Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers vinden lekken in Duits systeem voor overheidscommunicatie

Door , 25 reacties

Onderzoekers van het Oostenrijkse beveiligingsbedrijf SEC Consult hebben lekken gevonden in een verzameling van protocollen voor het Duitse E-Governmentsysteem. Dat maakt onder meer communicatie tussen overheidsinstanties onderling en tussen de overheid en de burger mogelijk.

Het gaat om lekken in het zogenaamde OSCI, dat de basis vormt van het Duitse E-Governmentsysteem. De onderzoekers richtten zich op de Java-bibliotheek van OSCI. Daarin vonden zij verschillende kwetsbaarheden. Zo is het mogelijk om via aangepaste xml-gegevens data op het systeem van een doelwit te lezen of een dos-aanval uit te voeren. Daarnaast was het mogelijk om encryptie te kraken, doordat er gebruikgemaakt wordt van verouderde algoritmes.

Een ander lek maakte het mogelijk om de inhoud van een ondertekend bericht aan te passen, zonder dat de handtekening ongeldig wordt. Het bedrijf heeft onder meer samengewerkt met het Duitse BSI om de gevonden lekken te dichten. Er zijn inmiddels de nodige patches uitgebracht.

OSCI, oftewel online services computer interface, moet een 'veilig formaat voor de uitwisseling van gegevens bieden'. Volgens SEC Consult wordt het systeem gebruikt voor publieke zorg, de burgerlijke stand, documenten, personenregistratie en communicatie binnen Justitie. Het OSCI-protocol is gebaseerd op xml en wordt doorgaans over http-verbindingen verstuurd, aldus het bedrijf.

Door Sander van Voorst

Nieuwsredacteur

03-07-2017 • 10:18

25 Linkedin Google+

Reacties (25)

Wijzig sortering
Als gemeente c.q. overheidsorganisaties lig je nou eenmaal onder een loep als het gaat om gegevensbeveiliging. Ik vind het dan opmerkelijk om te lezen dat:
Daarnaast was het mogelijk om encryptie te kraken, doordat er gebruikgemaakt wordt van verouderde algoritmes.
Ik snap dat dit soort projecten vaak lang duren en dat er daarmee soms (tijdelijk) met oude standaarden wordt gewerkt, maar ik mag toch hopen dat de encryptie altijd up-to-date is. Gemiste kans.

[Reactie gewijzigd door BeToBe op 3 juli 2017 15:00]

Ik denk dat veel Nederlanders niet zien hoe ontwikkeld Nederland is op het gebied en ICT bij de overheid. Als ik het nieuws op Tweakers e.d. lees is er vaak veel mis bij grote ICT projecten in NL, maar hier in Duitsland is de digitalisering op het niveau van de jaren 80 blijven hangen. Sterker nog, ik moest laatst een kopie van een formulier met een kopie van mijn paspoort via een gewone mail sturen... kon niet anders werd mij gemeld. Ook als er een webpagina bij een gemeente is om iets in te vullen gaat dat vaak versleuteld. Niet om heel blij van te worden.
Ik zou nou niet zeggen daat de overheid hier goed ontwikkeled is (kwa ICT(, meer dat duitsland dus nog meer achterloopt. Ze zouden wel is mogen kijken naar hoe goeie IT Bedrijven het doen, kunnen ze enorm veel van leren.
We gaan offtopic, maar als je alleen landen met elkaar vergelijkt dan denk ik (let op, denk ik) dat Nederland qua digitalisering best voorop loopt. Hoe goed dit allemaal in elkaar steekt beveiligingstechnisch is een volgende vraag, maar er kan best veel online bij gemeentes en het Rijk. Nu heb ik alleen ervaring met hoe het in Duitsland geregeld is, maar ik denk dat ook landen als Belgie, Frankrijk en andere van onze 'buren' in Europa het een stuk minder doen (ScandinaviŽ schat ik dan weer beter in, maar ook dat is onderbuik). Wellicht dat andere Tweakers met meer ervaring uit deze landen een beter onderbouwde mening hierover kunnen geven.
Ik ben al een tijdje weg uit Nederland dus kan hiet niet direct vergelijken, maar hier wat voorbeelden uit Finland:
Paspoort aanvragen gaat online, de fotograaf maakt de foto en stuurt deze direct naar de overheid, een week of 2 later kan je je paspoort ophalen bij de lokale kiosk.
Netposti een service waar digitale post verzorgt wordt door de Finse versie van KPN. Rekeningen en salaris strookje komen hier terecht en worden niet meer per post verstuurd.
Authenticate voor bijna alle on-line diensten gaat via de bank login codes.
Verzekeringen, overschijven autos of huis zijn grotendeels digitaal en eenvoudiger vergeleken met nederland.

Daarentegen was de digitale belasting aangifte hier later beschikbaar dan in Nederland, al was de papieren versie wel al direct vooringevuld. De bank houdt belasting in van de ontvangen rente (wel zo eerlijk, alleen de rente is belast) en betaalde hypotheek rente wordt ook door de bank doorgegeven aan het belastingkantoor en staat netjes vooringevuld op de (ondertussen digitale) aangifte.
Ik denk dat veel Nederlanders niet zien hoe ontwikkeld Nederland is op het gebied en ICT bij de overheid.
Klopt. Dit komt waarschijnlijk ook door de media. Als gemeente/overheid lig je nou eenmaal onder een loep. Wanneer een overheids ICT-project mislukt of er iets niet goed gaat, dan wordt dit breed besproken in de media, want het gaat natuurlijk wel om 'ons geld'. Vandaar dat er zoveel kritiek is op de Nederlandse overheid en daarmee zien we eigenlijk niet hoe goed wij het hier hebben in vergelijking met andere landen.

Dat het zo slecht is geregeld in Duitsland wist ik dan weer niet. Is dit landelijk zo slecht of gaat het dan vooral om de wat kleinere gemeente(n)?
Helaas is het landelijk zo slecht geregeld. In het voorbeeld wat ik gaf gaat het om een hoofdstad van een Bundesland, maar het is geen geÔsoleerd geval. Er zijn wel digitale systemen (zoals het artikel aangeeft), maar die worden door veel mensen met heel veel paranoia bekeken (30er 40er jaren van de vorige eeuw + de Stasi praktijken daarna). Dit staat veel innovatie in de weg. Bij het aanmelden van de geboorte van mijn zoon moest ik naar 2 verschillende afdelingen van dezelfde gemeente (wederom een hoofdstad) die totaal geen communicatie met elkaar hadden. Enorme berg papierwerk tot gevolg en je sleept documenten van hot naar her. Bij een verhuizing blijkt dat veel gemeenten niet met elkaar in verbinding staan en er niet zoiets is als een basisregistratie persoonsgegevens zoals wij dat kennen. Als er een digitale link is, is dat alleen omdat beide gemeente toevallig meededen aan hetzelfde project...
Overigens heb ik vaak genoeg in Nederland ook kopieŽn van paspoorten en andere dingen per fysieke post op moeten sturen. Maar ik geloof je.
Dat is toch niet zo heel gek, we hebben het hier over een overheids project. Elke aanpassing vereist een hele reeks goedkeuringen, documenten stempels en handtekeningen voor het uberhaupt besproken mag worden laat staan goedgekeurd kan worden.

Ik vind het alleen vreemd dat er zo snel aanpassingen gemaakt zijn, en vraag me af of dat alleen in de source control aangepast is of dat ook de bestaande projecten deze nieuwe code zullen gebruiken. Want laten we eerlijk wezen het is niet alleen de Nederlandse overheid die weinig kaas hebben gegeten van IT en de projecten vaker ziet falen (na een enorme overschrijding van het budget natuurlijk) dan dat ze een project hoe slecht ook de eindstreep ziet halen. Dat soort gestuntel door ambtenaren is heel gewoon in ieder land en op elk continent.

Overheid != ICT Success

Wat dat betreft zijn het kleine dingen die men gevonden heeft, en lijkt het voornamelijk te gaan om oudere encryptie en een slordig afhandelen van een vraag belachelijk veel werk te doen in een onmogelijk korte tijd (DoS). Ik ben er redelijk onder de indruk van dat het redelijk goed werkt in dat opzicht.
Overheid != ICT Success
Alsof het in het bedrijfsleven zoveel beter is. Alleen hoor je daar minder van omdat ze geen openheid van zaken hoeven te geven.
Niet veel beter. TNT ligt nog steeds stil door notpetya.
Sterker nog, in het bedrijfsleven wordt al snel de afweging tussen kosten/baten gemaakt en wordt dan vaak een (permanente) workaround de winnaar boven een permanente technische oplossing. Of er wordt gewoon even live gekeken 'hoe het landt' en valt het mee, dan valt het mee...

Dat zie je bij overheden dan weer niet, omdat dat simpelweg niet kan en mag, en dat is ook de reden dat het daar dus niet alleen langer duurt, maar soms ook totaal niet lukt.

[Reactie gewijzigd door Vayra op 3 juli 2017 13:56]

De ICT'ers bij de overheid zijn niet zo slecht. Maar de 2e kamer met al z'n amendementen maakt dat ze met een continu veranderend lijst van eisen zitten, waarbij ook nog de 'oude' regels gebruikt moeten kunnen worden.
Als bv. Wehkamp wat producten uit catalogus gooit is er niemand die daar iets van kan zeggen.
Maar bv belastingdienst zit jaarlijks (of tussendoor ook nog) met een gewijzigde set aan regels. Maar de 'oude' regels gelden ook nog voor de oude aangiften. En burgers (jij/ik) kunnen nog jaren lang aangiftes aanpassen.
Gemeentes zitten met aanpassingen in bv bouwvoorschriften. Maar bouwplannen uit het verleden gelden nog volgens die regels. Idem toeslagen etc.
De ICT van de overheid kan nooit eens zeggen en nu gaan we alle bugs oplossen, want tegen die tijd is 50% van de randvoorwaarden weer door de jokers die wij (jij/ik) gekozen hebben.

Het is zo makkelijk om langs de kant te zeggen Overheid != Success.
Juist in de gevallen dat de overheid ICT uitbesteedt gaat het mis ten koste van miljoenen/miljarden.
Bij alles wat de overheid uitbesteedt gaat het mis. Maakt niet uit wat.
Haha, is daarom de infrastructuur zo goed geregeld in Nederland?
Haha, is daarom de infrastructuur zo goed geregeld in Nederland?
Van wat ? Wegen ? Daar hebben ze honderd jaar aan kunnen werken.
Werken? LOL
Die wegen waren er al onder de Romeinen.
Men heeft ze 50 jaar geleden van asfalt voorzien en 25 jaar geleden 4 baans. Daarna heeft Rijkswaterstaat een paar gigantische kantoren gebouwd om na te denken.
Wat hebben ze de afgelopen 25 jaar aangelegd? Knooppunten veranderd ja, maar wegen nee.
De A4 kostte 50 jaar, de A27 is al 50 jaar een hobbelweg, de A2 iets breder met natuurlijk op de knelpunten weer 2 banen, de A4 verbreed met op de knelpunten 2 banen, de a28 en a7 eindigen samen bij een verkeerslicht, de a15 eindigt in de rimboe van Nijmegen, etc.
Dat dat allemaal zo lang duurt, is dat de schuld van Rijkswaterstaat of van de (m.n. lokale) politiek en klachtenprocedures die door omwonenden en andere belanghebbenden worden gestart?
Dan moet je je eens verdiepen in wat de overheid allemaal uitbesteedt. Dan zul je zien dat de missers de uitzondering zijn en niet de regel.
Nja ik woon zelf in Duitsland. En moet je toch vertellen qua infrastructuur is Duitsland een land wat nog achterloopt.

En veel mensen vinden het geen probleem. Een voorbeeld voor het ''internet'' hier zitten nog genoeg woningen rond de 6MB/s - 16MB/s DSL verbinding, mensen vinden dat prima waardoor er niet wordt uitgebreid(vernieuwd). Pas eind dit jaar proberen ze alle huishoudens naar 50MB/s kabel-internet over te zetten. Dit is dus ook het geval bij de overheid dat het gewoon een niet hoge factor heeft om aan te passen! Alleen in de grote steden wordt er innovatie toegepast, denk daarbij aan Keulen / Berlin / Hamburg / Munchen / Dusseldorf etcetc de grotere steden.

[Reactie gewijzigd door theduke1989 op 3 juli 2017 11:06]

Kunnen we de "overheid is slecht in IT" discussie deze keer overslaan?
Ja, de overheid is slecht in IT, net als onze hele samenleving. IT is gewoon erg moeilijk en het vakgebied is nog niet ver genoeg ontwikkeld dat je lopende band werk mag verwachten. Clubs die het wel snappen zijn de uitzondering en zelfs dan zijn de meeste experts alleen goed op hun eigen deelgebiedje. Dat iemand goed kan programmeren zegt bijvoorbeeld nog niks over begrip van https.

Voor iedereen die IT een beetje snapt zijn er tien anderen die het niet snappen maar net zo beslissingsbevoegd zijn. Het onderscheid tussen "het kan" en "het is verstandig" wordt daardoor maar zelden gemaakt. Velen denken zelfs dat ze hun IT-afdeling een plezier doen door zelf voor 10 euro een website te kopen in plaats van IT daar mee "lastig te vallen".
"De onderzoekers richtten zich op de Java-bibliotheek van OSCI. Daarin vonden zij verschillende kwetsbaarheden."

Hoe lang is het nu inmiddels al wel niet bekend dat Java relatief veel kwetsbaarheden heeft / kent, in vergelijking tot veel andere software.
En dat het je dan ook al regelmatig aanbevolen wordt het niet te gebruiken / installeren, wanneer je het niet nodig bent.

En de rest was blijkbaar niet wenselijk, dus inmiddels verwijderd.

[Reactie gewijzigd door SSDtje op 3 juli 2017 12:08]

En dat het je dan ook al regelmatig aanbevolen wordt het niet te gebruiken / installeren, wanneer je het niet nodig bent
Verwar je de browser plugin niet met Java in het algemeen?

[Reactie gewijzigd door Morgan4321 op 3 juli 2017 11:25]

Nope, niet alleen:
Microsoft Corp. today warned that it is seeing a huge uptick in attacks against security holes in Java, a software package that is installed on the majority of the world’s desktop computers.
;)

[Reactie gewijzigd door SSDtje op 3 juli 2017 11:30]

Wel dus... die quote komt van krebs on security in oktober 2010 en gaat wel degelijk over de lekken in het brakke applet security model van Java in de browser (en bovendien ging het daar ironisch genoeg ook om aanvallen via REEDS GEPATCHTE lekken... maar java updaten... dat deed in die jaren (en nog steeds) bijna niemand)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*