• Internet wordt veiliger… maar helaas ook phishing en scam sites!

    Toen een veiliger Internet een duwtje in de rug kreeg dankzij de Firefox 51 en Chrome 56 releases met beveiligingswaarschuwingen voor websites die geen gebruik maakten van HTTPS met SSL certificaten, leek het de goede richting uit te gaan. Helaas spelen phishing en scam sites in op de trend en zijn zelfs deze sites “secure en geëncrypteerd”.

    Phishing websites met geldige certificaten in opmars

    In een bericht van Netcraft op 17 mei 2017 wordt aangehaald dat er een stijging is van 5% naar 15% en zelfs een piek van 20% phishing websites die gebruik maken van https, sinds de introductie van de beveiligingswaarschuwingen in Chrome en Firefox op 26 januari 2017.

    Phishing sites met HTTPS in opmars - (c) Netcraft

    Phishing sites met HTTPS in opmars sinds 26 januari 2017 – Grafiek (c) Netcraft.com

    Om het probleem nog ingewikkelder te maken dan het al is: de phishing websites maken bovendien gebruik van vertrouwde Certificate Authorities zoals Let’s Encrypt en Comodo.

    De populariteit van Let’s Encrypt is ook meteen het zwakke punt geworden: het is heel eenvoudig om een geldig, door webbrowser vertrouwd certificaat te verkrijgen voor een beperkte tijd. Hoewel het fantastisch is voor geautomatiseerde hernieuwing services, is het meteen ook een magneet voor organisaties en/of individuen met minder goede intenties zoals phishing websites. Als reactie op Let’s Encrypt’s “gratis” certificaten biedt Comodo de zogenaamde Trial Certificaten aan welke geldig zijn voor 90 dagen. Maar, zoals altijd, “gratis” is meestal te goed voor woorden.

    Top 10 phishiest certificate authorities, helaas leiden Let’s Encrypt (Geel) en Comodo (Blauw) de weg.

    Let’s Encrypt maakt gebruik van de Safe Browsing API om na te gaan of een uitgereikt certificaat geldig kan beschouwd worden, maar dit is een check die meestal plaats vindt voor de ongeldige inhoud van de sites gepubliceerd is, en is dus alles behalve sluitend.

    Aangezien webbrowser gebruikers geoefend zijn in het kijken naar een “geldig” en “veilig” slotje or adres lijkt het of de website die zij bezoeken zeker correct is. Dit maakt het probleem des te ernstiger, daar de scam websites gebruik maken van TLS én geldig zijn.

    Wat kan er gebeuren?

    Hoewel bepaalde Certificate Authorities zeggen dat het niet de taak is van de CA om te kijken of het uitgereikste certificaat geldig is op vlak van inhoud, kunnen we niet ontkennen dat dit een probleem kan worden. Maar als je naar het grotere plaatje kijkt, was het een te verwachten probleem. We spreken over DV, Domein Validatie certificaten… ze zijn goedkoop (of gratis) en de validatiemethode is, om eerlijk te zijn, nogal beperkt (een eenvoudige mail of dns check is vaak voldoende om te starten).
    In het slechtste geval komt er een dag dat browsers geneigd zijn om het root certificaat van de Certificate Authorities te gaan verwijderen uit de browser, met alle gevolgen van dien.

    Ons advies is dan ook om geen beroep te doen op de “goedkoopste” SSL certificaat opties, tenzij u weet waar u mee bezig bent of waarvoor het SSL certificaat zal gaan dienen en u kan leven met het feit dat het ooit een probleem zou kunnen worden.

    Als u een organisatie of bedrijf heeft en u wenst een andere richting uit te gaan dan zijn er nog altijd de minder goedkope Domein Validatie certificaten of de meer betrouwbare Organisatie Validatie certificaten. Voor de eindgebruiker geldt steeds de gouden regel: kijk steeds, en we bedoelen echt STEEDS het adres na in de adresbalk! Er is zoiets als een “Deceptive Domain Score” die aangeeft hoe onbetrouwbaar een domein is.

    Vraag een geldig – geen gratis, sorry – SSL certificaat aan bij Kinamo. En, gezien de omstandigheden, suggereren we met plezier GlobalSign!

    SSL Certificaten vergelijken

  • De impact van GDPR wetgeving op de KMO

    U heeft er allicht reeds over gelezen: de aangepaste GDPR of General Data Protection Regulation van de Europese Unie is een feit. Vanaf 25 mei 2018 treedt de omstreden richtlijn rond bescherming en beveiliging van persoonlijke gegevens in.

    Wat is GDPR?

    Maar wat is deze – ondertussen haast beruchte – GDPR wetgeving? Welk is de impact op uw organisatie en hoe komt ook u in aanmerking om te voldoen aan de (strenge) vereisten?

    GDPR (ook gekend als AVG of Algemene Verordening Gegevensbescherming) legt vast in regels hoe u moet omgaan met het beheer en beveiligen van persoonlijke gegevens van Europese burgers.
    Concreet moet u als organisatie of bedrijf kunnen voorleggen welke gegevens u verzamelt, u deze gebruikt of beheert en hoe u zal zorgen dat deze voldoende beveiligd zijn tegen schadelijke invloeden van binnen- en buitenaf, ongeacht of het nu gaat over gegevens die u intern behandelt, door gebruik te maken van een cloud infrastructuur of zelfs infrastructuur buiten de EU.

    Het Internet is reeds bezaaid met artikels over monsterboetes van tot 4% van uw jaarlijkse omzet bij het niet voldoen aan deze richtlijnen. Rapportage van “data lekken” is een must en u kan maar beter zorgen dat uw hele infrastructuur over een stevig security plan beschikt.
    Hoewel één van de klassieke regels is “de soep wordt nooit zo heet gedronken…” is dit helaas hier wel het geval.

    In een modern tijdperk waar uw organisatie gebruik maakt van cloud diensten, allicht in aanraking komt met enige vorm van gegevensverwerking van personen (klanten en/of medewerkers) is GDPR van toepassing op grote ondernemingen, maar ook kleine ondernemingen en andere organisaties.
    Uit studies blijkt dat weinig organisaties reeds bezig zijn met voorbereiding, of enige vordering geboekt hebben in het opstellen van een actieplan.

    Op welk soort onderneming is GDPR van toepassing?

    De officiële GDPR richtlijn is van toepassing op beheerders van gegevens en verwerkers van gegevens. Beide “partijen” zijn dan ook in een definitie te gieten:

    De beheerder – “de natuurlijke of legale persoon, publieke autoriteit, agentschap of instantie die alleen of met anderen het doel en de middelen bepaalt van verwerken van persoonlijke gegevens”. Met andere woorden als u zelf gegevens verzamelt en bewaard voor marketing doeleinden – wij geven maar een voorbeeld – dan valt u onder de rol van “beheerder” (data controller).

    De verwerker  – “de natuurlijke of legale persoon, publieke autoriteit, agentschap of instantie die de gegevens verwerkt in opdracht van de beheerder”. Om terug te komen op ons voorbeeld: als u gegevens verzamelt en bewaard voor marketing doeleinden en u doet dit via een cloud provider dan moet ook uw cloud provider in regel zijn met de GDPR wetgeving, zij zijn immers de “verwerker” (data processor).

    Opgelet, de beheerder is verantwoordelijk voor het naleven van de richtlijnen van de verwerker!
    Maar… de verwerker van persoonlijke gegevens moet ook beantwoorden aan bepaalde regels en rapportages over de manier waarop zij de gegevens verwerken.

    Hoe kan uw onderneming GDPR compliant zijn?

    Wij hebben alvast voor u de meest cruciale punten van GDPR hier onder geplaatst. Deze gegevens zijn uiteraard beschikbaar op de Officiële GDPR website.

    Uitgebreide jurisdictie
    De regels zijn van toepassing op elk bedrijf dat gegevens van EU burgers verwerkt, ongeacht de fysieke locatie van het bedrijf. Dus als uw fysiek kantoor niet op EU grondgebied ligt maar u verwerkt gegevens van EU burgers, bent u nog steeds verantwoordelijk.

    Toestemming voor gebruik van de gegevens
    Ondernemingen moeten toestemming hebben van het individu om deze gegevens ge bewaren en te beheren en dienen ook uit te leggen hoe zij deze gegevens zullen gebruiken, en waarom.

    Verplichte rapportage van data lekken
    Voortaan zijn ondernemingen en organisaties verplicht om een data lek te rapporteren aan de bevoegde instantie binnen 72 uur van de vaststelling van het data lek, tenzij het gaat om een beveiligingslek dat geen impact heeft op “de rechten en vrijheden van het individu”.

    Recht op inzage
    Bedrijven moeten aan elk individu dat hiervoor een aanvraag indient een elektronische kopij bezorgen van de bewaarde gegevens, inclusief informatie over hoe deze bewaard wordt, waar en voor welk doel.

    Recht op verwijderen
    EU burgers kunnen de data beheerder vragen om niet alleen hun gegevens te wissen maar ook om deze niet langer te laten gebruiken door derde partijen, welke op hun beurt ook verplicht zullen worden om deze gegevens niet langer te gebruiken.

    Overdraagbaarheid
    De nieuwe richtlijn geeft individuen eveneens de mogelijkheid om hun gegevens over te zetten van de ene beheerder naar een andere beheerder. Dit wil concreet zeggen dat – op aanvraag – bedrijven of organisaties een middel moeten voorzien zodat het individu eenvoudig de data in een leesbaar formaat kan doorgeven.

    Privacy by design
    Dit is een cruciale regel én ongetwijfeld een van de belangrijkste wijzigingen in GDPR. Vroeger kon men met de intentie “wij zorgen voor voldoende beveiliging” rondom de nood aan het implementeren van een grondige beveiliging fietsen/ Door het invoeren van de Privacy by Design regel moet voortaan beveiliging voorzien worden in producten/diensten en processen vanaf de dag van implementatie!

    Data Protection Officer (DPO)
    Zowel de data beheerder als data verwerker dienen te beschikken over een “DPO” of “Data Protection Officer”. De DPO kan een externe partij zijn, nieuwe medewerker of een lid van de organisatie. Opgelet, er zijn uitzonderingen, niet iedereen dient een DPO aan te stellen!

    Hoe kan Kinamo helpen met GDPR compliance?

    Als doorgewinterde cloud provider heeft Kinamo door de jaren heen grondige ervaring opgebouwd omtrent beveiliging van IT infrastructuren maar ook verwerking, beheer en logging van gegevens.
    Is GDPR een “IT” only verhaal? Zeker niet… Wij zijn ons dan ook bewust van het feit dat het GDPR compliant krijgen van uw organisatie een frisse kijk vereist van uw ervaring als beheerder van uw eigen processen en de toegevoegde waarde van Kinamo voor het optimaliseren van de digitale processen in uw organisatie.

    U wil eens praten over GDPR in uw organisatie? Wij zetten de koffie alvast klaar!

    Contacteer ons

     

  • SSL certificaat installatie tests evolueren vanaf 2017!

    Iedereen heeft zo wel zijn favoriete tool om zaken te testen, analyseren, meten. Voor ons SSL departement is de CA Security Council SSL Labs test van Qualys een absolute must have.

    Deze uitstekende online tool analyseert elke https installatie op basis van verschillende tests tegen gekende vulnerabilities en standaarden: het certificaat, de protocol ondersteuning, sleutel uitwisseling en encryptiesleutel sterkte…
    Gekende vulnerabilities zoals DROWN, BEAST, POODLE en Heartbleed komen aan bod.

    Aangezien voor het eerst in 20 jaar HTTPS voorsprong begint te krijgen, mede dankzij de geforceerde “push” naar https door onder andere Google, wordt het testen van een SSL installatie ontontbeerlijk, en zal de tool ook strenger worden. De test evolueert mee met de markt.

    Vanaf 2017 worden geleidelijk aan wijzigingen ingevoerd:

    • 3DES: Omwille van de Sweet32 vulnerability zal support voor 3DES in moderne browsers een C score krijgen.
    • Forward Secrecy: sinds de aankondigingen van Edward Snowden heeft de industrie beslist om forward secrecy als een vereiste te gaan zien, wie dit niet inschakeld op de server zal een score van B krijgen op de server.
    • AEAD Suites: geauthenticeerde communicatie wordt sterk aangeraden en AEAD biedt de enige ondersteuning voor TLS 1.3. AEAD suites is nodig om een A+ score te krijgen!
    • TLS Fallback: sinds de POODLE vulnerability zijn browsers aangepast, dus TLS_FALLBACK_SCSV is niet langer nodig om een A+ score te kunnen behalen.
    • Zwakke ciphers: alle ciphers minder dan 128 bits krijgen zonder pardon een F score.
    • RC4: Servers die RC4 ondersteunen krijgen een C score.
    • SHA-1: Sites die een SHA-1 certificaat gebruiken worden niet als vertrouwelijk gezien en de kans bestaat (dit is nog niet bevestigd) dat deze een F score krijgen. Wij raden iedereen aan een SHA-1 certificaat te vervangen door een SHA-256 certificaat!

    De SSL Labs test helpt ons bij het verfijnen van een SSL certificaat installatie en helpt u als website of server eigenaar om op te volgen of uw SSL installatie nog steeds “up to par” is met de vereisten van een degelijke HTTPS setup.

    Wij raden dan ook iedereen aan om op regelmatige basis de installatie na te kijken!

    Start hier om uw HTTPS installatie te testen: casecurity.ssllabs.com

  • 3 redenen om in 2017 uw website met een SSL certificaat te beveiligen!

    Vanaf januari 2017 geven de nieuwe browser versies van Google Chrome (versie 56) en Mozilla Firefox (versie 51) daadwerkelijk een melding in de adresbalk als de website niet veilig is.

    Meer zelfs: als uw website in de Google Search Console aangemaakt is (voor SEO opvolging) zal u ook daar een waarschuwing krijgen dat bepaalde URL’s bij de gebruiker een “Not secure” waarschuwing zullen geven, bijvoorbeeld registratie pagina’s of wachtwoord vergeten pagina’s.

    Waarom een SSL certificaat voorzien op uw site?

    De hoofdreden waarom u zou kiezen voor een SSL certificaat voor uw website is het beveiligd verzenden van gegevens van de bezoeker naar uw website en terug

    • Web formulieren, registraties, profiel pagina’s, wachtwoorden… toch beter een beveiligde verbinding?
    • Als u online diensten aanbiedt is een beveiligde website een must!
    • U heeft een webshop? Geef uw bezoeker vertrouwen bij het bezoeken van uw site.

    Welk SSL certificaat kan u kiezen?

    Er zijn verschillende types SSL certificaten: domein validatie, organisatie validatie, uitgebreide validatie (de bewuste “groene adresbalk”), wildcard certificaten… Maar welk is nu het meest geschikt voor uw website?

    Toegegeven, door het SSL certificaten bos de bomen zien is niet eenvoudig.
    Laat u daarom bij de keuze van een passend SSL certificaat bijstaan door Kinamo. Samen met u kijken wij welk ssl certificaat best aansluit bij de vereisten van uw website.

    Bent u op zoek naar de hoogste graad van vertrouwen en een “groene adresbalk” met daarin de gegevens van uw bedrijf?
    Dan is een ssl certificaat met Uitgebreide Validatie (EV) de oplossing. Deze EV certificaten zijn niet goedkoop, maar het validatie proces is dan ook strenger en complexer en geeft aan de bezoeker de hoogste zekerheid dat de website met uw bedrijf gelinked is. EV certificaten worden vaak gebruikt door financiële instellingen, e-commerce platformen en andere websites die omgaan met transacties.

    Heeft u meerdere servers die moeten beveiligd worden door één enkel certificaat, allen onder dezelfde domeinnaam en met subdomeinen? Dan is een Wildcard SSL certificaat een betere keuze: deze certificaten laten u toe om *.uwdomeinnaam.be te beveiligen, vaak tegen voordeliger prijs dan afzonderlijke certificaten per subdomein.
    De enige nadelen: ze werken enkel met een eenvoudige validatie volgens domeinnaam én werken enkel voor subdomeinen (dus mijnserver.domein.be en 2deserver.domein.be maar niet mijnserver.domein.be en mijnserver.2dedomein.be).

    Wie echt op zoek is naar de goedkoopste oplossing om een website te beveiligen zonder teveel opvolging kan opteren voor een standaard ssl certificaat met domeinvalidatie.
    Deze certificaten zijn goedkoop, snel uit te reiken (binnen de 5 minuten een certificaat is mogelijk, als u het hele proces vlot kan doorlopen!) en zijn vaak geldig van 1 tot 3 jaar.

    Let’s Encrypt?

    Sinds 2016 kunt u ook “gratis” SSL/TLS certificaten aanvragen. Deze worden uitgereikt door Let’s Encrypt, aangeboden door de non-profit Internet Security Research Group (ISRG).
    Er zijn ook nadelen verbonden aan deze certificaten: de geldigheid is beperkt (90 dagen), het certificaat dient dus vernieuwd te worden na 90 dagen.
    Dit kan automatisch, maar vraagt specifieke server instellingen of andere creatieve oplossingen. Let’s Encrypt certificaten werken enkel met domeinvalidatie, bieden geen wildcard certificaten en vragen dus meer werk dan een “gewoon” SSL certificaat.