Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 104, views: 41.074 •

De overheid heeft het authenticatieplatform DigiD offline gehaald nadat er een beveiligingsprobleem in Ruby on Rails is ontdekt. Het zou gaan om een 'ernstig lek'. Het platform is waarschijnlijk donderdag pas weer online.

DigiD embleemOp zijn website geeft DigiD op dit moment enkel de mededeling weer dat de site 'op dit moment niet beschikbaar' is. Woordvoerder Michiel Groeneveld van Logius, de ict-organisatie van de overheid, bevestigt dat dat het gevolg is van een beveiligingsprobleem, zoals Nu.nl eerder ontdekte.

Het gaat om een ernstig beveiligingsprobleem: daarom is ervoor gekozen om het systeem offline te halen. "We wilden het zekere voor het onzekere nemen", aldus Groeneveld. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen." Het uitrollen van de patch moet wat Logius betreft zo zorgvuldig mogelijk gebeuren. "We willen niet met een patch een ander beveiligingsprobleem veroorzaken", aldus Groeneveld.

Dinsdagavond werd het beveiligingsprobleem bekend; woensdagmorgen was Logius op de hoogte en werd ervoor gekozen om het systeem offline te halen. Dat betekent dat DigiD vannacht dus kwetsbaar was. "Daar gaat wat tijd overheen. Je gaat ook niet zomaar DigiD uit de lucht halen." Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

Vorige week brachten de ontwikkelaars van Ruby on Rails ook al een beveiligingspatch uit naar aanleiding van een beveiligingsprobleem. Op Digid.nl is te lezen dat de dienst waarschijnlijk pas donderdagmorgen weer te gebruiken is.

Update, 15:27: Reactie Logius toegevoegd.

Reacties (104)

Reactiefilter:-1104096+162+214+33
de informatica afdeling van de overheid ??
Ik weet niet of het al eerder publiekelijk bekend was dat DigiD op RoR is gebouwd maar nu in ieder geval wel.

Waarom zeg ik dit. Wanneer er nu in de toekomst een lek RoR wordt ontdekt (al dan niet en public) kan dat door kwaadwillenden direct misbruikt worden op de DigiD site.... Lijkt me ook niet erg prettig.

[Reactie gewijzigd door RRX op 9 januari 2013 16:07]

Ja, en?

Dat geldt voor elk willekeurig platform. Bij overheidsprojecten zijn zoveel mensen betrokken, dat dit soort basisinformatie niet geheim te houden is. Dat geeft alleen maar een vals gevoel van veiligheid.

Je moet er dus sowieso van uit gaan dat bekend is op welk platform (OS, webserver, framework, database, etc.) de boel draait.

Security through obscurity and all that...

[Reactie gewijzigd door Herko_ter_Horst op 9 januari 2013 17:09]

Gelukkig hebben ze het optijd opgespoord. Als het actief misbruikt zou worden zou de digitale overheid compleet ontspoort zijn. Ben benieuwd hoelang het duurt om alles weer op de rails te krijgen. :+

[Reactie gewijzigd door Blonde Tux op 10 januari 2013 10:02]

Altijd zo gedoe met DigiD , wilt echt met moeite fatsoenlijk werken ook
Hier NOOIT problemen mee gehad.
Je kunt DigiD kun je niet gebruiksvriendelijk noemen. Te omslachtig.
Ik heb één simpele vraag: hoeveel andere grote websites, die RoR gebruiken, worden omwille van deze bug 2 dagen helemaal offline gehaald? Juist... nul.

Overheidswebsites tellen niet mee :P
Ja het is vervelend dat DigiD offline is. Echter, hier heeft Logius een goede stap gezet en zeer snel ook. Hoeveel bedrijven houden exact en snel bug reports en patches bij? Ik durf te wedden dat er nu genoeg sites draaien met de bug.
Volgens het ANP is Digid weer in de lucht, maar op werk.nl kan je nog niet inloggen 'wegens storing van Digid', en verwijst naar digid.nl. Daar is vervolgens niets te zien: het laatste nieuws is van mei 2012.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013