18 augustus 2008

Schriftelijke vragen over beveiliging internet Stadhuis

Schriftelijke vragen van de raadslid mevr. Gazic (PvdA) inzake incompetentie bij de bescherming van de gemeente tegen een beveiligingslek in het Domain Name System van internet.

Amsterdam, 14 augustus 2008

Aan het college van burgemeester en wethouders

Begin dit jaar ontdekte de mondiaal vermaarde beveiligingsonderzoeker Dan Kaminsky een cruciaal beveiligingslek ontdekt in het Domain Name System (DNS). Het DNS-protocol is één van de fundamenten van het internet en wordt gebruikt om het IP-adres te achterhalen waarnaar een mailadres of domeinnaam verwijst. Het door Kaminsky ontdekte beveiligingslek maakt het voor kwaadwillenden mogelijk om informatie af te vangen en om internetgebruikers naar nepsites te sturen.

Dat opent allerlei mogelijkheden voor criminelen, zoals het optuigen van een look-a-like internetbankierssites. Met een dergelijk nepsite kunnen dieven inlognamen, wachtwoorden en beveiligingscodes afvangen en ondertussen de bankrekening op de echte site plunderen.

Het goede nieuws is dat Kaminsky alle betrokken partijen – waaronder verkopers van DNS-servers en – clients – eind maart al op de hoogte heeft gesteld van het probleem. Hierbij is afgesproken dat hij tot half juli zou wachten met bekendmaking. Gezien de zeer ernstige aard van probleem zijn alle grote leveranciers meteen begonnen met het voorbereiden van aanpassingen, zogenaamde ‘patches’. Begin juli zijn de eindgebruikers geïnformeerd over dit forse probleem, meteen daarna startten bedrijven als Microsoft en Cisco met de verspreiding van hun patches.

Kaminsky heeft ook DNS Checker op zijn website geplaatst waar particulieren kunnen controleren of hun providers alle benodigde patches heeft gedownload en geïnstalleerd om dit probleem te verhelpen. De DNS Checker is te vinden op http://www.doxpara.com/ waar je alleen op het knopje “Check my DNS” moet op klikken om te zien of je veilig kunt internetten.

Toen ik deze test op de fractiekamer van de PvdA op het stadhuis deed, kreeg ik zeer verontrustend resultaat:
“Your name server, at 145.222.138.167, appears vulnerable to DNS Cache Poisoning. All requests came from the following source port: 10601
Due to events outside our control, details of the vulnerability have been leaked. Please consider using a safe DNS server, such as OpenDNS.”
Deze tests heb ik ook thuis en op mijn werk uitgevoerd met een totaal andere resultaat:
Your name server, at XXX.XXX.XXX.XXX, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100…).

Gezien het bovenstaande hebben ondergetekenden de eer, namens de fractie van de PvdA, op grond van artikel 42 van het Reglement van Orde voor de gemeenteraad de volgende schriftelijke vragen te stellen:

1. Is het college op de hoogte van deze cruciale beveiligingslek in het Domain Name System? Zo nee, waarom niet?

2. Is het juist dat de taken en werkzaamheden die behoren bij het vanuit het gemeentelijke netwerk gebruiken van DNS zijn uitbesteed? Zo ja, welke zijn de daarbij vastgelegde kwaliteitseisen op het gebied van het alert reageren op bekend geworden beveiligingsproblemen?

3. Kan het college ons schriftelijke uitleggen dat een de test, uitgevoerd is op het stadhuis op 14 augustus – anderhalf maand na het verspreiden van het patch – laat zien dat de door de gemeente gebruikte servers nog steeds “vulnerable” zijn voor dit probleem? Zo ja, wilt u daarbij ook voegen een feitenrelaas waaruit blijkt bij wie binnen de gemeente c.q. bij de leveranciers wat en wanneer bekend was over dit probleem en voorts ook aangeven wat de afgesproken protocollen in deze zijn?

4. Kan het college aangeven welke consequenties deze kwetsbaarheid kan hebben voor de gemeente, haar werkprocessen en haar personeel?

5. Acht het college het onwenselijk dat de gemeente veel langer dan andere organisaties en particulieren in ons land onbeschermd is gelaten? Zo nee, waarom niet? Zo ja, wat zijn uw conclusies over welke verantwoordelijken en wat zijn het ondernemen acties?

6. Deelt het college onze mening dat de verantwoordelijke toeleverancier(s) incompetentie mag worden verweten? Zo nee, waarom niet? Zo ja, wat gaat het college doen om de basale informatiebeveiliging van de gemeente te verzekeren?

De leden van de gemeenteraad,
S. Gazic