):

dient de informatie of functionaliteiteit die middels de specificatie beschikbaar wordt gesteld, middels een gelijkwaardig alternatief te worden aangeboden.

Dus niet iedereen hetzelfde, maar iedereen toegang tot gelijkwaardige alternatieven. Iemand met een moderne user-agent op basis van de nieuwste standaarden mag dus een flitsende interactieve pagina geserveerd krijgen, mits alle informatie en geboden interactiemogelijkheden ook maar beschikbaar gesteld worden op een gelijkwaardige basis aan gebruikers van oudere/andere user-agents

anargeek @aikebah • 14 april 2015 09:45

Vanuit de bouwkant gezien wordt er toch aangehouden "alles hetzelfde voor iedereen". Dit vaak ook om kosten te drukken.

Ik heb zelf talloze gemeente-websites omgebouwd om te voldoen aan Webrichtlijnen en dat was wat voor ons gold. Een voorbeeld van onze instructies op kantoor was: geen javascript gebruiken want de site moet even bruikbaar zijn zonder javascript. Heeft er 1 persoon javascript uitgezet, dan moet deze dezelfde dingen kunnen doen. Dus ik kan me voorstellen dat hetzelfde bedrijf (ik werk inmiddels ergens anders) nu liever iedereen SSL voorschotelt om maar te kunnen blijven voldoen, ipv extra geld uitgeven voor veiligere alternatieven. Tenzij de gemeente daar specifiek voor betaald natuurlijk.

[Reactie gewijzigd door anargeek op 24 juli 2024 06:19]

aikebah @anargeek • 13 april 2015 23:29

OMG.... een 'supported environments' voor 1 specifieke UI bibliotheek gebruiken als officiële definitie van 'algemeen gangbare user agents' afgaand op de stats bij van caniuse.com kun je toch wel stellen dat er een significant verschil is tussen 'algemeen gangbare user agents' en de ondersteunde user agents van de YUI3 bibliotheek.

anargeek @aikebah • 14 april 2015 09:41

Die link naar supported environments is wat er op de site van Webrichtlijnen staat aangegeven.

edit:
Oh, je bedoelde het als kritiek op de richtlijn zelf? Ja da's vrij kansloos ja

[Reactie gewijzigd door anargeek op 24 juli 2024 06:19]

aikebah @anargeek • 15 april 2015 13:36

Ik bedoelde het inderdaad als kritiek op die richtlijn zelf ja

Eloy 13 april 2015 15:07

Voor de beste ciphers lijst, kijk op https://cipherli.st

Ventieldopje @Eloy • 13 april 2015 15:14

Lekker voor je compatibliteit, not

Mozilla heeft een betere lijst met ciphers en de compatibiliteit van browsers daarmee: https://wiki.mozilla.org/Security/Server_Side_TLS

johnkeates @Ventieldopje • 13 april 2015 15:43

Er staat ook een linkje bij voor legacy ciphers.

Daarnaast is je compatibiliteit ook maar tot op zekere hoogte een eis. Stel dat je bijv. met Java 1.6 en lager moet werken, dan vallen een hele boel security opties af. Of als je nog met Windows XP gebruikers moet werken om maar wat te noemen. De vraag is of je dat nog wel wil. Met nieuwe projecten maakt het echt niet uit of Symbian s60, Windows XP of Java 1.6 en lager gebruik kan maken van de service. Niet bij 99% van de publieke webservices/sites/apps.

Ventieldopje @johnkeates • 13 april 2015 16:18

Klopt, maar beter dan alleen "AES128+EECDH:AES128+EDH" te ondersteunen

Met de intermediate ciphers haal ik gewoon A+ ranking.

johnkeates @Ventieldopje • 13 april 2015 18:35

Ja maar als je al je targets daar mee kan bedienen maakt het toch niet uit? Het is niet alsof je targets zelfstandig beslissen om slappe ciphers te gebruiken

dus waarom aanbieden...

Ventieldopje @johnkeates • 13 april 2015 18:44

Tuurlijk, als dat alles is wat je nodig hebt maar ik vind het een slecht idee om op één paard te wedden. Besluit een browser om een cipher toch niet meer te ondersteunen om veiligheidsredenen zit je met de gebakken peren en heb je dus downtime.

Om het anders te stellen, wat is er volgens jou mis met het aanbieden van meerdere sterke ciphers?

BazB @Eloy • 13 april 2015 16:51

Mozilla SSL Configuration Generator

Hans van Eijsden 13 april 2015 15:01

Mocht je op zoek zijn naar de juiste cipher suite, dit is een juiste die ik gebruik in Nginx:

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA DES-CBC3-SHA !RC4 !aNULL !eNULL !LOW !MD5 !EXP !PSK !SRP !DSS !CAMELLIA !SEED";

Deze heb ik ooit overgenomen van http://nethack.ch/2014/03...apache-enabling-pfs-hsts/ en daar vind je ook meer instellingen, wellicht dat ze je goed op weg kunnen helpen.

Op https://www.ssllabs.com/s...ze.html?d=weblogzwolle.nl vind je de resultaten, met deze cipher suite plus overige instellingen scoor ik een A+. De volledige config heb ik op https://www.reddit.com/r/..._nginx_ssl_configuration/ in de reacties staan.

azerty

@Hans van Eijsden • 13 april 2015 15:20

Waarom heb je Camellia uitgeschakeld? Ik heb ze ingeschakeld staan, en behaal dezelfde (A+) score, maar met meer ciphers (waarvan er geen "zwak" zijn).

Edit: ik heb de volgende guide gebruikt:

https://scotthelme.co.uk/a-plus-rating-qualys-ssl-test/
https://scotthelme.co.uk/...out-of-your-qualys-score/

[Reactie gewijzigd door azerty op 24 juli 2024 06:19]

Hans van Eijsden @azerty • 13 april 2015 15:49

Je hebt gelijk, goed gezien, destijds was dat PCI compilant. Nu zie ik ook dat het veranderd is op bovenstaande URL, ik ga het toepassen.

Verwijderd 13 april 2015 15:00

Wat dat betreft lijkt de Belgische overheid op de Belgische banken:
nieuws: 'Belgische banken hebben ssl-beveiliging niet op orde'

Zeker als het gaat om DigiFlow en de websites van de sociale zekerheid moet je het gewoon goed voor elkaar hebben. Anders is ook fraude een appel en ei.

dinoballz @Verwijderd • 14 april 2015 08:18

Daar begint het artikel mee...

Besides, inmiddels is bijna de hele industrie al overgeschakeld. (Ik werk in fin. Srvcs)

Yzord 13 april 2015 15:13

Het valt mij sowieso op dat de overheden behoorlijk laks zijn met dit soort dingen. Er gaan miljoenen om in deze branche, maar de fouten die gemaakt worden zijn van het type "n00bness".

Persoonlijk vind ik dit een zeer grove fout, temeer nu de opslag van persoonlijke data door overheden steeds meer in de picture is tegenwoordig. Met deze fouten zou de overheid niet eens mogen denken aan het opslaan van persoonlijke gegevens.

dinoballz @Yzord • 14 april 2015 08:20

Misschien moeten er standaarden komen zoals in de privesector.

Je mag geen creditcardgegevens verwerken zonder een certificaat van PCI-DSS, zo'n model kan overgenomen worden.

Verwijderd 13 april 2015 15:16

op zen belgisch...

belgie en ict is gewoon een flop en zelfs als je de staat hulp aanbied dan wordt deze geweigerd, want facturen betalen op de wettelijk bepaalde tijd gaat niet bij de staat. ze vragen daar 90 dagen na factuur wat voor de meeste kleine zelfstandigen gewoon al niet mogelijk is om dit te financieren

gimbal 13 april 2015 15:34

Dat is allemaal leuk en aardig, maar dit is wederom een geval van naar gevolgen kijken in plaats van naar de oorzaak. Ik zou wel eens willen weten hoe bij Europese overheden ICT systemen in beheer worden genomen, want daar is duidelijk een groot gebrek aan kennis/begrip en/of budget om systemen bij te werken.

Dat eHealth platform krijgt nu een A-, waarschijnlijk omdat het nog relatief jong is. Ik vraag me af wat de score is over een jaar wanneer het al geruime tijd in leven word gehouden door een slinkend aantal mensen wat er nog relevante kennis van heeft.

goarilla 13 april 2015 19:32

Dat is allemaal leuk en aardig, maar dit is wederom een geval van naar gevolgen kijken in plaats van naar de oorzaak. Ik zou wel eens willen weten hoe bij Europese overheden ICT systemen in beheer worden genomen, want daar is duidelijk een groot gebrek aan kennis/begrip en/of budget om systemen bij te werken.

Ik ben geen ambtenaar maar ik denk dat mijn werkomgeving wel vergelijkbaar is (universiteit). Dus laat ik even toelichten wat ik denk dat zo fout gaat. Aan de ene kant heb je de oude garde van ambtenaren die vastgegroeid zijn in de IT-jobs van de jaren '90 en die je gewoon niet weg krijgt. Aan de andere kant zit de regering met de 6de staatshervorming en de economische situatie in een besparingsperiode. Als er al een nieuwe IT'er wordt aangenomen is het vaak daardoor de goedkoopste (jong, onervaren, ongeschoold).

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (31)

Sorteer op:

Weergave: