Geen publieke bloklijst?

Dit is prima,maar het is wel een opstapje en een wake-up call
voor de overheid en eu beleidsmakers naar het toekomstige
het EU-DNS.

"Het Europese Internet van de Toekomst"

Dweilen met de kraan open, veel te late symptoombestrijding.

Zolang we blijven toestaan dat Big Tech vet verdient aan phishingwebsites met anonieme eigenaren, helpen blocklists nauwelijks of niet. Binnen de kortste keren is dezelfde website weer online met een andere domeinnaam.

Zie https://todon.nl/@ErikvanStraten/116243214638583572 en mijn reacties daarop.

Fix: https://todon.nl/@ErikvanStraten/115656812871207370 - oftewel browsers moeten gebruikers helpen om websites met anonieme eigenaren te onderscheiden van serieuze websites (met niet-anonieme eigenaar).

goed idee man

The Great Belgian Firewall, dit hebben we toch al een keer gehad, niet? Waarom denken ze dat het nu wél zal werken?

Verder: Pi-Hole & Unbound.

Want anonimiteit is per definitie verdacht? Ik dacht dat we hier op security.nl wel beter wisten ...

Nog meer tracking? Dan stappen ze over naar IP, geen dns nodig.

Technitium DNS. Maar ja dan wel bijhouden.

Ik vind dit een heel goed initiatief van Belgie om hun inwoners te beschermen.
Echter, ik hoop wel dat dit transparant gebeurt, zowel naar gebruiker als naar domein eigenaar.

Om misbruik van dit systeem te voorkomen moet de lijst van geblokkeerde namen publiek zijn.
(Dit is inclusief de tijdstip, reden en andere metadata voor de beslissing.)

Daarnaast zou de eigenaar van de domein geinformeerd moeten worden over de blokkade.
Want false-positieves bestaan, en je behoort het recht te hebben om jezelf te mogen verdedigen.


Veelal gaan phishing aanvallen al mis in de email inbox: De gebruiker ziet de phish voor een echte aan.
Ik denk dat de boel al een heel stuk veiliger word als je hier wat tegen kan doen.
Dit begint met het terugbrengen van een zichtbaar domeinnaam en niet-bekende afzenders te markeren en zo.

Als je een inlogscherm van een financieel instituut verwacht, dan waarschijnlijk wel?
Maar daar ben ik niet zeker van, aangezien sommige banken (zie https://bunq.com) gewoon Let's Encrypt gebruiken.

Ik denk dat in plaats van kijken naar anonimiteit, je beter kan kijken naar reputatie, gezien dat representatiever is.
En zelfs dat is niet helemaal juist, want ook goede websites kunnen gehackt worden om als front te dienen voor criminelen.
(Ik vraag me eigenlijk af wat beleid Belgie zou voeren: De hele website blokkeren of niet?)

Zolang mensen enkel naar de inhoud van een webpagina kijken zullen ze voor phishing blijven vallen.
Vaak is even naar het domein kijken al voldoende om te zien dat het niet klopt, maar genoeg mensen doen dat niet.
Ik denk dat dit soort aanvallen sterk zullen afnemen als iedereen de basiskennis had om dat te doen.

Dit is prima als in echt helemaal prima?
En toekomst als in toekomst?
https://en.wikipedia.org/wiki/DNS4EU
https://joindns4.eu/
https://www.whalebone.io/dns4eu
https://www.enisa.europa.eu/sites/default/files/all_files/1%20DNS4EU%20project%20overview%20-%20ENISA.pdf

Wie zijn "we" hier op security.nl? Praat voor jezelf...

Als de eigenaar van een website niet wil dat bezoekers weten wie of hij/zij is, heeft die persoon daar hoogstwaarschijnlijk (voor hem/haar goede) redenen voor. Als je bijvoorbeeld in de VS een pro-abortus website runt, kan ik me voorstellen dat je anoniem wilt blijven. Waarom zouden bezoekers dat niet mogen weten? Ik zie aan jouw bijdrage(n) toch ook dat je anoniem reageert?

Feit is dat criminele websites een gigantisch probleem vormen, en dat niet alleen dementerende ouderen daar intrappen. Twee voorbeelden:

Notabene de eigenaar van https://HaveIBeenPwned.com (en uitgesproken EV-certificaat-hater), Troy Hunt, trapte vorig jaar in een phishingmail, zie https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/. Die phishingmail verwees naar:

https://mailchimp-sso•com
('.' door '•' door mij vervangen om onbedoeld openen te voorkómen) in plaats van de echte site:
https://mailchimp.com

Troy gebruikte, heel verstandig, een wachtwoordmanager die checkt op de domeinnaam - dus werd de domeinnaam van de nepsite niet herkend. Vervolgens was Troy zo suf om handmatig in zijn wachtwoordmanager te zoeken naar de inloggegevens voor https://mailchimp.com en die gegevens in te vullen op de nepsite (met die gegevens logde de eigenaar van de nepsite in op de echte site, en verkreeg zo toegang tot het account van Troy). Nb. zoals Troy terecht opmerkt had 2FA/MFA via SMS of TOTP-code niet geholpen (WebAuthn middels passkey of FIDO hardware key wel, maar mailchimp ondersteunt dat niet).

Uit https://www.securityweek.com/security-firm-executive-targeted-in-sophisticated-phishing-attack/:
Erg sophisticated vind ik die aanval niet, vooral niet het deel waar die C-level executive zelf intrapte. Zij of hij voerde diens Microsoft inloggegevens namelijk in op:

https://tradixyu•cfd
(waarbij https dubbel met rood was doorgestreept, het ging kennelijk om http) in plaats van de echte site:
https://login.microsoftonline.com

Bovenaan https://specopssoft.com/blog/phishing-campaign-cisco/ zie je een screenshot van de browser met die foute domeinnaam (en in https://todon.nl/@ErikvanStraten/116245276233658830 zie je de linkerbovenhoek van dat plaatje ingezoomd).

Kortom, als mensen gewaarschuwd worden "deze website heeft u nog niet eerder bezocht" en "log niet in!" (vóórdat potentieel misleidende content van de website wordt gedownload - laat staan getoond), zal dat inloggen op nepsites waarschijnlijk in de meeste gevallen helpen voorkómen.

Als je dan toch door wil gaan is het fijn als je jouw risico's kunt inschatten. Weten wie de eigenaar van een website is (en weten hoe betrouwbaar díe informatie is) kan in elk geval verstandige mensen helpen om hun risico's in te schatten, bijv. op een webshop of een andere site die allerlei persoonlijke gegevens van je wil hebben.

Probleem is alleen, dat je vaak zoveel nieuwe websites bezoekt, dat onwerkbaar is/wordt. Net zoals alle cookie banners, je negeert eigenlijk de melding en klinkt direct op OKE/ACCEPTEREN.

Dit is een oplossing bedacht door een techneut, vanuit een techneut.

M.b.t. websites met anonieme eigenaar:
Steeds meer organisaties stappen over op DV certificaten omdat deze automatisch updaten, en vooral omdat de meeste internetters niets van certificaten snappen én omdat nagenoeg alle browsers op smartphones helemaal geen certificaten meer kunnen tonen.

Big Tech heeft deze negatieve spiraal opzettelijk ingezet. Met name Google wilde voorkómen dat ISP's on-the-fly advertenties konden vervangen of nep-clicks op advertenties konden injecteren én zij willen flink verdienen aan goedkope hosting "met gratis TLS certificaat" . Veilige verbindingen voor hen, niet voor jou en mij (denk aan suggestieve domeinnamen).

En bij veel CDN-providers zoals Cloudflare, Amazon, Fastly en Akamai, heeft jouw browser een versleutelde verbinding met een (proxy-) server van voornoemde partijen. In een deel van de gevallen maakt de volgende verbinding, tussen de proxy-server en de feitelijke server, gebruik van http (in de screenshot rechtsonder in https://todon.nl/@ErikvanStraten/116244824275388773 staat "Port 80").

Genoemde (Amerikaanse) partijen zélf zien sowieso al het verkeer onversleuteld voorbijkomen. Daardoor weet Cloudflare o.a. welke wachtwoorden wij gebruiken - op alle sites "achter" Cloudflare: daardoor kunnen ze rapportages als https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/ publiceren. Internetters communiceren met een MitM (Man in the Middle) - je hebt er geen idee van wat daarachter gebeurt terwijl onze afhankelijkheid van de VS met de dag groeit (zie ook https://security.nl/posting/928913/Afluisteren+maar%21).

Dat is een slecht idee bij websites met anonieme eigenaar, omdat die van eigenaar kunnen wisselen zonder dat je het verschil kunt zien. De volgende domeinnamen (waar recente phishingmails die ik ontving naar verwezen) zijn recent door cybercriminelen gehuurd en werden allen door geen enkele virusscanner als kwaadaardig gezien:

fmcontacts•net
drharrington•net
betbigcity•net

Zie https://todon.nl/@ErikvanStraten/116243325886814193 en de reply daarop.

Gelukkig gebeurt dat zelden bij gerenommeerde websites, en meestal wordt dat snel ontdekt en de site downgehaald (als je slachtoffer wordt kun je daar zelf zelden iets tegen doen).

De meeste mensen snappen niks van domeinnamen (denk bijv. aan
https://login-microsoftonline•com - momenteel met DV certificaat van Google Trust Services: https://crt.sh/?Identity=login-microsoftonline.com).

Voor hen die het wel snappen een ander voorbeeld, het stikt van dit soort domeinnamen: als
https://werkenbijalmere.nl (DV certificaat) van https://almere.nl is, waarom gebruiken ze dan niet als domeinnaam:
https://werkenbij.almere.nl (address not found) ? Amateurs.

Ander risico: IDN's. Nog steeds live: https://lîdl•be/login

Voor een klein deel van de internetters is dat mogelijk een probleem - hoeveel niet eerder door jou bezochte websites bezoek jij (als techneut, anders bezocht je security.nl niet) eigenlijk per dag? Kijk eens in je browsergeschiedenis.

Belangrijker: hoeveel nieuwe websites bezoeken de meeste internetters per dag? Idem internetters die weinig tot niets van domeinnamen begrijpen?

Daarbij: cookiebanners zijn niet in het belang van bezoekers van websites en daardoor per definitie irritant (ik wil nooit andere dan beslist noodzakelijke cookies accepteren). Ik zie die banners zelf relatief vaak doordat ik (voor onbetrouwbare websites) Firefox Focus gebruik - die geen cookies bewaart. Maar zelfs dan valt het mee omdat Focus een deel van de banners onderdrukt.

Nagenoeg alle beveiligingsmaatregelen hebben een prijs. Dit kost aanzienlijk minder tijd dan naar een onbekende winkel (of flappentap) gaan en vóór de deur, na rondkijken, besluiten of ik daar überhaupt wel naar binnen wil (c.q. mijn bankpas in wil stoppen met al die hoodies die ernaast staan). Voor de meeste internetters verwacht ik dat dit een zeer acceptabele maatregel is, en voor degenen die graag risico's lopen kan de maatregel wat mij betreft uitschakelbaar zijn.

Het CCB beschikt voor België eveneens over een browser extentie hiervoor. Nog niet perfect maar al sterk in de goede richting:
https://safeonweb.be/en/safeonweb-browser-extension

Ik lees hier regelmatig berichten die erop duiden dat we hier snappen dat anonimiteit niet gelijk staat aan criminaliteit. Ik had even de indruk dat dat een algemeen gedragen beeld was.

Ik reageer anoniem omdat een account aanmaken betekend dat er data opgeslagen wordt en dat betekend een hogere kans op datalekken.
Websitebezoekers hoeven helemaal niet te weten van wie een site is. Zowel de whois als het TLS certificaat van security.nl leiden mij ook niet naar een natuurlijk persoon. Sterker nog: In de whois staan alleen adresgegevens van de registrar en hoster. Is security.nl nu crimineel?

Ik beweer nergens dat er groepen mensen zijn die niet in de narigheid van criminelen kunnen trappen, alleen ben ik ook van mening dat anonimiteit van websites daarbij geen rol speelt. Sowieso is het hele CA systeem verrot, betere ideeën zijn er wel (oa DANE) maar lijken geen brede acceptatie te krijgen.

Dat klinkt als een prima waarschuwing, maar anonimiteit van websites veranderd daar niets aan. De browser kan immers gewoon checken of de site voor komt in de al opgebouwde history.

Vaak meer dan je denkt. Daarbij komt er ook veel van een CDN(/iframe?, dus als je dit ook niet mee neemt in je oplossing, is je oplossing meteen een gatenkaas.

Meer dan je denkt. Nog afgezien verschillende browsers, devices en plugins die cookies verwijderen.
Vaak kan ik ook in een load balancing van webservers / locaties komt. Dus nu www123.mijndomijn.nl en morgen www215.mijndomijn.nl.

Als ik kijk hoevaak we een verzoek krijgen, voor nieuwe sites te whitelisten, wegens zakelijk belang, is dat best ook een hoop bij het bedrijf waar ik nu werk.

Kan zijn, maar andersom wel: criminelen zijn bijna altijd anoniem (ook als zij zich voordoen als een ander).

Als je belazerd wordt door een website van anoniem heeft het weinig of geen zin om naar een rechter te stappen (je weet niet eens in welk land die anoniem gevestigd is). Jouw risico is dan maximaal. Een soort kofferbakverkoop van een auto met valse kentekenplaten door een verkoper met een anonymous masker op.

Naarmate jij grotere risico's loopt bij het bezoeken van een website, moet je meer vertrouwen hebben in de verantwoordelijke voor die website. Als je geen idee hebt wie dat is, is elk vertrouwen een blinde gok. Met hoe meer zekerheid je weet wie de verantwoordelijke is en of deze in een fatsoenlijke rechtsstaat gevestigd is, hoe groter diens pakkans als hij/zij jou belazert. Tevens: hoe langer diens goede reputatie, hoe kleiner jouw risico is - want die reputatie zal die website-eigenaar niet graag verspelen (en daarna opnieuw op moeten bouwen).

https://security.nl heeft een OV (Organization Validated) certificaat. Uit https://crt.sh/?id=17535770958:

Nb. Chrome onder Android, de enige mobiele browser die ik ken die nog íets van het certificaat laat zien, beperkt zich tot:
Land en stad worden weggelaten (terwijl allerlei gegevens, waar doorsnee gebruikers niets mee kunnen, wel worden getoond). Ook zie je niet of het om OV of EV gaat.

In § 3.2.2.1.1 "Organization Validated" in https://www.digicert.com/content/dam/digicert/pdfs/legal/digicert-public-trust-cp-cps-v7-08.pdf kun je lezen dat de OV-identiteitscheck van Digicert niet zoveel voorstelt - en een aanvaller deze dus relatief eenvoudig zou kunnen spoofen. Zo'n aanvaller is er daarmee echter nog niet, want hij (v/m) zal op netwerkniveau als AitM (Attacker in the Middle) moeten kunnen acteren om de browser van het slachtoffer met een andere webserver te laten verbinden.

De kans dat dit gebeurt hangt af van de verwachte verdiensten van de aanvaller. Die schat ik in als laag voor security.nl; hoewel een aanvaller links naar malware in de nepsite zou kunnen opnemen, zijn veel bezoekers van deze site geen security-noobs (en waarschijnlijk ook geen wachtwoord-hergebruikers). Bovendien zullen er onder de bezoekers mensen zijn die snel onraad ruiken, waardoor deze site niet lang "gekaapt" zal blijven.

Belangrijk hier is ook de reputatie van de website met de eenvoudig te onthouden domeinnaam security.nl die bovendien in mijn lijstje met Favorieten staat. KeePassDX op mijn smartphone stuurt mij direct naar het record met de juiste inloggegevens als de domeinnaam klopt.

M.a.w. security.nl is één van de slechtste voorbeelden die je kon bedenken.

Oneens.

Eens. En zolang een commercieel bedrijf dat cloudsservers verhuurt, browsers maakt én certificaten uitgeeft, in de praktijk de lakens uitdeelt in het CA/B forum (waar geen consumentenorganisaties in vertegenwoordigd zijn), gaat dit ook niet goedkomen.

Was jij niet diegene die mij voor techneut uitmaakte (en er dus buiten de werkelijkheid van doorsnee gebruikers en noobs denkt)?

Ik leg het het mogelijk niet goed uit (overigens ga ik uit van een database lijkend op die voor HSTS).

1) Eerder bezochte website, ongewijzigd certificaat en geen andere anomalies: meteen toegang;

2) Eerder bezochte website maar gewijzigd certificaat of andere anomalies: waarschuwen (evt. alleen bij als kritisch aangemerkte sites, zoals van banken);

3) Niet eerder bezochte site: als de gebruiker daarop wil inloggen dan alarm slaan. Als het om een gewenst bezoek van een nieuwe site gaat (webshop, site waar je een account op aanmaakt, persoonsgegevens moet verstrekken of moet betalen) de gebruiker zoveel mogelijk helpen om diens risico's in te schatten. Denk aan zeer recent op naam van een ander gezette domeinnaam, detectiescore op bijv. VirusTotal, free/low budget hosting (bijv. subdomeinen van weebly.com, *.framer.* en *.created.app), goedkope domeinnamen (per TLD), typisch misleidende TLD-1 zoals *.nl.com, potentieel misleidende IDN, én of het gaat om een anonieme c.q. geauthenticeerde eigenaar/verantwoordelijke (in dat laatste geval, met welke betrouwbaarheid die authenticatie heeft plaatsgevonden, én hoe betrouwbaar de authenticeerder is).