Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update
De overheid heeft het authenticatieplatform DigiD offline gehaald nadat er een beveiligingsprobleem in Ruby on Rails is ontdekt. Het zou gaan om een 'ernstig lek'. Het platform is waarschijnlijk donderdag pas weer online.
Op zijn website geeft DigiD op dit moment enkel de mededeling weer dat de site 'op dit moment niet beschikbaar' is. Woordvoerder Michiel Groeneveld van Logius, de ict-organisatie van de overheid, bevestigt dat dat het gevolg is van een beveiligingsprobleem, zoals Nu.nl eerder ontdekte.
Het gaat om een ernstig beveiligingsprobleem: daarom is ervoor gekozen om het systeem offline te halen. "We wilden het zekere voor het onzekere nemen", aldus Groeneveld. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen." Het uitrollen van de patch moet wat Logius betreft zo zorgvuldig mogelijk gebeuren. "We willen niet met een patch een ander beveiligingsprobleem veroorzaken", aldus Groeneveld.
Dinsdagavond werd het beveiligingsprobleem bekend; woensdagmorgen was Logius op de hoogte en werd ervoor gekozen om het systeem offline te halen. Dat betekent dat DigiD vannacht dus kwetsbaar was. "Daar gaat wat tijd overheen. Je gaat ook niet zomaar DigiD uit de lucht halen." Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.
Vorige week brachten de ontwikkelaars van Ruby on Rails ook al een beveiligingspatch uit naar aanleiding van een beveiligingsprobleem. Op Digid.nl is te lezen dat de dienst waarschijnlijk pas donderdagmorgen weer te gebruiken is.
Update, 15:27: Reactie Logius toegevoegd.
Reacties (104)
Overheidswebsites tellen niet mee
[Reactie gewijzigd door Blonde Tux op donderdag 10 januari 2013 10:02]
Waarom zeg ik dit. Wanneer er nu in de toekomst een lek RoR wordt ontdekt (al dan niet en public) kan dat door kwaadwillenden direct misbruikt worden op de DigiD site.... Lijkt me ook niet erg prettig.
[Reactie gewijzigd door RRX op woensdag 9 januari 2013 16:07]
Dat geldt voor elk willekeurig platform. Bij overheidsprojecten zijn zoveel mensen betrokken, dat dit soort basisinformatie niet geheim te houden is. Dat geeft alleen maar een vals gevoel van veiligheid.
Je moet er dus sowieso van uit gaan dat bekend is op welk platform (OS, webserver, framework, database, etc.) de boel draait.
Security through obscurity and all that...
[Reactie gewijzigd door Herko_ter_Horst op woensdag 9 januari 2013 17:09]
Je MOET voor veel zaken DigiD gebruiken.
Wat als dat nu eens langdurig plat ligt?
Dat staat me ook tegen met dat hele OV chipkaart gebeuren: 1 monopolist, 1 centraal systeem.
Als er dan iets mis gaat, gaat het dan ook gierend mis omdat je een single point of failure hebt (organisatie, systeem, methode, noem maar op).
--jeroen
Je moet de voordelen afwegen tegen de nadelen. Ik heb liever dit dan dan elke hobbybob-systeembeheerder bij de Gemeente Jipsingboermussel het zelf een inlogsysteem regelt.
Als je alle diensten aan een matrix van (vaste) ID providers zou hangen wordt het aan de ene kant ingewikkelder, maar spreid je ook het risico.
Ik bedoel eigenlijk zoiets als StackOverflow doet:
- je logt per site in
- zij vertrouwen een aantal OpenID providers
- je kunt een OpenID provider kiezen die zij vertrouwen, en waar jij je OpenID van hebt
Dan heb je per dienst verbindingen met je ID providers, en keuze/concurrentie tussen de providers.
Minder kans op Single Point of Failure.
En inderdaad: het is en blijft een afweging, en het voordeel van Single Point of Failure is dat als het goed gaat je een Single Point of Success hebt.
Maar andere ID providers zoals Google, Microsoft Live, Facebook, Amazon zijn niet geschikt voor gebruik door de overheid omdat er geen totale controle is over die logingegevens en je je als overheid afhankelijk maar van commerciele partijen (die ook nog eens onder de Amerikaanse Patriot Act vallen). Bovendien is het bij die providers niet mogelijk te garanderen dat jij bent wie je zegt te zijn, dus de koppeling en verificatie met je GBA/BSN gegevens want die zijn niet voor derden toegankelijk ter verificatie.Nu zitten alle diensten vast aan 1 ID provider.
Wat je dus nodig hebt is een DIGID2 dat een kloon is van DIGID maar wel met een volkomen onafhankelijke eigen implementatie (want als dat ook RoR zou zijn dan zou dat voor dit geval nog niet hebben geholpen). De vraag is dan wie dat moet gaan betalen en is het risico op bugs of lekken met 2 onafhankelijke implementaties niet juist veel groter.
Ik zelf denk dat de huidige situatie de bestee is. Vervelend dat het ligt nu plat ligt (2e keer sinds het bestaan? [diginotar 1e keer?]) maar dit nadeel is volgens mij beter dan de alternatieven. Alles heeft een keerzijde en met dit kleine nadeel is denk ik heel goed te leven.
Een verkoop transactie van een huis kan ik bij meerdere notarissen doen: die doen de hele verificatie.
Diverse instanties buiten de overheid kunnen in de GBA kijken/controleren, dus dat lijkt me ook niet echt een probleem.
De belastingdienst kan ik op meer dan 1 rekening betalen (ze hebben o.a. rekeningen bij de Rabobank en de ING), dus daar heb je ook failover.
Ik snap dat het een afweging is, maar het feit dat het nu 1 systeem is maakt het extra kritisch.
Complimenten overigens dat ze het binnen 24 uur weer in de lucht hadden.
Daarnaast kan je aan zo'n bug weinig doen. Als zo'n kwetsbaarheid wordt ontdekt, zal je wel actie moeten ondernemen. Zeker als overheid zijnde. Het lijkt me vrij lastig om daarvoor een backup oplossing te verzinnen, als ik dit zo lees.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
