Testversie Britse corona-app versleutelt contactgegevens niet
De testversie van de Britse corona-app die begin deze maand werd uitgerold op het eiland Wight blijkt contactgegevens niet op de telefoon te versleutelen en niet onafhankelijk te versleutelen voordat ze worden verstuurd. En er zijn nog meer problemen met de app gevonden die de Britse overheid zegt te zullen verhelpen.
De code van de "COVID-19 App" is open source en openbaar gemaakt. Sindsdien hebben allerlei onderzoekers zowel de code als de app onderzocht en meerdere problemen gevonden. "We vroegen om feedback en kregen feedback. Heel veel feedback", zegt Ian Levy, technisch directeur van het Britse National Cyber Security Centre.
Zo werden er problemen gevonden met het registratieproces, de bluetooth "broadcast values" van 24 uur waardoor het leefpatroon van de gebruiker inzichtelijk kan worden, de omgang met Cloudflare en het onversleuteld uploaden van logbestanden. Volgens Levy zijn veel van de problemen te verklaren doordat de app in een zeer kort tijdsbestek in elkaar is gezet.
De gevonden encryptieproblemen zijn hier een voorbeeld van. De bètaversie van de app versleutelt de gegevens van tegengekomen contacten niet op de telefoon. Daarnaast worden de gegevens niet onafhankelijk van elkaar versleuteld voordat ze naar de server worden gestuurd. Wanneer de data naar de backend wordt verstuurd is het alleen beschermd middels het TLS-protocol.
Cloudflare, dat door de Britse overheid wordt gebruikt, zou zo toegang tot de contactgegevens kunnen krijgen. Ook een aanvaller die het internetbedrijf weet te compromitteren kan inzage in de contactgegevens van zieke burgers krijgen. Levy benadrukt dat de Britse gezondheidszorg NHS beseft hoe belangrijk deze data is. "Maar het versleutelen van de contctlogs kon gewoon niet op tijd voor de bètaversie worden gedaan", aldus de directeur.
De Britse overheid zegt de gevonden problemen in een toekomstige versie te zullen verhelpen, waaronder het encryptieprobleem. Tevens zal er waarschijnlijk een backlog van openstaande problemen worden gepubliceerd, zodat onderzoekers weten welke zaken nog moeten worden verholpen. "Dit is waar goed beveiligingsonderzoek naar toe hoort te leiden: betere producten en diensten voor iedereen. We worden beter door peer review, van elkaar te leren en te accepteren wanneer dingen niet helemaal kloppen en ze dan te verhelpen", besluit Levy.
Als je security niet in het eerste ontwerp en bouw hebt meegenomen, is het vaak zoveel werk om een redelijk niveau van beveiliging er achteraf in te prakken, dat je beter helemaal overnieuw kunt beginnen. Een blunder wat mij betreft.
Nou maar hopen dat de mensen die aan de Nederlandse app werken, wel verstand hebben van security en dat zij zich, omwille van "haast", niet laten overhalen om beveiligingsmaatregelen uit te stellen tot (n)ooit. Uit https://www.rijksoverheid.nl/onderwerpen/coronavirus-app/tijdpad-proces-coronavirus-app:
Dirk-Willem van Gulik (Backend)
Edo Plantinga (Open source community management)
Hugo Visser (Ontwikkelaar Android)
Ivo Jansch (Technisch architect)
Jelle Prins, Jasper Hauser, Emiel Janson en Joris Leker (Design)
Begeleidingscommissie
Het ministerie van Volksgezondheid, Welzijn en Sport stelt een begeleidingscommissie samen die de overheid adviseert. In deze begeleidingscommissie zitten verschillende deelnemers met kennis van bijvoorbeeld epidemiologie, virologie, technologie, privacy en veiligheid.
Van de effectiviteit van Bluetooth voor een Corona-tracing-app hebben genoemde experts (en de niet bij naam genoemde leden van de begeleidingscommissie) in elk geval geen verstand. Want dan zouden genoemde experts (tenzij ze om inkomsten verlegen zaten) niet in dit zinloze avontuur zijn gestapt - dat ook nog eens veel te weinig gebruikers zal krijgen. Op Bluetooth gebaseerde tracing-apps zullen, bij de volgende SARS-COV-2 uitbraken, een druppel op een gloeiende plaat blijken te zijn - als ze netto al een positief effect zullen hebben.
Ik vind het zonde dat er tijd, geld en expertise wordt verspild aan dit soort apps, in plaats van oplossingen te realiseren die wel een flinke toegevoegde waarde kunnen hebben.
Als je security niet in het eerste ontwerp en bouw hebt meegenomen, is het vaak zoveel werk om een redelijk niveau van beveiliging er achteraf in te prakken, dat je beter helemaal overnieuw kunt beginnen. Een blunder wat mij betreft.
….
Daarnaast, corona is bedreigend voor de economie en niet zo een klein beetje ook. Dus gevaarlijk voor de staat.
Dan mogen gewoon geheime diensten overal in. En die mochten dat altijd al. Al die features op mobieltjes zijn ook vooral bedacht voor die jongens. Dus laat ze het dan maar gebruiken waar het voor bedacht is om iemands omgeving in kaart te brengen. dat konden ze vroeger ook al perfect als iemand al dacht dat je misschien communistitis had. En dat ging prima zonder app.
Waarom dan een app?
Als het niet staatsgevaarlijk is, dan kun je de gewone normen en waarden toepassen: Gewoon netjes vragen. In plaats van alle contacten uit een telefoon te rossen, versleuteld of niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.