Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 104, views: 41.093 •

De overheid heeft het authenticatieplatform DigiD offline gehaald nadat er een beveiligingsprobleem in Ruby on Rails is ontdekt. Het zou gaan om een 'ernstig lek'. Het platform is waarschijnlijk donderdag pas weer online.

DigiD embleemOp zijn website geeft DigiD op dit moment enkel de mededeling weer dat de site 'op dit moment niet beschikbaar' is. Woordvoerder Michiel Groeneveld van Logius, de ict-organisatie van de overheid, bevestigt dat dat het gevolg is van een beveiligingsprobleem, zoals Nu.nl eerder ontdekte.

Het gaat om een ernstig beveiligingsprobleem: daarom is ervoor gekozen om het systeem offline te halen. "We wilden het zekere voor het onzekere nemen", aldus Groeneveld. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen." Het uitrollen van de patch moet wat Logius betreft zo zorgvuldig mogelijk gebeuren. "We willen niet met een patch een ander beveiligingsprobleem veroorzaken", aldus Groeneveld.

Dinsdagavond werd het beveiligingsprobleem bekend; woensdagmorgen was Logius op de hoogte en werd ervoor gekozen om het systeem offline te halen. Dat betekent dat DigiD vannacht dus kwetsbaar was. "Daar gaat wat tijd overheen. Je gaat ook niet zomaar DigiD uit de lucht halen." Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

Vorige week brachten de ontwikkelaars van Ruby on Rails ook al een beveiligingspatch uit naar aanleiding van een beveiligingsprobleem. Op Digid.nl is te lezen dat de dienst waarschijnlijk pas donderdagmorgen weer te gebruiken is.

Update, 15:27: Reactie Logius toegevoegd.

Reacties (104)

Reactiefilter:-1104096+162+214+33
1 2 3 ... 6
Edit: Zie de reactive van bartvb hier onder voor de juiste bug.

--------------

http://www.eweek.com/deve...ot-widespread-researcher/

Zou het daar over kunnen gaan? :)
most applications are not vulnerable unless they use Authlogic, a third-party authentication framework, and have exposed their secret session key
Dat klinkt toch als een ernstige fout van de overheid en niet van Ruby dan. :P

[Reactie gewijzigd door Mraedis op 9 januari 2013 13:14]

Wel fijn dat zij het platform eerder offline halen, dan dat eventuele hackers zouden doen. Nu hopen dat er geen misbruik van is geweest!
Het zal wel het bekende overposting probleem van rails zijn, gok ik zo.
Eigenlijk moet dit toch haast onmogelijk zijn bij een overheid. Je moet er vanuit kunnen/mogen gaan dat dit soort belangrjike gegevens echt goed beveiligd zijn. Dat de werkelijkheid anders is weet ik, maar dit is al de zoveelste overheid ict blunder in afzienbare tijd.

Wellicht tijd voor een frisse wind door de ICT van de overheid?
Ongelooflijk, makkelijker kunnen we het niet maken.
Handig al die sites die van digid gebruik maken.

Zorgverzekering, werkplein, belastingdienst enz.
Hopelijk snel verholpen

[Reactie gewijzigd door krotwijk op 9 januari 2013 13:09]

Nee. Het gaat hoogstwaarschijnlijk over CVE-2013-0156 (affects: all versions & remote exploitable)
Als het door RoR komt dan betekend het dat hun sleutel dus is gelekt of dat ze gewoonweg een eventuele standaardsleutel niet hebben aangepast. Gezien het doel van DigiID kan dit potentieel ernstig zijn. Je kunt je dan bij de overheid digitaal uitgeven als iemand anders en dat is natuurlijk wel ernstig misbruik.

Dat het zo plotseling offline wordt gehaald zou kunnen wijzen dat er al misbruik van is gemaakt, sterker nog ik vermoed het.

@Egrimm;

Natuurlijk zou dat ook kunnen. ;)

Maar tenzij de update niet silent kan worden doorgevoerd lijkt mij dit eerder een misbruikte exploit. Ik ben altijd wat sceptischer wat dat betreft. Natuurlijk geld hier, net zoals bij intro van Red Alert de welbekende one-liner: "Time will tell. Sooner or later, time will tell."

[Reactie gewijzigd door Auredium op 9 januari 2013 13:23]

Volgens mij is dit geen blunder hoor. Er is gewoon een lek ontdekt in Ruby, waar DigiD op gebouwd is. Dat kan gebeuren, net als dat er beveiligingslekken in Windows zitten. Dat ze de boel nu offline halen is vervelend, maar de enige juiste zet.
Nee, gaat over dit probleem:

http://arstechnica.com/se...s-more-than-200000-sites/
"An attack can send a request to any Ruby on Rails sever and then execute arbitrary commands. Even though it's complex, it's reliable, so it will work 100 percent of the time."
Kan de overheid weinig aan doen dus, vrijwel alle sites die op Ruby draaien hebben hier last van.
Lijkt me inderdaad de meest voor de hand liggende oorzaak. Opvallend dat de overheid er dan blijkbaar een week over doet, na bekendmaking van de CVE, om over te gaan tot actie.
http://weblog.rubyonrails...-0-18-have-been-released/
https://groups.google.com...ails-security/DCNTNp_qjFM

Vooral bij zoiets kritieks als DigiD verwacht je toch dat er binnen 1-2 dagen duidelijkheid is of het systeem vatbaar is voor het lek en of en welke actie ondernomen moet worden.


Ah, denk dat bartvb gelijk heeft. Dat is een nieuwere CVE.
https://groups.google.com...ty/61bkgvnSGTQ/discussion

Bovenstaande neem ik dus terug :)


@YopY
Blijkbaar niet, want in dit geval is de overheid er erg snel bij. Als het om bovenstaande CVE gaat althans :)

[Reactie gewijzigd door SidewalkSuper op 9 januari 2013 13:20]

Ik vind dat juist alle lof naar de overheid moet gaan: er zijn maar weinig organisaties die zo'n belangrijke stap zouden nemen om te voorkomen dat er gegevens gelekt worden.
Mwa, je kunt software niet perfect maken. Dat dit soort dingen kunnen voorkomen is een feit. Ik vind het juist goed dat hier, voor zover ik dat kan zien, adequaat op gereageerd wordt door de zaak offline te halen.

Dat vind ik een stuk beter dan wat er bijvoorbeeld bij het EPD gebeurt, waar men willens en wetens een lek systeem uit wil rollen.
Ze gebruiken software waar een lek in is ontdekt, en nemen actie. Waarom is dat een blunder?
In zo een 90% van de ICT zaken van de overheid word dit uitbesteed, zo ook bij DigiD. Het is dus vaak niet zo dat de overheid zelf het probleem niet op kan lossen maar meer dat er vaak voor de goedkoopste oplossing (lees ICT partner) word gekozen die vaak geen of niet genoeg kennis en controle hebben over het product.

Als de overheid nu eens zou investeren in eigen kennis en personeel, dan misschien zou je een systeem kunnen ontwikkelen dat beter aansluit op de bestaande infrastructuur. Helaas is het vaak zo dat elk eilandje binnen de overheid zijn eigen koning/keizer/admiraal heeft, en dat deze allemaal hun eigen bewindt voeren als het hier op aan komt.

ICT zal altijd het ondergeschoven kindje zijn, dus verwacht niet dat dit in de nabije toekomst gaat veranderen. Zeker niet met de bezuinigingen.
Maar dan moet er natuurlijk wel iemand zijn die constant dit soort zaken in de gaten houdt en aan de alarmbel trekt. Zelfs als er aan de alarmbel getrokken wordt moeten dit soort beslissingen eerst door een aantal managementniveaus voordat besloten wordt heel DigID offline te halen.
Wat een toeval, wil net gaan inloggen. Zijn ze bezig met onderhoud, en zie ik dit opeens :+
Beetje kort door de bocht. Bugs en foutjes zullen in elk stukje software zitten. De lek waar het hier waarschijnlijk over gaat is ook pas net ontdekt en openbaar geworden dus dan kun je het echt nog niet verwijten. Bugfree software bestaat gewoon niet en daarom het is belangrijker om te kijken hoe ze ermee om gaan en in dit geval is daar niks mis mee. Ze hebben het platform meteen offline gehaald toen ze de bug hebben gevonden en werken nu aan een fix.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Smartphones Beheer en beveiliging Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013