Beheer

Security

Commentaar: Informatiebeveiliging, kan het nog gekker?

29 september 2011

We pakken DigiNotar bij de kop. Daar is een inbraak geweest waarbij hackers certificaten hebben gegenereerd. Daardoor bleek het mogelijk om internetverkeer om te leiden zodat het afgeluisterd kon worden. Dit speelt zich af in de hoek van dissidenten die met het Midden-Oosten corresponderen. Een neveneffect hiervan is dat daarmee de DigiNotar-certificaten niet meer te vertrouwen zijn. En daarom zijn de websites van bijvoorbeeld de overheid ook niet meer 100 procent veilig omdat die de grootste klant waren.

Als ik klant was van DigiNotar had ik om te beginnen een periodieke ISO 2700x-certificering afgedwongen. Voor wie niet weet wat dat is, hier een citaat uit de inleiding: ”This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System.” Daarmee borg je in ieder geval wat je minimaal op orde moet hebben. Ik heb nergens kunnen vinden dat DigiNotar een ISO 2700x-certificering heeft. Ook via www.isoregister.nl niet. Als dat waar is, is het niet best. In ieder geval is het zeer opmerkelijk dat een bedrijf dat de beveiliging op internet mede moet borgen geen ISO 2700x-certificering kent.

Daarnaast had ik afgedwongen dat elke maand een penetratietest werd uitgevoerd. Vervolgens had ik periodieke softwarekwaliteitsonderzoeken vereist waarbij een forensisch oordeel geveld wordt over kwaliteitsattributen zoals beschikbaarheid en betrouwbaarheid aan de ene kant en security en privacy aan de andere kant. Dit alles door onafhankelijke en ter zake kundige partijen. Opvolging van bevindingen is verplicht en kan door derde partijen worden overgenomen indien DigiNotar niet, onvoldoende of te laat met oplossingen komt.

Verder had ik als klant door een FMEA (Failure Mode Effect Analysis) vastgesteld dat onbetrouwbare certificaten een single point of failure waren. En dus had ik maatregelen genomen door met meerdere partijen afspraken te maken, en certificaten regelmatig te rouleren.

De klanten van DigiNotar ontberen schijnbaar de kennis en kunde om dit soort eisen te stellen en de eigen risico’s in te schatten. Die zitten op de IT-motor zonder helm.

Daarnaast is het schokkend om te lezen in een security blog dat zelfs na een audit bij DigiNotar vanwege de inbraak er op de website van DigiNotar nog steeds defacing pages stonden. De blog meldt dat sinds mei 2009 een gehackte pagina op hun website stond en op 30 augustus 2011 nog steeds. Bij een forensisch onderzoek aan de systemen van DigiNotar had ik binnen 5 minuten de defacing pages gevonden via een paar triviale tests.

Een paar hints over hoe dat werkt. Bij een onderzoek wil je allereerst weten wat voor vlees je in de kuip hebt in termen van technologieën. Een van de middelen daartoe is de extensieanalyse. Extensies van bestanden (zoals .doc) die je zou verwachten op een website zijn html en in dit geval ook crt (van certificaat). Maar bijvoorbeeld niet txt-extensies, al is het maar omdat die niet mooi vormgeven op een website. En die stonden er wel op (ook na de audit dus!):

Daarnaast wil je ook weten waar het over gaat in de bestanden. Dat kun je doen middels concordantieanalyses. Een concordantie is een lijst van voorkomende woorden plus hun frequentie. Heel frequente (descriptieve) woorden geven aan wat er hoofdzakelijk in de bestanden gebeurt en heel weinig voorkomende geven uitzonderingen weer. Daar waren vast de woorden Iranian, Moromoroth, Persian of Yahoo! uitgekomen die in bovenstaande txt-bestanden staan. Dus: gehackt. Zodra duidelijk was dat DigiNotar gehackt was, had het forensisch onderzoek opgeschaald moeten worden en waren de misstanden bij DigiNotar jaren eerder aan het licht gekomen.

Het is jammer dat we keer op keer geconfronteerd worden met steeds banalere beveiligingsmisstanden. Niemand bij de overheid schijnt zich te realiseren dat je er systematisch iets aan kunt doen. Men staat erbij, kijkt ernaar, bedenkt het zoveelste excuus en dan op naar het volgende incident.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!