Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 54, views: 13.615 •
Submitter: theguyofdoom

De overheid heeft de dienst voor het digitaal controleren van de identiteit van burgers, DigiD, weer online gezet. De dienst ging woensdagochtend offline vanwege een 'ernstig' beveiligingslek in Ruby On Rails, dat gebruikt wordt voor DigiD.

DigiD is na bijna een dag downtime donderdag weer beschikbaar. Burgers konden in die tijd nergens inloggen met DigiD, dat onder meer wordt gebruikt voor identificatie bij gemeenten en andere overheden. DigiD moest offline om de patch voor het beveilingslek uit te rollen en te testen voordat gebruikers de dienst weer zouden gebruiken. "We willen het zekere voor het onzekere nemen", zei Michel Groeneveld, woordvoerder van overheids-ict-dienst Logius, woensdag tegen Tweakers. "Zo willen we misbruik van het lek voorkomen."

Het gaat om twee lekken waarvoor Ruby on Rails dinsdag een patch uitbracht. Volgens het Nationaal Cyber Security Centrum maken die kwetsbaarheden het onder meer mogelijk om authenticatie  te omzeilen, sql-injecties uit te voeren, eigen code op afstand uit te voeren en een denial of service-aanval uit te voeren.

DigiD is in de nacht van dinsdag op woensdag kwetsbaar geweest; de lekken waren toen al bekend, maar DigiD was toen online. Woensdagochtend ging de identificatiedienst offline. 

Reacties (54)

Werk.nl zit nog op slot 'wegens storing Digid'. Op Digid.nl, waar naar verwezen wordt, staat niets (laatste nieuws is van Mei)
Waarom is het gebouwd op RoR Ruby? Waarom is er niet voor PHP of ASP gekozen? Ben wel benieuwd waarom.

[Reactie gewijzigd door Xieoxer op 10 januari 2013 07:59]

Erg kwalijke zaak. Bij de onderhoudsmelding stond ook 'offline voor onderhoud'. Of dit nu de lading dekt... juist de overheid zou degene moeten zijn die zegt waar het op staat: 'offline wegens ernstig beveiligingslek in n van de meest gevoelige informatiesystemen in Nederland'.

Vooral dat het lek in Rails al een dag van tevoren bekend was stoot mij voor de borst. Juist SQL-injecties en deze andere problemen zijn kritiek voor DigiD. Het lijkt me dat wanneer er een Security Advisory uitkomt dat de hele mikmak gewoon direct offline gehaald wordt - automatisch als er een systeembeheerder niet wakker is.
Ik vind dat de overheid in deze erg goed opgetreden heeft.
Wat hadden ze dan moeten doen ?
Daar zullen ze bij Logius hun redenen voor gehad hebben; zo'n platform ontwikkel je niet op het eerste het beste Framework. Overigens is je vraag meteen al te beantwoorden met "PHP en ASP zijn geen frameworks maar programmeertalen. Er is bewust voor een framework gekozen om een sneller en effectiever ontwikkeltraject en beheerssituatie te hebben".
Het lijkt mij dat Rails een Security Advisory uitstuurt in dit soort gevallen. Het lijkt me dan ook een kleine moeite om bij een SA volautomatisch de hele service offline te gooien. False positives zou ik dan voor lief nemen. :)
Zal wel via aanbesteding gedaan zijn en geen technische eisen opgenomen. De goedkoopste wint en die had RoR in gedachten. Waarom denk je dat er bewust een technische keuze door Logius is gedaan?
False positives voor lief nemen bij 1 van de infrastructuur services van de overheid? Alle overheidssites gebruiken het systeem. Bij het offline er van zijn kan heel veel werk opeens niet meer gedaan worden. Dan neem je downtime echt niet voor lief.
Je legt dan een groot deel van de overheidssites plat. Natuurlijk laat je daar een systeembeheerder niet over beslissen, laat staan een geautomatiseerd systeem, daar laat je specialisten naar kijken.
Ik wist niet dat RoR een framework is, dan stel ik mijn vraag fout. Waarom is er dan voor Ruby gekozen?
Als er voor elke melding automatisch het systeem platgegooid wordt wegens een 'beveiligingslek' dan ben ik bang dat het vertrouwen in DigiD heel snel geschaad wordt.

Elke vorm van security patches is voor een leek al snel een reden om te denken dat zijn gegevens op straat liggen.

In dit geval is er naar mijn mening goed gehandeld. Ze hebben niet overhaast gereageerd, het goed overdacht en transparant naar buiten gecommuniceerd.

Tevens ben ik er van overtuigd dat ze echt wel het nodig hebben gemonitord na bekendmaking van de bug.
Waarom niet? Wat maakt Ruby in jouw ogen slechter dan PHP of ASP (terwijl ASP ook nog een beetje een verwarrende term is. ASP is al redelijk verouderd en AP != ASP.NET en ASP.NET kan ook weer C# of VB zijn). Het feit dat je niet weet dat RoR een framework is bovenop Ruby geeft aan dat je wellicht niet veel van Ruby weet en daarom vind ik jouw vraag een beetje vreemd.

Ruby en het web-app-framework Ruby on Rails zijn heel volwassen. Het feit dat er zo'n beveiligingslek wordt gevonden heeft te maken met het feit dat er een hele grote groep gebruikers, researchers en beveiligingsexperts dagelijks met de open-source code bezig zijn.

[Reactie gewijzigd door armageddon_2k1 op 10 januari 2013 08:20]

Ik kon gisteravond al wel inloggen op DigiD, maar uwv.nl zit ook nu nog steeds op slot.
Ben ik nu de enige die vind dat DigiID dit goed heeft aangepakt?

Melding krijgen van een beveiligingslek, offline halen, oplossen en terug online zetten.

En ze hebben niets afgeschoven, ze hebben de fout ook toegegeven en hun excuses aangeboden. Wat zouden ze nog meer moeten doen?
Ben het met je eens. Prima actie op ondernomen.
Je bent niet de enige hoor. Ik zei gisteren al dat ze netjes hebben gehandeld. Bugs en lekken in frameworks komen nou eenmaal voor of het nou RoR, .NET, ASP.NET of PHP is dat maakt niet uit. Dit was zelfs een lek in het framework zelf en dus geen security lek door een ontwikkelaar door Logius dus dan kun je al moeilijk iets verwijten. De overlapping van dat het de vorige dag al bekend was heeft natuurlijk gewoon te maken met tijdzone verschil en kijken hoe ernstig de lek natuurlijk was. Ze hebben zo snel mogelijk gehandeld en als je dat vergelijkt met hoe de overheid in het verleden is omgegaan (lekken die maanden blijven zitten) is dit heel netjes.
Meerdere site`s die werken met DigiD zit nog op slot, maar dat ligt bij de site`s zelf, ze hebben tijdelijk de button gelinkt naar een storingpage / custompage.

Zodra ze groen licht hebben zullen ze het aanpassen, dus later op de dag nog eens kijken of je wel kunt inloggen.

Aldus een medewerker die ergens werkt waar ze DigiD gebruiken, ik ken hem persoonlijk, en dit hebben ze te horen gekregen per mail gekregen van Logius.
Ze hadden misschien iets sneller kunnen zijn, maar dit vind ik echt prima opgelost. Als het gevaar reel is offline halen, zo snel mogelijk patchen, alles weer testen en binnen 24 uur weer online. Chapeau.

Als het regulier onderhoud was geweest, dan was het natuurlijk anders: dat moet je zo veel mogelijk proberen te doen zonder dat iemand er iets van merkt. Maar dit was een beveiligingslek, en zo lang als het systeem bereikbaar is is het kwetsbaar. Goed opgelost.
Zal wel via aanbesteding gedaan zijn en geen technische eisen opgenomen. De goedkoopste wint en die had RoR in gedachten. Waarom denk je dat er bewust een technische keuze door Logius is gedaan?
Waarom zouden er geen technische eisen gesteld zijn voor jou? Omdat er voor RoR is gekozen? RoR is nou juist een groot, robuust en stabiel framework, en dat zou best eens 1 van de technische eisen geweest kunnen zijn. Tezamen met : moet SAML ondersteunen.

Tenzij we de aanbesteding onder ogen krijgen is daar eigenlijk niets over te zeggen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013