Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 104 reacties, 41.501 views •

De overheid heeft het authenticatieplatform DigiD offline gehaald nadat er een beveiligingsprobleem in Ruby on Rails is ontdekt. Het zou gaan om een 'ernstig lek'. Het platform is waarschijnlijk donderdag pas weer online.

DigiD embleemOp zijn website geeft DigiD op dit moment enkel de mededeling weer dat de site 'op dit moment niet beschikbaar' is. Woordvoerder Michiel Groeneveld van Logius, de ict-organisatie van de overheid, bevestigt dat dat het gevolg is van een beveiligingsprobleem, zoals Nu.nl eerder ontdekte.

Het gaat om een ernstig beveiligingsprobleem: daarom is ervoor gekozen om het systeem offline te halen. "We wilden het zekere voor het onzekere nemen", aldus Groeneveld. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen." Het uitrollen van de patch moet wat Logius betreft zo zorgvuldig mogelijk gebeuren. "We willen niet met een patch een ander beveiligingsprobleem veroorzaken", aldus Groeneveld.

Dinsdagavond werd het beveiligingsprobleem bekend; woensdagmorgen was Logius op de hoogte en werd ervoor gekozen om het systeem offline te halen. Dat betekent dat DigiD vannacht dus kwetsbaar was. "Daar gaat wat tijd overheen. Je gaat ook niet zomaar DigiD uit de lucht halen." Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

Vorige week brachten de ontwikkelaars van Ruby on Rails ook al een beveiligingspatch uit naar aanleiding van een beveiligingsprobleem. Op Digid.nl is te lezen dat de dienst waarschijnlijk pas donderdagmorgen weer te gebruiken is.

Update, 15:27: Reactie Logius toegevoegd.

Reacties (104)

Reactiefilter:-1104096+162+214+33
Moderatie-faq Wijzig weergave
"Foutje, bedankt, graag gedaan". Leuk weer dit. Net nu ik formulieren moet invullen.
Wat een toeval, wil net gaan inloggen. Zijn ze bezig met onderhoud, en zie ik dit opeens :+
Ja het is vervelend dat DigiD offline is. Echter, hier heeft Logius een goede stap gezet en zeer snel ook. Hoeveel bedrijven houden exact en snel bug reports en patches bij? Ik durf te wedden dat er nu genoeg sites draaien met de bug.
Ik heb één simpele vraag: hoeveel andere grote websites, die RoR gebruiken, worden omwille van deze bug 2 dagen helemaal offline gehaald? Juist... nul.

Overheidswebsites tellen niet mee :P
Gelukkig hebben ze het optijd opgespoord. Als het actief misbruikt zou worden zou de digitale overheid compleet ontspoort zijn. Ben benieuwd hoelang het duurt om alles weer op de rails te krijgen. :+

[Reactie gewijzigd door Blonde Tux op 10 januari 2013 10:02]

Hier nog wat interessant leesvoer wat ik vond over het exploiteren van het lek: http://www.insinuator.net/2013/01/rails-yaml/

(use at own risk)

[Reactie gewijzigd door Sniffert op 9 januari 2013 13:44]

Op NU.nl word gesproken dat de lek in het platform onder DigID zit en niet in DigID zelf. dus na mijn weten kan de overheid hier vrijweinig aan doen aangezien zij in deze gewoon afnemers zijn van een dienst. Dus ik vind dat hier niet de overheid beschuld dient te woren van weer een slecht project. als het echt in de onderliggende systemen van DigID ligt.

En er kunnen altijd fouten worden worden gemaakt, een ICT project waarbij je later geen patches of aanpassingen in hoeft te doen bestaan gewoon weg niet.
Systemen
Het bijwerken van de systemen kan enkele uren duren. "Dat moeten we zorgvuldig doen om eventuele ongewenste neveneffecten van de update uit te sluiten", aldus de zegsman. Hij benadrukt dat de problemen niet in DigiD zelf zitten maar in het platform, waarop de dienst is gebouwd.http://www.nu.nl/internet...line-lek-in-platform.html
Wel fijn dat zij het platform eerder offline halen, dan dat eventuele hackers zouden doen. Nu hopen dat er geen misbruik van is geweest!
Ik weet niet of het al eerder publiekelijk bekend was dat DigiD op RoR is gebouwd maar nu in ieder geval wel.

Waarom zeg ik dit. Wanneer er nu in de toekomst een lek RoR wordt ontdekt (al dan niet en public) kan dat door kwaadwillenden direct misbruikt worden op de DigiD site.... Lijkt me ook niet erg prettig.

[Reactie gewijzigd door RRX op 9 januari 2013 16:07]

Ja, en?

Dat geldt voor elk willekeurig platform. Bij overheidsprojecten zijn zoveel mensen betrokken, dat dit soort basisinformatie niet geheim te houden is. Dat geeft alleen maar een vals gevoel van veiligheid.

Je moet er dus sowieso van uit gaan dat bekend is op welk platform (OS, webserver, framework, database, etc.) de boel draait.

Security through obscurity and all that...

[Reactie gewijzigd door Herko_ter_Horst op 9 januari 2013 17:09]

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True