Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

DigiD heeft opnieuw storing door ddos-aanval - update

Logius waarschuwt woensdag opnieuw dat DigiD onbereikbaar is door een ddos-aanval. De organisatie heeft in de afgelopen dagen meer problemen ondervonden door ddos-aanvallen, die tot gevolg hadden dat de dienst niet te gebruiken was.

Op de site van Logius is een melding over een storing te vinden en het Twitter-account van DigiD meldt dat er opnieuw een ddos-aanval plaatsvindt. Daardoor 'is de website niet continu bereikbaar'. Op het moment van schrijven is deze niet te bereiken en werken diensten als Mijn Overheid en Mijn Duo niet.

Het is de derde keer deze week dat DigiD slecht of niet bereikbaar is door ddos-aanvallen. Eerder wilde Logius niet speculeren over de vraag of de aanvallen onderling verband houden. Het is dan ook onduidelijk of dezelfde personen erachter zitten.

Begin juli was ook Tweakers op bepaalde tijdstippen slecht of niet bereikbaar door ddos-aanvallen. Er is vervolgens een samenwerking aangegaan met NBIP, een non-profitorganisatie die de zogenaamde NaWas-dienst aanbiedt.

Update, 11:38: Een woordvoerder van Logius zegt dat er over de aard van de aanval nog niets te zeggen is en dat deze wordt onderzocht. De organisatie neemt bovendien 'diverse maatregelen om de impact zo klein mogelijk te houden'.

Door Sander van Voorst

Nieuwsredacteur

01-08-2018 • 11:17

161 Linkedin Google+

Reacties (161)

Wijzig sortering
Wat ik een beetje mis is er alleen focus is op ddos bescherming van digid. Natuurlijk is dat leik, maar wat mij betreft zou er alternatieven moeten zijn die in werking treden als digid onbereikbaar is.

Nu zit de hele overheid en verzekeringsmaatschappijen achter een inlog met digid. Dat is een single point of failure. Nu is dat door ddos, maar het is ook wel gebeurd dat digid zelf offline was.
Gegeven dat de overheid wil dat we alles zelf en digitaal doen moeten ze zorgen dat er geen single point failure is. Maar, bij onbeschikbaarheid van digid andere inlog manieren beschikbaar stellen.
Op z'n minst n methode waarop je kunt aangeven dat je gepoogd hebt via digid in te loggen. Want soms ben je afhankelijk van het opsturen van gegevens op/voor een bepaalde datum. En nu hang je, en denk niet dat backoffice systemen systemen er rekening mee houden dat het niet jouw schuld is. Door een alternatief waarin je liefst volledig de zaken kunt doen, maar in elk geval kun aantonen dat je wilde inloggen kan men er dan wel rekening mee houden. Ook bij aanvragen kan dan die datum gebruikt worden als start datum (bv voor ingang aanvraag paspoort, uitkering).
Een tweede systeem kan toch ook tegelijk aangevallen worden?
Om nog maar niet te spreken over de extra kosten en rompslomp die een tweede systeem met zich meebrengt: het moet ontwikkeld worden, onderhouden, het moet syncen met DigiD, tegelijk ge-update, mensen moeten twee usernames + wachtwoorden onthouden, en voor wat? Zodat aanvallers twee manieren krijgen om de communicatie plat te leggen.
Tuurlijk kan een 2de systeem gelijk aangevallen worden, en 3de ook.
Maar wat kost meer: 1e systeem ddos proof maken, of wat simpelere backup systemen, die (hoewel liever niet) een beperkte functionaliteit brengen, zodat (zie post CBHF hieronder), je een bewijs hebt dat jij gepoogd hebt in te loggen. Qua usernamen heb je gelijk, maar mensen hebben ook nog een BSN en geboortedatum. Staat op paspoort/id, dat zou een alternatief kunnen zijn voor het aangeven mislukte digid inlog.
Misschien moet de overheid de pagina waarop jij te zien krijgt dat je inlogpoging mislukt is gelden als bewijs dat jij je best hebt gedaan.
Dus jij vind het een goed idee om mensen in te laten loggen als het inlog systeem er uit ligt? Zo kun je eenvoudig in iemand’s account komen zeg. Doe een ddos aanval, en een inlog poging met een account dat niet van jou is, en klaar is kees.

Nee hoor, het enige zinnige wat je kunt doen als het inlogsysteem er uit ligt is niemand meer in laten loggen. Dan doe je die overheidszaken toch morgen wanneer alles weer draait?
Hoewel ik het deels met je eens ben, zijn ee ook mensen die bij het UWV moeten inloggen om zodoende hun geld te krijgen. En in sommige gevallen heeft elke dag vertraging gewoon serieuze consequenties.
Beter een dag vertraging met geld ontvangen dan dat iemand anders jouw geld ontvangt omdat ie bij jouw account kan ;)
Het gaat niet om geld een dag later ontvangen.
(volgens mij kan dat niet eens want zijn vastgestelde data waarop de gemeentes geld versturen)

Mensen moeten hun afspraken verzetten/afzeggen ,sollicitatie activiteiten etc.. via de website van het uwv doorgeven,doen ze dit niet kunnen ze gekort worden op hun uitkering.

Nu zal daar uiteraard wel coulance voor zijn als digid eruit ligt
maar je hoeft maar 1 pipo te hebben bij het uwv die het allemaal niet snapt
en je uitkering wordt de maand erop gekort.

Je hebt bv ook steeds meer ziekenhuizen waar je in moet loggen met digid om bv vragenlijsten
in te vullen

Soms is het allemaal best wel een probleem voor mensen als digid eruit ligt
Kan iemand zich dat project nog herinneren waar een student ervoor wil zorgen dat men zelf de documenten die voor de overheid zijn bewaard. Waar dan de overheid naar jouw "server" gaat en daar de documenten opvraagt (weliswaar zonder enig moeite, maar dat zijn details die makkelijk uit te werken zijn). Of iets in die richting bijvoorbeeld. Kun je nog steeds DigiD gebruiken, maar dan hnagt het in ieder geval niet meer van jouw af om documenten in te leveren. Dan kun je bijvoorbeeld je vlaggetje van de mailbox omhoog zetten (digitaal natuurlijk) zodat een automatisch systeem zelf kan scannen naar "nieuws".

Ik snap dat DigiD helemaal de shit is voor de overheid, maar keer op keer blijkt dat het gewoon problemen levert. Mocht dat met inlog codes of wat dan ook zijn, mocht dat offline situaties zijn, mocht dat hackers/lastpakken (lees DDoS, phishing, etc.) zijn. Noem maar op. Als je ervoor zorgt dat de burger niet de dupe kan zijn, ben je al voor 75% klaar. Laatste 25% ligt dan ook bij de overheid in het hoekje en onwilligen. I.i.g. iets dat niet centraal is en iedereen afhankelijk van is. Bank storing? Kwart van het land in rep en roer. Ov chipkaart storing? Heel ov in rep en roer. DigiD storing? Might as well file for bankruptcy...

[Reactie gewijzigd door sxbrentxs op 1 augustus 2018 16:31]

Met dat idee is iDIN ontwikkeld. Werkt volgens de site bij o.a. de Belastingdienst.
Lijkt me van niet. Ruzie met de bank, ze blokkeren je rekening en dus je iDIN en dan zou je geen belastingaangifte kunnen doen? Sowieso, waarom zou een commercieel bedrijf te vertrouwen zijn met persoonsgegevens? Mijn bank hoeft helemaal niet te weten hoe vaak ik inlog op de site van mijn zorgverzekeraar. Straks gaat m'n hypotheekrente en arbeidsongeschiktheidsverzekering omhoog omdat ik blijkbaar gezondheidsproblemen heb.

iDIN is leuk om te winkelen maar hoort op geen enkele wijze thuis in het verkeer tussen de burger en de overheid.
Er zijn alternatieve inlogmethodes in ontwikkeling.
Zo kun je bij de belastingdienst al inloggen met
idensys en idin. Daarnaast wordt er nu gewerkt aan e-herkenning voor ondernemers en zijn er pilots met inloggen met je bankpas via een bank. DigiD heeft zijn langste tijd gehad, alhoewel daar ook doorontwikkelingen zijn met name rondom de app met twee weg Authenticatie.
Bij verschillende verzekeraars (niet zorg) kan je tegenwoordig inloggen met iDIN. Dat even doorrollen naar zorgverzekering en mijn overheid en jouw beargumenteerde alternatief is er. Is dus minder ver weg dan het lijkt.
Inderdaad. Die sneue zichzelf vervelende scriptkindjes die ddossen mogen van mij stevig worden aangepakt maar zo'n webstie als Digid maakt het blijkbaar ook wel heel erg gemakkelijk om te ddossen en heeft geen backup-plan voor wat er gebeurt. Een voorbeeldje, je moet je inschrijven voor een studiejaar voor 1 augustus, leuk als dat niet kan omdat een kindje aan het ddossen is.
Mensen met een ww of ziektewet uitkering moeten op de eerste dag van de maand een inkomstenopgave doen. Dat gaat op de uwv site met digid.
Later je inkomstenopgave doen betekend ook later je uitkering. En precies op die eerste dag voeren eikels een ddos aanval uit op digid.
Dat kan voor mensen die daarvan afhankelijk zijn best wel serieuze consequenties hebben ja.
Het is niet altijd iets wat je “dan maar op tijd had moeten doen”.

Edit, bijzonder. Lijkt me toch een duidelijk probleem voor het moment voor zo een doos aanval. En dan geven mensen toch een -1. Hoezo is dat dan ongewenst? Omdat je zelf daar niet mee te maken hebt?

[Reactie gewijzigd door blazez op 1 augustus 2018 22:04]

Dan is niet het er uit liggen van digid het probleem maar het systeem dat de overheid heeft bedacht voor het opgeven van inkomsten. Alles wat je perse op 1 bepaalde dag moet doen is al bij voorbaat kansloos. Wat als je die dag iets hebt waardoor je het niet in kan voeren? Lijkt me niet zo moeilijk om mensen het al eerder in te laten voeren toch?
Je hoeft niet alles op 1 bepaalde dag te doen, maar elke dag later duurt het ook langer voor je het op je rekening hebt. Het verwerkingsysteem(wat eigenlijk rente spekken door de overheid is IMHO) werkt als volgt.

Sinds 1 Juli 2015:
Vanaf de 1e van de maand, 00:00 mag je je inkomsten opgeven bij het UWV, om de een of andere manier heeft het systeem dan standaard 3 werkdagen nodig op je uitkering te berekenen, waarna er een automatisch gegenereerd mailtje van de rekensom, in een vorm van een afschrift naar je toe word gemaild. Hierna is het standaard nog een werkdag(sommige banken zelfs 2). Dit "volautomatische systeem" werkt ook niet in het weekend. Er is geen enkele reden waarom dit systeem er zo lang over moet doen.

Voor 1 Juli 2015:
Elke 28 dagen kreeg je 70% van het gemiddelde wat je de afgelopen 5 jaar per 28 dagen verdiende gewoon bijgeschreven op je rekening, had je extra inkomsten, moest je die handmatig doorgeven en werden ze later verrekend, en hier kreeg je dan bericht over als ze dat gingen doen, wanneer en hoeveel. HELDERDER KON NIET!.

Er is geen enkele logische reden waarom het UWV, na al die beperkingen en bezuinigingen van de afgelopen jaren er zo'n enorme poppekast van heeft gemaakt.

[Reactie gewijzigd door mjansen2016 op 2 augustus 2018 05:25]

Er is geen enkele logische reden waarom het UWV, na al die beperkingen en bezuinigingen van de afgelopen jaren er zo'n enorme poppekast van heeft gemaakt.
Behalve dan het feit dat de fraude met ww uitkeringen hierdoor gehalveerd is.
Met nieuwe systeem kan je net zo makkelijk frauderen als het oude. Binnen het oude systeem kon je nog wel eens "per ongeluk" vergeten om dingen door te geven, en in het nieuwe pleeg je dan moedwillig valsheid in geschriften, dat klopt.

Alsnog, de belastingdienst en het UWV werken samen, en die boete komt dan achteraf wel op de mat vallen. Het lijkt me sterk dat minder fraude in dit geval tot minder financieel verlies heeft geleden, hooguit minder onderzoekjes en nazorg voor de ambtelijke molen die het toch al zo verschrikkelijk druk hadden.
Dat heeft er niets mee te maken!
Je dient er natuurlijk wel zelf voor te zorgen dat je met dergelijke aanvragen op tijd bent. En dat betekent niet op het allerlaatste moment nog zo'n rekening willen betalen. Doe dat met minimaal een paar dagen marge want dit soort dingen kunnen gebeuren. Dat was in het pre-digitale tijdperk ook gewoon zo.
Leuke verwoording, maar niets waard zonder storingen en zelfs onderhoud(!) duidelijker te communiceren (zijnde pro-actief in plaats van als je toevallig een paar dagen ervoor ingelogd was).

Vaker van werk.nl gebruik moeten maken en dan wil je een taak inleveren die over 2 dagen binnen moet zijn, maar je de rest van het weekend niet bij een internetlijntje zit... natrlijk zal op die vrijdagavond er gepland onderhoud zijn en alleen uitstel gegeven worden tot de volgende dag.

Op het moment dat hun systemen plat liggen en dat is mij niet vooraf bekend, is dat niet meer dan een overmachtssituatie voor mijn part. om dat tegen te kunnen spreken zou er minstens een daadwerkelijke mitigatiemethode/alternatief voorhanden mogen zijn; en die is er botweg al jren niet, en de problemen wl.
Ook ooit een inkomstenopgave moeten doen? Die op de eerste dag vd maand binnen moet zijn of anders komt je uitkering ook later? Daar kan je niet vooraf aan doen.
Misschien moet iemand van Digid hier eens kijken?
Volgens mij gebruikt DigiD de DDOS wasstraat van Equinix al (Datacenter voor rijksoverheid).
Met veel succes merk ik...
Je weet dat je met genoeg bandbreedte _alles_ plat krijgt..?
Het is denk ik niet echt wenselijk om de NaWas DigID te laten doorzoeken...
NaWas is anders behoorlijk transparant, Nederlands en zeer legit.
Ik weet niet of een overheidsorganisatie zoals DigiD wettelijk zo'n dienst als Nawas mag gebruiken, maar het is beter dan Cloudflare. Vooral omdat het scrubben van de packets op Nederlandse bodem plaatsvindt.
Wil je dat NaWas, het encrypte verkeer van digid gaat decrypten ?
Anders is er namelijk geen mogelijkheid voor NaWas om het verkeer schoon te maken.
Encrypt op welke manier, bedoel je?
SSL?
Ja, SSL. Is er een andere gangbare manier op https verkeer te encrypten?
Tweakers had ook NaWas aangezet, en zij hebben ook alles achter SSL.
Tweakers host echter niet informatie die zo gevoelig is als wat er aan DigID hangt...
Ja, maar SSL wordt toch niet ge-decrypted door een dienst zoals NaWas?
Ik weet de exacte technische werking van Nawas niet, maar het lijkt erop van wel.
Als ze alleen filtering doen op basis van IP had een 'simpele' firewall dat ook wel gekund, dan zou Nawas niet veel nut hebben anders dan een hoop bandbreedte. Nawas benadrukt zelf vaak dat verkeer gereinigd wordt wat in ieder geval de suggestie wekt dat het inderdaad grondig doorzocht wordt op zaken die er niet in horen.
Ik neem aan dat Nawas niet met verkeer zou rommelen, maar aangezien ze ook aftap mogelijkheden leveren is dat wat gevoeliger om die te combineren ;)
Hoe zou je anders de inhoud van die SSL-verbinding moeten kunnen wassen? daarvoor moet natuurlijk wel de inhoud zichtbaar zijn... daarvoor zal je MITM-achtige praktijken moeten uitvoeren wat moeilijker te verantwoorden is bij (inderdaad) gegevens met een dergelijke privacygevoeligheid.
TLS. SSL is niet meer.
Je hoeft toch geen inhoud van pakketten te lezen om erachter te komen of het legitiem verkeer betreft?
Hangt van het type aanval af. Bij een simpele udp flood is dit niet noodzakelijk maar zodra je op laag 7 trucs gaat uithalen zal die encryptie er eerst af moeten.
Dat is precies waar ik op doel. Het zal me overigens wel verbazen als het gemeengoed is dat private key's naar een DDOS-wasstraat worden gestuurd om deze filtering te kunnen uitvoeren op laag 7.
Er zijn wel meer overheidssites die hier gebruik van maken als een aanval dreigt. Bovendien voldoet NaWas naar mijn weten aan alle benodigde certificaten vereist voor websites die gebruik maken van DigiD zoals door hun is voorgeschreven. Ik denk dat dit geen probleem zou moeten zijn, zelf blijken ze het een iedergeval niet op te kunnen lossen.
Dat is inderdaad een goede reden :X
Lijkt erop dat dit al eens via de Nawas heeft gelopen
https://radar.qrator.net/...te=2018-08-01&tab=current

AS16243
Daar mogen banken geen gebruik van maken. 8)7
Aangezien dit nu voor de 3e dag gebeurt, waarom gooien ze de deur vanaf buitenlandse providers (AS codes) niet dicht?

Het enige nadeel is dat men vanuit het buitenland tijdelijk niet kan inloggen.

Mocht de aanval dan nog bezig zijn, ben je er iig zeker van dat het vanuit Nederlandse IP's komt
"Mocht de aanval dan nog bezig zijn, ben je er iig zeker van dat het vanuit Nederlandse IP's komt"
Hoe is dit relevante informatie?
"Mocht de aanval dan nog bezig zijn, ben je er iig zeker van dat het vanuit Nederlandse IP's komt"
Hoe is dit relevante informatie?
Omdat je dan sneller actie kunt ondernemen. Je kunt als politie zijnde vrij eenvoudig in Nederland ergens even aanbellen. Als het gaat om een Chinees/Russisch IP adres van een VPS provider wordt het een stuk ingewikkelder.
Zijn punt is dat je daar extern en potentieel legitiem verkeer niet voor hoeft te blokkeren. Aldus niet relevant.
De illusie dat je bij een DoS aanval altijd even de source kan vinden en aanpakken moet je kwijt zien te raken; het is extreem eenvoudig om een DoS of DDoS aanval te doen zonder als aanvaller zichtbaar te zijn, bijvoorbeeld door reflection + amplification attacks of botnets met Nederlandse adressen.
Maar je kan nu al zien van welke IP's het komt?...
Omdat een DDoS ook prima van Nederlandse adressen kan komen? Omdat er ook vanuit het buitenland wordt ingelogd? Omdat AS codes niet failsafe zijn (ik heb echt een Nederlandse zakelijke glasvezelverbinding maar de NOS denkt dat ik in het buitenland zit).
De NOS gebruikt dan dus ook niet de AS-nummers maar gebruikt een database zoals dat van Maxmind en laten ze deze databases nou net niet realtime updaten met alle gevolgen van dien.

Dat zelfde heb ik trouwens met diverse IP-Adressen bij mijn OVH Dedicated Servers. Frankrijk, Polen, Nederland, Spanje.... het is te selecteren. Volgens RIPE behoren die adressen ook tot die landen maar volgens Maximind is en blijft het gewoonweg Frankrijk.
Waarom zou men nu nog niet kunnen zien of het wel of niet verkeer vanuit Nederland betreft?
en wat kun je met die informatie? dat je niet vanuit het buitenland rechtstreeks kunt aanvallen wil niet zeggen dat de aanval niet uit het buitenland kan komen.
Is het tegenwoordig nog steeds zo dat ddos-aanvallen mogelijk zijn door de vele besmette oude windows-computers van over de hele wereld? Zo ja, dan zou het aantal genfecteerde systemen na verloop van tijd toch wel stap voor stap af moeten gaan nemen door de verbeterde beveiliging van Windows 10, Android en IOS en sowieso door het steeds dalende aantal desktops en laptops. Of zie ik iets over het hoofd?
Het gaat zeker niet alleen om (ver)oude(rde) windows PCs. Verkeerd ingestelde Web- en DNS(-relay)-servers worden bijvoorbeeld ook nog wel eens misbruikt, naast de zeer zwak beveiligde IoT-apparaatjes die allemaal mooi met het internet verbonden zijn :) (en zo kan je nog even bezig blijven :P).

[Reactie gewijzigd door eric.1 op 1 augustus 2018 12:11]

Het verplaatst zich allemaal, van oude Windows PCs hebben we nu een compleet nieuw segment, IoT's. Van IP camera's tot default-wachtwoord routers, alles wat is aan te passen, kan worden aangepast en toegang tot kan worden gekregen, kan onderdeel worden van een botnet.

Zelfs je smart-TV (als die gaten heeft) zou zelfs hiervoor gebruikt kunnen wordne.
Voor elke "oude windows bak" heb je nu 20 brakke IoT apparaten.
In 2020 zullen er zo'n 40miljard IoT devices zijn.
En dan te bedenken dat de S in IoT voor security staat.
over het algemeen zijn tegenwoordig reflectie- en amplificatie- aanvallen populairder dan pingfloods, hoofdzakelijk omdat je fouten in andermans resources gebruikt ipv zelf meer resources te moeten hebben.
(met DNS-amplificatie-aanvallen is het bijvoorbeeld mogelijk om met een vrij klein request een vele male grotere respons te krijgen, tot-aan wel 50:1 of 100:1 factoren.)
Misschien een gekke vraag, maar is er niet een beveiligd tegen DDOS? Weet wat DDOS is, maar ik vraag het me af. 8)7
Helaas is er niet heel veel wat je er tegen kunt doen. Uiteindelijk komt het neer op een wedstrijdje wie de grootste bandbreedte heeft. Er zijn "anti-DDOS" diensten (zoals cloudflare, akamai), die hun wereldwijde netwerk met praktisch onbeperkte bandbreedte hiervoor lenen. Het probleem is alleen, dat je om zo'n dienst te gebruiken, al je verkeer moet proxy'en via hun servers. En dat is nou net iets wat je voor iets kritisch als DigiD natuurlijk niet wilt doen.

Rest dus de enige andere optie: Het kat-en-muis spelletje spelen waarbij je slimme blokkades instelt om kwaadwillend verkeer van het legitieme te scheiden. Dat is niet altijd makkelijk bij DDOS aanvallen, en werkt eigenlijk alleen reactief omdat je eerst het verkeer moet analyseren.
Je kan het ook op datacenter layer uitvoeren, zoals Nawas. Bij kom dan gewoon op hun server uit, echter zie je de NaWas anti-DDOS dienst ertussen. Je hoeft niet eens te proxin. het is echter alleen eenvoudig te doen als je een eigen AS-number hebt.of minimaal een eigen colo. Cloudflare is ook wel leuk, maar dat is mer voor mensen die zich niet bekommeren om proxy'en en die minimaal de nameserver kunnen aanpassen van hun domein.

[Reactie gewijzigd door AW_Bos op 1 augustus 2018 12:28]

Cloudflare is ook wel leuk
Door een proxy heen authenticeren. 8)7 Ik hoop dat je weet hoe slecht dat idee is. Cloudflare is een Man In The Middle-attack die je zelf installeert. Het bijna nog slechter dan al het verkeer decrypten zodat het door nawas kan.
Of je leest de rest na die zin nog even.
De verbinding naar jou server is een soort autoweg tunnel, jij bent eigenaar van de tunnel en hebt belang bij de juiste doorstroming van die tunnel maar je kan er eigenlijk geen reet aan doen als er in n keer 4x meer auto's aan komen dan jou tunnel kan verwerken in een acceptabel tijdsbestek en dus gaat dat ding op slot.

Er is wel wat tooling waar je wat mee kan doen en dure firewall oplossingen die daar misschien heel slim in zijn tegenwoordig maar het komt er eigenlijk gewoon op neer om meer capaciteit te hebben dan ze neer kunnen halen.
Als je gewoon een specifiek ding hebt wat op een specifiek budget werkt is dat eigenlijk altijd een uitdaging. Zeker bij zo'n digid met beveiligings implicaties stuur die die niet even via een boer zoals cloudfare die hier mee kan om gaan zoals mcDavid terecht opmerkt.

[Reactie gewijzigd door Koffiebarbaar op 1 augustus 2018 12:22]

Wachten nu al maanden op een alternatief privaat alternatief. Accepteer IDIN gewoon.
Grappig: als er wat in het private domein fout gaat wordt er hier geroepen dat de overheid het moeten doen andersom gebeurt hetzelfde. Wat willen we nou?
Wat willen we nou?
We willen dat het werkt. Altijd en zo goed mogelijk. Hoe dat moet boeit me niet echt, ik heb het niet bedacht.

Het feit dat het nu al drie dagen speelt suggereert dat het gewoon kan voortgaan. Sterkte aan allen die het nu even nodig hebben. Mij zien ze pas weer ergens in het volgend voorjaar.
Dan bedenk eerst maar eens aan welke regels een dergelijk systeem moet voldoen;
  • Veilig
  • Snel
  • Altijd beschikbaar
  • Gebruikersvriendelijk
  • Flexibel, zodat alle overheidsinstanties het gebruiken
  • Overzichtelijk
  • Beheerbaar
  • Makkelijk te upgraden indien er een lek gevonden wordt
  • Stabiel
  • DDOS bestendig
  • Betaalbaar
En dit is een lijstje dat ik in 3 minuten heb kunnen verzinnen, de overheid zal vast nog wel wat meer eisen hebben.
Ik kan uit deze lijst zo al 4*2 items pakken die elkaar bijten (veilig en gebruikersvriendelijk, flexibel en beheerbaar, stabiel en makkelijk te upgraden, altijd beschikbaar en betaalbaar). Er zal dus altijd een afweging en een juiste beslissing gemaakt moeten worden.

DigID is geen geweldig product en het heeft zeker de nodige tekortkomingen (geen verplichte MFA bijvoorbeeld, zelfs als je dat wel hebt ingesteld in je accountinstellingen), maar het doet wel wat het behoort te doen, namelijk de burger op een eenduidige manier laten inloggen bij overheidsdiensten.

Ga maar eens voorzichtig denken hoe jij dit zou doen.
Daarnaast vind ik IDIN dus weer geen passende oplossing, IDIN is voor commerciele doeleinden ideaal, maar bij mij gaat de schoen wringen als ik een bank-login moet gaan gebruiken voor zaken doen met de overheid. Die twee zijn gescheiden en dat hoort ook zo te blijven (naar mijn niet al te bescheiden mening).
Ga maar eens voorzichtig denken hoe jij dit zou doen.
Neen. Zoals gezegd, ik heb het niet bedacht. Ik wil dat het werkt.
Het grootste deel van mijn leven hadden overheden geen Digid en internet. Nu het gebruik ervan mij wordt opgedrongen wil ik dat het werkt. En goed. En altijd.
En meestal werkt het dus. Nu werkt het minder, omdat er een stelletje idioten zijn die het leuk vinden om een DDOS aanval te doen op DigID. Ja er zijn beschermingen voor mogelijk, maar ook deze zijn niet zomaar neergezet, daarnaast is het ook nog eens de vraag wat deze beschermingen voor effect hebben op normaal verkeer, dus niet alleen het inloggen op DigID, maar ook de koppellingen met andere overheidsdiensten en -websites.
Je wil gewoon dat het werkt, het probleem is alleen dat DigID met alles er omheen een heel stuk gecompliceerder is dan het login formulier op tweakers, maar ook gecompliceerder is dan IDIN (puur vanwege het grote aantal organisaties en diensten waar DigID mee moet communiceren).

De eisen die je stelt, zorgen gewoon voor een verveelvuldiging van de kosten voor DigID (die al niet te flauw zijn). Wie gaan die extra kosten betalen? Uiteindelijk ben jij dat als burger.

Verder is de opmerking van @Dwarlorf ook erg treffend. Brieven konden natuurlijk niet verloren gaan, belasting aangiftes per post gingen ook altijd goed en duidelijk, het aanvragen van vergunningen, inzien van je pensioen, de WOZ waarde van je huis, het aanpassen van gemeentebelastingen (voor je hond bijvoorbeeld), dat ging natuurlijk allemaal veel sneller, beter en eenvoudiger toen het nog niet digitaal kon of wel?
De ouderwetse post is inderdaad ook een ellende (vertraging, niet aankomen) maar laten we wel wezen, je kan beschermingen inbouwen tegen DDOSen die het in ieder geval veel moeilijker maken voor sneue scriptkindjes om dit te doen. Verder mogen de mensen die de software schrijven die deze kindjes hiervoor gebruiken ook wel wat meer verantwoordelijkheid nemen en die software minder n00bvriendelijke maken zodat ze het niet kunnen gebruiken. Je gaat toch niet een pistool aan een peuter geven, dit is hetzelfde. Mensen die geen enkele programmeervaardigheid hebben geef je middelen waarmee ze veel schade kunnen aanrichten, in ieder geval kan je bij goede programmeurs nog hopen dat ze voldoende verstandig zijn dat ze het niet misbruiken voor zoiets maar enkel voor activisme inzetten (tegen oliebedrijven, ondemocratische regimes, een FCC die de netneutraliteit afschaft of zo), met het DDOS'en van DigiD benadeel je enkel de gewone burgers.

[Reactie gewijzigd door CHBF op 1 augustus 2018 15:57]

Want vroeger met bellen en brieven sturen werkte alles natuurlijk vlekkeloos en vooral ook sneller. Als digid er 3 dagen uit ligt is het nog sneller dan wachten op een antwoord op een brief die je verstuurd hebt naar een overheids instantie.

[Reactie gewijzigd door Dwarlorf op 1 augustus 2018 13:20]

Behalve dat de processen via DigiD er tegenwoordig vaak ook op ingespeeld worden om binnen 1 dag uitgevoerd te laten worden... beetje jammer als op die dag dus een DDOS plaats vindt (zoals gister, de 1e van de maand mogen mensen die een WW ontvangen hun inkomstenopgave doen en als zij dit later doen, is de uitkering ook al later, die op het moment van invullen eigenlijk al te laat is.)
Alsof idin niet vatbaar is voor een dos aanval. Idin is een alternatief gedragen door de banken en ook die zijn regelmatig onbereikbaar door een dos aanval.
Of Idensys, hiermee kun je je authenticeren bij meerdere private partijen. (Het gebruik van iDIN bij Mijn Belastingdienst is op dit stelsel gebaseerd)
"Accepteer IDIN gewoon".

Nee, IDIN is een heel slecht alternatief:
- Gebaseerd op - inmiddels verouderde - iDEAL ontwerpen.
- Privacy van de eindgebruiker is - by design - niet geborgd (zie ook voorgaande punt).
Vervelende tieners incoming... moet echt eens klaar zijn met die makkelijke wegen om een DDOS uit te voeren.. Bestaan nog teveel websites waar je voor een klein bedrag een aanzienlijke hoeveelheid connecties kunt inkopen om daarmee een "DDOS" uit te voeren.. Enige wat je doet is de server stressen want meer dan poort 80 doen ze vaak niet die scriptkiddo's.. Doe het goed, of doe het niet.. :+
Doe het goed, of doe het niet.. :+
Dus jij wilt dat alleen pubers ophouden maar je vind meer geavanceerde aanvallen wel okay?

En zolang er landen zijn waar wetgeving niet bestaat of gewoon niet gehandhaafd word is het idee om dit soort services te verbieden natuurlijk niet erg mogelijk.
Je kan een heleboel verschillende soorten aanvallen kopen, de pingflood is zelfs relatief impopulair omdat die duurder is (door de grotere hoeveelheid benodigde bandbreedte). Dit lijkt mee te werken in de trend dat er meer repli- en amplificatieaanvallen lijken te gebeuren dan simpele ping/echofloods.
Fijn als je de parkeeractie van een gast in Amsterdam wilt stopzetten maar al uren niet kan inloggen.
Nu kost het nodeloos geld. Gisteravond was DigiD ook al erg slecht bereikbaar.
en het is weer zomervakantie... ieder jaar terugkerend
En ondertussen zit de verveelde tiener die hier misschien wel voor verantwoordelijk is, lekker op zijn zolderkamertje hier op Tweakers ondertussen in alle rust dit artikel door te lezen, en zit zich wellicht wel helemaal kapot te lachen, op de ideen die hier in de reacties zoal in de groep worden gegooid, over wat en wie het wel eens zou kunnen zijn die dit veroorzaakt.

Ik zou er werkelijk waar nog niet eens raar van opkijken ook, wanneer dit zo zou blijken, weten jullie dat, echt werkelijk.
Dat was toch met die gast van Bunq? Die kreeg niet eens een zaak omdat Bunq het zielig vond. Die jongen is uiteindelijk door z'n sensatie zoeken op Tweakers nog ontdekt ook.


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True