GOVCERT.NL
Factsheets
Factsheet over de beveiliging van webapplicaties (versie 1.0, 12 maart
2010)
Helaas worden de dreigingen voor webapplicaties binnen veel
organisaties onderschat. Daarom hebben wij in deze factsheet de
belangrijkste feiten rondom de beveiliging van webapplicaties beknopt
op een rij gezet. We beginnen met een lijst van de meest voorkomende
misvattingen over de beveiliging van webapplicaties. Daarnaast kunt u
lezen wat de belangrijkste oorzaken zijn van kwetsbaarheden in
webapplicaties. Ten slotte beschrijven we hoe u de risicos voor uw
eigen organisatie kunt inschatten en wat u kunt doen in het geval van
een incident.
Factsheet over kwetsbare communicatie met gsm (versie 1.11, 3 maart
2010)
In 2009 is de vertrouwelijkheid van gesprekken en sms-berichten met
mobiele telefoons verder in gevaar gekomen. Volgens de laatste
gepubliceerde onderzoeken blijkt dat er een reële mogelijkheid is dat
vertrouwelijke gesprekken kunnen worden afgeluisterd. Ook voor
sms-authenticatiediensten zijn de risico's toegenomen. GOVCERT.NL zet
in deze factsheet de verschillende zwakheden op een rij. Er wordt
ondermeer aanbevolen om -waar mogelijk- UMTS te gebruiken in plaats van
GSM.
Meerdere kwetsbaarheden in de implementatie van TCP (versie 1.04, 7
december 2009)
Op 8 september 2009 brengt een aantal soft- en hardwareleveranciers
patches uit voor een serie van kwetsbaarheden, ontstaan door
implementatiefouten, in een van de fundamenten van het internet: het
Transmission Control Protocol, kortweg TCP. Dit protocol is een van de
fundamentele protocollen voor de communicatie over netwerken, en dus
ook het internet. Een grote verscheidenheid aan TCP implementaties
blijkt kwetsbaar.
Deze factsheet zet de nu bekende feiten rondom deze kwetsbaarheden op
een rij en draagt adviezen aan die kunnen helpen om de kans op misbruik
van deze kwetsbaarheden te verkleinen of de impact ervan te beperken.
Mogelijk lekken van geheime sleutel bij gebruik van RSA-CRT in
smartcards (versie 1.2, 24 april 2009)
Smartcards worden in steeds meer toepassingen gebruikt: de sim-kaarten
in mobiele telefoons, de chips op bankpassen en de toegangspassen voor
gebouwen zijn voorbeelden die we dagelijks tegenkomen. Een belangrijk
aspect van smartcards is het vertrouwelijk opslaan en communiceren van
gegevens over de gebruiker of zijn rechten. Deze informatie wordt
versleuteld en de smartcard biedt de mogelijkheden voor versleuteling.
Onderzoek door het Nederlandse bedrijf Riscure heeft aangetoond dat in
een laboratoriumomgeving bepaalde smartcards de opgeslagen
cryptografische sleutels ongewenst kunnen vrijgeven. Dit factsheet
beschrijft in kort bestek hoe dit kan, geeft aan hoe u kunt nagaan of
uw smartcardtoepassing kwetsbaar is, wat er kan gebeuren en welke
maatregelen in dit geval het risico kunnen verminderen.
Draadloze netwerken (versie 1.3, 28 september 2009)
De introductie van draadloze netwerken betekende jaren geleden een
doorbraak in de connectiviteit en mobiliteit van netwerkgebruikers.
Door de grote flexibiliteit kunnen draadloze netwerken voor zowel
thuisgebruikers als bedrijven een uitkomst zijn. Natuurlijk zijn er ook
risicos aan verbonden, maar met de juiste maatregelen is een draadloze
verbinding zeer goed te beveiligen. Dit factsheet beschrijft de
belangrijkste standaarden, technieken en beveiligingsaspecten van
Wi-Fi, de techniek die op dit moment het meest gebruikt wordt voor
draadloze netwerken.
Grenzen aan cryptografie - werken met vertrouwelijke informatie in het
buitenland (versie 1.0, 19 februari 2009)
De samenwerkingspartners van overheid en bedrijfsleven bevinden zich in
toenemende mate in het buitenland. Bij reizen naar het buitenland wordt
daardoor vaak digitale informatie met een vertrouwelijk karakter
meegenomen. Om deze vertrouwelijke informatie, die zich op laptops,
USB-sticks, PDAs of andere informatiedragers kan bevinden, te
beveiligen wordt in veel gevallen cryptografie toegepast.
Wat niet iedereen zich realiseert, is dat in veel landen beperkende
wet- en regelgeving geldt voor het bezit of gebruik van cryptografische
middelen. Hierdoor is het niet altijd toegestaan cryptografie te
gebruiken in een land of cryptografische producten er mee naartoe te
nemen. Daarnaast behouden sommige landen zich het recht voor om inzage
te eisen in uw met cryptografie beschermde informatie. In dit factsheet
geven we aan waaraan u moet denken als u met cryptografische middelen
en/of versleutelde bestanden van en naar het buitenland wilt reizen.
Achtergrondinformatie over Microsoft update MS08-067 (versie 1.3, 17
januari 2009)
Op donderdag 23 oktober bracht Microsoft een patch uit voor een
ernstige kwetsbaarheid in alle versies van Windows. Bijzonder is dat
deze patch buiten de reguliere patch-cyclus om werd uitgebracht. De
reden hiervoor is dat Microsoft de kwetsbaarheid als bijzonder ernstig
inschaalt en dat kwaadwillenden de kwetsbaarheid al actief uitbuiten.
GOVCERT.NL heeft haar deelnemers direct ingelicht over deze
ontwikkeling. Ook is via Waarschuwingsdienst.nl een waarschuwing
uitgestuurd. Na het uitkomen van de patch publiceerden diverse bronnen
meer informatie over de kwetsbaarheid en het misbruik ervan.
Deze factsheet brengt deze informatie samen om u te helpen de impact
van deze kwetsbaarheid voor uw eigen organisatie in te schatten en
acties te ondernemen om de impact te minimaliseren.
Zwakheden in de internet PKI door gebruik van MD5 (versie 1.3, 30 maart
2009)
Op 30 december 2008 heeft een groep onderzoekers op het 'Chaos
Communication Congress', een jaarlijkse beveiligingsconferentie in
Berlijn, in de praktijk aangetoond dat de 'Public Key Infrastructure'
(PKI) van het internet enkele zeer zwakke plekken heeft. Zij hebben
aangetoond dat ze erin geslaagd zijn om een frauduleus certificaat te
creëren dat door alle gangbare browsers wordt vertrouwd.
In dit factsheet kunt u een korte uitleg lezen over het onderzoek, de
risicos op de korte termijn en welke acties zouden moeten worden
uitgevoerd, zowel door uzelf als door andere betrokkenen. We sluiten
dit factsheet af met twee paragrafen met achtergrondinformatie over
digitale handtekeningen, hashes, collisions en de houdbaarheid van
cryptografie in het algemeen.
Kwetsbaarheden Mifare Classic chips in toegangspassen (versie 1.1, 31
oktober 2008)
Sinds begin 2008 is in het nieuws en in de politiek veel aandacht
besteed aan het gekraakt zijn van de OV chipkaart en toegangspassen
voor gebouwen. Dat is het gevolg van ontdekte kwetsbaarheden in de
Mifare Classic RFID chip die in deze producten wordt gebruikt.
Inmiddels is publiek bekend hoe het kraken van deze chips in zijn werk
gaat en is ook programmacode te downloaden waarmee daadwerkelijk chips
kunnen worden gekraakt. Deze factsheet biedt nadere informatie over de
ontdekte kwetsbaarheden en de gevolgen hiervan voor het gebruik in
toegangssystemen. Ook worden maatregelen gegeven die kunnen worden
getroffen om de risicos te beperken.
"De Kaminsky Code": Kwetsbaarheden in DNS (versie 1.04, 25 juli 2008)
Op 8 juli van dit jaar brengt een groot aantal soft- en
hardwareleveranciers patches uit voor een ernstig lek in het fundament
van het internet: het Domain Name System, kortweg DNS. Dan Kaminsky,
een bekend security onderzoeker, blijkt de kwetsbaarheid in januari van
dit jaar te hebben ontdekt.
Deze factsheet zet de feiten rondom deze kwetsbaarheid op een rij en
draagt adviezen aan die kunnen helpen om de kans op misbruik van deze
kwetsbaarheid te voorkomen of de impact ervan te beperken.
Massale SQL injectie aanvallen (versie 1.0, 23 juni 2008)
Sinds mei van dit jaar is er malware actief die op grote schaal SQL
injectie aanvallen uitvoert op websites. Bijzonder aan deze golf van
aanvallen is dat de getroffen website een bron van verspreiding van
malware wordt voor haar bezoekers. Daarnaast verliest de door de
website gebruikte database zijn integriteit. Een simpele query in
Google leert dat er op dit moment ruim 1,3 miljoen websites wereldwijd
en 21.000 websites in Nederland geïnfecteerd zijn via deze specifieke
aanval. Deze GOVCERT.NL factsheet gaat dieper in op de manier waarop
deze aanvallen plaatsvinden, wat de gevolgen zijn en hoe een
organisatie zich tegen dergelijke aanvallen kan beschermen.
Kwetsbaarheden in Debian OpenSSL (versie 1.1, 21 mei 2008)
Enige dagen geleden is er een zeer ernstige kwetsbaarheid ontdekt in de
OpenSSL-implementatie van de Linux-distributie Debian. Deze factsheet
beschrijft de achtergronden van deze kwetsbaarheid, de mogelijke
gevolgen, en geeft u advies over de stappen die u kunt nemen om de
gevolgen voor uw organisatie beperkt te houden.
Defacements (versie 1.1, 3 april 2009)
Defacements van websites komen regelmatig voor. Databases die dit
bijhouden puilen uit van de voorbeelden. Toch is het pijnlijk als het
jezelf overkomt. Dit factsheet geeft een overzicht van wat je kunt doen
om te voorkomen dat een site gedefaced wordt en, als het zich toch
voordoet, de stappen die je kunt nemen om de schade te beperken.
Achtergrondinformatie over Storm Worm (versie 1.3, 3 april 2009)
Storm Worm begon als een onopvallend stuk malware maar is nu
uitgegroeid tot een wereldwijde dreiging. De meest recente ontwikkeling
is dat Storm Worm inspeelt op uw ijdelheid door te claimen dat er een
video van u op YouTube staat. De beste bescherming blijkt overigens nog
altijd: updates, antivirus, gateway filtering en vooral niet overal op
klikken! In de volgende factsheet beantwoorden we de belangrijkste
vragen over Storm Worm.
---
Trendrapportages
Trendrapport 2009
Op vrijdag 26 juni 2009 presenteert GOVCERT.NL het Trendrapport 2009:
de stand van zaken en ontwikkelingen in cybercrime en
informatiebeveiliging in Nederland. In het rapport wordt aandacht
besteed aan de huidige staat van het internet, belangrijke
kwetsbaarheden en risicos en het beveiligingsniveau van eindgebruikers
en organisaties.
Download het Trendrapport 2009.
Trendrapport 2008
Op dinsdag 24 juni 2008 presenteerde GOVCERT.NL het Trendrapport 2008:
de stand van zaken en ontwikkelingen in cybercrime en
informatiebeveiliging in Nederland. Het rapport bevat informatie over
nieuwe technieken die internetcriminelen gebruiken, de impact daarvan
op de Nederlandse eindgebruikers, overheid en bedrijfsleven en doet
aanbevelingen over de verbetering van informatiebeveiliging.
Download het Trendrapport.
Trendrapport 2007
Op 11 juni 2007, in de week dat GOVCERT.NL haar 5e verjaardag heeft
gevierd, is het eerste Trendrapport uitgebracht. Het beschrijft trends
in informatiebeveiliging op basis van waarnemingen en feiten.
Download het Trendrapport 2007.