Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 104 reacties

De overheid heeft het authenticatieplatform DigiD offline gehaald nadat er een beveiligingsprobleem in Ruby on Rails is ontdekt. Het zou gaan om een 'ernstig lek'. Het platform is waarschijnlijk donderdag pas weer online.

DigiD embleemOp zijn website geeft DigiD op dit moment enkel de mededeling weer dat de site 'op dit moment niet beschikbaar' is. Woordvoerder Michiel Groeneveld van Logius, de ict-organisatie van de overheid, bevestigt dat dat het gevolg is van een beveiligingsprobleem, zoals Nu.nl eerder ontdekte.

Het gaat om een ernstig beveiligingsprobleem: daarom is ervoor gekozen om het systeem offline te halen. "We wilden het zekere voor het onzekere nemen", aldus Groeneveld. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen." Het uitrollen van de patch moet wat Logius betreft zo zorgvuldig mogelijk gebeuren. "We willen niet met een patch een ander beveiligingsprobleem veroorzaken", aldus Groeneveld.

Dinsdagavond werd het beveiligingsprobleem bekend; woensdagmorgen was Logius op de hoogte en werd ervoor gekozen om het systeem offline te halen. Dat betekent dat DigiD vannacht dus kwetsbaar was. "Daar gaat wat tijd overheen. Je gaat ook niet zomaar DigiD uit de lucht halen." Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

Vorige week brachten de ontwikkelaars van Ruby on Rails ook al een beveiligingspatch uit naar aanleiding van een beveiligingsprobleem. Op Digid.nl is te lezen dat de dienst waarschijnlijk pas donderdagmorgen weer te gebruiken is.

Update, 15:27: Reactie Logius toegevoegd.

Reacties (104)

Reactiefilter:-1104096+162+214+33
Moderatie-faq Wijzig weergave
1 2 3 ... 6
Nee, maar het geeft wel aan hoe een commerciŽle vendor waar je van afhankelijk bent omgaat met security.
Ach, ik denk dan ook dat er niemand in de Java wereld blij is met Oracle. Tegelijk denk ik dat er zeer zelden bugs in Java remote exploitable zullen zijn in het geval van webapps, en dat als ze er zijn deze bijna altijd te patchen zijn door een derde. Wat dat betreft is er geen afhankelijkheid van Oracle.

Afhankelijk van de leverancier zou je zijn als de software closed-source is, bijvoorbeeld met de MS/Windows/.NET stack. Het is wat mij betreft daarom ook erg belangrijk dat je stack open-source is, maar daarnaast is wat commerciŽle support toch mooi meegenomen wanneer mogelijk.
Op straat kan ik me toch ook met meerdere IDs legitimeren, afhankelijk van je verhuisgedrag zelfs door meerdere gemeentes uitgegeven.

Een verkoop transactie van een huis kan ik bij meerdere notarissen doen: die doen de hele verificatie.

Diverse instanties buiten de overheid kunnen in de GBA kijken/controleren, dus dat lijkt me ook niet echt een probleem.

De belastingdienst kan ik op meer dan 1 rekening betalen (ze hebben o.a. rekeningen bij de Rabobank en de ING), dus daar heb je ook failover.

Ik snap dat het een afweging is, maar het feit dat het nu 1 systeem is maakt het extra kritisch.

Complimenten overigens dat ze het binnen 24 uur weer in de lucht hadden.
Nee, maar het geeft wel aan hoe een commerciŽle vendor waar je van afhankelijk bent omgaat met security.
Ik heb bij ons ook met beheer gesproken, maar ook zij hebben niets ontvangen. Dan lijkt er ook nog eens iets mis met de notificatie van Logius :)
Ja, alleen heeft dit bar weinig betrekking op webapplicaties, gezien het om een sandbox lek gaat. Een taal als Ruby heeft niet eens een sandbox, dus de vergelijking gaat nogal mank.
En wat je bedoeld met encoded en niet automatisch snap ik al helemaal niks van
Misschien moet je er dan niets over zeggen en aannemen dat ik wel weet waar ik het over heb, als jij niet weet waar je het over hebt. In het geval van SAML zijn de assertions base64 en urlencoded. Deze zal Rails dus niet automatisch gaan interpreteren en een WAF kan dus prima de geldigheid van de data afdwingen in relatie tot dit lek.

Gezien je verdere persoonlijke aanvallen zal ik maar niet op de rest van je reactie ingaan.
Onzin. Het is juist andersom. Een framework wat door veel partijen wordt gebruikt is veel meer ondersteuning voor. Er worden bugs gevonden en meteen gefixt. Met een eigen custom prutje heb je veel zelfgeschreven beveiligingsgaten die nooit gevonden worden, totdat een hacker ze misbruikt. Als je iets geeft om security probeer je niet iets zelf in elkaar te prutsen. Vooral niet als je de overheid bent, die staan niet bekend om hun goede security.
Ik vind het juist goed dat ze ruby on rails gebruiken. Er is een grote community omheen en daardoor veel kennis beschikbaar. Je ziet al een deze fixes en de snelle release dat ze security daar serieus nemen. En bovendien is RoR goed in het snel kunnen ontwikkelen van applicaties. Je hoeft niet telkens opnieuw het wiel uit te vinden omdat er voor een hoop zaken gems beschikbaar zijn. Dat scheelt ons allemaal belastinggeld.
Dat de gehele applicatie, inclusief het basale inlogdeel, offline moet om deze reden, toont juist aan dat het systeem matig is opgezet en het weer een typisch overheids ICT project is.
Dat de applicatie offline moet toont dat helemaal niet aan. Dat toont aan dat ze security tegenwoordig meer serieus nemen en liever het zekere voor het onzekere nemen. Maarja, er zijn altijd kortzichtige betweters die altijd iets te mekkeren hebben. Als het systeem in de lucht blijft komt er kritiek, als het systeem offline gaat komt er kritiek.
En waarom? Heb je zo'n hekel aan de overheid dat je je genoodzaakt voelt om alles af te zeiken wat ze doen?
Daarom moet je ook geen proxies in Rails schrijven, maar in iets waarvan je de correcte werking eenvoudiger kan controleren.
Ga jij maar lekker je eigen proxies schrijven dan. Succes met het overtuigen van je baas waarom jouw bedrijf z'n eigen proxy nodig heeft en niet een van de vele bestaande oplossingen gebruikt.
Overigens kun je in rails prima de correcte werking aantonen. Rails heeft prima ondersteuning voor het testen van code, zoals unit tests, functional tests en integration tests. Maar goed, ik heb het idee dat je helemaal geen verstand hebt van programmeren, ik las hieronder al dat je niet eens weet waarvoor XML wordt gebruikt.
Vertel eens wat er zo speciaal is aan DigiD dan? Ben benieuwd...
Misschien het feit dat als je DigiD kan hacken, dat je een heleboel overheidssystemen in kan en grote hoeveelheden vertrouwelijke gegevens kan downloaden? |:(
De "security fix" is een nieuwe release van het framework. Ze moeten natuurlijk niet alleen de fix testen, maar ook of de hele applicatie nog werkt op die nieuwe versie. Er kunnen namelijk nog meer dingen gewijzigd zijn dan alleen die fix.

En als jij blind vertrouwd op een firewall hoop ik niet dat ik ooit met jou samen moet werken. Firewalls zijn redelijk domme dingen en een echte hack houden ze toch niet tegen.
Ik vind het goed dat de overheid het plat gooit bij een kritiek lek, zodat ze het in alle rust kunnen testen. Jammer dan, dat je het een dag niet kan gebruiken, maar wat wil je dan? Het zoveelste geval van een datalek omdat ze net zo dom dachten als jij en erop vertrouwde dat er toch niks mis zou gaan?
Volgens het ANP is Digid weer in de lucht, maar op werk.nl kan je nog niet inloggen 'wegens storing van Digid', en verwijst naar digid.nl. Daar is vervolgens niets te zien: het laatste nieuws is van mei 2012.
Tsja, Java, dan moet je een kwartaal op Oracle wachten voordat er kritieke lekken gefixt worden.
http://threatpost.com/en_...ruary-patch-update-101712

[Reactie gewijzigd door alef op 10 januari 2013 00:24]

1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True