Archive for

Applications



July 10, 2015

Kun je dat password ff appen?

By Jeffeny Hoogervorst (NOC/SO/UvT-CERT/SURFcert)

messageHebben ze Internet? 

Ouders met kinderen horen dit maar al te vaak.

Bij het boeken van de vakantie heeft de wens van de glijbaan plaats gemaakt voor de zwaarwegende wens van Free Wifi. Enigszins ook logisch, sms kost geld en via messengers als WhatsApp kun je via Internet gratis text berichten versturen.

Nu zie je dat ook steeds meer in het bedrijfsleven prive telefoons gebruikt worden en daarmee ook de communicatie tussen de collega’s onderling. Maar hoe veilig is dat nu eigenlijk? En als ik een wachtwoord via sms verstuur, kan mijn provider dit dan lezen?

Encryptie (versleuteling) van de berichten tussen de smartphone en de dienst is een, maar de opslag van je berichten is weer iets anders. En als je berichten ergens opgeslagen worden, waar staat dit dan en wie kunnen er allemaal bij? Wanneer je een dienst afneemt van een bedrijf dat gevestigd is in de Verenigde Staten dan zal het je niet verbazen als inlichtingen- en veiligheidsdiensten kunnen meelezen.

Toch wordt de burger zich steeds meer bewust van zijn/haar privacy en is het goed om eens in te zoemen op dit fenomeen. Wanneer je je bezig houdt met de vraag welke messengers nu veiliger zijn dan de andere, dan biedt het EFF uitkomst.

Het Electronic Frontier Foundation (EFF) houdt een Secure Messaging Scorecard bij en dit geeft een aardig overzicht van een aantal privacy gerelateerde onderwerpen per messenger.

Zo kun je na het lezen van bovenstaande link besluiten om bijvoorbeeld TextSecure, Pidgin of CryptoCat te gaan gebruiken.

Het is niet de bedoeling om een bepaalde messenger te promoten, maar wel de bewustwording over privacy en beveiliging van messengers.


June 5, 2015

WordPress blog op de Campus

By Jeffeny Hoogervorst (NOC/SO/UvT-CERT/SURFcert)

Weer een artikel over WordPress en beveiliging!wordpress-logo

Niet het eerste en helaas niet het laatste.

WordPress is een platform dat al enige tijd wereldwijd op grote schaal gebruikt wordt voor het bloggen (online logboek).

Naast de blog functie wordt WordPress ook vaak gebruikt als Content Management System (CMS) voor het maken van Internetpagina’s. De gebruiksvriendelijkheid verklaart wellicht de populariteit.

Naast de standaard mogelijkheden van het softwarepakket biedt het ook de mogelijkheid om zelfgemaakte plugins en themes te gebruiken.

Simpel gezegd wordt een theme gebruikt voor de layout en een plugin wordt voor een toepassing zoals een fotoalbum of een e-mailformulier.

Lang geleden bevatte de basis van de WordPress software nog wel eens kwetsbaarheden maar tegenwoordig valt dit eigenlijk wel mee. Het probleem zit hem al enige tijd meer in de kwetsbaarheid van de plugins, themes en code snippets (stukjes code die handig zijn).

Diegene die de security nieuwsberichten in de gaten houden weten dat kwetsbaarheden in WordPress regelmatig de revue passeren. Dit gaat dan wel met name over de plugins. Wanneer een plugin of theme van wordpress.org gedownload wordt is er nog enigszins sprake van software managment en er verschijnt tevens een melding in het dashboard van WordPress wanneer er een update beschikbaar is. Deze moet dan natuurlijk nog wel geïnstalleerd worden.

Je blijft wel afhankelijk van het feit of de maker van de plugin de kwetsbaarheid verholpen heeft en of hij of zij hier überhaupt wel op de hoogte is van de kwetsbaarheid van zijn stukje software. Soms gebruikt de maker een stuk code van iemand anders en wordt de ontdekking nog lastiger. Het gebruik van code van wordpress.org is echter nog altijd beter dan zomaar een theme of plugin installeren die gevonden is in Google. Dan ben je namelijk waarschijnlijk het onderhoud geheel kwijt.

Nog beter is het controleren van kwetsbaarheden vanaf de buitenkant aan de hand van bekende kwetsbaarheden. Tools als WPScan of VANE (GPL fork) kunnen daarbij helpen. Het is belangrijk om voordat je die tools gebruikt eerst toestemming te vragen aan je hoster want deze tools vergen resources van de webserver en het zou gezien kunnen worden als hacken.

Library and IT Services biedt medewerkers van de Universiteit de mogelijkheid om een blog (https://weblog.uvt.nl/…) te maken en deze op de centrale infrastructuur te hosten. UvT-CERT controleert de WordPress installaties op kwetsbaarheden en deze worden door LIS gerepareerd. Mocht je nu om wat voor reden dan ook op de UvT een WordPress blog hosten buiten de centrale oplossing om, dan kun je of de blog centraal gaan hosten zodat deze qua beveiliging mee gaat in de controle of de interne url aan UvT-CERT (cert-audits@lists.uvt.nl) doorgeven zodat wij deze mee kunnen nemen in de periodieke beveiligingsscans.

Recent Posts

Recent Comments

Archives

Categories

Meta