Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SSL-beveiliging vs. virus- en malwarebeveiliging

23-08-2017, 11:44 door Mariannevanharten, 8 reacties
Laatst bijgewerkt: 23-08-2017, 11:45
Beste mensen,

Dit is mijn eerste topic. Ik voel me dan ook vereerd jullie gelijk een vraag te mogen voorleggen :D

Voor een stichting verzorg ik de website en andere ICT-aangelegenheden.
Uiteraard wil het bestuur alles weten en vaak is hun kennis minder groot en daardoor is het moeilijker om een en ander goed uit te leggen.

Een van de reacties van het bestuur op mijn voorstel dat de website naar mijn mening een SSL-beveiliging moet krijgen is dan ook de vraag of die beveiliging moet worden opgewaardeerd over bijv. een jaar. En hoe het zit met virus- en malwarebestrijding.

Natuurlijk kan ik alles zelf wel proberen uit te leggen, maar ik zoek eigenlijk naar bestaande documentatie.
Wie kan me helpen aan een website of iets dergelijks waar zoiets duidelijk staat uitgelegd.

Vriendelijke groet,
Guido
Reacties (8)
23-08-2017, 12:11 door Anoniem
SSL is SSL. Gewoon een gratis certificaat van Let's Encrypt nemen en klaar is Kees. Vergeet verder niet de laatste updates te installeren voor je website (CMS en server software) en zorg voor sterke wachtwoorden. Aanvullend kun je admin-toegang tot ip-adressen beperken of via vpn / certificaten regelen.

Malware komt meestal op je website/server door lekken die niet zijn gepatcht of zwakke wachtwoorden. Dus als je dat afvangt zit je goed.
23-08-2017, 13:41 door Anoniem
SSL doet iets heel anders dan virusbestrijding, daar is weinig "versus" aan. Ik heb nog geen duidelijke inhoudelijke uitleg voor leken weten te vinden--niet dat ik heel hard gezocht heb--; de meningen zijn verdeeld en de uitleg die er is, is meestal vrij technisch. Hier een klassieker: http://www.cs.auckland.ac.nz/~pgut001/pubs/pkitutorial.pdf

Lezenswaardig is ook: http://thetarpit.org/posts/y03/05b-https-war-declaration.html. Niet omdat ik het er mee eens ben (dat laat ik in het midden) maar omdat je als beheerder de voors en tegens moet snappen, en dat gaat verder dan alleen het technische gedeelte.

Ondertussen vind je dat je SSL nodig hebt. Je kan het gewoon bovenop je webstack stapelen, maar kun je uitleggen waarom jij het denkt nodig te hebben? Zo van, je wil dat het iets voor je doet, wat is dat iets en waarom wil je dat? Wat wil je voorkomen en wat wil je bereiken? Zonder gelijk een hele uitleg hoe SSL technisch werkt, wat wil jij dat het aan jouw situatie toevoegt?

En ook, wat mag het kosten, aan extra beheer en wat dies meer zij. Het mag dan voor jou voor de hand liggen, het even uitschrijven zal helpen een goed verhaal naar je stichtingsbestuur te houden. En ik wil het eigenlijk ook wel even weten.
23-08-2017, 13:47 door Anoniem
het is simpel.
als je een certificaat op de server zet. weet een bezoeker zeker dat hij rechtstreeks met jullie verbind en niet met een malafide tussenpartij (hacker) die laat voordoen dat het om jullie site gaat.

virus beveiliging heb je nodig om te zorgen dat systemen die koppelingen hebben met de server niet/veel lastiger besmet worden met een virus/malware, dus ook voor het voorkomen dat bezoekers besmet raken doordat jullie website een virus mee serveert.

dit klinkt een beetje als dat het platform ook niet bijgepatcht is.
23-08-2017, 14:13 door Bitwiper - Bijgewerkt: 23-08-2017, 14:23
Door Guidovanharten: Een van de reacties van het bestuur op mijn voorstel dat de website naar mijn mening een SSL-beveiliging moet krijgen is dan ook de vraag of die beveiliging moet worden opgewaardeerd over bijv. een jaar.
Het is niet een website die SSL-beveiliging krijgt, maar de verbindingen tussen webbrowsers en die website (en SSL is opgevolgd door TLS, maar dat is een detail).

Voor de gebruikers zijn 3 zaken van belang:
1) Weet ik zeker dat de website zelf voldoende beveiligd is om ongeautoriseerde toegang te voorkomen, en dat geautoriseerden zorgvuldig zullen omgaan met door mij verstrekte informatie?
2) Weet ik zeker dat ik verbinding heb met de website van de bedoelde stichting?
3) Pas als ik zeker weet dat 1 en 2 het geval zijn, heeft het volgende punt zin: weet ik zeker dat de verbinding voldoende beveiligd is tegen meekijken en/of manipuleren van uitgewisselde informatie?

Aan punt 1 kan TLS helemaal niets doen. Dat is vertrouwen dat op andere wijze opgebouwd moet worden (en hopelijk) nooit beschaamd wordt.

Punt 2 regel je met een TLS certificaat. Daarvan bestaan 3 soorten, waarvan er door een stommiteit maar 2 bruikbaar zijn:
A) Domain Validated of DV (waaronder de gratis Let's Encrypt certificaten). Als de website van jouw stichting een niet erg herkenbare en/of lastig te onthouden en/of makkelijk te verbasteren naam heeft, zeker als er sprake kan zijn van financiële transacties (zoals donaties), zou ik hier geen gebruik van maken. Cybercriminelen kunnen namelijk heel snel, eenvoudig en goedkoop (gratis) certificaten krijgen voor sites met "lijkt-op" namen en jouw "klanten" phishing mails sturen;

B) Organization Validated of OV: de naam van de organisatie wordt opgenomen in het certificaat nadat er enige controle heeft plaatsgevonden dat de certificaataanvrager gerechtigds is om dat te doen namens die organisatie. Deze certificaten kosten geld maar hebben nauwelijks meerwaarde - want zonder certificaten zelf te inspecteren zien gebruikers in webbrowsers het verschil niet met DV certificaten, terwijl gebruikers van Google Chrome nauwelijks nog een certificaat kunnen inspecteren;

C) Extended Validation of EV: hierbij verschijnt de naam van de organisatie en het land van herkomst in het groene vlak. Als gebruikers weten dat jouw website een EV certificaat gebruikt waar de naam van de stichting in staat, kunnen ze beter onderscheid maken met eerdergenoemde certificaten indien deze op een nepsite worden ingezet. De prijs en vooral de noodzakelijke echtheid-controles schikken cybercriminelen vaak af, waardoor EV-certificaten nauwelijks op phishing sites worden ingezet.

Punt 3 kan best lastig zijn, het kiezen welke "ciphers" en dergelijke jouw website ondersteunt om met zoveel mogelijk (ook oudere) webbrowsers te kunnen communiceren. In bijv. https://wiki.mozilla.org/Security/Server_Side_TLS vind je daar meer informatie over. Dat is ook iets dat regelmatig kan veranderen, namelijk zodra er lekken in crypto protocollen worden ontdekt: dan zul je die betreffende protocollen moeten uitschakelen en wellicht nieuwere aanzetten.

Of je jouw webserver goed hebt geconfigureerd op gebied van TLS kun je zien op https://www.ssllabs.com/ssltest/.

Tip: zet HSTS aan. Zie ook https://www.ncsc.nl/actueel/factsheets/factsheet-https-kan-een-stuk-veiliger.html voor info daarover en meer algemene info over https i.p.v. http.
23-08-2017, 15:35 door Anoniem
https://www.networking4all.com/nl/ssl+certificaten/wat+is+ssl/
legt kort maar krachtig uit waar je ssl (tls) op een website voor nodig hebt.

Inderdaad hebben certificaten een beperkte geldigheidsduur, nl. meestal 1, 2 of 3 jaar.
Het is meestal goedkoper om één certificaat van drie jaar te nemen dan 3 certificaten van 1 jaar.
Als een certificaat echter wordt gecompromiteerd zodat het nagebootst kan worden, moet het voortijdig worden vervangen.
(denk aan DigiNotar affaire bijvoorbeeld)

Een certificaat voor de website is wettelijk verplicht als er persoonlijke gegevens worden gecommuniceerd.
Vertelt de website alleen maar wat over de stichting met wat nieuwtjes e.d. dan is het niet verplicht, maar is nog steeds een goedkoop certificaat aan te bevelen om de integriteit van gegevens te beschermen als ze over internet naar de browser van de bezoeker worden getransporteerd. Het voorkomt bovendien heimelijke malware-injecties door derden in de verbinding.

"Lets Encrypt" is gratis, maar is maar 90 dagen geldig, dus moet elke 90 dagen worden vernieuwd.
Vernieuwen is eenvoudig, maar het moet wel even op tijd worden gedaan.
Voor ca. 15 euro heb je ook een Comodo certificaat dat 3 jaar geldig is. (als het niet wordt ingetrokken)
Maar Comodo is niet meteen het allerzorgvuldigste bedrijf en levert daarom niet de allerveiligste certificaten.
Gaan er ook persoonlijke gegevens over de lijn, dan valt er wat voor te zeggen om een beter certificaat te nemen dan Comodo, hoewel dat dan wel meteen een stuk duurder is. Denk aan omstreeks 60 euro per jaar of meer.
Velen hebben er nauwelijks verstand van en letten er niet op, maar bijv. ik ga als gebruiker echt niet mijn gegevens invullen op een website die is beveiligd met een Comodo certificaat.
23-08-2017, 19:17 door Anoniem
Door Anoniem:
Een certificaat voor de website is wettelijk verplicht als er persoonlijke gegevens worden gecommuniceerd.
Puntje van orde: Er staat nergens in de wet dat je een certificaat moet hebben. Er staat alleen dat persoonsgegevens adequaat afgeschermd moeten worden. Dat we dat met z'n allen op de interwebtubes met certificaten doen, en je dus voorlopig effectief nauwlijks onder certificaten uitkomt, betekent niet dat dus ook certificaten verplicht zijn; als je een andere manier hebt dan mag dat ook.

Vertelt de website alleen maar wat over de stichting met wat nieuwtjes e.d. dan is het niet verplicht, maar is nog steeds een goedkoop certificaat aan te bevelen om de integriteit van gegevens te beschermen als ze over internet naar de browser van de bezoeker worden getransporteerd. Het voorkomt bovendien heimelijke malware-injecties door derden in de verbinding.
Mits er geen MITM met een wildcard-certificaat tussen zit, en het voorkomt ook al niet dat er gerommeld wordt aan je website, bijvoorbeeld door een lekke wordpress plugin of noem eens wat. Dat laatste is wellicht waarschijnlijker, buiten wellicht het "mobiele internet", waar je ISP maar al te vaak je grootste vijand blijkt.

Maargoed, het is nog steeds even goed om helder te maken wat de redenen zijn die maken dat je denkt dat een certificaat een goed idee is. Zegge een bedreigingsmodel voor je website. Waar wil je tegen verdedigen? Maak dat helder en je hebt ineens een veel beter verhaal.

Voor ca. 15 euro heb je ook een Comodo certificaat dat 3 jaar geldig is. (als het niet wordt ingetrokken)
Maar Comodo is niet meteen het allerzorgvuldigste bedrijf en levert daarom niet de allerveiligste certificaten.
*kuch* Nee. Ik begrijp eigenlijk nog steeds niet waarom ze niet al lang uit de gezegende lijstjes van de browsers getrapt zijn, want ze hebben zichzelf volstrekt onbetrouwbaar laten zien.

Velen hebben er nauwelijks verstand van en letten er niet op, maar bijv. ik ga als gebruiker echt niet mijn gegevens invullen op een website die is beveiligd met een Comodo certificaat.
Dat dus. Zo staan er nog wel meer bevraaglijke "certificaatautoriteiten" in de verschillende gezegende lijstjes met CAs in browsers. En dat is tegelijk een van de nogal vaak over het hoofd geziene makken in het certificaatsysteem. De techniek is brak (zie Peter Gutmann zijn tutorial), maar de politiek eromheen is brakker.
23-08-2017, 22:51 door Anoniem
Comodo-certificaten zijn te makkelijk te verkrijgen voor fishing, net als Let's Encrypt.
Als ik een fonds/stichting/goed doel website met een Comodo of Let's Encrypt certificaat zie,
dan vraag ik me als eerste af of ik niet op een fishing website zit, en doneer ik standaard voor alle zekerheid niet.
Ik wil gewoon zeker weten dat het goed terecht komt, en niet bij een oplichter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.