image

De Jonge: scantool KAT vindt honderden kwetsbaarheden in zorgdomein

vrijdag 24 december 2021, 07:11 door Redactie, 26 reacties

Met een scantool die het ministerie van Volksgezondheid ontwikkelt zijn al honderden kwetsbaarheden in het zorgdomein gevonden en meer dan twintig beveiligingslekken in systemen van de Tweede Kamer, zo heeft demissionair minister De Jonge van Volksgezondheid laten weten.

De tool heet KAT, wat staat voor Kwetsbaarheden Analyse Tool, en is een opensourcesysteem dat allerlei bestaande tools integreert, alsmede diverse nieuw ontwikkelde securitytests bevat. Vorige maand berichtte Security.NL al over de KAT-scantool, die in de eerste helft van 2022 openbaar moet worden. In een brief aan de Tweede Kamer heeft De Jonge meer details over de tool gegeven, die is te gebruiken voor het scannen van kwetsbaarheden in apps, software en infrastructuren en de uitslagen hiervan aan elkaar kan verbinden.

KAT kan systemen continu scannen en controleren of eraan beveiligingseisen en andere eisen wordt voldaan. "Waar nodig worden kwetsbaarheden en wijzigingen automatisch gemeld voor opvolging door medewerkers. Tijdrovende noodzakelijke handelingen worden geautomatiseerd en daardoor sneller uitgevoerd. Zo krijgen de betrokken informatiebeveiligingsexperts met KAT gemakkelijk de juiste context aangereikt om keuzes te maken", stelt De Jonge.

Minder afhankelijk

Volgens de minister zorgt KAT ervoor dat de overheid minder afhankelijk wordt van externe factoren en snel kwetsbaarheden kan vinden. "Snelheid is in deze tijd ook belangrijk om in te grijpen op mogelijke aanvallen, misstanden of onjuistheden. Zo scannen we elke dag alle testaanbieders die zijn aangesloten op CoronaCheck. Dit om te kunnen blijven garanderen dat de dienstverlening die wordt aangeboden zo min mogelijk risico’s kent en voldoet aan gestelde eisen en normen. Hiermee hebben we al honderden kwetsbaarheden gedetecteerd en samen met de stelselpartners opgepakt", aldus De Jonge.

Op dit moment wordt KAT specifiek binnen het zorgdomein toegepast. Het plan is om de tool in de eerste helft van volgend jaar als opensourcepakket beschikbaar te maken. "Dit is wat mij betreft pas het begin, want met meer ogen zien we ook meer. Met die gedachte hoop ik dat KAT een beweging op gang brengt bij een grotere community van bedrijven, (semi-)overheden en experts op het gebied van security en compliancy", laat de minister weten. Die voegt toe dat hij KAT wil blijven ondersteunen voor de informatieveiligheid van onder meer zijn eigen ministerie, de Rijksoverheid en de zorg.

KAT is inmiddels met toestemming ook toegepast op de systemen van de Tweede Kamer, wat 22 beveiligingslekken opleverde. Geen van deze kwetsbaarheden valt in de risicocategorie critical of high. De informatie is gedeeld met het Nationaal Cyber Security Center (NCSC) en inmiddels is de Tweede Kamer hiermee aan de slag gegaan. "Ik ben blij dat ik op deze manier heb kunnen bijdragen aan het veiliger maken van het systeemlandschap van de Tweede Kamer", besluit De Jonge.

Reacties (26)
24-12-2021, 07:25 door Anoniem
Dat krijg je als je alles maar privatiseert. Ze hebben het zelf gedaan, en wij "plukken daar alle vruchten van", want zowel jouw als mijn gegevens liggen gewoon op straat.

Rutte is een fantastische gast, ik zou hem graag bij mij op bezoek willen hebben, maar de schade die zijn kabinetten hebben aangericht aan de zorg is onvergeeflijk.
24-12-2021, 08:22 door Anoniem
Is dat figuur nou de minister van volksgezondheid.
Of lid van een hackbeweging.
Dunne lijn blijkbaar.
Blijkbaar de bedoeling dat er veel mensen van boven de 67 sterven.
Scheelt weer uitkering. Dat kan dan weer naar de vriendjes, waar later een goedbetaald baantje wordt geregeld.
24-12-2021, 09:34 door Anoniem
"Ik ben blij dat ik op deze manier heb kunnen bijdragen aan het veiliger maken van het systeemlandschap van de Tweede Kamer", besluit De Jonge.

Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.
24-12-2021, 09:40 door Anoniem
Ik zou zeggen: doe ook eens wat Google en andere onderzoekers gedaan hebben door een fuzzer toe te voegen (als dat nog niet gebeurd is). Dan garandeer ik de regering dat er nog veel meer problemen zullen worden ontdekt.

Zorg ervoor dat de boel van alle updates voorzien zijn!
https://www.security.nl/posting/586115/Google-fuzzer+vindt+9_000+bugs+in+opensourcesoftware
24-12-2021, 11:32 door Anoniem
Hehe een fuzzer draaien op productie software zal ongetwijfeld veel hits genereren. Het nadeel is dat die software dan vaak ook gelijk kapot stuk is na de scan en alle werkprocessen om zeep zijn. Ja: fuzzen. Nee: niet in productie. Helaas/gelukkig doen veel developers dit zelf ook nog niet.
24-12-2021, 11:41 door Anoniem
Wat is de officiële link dan op github?
24-12-2021, 11:43 door Anoniem
Tja maar dan moeten we eerst weten waar die kat allemaal naar zoekt voor je weet of dat nuttig is.
Voor hetzelfde geld is het weer zo'n groene-vinkjes-zetter die mekkert over TLS versies en encryptiemethoden, of over
het al dan niet hebben van DMARC of DANE.
24-12-2021, 11:59 door Anoniem
Door Anoniem: Hehe een fuzzer draaien op productie software zal ongetwijfeld veel hits genereren. Het nadeel is dat die software dan vaak ook gelijk kapot stuk is na de scan en alle werkprocessen om zeep zijn.
Waar heb je het nou toch over? Een DoS of DDoS bedoel je?
24-12-2021, 12:45 door Anoniem
Door Anoniem: Hehe een fuzzer draaien op productie software zal ongetwijfeld veel hits genereren. Het nadeel is dat die software dan vaak ook gelijk kapot stuk is na de scan en alle werkprocessen om zeep zijn. Ja: fuzzen. Nee: niet in productie. Helaas/gelukkig doen veel developers dit zelf ook nog niet.

Gerelateerde en momenteel zeer relevante berichtgeving: trefwoord "fuzzer"

VS lanceert Log4j-scanner voor het vinden van kwetsbare applicaties
woensdag 22 december 2021, 16:44 door Redactie

https://www.security.nl/posting/735340/VS+lanceert+Log4j-scanner+voor+het+vinden+van+kwetsbare+applicaties
24-12-2021, 13:16 door Anoniem
Door Anoniem: Ja: fuzzen. Nee: niet in productie.

De voor de hand liggende oplossing is de fuzzer richten op een specifiek voor dat doel opgesteld testsysteem, dat geheel los staat van de productie -- maar dat verder identiek is aan wat er aan programmatuur op de productie wordt gedraaid.
24-12-2021, 13:29 door Anoniem
Het plan is om de tool in de eerste helft van volgend jaar als opensourcepakket beschikbaar te maken.
Ik weet niet wat ik lees. Heel goed!
24-12-2021, 13:50 door Anoniem
Door Anoniem: Tja maar dan moeten we eerst weten waar die kat allemaal naar zoekt voor je weet of dat nuttig is.
Voor hetzelfde geld is het weer zo'n groene-vinkjes-zetter die mekkert over TLS versies en encryptiemethoden, of over
het al dan niet hebben van DMARC of DANE.
Eerst brief en website lezen en dan pas reageren;
KAT maakt door middel van de geïntegreerde tools een kopie van de feitelijke werkelijkheid. Binnen deze kopie kan gezocht worden naar antwoorden op legio beveiligingsvraagstukken en beleidsvragen. Verwachte en onverwachte veranderingen in de wereld worden zichtbaar gemaakt, én waar nodig gerapporteerd of direct bij de juiste personen kenbaar gemaakt.
Dus ja, je kan aan KAT vragen hoe je TLS er bij staat en of er DMARC op je domein zit; maar je kan ook zien sinds wanneer.
24-12-2021, 15:01 door Anoniem
Door Anoniem:
Het plan is om de tool in de eerste helft van volgend jaar als opensourcepakket beschikbaar te maken.
Ik weet niet wat ik lees. Heel goed!

Je leest dat dat het plan is, daar heeft/had Hugo er wel meer van :-) Voorlopig is het vooral Figma met veel 'lorem ipsum', vast nodig om te laten zien hoe eenvoudig en overzichtelijk het allemaal kan zijn (tot gebruikers de ellende zien die de scanners in de backend aan het licht brengen en de eigen IT'ers snel de toko verlaten om niet verantwoordelijk te worden gehouden voor de teringzooi die ze er van gemaakt hebben..)
24-12-2021, 19:42 door Anoniem
Ik geniet stiekem wel van de humor van de programmeurs...
Zou KAT door een WAF heen komen?
Wordt die KAT (VAT) betaald met BTW (VAT)?

Serieuzer: komt KAT beschikbaar voor Nederlandse bedrijven voordat het volledig open-source wordt (en het ook door aanvallers wellicht gebruikt gaat worden)?
24-12-2021, 20:14 door karma4
Bekende scantools bundelen onder een eigen naam.
Ik zie het innovatieve niet.

Vele problemen gevonden in het zorgdomein. Dat is niets bijzonders is al vaak genoeg eerder aangegeven. De onderliggende scantools zijn eerder gebruikt. De problemen met trackers zijn eerder aangegeven.

Of het echte problemen zijn is nog onduidelijk. Het bewijs ontbreekt te vaak. Wordt er een zoveelste keer aandacht getrokken? Wat moet verborgen blijven met deze aandacht?
25-12-2021, 01:26 door Anoniem
Door Anoniem:
"Ik ben blij dat ik op deze manier heb kunnen bijdragen aan het veiliger maken van het systeemlandschap van de Tweede Kamer", besluit De Jonge.

Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.
Een persoonlijkheidsstoornis uit cluster b zou mij niets verbazen. Gelukkig voor Hugo heeft hijzelf daar geen last van, echter zijn omgeving...
25-12-2021, 09:20 door Anoniem
<humor>Tijd voor een HOND tool: Hugo's Oud Nieuws Demper</humor>
25-12-2021, 10:15 door Anoniem
Door Anoniem:
"Ik ben blij dat ik op deze manier heb kunnen bijdragen aan het veiliger maken van het systeemlandschap van de Tweede Kamer", besluit De Jonge.

Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.

Aldus geschreven in een brief van de Minster aan de voorzitter van de tweede kamer, in de allerlaatste zin. Daar waar iedereen altijd 'ik' schrijft, voor zover ik het even kan nazien. Dat wij die brief mogen lezen is slechts het mooie van onze democratie.

Dat woord komt in die brief 6 keer voor overigens. Op 1.307 woorden in totaal.

Hoe zou jij het opschrijven zonder wollig of onleesbaar te worden?
25-12-2021, 11:15 door Anoniem
Door Anoniem:
Door Anoniem: Ja: fuzzen. Nee: niet in productie.

De voor de hand liggende oplossing is de fuzzer richten op een specifiek voor dat doel opgesteld testsysteem, dat geheel los staat van de productie -- maar dat verder identiek is aan wat er aan programmatuur op de productie wordt gedraaid.
Dit bedoelde ik inderdaad ;-) Anders krijg je gegarandeerd een DoS situatie. Dus een fuzzer inbouwen in KAT kan, maar zorg dan dat die optie voor productie systemen onmogelijk is. Makkelijker om een tweede scanner te bouwen welke alleen allemaal fuzzers combineerd en welke dus tegen een test replica draait.
25-12-2021, 13:57 door Anoniem
De betrokken developers zullen niet zo blij zijn met de manier waarop die dat presenteert. Persoonlijk zou ik er gelijk genoeg van hebben.

Zoiets flikte een groot bedrijf beginnend met M en een S ook een keer bij me toen ik een zwaar issue voor ze had opgelost als developer.

En mijn naam doet niet dat ter zake maar dat pochen is om te kosten.

Gelijk gegeten en gedronken en doe er nooit meer zaken mee.

Bescheidenheid siert de mens
25-12-2021, 18:15 door Anoniem
Door Anoniem:
Door Anoniem:
"Ik ben blij dat ik op deze manier heb kunnen bijdragen aan het veiliger maken van het systeemlandschap van de Tweede Kamer", besluit De Jonge.

Toch wel bescheiden om het woord 'ik' slechts twee keer te gebruiken in de eerste 5 woorden.

Aldus geschreven in een brief van de Minster aan de voorzitter van de tweede kamer, in de allerlaatste zin. Daar waar iedereen altijd 'ik' schrijft, voor zover ik het even kan nazien. Dat wij die brief mogen lezen is slechts het mooie van onze democratie.

Dat woord komt in die brief 6 keer voor overigens. Op 1.307 woorden in totaal.

Hoe zou jij het opschrijven zonder wollig of onleesbaar te worden?

"Dat deze voorziening vanuit het ministerie gedeeld kan worden is iets waar ik trots op ben."

Zoiets?
25-12-2021, 19:46 door Anoniem
Is dat geen type fout? Het is toch met een U?
Nee, serieus hoeveel scantool zijn er niet op de markt te verkrijgen ook open source
Misschien kan Brenno de Winter uitleggen wat nu echt de toegevoegde waarde is
25-12-2021, 21:24 door [Account Verwijderd]
Door Anoniem: Rutte is een fantastische gast, ik zou hem graag bij mij op bezoek willen hebben, maar de schade die zijn kabinetten hebben aangericht aan de zorg is onvergeeflijk.

Omfg... Kregen ze de vrachtwagens nog opgesteld door die betonnen balk te storten die je voor je kop hebt? Hoe is het toch in vredesnaam mogelijk dat ik steeds weer van dit soort BS lees?!
27-12-2021, 10:07 door Anoniem
En wie gaat zorgen dat deze tool up to date is en blijft?
Wat een lacher dit. Er zijn een aantal van deze tools die dit veel beter doen en waar hele research teams achter zitten om het up to date te laten zijn en blijven. Schoenmaker houd je bij de leest.
27-12-2021, 11:34 door Anoniem
Door Anoniem: Ik geniet stiekem wel van de humor van de programmeurs...
Zou KAT door een WAF heen komen?
Wordt die KAT (VAT) betaald met BTW (VAT)?

Serieuzer: komt KAT beschikbaar voor Nederlandse bedrijven voordat het volledig open-source wordt (en het ook door aanvallers wellicht gebruikt gaat worden)?

als het maar geen KAT in de ZAK is dan he?
06-07-2022, 11:27 door Anoniem
Ministerie van Volksgezondheid maakt scantool KAT open source
woensdag 6 juli 2022, 10:35 door Redactie

https://www.security.nl/posting/759776/Ministerie+van+Volksgezondheid+maakt+scantool+KAT+open+source
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.