Veiligheid

April was weer een maand met flink wat aandacht voor beveiliging. In de meeste gevallen betrof dat natuurlijk acute onveiligheid, maar een deel had (gelukkig) betrekking op iets van jaren geleden.

Duitsland

Het begon in het begin van de maand met allerlei media die elkaars artikelen gingen kopieren over het feit dat de Duitse politie een botnet had gevonden met daarin 16 miljoen e-mail adressen. Of accounts. Dat ligt er aan welke media je wilt geloven. Iedereen natuurlijk in paniek en vooral het management van grote ISP's. Iedereen moest met spoed alle wachtwoorden gaan wijzigen.

Steeds meer sites willen dat je inlogt met je e-mail adres. De meeste mensen hebben hooguit een paar adressen en dus vul je hetzelfde adres overal in. Als dus een lijst e-mail adressen, zonder verdere indicatie, bekend raakt, moet iedereen op iedere site zijn wachtwoord wijzigen. Dat is natuurlijk nooit slecht, want ook als de gegevens van site A afkomstig zouden zijn, de kans groot is dat hetzelfde wachtwoord ook op site B wordt gebruikt.

Dat laatste is vooral een probleem als ook bekend is dat de gegevens van site A afkomstig zijn. De meeste mensen zullen hun wachtwoord alleen op die site wijzigen. Want niemand vertelt ze dat dergelijke criminelen die lijst met e-mail adressen (en eventuele wachtwoorden) ook op andere sites gaan proberen.

Vals alarm

Het NCSC had contacten met de Duitse politie en via dat kanaal kon ik een lijst krijgen van adressen binnen utwente.nl en iaf.nl. Zelf had ik namelijk niet het idee dat het probleem zo groot was als werd geschetst. Overleg met NCSC versterkt dat gevoel. Uitgebreide steekproeven wezen uit dat de informatie ruim 10 jaar oud was. Het leek alleen nog gebruikt te worden als een lijst met adressen waar spam naartoe kon worden gestuurd. Voor spammers is het namelijk niet interessant om dergelijke lijsten op te schonen. Daar kan een adres best antiek zijn. Is het niet meer bruikbaar om naartoe te spammen, dan is het altijd nog te gebruiken als afzender voor spam.

OpenSSL

Halverwege de maand werd er echter een groter probleem bekend. Er bleek een foutje te zitten in OpenSSL, een stuk software dat door veel computers voor de beveiliging wordt gebruikt. Dat betrof niet alleen HTTPS websites, maar ook beveililgde verbindingen voor het versturen en ontvangen van e-mail. Alle applicaties die de mogelijkheid ondersteunen om een verbinding wat langer, middels een heartbeat, open te houden dan gebruikelijk.

IAF heeft ook haar eigen het netwerk gescanned. De gevallen waarbij er een kwetsbare server werd gevonden, werden opgepakt en aangepakt. Dat betrof niet alleen servers in ons datacentrum, maar ook bij een aantal klanten op locatie. Volgens de laatste stand van zaken, is dit probleem nu opgelost. Op naar het volgende probleem.

Responsible Disclosure

Misschien dat u het nog niet weet, maar IAF heeft een Responsible Disclosure beleid. Dat wil in feite zeggen dat we beloven geen juridische stappen te nemen als iemand, onder bepaalde condities, op een server van ons mocht inbreken en ons dat zo spoedig mogelijk meldt zonder in de openbaarheid te treden.

Veel organisaties hebben een dergelijk beleid en het lijkt zijn vruchten af te werpen. Grote partijen als Google, Microsoft en Facebook bieden forse beloningen aan als iemand een nieuwe kwetsbaarheid meldt. Dat is wel verklaarbaar. Als er daar iets mis gaat, hebben miljoenen en misschien miljarden mensen daar last van. IAF kan dergelijke beloningen niet geven als iemand een kwetsbaarheid in een applicatie van ons ontdekt. Als je een kwetsbaarheid ontdekt in software die wij van andere partijen betrekken, en je wilt niet zelf contact opnemen met die partij, dan zijn wij zeker genegen om als intermediair op te treden.

Tandarts

Iets heel anders. Ik had de week voor Pasen last van een gevoelige kies. Goede Vrijdag 's avonds begon het ook echt pijn te doen en dus lag ik op Paaszaterdag in de stoel van de tandarts. Een paar foto's later was de conclusie dat ik een zenuwontsteking had. Hij kon daar gelijk aan beginnen of ik kon na het weekend naar eigen tandarts gaan. Wachten leek een goede optie, tot ik me later realiseerde dat een weekend met Pasen een dag langer duurt.

Om een lang verhaal kort te maken, kan ik zeggen dat ik dinsdag de voorbehandeling heb gekregen en dat het woensdag is afgemaakt. Daarbij gebruikte de tandarts een zogenaamde kofferdam. Nu wil het feit dat er ook een stagiaire voor de opleiding tot assistente aanwezig was. Dus vertelde de tandarts veel meer dan gebruikelijk. Hij legde ook uitgebreid uit waarvoor hij die gebruikt. Eigenlijk blijkt dat gewoon een extra bescherming tegen bacterien te zijn. Een bacteriefirewall. Naast het feit dat het gat in de kies regelmatig wordt schoongeblazen en leeggezogen. Zoals een virusscanner op de PC dus.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.