Veel nieuwe deze week op het gebied van informatiebeveiliging en IT-security, en ik heb weer drie mooie onderwerpen eruit gehaald om verder toe te lichten in dit blog. Zo beginnen we met een wel heel goed idee vanuit de Carnegie Mellon University (Pittsburgh, Pensylvania). Kijken we daarna heel kritisch naar de kwetsbaarheid van de e-mailbeveiliging bij Nederlandse overheden en sluiten we af met de laatste ontwikkelingen op het gebied van corona-apps.

IoT-apparaten worden mogelijk eindelijk slim

IoT, ook wel bekend als Internet of Things, is de laatste jaren explosief gegroeid. En met deze groei zijn er ook ontelbare security- en privacyproblemen met IoT-apparaten aan het licht gekomen. Ook in deze blogs hebben we deze regelmatig behandeld en we kunnen wel concluderen dat security niet bepaald de nummer 1 prioriteit is van de fabrikanten van IoT-apparaten. Dit is dan ook de directe aanleiding geweest voor onderzoekers van de Carnegie Mellon University om een tool te ontwikkelen die security- en privacylabels voor IoT-apparaten genereert. Dit label moet een gebruiker direct inzage geven in hoe het met de privacy en security van hun nieuwe product gesteld is. Persoonlijk vinden wij van Rootsec dit een zeer goed idee. Momenteel is het voor de fabrikanten nog te gemakkelijk om een product op de markt te brengen zonder dat deze grondig gecontroleerd is, met alle gevolgen van dien. Het label dat de onderzoekers in gedachten hebben is vergelijkbaar met een gezondheidslabel op voeding. Op die manier kan de koper namelijk heel eenvoudig bepalen hoe gezond een product is. Tevens werkt dit ook als extra motivator voor de producent (fabrikant) om zijn product zo gezond mogelijk te maken.

Voor het ontwikkelen van dit security- en privacy label werd met 22 security- en privacyexperts overlegd. Zij hebben gedurende deze initiële fase aangegeven wat in hun optiek de belangrijkste factoren voor eindgebruikers zijn op het gebied van privacy en security.  Zij noemde verschillende zaken, waaronder:

  • Hoelang wordt het apparaat met beveiligingsupdates ondersteund?
  • Wat voor data verzamelt het apparaat en voor hoelang?
  • Wordt er gebruik gemaakt van standaardwachtwoorden tijdens de garantieperiode?

De onderzoekers kwamen zelf nog met een tweede ‘informatielaag’ bovenop het standaard label. Deze laag is op te vragen middels een QR-code en bevat gedetailleerde informatie. Dus wanneer een gebruiker de QR-code scant zal deze informatie ontvangen over bijvoorbeeld:

  • Is een opt-out mogelijk?
  • Werkt het apparaat zonder internet verbinding?
  • Waar wordt de data opgeslagen?
  • Hoeveel stroomt verbruikt het?

Op deze manier willen de onderzoekers een zo compleet mogelijk label maken zonder dat de gebruiker / consument overladen wordt met informatie. De eindgebruikers die deel hebben genomen aan het onderzoek hebben het label mogen testen en begrepen het label zeer goed. De onderzoekers zijn nu op zoek naar fabrikanten die bereid zijn het ontwikkelde label te gaan testen.

Overheid heeft de boel niet op orde; deel 232.154

De overheid, het orgaan in ons mooie Nederland dat reguleert en soms tot onverklaarbare besluiten komt, kwam deze week week weer eens beschamend slecht in het nieuws. Want ondanks de machtspositie die deze instanties bekleden, dienen ook zij zich natuurlijk netjes aan de regels te houden. Zo ook aan afspraken gemaakt omtrent e-mailbeveiligingsstandaarden. Binnen de overheid zijn er afspraken gemaakt om verschillende e-mailbeveiligingsstandaarden uit te rollen, de zogeheten streefbeeldafspraken. Zo moesten alle overheden vorig jaar in ieder geval (!) STARTTLS en DANE voor de encryptie van mailverkeer en SPF en DMARC hebben ingesteld. Nu blijkt uit onderzoek van het Forum Standaardisatie dat een aanzienlijk deel van de Nederlandse overheden dit nog altijd niet op orde heeft. Hiermee hebben ze de derde streefbeeldafspraak die eind 2019 afliep niet gehaald. Van ongeveer de helft van geteste overheidsdomeinen is de e-mail kwetsbaar voor spoofing en/of afluisteren.

Ondanks de toch duidelijke afspraken blijkt dat slecht de helft van de onderzochte domeinen DMARC en DANE voor e-mail hebben ingesteld. Dit heeft als consequentie dat e-mails van fraudeurs  die de e-mailadressen van overheid misbruiken, nog steeds terecht komen bij burgers en bedrijven. En laat dit nou net niet de bedoeling zijn. Volgens de onderzoekers van Forum Standaardisatie, welke bestaat uit deskundigen afkomstig uit diverse overheidsorganisaties, het bedrijfsleven en de wetenschap, zijn deze resultaten zorgelijk. Ze adviseren overheden die de boel nog niet op orde hebben om direct te gaan overleggen met hun leveranciers om dit te realiseren. Indien leveranciers niet voldoende meewerken moet er overwogen worden om over te stappen naar een leverancier die hier welwillender tegenover staat. Benieuwd naar het volledige rapport? Die vind je hier!

Amnesty International tikt Noorwegen op de vingers

Dan tot slot nog even wat nieuws over de corona-apps. In eerder blogs hebben we al belicht dat de ontwikkelingen van deze apps gepaard gaan met nogal wat problematiek. Zo ondervonden ook Bahrein, Koeweit en Noorwegen deze week. Je weet dat het serieus wordt als Amnesty International zich ermee gaat bemoeien. An sich niet gek gelet op het feit dat deze apps zeer privacygevoelig zijn. Na onderzoek van Amnesty International is dan ook gebleken dat de apps van de hierboven benoemde landen het meest onveilig zijn. Zij volgen gebruikers namelijk real-time en dit zorgt voor een groot privacy risico. Amnesty ging nog een stapje verder en bestempelde deze apps zelfs als massasurveillance-tools.

Dit heeft alles te maken met het feit dat de apps van Bahrein, Koeweit en Noorwegen gebruikmaken van Bluetooth en gps. Hiermee verzamelen ze de bewegingen van gebruikers in real-time. Volgens Amnesty is deze methode niet noodzakelijk en bovendien  buitenproportioneel als reactie op de bestrijding van het corona virus. En tja, als Amnesty International zulke uitspraken doet dan overweeg je toch wel of het goed is om verder te gaan of niet met de ontwikkeling van de app. Althans, zo heeft Noorwegen zeker gedacht, want zij zijn per direct gestopt met de corona-app. Een ‘overwinning’, zo noemt Amnesty het. Waar ook Amnesty International de noodzaak van een soortgelijke applicatie inziet, is het belangrijk dat de apps aan de mensenrechten voldoen en er zo min mogelijk data wordt verzameld. Daarnaast moet het gebruik van de app vrijwillig zijn. Eisen waar wij ons zeer goed in kunnen vinden.