26 juni 2009
Govcert, het Computer Emergency Response Team van de Nederlandse overheid, waarschuwt onder andere dat de houdbaarheid van cryptografische systemen wordt overschat. Door de cyclische opeenvolging van zwakheden en aanvallen is de levenscyclus van cryptografische algoritmes korter dan wordt aangenomen. Dit beeld wordt bevestigd door bijvoorbeeld de aanvallen op de Mifare Classic chip van de OV-chipkaart. Het kraken van het SSL-certificaat voor websites door gekloonde MD5-handtekeningen leidde Govcert ertoe het vertrouwen in MD5-SSL's definitief op te zeggen. Uit vragen van Govcert aan 163 Nederlandse overheidssites blijkt dat de meeste sites MD5 inmiddels hebben uitgefaseerd: 93 procent gebruikt inmiddels SHA1. Govcert drukt organisaties op het hart om het gebruik van cryptografie 'periodiek te evalueren'. 'Hierbij dient bij voorkeur van gestandaardiseerde algoritmen gebruikgemaakt te worden. Organisaties moeten deze evaluatie in hun procedures opnemen en de verantwoordelijkheid beleggen binnen de organisatie. Indien MD5 nog wordt gebruikt: faseer het gebruik daarvan dan op korte termijn uit', zo adviseert Govcert.
Govcert wijst ook op de aanval op draadloze routers door het hacken van het Temporal Key Integrity Protocol (TKIP). 'Dit incident toont ook aan dat het van belang is om cryptografische oplossingen op regelmatige basis te herzien', schrijft de organisatie, die adviseert over te stappen op AES-versleuteling voor draadloze netwerken. Ook de kwetsbaarheid in OpenSSH is volgens de organisatie zorgwekkend. 'Anderhalf jaar lang heeft er dus een zeer ernstige zwakheid gezeten in de kern van een cryptografisch algoritme van een vaak gebruikt besturingssysteem. Ondanks dat het een open source product was, en de broncode dus voor iedereen is in te zien, heeft het lang geduurd voordat het probleem werd gevonden', concludeert de beveiligingswaakhond. Het verhelpen van dit 'foutje' heeft 'zeer verstrekkende gevolgen gehad voor de veiligheid van vele systemen wereldwijd, en het oplossen van het probleem heeft wereldwijd veel geld gekost'. De belangrijkste trends die de organisatie herkent zijn:
-
Internetveiligheid, een blijvend punt van zorg. Hoewel stappen vooruit worden gezet in de bestrijding van cybercrime, signaleert Govcert trends die wijzen op een verslechtering van de situatie op het gebied van internetveiligheid.
-
Eindgebruikers blijven kwetsbaar. Internetcriminelen kunnen nog steeds met relatief gemak de computers van thuisgebruikers overnemen.
-
Verlies van persoonsgegevens op internet vormt een structureel probleem. Met deze informatie worden social engineeringaanvallen op zowel organisaties als privé-personen uitgevoerd.
-
Zwakheden maken de infrastructuur van het internet kwetsbaar. Er zijn nieuwe zwakheden ontdekt in de fundamenten van het internet. Kwaadwillenden kunnen deze zwakheden misbruiken om gebruikers ongemerkt naar een kwaadaardige website te leiden of om websites onbereikbaar te maken.
-
Bij verschuiving van toepassingen naar het web, verschuift de dreiging mee. Computertoepassingen verplaatsen zich van desktops naar het web. Daardoor zijn mensen meer online en zetten zij ook meer gevoelige informatie online. Toepassingen op internet worden daarmee een interessanter doelwit.
-
Kwetsbare software blijft de achilleshiel van informatiebeveiliging. Kwetsbaarheden in software komen op grote schaal voor. Gebruikers en IT-afdelingen besteden als gevolg veel tijd aan het up-to-date houden van hun computersystemen.
-
Hacktivisme is een vast onderdeel van ideologische conflicten geworden. Diverse incidenten in de sfeer van hacktivisme en digitale oorlogsvoering geven aan dat conflicten van ideologische aard voortaan ten minste een cybercomponent hebben.
-
Bestrijding en opsporing boeken belangrijke successen. Het afgelopen jaar zijn belangrijke successen geboekt in de bestrijding en opsporing van cybercrime. Internetcriminelen worden vaker opgepakt en berecht. Opsporing en berechting zijn een effectief wapen tegen cybercrime. Het spamverbod in Nederland en de handhaving hiervan door OPTA heeft geleid tot een daling met 85% vanuit Nederland verstuurde spam, in vergelijking met 2004.