view">: DigID/eID
view">

Again Dutch but then again, this is a real Dutch subject.

 

Vandaag las ik het volgende artikel: http://nutech.nl/internet/3658257/nieuw-digid-bruikbaar-in-webwinkels.html

 

Ten eerste moet het mij van het hart dat dit het zoveelste systeem is wat in eerste instantie voor en door de overheid ontwikkelt is en nu eigenlijk commercieel ingezet gaat worden.

Persoonlijk lijkt dit mij onwenselijk, kijk hoe geweldig het heeft gewerkt om het Openbaar Vervoer te privatiseren en commercieel te maken, de dienstverlening is met sprongen achteruit gegaan, de prijzen met diezelfde sprongen vooruit, er word geblunderd met OV Chip kaarten waardoor sommige reizen goedkoper zijn met een kaartje i.p.v. een OV-chipkaart en andere juist weer duurder en het uiteindelijke resultaat is dat er nu minder mensen de trein of de bus nemen dan voorheen en dat er constant ruzie is tussen de vervoerende partijen (zoals de NS en Arriva) en de beherende partij (ProRail).

Ook de post privatiseren heeft voor mijn gevoel tot wanorde geleid, krijg ik nu een poststuk niet dan moet ik eerst uitzoeken bij welk bedrijf ik een klacht moet indienen, dagelijks krijg ik op meerdere momenten post, er worden meer fouten gemaakt, ik krijg met enige regelmaat post voor mensen die in de straat achter mij op het zelfde huisnummer wonen en ik merk zelf met enige regelmaat dat ik bepaalde brieven niet krijg, die zullen dan wel bij de mensen in de straat achter mij bezorgd worden gok ik. Ook met pakketjes is het niet beter, regelmatig zie ik 2 concurrerende pakket diensten door de wijk rijden en heb ik het inmiddels al mee gemaakt dat er een briefje in mijn brievenbus zat dat mijn pakketje achter in de barbecue lag. Op zich geen van alle echt kwalijke punten (behalve het verkeerd bezorgen dan) maar wel punten die duidelijk maken dat de dienstverlening achteruit is gegaan sinds de privatisering en je kunt mij nog steeds niet wijsmaken dat het goedkoper is dat ik mijn post in 2 etappes krijg en dus door 2 bezorgers dan dat ik het in 1 keer krijg bezorgd door 1 bezorger.

Beide voorbeelden geven aan dat het uiteindelijk meer geld kost, of van de overheid of van de mensen zelf.

 

En nu zijn ze eigenlijk bezig het DigID systeem, wat ontwikkelt is als een centraal veilig inlog systeem voor overheidszaken, op dezelfde manier commercieel te maken in de hoop hier aan te kunnen verdienen.

En dan begint het al met de nietszeggende kreten als 'er worden harde afspraken gemaakt om de veiligheid te waarborgen', waar zijn die afspraken terug te lezen? Waarom staan die er niet bij vermeld?

Maar goed, dit zijn we gewend van politici.

En er mag echt gezegd worden dat het lijkt alsof ze hun best hebben gedaan om een veilig systeem uit te denken waar het om privacy gaat.

Maar mensen, een single sign on systeem voor een heel land?

Bedenk eens wat voor security implicaties dat met zich meebrengt...

Een groep hackers weet direct waar ze moeten zijn om de inlog gegevens van ALLE Nederlanders voor ALLE Nederlandse overheidsdiensten en webshops te krijgen.

Om nog maar te zwijgen van terrorisme (want tenslotte is het wel mode om daar bang voor te zijn en rekening mee te houden), als buitenlandse kwaadwillende groep terroristen blaas je gewoon het datacenter van Logius op waar DigID in gehost word, voila, in een klap een hele samenleving ontregelt, niemand kan meer bij de digitale overheid maar ook niemand kan meer bestellen via webshops! Kun je je de impact op onze economie voorstellen als zoiets gebeurd?

En wat als het door een foutje gebeurd, oeps de main kabel naar het datacenter is stuk en de back-up bleek niet getest te zijn en ook stuk te zijn, hoe vaak ik dat al niet heb meegemaakt in de ICT wereld. Of dat de back-up en main kabels naast elkaar door dezelfde buis heen lopen, gaat die buis stuk, beide verbindingen stuk, dan zit je dus met een probleem van een enorme omvang met zo een centraal inlog systeem.

 

Het is heel lovend om zoiets op te zetten want er zitten tenslotte best veel voordelen aan zo een systeem en vooral, het zorgt dat webshops dezelfde 'veilige' procedures gebruiken die de overheid gebruikt, dat is zeker een goed punt.

Maar alles in aanmerking genomen, is het niet veel verstandiger om een losse overheids tak van de DigID met een eigen infrastructuur en back-up systeem te behouden en daarnaast misschien een commerciële versie te bouwen?

Is het niet veel veiliger om bij een terroristische daad of een hack poging slechts 1 sector (overheid of webshops) te hebben die getroffen word i.p.v. 2?

En is het ook vooral niet zo dat als webshops hier voor gaan betalen dat ze dan ook eisen gaan stellen op den duur? Dat ze bijvoorbeeld inzage willen in bepaalde gebruikers data? En krijg je dan niet weer het probleem dat dit overhandigd gaat worden omdat men bang is dat de 'klant' (webshop in dit geval) wegloopt en zelf iets gaat doen?

Bij dit soort systemen is er altijd function creep.

Dus bouw een systeem wat alle inlog gegevens van alle Nederlanders voor de e-overheid en voor alle webshops in Nederland bevat, laat dit systeem vervolgens statistieken over de gebruikers en waar ze allemaal inloggen verzamelen, en je hebt de natte droom van elke marketing manager. Geef vervolgens de beheerders de opdracht om commercieel te denken en voila, je kunt gaan zitten wachten tot al die gegevens op straat komen.

 

De veiligheid van de huidige DigID laat al te wensen over, hun controle methodes ook, de beherende partij (Logius) is gericht op het gebruik van DigID zo aantrekkelijk mogelijk te maken voor andere partijen. Ik heb voorlichtingen van deze mensen meegemaakt, ik heb gezien hoe ze in de crisis van Lektober handelde. Tijdens Lektober was ik in dienst bij een leverancier van RIS/BIS Systemen (RaadsInformatie / BestuursInformatie Systeem). Alle communicatie die wij van Logius ontvingen in die tijd en alle voorlichtingen waren overduidelijk gericht op managers, bij elke technische vraag die je deze mensen voorlegde werd gereageerd met 'dat weten we nog niet, daar komen we nog op terug', er werden security maatregelen opgelegd waarvan deze mensen zelf niets snapte en die duidelijk NIET door een ICT-er bedacht waren. Hierbij mag wel gezegd worden dat de uiteindelijke versie van de security maatregelen zoals ik die later te zien heb gekregen WEL doordacht was en inderdaad een zekere basis beveiliging afdwong.

 

Ik zou onze overheid dus willen oproepen om het ontwerp van het nieuwe DigID platform niet uitsluitend bij Logius en de commerciële partijen waarmee zij zaken doen te laten berusten, laat dit ontwerp a.u.b. ook inspecteren door onafhankelijke security experts, de opensource wereld en eventueel wat concurrerende commerciële partijen.

En een oproep die ik al vaker heb gedaan:

Beste overheid, houd a.u.b. op met te luisteren naar de commerciële partij met het beste verkoop verhaaltje en neem zelf eens wat mensen in dienst met een gezond boeren verstand en kennis van ICT, op de lange termijn is dat goedkoper, krijg je er een betere dienstverlening van en ben je af van de afhankelijkheid van commerciële partijen die liever uren schrijven dan echt het probleem op te lossen.

view">: Koud & Warm
view">

This is just funny, flauw...maar funny Tongue out

 

Koud & Warm

view">: Spreuken
view">

Twee spreuken die ik op FB tegenkwam, ik vond ze mooi:

Spreuk

 

Afzeiken

view">: Microsoft en FIDO
view">

Sorry for English reader, this one is in Dutch even though I try to keep my techgblogs in English I really was too lazy to translate this one, might still do that one of these days though.

 

Vandaag ben ik weer eens gaan bijlezen op mijn security nieuws, ik liep hier een ruime week in achter, zoals in veel dingen, beetje afgeleid door andere dingen.

Dus heb ik natuurlijk weer wat dingen waar ik een mening over heb, deze heb ik al op Facebook gelucht voor een groot gedeelte maar onderstaande werd wel wat lang voor een Facebook post. En misschien ook wel wat te technisch, vandaar een blogje.

 

Microsoft en FIDO

Nu lees ik zojuist dat Microsoft zich bij de FIDO Alliantie heeft aangesloten (Fast IDentity Online).

Deze alliantie  wil graag het gebruik van wachtwoorden vervangen door andere methodes, met name biometrisch, denk dan aan vingerafdruk scans, gezichtsherkenning via webcam of iris scans, misschien zelfs stem herkenning.

Nu rijst er bij mij de vraag: Waarom reduceren we de hoeveelheid opties?

Kijk, het is handig als je met gezichtsherkenning of een vingerafdruk achter je pc kunt en je betalingen kunt regelen, dat staat buiten kijf.

Maar besef wel dat iemand die kwaad wil jou gewoon voor de camera kan planten.

Een wachtwoord afdwingen is al een stapje moeilijker.

 

En waarom word er niet opgeroepen tot een combinatie van beide?

Een vinger is af te hakken of zelfs gewoon met geweld op een display te drukken door iemand, gezicht en stem kun je vrij makkelijk gaan dwingen.

Dus bij stemherkenning zou ik kiezen voor stemherkenning met een passphrase, maar zelfs dat is lastig want als ik die passphrase een aantal keer per dag herhaal dan zal vroeger of later iemand die horen.

Dus wederom, naast een herkenningsalgoritme d.m.v. vingerafdruk of irisscan of andere biometrische opties die er zijn houd ook het wachtwoord in stand.

 

In mijn mening, en die is toch niet bepaald ongefundeerd als iemand zijnde die zich Security+ Certified Professional mag noemen, is het reduceren van de factoren:

- wie ik ben

- wat ik weet

- wat ik heb

 

Tot alleen maar:

- wie ik ben

 

Een erg slecht idee.

Ik zou willen voorstellen om een goeie 3 factor authenticatie te ontwikkelen, bij voorbeeld zoiets:

1. een USB key die een finger print maakt en kan doorsturen via een bepaald protocol, natuurlijk encrypted, secured etc., laten we het bij de theorie houden voor vandaag en niet de praktische details uitwerken)

2. een wachtwoord

3. een losstaand token (wat geïntegreerd kan worden met je USB key voor finger print uitlezen zolang het in de behuizing maar wel gescheiden is) wat ook ingevoerd moet worden.

 

Natuurlijk is dit een grof ideetje wat ik ter plekke in ongeveer 1 minuut bedenk.

Als ik dat kan, hoe kunnen respectabele bedrijven als Microsoft en Google hier dan niet opkomen?

Deze bedrijven hebben mensen in dienst die vele male intelligenter zijn dan ik, waarom denken die hier niet over na?

Ik krijg er een bijsmaak van dat het ze gaat om hardware te kunnen verkopen en om het online aanschaffen van dingen zo laagdrempelig mogelijk te maken zodat mensen sneller in de verleiding komen om iets te kopen en daar ook minder lang de tijd voor hebben om er eens over na te denken.

Dit in een tijdperk waarin online privacy op grote schaal geschonden word, niet alleen door criminelen en louche bedrijven maar ook door grote, gerenommeerde bedrijven en instanties, om over inlichtingendiensten nog maar te zwijgen, vind ik een erg zorgwekkende ontwikkeling.

Als de grote tech bedrijven in deze wereld dit gaan pushen gaan hardware leveranciers hierin mee, ze zullen wel moeten als ze zaken willen blijven doen met Microsoft, dus krijgt de consument het vanzelf bij de aanschaf van een nieuwe pc door zijn strot geduwd, of hij nou wil of niet. En dan zegt zijn OS vanzelf een keer 'U heeft deze authenticatie optie, u kunt niet meer kiezen voor een wachtwoord'.

Natuurlijk weet de wat geavanceerdere gebruiker hier wel raad mee maar het gros van de mensen is geen geavanceerde gebruiker, hun antwoord zal dus zijn 'ja het moest van de computer zo', dis men gaat het dan vanzelf gebruiken.

Niet alleen hebben we dan een open autenticatie platform wat door iedereen te gebruiken is en dus virtueel een index van alle gebruikers op het internet is die hier aan meedoen wat al ontzettend veel opties tot phishing attacks of andere vormen van datamining oplevert en waar misschien zelfs wel, indien voorzien van de nodige kennis, een man in the middle attack mee is uit te voeren.

Maar wat vooral zo slecht is aan dit plan is dat het 1 authenticatie type vervangt voor 1 ander. En dit keer zonder de added bonus dat het stukje informatie wat nodig is voor authenticatie (als het goed is) alleen in jouw eigen hoofd bestaat of misschien in een password kluis.

Dus, ik ben helemaal voor biometrische authenticatie implementeren, mits technisch goed gedaan want ik wil er niet over nadenken hoeveel vingerafdrukken je per dag overal achterlaat. Maar laat het alsjeblieft vergezeld gaan van iets anders, iets wat alleen jij weet, en het allerliefste nog van nog een derde factor, een sms die je ontvangt, een token code, er is zoveel te verzinnen.

Ik zou de FIDO en Microsoft willen oproepen om nog eens goed na te denken over de veiligheidsimplicaties van dit plan en toch vooral de security trilogie voor inlog procedures in gedachte te houden:

- wie ik ben

- wat ik weet

- wat ik heb

 

Zodat in ieder geval op het inlog niveau veilig gewerkt kan worden, daarna mogen ze bedenken hoe ze kunnen voorkomen dat de NSA alle gegevens die bij Google of Facebook op de servers staan kunnen inzien Wink

 

Deze blog is geschreven gebaseerd op dit artikel: https://www.security.nl/posting/372545/Microsoft+sluit+zich+aan+bij+all…

Ik heb verder geen onderzoek gedaan naar de FIDO of hun plannen zal ik eerlijk zeggen, ik heb ze opgemaakt uit dit artikel en daar mijn reactie op gebaseerd.

view">: Manga girl 18
view">

Deze komt dan weer uit Bleach, ik ben niet zo tevreden over hoe het linker oog er uit is gekomen maar voor de rest kan hij er wel meer door.