Gepubliceerd: Maandag 22 december 2008
Leden van het kabinet en hun familie moeten gedwongen worden om extra veiligheidsmaatregelen te nemen wanneer zij het internet betreden, bepleit de SP.
Toon volledig artikel
Wat een ongelofelijke muts is dat mens toch!! Ik hoop dat ze dit leest en zich voortaan bezig gaat houden met nuttiger zaken!
Inderdaad. Hoe kan deze dame zichzelf nog serieus nemen door weeral een kostenverslindend onderzoek aan te vragen om niets. Er is niets verkeerd aangetroffen in de prive-email, daarnaast kan de postbode ook een (prive)-brief van een minister openen als hij die thuis bezorgt.
Chantage met privé-informatie is een fors veiligheidsrisico bij bewindslieden. Of het gevaar van overvallen, aanslagen, gijzelingen omdat men weet waar de bewindvoerende of diens familie zich wanneer bevindt.
Maar misschien kan de SP beter eens kijken wat hun Provinciale Statenleden doen als ze de verleiding niet kunnen weerstaan andermans privémails te lezen. Was 't niet in Limburg, dat met de mail van die CDA-gedeputeerde?
Het lijkt mij dat in de Commissie-Stiekem dit SP-voorstel allang jaren geleden ter sprake is geweest.
Als de overheid nou is eerst haar eigen kant veilig maakt, gaan we het daarna over de kant van de gebruikers hebben...
Kleine tip: Gebruik een GOUD laptop met een mooie Linux distro erop :P
Het gaat gewoon voorbij aan de doelstelling van Email, dit is nooit bedoelt om geheimen te bewaren. Zaken die niet in het openbaar mogen verschijnen stuur je ook niet met reguliere post. Er zijn soorten verbindingen die hier wél voor bedoelt zijn, daar moet men aan herinnerd worden.
Door onbekendheid en slechte instructies aangevuld met gemakzucht maakt dat men slordig is, hier moet meer op gehamerd worden.
Het Internet is geen plaats voor geheimen en het transport er van, de banken zijn er wel het mooiste voorbeeld van, géén van de gebruikte technieken is waterdicht, als je iets gebruikt waar het niet voor ontworpen is wordt aanpassing ervan erg kostbaar en het risico van fouten blijft bestaan.
Waarom geen commentaar over de belachelijk illegale hack praktijken van de Revu waarvan 14.000 mensen het slachtoffer zijn geworden ?
Als de prive email van Agnes Kant was gehackt zou er wel een ander geluid geklonken hebben vermoed ik
Ik denk dat er een belangrijk punt geraakt wordt, namelijk hoe gaan bewindspersonen en parlementariers om met de systemen die tot hun beschikking staan. Ik ben wel benieuwd hoeveel van hen beveiligd verbinding maken met het netwerk, zorgvuldig genoeg zijn dat er geen spyware en dergelijke op staat en de data op een beveiligde partitie heeft staan. Ik denk dat de resultaten ons behoorlijk tegen zullen vallen en dat als zo'n laptop (of Blackberry) ergens blijft liggen, er een flink aantal personen peentjes zullen zweten.
Dus aandacht vragen voor de protocollen en de naleving daarvan in een breder kader is geen slecht idee. En dat deze staatssecretaris geen stukken doorstuurt naar zijn prive mail is goed, maar dat wil niet zeggen dat de anderen het ook niet doen.
Het gaat om prive mail. Waarschijnlijk gewoon een gmail accountje zoals iedereen die heeft.
Het staat echt helemaal los van de functie.
Het gaat erom of er geen werk-gerelateerde mail naar het prive-account gestuurd wordt. Bijvoorbeeld omdat de bewindspersoon het zo onhandig vindt om met RSA token een VPN sessie en binnen een beveiligde omgeving aan een document te werken. En dus het maar even naar het prive-account mailt om thuis verder te werken. Dat is onzorgvuldig handelen en kan nare consequenties hebben. En dan niet alleen het hacken van een mail account, maar documenten hebben de neiging om niet meer weg te gaan en op onbeveiligde mediadragers terecht te komen.
Het gaat dus om veel meer dan alleen dit akkefietje met de Revu. Onze vertegenwoordigers en ambtenaren werken met veel gevoelige informatie en dat moet op de meest zorgvuldige manier gedaan worden. En databeveiliging is bij uitstek een thema dat vaak alleen technisch bekeken wordt (een firewalletje en VPN'tje en klaar), maar dat juist erg diep in het menselijk handelen zit (hoe ga ik met documenten om). Bewustwording over waarvoor welke accounts en systemen gebruikt worden is dus beter dan een VPN beschikbaar stellen om te werken. Want omdat dat zo onhandig is worden er wegen gezocht om dat te omzeilen.
Als de Revu dat had aangetoond dan was het een goed artikel geweest. Maar dat hebben ze niet aangetoond. Je hebben alleen wat onschuldig geouwehoer aangetroffen.
Dan nog was het geen goed artikel geweest.
De gebruikte methode waarbij 14.000 computers zijn besmet met malware is belachelijk en schandalig.
De revu had geen verdenkingen, geen aanwijzingen maar heeft gewoon maar wat gehackt.
Waarom hebben ze geen bronnen geproduceerd die vertelden dat er kabinetsleden hun private email gebruikten voor overheidszaken ?
Omdat ze die niet hadden natuurlijk!
Ik weet niet wie je probeert te overtuigen. Ik ben het nl. met je eens dat het Botnet een duidelijk criminele activiteit is.
Als Revu had willen en kunnen aantonen dat de privé email gebruikt werd voor zakelijke mail, dan had ik de hack zelf door de vingers kunnen zien. Dergelijk gevoelige mail hoort niet in een privé mailbox. (Of op een buro in een woonhuis)
Maar Revu heeft niets anders aangetoond dan dat de staatssecretaris zich netjes aan de regels houdt en dat een mailbox niet bestand is tegen brute force.
Non-nieuws en twijfelachtige methoden is alles wat over blijft.
Ik ben het niet met je eens. Er zullen redenen zijn dat iemand vertrouwelijke/gevoelige documenten naar een privé mailbox stuurt (of op een laptop/USB-stick zet) om verder thuis te werken. Niets op tegen. Echter, inbrekers houden zich niet aan de regels dus zal degene die thuis wil werken wel extra maatregelen moeten nemen om diefstal/misbruik tegen te gaan. En helaas, daar schort het aan. Dat heeft niet zozeer te maken met technische (on)mogelijkheden als wel met attitude/mentaliteit.
Wat Revu hier heeft gedaan (inbraak op een mailbox) kan worden gelijkgesteld met het werk van een inbreker: illegaal handelen. Mijn mening is dat dit analoog moet worden beloond door middel van aangifte en strafrechtelijke vervolging.
Er zullen redenen zijn dat iemand vertrouwelijke/gevoelige documenten naar een privé mailbox stuurt (of op een laptop/USB-stick zet) om verder thuis te werken.
Als daarbij geen gebruik wordt gemaakt van zware encryptie, dan zou het niet mogelijk mogen zijn. Een USB stick zal minimaal gebruik moeten maken van truecrypt met een lang en onlogisch wachtwoord en een keyfile. Als een attachement overeenkomstig versleuteld is, dan heb ik er geen problemen mee.
Tot die tijd is geen reden goed genoeg om zaken van staatsbelang (bij wijze van spreken) op straat te laten rondslingeren.
Dus sorry, we verschillen van mening.
Een sterker wachtwoord is echter wel 1 van de oplossingen die het probleem had zou hebben voorkomen.
Daar zou je gelijk aan kunnen hebben. Ik heb even heel grof zitten rekenen met een 16 tekens lang sterk wachtwoord waarop 14.000 computers elk 100 keer per seconde proberen aan te melden. Iets wat volgens mij niet eens mogelijk is omdat het op een DDOS zou lijken.
Ik kom dan op een maximale rekentijd van 430.227.285.603.896.000.000 dagen. :)
Een paar complexe tekens, hoofdletters, cijfers en (ietsje) langer dan 8 tekens doet ook al wonderen.
Maar je zou ook op de server-side e.e.a. kunnen blokkeren. Zie de oplossingen voor SSH brute force. Ik zou persoonlijk gaan voor 3 strikes out. En vervolgens cumulatief de IPs steeds langer blokkeren. Eerst 15 min. Dan 60 min. Dan een dag. Dan een week. Dan een maand. Dan een jaar. Enzovoorts. Of anders sneller, maar dan met contract address van helpdesk.
Dat lijkt me weer niet zo'n goed idee, want daarmee zet je de deur open voor DOS pesterijtjes. Ik zou eerder gaan voor een seconden tot minuten blokkade omdat daarmee brute force aanvallen al zo goed al zinloos worden.
Werkt niet. Werkt wel om je logs schoon te houden. Maar dan proberen ze het later weer. Spoofing kan in principe niet. Iemand die steeds weer verkeerd doet is een sukkel. En mag dan wel wat geld betalen aan de helpdesk.
Volgens mij snap je niet helemaal wat ik bedoel.
Het idee is, dat je de mailbox van een gehate collega ontoegankelijk maakt door een paar keer te proberen in te loggen met een fout wachtwoord. Een simpele maar doeltreffende DOS. En als je het een paar keer herhaalt kan je arme opponent dagen lang zijn mail niet meer in.
De blokkade moet je natuurlijk doen op ip adres, en aangezien er een complete tcp verbinding moet zijn voordat je kan beginnen aan de login poging is spoofen een behoorlijke uitdaging.
O.a.
Kunnen ook ranges zijn.
Of zelfs protocol versies, of client versies. Hoewel dat meer obscurity is.
Iemand die op een SSH server inlogt waarvan het account niet bestaat mag wmb best even geblokkeert worden. Doet-ie het weer, is het waarschijnlijk een imbeciel of een overlaat. Hoe dan ook, meneer of mevrouw mag erg lang wachten of contact opnemen met onze helpdesk. =]
Je kunt zelfs gaan discrimineren op andere zaken zoals het land van het IP address.
De kans dat je collega in Rusland via een telefoon over 3G inlogt is 1 op heel_erg_veel.
Zie de oplossing tegen de oplossingen van het bruteforce verhaal: slow brute force attacks.
Als er maar genoeg botjes in je netwerk zitten kan je met een lang genoege tussentijd inlog pogingen doen, anti brute force progjes als denyhosts triggeren dan niet.
Behalve wanneer ze het verkeerde proberen te brute forcen. En dat werkt met SSH. Maar niet bij SMTP.
Want het verschil tussen een brute force op ssh en op email (niet smtp maar pop/imap/mapi) is? Functioneel is er IMHO geen verschil het gaat in alle gevallen om een login/ww combo (iets wat juist in ssh het makkelijst uit te zetten is).
Ik vind persoonlijk dat ook rechters, politie agenten, ambtenaren, hoge managers, dokters, psychiatrisch personeel, advocaten en alle overige mensen met toegang tot gevoelige informatie verplicht gebruik moeten maken van veilige email. En omdat al deze mensen wel eens contact hebben met de gewone burger, moet het ook verplicht worden voor de gewone burger. ;)
Dat de staatssecretaris een provider heeft die toelaat dat een botnet zijn wachtwoord kan raden is wel een beetje zot natuurlijk, maar het voorstel van mevrouw SP is ook een beetje de weg kwijt.
En ik maar denken dat de SP wars was van populistisch gedoe.
Kennelijk beseffen maar weinig mensen hoe onveilig mail is: onversleuteld verzonden en opgehaald en geen enkele garantie dat de beweerdelijk afzender ook de natuurlijk persoon is die het bericht geschreven heeft. Zelfs banken en zorgverzekeraars gebruiken vrolijk de e-mail om persoonlijke gegevens als BSN nummers en bankrekeningen onbeveiligd over het net te slingeren.
Toch is een simpele oplossing als het gebruik van digitale certificaten nog lang niet ingeburgerd. Waar blijft de provider die zijn abonnees standaard certificaten verschaft?
Ik dacht dat een certificaat alleen zorgde dat de authenticiteit van de email te garanderen is. Voor encryptie zorgt het toch niet?
Om dat te garanderen zou er volgens mij een wereldwijde public key database aangelegd moeten worden. En dan maar hopen dat tante Jo haar private key en/of passphrase niet verliest.
En dan heb je nog steeds het probleem van het bij de burger krijgen van al die keys en wachtwoorden zonder dat er man in the middle problemen optreden.
Niet juist. Als beide partijen over een certificaat beschikken is encryptie mogelijk. Google maar eens op "s-mime" en je vindt hoe eenvoudig het in elkaar steekt.
Ik ken s-mime wel, maar niet erg goed. Dat heeft toch als nadeel dat je public key certificaat eerst moet publiceren? Het idee ansich is goed. Ik zou het toejuichen als het van de grond kwam, maar in de praktijk zie ik toch een paar beren op de weg. De verschijnsel DigID heeft al zoveel voeten in de aarde.
Je hoeft niets te publiceren. Eenmaal een ondertekend mailtje aan iemand is voldoende om vervolgens versleuteld met die persoon te mailen.
Dat is publiceren. Je moet als verzekeringsbedrijf (bijvoorbeeld) je klant zover zien te krijgen dat hij je een getekende mail terug stuurt (publiceert) voordat je veilig contact kan hebben. Maar hoe weet je bijvoorbeeld 100% zeker dat je eerste contact al met de juiste persoon is? Het uitwisselen van de certificaten is het punt waarop altijd risico's blijven liggen. Dat het met s-mime veiliger kan zijn stel ik niet ter discussie, maar 100% is het nog steeds niet.
Bedankt trouwens voor de info. Ik ga me eens verdiepen in s-mime. Ik ben wel benieuwd wie en wat dit allemaal al ondersteund.
Achter certificaten hangt een web of trust, immers zonder trust heeft het certificaat geen zin zoals je zelf al aangeeft. In het SMIME gebeuren is dat WoT de verantwoordelijkheid van de Certificate Authority (CA).
Aangezien de overheden al de uitgevers zijn van alledaagje papieren die onze identieteit bewijzen zijn deze (en om het centraal te regelen natuurlijk de rijksoverheid die ook de passpoorten uitgeeft) de aangewezen instanties om CA te spelen (dat zijn ze namelijk toch al). De Belgen geven het goed voorbeeld met .beID. Maar gelukkig begint men hier dat ook te beseffen:
http://sync.nl/e-shoppen-met-je-paspoort
On a side note zou dit de eerste stap kunnen zijn naar gereguleerde internet toegang. Beginnen onder de noemer veilig betalen, daarna wordt het de eis voor betalen op internet (in Belgie), dan is het nog maar een kleine stap voor het een voorwaarde is om uberhaupt nog online te kunnen komen.
De SP-politica erkende overigens dat ook zij een haar privémail bij een reguliere provider laat binnen komen en is zich ervan bewust dat ook haar wachtwoord eenvoudig gekraakt kan worden.
Tja zou je niet eerst zelf de boel is goed op order hebben voordat je dit soort opmerkingen gaat maken.
Maar ja de SP doet ook hier een beetje mee aan populisme, ze krijgen weer mediaaandacht.
Dat 'gemin' hier -naar ik meen- door een aantal 'Linux fanaten' begint mij flink de keel uit te hangen.
Wat een hoop heibel.
Er is een privebox van een prominente nederlander gebruteforced, er is vervolgens niets belastends aangetroffen.
Waarom word er nu aandacht besteed aan het beveiligen hiervan enkel voor mensen met een belangrijke functie als het voor de rest niets te doen heeft met hun functie?
Het is slecht dat de Revu zich zonder aanwijsbare reden bezig heeft gehouden met dat soort praktijken, daar moet tegen opgetreden worden. Voor de rest is er naar mijn mening niets aan de hand.
Zo lang gevoelige data maar als gevoelig behandeld wordt.
Dit is weer een beetje reageren in de waan van de dag. Dat is overigens geen enkele politieke partij vreemd. In relatie tot e-mail gedoe is het wel heel opmerkelijk is dat er vanuit de SP niet heel hard werd geschreeuwd toen duidelijk werd dat er in de provincie Limburg een SP bestuurder door een configuratie fout maandenlang fractie mail van het CDA in zijn brievenbusje kreeg. De SP heeft tot nu toe daarover geen enkel publiek standpunt ingenomen, ook niet nadat duidelijk werd uit onderzoek dat het maanden heeft geduurd voordat het bestuurslid er een keer melding van heeft gemaakt.
Maar goed, dat is al weer een paar maanden geleden dus in de waan van de dag natuurlijk allang weer vergeten....
Hoewel Revu bij zijn kraak geen vertrouwelijke gegevens aantrof, wil Gerkens dat bewindslieden uitsluitend via een beveiligde verbinding met internet contact mogen leggen.
Ehh... wat? Hoe ziet ze dat voor zich? Wat heeft dat voor zin?
Mogelijk zouden ministeries de privé e-mail moeten beheren om zo een afdoende beveiliging te garanderen.
Ja want ministeries hebben veel meer verstand van databeveiliging en security dan providers.
Mens, ga toch koken!!!
Wat is het alternatief... Weer offline achterkamertjespolitiek?
Je mag enige hersenactiviteit verwachten van 2e Kamerzitters, maar ook van de notebook/pc-beheerders. Alle securitytools, geen admin-installmogelijkheid, en vette passwords overal op.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
