Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 104, views: 41.244 •

De overheid heeft het authenticatieplatform DigiD offline gehaald nadat er een beveiligingsprobleem in Ruby on Rails is ontdekt. Het zou gaan om een 'ernstig lek'. Het platform is waarschijnlijk donderdag pas weer online.

DigiD embleemOp zijn website geeft DigiD op dit moment enkel de mededeling weer dat de site 'op dit moment niet beschikbaar' is. Woordvoerder Michiel Groeneveld van Logius, de ict-organisatie van de overheid, bevestigt dat dat het gevolg is van een beveiligingsprobleem, zoals Nu.nl eerder ontdekte.

Het gaat om een ernstig beveiligingsprobleem: daarom is ervoor gekozen om het systeem offline te halen. "We wilden het zekere voor het onzekere nemen", aldus Groeneveld. "Met de downtime willen we misbruik voorkomen en de patch kunnen uitrollen en testen." Het uitrollen van de patch moet wat Logius betreft zo zorgvuldig mogelijk gebeuren. "We willen niet met een patch een ander beveiligingsprobleem veroorzaken", aldus Groeneveld.

Dinsdagavond werd het beveiligingsprobleem bekend; woensdagmorgen was Logius op de hoogte en werd ervoor gekozen om het systeem offline te halen. Dat betekent dat DigiD vannacht dus kwetsbaar was. "Daar gaat wat tijd overheen. Je gaat ook niet zomaar DigiD uit de lucht halen." Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

Vorige week brachten de ontwikkelaars van Ruby on Rails ook al een beveiligingspatch uit naar aanleiding van een beveiligingsprobleem. Op Digid.nl is te lezen dat de dienst waarschijnlijk pas donderdagmorgen weer te gebruiken is.

Update, 15:27: Reactie Logius toegevoegd.

Reacties (104)

Reactiefilter:-1104096+162+214+33
Volgens het ANP is Digid weer in de lucht, maar op werk.nl kan je nog niet inloggen 'wegens storing van Digid', en verwijst naar digid.nl. Daar is vervolgens niets te zien: het laatste nieuws is van mei 2012.
Ja het is vervelend dat DigiD offline is. Echter, hier heeft Logius een goede stap gezet en zeer snel ook. Hoeveel bedrijven houden exact en snel bug reports en patches bij? Ik durf te wedden dat er nu genoeg sites draaien met de bug.
Ik heb één simpele vraag: hoeveel andere grote websites, die RoR gebruiken, worden omwille van deze bug 2 dagen helemaal offline gehaald? Juist... nul.

Overheidswebsites tellen niet mee :P
Altijd zo gedoe met DigiD , wilt echt met moeite fatsoenlijk werken ook
Hier NOOIT problemen mee gehad.
Je kunt DigiD kun je niet gebruiksvriendelijk noemen. Te omslachtig.
Gelukkig hebben ze het optijd opgespoord. Als het actief misbruikt zou worden zou de digitale overheid compleet ontspoort zijn. Ben benieuwd hoelang het duurt om alles weer op de rails te krijgen. :+

[Reactie gewijzigd door Blonde Tux op 10 januari 2013 10:02]

Ik weet niet of het al eerder publiekelijk bekend was dat DigiD op RoR is gebouwd maar nu in ieder geval wel.

Waarom zeg ik dit. Wanneer er nu in de toekomst een lek RoR wordt ontdekt (al dan niet en public) kan dat door kwaadwillenden direct misbruikt worden op de DigiD site.... Lijkt me ook niet erg prettig.

[Reactie gewijzigd door RRX op 9 januari 2013 16:07]

Ja, en?

Dat geldt voor elk willekeurig platform. Bij overheidsprojecten zijn zoveel mensen betrokken, dat dit soort basisinformatie niet geheim te houden is. Dat geeft alleen maar een vals gevoel van veiligheid.

Je moet er dus sowieso van uit gaan dat bekend is op welk platform (OS, webserver, framework, database, etc.) de boel draait.

Security through obscurity and all that...

[Reactie gewijzigd door Herko_ter_Horst op 9 januari 2013 17:09]

de informatica afdeling van de overheid ??
Wat mij verbaast is dat er een Single Point of Failure is met de communicatie naar de overheid.

Je MOET voor veel zaken DigiD gebruiken.
Wat als dat nu eens langdurig plat ligt?

Dat staat me ook tegen met dat hele OV chipkaart gebeuren: 1 monopolist, 1 centraal systeem.
Als er dan iets mis gaat, gaat het dan ook gierend mis omdat je een single point of failure hebt (organisatie, systeem, methode, noem maar op).

--jeroen
Single Signon is vrijwel automatisch ook Single Point of Failure, dat is het idee ook. Als het wel werkt is het ook een Single Point of Succes :P

Je moet de voordelen afwegen tegen de nadelen. Ik heb liever dit dan dan elke hobbybob-systeembeheerder bij de Gemeente Jipsingboermussel het zelf een inlogsysteem regelt.
Nu zitten alle diensten vast aan 1 ID provider.
Als je alle diensten aan een matrix van (vaste) ID providers zou hangen wordt het aan de ene kant ingewikkelder, maar spreid je ook het risico.

Ik bedoel eigenlijk zoiets als StackOverflow doet:
- je logt per site in
- zij vertrouwen een aantal OpenID providers
- je kunt een OpenID provider kiezen die zij vertrouwen, en waar jij je OpenID van hebt

Dan heb je per dienst verbindingen met je ID providers, en keuze/concurrentie tussen de providers.
Minder kans op Single Point of Failure.

En inderdaad: het is en blijft een afweging, en het voordeel van Single Point of Failure is dat als het goed gaat je een Single Point of Success hebt.
Nu zitten alle diensten vast aan 1 ID provider.
Maar andere ID providers zoals Google, Microsoft Live, Facebook, Amazon zijn niet geschikt voor gebruik door de overheid omdat er geen totale controle is over die logingegevens en je je als overheid afhankelijk maar van commerciele partijen (die ook nog eens onder de Amerikaanse Patriot Act vallen). Bovendien is het bij die providers niet mogelijk te garanderen dat jij bent wie je zegt te zijn, dus de koppeling en verificatie met je GBA/BSN gegevens want die zijn niet voor derden toegankelijk ter verificatie.

Wat je dus nodig hebt is een DIGID2 dat een kloon is van DIGID maar wel met een volkomen onafhankelijke eigen implementatie (want als dat ook RoR zou zijn dan zou dat voor dit geval nog niet hebben geholpen). De vraag is dan wie dat moet gaan betalen en is het risico op bugs of lekken met 2 onafhankelijke implementaties niet juist veel groter.

Ik zelf denk dat de huidige situatie de bestee is. Vervelend dat het ligt nu plat ligt (2e keer sinds het bestaan? [diginotar 1e keer?]) maar dit nadeel is volgens mij beter dan de alternatieven. Alles heeft een keerzijde en met dit kleine nadeel is denk ik heel goed te leven.
Op straat kan ik me toch ook met meerdere IDs legitimeren, afhankelijk van je verhuisgedrag zelfs door meerdere gemeentes uitgegeven.

Een verkoop transactie van een huis kan ik bij meerdere notarissen doen: die doen de hele verificatie.

Diverse instanties buiten de overheid kunnen in de GBA kijken/controleren, dus dat lijkt me ook niet echt een probleem.

De belastingdienst kan ik op meer dan 1 rekening betalen (ze hebben o.a. rekeningen bij de Rabobank en de ING), dus daar heb je ook failover.

Ik snap dat het een afweging is, maar het feit dat het nu 1 systeem is maakt het extra kritisch.

Complimenten overigens dat ze het binnen 24 uur weer in de lucht hadden.
Ik weet niet hoe het zit in jouw gemeente, maar wij hebben ook nog een gemeentehuis, waar je jouw zaken kunt regelen. Waar MOET je de DigiD persé voor gebruiken, volgens jou?

Daarnaast kan je aan zo'n bug weinig doen. Als zo'n kwetsbaarheid wordt ontdekt, zal je wel actie moeten ondernemen. Zeker als overheid zijnde. Het lijkt me vrij lastig om daarvoor een backup oplossing te verzinnen, als ik dit zo lees.
Leuk, in een gemeente die enkel volgens een afspraak werkt, en die via de website, (dus Digid) moet maken...
Belastingaangifte, DUO (Studenten), etc.
Wat wil je dan, dat iedere overheidsdienst zijn eigen username en password uitgeeft ?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013