Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 30, views: 20.806 •

Overheidsinstantie Logius legt DigiD over anderhalve week zes uur plat om een kwetsbaarheid aan de servers te verhelpen. Het zou wellicht gaan om een kwetsbaarheid die vorige maand openbaar is gemaakt door een beveiligingsbedrijf.

DigiD zal niet werken op maandag 6 februari van twaalf uur 's nachts tot zes uur 's ochtends, blijkt uit een melding van Logius die door NOS-verslaggever Jeroen Wollaars online is gezet. In die tijd kan niemand dus inloggen met zijn of haar DigiD. Logius voert in die tijd een serverupgrade uit, waardoor de servers achter DigiD niet langer kwetsbaar zijn voor een Denial of Service-aanval. Logius geeft verder geen details over de aard van de kwetsbaarheid. Volgens de NOS kan het ook zijn dat Logius de kwetsbaarheid eerder verhelpt.

Security.nl brengt de melding in verband met een kwetsbaarheid die door het beveiligingsbedrijf n.runs is geopenbaard. Bij het exploiteren van die kwetsbaarheid, die bestaat in verschillende programmeertalen, kunnen kwaadwillenden een DoS-aanval uitvoeren door middel van hash collisions. Door die hash collisions kan de kwaadwillende de cpu van een server volledig belasten, waardoor die geen andere verzoeken meer aankan en dus niet meer bereikbaar is.

Logius: DigiD plat om kwetsbaarheid op servers te verhelpen (bron: @wol)

Reacties (30)

Toppie, 's nachts kan je vaker op bepaalde sites niet inloggen en van 2 tot 6... Denk niet dat er veel problemen ondervonden worden door gebruikers. Blij dat er in ieder geval 1 overheidinstantie is die veiligheid belangrijk vindt...
kwetsbaar en online blijven... strakke actie!
Het gaat om een kwetsbaarheid voor een DoS-aanval. In zo'n geval gaat de boel plat maar is de veiligheid van gegevens niet in het geding. Je kunt dus de boel preventief platgooien zodat een ander dat niet voor je doet, maar wat daar het nut van is... }:O
Het is natuurlijk wel degelijk nuttig, Digid is een behoorlijk 'belangrijk' systeem, dat moet niet te makkelijk plat te leggen zijn. Maar 6 uur is wel erg lang voor het verhelpen van een bekend probleem... Tenzij ze maar gelijk besloten hebben om over te gaan op andere software, maar zelfs dan is het lang.

[Reactie gewijzigd door abandoned op 28 januari 2012 00:48]

Is 6 uur lang voor het verhelpen van een bekend probleem? Als je niet precies weet (Technisch) hoe het probleem in elkaar zit kun je daar toch ONMOGELIJK een uitspraak over doen?
Als het een kwetsbaarheid is als deze lijkt te zijn is het 'kwaad' wat aangericht kan worden (niet bereikbare DigiD servers door een DoS) nog wel te overzien. Dan kan je beter een onderhoudswindow inplannen dan dat je in paniek al je servers offline haalt (wat veel meer schade toebrengt).

<edit> In het geval dat je zin niet als sarcasme is bedoeld maar je het werkelijk meent: Inderdaad, een strakke actie. Een overheidsinstantie die keurig de risico's tegen elkaar afweegt (schade door DoS, schade door ongeplande downtime) en beheerst z'n besluiten neemt. Goh, het lijkt wel of ze eindelijk professioneel worden daar bij de overheid ;)

<edit2> inderdaad DoS, niet DDoS, dank je Senzune. Dus in theorie zou dan een computer genoeg moeten zijn om een DigiD server lam te leggen. Dus hierbij een oproep aan iedereen: even anderhalve week netjes zijn, dan kan ik tenminste rustig mijn belastingaangifte versturen. Tenzij je natuurlijk vindt dat DigiD de wederkomst is van de duivel op aarde; in dat geval kannoneer ze.

[Reactie gewijzigd door jiriw op 27 januari 2012 17:33]

Het gaat hier wel om een DoS, in plaats van een DDoS, uitgaande van het artikel. Ik vermoed dat met genoeg vuurkracht in een ionenkanon de service toch nog onderuit gehaald kan worden.
Ja, is wel vreemd dat ze erbij zeggen wat de kwetsbaarheid is en dan anderhalve week open laten staan.
Niet echt verstandig en onnodig; niemand hoeft dit te weten.
De kwetsbaarheid was al bekend. Anderhalve week klinkt wat lang, maar je weet niet welke voorbereiding noodzakelijk is. In dit geval zou ik er juist wel voor kiezen om de aard van de kwetsbaarheid erbij te zetten; dat stelt mensen gerust omdat ze niet hoeven te vrezen voor hun gegevens.
Het gaat om een DOS kwetsbaarheid. Dat wil dus niet zeggen dat er potentieel gegevens buit gemaakt kunnen worden. Dus dan gewoon online blijven en een goed maintenance window schedulen lijkt mij een goede keuze.
Niet te geloven, wat een gepruts! 8)7

De hash collision vulnerability kan je met een application firewall of een load-balancer makkelijk afvangen. Zelf al wil/moet je je application servers herconfigureren/patchen dan moet dat eenvoudig zonder downtime kunnen. Als dat niet kan dan heb je een ernstige architectuurfout gemaakt waar iemand eens goed naar moet kijken.
Niet te geloven, wat een gepruts! 8)7

De hash collision vulnerability kan je met een application firewall of een load-balancer makkelijk afvangen. Zelf al wil/moet je je application servers herconfigureren/patchen dan moet dat eenvoudig zonder downtime kunnen. Als dat niet kan dan heb je een ernstige architectuurfout gemaakt waar iemand eens goed naar moet kijken.
Misschien is dat bij het ontwerp ingecalculeerd en zijn er kosten gedrukt omdat men normaalgesproken de DigiD dienst niet nodig hebt in de nacht van zondag op maandag.
Waarschijnlijk vinden zij een application firewall of een load-balancer juist gepruts...

Ik vermoed zomaar dat die er momenteel al tussenzit en dat die het tijdelijk opvangt.

Over anderhalve week komt dan de echte patch die ervoor zorgt dat het nergens meer kan en dat kost simpelweg tijd.
Neem van mij aan dat DIGID al wel een load balancer gebruikt! Zou vreemd zijn als heel Nederland op 1 terminal inlogd!?
Maar hebben ze dan geen normaal onderhoudswindow waarin dit soort patches installed worden ?
En dan neem ik aan dat ze meerdere loadbalanced webservers hebben, waardoor je gewoon zonder downtime van je website deze patches kan installeren ?
Ik heb voor de aardigheid eens op de Logius website gekeken... De Gepland onderhoud pagina is blanco. Of hij is niet bijgewerkt of ze hebben normaalgesproken geen gepland onderhoud.

http://www.logius.nl/actueel/onderhoud/
"Ze kunnen misbruikt worden voor ddos" klinkt toch alsof het een ander probleem is dan die hash-collisions.

Sowieso is dat probleem te verhelpen door de suhosin-patch (iig bij PHP) waarvoor alleen een korte restart per server nodig is, van max. een paar seconden om bijv. 04u 's nachts.
Het kwijtraken van codes ligt toch echt bij jou. Dat is geen reden het bedrijf zwart te maken.
Het werkt prima. 1 login voor gemeente, mijn overheid, belastingdienst en mijn zorgverzekeraar. Welk alternatief heb jij dat beter werkt en veiliger is?

(en voor studenten ook nog de niet te onderschatten IB Groep/DUO...), voor anderen Mijn Pensioen, etc)

[Reactie gewijzigd door Helsie op 27 januari 2012 20:23]

Haha grappig, ik ga volgende week dezelfde fix uitrollen bij een niet nader te noemen telecombedrijf. Alleen heb ik er welgeteld 5 minuten voor nodig. Begin ik me toch weer af te vragen hoe ze deze patch erin gaan draaien...
Wellicht gaan ze ook nog wat hardware vervangen etc?
Beetje gewaagd om nu al te zeggen dat ze over anderhalve week even plat gaan om een fix voor een mogelijke DOS aanval aan te brengen. Dat is bijna een uitnodiging.
Wat een telegraaf bericht zeg, alsof dit zo'n ontzettende scoop is. :z

Meeste onderhoudswindows zijn een stuk korter, maar dit is gewoon een aangegeven ruimte waarin het plaatsvindt. Beter vooraf een ruimere marge nemen zodat je bij roll back nog tijd hebt om terug te gaan (en vooraf ook de roll back mogelijk te maken), dan tijdens het onderhoud je onderhoudswindow moeten uitbreiden. Maar al die nerds hier met hun thuispc weten het natuurlijk een stuk beter.

[Reactie gewijzigd door Helsie op 27 januari 2012 20:25]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013