Veel bedrijven en particuliere gebruikers hebben sinds 30 september last van storingen en foutmeldingen door een update van Let’s Encrypt Certificaat omdat het Let’s Encrypt’s IdentTrust DST Root CA X3-certificaat verlopen is.
Na het verlopen van het certificaat waren verschillende diensten en services en apps tijdelijk voor enkele miljoenen gebruikers niet toegankelijk of functioneerden niet meer goed of gaven een foutmelding over de beveiliging. In sommige gevallen konden apparaten geen verbinding meer maken met internet.
Vooral verouderde apparaten zoals de PlayStation 4, Android 7.1.x telefoons, WindowsXP en iPhone4 zouden door de problemen getroffen zijn. Reden is dat deze apparaten geen updates meer ontvangen. Feitelijk zijn ze daarmee al onveilig en kwetsbaar. Zo ondersteunt bijvoorbeeld een app als WhatsApp een iPhone4 ook niet meer.
Foutmeldingen Let’s Encrypt Certificaat oplossen
De foutmeldingen zijn uiteenlopend van aard. Eigenlijk is de enige oplossing: updaten van uw apparaat, voorzover nog mogelijk, of vervangen door een nieuwe.
Mocht u foutmeldingen krijgen in bijvoorbeeld uw email client op een (oude) telefoon of gebruik maken van een verouderd operating system als WindowsXP of Windows7 dan kunnen wij u hierbij niet ondersteunen. De problemen worden veroorzaakt door de verouderde hardware en software. Wij hebben voor dat de certificaten werden uitgefaseerd alle servers zelf gecontroleerd en door een externe partij een audit laten doen op onze servers. Hieruit is gebleken dat onze servers up-to-date zijn en aan de eisen voldoen.
Verouderde Servers (CentOS6)
Mocht u gebruik maken van een dedicated server of VPS met CentOS6 dan krijgt u, of krijgen uw clienten, mogelijk ook problemen. Dit wordt veroorzaakt door een oudere versie van Openssl. Wij geven op CentOS6 géén ondersteuning meer omdat deze inmiddels al lang EOL (End Of Life) is en updates van het OS niet meer beschikbaar zijn.
Het populaire Ninja Forms, een formulieren-plugin voor WordPress en in gebruik op meer dan een miljoen wordpress websites blijkt een ernstige kwetsbaarheid te bevatten, zo meldt het WordFence beveiligingsteam.
Ninja Forms is in gebruik bij ruim 1 miljoen WordPress websites. Deze websites zijn potentieel kwetsbaar hierdoor, wanneer niet zo spoedig mogelijk de Ninja Forms plugin bijgewerkt wordt naar de nieuwste versie. Wij hebben bij de bij ons in beheer zijnde websites direct na bekend worden van de kwetsbaarheid in de Ninja Forms Plugin websites die hier gebruik van maken van een update voorzien.
Doet u zelf het beheer en onderhoud van uw website, voer dan onmiddelijk een update uit. Vergeet niet vooraf een backup te maken!
Naar schatting tot wel 45 miljoen WordPress websites zijn potentieel kwetsbaar voor aanvallers doordat plugins niet meer bijgewerkt worden in WordPress. Eigenaren van websites zijn zich hier niet van bewust omdat ze geen melding meer krijgen dat de plugin een update nodig heeft.
Het probleem wordt veroorzaakt doordat het WordPress update mechanisme ‘by design’ zo ontworpen is dat updates niet standaard geport worden naar oudere versies (dat is ondoenlijk) en ontwikkelaars van plugins vaak alleen de nieuwste versie ondersteunen.
In dit artikel de oorzaak en de mogelijk ernstige gevolgen hiervan voor veel websites, wereldwijd, die WordPress en ClassicPress gebruiken. Mogelijk ook úw website!
Wat zijn WordPress plugins?
WordPress is een populair systeem voor het beheren van je website, een “content management” programma. Oorspronkelijk begonnen als “blog software” is WordPress uitgegroeid tot een programma uitermate geschikt als CMS voor websites.
Binnen WordPress bestaat de mogelijkheid functionaliteit aan het programma toe te voegen middels stukjes extra software, “plugins”. Plugins vormen sowieso al een beveiligingsrisico. De afgelopen jaren is dit meerdere malen gebleken. Ze worden bijvoorbeeld niet meer door ontwikkelaars onderhouden (“abandoned” plugins) of ze worden doorverkocht aan kwaadaardige ontwikkelaars die zo de websites waar deze plugins gebruikt worden kunnen infecteren zonder dat de eigenaren het door hebben.
Naar nu gebleken is, is er echter een nieuw en nog véél groter probleem met plugins. Dit wordt veroorzaakt door de overgang van WordPress versie 4.9 naar versie 5. WordPress versie 5 is voorzien van Gutenberg. Gutenberg is niet alleen een wijziging in de ‘editor’ (de tekstverwerker waarmee je berichten maakt voor je website) maar grijpt ook diep in op andere onderdelen van de software. Dit blijkt alleen al uit het feit dat de code van het pakket bijna verdubbeld is door de implementatie van Gutenberg.
Wat is het probleem met WordPress plugins?
Als beta-tester van ClassicPress, gebaseerd op de WordPress 4.9-branch, constateerde ik een “tekortkoming” bij het updaten van plugins. Namelijk: dat plugins niet tonen dat er een update is zodra de plugin is gestopt met ondersteuning voor de WordPress 4.9-branch.
Normaliter wordt er in het WordPress dashboard, waar je de website beheert, namelijk een melding gedaan dat er een update beschikbaar is voor een plugin en bij de plugin zelf zie je dat ook.
(afb. meldingen update plugins in WordPress)
Veel mensen zijn hier laks in overigens. Maar in elk geval wordt je gewaarschuwd. Zodra echter ontwikkelaars van WordPress plugins overgaan naar het ondersteunen van alleen nog maar WordPress 5+ wordt er dus géén melding meer gedaan van updates. Immers: die zijn er ook niet (meer) voor de 4.9.x en oudere versies? Je hebt daardoor effectief een “abandoned” (een “verstoten” of “weeskind”) plugin in je WordPress website.
Een bekend voorbeeld hiervan is het ontzettend populaire ContactForm7, een plugin waarmee je contactformulieren op je website kunt toevoegen. Deze ondersteund alleen nog WordPress 5.x-versies.
Ik dacht in eerste instantie dat de constatering die ik deed bij het testen het een tekortkoming in ClassicPress was. Dit bleek niet het geval te zijn!
Voor de meeste ClassicPress-gebruikers is het niet zo’n probleem want ze gebruiken veelal alternatieve plugins of plugins speciaal voor ClassicPress. Maar voor gebruikers van verouderde WordPress installaties, en die zijn er heel veel, is het een enorm probleem zonder dat ze het weten en er wordt ook helemaal niets aan gedaan door de ontwikkelaars van de plugins en WordPress zelf.
Niljoenen kwetsbare WordPress websites
Op het forum van ClassicPress deed ik hier daarom een melding over, met als gevolg dat er een interessante discussie ontstond hierover want eerder was het ook gezien als potentieel probleem ‘voor de toekomst’ en nog niets aan gedaan. Eén van de deelnemers heeft het vervolgens ook gemeld op de WordPress Slack. De respons er op was nogal lauw.”I see no reason to backport it” geeft overduidelijk aan dat men het gevaar van dit probleem totaal niet ziet en ernstig onderschat.
(afbeelding wp slack)
Binnen de ClassicPress community is het meteen opgepakt en is sinds ClassicPress versie 1.3 een plugin, gemaakt door een ClassicPress gebruiker, opgenomen in de core installatie. Deze plugin waarschuwt wanneer gebruik wordt gemaakt van verouderde, niet meer ondersteunde, plugins.
Oudere versies van WordPress worden nog steeds actief aangeboden (via WordPress) en WordPress wordt gebruikt op meer dan 42% van alle websites wereldwijd. In totaal, volgens Google, 455 miljoen websites gebruiken WordPress. Daarvan is meer dan 10% een versie <5.x (bron).
Dat betekent dat er zo’n 45 miljoen websites op oude, 4.x of nog oudere, versies van WordPress draaien. Deze websites ontvangen géén updates meer van plugins die zijn overgegaan naar WordPress 5.x en dit vormt daarmee een ernstig beveiligingsprobleem. Een probleem dat “by design” voorkomt in WordPress. Zoals één van de mensen op de WordPress slack zegt: “none of the current WordPress versions expect that, they only expect to recieve updates compatible with that particular WP version”.
Een oplossing zou kunnen zijn dat de WordPress ontwikkelaars een notificatie zouden geven als “deze plugin is verouderd en wordt niet meer bijgewerkt”. Maar helaas krijg je de handjes niet op elkaar voor zo’n kleine fix. Die echter wel héél belangrijk zou kunnen zijn.
Het is niet de vraag óf maar wannéér er een kwetsbaarheid wordt ontdekt in een dergelijke verouderde plugin en daar opeens (grootschalig) misbruik van gemaakt wordt. Zoals bijvoorbeeld de bekende kwetsbaarheden in ContactForm 7. De makers van ContactForm7 hebben direct een update gemaakt. Maar,.. níet voor de oudere versies die nog volop in omloop zijn. En dat is precies de kern van het probleem!
Hoe los je het probleem met WordPress op?
Uiteraard is het bekend dat je een website moet onderhouden en regelmatig van updates moet voorzien. En als je zelf geen tijd, kennis of kunde hiervan of -voor hebt dan kun je het uitbesteden natuurlijk. Maar anderzijds is er soms geen andere mogelijkheid dan oudere versies van WordPress te gebruiken wegens bijvoorbeeld maatwerk-oplossingen die nog niet beschikbaar zijn voor een nieuwe WordPress versie.
Daarnaast wordt er voor WordPress 4.8.x en 4.9.x nog steeds onderhoud gedaan door Automattic, de makers van WordPress, en updates en patches voor uitgebracht. Als een software product nog steeds ondersteund wordt is het, mijns inziens, dan ook van het grootste belang dat Automattic er voor zorgt dat de gebruikers geattendeerd worden op potentiële security problemen!
Vooralsnog ligt de bal bij u. Controleer regelmatig of u nog wel de laatste WordPress versie gebruikt, of de plugins up to date zijn (en vertrouw daarbij bij WordPress-versies kleiner dan versie 5 niet op de meldingen in het dashboard) en zorg dat ze bijgewerkt zijn en blijven.
Natuurlijk is de beste oplossing: zorg dat uw WordPress-versie up-to-date is en blijft.
All in One SEO en sommige beveiligingsprogramma’s bevelen aan om te verbergen dat je voor je website WordPress (of Joomla of een ander CMS) gebruikt. Verbergen van WordPress wordt als een goede beveiliging gezien want: “zo weten hackers niet wat je gebruikt”. Maar maakt verbergen van WordPress je website veilliger?
Er zijn daarom speciale plugins beschikbaar voor het verbergen van je WordPress software. Zoals WP Hide & Security Enhancer. De makers zeggen over hun plugin het volgende:
The easy way to completely hide your WordPress core files, login page, theme and plugins paths from being show on front side. This is a huge improvement over Site Security, no one will know you actually run a WordPress. Provide a simple way to clean up html by removing all WordPress fingerprints.
Maakt verbergen van WordPress je website veiliger?
Wordt je website veiliger door het installeren van een dergelijke plugin? Het antwoord moet zijn: Nee. Dat zal veel mensen wellicht verbazen. Daarnaast maakt het je WordPress website mogelijk ook instabiel. Hoe zit dat?
Ongerichte aanvallen
De meeste aanvallen van hackers zijn niet gericht. Ze “schieten met hagel”. De aanvallen gaan namelijk nagenoeg altijd grotendeels geautomatiseerd via zogeheten bots of scripts. Dus welk bot of script ook op je site probeert in te breken het zal gewoon proberen bekende kwetsbare URL’s te raken, in de hoop dat je site een van de getroffen versies van een kwetsbare plug-in of WordPress versie gebruikt. Ze weten niet echt of de plug-in er is. U zult in uw logbestanden dan ook waarschijnlijk (kwetsbare) URL’s zien voor CMS’s die u ook niet gebruikt. Zoals exploiteerbare URL’s voor Joomla, Drupal, en andere.
Zo zien wij regelmatig op websites waar helemaal geen Joomla op staat geïnstalleerd scans voor een openstaande “administrator”-link. En andersom zien we scans op Joomla sites pogingen brute-force aanvallen te doen op een eventueel aanwezige WordPress installatatie. Pas zodra zo’n script een link aantreft zal eventueel de mens er achter in aktie komen.
Als iemand wil zien welke plug-ins je hebt, zijn erg genoeg manieren om dat te doen. Het verbergen van uw login, plugins of WordPress-versie wordt daarom niet langer echt als een beveiligingsoplossing beschouwd.
In de praktijk werkt het niet
In de praktijk hebben we vastgesteld dat het simpelweg niet werkt. Bij websites waar de WordPress inlog is ‘verstopt’ zien we dat binnen de kortste keren deze inlogpagina toch (weer) gevonden wordt.
Risico’s van het verbergen
1. Het wijzigen van WordPress-URL’s brengt het risico met zich mee dat de functionaliteit van WordPress-thema’s en plug-ins wordt gebroken. De functies van WordPress JavaScript XMLHttpRequest-object (AJAX) worden bijvoorbeeld geactiveerd via admin-ajax.php die zich in de map wp-admin bevindt.
2. Het wijzigen van de URL geeft ons een veiliger gevoel, maar het maakt de site niet echt veiliger. Het is wat veel beveiligingsexperts ‘security through obscurity’ noemen. Het is alsof je de voordeur van je huis verplaatst om jezelf te beschermen tegen inbraak… Elke doorgewinterde dief gaat gewoon op zoek naar een andere deur of ramen om binnen te komen. Elke aanvaller zal hierop anticiperen en ook andere manieren zoeken om binnen te komen.
3. Meer dan de helft van alle inlogpogingen die worden gedaan op WordPress-sites worden gedaan via xmlrpc.php. Dit was jaren geleden al zo, dat is nog steeds zo. Die worden niet gestopt door uw beheerders-URL te wijzigen.
Wat is wel een goede beveiliging?
Een goede beveiliging is een plugin als Wordfence of All-in-One WP Security. Ze hebben beide hun voor- en nadelen. Beide ondersteunen de Google reCaptcha, Wordfence tevens 2FA-beveiliging. Eén opmerking willen we wel maken over All-in-One WP Security: gebruik nooit de optie voor het hernoemen van de database prefix. Wij hebben diverse websites daardoor down zien gaan.
⇒ Boven alles is beveiliging een zaak van de software regelmatig backuppen en updaten. Een website die niet up to date is, is een kwetsbare website. Ook als deze “verstopt” is!
Verstoppertje spelen op internet heeft geen zin. Natuurlijk kunt u een plugin die dit aanbiedt gebruiken maar we hebben diverse tests uitgevoerd en het is gebleken zinloos.
Blokkeren aanvallen XMLRPC
Als u aanvallen op de xmlrpc.php wilt blokkeren in Wordfence, kunt u dit doen in de Wordfence-plug-in op de pagina Login Security > Settings. Raadpleeg de waarschuwing voordat u dit doet. Als u sommige functies van Jetpack of posten op afstand met de WordPress-app gebruikt, kunt u XMLRPC niet blokkeren.
Als u de wp-admin- of wp-login-URL’s wijzigt, verliest u ook het zicht op wie probeert in te loggen op uw site en wanneer ze dit doen, omdat beveiligingsprogramma’s niet op zoek zijn naar logins op een willekeurige URL die iemand heeft verzonnen… daarmee ondergraaft u dus de functionaliteit van bijvoorbeeld WordFence. All-in-One WP Security biedt in de plugin ook features voor “hernoemen” van de WP-admin. Wanneer dat vanuit de plugin gedaan wordt breek je de beveiliging wellicht niet, maar zoals gezegd héél erg zinvol is dat niet. Soms zelfs juist niet. Omdat andere software er over kan struikelen.
Natuurlijk kan het áltijd voorkomen dat er een menselijke hacker het specifiek op uw website heeft voorzien. In een dergelijk geval zou ‘security trough obscurity’ de aanval kunnen vertragen. Maar uitsluiten? Nee, absoluut niet.
WooCommerce heeft een noodpatch uitgebracht in verband met een “SQL-injectie” kwetsbaarheid. Door dit beveiligingslek kunnen niet-geautoriseerde aanvallers toegang krijgen tot willekeurige gegevens in de database van een online winkel.
Webwinkels met WooCommerce, opgenomen in ons WordPress Management Programma, zijn door ons vandaag van de nodige updates voorzien. Beheert u zelf uw website met WooCommerce webwinkel dan is het zéér dringende advies van zowel WooCommerce, WordFence en uiteraard ons als webhost om onmiddelijk een update van uw webshop uit te voeren.
Voor sommige cliënten zijn meerdere updates noodzakelijk. Voer net zo lang de aangeboden updates uit tot u versie 5.5.1. Uiteraard dient u vooraf een backup te maken van uw website.
GGD, Global Marketing Bridge, AlleKabels, Autobedrijven (RDC, een bedrijf dat autogarages ICT-diensten aanbiedt), Booking.com, Expedia, Hotels.com, bol.com, EasyJet, bouwbedrijf Heijmans. Datalekken zijn aan de orde van de dag.
Keer op keer worden duizenden tot zelfs miljoenen gegevens zoals email adressen, wachtwoorden, financiële gegevens inclusief bankrekeningnummers en vermogen alsmede ID-kaarten en BSN-nummers gelekt. Of gestolen. Is uitsluiten van een datalek mogelijk?
Hoe veilig zijn je privé gegevens nog in deze digitale wereld? Wat kun je doen om te voorkomen dat je privé gegevens gestolen of gelekt worden? Hoe gevaarlijk is al dat lekken van data en stelen van je gegevens door criminelen? En, wat zijn de gevolgen van een datalek voor je bedrijf en hoe voorkom je dat?
Wanneer data ‘gelekt’ of gestolen wordt gaan deze gegevens meestal vrij snel zwerven in het criminele circuit. Dit betekent dat mensen met onzuivere bedoelingen gegevens gestolen bij bijvoorbeeld een webwinkel, zoals een gebruikersnaam met wachtwoord, gaan gebruiken om bijvoorbeeld op uw naam bestellingen uit te voeren. Aangezien er dan vaak een ander afleveradres opgegeven wordt (in de praktijk iets wat bij bol.com e.a. bijvoorbeeld vaak voorkomt) zijn de facturen die hier uit voortkomen niet rechtsgeldig.
Het is aan de webwinkel of leverancier om te bewijzen dat u het ook daadwerkelijk hebt besteld. Het geeft echter wel een hoop narigheid voor zowel de verzender van de goederen als de persoon die als “besteller” staat vermeld!
Het wordt erger wanneer er ook identificerende gegevens zoals een ID-kaart, BSN-nummer zichtbaar, of andere gegevens worden gestolen of gelekt waarmee mensen identiteitsfraude kunnen gaan plegen. Dit kan enorme consqeunties hebben.
Het lek bij de GGD bijvoorbeeld, waar ook BSN en adresgegevens zijn buitgemaakt, is ernstiger. Hoewel het een en ander gedownplayed wordt is het zeker niet ondenkbaar dat met een valse ID-kaart (wie ziet of een kopie van een ID-kaart wel of niet geldig is?) met juist BSN er op fraude gepleegd kan worden. Er wordt gesteld “De kans op identiteitsfraude met alleen het BSN is zoals aangegeven klein.”. Maar dus zeker niet uigesloten! Wie dat gelooft onderschat de kennis en kunde aanwezig in het criminele circuit alsmede het wijdvertakte netwerk waar zij gebruik van kunnen maken. Immers, zo ontstond dit lek ook?
Hoe voorkom je dat gegevens gelekt of gestolen worden?
Bij heel veel webwinkels is het mogelijk een bestelling te plaatsen zónder een account aan te maken. Persoonlijk kies ik daar áltijd voor als het mogelijk is. Zorg ook, en ik ben niet de eerste die dat zegt, dat je gebruik maakt van verschillende wachtwoorden voor elke website waar je een account aanmaakt. Dat vinden veel mensen lastig want “ik kan al die wachtwoorden niet onthouden”. Dat moet je dan ook niet doen, daar zijn hulpmiddelen voor zie: https://veiliginternetten.nl/themes/situatie/ik-kan-mijn-wachtwoord-niet-onthouden/
Gebruik alleen websites die veilig zijn. Die herken je aan het ‘slotje’ op een site. Dat zegt echter niet alles. Het slotje laat zien dat data tussen je computer en de website veilig over en weer gaan. Maar dat zegt niets over de persoon of organisatie achter de site.
Ik heb in het verleden meegemaakt dat een bedrijf alles keurig op orde had: SSL-certificaat, alle protocollen op orde, email beveiligd. Maar één dingetje waren ze vergeten: alle gebruikersnamen en wachtwoorden stonden open en bloot, in leesbaar format, in een tekstbestandje op de webserver. Gewoon leesbaar en te benaderen als je via Google er op zocht.. Ook al doe je zelf alles helemaal veilig, dan nog ben je afhankelijk van derden: de personen of bedrijven die je gegevens beheren. Verzeker je er zo goed mogelijk van dat zij dit veilig doen en controleer bijvoorbeeld hun privacy protocol.
Wat te doen als je bedrijf getroffen wordt door een datalek?
Helemaal uitsluiten van een datalek is onmogelijk, de blunder van de medewerker van bouwbedrijf Heijmans maakt dat maar weer eens duidelijk. Een menselijke fout kan altijd gebeuren! Voor een bedrijf is het echter een verschrikking: in het nieuws komen met een groot datalek. Maar hoe ga je daar mee om?
Als eerste dient er direct een melding te worden gemaakt bij de AP (Autoriteit Persoonsgegevens) en dienen alle betrokkenen geïnformeerd te worden. Dit laatste wordt vaak verzuimd.
AlleKabels laat bijvoorbeeld op 16 april jl. in een email aan haar klanten weten:
“Ons bedrijf is op 23 augustus 2020 slachtoffer geworden van een hack door cybercriminelen [..] Alleen de wachtwoorden van klanten die zich voor 1 september 2018 geregistreerd hebben, kunnen worden gekraakt. Voor u is het belangrijk te weten dat dit ook om uw gegevens gaat. [..] Om de belangen van u als klant maximaal te beschermen heeft Allekabels besloten om onmiddellijk de wachtwoorden van deze klanten te wissen. Dat geldt dus ook voor uw wachtwoord.”
Pas nádat de pers melding doet over het datalek neemt het bedrijf, acht maanden(!) later, actie richting de cliënten en downplayed de gevolgen ook nog eens door te melden dat het om “een minderheid” van de klanten gaat (waar wij één van waren). Ze maken hier mijns inziens twee fouten:
Het wissen van de wachtwoorden van de klanten heeft alléén gevolgen voor het inloggen op het systeem van het bedrijf zelf. De klant is hier absoluut niet mee geholpen;
Doordat de email een algemene mail is, weet de klant niet om welk email adres het gaat dat mogelijk misbruikt is (onvolledige informatie). Zeker wanneer klanten vaak dezelfde email/wachtwoord combinatie gebruiken is het mogelijk dat er ook bij andere webshops ingebroken kan worden met deze gegevens. Dit is een relevant, maar ontbrekend, gegeven voor de klant!
Ik schrijf hier niet over om AlleKabels in discrediet te brengen maar omdat zij het zelf zo melden in een algemene mail aan hun klanten.
Een bedrijf dient goed en volledig te informeren. De AP is hier helder over: “Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.”
De eerste reactie van de veroorzaker(s) van een datalek is vaak: “hush-hush, niet over praten, snel onder het vloerkleed”. Dat is een absoluut verkeerde insteek. Het ’toverwoord’ is: informeren. Open, eerlijk en zo snel mogelijk! Informeer de AP, de betrokkenen. Ook als het niet verplicht is betrokkenen te informeren.
Zoals gezegd: voorkomen van een datalek is nagenoeg onmogelijk. Net als inbraak op een systeem. Criminelen moet je absoluut niet onderschatten. Niemand kan 100% garanderen dat een systeem veilig is.
Om diefstal van gegegevens te voorkomen, slaan wij de inloggegevens van klanten niet op in een database. Ook niet off-line;
we maken gebruik van een SSL verbinding met de website
Spammers worden steeds ‘inventiever’ als het gaat om het verzenden van spam. Eén van de gebruikte methoden om te spammen is formulier-spam. Deze vorm van misbruik is eenvoudig te voorkomen. Als eigenaar van een website bent u hier zelf verantwoordelijk voor.
Wij hebben deze week een aantal websites off-line moeten zetten (toegang blokkeren) wegens deze methode van spam. Als eigenaar van de website bent u verantwoordelijk voor het tegengaan hiervan.
Misbruik websites door spam via formulieren op websites Om te zorgen dat de server waar een website op staat waar dit gebeurt niet als ‘spamserver’ wordt gemarkeerd worden deze sites dan ook direct geblokkeerd. Andere cliënten worden namelijk door uw onbeveiligde website mogelijkerwijs ernstig gedupeerd. De instructie is hier te vinden.
De eigenaars van de betreffende websites zijn uiteraard op de hoogte gesteld zodat zij het probleem kunnen oplossen. In een aantal gevallen hebben wij het probleem voor de cliënten opgelost. Echter, u bent zelf, als cliënt in de eerste plaats verantwoordelijk voor een goed opgezette website.
Wat is formulier-spam? Wat men doet is simpelweg een contactformulier invullen met als afzender een email adres dat men wil spammen. Zodat de “bevestigingsmail” (de kopie die vaak wordt verzonden na invullen van een formulier) als spam (van een legitieme afzender, namelijk jouw site) wordt verzonden.
De spam gaat dan twéé kanten op: als eigenaar van de website ontvang je de spam én de persoon waarvan het email adres misbruikt wordt ontvangt de spam. Dat is natuurlijk iets wat je moet en kúnt voorkomen.
Google’s reCaptcha is hiervoor een prima methode. Als je in WordPress een Contact7 formulier gebruikt is het installeren hiervan een klusje van een paar minuten. De volledige instructie is hier te vinden. Een andere oplossing is het nog eenvoudiger Contact Form 7 Image Captcha.
Er zijn ernstige kwetsbaarheden in Microsoft Exchange Server welke er toe leiden dat er misbruik gemaakt kan worden van uw exchange-omgeving. Dit kan er toe leiden, wanneer u hier gebruik van maakt via onze DNS, dat wij er toe genoodzaakt zijn om in opdracht van SIDN uw verwijzing naar uw Exchange-server in onze DNS te verwijderen.
De kwetsbaarheden hebben dus géén raakvlak met onze dienstverlening. Microsoft heef afgelopen vrijdag alarm geslagen over de exploits van exchange servers.
“Microsoft waarschuwde vrijdag voor actieve aanvallen waarbij gebruik wordt gemaakt van niet-gepatchte Exchange Servers, uitgevoerd door meerdere actoren, aangenomen wordt dat de hackcampagne tienduizenden bedrijven en overheidsinstanties in de VS, Azië en Europa heeft geïnfecteerd.” (TheHackerNews)
Een combinatie van enkele kwetsbaarheden stellen een kwaadwillende op afstand in staat willekeurige code uit te voeren onder SYSTEM-rechten. Microsoft geeft aan dat de kwetsbaarheden met kenmerk CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065 actief worden misbruikt door een statelijke actor.
Door een DDoS aanval op onze website Brinkman.IT was er afgelopen nacht sprake van enige onbereikbaarheid. De meeste aanvallen werden ‘opgevangen’ door CloudFlare waardoor de website en een aantal andere sites die op deze server zijn gehost normaal bereikbaar zijn gebleven. De aanval kwam opmerkelijk genoeg voor 99% uit Nederland.
Omdat onze eigen website, alsmede een aantal projecten, diensten en testwebsites van ons zelf, gehost worden op een aparte server is er geen hinder geweest voor onze cliënten. We vermoeden dat de aanval te maken heeft met een bot die via Twitter op bepaalde trefwoorden zoekt en zo een DDoS volautomatisch aftrapt. De diverse IP’s die hierbij betrokken waren zijn geblokkeerd.
Door vanaf verschillende locaties, vanaf verschillende (VPS) diensten en servers onze website specifieke opdrachten te sturen probeerde men de achterliggende SQL database van de website plat te leggen. Door Cloudflare te gebruiken worden dit type aanvallen meestal zeer effectief afgehandeld. CloudFlare is een wereldwijde dienst die er voor zorgt dat je website beter bestand is tegen dit soort aanvallen en ook sneller werkt (middels caching van data). Kijk voor meer informatie op https://www.cloudflare.com/
Wat kun je leren van de gelekte seksvideo’s van Fred van Leer (en de hack van de verkiezingssite van Donald Trump)? Op basis van de informatie die inmiddels bekend is geworden kunnen een aantal leerpunten en belangrijke beveiligingsaanbevelingen worden gedaan.
Fred van Leer is niet de eerste bekende Nederlander die dit overkomt, en daarnaast zijn er nog talloze andere onbekende Nederlanders het slachtoffer van dit soort ellende.
1. Hou privé wat privé is
Een telefoon is geen foto- of videocamera. Dat klinkt gek immers: met een telefoon kun je filmen en foto’s maken? Maar wat ik bedoel is dit: volgens informatie die gisteren bekend werd is de video van van Leer in eerste instantie gelekt via zijn eigen instagram-account. Kennelijk bevond de gewraakte video zich dus op zijn telefoon.
De reden dat zoiets kan gebeuren is deze: wanneer iemand inbreekt op of via je Instagram, iCloud of Google account (en vele andere apps van diensten die je gebruikt op je telefoon) kan die persoon effectief toegang tot je telefoon krijgen. Immers: deze apps hebben om te functioneren toegang tot (de data van) je telefoon! Wie denkt dat ik nu echt onzin verkoop zou eens moeten kijken naar deze berichten op TheHackerNews, Checkpoint en Opgelicht van AvroTros (waarschuwing politie).
In either case, the attack could lead to a massive invasion of users’ privacy and could affect reputations — or lead to security risks that are even more serious (TheHackerNews).
Wat je dus opslaat (foto, film, data) op je telefoon is daarmee potentieel beschikbaar voor een eventuele inbreker. Die kan dat vervolgens simpelweg stelen, je er mee chanteren, de gegevens misbruiken en/of het publiceren. Er zijn ook speciale spionage-programma’s hiervoor in omloop (waar uiteraard geen link naar gemaakt wordt, want: illegaal).
Q – A hacker got into my phone and saw all my info and they found me through Instagram. Is it possible to hack into a phone if all you have is their Instagram? A – If you have uploaded photos from your phone to your Instagram account, which most people have, then yes. (Quora)
De éérste, belangrijke, les is dan ook: hou privé wat privé is. Sla, als je dingen privé wilt houden, dit niet op op je telefoon. Foto’s, Filmpjes, maar ook andere belangrijjke data, die niet in handen mogen komen van derden horen niet op een dergelijk kwetsbaar, vaak slecht beveiligd, apparaat. En al helemaal niet “in de cloud” (waar het vaak automatisch wordt opgeslagen door Apple en Google). Weet jij waar dergelijke data over tien jaar (nog) rondzweeft?
Let wel: het is dus niet de beveiliging van het apparaat zelf wat hier het issue is maar de toegang die je verleent tot het apparaat middels te zwak beveiligde apps en eigen onvoorzichtigheid!
2. Gebruik goede beveiliging voor je Social Media
Beveilig je social media accounts daarom maximaal. Ja, dat ís soms wat hinderlijk in gebruikt. Maar wat is hinderlijker? Dat je data op straat ligt of af en toe een verificatie-code invoeren of scannen?
Voorbeeld van hoe kwetsbaar sommigen zijn: heel veel mensen gebruiken hun Facebook-login ook voor allerlei andere diensten (media, webwinkels). Achterhaalt iemand je inloggegevens van je facebook-account dan heeft zo’n persoon, daar op ingelogd, ook toegang tot allerlei andere gegevens van je – inclusief eventueel financiële gegevens.
Instagram, Facebook en vele andere diensten bieden allemaal tweestaps-verificatie. Gebruik die!
Ook in Instagram kun je eenvoudig tweestaps-verificatie aanzetten. Er zijn meer dan voldoende handleidingen online te vinden die uitleggen hoe je dit kunt doen.
En vergeet uiteraard niet het ook in te stellen voor uw Google account (want: Playstore, Youtube, Gmail, Google Drive etc hangen allemaal achter dat éne wachtwoordje!). Google heeft onder andere hier een handleiding geplaatst.
Dit is, nogmaals, absoluut noodzakelijk om je privé data (dus niet alleen dat filmpje of die foto die je in een dolle bui een keer hebt gemaakt) te beschermen. Helaas is deze beveiliging binnen apps als Instagram en sites als Facebook nog steeds optioneel en vinden veel mensen het “teveel gedoe”. Maar nogmaals, bedenk hoeveel “gedoe” je kunt krijgen als je vertrouwelijke snapshots, videos of andere data op straat ligt?
3. Ik heb niks te verbergen?
Het aloude “ik heb niets te verbergen” gaat niet op. Mobiele apparaten, met name telefoons (die je nog nauwelijks een ‘telefoon’ kunt noemen) en alle koppelingen die daarmee gelegd kunnen worden, zijn een enorm risico. Ook als je “niets te verbergen” hebt. Denk immers maar aan je app voor bankieren, de inloggevens voor je website of online shops etc.
Rudy Brinkman – Brinkman.IT
Privacy voert terug naar wat ons mens maakt en gaat daardoor vooraf aan het belang dat we al dan niet aan privacy hechten. (De Correspondent)
Zeker 15% van de Nederlanders heeft wel eens te maken gehad met inbreuk op de privacy. Inbreuk op privacy is een inbreuk op je ‘eigen ik’. Denk bijvoorbeeld aan ‘sexting’ wat veel jongeren overkomt.
Fred van Leer, Patricia Paay en vele andere bekende, maar ook talloze onbekende, mensen hebben dat op een verschrikkelijke manier moeten ervaren. Laat het u niet overkomen!
Veel bedrijven en particuliere gebruikers hebben sinds 30 september last van storingen en foutmeldingen door een update van Let’s Encrypt Certificaat omdat het Let’s Encrypt’s IdentTrust DST Root CA X3-certificaat verlopen is.
Binnen WordPress bestaat de mogelijkheid functionaliteit aan het programma toe te voegen middels stukjes extra software, “plugins”. Plugins vormen sowieso al een beveiligingsrisico. De afgelopen jaren is dit meerdere malen gebleken. Ze worden bijvoorbeeld niet meer door ontwikkelaars onderhouden (“abandoned” plugins) of ze worden doorverkocht aan kwaadaardige ontwikkelaars die zo de websites waar deze plugins gebruikt worden kunnen infecteren zonder dat de eigenaren het door hebben.
Wij hebben deze week een aantal websites off-line moeten zetten (toegang blokkeren) wegens deze methode van spam. Als eigenaar van de website bent u verantwoordelijk voor het tegengaan hiervan.
Er zijn ernstige kwetsbaarheden in Microsoft Exchange Server welke er toe leiden dat er misbruik gemaakt kan worden van uw exchange-omgeving. Dit kan er toe leiden, wanneer u hier gebruik van maakt via onze DNS, dat wij er toe genoodzaakt zijn om in opdracht van SIDN uw verwijzing naar uw Exchange-server in onze DNS te verwijderen.
Ook in Instagram kun je eenvoudig tweestaps-verificatie aanzetten. Er zijn 