‘Veiligheid Staat was in geding bij ICT’

AMSTERDAM – In de afgelopen anderhalf jaar is de veiligheid van de Nederlandse Staat bij ICT-beveiligingsincidenten in het geding geweest. In tenminste zeven gevallen was er sprake van een directe, doelgerichte aanval. Dat blijkt uit gezamenlijk onderzoek van Webwereld en NU.nl. Na het voeren van een juridische procedure is een lijst vrijgegeven met een reeks ICT-beveiligingsincidenten.
De gegevens zijn afkomstig van Govcert, dat voor de Nederlandse overheid ondersteuning biedt bij incidenten. Lees het verhaal op NU.nl.

Veiligheid van de staat regelmatig in het geding

Sinds 2009 is bij ICT-beveiligingsincidenten 14 keer de veiligheid van de staat in het geding geweest. In negen van die gevallen was er echt sprake van een gerichte aanval. De politiek wil nu actie. Dat blijkt uit een lijst van beveiligingsincidenten, die Webwereld en NU.nl in handen hebben gekregen met een beroep op de Wet openbaarheid van bestuur (Wob) bij Govcert. In totaal zijn veertien incidenten onzichtbaar gemaakt. Dat doorhalen wordt alleen gedaan met een beroep op een wetsartikel dat is bedoeld om de veiligheid van de staat te beschermen.

‘Diginotar negeerde misbruik en was slecht beveiligd’

DEN HAAG – Het Beverwijkse bedrijf Diginotar wist al op 28 juli dat mensen in Iran daadwerkelijk werden misleid. Ook blijkt de beveiliging op cruciale punten afwezig te zijn geweest, waardoor misbruik kinderlijk eenvoudig was.

Dat blijkt uit het onderzoek (.pdf) dat is gehouden door Fox IT naar aanleiding van de hacks bij Diginotar, een dochter van beveiligingsbedrijf Vasco Data Security. Een overheidsbron heeft NU.nl en Webwereld dit onderzoek laten inzien. De Nederlandse instantie die gaat over ICT-veiligheid bij de overheid hoorde pas vorige week maandag van Duitse collega’s van problemen met certificaten van Diginotar. Lees het verhaal op NU.nl.

Fox IT heeft een vernietigend oordeel geveld over de infrastructuur van Diginotar. Het bedrijf hield zich niet aan afspraken en procedures. Ook ontbraken basale beveiligingsmaatregelen. Dat blijkt uit het onderzoeksrapport van Fox IT naar de inbraak bij Diginotar, dat Webwereld en NU.nl via een overheidsbron hebben ingezien. Zo blijken alles systemen van Diginotar binnen één enkel Windows domein te hebben gefunctioneerd. Daardoor was mogelijk om vanaf de werkplek toegang te krijgen tot de administratie van certificaten. Inloggen op de werkplek was dan ook voldoende om daadwerkelijke toegang tot de systemen te krijgen. Bij beveiliging geldt dat als een absolute doodzonde. Bovendien wist Diginotar eind juli al dat er misbruik werd gemaakt van de certificaten. Lees het verhaal op Webwereld.

Diginotar-hack ondermijnt ook Windows-beveiliging

DEN HAAG – Er blijken zeker tweehonderd meer nepcertificaten door Diginotar te zijn uitgegeven dan de 247 die eerder zijn ontdekt. Ook het certificaat voor Windows Update blijkt nu te zijn vervalst, waardoor Iran in theorie aangepaste versies van het besturingssysteem kon verspreiden. Dat blijkt uit een aangepaste lijst van nepcertificaten die inmiddels aan browserleveranciers is verspreid. Daaruit blijkt dat de basis is gelegd om de infrastructuur voor het automatisch bijwerken van Windows te ondermijnen binnen Iran. Lees het verhaal op NU.nl.

Diginotar-hack ondermijnt Windows Update

Diginotar, dochter van beveiligingsbedrijf Vasco Data Security, hield stil dat Iran werkte aan een eigen Windows Update. Tussen de nepcertificaten zit ook het certificaat voor WIndows Update. Inmiddels is de lijst van ten onrechte uitgegeven certificaten gegroeid van 247 naar ruim 530 certificaten. Daar zitten ook hele algemene ‘domeinen’ tussen als *.*.org en *.*.com. Maar ook blijken er veel sites met informatie voor dissidenten tussen te zitten. Uit nieuwe gegevens blijkt verder dat niet alleen voor het domein van Microsoft en Windows Live certificaten zijn uitgegeven door Diginotar. Ook voor Windows Update is een certificaat aangemaakt. Eerder was al duidelijk dat de aanval zich ook op het Mozilla- en Tor-project richt. Lees het verhaal op Webwereld.

Donner weigert onderzoek besparing open source

Minister Donner weigert onderzoek uit te voeren naar de besparingen die open standaarden en open source opleveren. Als de Rekenkamer het niet kan becijferen kan niemand het.

Dat beeld komt boven na bestudering van de antwoorden die de minister geeft aan GroenLinks-parlementariër Arjan El Fassed. Die vuurde 28 vragen op Piet Hein Donner af. Aanleiding daarvoor was het onderzoek van de Algemene Rekenkamer naar de vraag hoeveel er nu met open-sourcesoftware te besparen valt. Dat onderzoek werd uitgevoerd in reactie op een aangenomen motie van het voormalig SP-kamerlid Arda Gerkens. Lees het verhaal op Webwereld.

Antwoord op kamervragen (.doc)

Site met technische OV-chipkaartinformatie offline

AMSTERDAM – De website met informatie over de techniek achter de OV-chipkaart is van internet verdwenen. De stap volgde op een sommatie van Trans Link Systems (TLS), het bedrijf achter de OV-chipkaart. Veel heeft de actie niet opgeleverd. Inmiddels is de website in ieder geval op twee plekken opnieuw verschenen. De website OV-chipkaart.org is van internet gehaald. Via het domein wisselt student Don van Gent al sinds 12 oktober 2010 informatie over de werking van de kaart uit, waarbij hij zich zegt te richten op onderzoekers. Lees het verhaal op NU.nl.

Dé website met technisch inhoudelijke informatie over de OV-chipkaart is op last van TLS offline gehaald. Hackers hebben inmiddels een kloon met informatie gestart. Trans Link Systems (TLS) wilde dat de website OV-chipkaart.org van het internet verdwijnt. Op de wiki staat de nodige informatie die zowel kan worden gebruikt voor het uitlezen als het beschrijven van de kaart. Het bedrijf beschuldigt de student achter de site van fraude. Lees het verhaal op Webwereld.

Beveiliging DigiD op losse schroeven

De overheid ziet ervan af om de toegang tot DigiD nog langer afdoende te beveiligen. “Systemen die worden beheerd in een kippenhok voldoen aan de eisen van het Rijk.” De problemen spelen bij de dienstverlening om SMS-berichten te kunnen sturen, die door de overheid recentelijk opnieuw is aanbesteed. Daarbij is slechts gekozen met één criterium: de prijs. En dus is alles op dezelfde hoop gegooid. Dat blijkt uit documenten die in het bezit zijn van Webwereld. Lees het verhaal op Webwereld.

ICT-chaos in Amsterdam nekt open source

De ict-infrastructuur in de gemeente Amsterdam staat er zo slecht voor dat de verantwoordelijke directeur het risico van open standaarden en open source niet aandurft. “Het is crisis.”

De gemeente Amsterdam schrapt de plannen om open standaarden en open source te implementeren, omdat dit de heersende ict-chaos zou vergroten. Hierover is een aantal raadsfracties woedend. Eén raadslid overweegt zelfs juridische stappen omdat ambtenaren geen volledige openheid van zaken over de kwestie willen geven.

Het conflict tussen de Dienst ICT en de lokale politiek speelt al enige tijd, maar wordt steeds verder op de spits gedreven. De hoofdstad leek ambitieus aan de slag te zijn gegaan met het gebruik van open standaarden en ook een project om open-sourcesoftware een kans te gunnen, leek te slagen. Maar sinds enige tijd is duidelijk dat de ambities meer door de politiek dan de ambtelijke top worden gedragen. De meest recente climax is dat open-sourcesoftware een risico zou vormen. Lees het verhaal op Webwereld.

Ziggo en UPC praten toch met Tele2

Kabeltelevisiemonopolisten Ziggo en UPC gaan toch serieus onderhandelen met Tele2 om die toe te laten op de tv-kabel. Tele2 zou dan alsnog een alternatief voor analoge televisie kunnen brengen.

Dat is een radicale ommekeer van in ieder geval UPC. Dat kabelbedrijf liet eerder zeer duidelijk weten dat concurrentie van Tele2 niet gewenst is en dat het bedrijf geen toegang tot de kabel zou krijgen. Lees het verhaal op Webwereld.

Huisartsen.nl versleutelt medische data niet *UPDATE*

Een site voor het receptaanvragen bij huisartsen verstuurt medische informatie onversleuteld over het net. De medicijnfabrikant erachter brengt persoongegevens in gevaar en overtreedt mogelijk de wet.

Het probleem speelt met de website huisartsen.nl. Op deze site kunnen patiënten recepten aanvragen na het leveren van de nodige gevoelige informatie en loggen huisartsen in om informatie over hun praktijk te geven. Zowel het verkeer van het inloggen door medici en het invoeren van recepten door patiënten gebeurt via een niet-versleutelde, dus afluisterbare verbinding. Lees het verhaal op Webwereld.

Vijf adviezen in de strijd tegen downloads

Van scholier tot entertainmentindustrie lijkt iedereen het eens: aanpakken die downloadende internernetter. Schuw geen middel. Maar zo eensgezind zijn de reacties niet. Burgerrechten worden bedreigd.

Deze week meldde het ministerie van Economische Zaken dat er zestig reacties op ACTA zijn gekomen. Daarvan zijn 38 publiek. Webwereld zet de vijf meest in het oogspringende van niet usual suspects op een rijtje. Lees het verhaal op Webwereld.