beveiliging

Gebruik de 521 IT checklisten van ITpedia, met in totaal 22022 vragen.

Zoek in de omschrijvingenOmschrijvingAantal vragen
IT projectfaseringBestaat uit meerdere checklisten
Application Services Library (ASL)Bestaat uit meerdere checklisten
ContinuïteitBestaat uit meerdere checklisten
KwaliteitsattributenBestaat uit meerdere checklisten
Functies in de automatiseringBestaat uit meerdere checklisten
WebdesignBestaat uit meerdere checklisten
Of zoek naar een woord: Fulltekst

Laatst gebruikt: Organisatie helpdesk op: 2012-05-19 23:50 Checklist
Toezenden van eerdere beoordelingen per e-mail.
E-mailadres:

Denial of service, verstikkingsaanval

Het uitvoeren van een denial of service aanval (of in mooi Nederlands een verstikkingsaanval) is sinds 1 september 2006 ook strafbaar. Op het belemmeren van de toegang tot of het gebruik van een systeem door daaraan gegevens aan te bieden of toe te zenden staat maximaal 1 jaar cel of geldboete van 16.750 euro (art. [...]

Van Arnoud Engelfriet op 26 september 2011 | Adviezen, Discussies, Juridisch | Aanvullen?
Tags:, , ,
Checklisten: 3

Worm-infectie – Automatisch besmet

Een worm is een programma dat in staat is om zichzelf te verspreiden, zonder dat daarvoor enige actie van de gastheer nodig is. Meestal doen zij dat via beveiligingslekken. Een computervirus is een klein programmaatje dat zichzelf verspreidt van computer naar computer, vaak met destructieve gevolgen, zoals het wissen van bestanden op een harde schijf. [...]

Van Arnoud Engelfriet op 19 augustus 2011 | Analyses, Definities | Aanvullen?
Tags:, ,
Checklisten: 1

De veiligheid van e-mail

E-mail is een van de onveiligste communicatiemedia ter wereld. Het is eenvoudig te onderscheppen en te vervalsen. Bovendien verspreiden virussen zich vooral per e-mail. E-mail is een van de meest populaire communicatiemedia van tegenwoordig. Het is bijzonder eenvoudig om iemand een e-mail te sturen, en het behandelen van e-mail is een stuk vrijblijvender dan bijvoorbeeld [...]

Van Arnoud Engelfriet op 28 juli 2011 | Adviezen, Analyses, Juridisch | Aanvullen?
Tags:, , ,
Checklisten: 2

Cryptografie

Cryptografie (of cryptology; voortgekomen uit Grieks κρύπτω krýpto „verborgen“ en het werkwoord γράφω gráfo „om te schrijven“ of λέγειν legein „om te spreken“) is de praktijk en de studie van het verbergen van informatie. In moderne tijden, wordt de cryptografie beschouwd als om een tak van allebei wiskunde en computer wetenschap, en sluit dicht aan op  informatie [...]

Van admin op 30 juni 2011 | Achtergronden, Definities | Aanvullen?
Tags:,
Checklisten: 2

Maak altijd je eigen back-ups van online data

Social bookmarkingsite Magnolia is in ernstige problemen geraakt. Het bestandssysteem crashte op de server van deze webdienst en dat gebeurde tegelijkertijd ook met de back-up server. Gevolg: site uit de lucht en alle bookmarks, tags en beschrijvingen van de gebruikers in het ongerede. Inmiddels zijn er data recovery-experts aan het werk en zijn sommige sets met [...]

Van admin op 29 juni 2011 | Analyses, Best practices, Oplossingen | Aanvullen?
Tags:, , ,
Checklisten: 3

Rechtmatig operationeel handelen in ICT

Dit is de samenvatting van het rapport, klik hier voor het volledige rapport op surfnet.nl Het rapport brengt de juridische aspecten in kaart van rechtmatig operationeel handelen, dat wil zeggen handelingen met betrekking tot ICT-systemen, gegevens en communicatie, door (hoger)onderwijsinstellingen. Behandeld worden algemene rechten en plichten van ICT-medewerkers en gebruikers en de belangrijkste wet- en [...]

Van admin op 23 juni 2011 | Adviezen, Juridisch | Aanvullen?
Tags:, , ,
Checklisten: 4

Netwerken van besmette computers (botnets)

Botnets zijn netwerken van (ongemerkt) geïnfecteerde computers, die gebruikt worden om op grote schaal spam te versturen, voor identiteitsdiefstal of voor aanvallen op websites. 450.000 tot 900.000 besmette computers Circa 5% tot 10 % van de Nederlandse internetgebruikers heeft in 2009 te maken gehad met een botnetbesmetting.  Dit komt neer op 450.000 tot 900.000 besmette [...]

Van admin op 22 juni 2011 | Analyses, Definities, Oplossingen | Aanvullen?
Tags:, ,
Checklisten: 3

De veiligheid van Webmail

Je mail lezen via een website is erg handig, omdat je dan overal bij je mail kunt. Naast de gewone risico’s bij e-mail speelt bij Webmail ook nog eens het risico dat de eigenaar of volgende gebruiker van de PC bij je mail kan. E-mail lezen kan op vele manieren. Meestal komt de mail binnen [...]

Van Arnoud Engelfriet op 20 juni 2011 | Adviezen, Juridisch | Aanvullen?
Tags:,
Checklisten: 2

Wachtwoord beheer

Wachtwoorden zijn vaak de enige beveiliging op de toegang tot accounts, e-mail en websites. Het is dus essentieel om een goed wachtwoord te kiezen. Helaas worden vaak veel te zwakke wachtwoorden gekozen. Computergebruikers denken vaak dat hackers allerlei obscure bugs en achterdeuren proberen in de hoop ergens binnen te komen. Het verontrustende feit is echter [...]

Van Arnoud Engelfriet op 17 juni 2011 | Definities, Juridisch, Knelpunten | Aanvullen?
Tags:,
Checklisten: 3

Bedrijfsregels voor gebruik internet

Steeds meer werkgevers stellen regels aan het gebruik van netwerksites als Hyves, Facebook en Twitter. IT-leverancier Cisco wijst op het belang van duidelijke bedrijfsregels. Maar uit onderzoek van Cisco blijkt dat de helft van de werknemers zich hiervan weinig aantrekt. Werknemers gebruiken netwerksites als Facebook en Twitter steeds vaker om te communiceren en samen te [...]

Van Personeelslog op 6 mei 2011 | Achtergronden, Analyses, Knelpunten | Aanvullen?
Tags:, , ,
Checklisten: 3

Het Nieuwe Werken vraagt stevige beveiliging van de eindpunten

De beveiliging van eindpunten is ingewikkelder geworden en vergt steeds meer inzet van personeel. Ondertussen zijn medewerkers steeds mobieler geworden, wat bij traditionele modellen voor eindpuntbeveiliging tot vertragingen in synchronisatie kan leiden. Een ‘cloud’-model biedt meer geruststelling bij IT-beveiliging, omdat bedrijven van elk formaat toegang hebben tot de beste apparatuur en meest getalenteerde beveiligingsexperts. Lees [...]

Van Pointer Networks op 28 april 2011 | Adviezen, White papers | Aanvullen?
Tags:, , ,
Checklisten: 4

Vier manieren waarop cybercriminelen geld verdienen met botnets

Onlangs werden enkele bekende botnets in diverse rapporten doorgelicht. Telkens opnieuw bleek dat er miljoenen dollars mee gemoeid zijn. Veel mensen beseffen niet dat botnets als echte bedrijven worden gerund. Kwaadaardige software distribueren is een economisch misdrijf: het gaat de criminelen in de eerste plaats om geld verdienen. De meeste malware wordt geschreven om botnets [...]

Van Pointer Networks op 27 april 2011 | Adviezen, Analyses, Knelpunten | Aanvullen?
Tags:, , , , ,
Checklisten: 5

Hoe betrouwbaar is de digitale handtekening?

Met behulp van wiskundige technieken kan een document worden voorzien van een unieke digitale handtekening. Het is echter veel lastiger dan bij een ‘papieren’ handtekening om vast te stellen of de handtekening correct is geplaatst. Bij elektronische communicatie is het moeilijk om vast te stellen wie de afzender is van een bericht en of het [...]

Van Arnoud Engelfriet op 20 april 2011 | Analyses, Juridisch | Aanvullen?
Tags:, ,
Checklisten: 3

Computervirussen en Trojaanse paarden

Computervirussen en Trojaanse paarden zijn grote risico’s bij het gebruik van software en Internet. Een virus komt verborgen in een ander programma binnen. Een Trojaans Paard doet zich als een onschuldig programma voor. Computervirussen zijn één van de grootste problemen bij het gebruik van software. Een virus is een programma dat zich aan een ander [...]

Van Arnoud Engelfriet op 18 maart 2011 | Achtergronden, Adviezen, Definities, Oplossingen | Aanvullen?
Tags:, , ,
Checklisten: 2
Vorige

E-mail en encryptie

De enige manier om te voorkomen dat de verkeerde personen een e-mailtje kunnen lezen is door encryptie te gebruiken.

E-mail is na Websurfen waarschijnlijk de meest populaire toepassing van het Internet. Wat veel mensen zich echter niet realiseren, is hoe makkelijk het is voor een e-mailtje om bij een ander te belanden dan de bedoelde ontvanger. Een tikfoutje in het adres, een foutje in de configuratie van een server, of de verkeerde naam uit het adresboek zijn allemaal simpele dingen waardoor een mailtje bij de verkeerde persoon terechtkomt. Ook bestaat er altijd het risico van hackers die de mailserver van een provider weten te kraken en zo toegang hebben tot de e-mail van alle gebruikers van dat systeem. De enige manier om te voorkomen dat de verkeerde personen een e-mailtje kunnen lezen is door encryptie te gebruiken. 

Wat is encryptie?

Encryptie is een techniek om berichten met behulp van wiskundige technieken onleesbaar te maken. Alleen diegenen die beschikken over de juiste sleutel kunnen het oorspronkelijke bericht terugkrijgen. Dit betekent in het geval van e-mail dat zender en ontvanger vantevoren een sleutel moeten afspreken om berichten mee te versleutelen. Aangezien dit nogal onpraktisch is, wordt bij e-mail gebruik gemaakt van een systeem met twee sleutels. De eerste is de publieke sleutel, die openbaar is en door iedereen gebruikt kan worden om berichten mee te versleutelen. De tweede is de geheime sleutel, die de ontvanger gebruikt om de berichten mee te ontsleutelen. Deze sleutel moet hij dus strikt geheim houden als hij zijn berichten geheim wil houden.

De publieke sleutel kan bijvoorbeeld op een homepage worden geplaatst, of via een zogeheten keyserver worden gepubliceerd. Hierdoor kan iedereen die een bericht wil versleutelen, gemakkelijk aan de juiste publieke sleutel komen. Niet alle keyservers controleren de identiteit die bij een sleutel vermeld staat, dus iemand die een sleutel wil gebruiken moet zelf nagaan of het de juiste is. Sommige mensen vermelden hierom het serienummer van hun sleutel in hun “signature” onderaan elke e-mail die ze versturen.

Deze publieke en geheime sleutels zijn ook te gebruiken voor authenticatie van de afzender, waardoor het vrijwel onmogelijk wordt om een e-mail onder andermans naam te versturen. Hierover volgende maand meer.

Encryptie en PGP 

E-mail is lange tijd een pure tekstapplicatie geweest. Het was niet eenvoudig om bestanden zoals plaatjes, filmpjes of versleutelde berichten per e-mail te versturen. De meeste e-mailprogramma’s hadden ook geen ondersteuning voor versleuteling, en als ze dat wel hadden, was de gebruikte versleuteling vaak zeer eenvoudig te kraken. Dit maakte het erg moeilijk om e-mail berichten goed te beveiligen.

Met de komst van het gratis programma PGP (Engelstalig) (Pretty Good Privacy), geschreven door Phil Zimmermann, veranderde dit. Het bood niet alleen een onkraakbare manier om berichten te versleutelen, maar het legde ook een standaard neer voor het opnemen van die versleutelde berichten in een e-mail. Het is met PGP mogelijk om een e-mail te versleutelen voor meerdere personen tegelijk, om berichten te voorzien van digitale handtekeningen en om plaatjes en andere binaire bestanden te versleutelen.

Omdat het gratis en met broncode werd verspreid, kon iedereen het op zijn computer installeren en met behulp van een script of plug-in vanuit zijn e-mailprogramma bedienen. Hierdoor groeide het al snel uit tot de de facto standaard voor beveiliging van e-mail. De nieuwste versies zijn direct onder Windows te gebruiken en voor vrijwel alle e-mailprogramma’s zijn gratis plug-ins beschikbaar. PGP is overigens beschikbaar op tientallen platforms, tot en met de Amiga toe.

Inmiddels is PGP is waarschijnlijk het bekendste encryptie-programma ter wereld. Inmiddels is er ook een versie voor bedrijven en is een wereldwijd netwerk van keyservers opgezet, waar mensen hun publieke sleutel kunnen aanbieden en de publieke sleutels van anderen kunnen opvragen.

Export van encryptie-software

Het programma kent een lange voorgeschiedenis. Aangezien het in de Verenigde Staten is ontwikkeld, valt het onder de Amerikaanse exportwetgeving voor encryptie-software. Dit betekende dat het programma niet uitgevoerd mag worden, omdat de gebruikte encryptie niet te kraken is. De eerste versies werden via het Internet illegaal naar andere landen gestuurd. Hiervoor liep er jarenlang een gerechtelijk onderzoek tegen de auteur, wat uiteindelijk werd afgeblazen omdat niet te bewijzen was dat hij zelf verantwoordelijk was voor deze export.

Om aan deze situatie een einde te maken, werd de broncode van de nieuwste versies in boekvorm gepubliceerd. Boeken vallen onder vrijheid van meningsuiting in de VS en mogen dus vrij uitgevoerd worden, dit in tegenstelling tot broncode of uitvoerbare bestanden in electronisch formaat. Een team van vrijwilligers in Europa kocht het boek en scande de pagina’s stuk voor stuk weer in, waarna met behulp van OCR de broncode weer verkregen werd. Om dit te vergemakkelijken, waren de pagina’s afgedrukt in een gemakkelijk te scannen lettertype en waren ze voorzien van checksums om het resultaat snel te kunnen controleren. Hiermee was het mogelijk om in enkele maanden het boek terug te vertalen naar broncode in electronisch formaat, waarna het programma ook legaal beschikbaar was in de rest van de wereld.

Achterdeur in PGP?

Al vanaf het eerste moment dat PGP beschikbaar werd, doen de geruchten dat er een achterdeur in zit de ronde. Omdat de broncode van het programma beschikbaar is voor iedereen, kan iedereen die het niet vertrouwt deze zelf controleren of er geen fouten of achterdeuren in zitten. In de zes jaar dat het programma nu beschikbaar is, hebben duizenden ervaren programmeurs het programma onderzocht en slechts enkele kleine programmeerfoutjes gevonden, die geen van allen de sterkte van de encryptie beinvloedden.

De versie van PGP voor bedrijven bevat wel een achterdeur, maar deze is alleen te gebruiken door het bedrijf zelf en staat duidelijk uitgelegd in de handleiding. Wanneer een medewerker zijn geheime sleutel kwijtraakt, of ontslag neemt of een ongeluk krijgt, kan het bedrijf de informatie in het versleutelde bericht niet langer achterhalen. Als dit bericht een order of belangrijke bedrijfsgegevens bevat, is dit een groot probleem. Het bedrijf kan nu PGP zodanig instellen dat elk bericht ook versleuteld wordt met de publieke sleutel van het bedrijf. In geval van een calamiteit kan de verantwoordelijke manager nu toch de inhoud van het bericht achterhalen, met de bijbehorende geheime sleutel.

Deze achterdeur is echter alleen te gebruiken als het bedrijf vantevoren het programma zodanig heeft ingesteld dat het de bedrijfssleutel gebruikt, en dan werkt het alleen voor de kopie-en van PGP die binnen het bedrijf zijn geinstalleerd. De versies van PGP voor individuele gebruikers hebben deze achterdeur niet.

S/MIME

Het enige nadeel van PGP is dat de versleutelde berichten niet als attachment worden verstuurd, maar als de tekst van een e-mail. Dit maakt automatische verwerking van versleutelde berichten iets moeilijker. Alhoewel er inmiddels tientallen programma’s zijn die automatisch het bericht kunnen versleutelen, ontstond er toch een behoefte aan een meer gestandaardiseerde manier voor gebruik van encryptie in e-mail.

Als uiteindelijke oplossing werd gekozen voor een uitbreiding van MIME (Multipurpose Internet Mail Extensions), het systeem dat gebruikt om attachments aan berichten toe te voegen. Deze uitbreiding heet S/MIME (Secure MIME). S/MIME is geen programma, maar een standaard die vastlegt op welke manieren een versleuteld bericht opgenomen wordt in een e-mail en welke algoritmen er gebruikt zijn. Hierdoor wordt het mogelijk voor elk e-mailprogramma om direct ondersteuning te bieden voor encryptie, zodat twee partijen versleutelde berichten kunnen uitwisselen zonder dat ze hetzelfde programma hoeven te gebruiken.

Op dit moment (januari 2001) is de ondersteuning voor S/MIME nog niet universeel. Microsoft Outlook biedt volledige ondersteuning van encryptie via S/MIME, maar Eudora heeft gekozen voor encryptie via PGP. Vrijwel alle e-mailprogramma’s onder Unix hebben ondersteuning voor PGP.

Welk encryptie-programme te kiezen?

S/MIME belooft de mogelijkheid om met elk e-mailprogramma versleutelde e-mail te kunnen versturen en ontvangen. Helaas is het op dit moment nog te vroeg om te kunnen zeggen of S/MIME een succes wordt. Wie met veel mensen over de hele wereld correspondeert, kan dus nu het beste PGP gebruiken voor prive-mail. Voor het downloaden, installeren en gebruiken van PGP zijn tientallen handleidingen en webpagina’s beschikbaar.

Export van cryptografische software

In de Verenigde Staten is de export van cryptografische software streng gereguleerd. Elk programma dat gebruik maakt van cryptografie, moet een vergunning aanvragen om buiten de VS verspreid of verkocht te worden. Een dergelijke vergunning wordt alleen verstrekt als de gebruikte encryptie kraakbaar is door de NSA, de Amerikaanse contraspionage-dienst. De reden voor deze controle is om te voorkomen dat buitenlandse overheden of terroristische organisaties kunnen communiceren zonder dat de NSA hen af kan luisteren.

Een Amerikaans bedrijf heeft, wanneer zij haar produkt ook in het buitenland wil verkopen, dus twee keuzen: maak een tweede versie met zwakkere encryptie voor de rest van de wereld, of verzwak de encryptie in het programma, zodat iedereen hetzelfde programma kan gebruiken. Veel software-leveranciers onderhouden liever geen twee verschillende versies, vanwege het extra werk en de extra controles die nodig zijn. Bij elke verkoop zou dan namelijk moeten worden gecontroleerd of de koper een Amerikaans burger is.

Er is de laatste jaren veel kritiek gekomen op deze Amerikaanse wet, aangezien ze de concurrentie-positie van Amerikaanse beveiligingsbedrijven verzwakt. Een Europees bedrijf kan immers zonder problemen onbreekbare encryptie gebruiken in haar e-mailprogramma, en heeft daarmee een belangrijk verkoopargument in handen. Bovendien zijn de algoritmen en de broncode van deze onbreekbare systemen al lang in de rest van de wereld te krijgen.

Auteur: Arnoud Engelfriet op 17 oktober 2011
Categorie: Analyses, Juridisch
Tags:, , ,
Licentie: Creative Commons (Naamsvermelding/Gelijkdelen)

Checklisten:
Procedures beveiligingsvoorziening 30 vragen.
Naleving 26 vragen.