Websites overheid onveilig

Johan (iteejer)

De overheidssites in Nederland zijn verre van veilig. Waar minister Hirsch Ballin afgelopen maandag een campagne startte waarin de burger wordt gewezen op veilig internetten, blijkt ruim 80% van de overheidswebsites (570 van de 684) niet veilig te zijn.

De websites van de overheid bieden criminelen dus ruimschoots de gelegenheid zonder problemen (persoons)gegevens van Nederlanders te pakken te krijgen. In het slechtste geval kan een crimineel de complete identiteit van een persoon overnemen. Met alle vreselijke gevolgen van dien. Gevolgen die veel verder gaan dan alleen creditkaart fraude.

Networking4all, marktleider op het gebied van internetveiligheid in de Benelux, doet herhaaldelijk onderzoek naar de veiligheid op het web. Onlangs heeft Networking4all ook onderzoek gedaan naar de veiligheid van alle overheidswebsites. Het resultaat was meer dan droevig.

Volgens Paul van Brouwershaven, technisch directeur van Networking4all, is de overheid van deze dramatische cijfers op de hoogte.
Paul van Brouwershaven: "Het is schrijnend dat er een dure campagne wordt gelanceerd waarin met het belerende vingertje ons wordt verteld hoe we veilig moeten internetten, terwijl dezelfde overheid websites heeft waar alles vanaf kan worden geplukt, waaronder ook onze persoonsgegevens!"

"Bij organisaties die hun website veilig hebben gemaakt, juist in het belang van de consument, komt deze campagne over als 'de bel horen luiden, maar niet weten waar de klepel hangt' en dan druk ik me erg diplomatiek uit", aldus de heer Van Brouwershaven. "Wat nog verbazingwekkender is, is het gegeven dat de overheid niet haar eigen verantwoordelijkheid neemt om zorg te dragen voor veiligheid op het web. Ze hebben de wettelijke verplichting én mogelijkheden de burger die veiligheid te garanderen. Dit laten ze echter gewoon na. Al jaren!"

Voor de consument goed om te weten: op de gratis site www.isdezesiteveilig.nl kunnen alle websites heel eenvoudig getest worden of ze al dan niet veilig zijn.

Hieronder een aantal voorbeelden van overheidssites die onveilig zijn en waar absoluut van verwacht mag worden dat ze zeker geen mogelijkheden zouden moeten kunnen geven tot cybercrime:

http://www.overheid.nl
http://www.postbus51.nl
http://www.belastingdienst.nl
http://www.defensie.nl
http://www.deombudsman.nl
http://www.werkenbijhetrijk.nl
http://www.ind.nl
http://www.paspoortinformatie.nl
http://www.regering.nl
http://www.svb.nl
http://www.minbzk.nl
http://www.minaz.nl

maandag 3 augustus 2009, 09:01 uur #1

gateway

@ [DPC]Fokschaap

quote:

Fout bij controleren van het SSL Certificaat!!
-Wij konden geen verbiding maken met de server

We kunnen geen beveiligde verbinding tot stand brengen met frontpage.fok.nl. Hier kunnen verschillende redenen voor zijn, zoals een server of netwerk storing, maar het is ook mogelijk dat er geen of nog geen beveiligde verbinding aanwezig is.

Wij adviseren u geen vertrouwelijke informatie of persoonsgegevens op deze website achter te laten, aangezien het SSL Certificaat mogelijk is vervalst of onjuist geïnstalleerd is.

Schaapjes herenigd U! bij [DPC] FOK!schaap!
Doe mee met FOK!Whatpulse en typ jezelf naar de eerste plaats!

maandag 3 augustus 2009, 09:01 uur #2

flexino

Daarom moet je alleen zulke sites gebruiken die gebruik maken van een SSL verbinding, dat zie je aan de extra s achter http: https

maandag 3 augustus 2009, 09:04 uur #3

chucky1

wat is er nou wel veilig bij de overheid behalve hun eigen bankrekening

maandag 3 augustus 2009, 09:10 uur #4

swoopie

Vind dit weer een typisch gevalletje marketing. De overheid heeft een campagne gelanceerd, laten we daar eens gebruik van maken. Slim hoor, maar of het nou werkelijk waar is wat er allemaal geroepen wordt? Ik zou wel eens willen weten wat er dan mis is met die websites. Niet in detail natuurlijk want dat is niet netjes, maar in grote lijnen. Networking4all scoort mij een beetje te makkelijk op deze manier.

maandag 3 augustus 2009, 09:12 uur #6

Salatrel

quote:
Op maandag 3 augustus 2009 @ 09:10 schreef BekiekUtMoar het volgende:
Wat is dat met dat lettertype? Ik zie niks opvallends?

tis al aangepast

maandag 3 augustus 2009, 09:17 uur #7

Omegium

quote:
Voor de consument goed om te weten: op de gratis site www.isdezesiteveilig.nl kunnen alle websites heel eenvoudig getest worden of ze al dan niet veilig zijn.

Mooi staaltje marketing. Het enige wat er getest wordt is de kwaliteit van encryptie als jij met die site verbonden bent. De honderden andere manieren waarop het later toch nog mis kan gaan (als de site gewoon gehacked wordt bijvoorbeeld) worden niet meegenomen.

Helemaal niet "veilig", maar veilig tegen een enkele specifieke aanval

maandag 3 augustus 2009, 09:33 uur #8

Jacco133

Dat wordt weer veel werkgelegenheid in de IT de komende jaren, ik bedoel decennia.

maandag 3 augustus 2009, 10:24 uur #9

muphry

Inderdaad reclame, en ze controleren niet eens of bovenliggende CA certificaten nog MD5 of zelfs nog MD2 zijn!!!!

Zouden ze zelf ook nog certificaten (laten) uitgeven onder CA's met deze verouderde hashes: zou leuke blamage zijn.

maandag 3 augustus 2009, 10:28 uur #10

faculty

Always around

dit is zoooooo'n bullshit..

Tuurlijk, een gemeente die gebruik maakt van digid moet gebruik maken van een ssl certificaat, maar heel digid wil niet met gemeenten samenwerken die hier geen gebruik van maken. Echter een ministerie site waar mensen informatie kunnen opvragen hoeft echt geen gebruik te maken van een ssl certificaat. Ook de site van de belastingdienst, waarin alleen informatie wordt verstrekt hoeft hier geen gebruik van te maken.

De overheid weet dit ook al en dit is gewoon een marketing actie van networking4all. Zij zijn verkoper van ssl certificaten en hopen hiermee een beetje extra winst te krijgen. Dit hele bericht is gewoon een grote reclame en iedereen trapt erin.

What goes around, Comes around

maandag 3 augustus 2009, 10:35 uur #11

ThE_ED

engu twiekur

quote:
Op maandag 3 augustus 2009 @ 09:17 schreef Omegium het volgende:

[..]

Mooi staaltje marketing. Het enige wat er getest wordt is de kwaliteit van encryptie als jij met die site verbonden bent.

Ja, precies

[KNE]-Mod

maandag 3 augustus 2009, 10:42 uur #12

GokuSFE

Als ze het nou tenminste nog hadden getest tegen de OWASP top 10, had je er nog iets van kunnen zeggen. Zoals eerder genoemd, SSL certificaten zijn leuk, maar als de applicatie alsnog gevoelig is voor bijv. XSS of SQL injectie ben je alsnog zuur.

En SSL certificaten heb je ook nog in meerdere gradaties, je koopt ze al vanaf een paar tientjes; wil je echt zeker stellen dat een website ook daadwerkelijk legitiem is, zit je aan de duurdere van enkele honderden euro's vast (maar ook dat is een schijntje natuurlijk voor de overheid). Enkele weken terug was er een leuke Netwerk uitzending over de beveiliging van websites van banken en overheid: KLIK

Xbox360 Gamertag / PSN Tag: GokuSFE

maandag 3 augustus 2009, 10:42 uur #13

eerlijkiseerlijk

In hoeverre zijn bedrijven en de overheid in een tijd dat op duizenden plaatsen persoons- en bedrijfsgegevens zijn geregistreerd deze te beschermen? Het aantal databestanden dat publieke en private instellingen gebruiken is de laatste jaren explosief gestegen. Overal laten we sporen na doordat onze persoonsgegevens in databanken worden opgeslagen. Publieke instanties als de Belastingdienst, gemeenten, het kadaster, justitie, rechtbanken, sociale uitvoeringsinstellingen, rijksdienstwegverkeer en de kamer van koophandel verwerken allemaal uw gegevens. Maar ook private instanties als werkgevers, Bureau kredietregistratie, energie, telecommunicatie, bank en verzekeringsbedrijven.

Persoonsgegevens zijn waardevol doordat ze een bron van informatie vormen over een persoon. Ze vertellen wat uw huidig en voormalig woonadres is, wie uw huidig of voormalig werkgever is, wie uw energieleverancier is, wat voor uitkering u ontvangt en hoeveel, of u een strafblad heeft, of u vastgoed heeft, in wat voor auto u rijd, waar en hoe laat u pinde, aan wie u geld overmaakt en met wie u regelmatig belt.

Kun je nog anoniem zijn in een tijd waarin alle grenzen vervaagd zijn?

Een 'bron aanboren' is iemand bij een instantie weten te vinden die je steeds weer informatie kan geven zonder dat hij iets in de gaten heeft. De waarde van goede bronnen is groot zegt Michel; "Politie en justitie roepen al jaren over het koppelen van databanken met gegevens om zo sneller de juiste informatie te kunnen krijgen. Maar anderen en ik waren al jaren bezig met het koppelen van die bestanden, alleen niet rechtstreeks maar door gewoon van de ene instantie naar de andere te bellen."
http://www.michelkraay.nl/telefonisch-rechercheren.php

maandag 3 augustus 2009, 10:43 uur #14

Net zo gemakkelijk als Michel belt naar gemeenten, banken, uitkeringsinstellingen of sociale uitvoeringsinstellingen, zo doet hij ook navraag bij politie instanties. Bij de Centrale Recherche Informatie (CRI) in Zoetermeer verzamelt hij informatie uit het zogeheten VIS, verificatie informatie systeem. De medewerkers kunnen er selecteren op burgerservicenummer of rijbewijsnummer en vervolgens vertellen of iemand gezocht wordt voor een misdrijf en door welk land om uitlevering gevraagd word. Het VIS is ook gekoppeld aan het NSIS, het Nationaal Schengen informatie systeem, Daarin staat informatie over vreemdelingen die geen toegang mogen krijgen tot Nederland of die gezocht worden door de autoriteiten. De andere Schengen-landen kunnen ook bij dit systeem. Zelfs gevangenissen laten informatie ontsnappen. Michel belde ook met penitentiaire inrichtingen, huizen van bewaring. Soms gewoon om te vragen of een persoon nog vast zat, soms om gegevens over diens strafblad te krijgen. Ook hier kende hij het jargon. IV staat voor invrijheidsstelling, de datum waarop iemand is vrijgelaten. Ook geven de instellingen adresgegevens vrij. Bij detenties in het buitenland belde Michel gewoon met het ministerie van Buitenlandse Zaken.

Het Justitieel Documentatie Systeem geeft het justitiële verleden van personen. Het belangrijkste systeem is de VIPS, de Verwijs Index Personen, waarin strafbladinformatie wordt uitgewisseld tussen de verschillende onderdelen die bij het strafrecht zijn betrokken. Daar belde Michel ook voor. De VIP-informatie verwijst onder meer naar systemen van het OM, Dienst Justitiële Inrichtingen en het Centraal Justitieel Incassobureau in Almelo. Ook via internet kunnen Justitiemedewerkers het VIP raadplegen. "Jargon bij het CJIB is of iemand geconverteerd is, of hij zijn straf of boete heeft betaald." Ook politiemedewerkers laten aan de telefoon informatie los. Zo belde Michel wel eens met de meldkamer met de vraag 'of ze even een kentekennummer konden nazien'. Namen van systemen die als hij de politie aan de lijn had liet vallen waren HKS en DIA. HKS is het landelijke Herkenningsdienstsysteem waarin de politie sinds 1986 alle gegevens over verdachten registreert. Het HKS is overigens ook weer gekoppeld aan vele andere databases, zoals het Sociaal Statistisch Bestand (SSB) van het CBS, met daarin de registers van onder meer de Belastingdienst, de uitkeringsinstanties, de Informatie Beheergroep en Gemeentelijke basisadministratie. Bedrijfsprocessensystemen van de politie (BPS). Bij de Marechaussee in Schiphol checkt Michel welke paspoortnummers mensen hebben en vice versa. Ook bij Interpol/Europol slaagde hij erin om na te gaan over een persoon op een internationale opsporingslijst stond.

http://www.michelkraay.nl/telefonisch-rechercheren.php

maandag 3 augustus 2009, 11:10 uur #15

XeriuM

Fout bij controleren van het SSL Certificaat!!
Wij konden geen verbiding maken met de server

Misschien moeten ze Nederlands leren???

There will be only one...

maandag 3 augustus 2009, 11:12 uur #16

longinus

Hollander

De overheid is zo log en verschuilt zich achter hun eigen apparaat dat dit soort dingen mij niks verbazen.
en dan nog, het zal waarschijnlijk verboden worden om te testen of ze veilig zijn, en de overheid gaat weer rustig slapen..

Thee iemand ?

Dit bericht is goedgekeurd door de NSA en de NVD en andere opsporingsdiensten.

maandag 3 augustus 2009, 11:15 uur #17

Eriky

Het is zoals anderen ook al zeggen slimme marketing, dit onderzoek. Het is wel een heel simpel onderzoek, aangezien het lijkt of er vooral gekeken wordt naar formulieren die verstuurd worden zonder https verbinding. Maar hoewel de kans dat iets dergelijks echt misbruikt wordt niet zo groot is, zit er is wel een kern van waarheid in het hele verhaal. Waarom gebruikt een site als de SVB.nl niet gewoon zijn (al werkende) https server voor het contact formulier? Het had ze veel imago schade kunnen besparen.

maandag 3 augustus 2009, 11:30 uur #18

Avmmeke

quote:
Websites overheid onveilig

Daarom zet ik ook altijd een helm op als ik naar deze sites ga.

maandag 3 augustus 2009, 11:42 uur #19

Aprillia

quote:
Op maandag 3 augustus 2009 @ 09:01 schreef flexino het volgende:
Daarom moet je alleen zulke sites gebruiken die gebruik maken van een SSL verbinding, dat zie je aan de extra s achter http: https

Zelf SSL valt te omzeilen....

http://www.security.nl/ar(...)liging_websites.html

Blaaattt

maandag 3 augustus 2009, 12:13 uur #20

zebaz

Networking4all is een SSL-boer die hiermee probeert publiciteit te krijgen. Net of de veiligheid van een website enkel af zou hangen van of er een SSL-versleutelde verbinding mee is. Zelfs op de genoemde sites wordt, zodra je moet inloggen, keurig gebruik gemaakt van SSL.

De 'check' die zij aanbiedne op hun site geeft ook alleen maar aan of een site SSL gebruikt. Pft.

maandag 3 augustus 2009, 14:43 uur #21

lalala:

Volgens Joost Pol van Certified Secure zijn SSL-certificaten belangrijk, maar wordt het geschetste gevaar dat vanwege het ontbreken van een certificaat eenvoudig vertrouwelijke gegevens te bemachtigen zijn, ernstig overdreven. "Het installeren van een SSL-certificaat is geen enkele garantie dat criminelen er niet met je gegevens vandoor gaan." Het grootste gevaar schuilt in fouten in de applicatie zelf, kwetsbaarheden als SQL-injectie en cross-site scripting zijn nog altijd dé achilleshiel van de meest websites.

Pol vindt het jammer dat de media zich in dit geval niet kritischer heeft opgesteld en van een mug een olifant maakt. "Waarom zou je moeilijk doen door netwerkverkeer te onderscheppen, als je ook via één eenvoudig commando een hele database kunt leeghalen." Certified Secure adviseert bedrijven en overheidsinstanties vooral in de beveiliging van de webapplicatie zelf te investeren. Pol raadt verder iedereen aan de gratis webapplication scan checklist te downloaden, in plaats van geld te investeren in een vals gevoel van veiligheid.

bron: http://security.nl/artike(...)HTTPS%22_Update.html

in andere woorden: reclame

Reageer zelf

Om te kunnen reageren moet je zijn ingelogd op FOK.nl. Als je nog geen account hebt kun je gratis een FOK!account aanmaken

Websites overheid onveilig

Lees ook

21 reacties