Factsheets

Factsheet: Beveiligingsrisico's van GSM-communicatie

GSM-telefoons zijn niet meer weg te denken uit onze maatschappij. Om afluisteren van GSM-communicatie te voorkomen wordt het draadloze deel van een GSM-verbinding versleuteld. Onderzoekers hebben in deze versleuteling kwetsbaarheden ontdekt die het mogelijk maken om GSM-communicatie af te luisteren. Eind 2011 is een aanval getoond die identiteitsfraude op GSM netwerken mogelijk maakt.

Dit factsheet geeft een overzicht van de belangrijkste kwetsbaarheden van GSM. Het beschrijft de beveiliging van GSM en sms, de kwetsbaarheden die in de beveiliging zitten, de hierdoor ontstane risico’s en hoe je je hiertegen kunt beschermen.

Publicatie | 28-12-2011

Factsheet over een kwetsbaarheid in SSL en TLS

In september 2011 is een kwetsbaarheid in het SSL/TLS-protocol gedemonstreerd. Dit protocol wordt gebruikt om beveiligde verbindingen tussen browsers en websites op te zetten. Onderzoekers waren in staat een cookie te ontcijferen waarmee zij zich ongeautoriseerde toegang verschaften tot een beveiligde website. Bijgevoegde factsheet informeert u op hoofdlijnen over de aard en impact van deze kwetsbaarheid.

Publicatie | 21-10-2011

Kwetsbaarheden Mifare Classic chips in toegangspassen

Sinds begin 2008 is er veel aandacht voor het 'kraken' van de OV-chipkaart en toegangspassen voor gebouwen. Kwetsbaarheden in de Mifare Classic RFID chip maken het mogelijk deze chip te kraken. Deze factsheet geeft informatie over de kwetsbaarheden van de chip en de gevolgen ervan voor het gebruik in toegangssystemen. We stellen maatregelen voor die de risico's kunnen beperken.

Update: In oktober 2011 hebben onderzoekers ook de beveiliging doorbroken van een van de opvolgers van de ‘classic’, de DESfire MF3ICD40. Om die reden is recentelijk een update van de factsheet uit 2008 verschenen.

Publicatie | 14-10-2011

Checklist beveiliging webapplicaties

De beveiliging van webapplicaties staat de laatste maanden sterk in de belangstelling. Diverse incidenten op dit gebied tonen aan dat webapplicaties nog vaak triviale kwetsbaarheden bevatten die de ontwikkelaar eenvoudig had kunnen voorkomen. De toename van het aantal incidenten en de aandacht hiervoor in de media leidt bij veel eigenaren en beheerders van webapplicaties tot de vraag: hoe (on)veilig is mijn webapplicatie nu eigenlijk?

Dit factsheet beschrijft hoe u een basiscontrole kunt uitvoeren op de veiligheid van een webapplicatie zodat u snel inzicht krijgt in de aanwezigheid van veel voorkomende kwetsbaarheden.

Het factsheet is gebaseerd op het 'Raamwerk Beveiliging Webapplicaties' van GOVCERT.NL. Daarin staat in meer detail beschreven welke kwetsbaarheden zich vaak in webapplicaties bevinden en hoe ontwikkelaars en andere betrokkenen deze kunnen voorkomen. Het raamwerk besteedt niet alleen aandacht aan de webapplicatie zelf, maar ook aan aangrenzende zaken zoals de beveiliging van onderliggende besturingssystemen en de veilige opbouw van de infrastructuur. Onderaan deze pagina vindt u ook een link naar dit raamwerk.

Publicatie | 05-10-2011

Frauduleus uitgegeven beveiligingscertificaat ontdekt (update)

Op 29 augustus 2011 is bekend geworden dat een frauduleus uitgegeven certificaat van Diginotar in omloop is voor Google.com, als gevolg van een inbraak. Diginotar is een van oorsprong Nederlands bedrijf dat zogenaamde SSL-certificaten uitgeeft. Deze certificaten dienen ter identificatie van websites en beveiliging van webverkeer. De ontdekking van het frauduleuze certificaat heeft ertoe geleid dat het Root Certificate Authority certificaat en de subroot van Diginotar door verschillende browsers niet meer vertrouwd wordt. Op 2 september zijn de uitkomsten van een nader onderzoek door Fox-IT gedeeld met de overheid, waarna de overheid het vertrouwen in de certificaten van Diginotar heeft opgezegd.

Publicatie | 28-09-2011