Onderzoekers vinden lekken in Duits systeem voor overheidscommunicatie

Onderzoekers van het Oostenrijkse beveiligingsbedrijf SEC Consult hebben lekken gevonden in een verzameling van protocollen voor het Duitse E-Governmentsysteem. Dat maakt onder meer communicatie tussen overheidsinstanties onderling en tussen de overheid en de burger mogelijk.

Het gaat om lekken in het zogenaamde OSCI, dat de basis vormt van het Duitse E-Governmentsysteem. De onderzoekers richtten zich op de Java-bibliotheek van OSCI. Daarin vonden zij verschillende kwetsbaarheden. Zo is het mogelijk om via aangepaste xml-gegevens data op het systeem van een doelwit te lezen of een dos-aanval uit te voeren. Daarnaast was het mogelijk om encryptie te kraken, doordat er gebruikgemaakt wordt van verouderde algoritmes.

Een ander lek maakte het mogelijk om de inhoud van een ondertekend bericht aan te passen, zonder dat de handtekening ongeldig wordt. Het bedrijf heeft onder meer samengewerkt met het Duitse BSI om de gevonden lekken te dichten. Er zijn inmiddels de nodige patches uitgebracht.

OSCI, oftewel online services computer interface, moet een 'veilig formaat voor de uitwisseling van gegevens bieden'. Volgens SEC Consult wordt het systeem gebruikt voor publieke zorg, de burgerlijke stand, documenten, personenregistratie en communicatie binnen Justitie. Het OSCI-protocol is gebaseerd op xml en wordt doorgaans over http-verbindingen verstuurd, aldus het bedrijf.

IT-banen

Reacties (25)

BeToBe 3 juli 2017 10:33

Als gemeente c.q. overheidsorganisaties lig je nou eenmaal onder een loep als het gaat om gegevensbeveiliging. Ik vind het dan opmerkelijk om te lezen dat:

Daarnaast was het mogelijk om encryptie te kraken, doordat er gebruikgemaakt wordt van verouderde algoritmes.

Ik snap dat dit soort projecten vaak lang duren en dat er daarmee soms (tijdelijk) met oude standaarden wordt gewerkt, maar ik mag toch hopen dat de encryptie altijd up-to-date is. Gemiste kans.

[Reactie gewijzigd door BeToBe op 25 juli 2024 01:03]

LightPhoenix @BeToBe • 3 juli 2017 10:49

Ik denk dat veel Nederlanders niet zien hoe ontwikkeld Nederland is op het gebied en ICT bij de overheid. Als ik het nieuws op Tweakers e.d. lees is er vaak veel mis bij grote ICT projecten in NL, maar hier in Duitsland is de digitalisering op het niveau van de jaren 80 blijven hangen. Sterker nog, ik moest laatst een kopie van een formulier met een kopie van mijn paspoort via een gewone mail sturen... kon niet anders werd mij gemeld. Ook als er een webpagina bij een gemeente is om iets in te vullen gaat dat vaak versleuteld. Niet om heel blij van te worden.

Byron010 @LightPhoenix • 3 juli 2017 13:41

Ik zou nou niet zeggen daat de overheid hier goed ontwikkeled is (kwa ICT(, meer dat duitsland dus nog meer achterloopt. Ze zouden wel is mogen kijken naar hoe goeie IT Bedrijven het doen, kunnen ze enorm veel van leren.

LightPhoenix @Byron010 • 3 juli 2017 14:02

We gaan offtopic, maar als je alleen landen met elkaar vergelijkt dan denk ik (let op, denk ik) dat Nederland qua digitalisering best voorop loopt. Hoe goed dit allemaal in elkaar steekt beveiligingstechnisch is een volgende vraag, maar er kan best veel online bij gemeentes en het Rijk. Nu heb ik alleen ervaring met hoe het in Duitsland geregeld is, maar ik denk dat ook landen als Belgie, Frankrijk en andere van onze 'buren' in Europa het een stuk minder doen (Scandinavië schat ik dan weer beter in, maar ook dat is onderbuik). Wellicht dat andere Tweakers met meer ervaring uit deze landen een beter onderbouwde mening hierover kunnen geven.

MacMF @LightPhoenix • 3 juli 2017 15:02

Ik ben al een tijdje weg uit Nederland dus kan hiet niet direct vergelijken, maar hier wat voorbeelden uit Finland:
Paspoort aanvragen gaat online, de fotograaf maakt de foto en stuurt deze direct naar de overheid, een week of 2 later kan je je paspoort ophalen bij de lokale kiosk.
Netposti een service waar digitale post verzorgt wordt door de Finse versie van KPN. Rekeningen en salaris strookje komen hier terecht en worden niet meer per post verstuurd.
Authenticate voor bijna alle on-line diensten gaat via de bank login codes.
Verzekeringen, overschijven autos of huis zijn grotendeels digitaal en eenvoudiger vergeleken met nederland.

Daarentegen was de digitale belasting aangifte hier later beschikbaar dan in Nederland, al was de papieren versie wel al direct vooringevuld. De bank houdt belasting in van de ontvangen rente (wel zo eerlijk, alleen de rente is belast) en betaalde hypotheek rente wordt ook door de bank doorgegeven aan het belastingkantoor en staat netjes vooringevuld op de (ondertussen digitale) aangifte.

BeToBe @LightPhoenix • 3 juli 2017 10:55

Ik denk dat veel Nederlanders niet zien hoe ontwikkeld Nederland is op het gebied en ICT bij de overheid.

Klopt. Dit komt waarschijnlijk ook door de media. Als gemeente/overheid lig je nou eenmaal onder een loep. Wanneer een overheids ICT-project mislukt of er iets niet goed gaat, dan wordt dit breed besproken in de media, want het gaat natuurlijk wel om 'ons geld'. Vandaar dat er zoveel kritiek is op de Nederlandse overheid en daarmee zien we eigenlijk niet hoe goed wij het hier hebben in vergelijking met andere landen.

Dat het zo slecht is geregeld in Duitsland wist ik dan weer niet. Is dit landelijk zo slecht of gaat het dan vooral om de wat kleinere gemeente(n)?

LightPhoenix @BeToBe • 3 juli 2017 11:05

Helaas is het landelijk zo slecht geregeld. In het voorbeeld wat ik gaf gaat het om een hoofdstad van een Bundesland, maar het is geen geïsoleerd geval. Er zijn wel digitale systemen (zoals het artikel aangeeft), maar die worden door veel mensen met heel veel paranoia bekeken (30er 40er jaren van de vorige eeuw + de Stasi praktijken daarna). Dit staat veel innovatie in de weg. Bij het aanmelden van de geboorte van mijn zoon moest ik naar 2 verschillende afdelingen van dezelfde gemeente (wederom een hoofdstad) die totaal geen communicatie met elkaar hadden. Enorme berg papierwerk tot gevolg en je sleept documenten van hot naar her. Bij een verhuizing blijkt dat veel gemeenten niet met elkaar in verbinding staan en er niet zoiets is als een basisregistratie persoonsgegevens zoals wij dat kennen. Als er een digitale link is, is dat alleen omdat beide gemeente toevallig meededen aan hetzelfde project...

Cerberus_tm

@LightPhoenix • 3 juli 2017 19:17

Overigens heb ik vaak genoeg in Nederland ook kopieën van paspoorten en andere dingen per fysieke post op moeten sturen. Maar ik geloof je.

Rob Coops @BeToBe • 3 juli 2017 10:51

Dat is toch niet zo heel gek, we hebben het hier over een overheids project. Elke aanpassing vereist een hele reeks goedkeuringen, documenten stempels en handtekeningen voor het uberhaupt besproken mag worden laat staan goedgekeurd kan worden.

Ik vind het alleen vreemd dat er zo snel aanpassingen gemaakt zijn, en vraag me af of dat alleen in de source control aangepast is of dat ook de bestaande projecten deze nieuwe code zullen gebruiken. Want laten we eerlijk wezen het is niet alleen de Nederlandse overheid die weinig kaas hebben gegeten van IT en de projecten vaker ziet falen (na een enorme overschrijding van het budget natuurlijk) dan dat ze een project hoe slecht ook de eindstreep ziet halen. Dat soort gestuntel door ambtenaren is heel gewoon in ieder land en op elk continent.

Overheid != ICT Success

Wat dat betreft zijn het kleine dingen die men gevonden heeft, en lijkt het voornamelijk te gaan om oudere encryptie en een slordig afhandelen van een vraag belachelijk veel werk te doen in een onmogelijk korte tijd (DoS). Ik ben er redelijk onder de indruk van dat het redelijk goed werkt in dat opzicht.

Verwijderd @Rob Coops • 3 juli 2017 11:00

Overheid != ICT Success

Alsof het in het bedrijfsleven zoveel beter is. Alleen hoor je daar minder van omdat ze geen openheid van zaken hoeven te geven.

jeroen3 @Verwijderd • 3 juli 2017 11:09

Niet veel beter. TNT ligt nog steeds stil door notpetya.

Vayra @Verwijderd • 3 juli 2017 13:53

Sterker nog, in het bedrijfsleven wordt al snel de afweging tussen kosten/baten gemaakt en wordt dan vaak een (permanente) workaround de winnaar boven een permanente technische oplossing. Of er wordt gewoon even live gekeken 'hoe het landt' en valt het mee, dan valt het mee...

Dat zie je bij overheden dan weer niet, omdat dat simpelweg niet kan en mag, en dat is ook de reden dat het daar dus niet alleen langer duurt, maar soms ook totaal niet lukt.

[Reactie gewijzigd door Vayra op 25 juli 2024 01:03]

Luno @Rob Coops • 3 juli 2017 11:08

De ICT'ers bij de overheid zijn niet zo slecht. Maar de 2e kamer met al z'n amendementen maakt dat ze met een continu veranderend lijst van eisen zitten, waarbij ook nog de 'oude' regels gebruikt moeten kunnen worden.
Als bv. Wehkamp wat producten uit catalogus gooit is er niemand die daar iets van kan zeggen.
Maar bv belastingdienst zit jaarlijks (of tussendoor ook nog) met een gewijzigde set aan regels. Maar de 'oude' regels gelden ook nog voor de oude aangiften. En burgers (jij/ik) kunnen nog jaren lang aangiftes aanpassen.
Gemeentes zitten met aanpassingen in bv bouwvoorschriften. Maar bouwplannen uit het verleden gelden nog volgens die regels. Idem toeslagen etc.
De ICT van de overheid kan nooit eens zeggen en nu gaan we alle bugs oplossen, want tegen die tijd is 50% van de randvoorwaarden weer door de jokers die wij (jij/ik) gekozen hebben.

Het is zo makkelijk om langs de kant te zeggen Overheid != Success.
Juist in de gevallen dat de overheid ICT uitbesteedt gaat het mis ten koste van miljoenen/miljarden.

sugarlee89 @Luno • 3 juli 2017 11:20

Bij alles wat de overheid uitbesteedt gaat het mis. Maakt niet uit wat.

Verwijderd @sugarlee89 • 3 juli 2017 13:07

Haha, is daarom de infrastructuur zo goed geregeld in Nederland?

stresstak @Verwijderd • 3 juli 2017 13:14

Haha, is daarom de infrastructuur zo goed geregeld in Nederland?

Van wat ? Wegen ? Daar hebben ze honderd jaar aan kunnen werken.

pe0mot @stresstak • 3 juli 2017 18:47

Werken? LOL
Die wegen waren er al onder de Romeinen.
Men heeft ze 50 jaar geleden van asfalt voorzien en 25 jaar geleden 4 baans. Daarna heeft Rijkswaterstaat een paar gigantische kantoren gebouwd om na te denken.
Wat hebben ze de afgelopen 25 jaar aangelegd? Knooppunten veranderd ja, maar wegen nee.
De A4 kostte 50 jaar, de A27 is al 50 jaar een hobbelweg, de A2 iets breder met natuurlijk op de knelpunten weer 2 banen, de A4 verbreed met op de knelpunten 2 banen, de a28 en a7 eindigen samen bij een verkeerslicht, de a15 eindigt in de rimboe van Nijmegen, etc.

tERRiON @pe0mot • 4 juli 2017 10:53

Dat dat allemaal zo lang duurt, is dat de schuld van Rijkswaterstaat of van de (m.n. lokale) politiek en klachtenprocedures die door omwonenden en andere belanghebbenden worden gestart?

CivLord

@sugarlee89 • 4 juli 2017 08:18

Dan moet je je eens verdiepen in wat de overheid allemaal uitbesteedt. Dan zul je zien dat de missers de uitzondering zijn en niet de regel.

theduke1989 @BeToBe • 3 juli 2017 11:05

Nja ik woon zelf in Duitsland. En moet je toch vertellen qua infrastructuur is Duitsland een land wat nog achterloopt.

En veel mensen vinden het geen probleem. Een voorbeeld voor het ''internet'' hier zitten nog genoeg woningen rond de 6MB/s - 16MB/s DSL verbinding, mensen vinden dat prima waardoor er niet wordt uitgebreid(vernieuwd). Pas eind dit jaar proberen ze alle huishoudens naar 50MB/s kabel-internet over te zetten. Dit is dus ook het geval bij de overheid dat het gewoon een niet hoge factor heeft om aan te passen! Alleen in de grote steden wordt er innovatie toegepast, denk daarbij aan Keulen / Berlin / Hamburg / Munchen / Dusseldorf etcetc de grotere steden.

[Reactie gewijzigd door theduke1989 op 25 juli 2024 01:03]

CAPSLOCK2000

Security
Netwerk en systeembeheer
Duitsland

3 juli 2017 11:19

Kunnen we de "overheid is slecht in IT" discussie deze keer overslaan?
Ja, de overheid is slecht in IT, net als onze hele samenleving. IT is gewoon erg moeilijk en het vakgebied is nog niet ver genoeg ontwikkeld dat je lopende band werk mag verwachten. Clubs die het wel snappen zijn de uitzondering en zelfs dan zijn de meeste experts alleen goed op hun eigen deelgebiedje. Dat iemand goed kan programmeren zegt bijvoorbeeld nog niks over begrip van https.

Voor iedereen die IT een beetje snapt zijn er tien anderen die het niet snappen maar net zo beslissingsbevoegd zijn. Het onderscheid tussen "het kan" en "het is verstandig" wordt daardoor maar zelden gemaakt. Velen denken zelfs dat ze hun IT-afdeling een plezier doen door zelf voor 10 euro een website te kopen in plaats van IT daar mee "lastig te vallen".

SSDtje

3 juli 2017 11:01

"De onderzoekers richtten zich op de Java-bibliotheek van OSCI. Daarin vonden zij verschillende kwetsbaarheden."

Hoe lang is het nu inmiddels al wel niet bekend dat Java relatief veel kwetsbaarheden heeft / kent, in vergelijking tot veel andere software.
En dat het je dan ook al regelmatig aanbevolen wordt het niet te gebruiken / installeren, wanneer je het niet nodig bent.

En de rest was blijkbaar niet wenselijk, dus inmiddels verwijderd.

[Reactie gewijzigd door SSDtje op 25 juli 2024 01:03]

Verwijderd @SSDtje • 3 juli 2017 11:25

En dat het je dan ook al regelmatig aanbevolen wordt het niet te gebruiken / installeren, wanneer je het niet nodig bent

Verwar je de browser plugin niet met Java in het algemeen?

[Reactie gewijzigd door Verwijderd op 25 juli 2024 01:03]

SSDtje

@Verwijderd • 3 juli 2017 11:29

Nope, niet alleen:
Microsoft Corp. today warned that it is seeing a huge uptick in attacks against security holes in Java, a software package that is installed on the majority of the world’s desktop computers.

[Reactie gewijzigd door SSDtje op 25 juli 2024 01:03]

aikebah @SSDtje • 4 juli 2017 00:40

Wel dus... die quote komt van krebs on security in oktober 2010 en gaat wel degelijk over de lekken in het brakke applet security model van Java in de browser (en bovendien ging het daar ironisch genoeg ook om aanvallen via REEDS GEPATCHTE lekken... maar java updaten... dat deed in die jaren (en nog steeds) bijna niemand)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (25)

Sorteer op:

Weergave: