Toekomstbestendige hosting voor web en e-mail (update)

05 Dec
zaterdag 5 december 2015

Ik liep al enige tijd rond met het idee om wat nieuwe technieken in te zetten ten behoeve van mijn hosting praktijk. Een aantal weken geleden vond ik dan eindelijk de tijd én motivatie om ermee aan de slag te gaan, en uiteindelijk heeft dit geresulteerd in de implementatie van IPv6, SPF, DKIM, DMARC, DNSSEC en DANE. Hiermee wordt de bereikbaarheid en veiligheid van gehoste websites en de e-mailvoorziening verder verbeterd. Op dit moment pas ik de technieken uitsluitend toe op mijn eigen domeinen, maar ik ben inmiddels bezig met de uitrol naar de domeinen van alle klanten. Mijn ambitie is om deze technieken voortaan standaard in te gaan zetten. In deze blogpost vertel ik je per bovengenoemde techniek over mijn ervaringen tijdens de implementatie ervan. Lees meer →

TLS verkeer debuggen zonder privésleutel

20 Nov
vrijdag 20 november 2015

ssl_dpiEen medewerker van een klant vroeg me laatst of het mogelijk is om een package capture (pcap) van een TLS verbinding te decrypten voor debugging en/of troubleshooting doeleinden. Mijn initiële reactie was dat dit alleen mogelijk is wanneer je beschikt over de privésleutel waarmee de TLS verbinding is opgezet. Maar toen ik er wat beter over nadacht, realiseerde ik me dat dit niet meer klopt. “Vroeger” was dit onder bepaalde omstandigheden wel mogelijk, maar bij een moderne TLS verbinding werkt dit niet meer als gevolg van verbeterde protocol eigenschappen. Lees meer →

Versleuteld e-mailverkeer vaak toch niet veilig

13 Aug
donderdag 13 augustus 2015

Het uitwisselen van informatie is tegenwoordig net zo gewoon als water uit de kraan. Veel organisaties richten hier separate voorzieningen voor in, of besteden dit zelfs uit aan een externe partij. Wanneer de uitwisseling beperkt van omvang en incidenteel van aard is, maken organisaties echter nog steeds graag gebruik van het oude vertrouwde e-mail. Deze voorziening is vaak al aanwezig, waardoor het gebruik ervan goedkoop en bovendien snel geregeld is. Maar ook bij uitwisseling via e-mail is het belangrijk om de beveiliging goed te regelen. Helaas gaat dit niet altijd goed, en zie ik nog regelmatig dat er ten onrechte wordt vertrouwd op maatregelen die niet de benodigde zekerheid bieden. Lees meer →

Afhankelijk van willekeur: /dev/random vs /dev/urandom

17 Mrt
dinsdag 17 maart 2015

Een aantal weken geleden werd ik gebeld met een interessante vraag: “De entropy op een productieserver wordt niet snel genoeg aangevuld, waardoor processen vertragen. Deze wachten namelijk totdat er weer voldoende entropy beschikbaar is. Is het veilig om /dev/urandom te gebruiken in plaats van /dev/random?”. Eerlijk is eerlijk, mijn eerste gedachte was: kan dit opraken dan? Ja dat kan, is eigenlijk ook heel logisch, maar ik was een dergelijk probleem nog nooit eerder tegengekomen. En daardoor was er dus ook niet eerder een aanleiding geweest om me hier wat verder in te verdiepen. De hoogste tijd dus om dat te gaan doen.  Lees meer →

Android en iOS apps kwetsbaar voor man-in-the-middle aanval op SSL

28 Nov
vrijdag 28 november 2014

Eind juli ontdekte ik een kwetsbaarheid in de wijze waarop een aantal Android apps een SSL verbinding opzetten. Het beveiligingscertificaat werd niet (goed) geverifieerd, waardoor een man-in-the-middle aanval op SSL relatief makkelijk kan worden uitgevoerd. Benieuwd of ik nog meer kwetsbare apps kon ontdekken, nam ik een aantal steekproeven onder (voor mij) bekende Android en iOS apps en stopte ik met 9 apps van 8 leveranciers op de teller. Middels een responsible disclosure heb ik de desbetreffende leveranciers geïnformeerd en ze ruimschoots de gelegenheid gegeven om de kwetsbaarheden te verhelpen. Lees meer →

Android apps verifiëren SSL certificaat niet

26 Jul
zaterdag 26 juli 2014

Tijdens het uitvoeren van een man-in-the-middle (MITM) aanval binnen een geïsoleerde Wi-Fi testomgeving, ontdekte ik dat een tweetal Android apps het beveiligingscertificaat niet verifieert tijdens het opzetten van een SSL/TLS verbinding met servers op internet. Hierdoor was het in beide gevallen mogelijk om inloggegevens te onderscheppen die (als gevolg van de aard van de apps) toegang geven tot privacygevoelige- en bedrijfsvertrouwelijke gegevens. De twee leveranciers (waarvan ik de namen niet zal noemen) zijn inmiddels op de hoogte gebracht, erkennen het probleem, en werken aan een oplossing. Lees meer →

KPN blundert met opslaan wachtwoorden uit Experiabox

11 Jul
vrijdag 11 juli 2014

passwordEen goede vriend, laten we hem Sipke noemen, belde me vandaag op en vertelde dat eerder deze week de bliksem is ingeslagen: nagenoeg alle aangesloten elektronische apparaten zijn kapot. Heel vervelend, maar gelukkig dekt de verzekering alle schade. Een van de getroffen apparaten betrof het ADSL modem: de KPN Experiabox V9. Vervanging daarvan is relatief makkelijk geregeld: je belt KPN, zij sturen een servicemonteur, hij sluit een nieuw modem aan, en dan is het klaar. Klaar? Ja inderdaad, klaar: na het opstarten van de nieuwe Experiabox meldt de thuislaptop opeens (zonder enige handmatige configuratie van de Experiabox) verbonden te zijn met het draadloze thuisnetwerk. Met andere woorden: KPN slaat gegevens uit jouw modem op. Lees meer →

Open WiFi maakt veel websites kwetsbaar

26 Mei
maandag 26 mei 2014

pineapple logoDe laatste weken is er redelijk wat ophef over open WiFi netwerken en de veiligheidsissues die hieromtrent bestaan. Het is al langer bekend dat het gebruik van open WiFi netwerken niet veilig is, omdat gegevens onversleuteld worden verzonden en daardoor makkelijk zijn te onderscheppen en/of manipuleren door kwaadwillenden. Maar daar gaat deze ophef niet over; er is meer aan de hand. Veel internetgebruikers veronderstellen namelijk dat het gebruik van een versleutelde HTTPS verbinding op een open WiFi netwerk toch nog voldoende bescherming biedt tegen kwaadwillenden. En dat is dus niet waar. Onder experts is dat al langer bekend, maar doordat de drempel tot het misbruiken flink is afgenomen, is de (media) aandacht voor dit probleem toegenomen. En dat is volledig terecht. Lees meer →

Artikel: Met patchen kun je niet winnen; wel verliezen

24 Sep
dinsdag 24 september 2013

pvib_logoDeze week is mijn artikel Met patchen kun je niet winnen; wel verliezen verschenen in het vakblad Informatiebeveiliging van het Platform voor Informatiebeveiliging in Nederland. Een korte teaser: “…Toch zorgen spanningsvelden in een organisatie ervoor dat het doorvoeren van patches niet zonder slag of stoot gaat. Overvolle agenda’s bij beheerders, de eeuwige strijd om capaciteit en prioriteit, en een business die het patchen eerder als last dan als baat ervaart. Gelukkig hoef je hier niet in te berusten, maar kun je er ook iets aan doen.” Nieuwsgierig naar meer? Lees dan het volledige artikel.

Nieuw middel in de strijd tegen spam: DMARC

20 Sep
vrijdag 20 september 2013

SpamAfgelopen week ontdekte ik een nieuw middel in de strijd tegen spam: DMARC. Dit staat voor “Domain-based Message Authentication, Reporting & Conformance” en vormt eigenlijk een schil over de bestaande e-mail authenticatie technieken SPF en DKIM. Waar SPF en DKIM eigenlijk technieken zijn om de authenticiteit van ontvangen e-mailberichten te verifiëren, kun je met DMARC aan een ontvangende partij vertellen hoe ze met e-mails vanaf jouw domein om dienen te gaan wanneer één of meer verificaties mislukken. Lees meer →