Het is slecht gesteld met de veiligheid van webapplicaties. Zo blijkt dat het merendeel van de installaties van de meest gebruikte webapplicaties niet up-to-date is. Dit heeft het bedrijf Qualys ontdekt van de met hun zojuist vrijgegeven opensource tool BlindElephant. Deze tool maakt het mogelijk om de versie van geïnstalleerde webapplicaties op basis van fingerprinting van statische bestanden via het web vast te stellen.

Volgens het onderzoek van Qualys is geen enkele PHPbb installatie up-to-date en alle installaties zijn daardoor kwetsbaar voor hackers. Het is niet veel beter gesteld met de installaties van andere webapplicaties. Ook het grootste deel van de phpMyAdmin installaties blijkt lek te zijn. De volledige lijst met de webapplicaties die door Qualys is onderzocht ziet er als volgt uit: PHPbb (100%), Mediawiki (95%), Joomla! (92%), MovableType (91%), phpMyAdmin (85%), Moodle (74%), Drupal (70%) en SPIP (65%).

Opvallend is dat WordPress installaties opvallend vaak wel up-to-date zijn. Van alle WordPress installaties is maar 4% niet up-to-date. De reden hiervoor lijkt te zijn dat het updaten van WordPress (inclusief alle plugins en themes) een kwestie is van  één enkele muisklik. Vermoedelijk is de oorzaak van het feit dat de installaties van andere webapplicaties niet up-to-date zijn, een combinatie van gemakzucht alsook dat het vaak een crime is om webapplicaties (handmatig) te updaten.

In Engeland is flinke ophef ontstaan rond de één na grootste isp TalkTalk. De provider zou heimelijk het surfgedrag van zijn klanten bijhouden.

De eerste geluiden over het monitoren van het surfgedrag van TalkTalk-klanten dateren van halverwege deze maand. De provider is bezig met de voorbereiding van een nieuwe tool voor ouderlijk toezicht en beveiliging tegen malware. De tool is ontwikkeld door het Chinese netwerkbedrijf Huawei en moet nog voor het einde van het jaar door TalkTalk in gebruik worden genomen. Het nieuwe systeem -dat nog in een testfase verkeert- moet gevaarlijke en onwenselijke sites blokkeren.

TalkTalk, de tweede accessprovider in Groot-Brittannië met ruim vier miljoen breedbandgebruikers, bevestigt dat er een nieuwe tool voor ouderlijk toezicht wordt getest. “Deze wordt diep in de netwerkinfrastructuur geïnstalleerd en is bedoeld om de internetervaring van klanten te verrijken”, schrijft de site Ispreview.

Ter voorbereiding van de introductie van deze dienst, worden anonieme details van bezochte websites op een lijst bewaard. Deze lijst worden vergeleken met blacklists van kwaadaardige sites. Bezochte sites die de ene dag zijn gescand worden daarna niet meer geregistreerd, aldus een reactie van de provider tegenover The Register.

“De scanprocedure registreert geen identificeerbare informatie bijvoorbeeld welke klanten welke sites hebben bezocht. Ook worden er geen ip-adressen, klantnummers of andere persoonlijke gegevens gemonitord”, zo stelt TalkTalk. “We zijn niet geïnteresseerd in welke sites iemand heeft bezocht, we scannen alleen een lijst met websites die door onze klanten, als soort internetgemeenschap, zijn bezocht. Hiermee willen we het web veiliger maken voor al onze gebruikers.”

De verzamelde data zou volgens TalkTalk gedurende 24 uur worden opgeslagen op een netwerkapparaat waar alleen Huawei toegang toe heeft.

Steeds meer providers gebruiken SSL om de communicatie van gegevens tussen de servers en de browser van de klant te beveiligen. Dat blijkt uit een onderzoek dat is gehouden door Networking4All.

In 2008 voerde Paul van Brouwershaven van Networking4All een soortgelijk onderzoek uit onder de top-100 van de SIDN-deelnemers. Deze resultaten werden gepresenteerd tijdens de SIDN-relatiedag. Afgelopen maand heeft Networking4All een nieuw onderzoek uitgevoerd en de gegevens vergeleken. Daaruit blijkt dat het gebruik van het beveiligingsprotocol door providers sterk is toegenomen.

Bovenstaande tabel laat zien dat vooral contact- en bestelformulieren beter beveiligd zijn in het afgelopen jaar. Opvallend is dat bij de helft van de providers de website wel via SSL op te vragen is, maar de beveiliging lang niet op alle punten van de website terug komt, vooral daar waar met persoonsgegevens gewerkt wordt. Op dit punt kunnen providers dan ook nog een aanzienlijke verbeterslag maken.

Het EV-SSL certificaat, dat de adresbalk van de browser groen kleurt, zakt in prijs. Waar deze certificaten eerder nog rond de 400 euro per jaar kosten, zijn ze nu verkrijgbaar voor circa 150 euro per stuk. Door de groene adresbalk stralen websites met een EV-certificaat meer vertrouwen uit.

Bij leverancier Xolphin zijn de certificaten leverbaar vanaf 139 euro (eindgebruikersprijs) per jaar. OpenProvider biedt de EV-certificaten aan vanaf 149 euro. Leverancier Networking4All biedt tijdelijk de EV-certificaten aan voor 99 euro (eindgebruikersprijs). Maar waarom de behoorlijke prijsverlagingen? Arno Vis van OpenProvider laat weten dat er een goede aanbieding van leverancier Geotrust ontvangen is. “EV breekt nog niet echt door, maar is vooral voor webwinkels niet alleen de beste validatie en security, maar is ook commercieel aantrekkelijker. Onderzoek wijst uit dat sites met EV-certificaten tot wel 20 procent meer omzet behalen als ze gelijktijdig het item veiligheid prominent onder de aandacht brengen van hun bezoekers.”

Maarten Bremer van Xolphin wijst op een website waaruit blijkt dat GoDaddy een behoorlijk marktaandeel aan het winnen is en andere leveranciers nu met (tijdelijke) acties komen. Deze stijging is de CA’s ook opgevallen. GeoTrust is daarom een actie gestart tot minimaal eind augustus waarbij de prijzen dramatisch verlaagd zijn. “Wij hebben in overleg met Comodo hierop de prijzen van de Comodo EV-certficaten op onze website ook omlaag gebracht. Het is vooral bedoeld om de EV-certificaten ook bekend in de markt te krijgen, de gedachte hier achter is dat als men eenmaal een EV-certificaat heeft hij deze de jaren er op wel zal verlengen al dan niet tegen een weer wat hogere prijs.”

Betaalbare prijzen voor EV-certificaten zijn natuurlijk voor iedereen zeer welkom, alleen moeten CA’s er wel op letten dat het niet ten koste gaat van de kwaliteit. De validatie richtlijnen welke door het CAB forum worden opgesteld zijn gelukkig duidelijk, uitgebreid en streng, maar ongeacht tegen welke prijs de certificaten worden aangeboden moeten deze richtlijnen wel goed worden nageleefd.

Steeds meer webwinkels, maar ook providers gebruiken een EV-SSL certificaat om meer vertrouwen te wekken richting hun klanten door bijvoorbeeld het klantpaneel en bestelproces te beveiligen. In 2008 presenteerde Networking4All tijdens de SIDN-relatiedag onderzoeksresultaten naar het gebruik van SSL bij providers. Dit jaar heeft een nieuw onderzoek plaatsgevonden onder providers.

Mailpolice, een Right-Hand Side Blacklist (RHSBL) die op basis van DNS werkt, is offline gegaan. Volgens Heise is het domein Mailpolice.com op 14 juni niet verlengt en daarna is de domein gedropcatcht door Tucows. Op dit moment krijgen spamfilters die gebruik maken van Mailcop weer response, alleen krijgen ze nu het IP-adres van de Tucows webserver terug.

Het probleem dat dit veroorzaakt is dat spamfilters de response kunnen kwalificeren als een ‘positive hit’ en zodoende de mail waar het domein in voorkomt als spam zullen markeren. Gezien elke domein op deze manier als spam-domein zal worden aangemerkt, wordt in het ergste geval alle binnenkomende mail als spam gezien. Het afgelopen weekend heeft Tucows mailpolice.com uit zijn parkingsysteem verwijdert en zodoende leveren DNS-queries nu een NXDOMAIN antwoord op.

De Amerikaanse president Barack Obama moet desnoods persoonlijk kunnen ingrijpen als belangrijke netwerken gehackt zijn. De president zou de bevoegdheid moeten krijgen om privénetwerken van bedrijven plat te leggen als die een reële bedreiging voor de veiligheid op internet vormen.

Een wetsvoorstel met die strekking is onlangs naar de Amerikaanse Senaat gestuurd. Het voorstel is ingediend door Joe Lieberman en Susan Collins. Het wetsvoorstel moet ervoor zorgen dat een nieuw op te zetten Centrum voor Cyberveiligheid en Communicatie (NCCC), dat onderdeel wordt van het Amerikaanse ministerie van Binnenlandse Veiligheid, het recht krijgt om kritieke infrastructuur te beschermen tegen hackaanvallen. Met name netwerken die essentieel zijn voor het transport en de financiële sector zouden op deze manier tegen kwaadwillenden beveiligd moeten worden. Over het voorstel wordt dinsdag een hoorzitting gehouden.

Afsluiten
Volgens het wetsvoorstel zou de president de bevoegdheid moeten krijgen om delen van het internet af te sluiten. Breedbandproviders, softwarebedrijven en zoekmachinebedrijven zouden daarbij verplicht worden om aan het verzoek van de president te voldoen, anders riskeren zij een boete.

Overigens is dit niet het enige omstreden wetsvoorstel dat recentelijk is ingediend. De senatoren Jay Rockefeller en Olympia Snowe hebben laatst al voorgesteld om een soort  ‘kill switch’ te bouwen voor de Amerikaanse overheid om bepaalde kritieke infrastructuur of informatiesystemen van overheidsorganen af te sluiten. Dat voorstel stuitte op zoveel kritiek dat het is aangepast en opnieuw is ingediend, maar deze keer met steun van senator Lieberman.

Google heeft een Amerikaans specialistisch beveiligingsbedrijf ingehuurd om uit te zoeken hoe er jarenlang informatie over onbeveiligde netwerken kon worden verzameld tijdens het maken van beelden voor Google Street View.

Half mei werd onthuld dat Google in veel landen onbeschermde wifi-netwerken heeft afgeluisterd. Nu heeft Google het beveiligingsbedrijf Stroz Friedberg ingehuurd om uit te zoeken wat er is gebeurd. Het internetbedrijf verwacht dat rond het weekeinde de eerste conclusies van het onderzoek bekend zullen zijn. Stroz Friedberg is een bedrijf dat onder andere is gespecialiseerd in forensisch onderzoek op computers.

Google heeft toegegeven dat er sinds 2007 met auto’s die beelden data verzamelden voor de dienst Street View, per ongeluk ook data is verzameld over onbeveiligde wifi-netwerken. Volgens het bedrijf kon het gebeuren doordat er een experimenteel programma werd gebruikt dat  signalen bleek op te pikken.

In diverse landen, waaronder België, Frankrijk, Spanje, Ierland en Duitsland, is flinke ophef ontstaan over het heimelijk verzamelen van SSID-gegevens van wifi-netwerken en mac-adressen door Google. Diverse overheden willen weten welke informatie Google precies heeft verzameld.

Het gebruik van cookies wordt volgend jaar drastisch aan banden gelegd. Tot eind vorige week hadden marktpartijen de mogelijkheid om hun mening te geven over de concepttekst voor het wetsvoorstel dat in 2011 in moet gaan.

Volgens de Europese richtlijn die vorig jaar is aangenomen, dient een website gebruikers voorafgaand ‘op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens’. Ook moet de gebruiker om toestemming worden gevraagd.

Tegen de richtlijn is vooral van advertentiebedrijven veel kritiek gekomen omdat ze vrezen dat gebruikers voor het bezoek aan tien websites gemiddeld al gauw honderd keer toestemming moeten geven. Maar volgens het ministerie van Economische Zaken is dat argument volledig uit zijn verband getrokken.

Privacy
De overheid wil met de nieuwe richtlijn de privacy van de burger waarborgen. “De consultatieronde die onlangs is afgesloten was erop gericht om van het bedrijfsleven te horen hoe de richtlijn zo kan worden omschreven dat het ook praktisch werkbaar en uitvoerbaar is”, legt een woordvoerder van het ministerie van EZ desgevraagd uit.

Het is niet praktisch om bij iedere cookie een pop-up te verlangen waarmee toestemming kan worden gegeven. Toestemming kan ook via browserinstellingen worden gegeven, reageert het trio BBned, Online en Tele2 (BOT). “In de Memorie van Toelichting dient nader te worden toegelicht dat met de regeling niet wordt beoogd verplichtingen voor isp’s te creëren in de vorm van een rol als poortwachter.”

Meldplicht
Overigens is de nieuwe cookiewetgeving niet het enige nieuwe element in de wetgeving die alle lidstaten moeten inplementeren. Ook komt er een zorgplicht die ervoor zorgt dat alleen gemachtigd personeel van internetproviders toegang heeft tot beveiligde klantgegevens. En er komt een meldplicht voor de hele telecomsector voor alle incidenten waarbij klantgegevens op straat komen te liggen.

De Europese richtlijn (pdf) dient uiterlijk op 25 mei 2011 omgezet te zijn naar nationaal recht. De OPTA is het orgaan dat gaat toezien op de naleving van de nieuwe regels.

Nederlanders hebben vorig jaar veel vaker over spam geklaagd dan in 2008. Vooral door de uitbreiding van de spamwetgeving naar zakelijke adressen is het aantal klachten explosief gegroeid.

De toezichthouder op de telecommarkt, OPTA, meldt dat in zijn jaarverslag over 2009 en de Marktmonitor die dinsdag zijn gepresenteerd. De uitbreiding van de spamwetgeving werd in oktober van kracht. Tot die tijd had de OPTA via spamklacht.nl ongeveer 12.000 klachten ontvangen. Na de uitbreiding van het spamverbod, leverde dit in drie maanden tijd nog eens 12.000 klachten op. De OPTA is hierop ‘diverse nieuwe onderzoeken gestart’.

In heel 2009 startte de OPTA 68 onderzoeken naar vermeende spammers. In 51 gevallen leidde dit tot een waarschuwing en in dertien gevallen bleek het onderzoek niets op te leveren. Verder werden er twee boetes en twee lasten onder dwangsom opgelegd.

Wat de oorsprong van spam betreft, is een flinke toename geconstateerd bij opkomende economieën als Vietnam, Brazilië en India. Uit China en de Verenigde Staten bleek juist veel minder spam te zijn gekomen.

Boetes
Overigens mag de OPTA, als het dit jaar boetes uitdeelt, niet meer bekendmaken welk bedrijf een boete heeft gehad en hoe hoog de boete was. Tenzij de hele beroepsprocedure achter de rug is. Het naming and shaming-principe waar de telecomautoriteit altijd gebruik van maakt, is onlangs door de rechter verboden. De OPTA vecht het verbod nog aan omdat ‘de consument het recht heeft om te weten welke bedrijven niet het beste voor hebben met hun klanten’.

Cybercrime wordt een telkens grotere bedreiging voor bedrijven, maar ook voor de nationale veiligheid. Die waarschuwing uit Deloitte in haar jaarlijkse TMT Global Security Survey. Van de ondervraagde technologie-, media- en telecombedrijven (TMT) zegt 37% dat de toegenomen complexiteit van aanvallen op informatiebeveiliging het op een na grootste probleem vormt bij effectieve informatiebeveiliging.

“Het gaat al lang niet meer om onschuldige jongeren die als hobby computersystemen hacken”, aldus Dick Berlijn, oud-commandant der strijdkrachten en tegenwoordig Senior Board Advisor bij Deloitte. “Hacking wordt steeds professioneler; overheden wijzen niet voor niets zogenaamde cyber coördinatoren aan om zich te verdedigen tegen deze geprofessionaliseerde cyber criminaliteit en terreur”

Technologie-, media- en telecombedrijven kunnen met name geraakt worden door cybercrime. Deloitte waarschuwt voornamelijk voor botnets die malware verspreiden en DDoS-aanvallen.

“Dit raakt de hele samenleving. Bedenk maar wat er gebeurd als internet of telefonie ineens niet meer beschikbaar zouden zijn. Of als vertrouwelijke informatie op straat komt te liggen”, aldus Jacques Buith, partner en security expert bij Deloitte, “Nationale veiligheidsdiensten kijken dan ook in bijzonder naar TMT bedrijven, aangezien nationale veiligheid steeds afhankelijker wordt van deze industrie.”