Peters Blog

on Security and More

Rommelig

7/Nov 2014 By P. Peters
Internet Access Facilities Achterkrant security SURFcert

De afgelopen periode was wat rommelig, maar op dit moment ben ik tot rust aan het komen. Ik zit dit te tikken in een mooi appartement in Mountain View, CA, waar ik een paar weekjes van mijn welverdiende vakantie geniet. Gezien de perikelen van de afgelopen maanden was dat echt wel nodig. Vooral op het gebied van security was het een enerverende periode. Over een paar zaken heb ik in andere Achterkranten al geschreven, maar oktober was ook geen maand om tot rust te komen.

VPRO Tegenlicht

Laat ik beginnen met een van de leukere items. Iedere zondagavond zendt de VPRO het programma Tegenlicht uit. Het is, wat de VPRO noemt, de enige "future affairs"-rubriek van het Nederlandse omroepbestel. Ik had er nog nooit echt naar gekeken, maar daar kwam op 12 oktober verandering in. Ik kreeg een uitnodiging onder ogen van het TkkrLab in Enschede. Als vervolg op de genoemde uitzending zouden zij een paneldiscussie organiseren met een hoogleraar van de Universiteit Twente, Aiko Pras, en een aantal andere personen. Ik heb vervolgens geregeld dat ook de voorzitter van SURFcert, Wim Biemolt, in het panel plaats kon nemen. Het onderwerp? Zero-days exploits, zoals ze gevonden en gebruikt worden door criminelen en overheden.

Ja, ik noem ze nu nog apart, maar er was wel een consensus dat ze in dit kader onder dezelfde noemer geschaard konden worden. Hoe noem je anders een organisatie die willens en wetens de eigen burgers in gevaar brengt, terwijl ze opgericht zijn om die burgers te beschermen? Maar dit is natuurlijk mijn mening. Kijk zelf maar naar de betreffende uitzending.

Gekraakte accounts

De media werden begin juli opgeschrikt door een nieuwsbericht dat er miljarden accounts gekraakt waren. Uiteindelijk bleek het zo te zijn dat een groot aantal sites gekraakt waren en men zeer oude gegevens had buitgemaakt. In eerste instantie kon men tegen betaling controleren of eigen wachtwoorden deel uitmaakten van die set. Later is dat bijgesteld, maar nog steeds was het bij het grote publiek niet bekend dat dit gebeurd was. De nieuwsberichten waren voornamelijk gericht op Amerikanen en naar voren gebracht in het geweld van een paar van de grootste security congressen ter wereld.

Dat betekende echter niet dat het Nationaal Cyber Security Centrum (NCSC) stil bleef zitten. Begin oktober werd bekend dat er 1,3 miljoen .nl e-mail adressen in de set zaten. Daarnaast waren potentieel 5600 Nederlandse (.nl) websites kwetsbaar en mogelijk als bron voor de adressen gebruikt. NCSC heeft de gegevens gedeeld met o.a. Internet Access Facilities. In de lijst die wij kregen, stonden uiteindelijk 16 e-mail adressen. Dat de lijst oud was, bewees het feit dat er zelfs een adres in stond dat in 1999 was opgeheven. We hebben de klanten met actieve adressen gewaarschuwd met een verwijzing naar de informatie van NCSC.

De lijst met besmette websites bevatte geen sites van ons of onze klanten.

SSL/TLS

In het begin van het jaar was er sprake van een kwetsbaarheid in OpenSSL, een implementatie van SSL/TLS. Het heeft veel beheerders flink wat uren gekost om de software te updaten en nieuwe certificaten aan te vragen. Toen er geruchten waren dat er weer een probleem leek te zijn in SSL, bereidden de beheerders zich weer voor om te gaan patchen. Dat bleek nu echter niet nodig te zijn. Het was minder erg. Of misschien wel erger.

Het was minder erg omdat er geen software geüpdatet moest worden. Er waren geen extra werkzaamheden nodig aan certificaten. Het was wel erger omdat de fout niet in een specifiek software pakket zat. Het probleem zat in het protocol zelf. Een goede uitleg hierover is geschreven door Erik van Straten voor de website security.nl. Zelfs mijn schoonzus snapt het nu.

Als een kwetsbaarheid in een protocol zit, betekent dit eigenlijk dat het niet meer bruikbaar is. Vooral bij software waar je op vertrouwt bij het versleutelen van je informatie, is dat de eerste stap die je neemt. Gelukkig betrof het een zeer oude versie (SSL v3). Die versie was in 1999 al vervangen door versie 1.0 van de opvolger, TLS. Alle moderne browsers en operating systemen ondersteunen de TLS versies. De enige omgeving die geen TLS ondersteunt is XP, maar dan alleen nog maar met Internet Explorer 6 als browser. Nieuwere versies van IE en Firefox en Chrome ondersteunen zelfs op XP minimaal TLS 1.0

Vandaar ook dat IAF heeft besloten om op haar websites SSL v3 uit te zetten. Als u problemen ondervindt, adviseren wij u uw systeem te upgraden. Neem zo nodig contact met ons op.

NetherLight

Sinds enige tijd kunnen wij ook aansluiten op NetherLight. Van oudsher was dat een omgeving binnen SURFnet en daaraan gekoppeld andere netwerken voor onderwijs en onderzoek in andere landen. Nu NetherLight ook daarbuiten mogelijk is, kunnen wij dienstverlening daar overheen bieden.

NetherLight is een soort VPN, maar dan dedicated vanaf een (SURFnet) poort bij de onderwijsinstelling, naar ons netwerk. De instelling kan dan servers in ons (Twents) Datacentrum plaatsen. Die servers lijken in het eigen netwerk te staan, maar staan buiten de eigen gebouwen in een modern datacentrum.

Voor leveranciers van diensten biedt dit ook mogelijkheden. Een leverancier van VoIP kan zijn servers in ons datacentrum plaatsen en via de NetherLight verbinding die dienst aanbieden. Ook in dat geval is het voor die instelling alsof de centrale bij hen in het netwerk staat, terwijl ze wel gebruik kunnen maken van de expertise van de aanbieder. De aanbieder kan meerdere instellingen op dezelfde centrale zetten en hoeft niet bij iedere klant een aparte telefooncentrale te plaatsen, met de daarbij behorende beheerslast.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.

More Reading
Newer// SSL/TLS
Older// Innovatie

Copyright; 1995 - 2015 Peter Peters. All rights Reserved.