'Goedkope hack laat creëren van identiteiten in Indiaas overheidssysteem toe'

Een goedkope patch voor de enrollment-software van het Indiase overheidssysteem Aadhaar maakt het mogelijk om de veiligheidseisen van de software te verlagen om zo makkelijker identiteiten binnen het systeem aan te maken. De patch circuleert op WhatsApp.

De Indiase editie van HuffPost meldt dat dit de bevindingen zijn van een eigen onderzoek dat drie maanden in beslag nam. De krant heeft verschillende beveiligingsonderzoekers geraadpleegd en die bevestigen de bevindingen. De patch is voor een bedrag van 2500 roepies, omgerekend ongeveer 30 euro, in een groot aantal WhatsApp-groepen te verkrijgen.

De patch is bedoeld voor de enrollment software van het zogenaamde Aadhaar-systeem. Die software wordt gebruikt om een twaalfcijferig nummer te genereren in het overheidssysteem. Daaraan kunnen vervolgens weer andere gegevens gekoppeld worden, zoals vingerafdrukken en irisscans. HuffPost meldt dat door de eenvoudige verkrijgbaarheid van de patch de integriteit van de gegevens in de Aadhaar-database in gevaar komt.

Met de patch zou het voor 'iedereen op de wereld' mogelijk zijn om Aadhaar-nummers te genereren. De site schrijft: "Dit heeft significante gevolgen voor de nationale veiligheid, vooral nu de Indiase overheid heeft geprobeerd om Aadhaar-nummers de gouden standaard te maken voor de identificatie van burgers en ze verplicht te stellen voor het gebruik van een mobiele telefoon of het toegang verkrijgen tot een bankrekening."

HuffPost legt uit dat de overheid in 2010 besloot om het aanmelden van mensen in het Aadhaar-systeem uit te besteden aan private partijen, zodat dit sneller zou verlopen. Die partijen kregen de beschikking over de zogenaamde Enrolment Client Multi-Platform-software, die ze op hun computers moesten installeren. Het aanmelden kon ook worden gedaan door 'village-level computer kiosks', die tot februari van dit jaar goed waren voor een totaal van 180 miljoen aanmeldingen. In diezelfde maand besloot de overheid alleen nog banken en overheidsinstellingen Aadhaar-aanmeldingen te laten uitvoeren, vanwege zorgen over corruptie. Daardoor verloren veel mensen werk en ontstonden er WhatsApp-groepen om de software alsnog te kunnen gebruiken.

Een van de ondervraagde beveiligingsexperts zegt tegen de site dat het veiliger was geweest om een web-based systeem te bouwen. Dat idee werd echter verworpen doordat grote delen van India slecht internet hadden. De software is wel voorzien van veiligheidsmaatregelen. Zo moet een computer eerst aangemeld worden voordat deze gebruikt kon worden voor enrollment, moet de beheerder een irisscan of vingerafdruk ter verificatie afgeven en moet de computer verbonden zijn met een gps-module om de locatie te bepalen.

De patch maakt het volgens HuffPost mogelijk om deze maatregelen te omzeilen. Zo is de biometrische authenticatie uit te schakelen, net als de controle op een aanwezige gps-module. Daarnaast worden de eisen voor een irisscan verlaagd, waardoor de software eenvoudiger voor de gek te houden is met bijvoorbeeld een foto. De installatie van de patch zou niet moeilijk zijn, de site spreekt van 'knippen en plakken van bestanden'. Een van de ondervraagde experts zegt tegen de site dat het aanmaken van Aadhaar-nummers bijvoorbeeld kan leiden tot fraude met rantsoenen, die per persoon worden toebedeeld.

De Aadhaar-gegevens zijn in beheer bij de zogenaamde Unique Identification Authority of India, oftewel Uidai. Een registratie in het systeem fungeert als identiteitsbewijs, maar niet als bewijs van burgerschap. Het systeem is omstreden, onder meer door twijfels over de beveiliging en haalbaarheid van de doelstellingen, zoals het elimineren van dubbele en valse identiteiten, en snelle en eenvoudige verificatie. Het eerste nummer werd in 2010 afgegeven en inmiddels zijn er in totaal ongeveer 1,2 miljard nummers afgegeven op ruim 1,3 miljard inwoners van India. Indiase overheidsinstanties zouden tot nu toe niet gereageerd hebben op vragen van HuffPost.

De Uidai heeft op Twitter wel gereageerd op de publicatie van het artikel en noemt de claims 'volledig incorrect en onverantwoordelijk'.

Reacties (30)

Kineau 11 september 2018 16:23

https://twitter.com/UIDAI/status/1039514506869624832

Zelf zeggen ze dat er niets aan de hand is...

kodak

Beveiliging en antivirus
Privacy

@Kineau • 11 september 2018 21:44

Ik lees tweets waarin beweringen worden gedaan die de indruk wekken dat er niets aan de hand zou zijn. Met argumenten die mogelijk relevant maar ook argumenten die irrelevant zijn. Verder lees ik pogingen om de boodschappers in diskrediet te brengen door het onderzoek in twijfel te trekken. Maar in tegenstelling tot de journalisten en onderzoekers doet hun pr machien geen enkele poging om bewijs te leveren. Ik geloof eerder de onderzoekers en huffington post dan de persoon achter dat twitteraccount dat in korte tijd al beweringen durft te doen dat er niets aan de hand is. Het mooi voor doen en hard schreeuwen lijkt voor dat account belangrijker dan bewijs.

MrMonkE @Kineau • 11 september 2018 16:31

Dat is cultuur daar dus daar zou ik niet blind op varen.

RobbieB @MrMonkE • 11 september 2018 16:41

Je opmerking is vrij kort, maar slaat de spijker op de kop. Vanuit mijn professie vaak genoeg te maken met Indische partijen (It outsourcing) en waar de cultuur in NL is ‘fouten zijn niet erg, maar meld het, want dan kan er wat aan gedaan worden’, is het in India het tegenovergestelde. Daar wordt je van jongs af aan al aangeleerd dat fouten maken fout is en je nooit in een hogere kaste zult belanden als je fouten maakt. Het gevolg is dat al die IT lui daar alles verzwijgen en zelf ‘nooit’ fouten maken. Zelfs als je het aantoont weigeren ze fouten toe te geven.
Ik heb menig incident gehad dat 10x zo snel opgelost was als ze daar open waren over de zaken die ze zelf verklooien...

Het verbaast me dan ook niet dat de houding in dit geval niet anders is...

MrWouterNL @Kineau • 11 september 2018 16:28

Ik haal eruit dat er tenminste geen data uitgelekt wordt, wat tenminste fijn is.. Toch apart dat dit kon gebeuren

Kineau @MrWouterNL • 11 september 2018 16:32

https://scroll.in/latest/...-lakhs-of-aadhaar-details

https://twitter.com/fs0c131y/status/967828179074330624

*wat (schijnbaar) niet meer gebeurt.

Edit: Twitter berichten toegevoegd

[Reactie gewijzigd door Kineau op 25 juli 2024 06:32]

increddibelly @MrWouterNL • 12 september 2018 09:00

Heh, dit is eerder andersom, er sijpelt data naar binnen ipv dat er data lekt

Frituurbaas @MrWouterNL • 11 september 2018 18:16

ja, er wordt geen data gelekt maar wel data toegevoegd wat nog veel erger is. Zeker als Pakistan en India een volkstelling doen om indruk te maken op elkaar qua inwonersaantal en potentieel aantal reservisten.

Verwijderd @Frituurbaas • 11 september 2018 18:53

Houd ook in dat je heel makkelijk een nieuwe neppe paspoort letterlijk kan bestellen in India.

Frituurbaas @ToolBee • 11 september 2018 19:10

Men zou zomaar een samenzweringstheorie kunnen lanceren dat dit lek opzettelijk door de Indiase overheid is gecreëerd :-)

ToolBee @Frituurbaas • 11 september 2018 19:27

Aan de andere kant: Kan ik nu naast internet-Est ook internet-Indiër worden?

NSG @Kineau • 11 september 2018 16:42

Natuurlijk beweren ze dat, Aadhaar is tenslotte "Hack-Proof"!

https://www.troyhunt.com/...ervable-security-posture/

zarex @NSG • 12 september 2018 09:52

Thanks voor de link, goed artikel!

Auteur

duqu @Kineau • 11 september 2018 16:44

Dank, voeg ik toe

kodak

Beveiliging en antivirus
Privacy

@Bensimpel • 11 september 2018 21:48

Kan je uitleggen wat de relevantie zou zijn. Je wekt zo wel erg de indruk dat je aan het trollen bent.

Bensimpel @kodak • 11 september 2018 21:53

Er worden in India veel nepberichten verspreid om onrust te creëren. Er zijn al honderden lynch partijen geweest op onschuldige mensen.

Dit kan ook zo'n nep bericht zijn.

kodak

Beveiliging en antivirus
Privacy

@Bensimpel • 11 september 2018 23:44

De nepberichten zijn vaak te herkennen aan het gebrek aan onderbouwing en deze berichten in India gaan vaak alleen via whatsapp rond.

Laten we dan de twee kanten even bekijken:
De HuffPost India komt zelf met het bericht. Het lijkt me sterk dat ze in hun eigen berichten kunnen trappen. Maar laten we dan voor de zekerheid even verder kijken naar de onderbouwing. De HPI stelt dat de patch via whatsapp verkrijgbaar is. Daar laten ze het niet bij, HPI schrijft de patch ook te hebben. En ze schrijven de patch ook te hebben laten testen, door 3 internationale onderzoekers en 2 onderzoekers van een Indiase universiteit. De belangrijkste conclusie is dat de patch gemaakt is om beveiliging ongedaan te maken en er is omschreven hoe dat werkt. Ze schrijven niet dat de patch ook echt werkt.

De andere kant is het verweer van UIDAI, verantwoordelijk voor het Aadhaar systeem. Dat verweer bestaat uit enkele tweets waarin ze beweren dat de berichten dat de software zou werken incorrect en onverantwoord zijn. De enige onderbouwing die ze geven zijn beweringen dat hun beveiliging goed is en het dus voorkomt. Opmerkelijk is dat ze niet stellen dat ze ook echt gecontroleerd hebben dat die software geen invloed heeft.

Het bericht van de HPI voldoet niet aan een klassiek beeld van een nepbericht. Ik zou eerder de reactie van UIDAI in aanmerking laten komen om niet te snel te geloven.

Kineau 11 september 2018 16:38

It'll Take 13 Billion Years for a Supercomputer to Hack Aadhaar Data: UIDAI Boss to SC

Je gelooft het niet

Standeman @Kineau • 11 september 2018 16:51

Als je de 2048 bit RSA key will brute forcen klopt dat helemaal. Maar er zijn blijkbaar nog zat andere attack vectors.

Je kan wel een gehard stalen deur met een zeer ingewikkeld slot plaatsen waar niet door heen te komen is, maar met een stoeptegel door het raam kom je ook wel binnen.

Xorgye @Standeman • 11 september 2018 19:50

De software is gewoon client-server software met off-line capability. De server heeft goede beveiliging, net zoals de key die ze uiteindelijk aan de mensen geven.

Maar de client software: die wordt niet (goed) gevalideerd. En ze vertrouwen alle clients...
Dus de hack is om gewoon de client software aan te passen en de server laten denken dat alles in orde is.

Oftewel: hele sleutel verhaal omzeilt, gewoon via de voordeur naar binnen maar wel met een masker op.

Standeman @Xorgye • 11 september 2018 20:06

Dat bedoel ik met het stoeptegel verhaal. Je kan een geweldige veilige deur hebben, maar als het raam enkel glas is heeft die deur weinig zin.

De software kan zich niet autheticeren als officieel en dan krijg je dit soort problemen.

jqv @Kineau • 11 september 2018 16:59

Er staat niet welke supercomputer en uit welk jaar. Een supercomputer uit 1990 zal er zo te zien moeite mee hebben...

Ze hebben daar veel korreltjes zout om te gebruiken.

Standeman @jqv • 11 september 2018 20:08

Elke super computer* heeft moeite met RSA en een 2k sleutel. Dat kost je als nog miljarden jaren met een brute force.

Het is een kwestie van wiskunde.

* Met uitzondering van toekomstige quantum computers

[Reactie gewijzigd door Standeman op 25 juli 2024 06:32]

GeoBeo 11 september 2018 16:40

Is het nou mogelijk om hiermee de Indiase nationaliteit te krijgen? Of gaat het niet zo ver?

Burgerschap is niet mogelijk (inwoner worden van), maar nationaliteit dan?

[Reactie gewijzigd door GeoBeo op 25 juli 2024 06:32]

Dennisdn @GeoBeo • 11 september 2018 22:09

Jammer dat het stuk er niet verder op in gaat. Ik vroeg me ook af of alleen personen aangemaakt kunnen worden of een complete indentiteit kan worden gemaakt in het systeem. Waarbij in het gunstigste geval valse uitkeringen worden aangevraagd, maar in het ergste geval terroristen een valse identiteit aan kunnen nemen.

RatedR @Dennisdn • 12 september 2018 09:05

Ik denk niet dat er veel uitkeringen aan te vragen zijn in India

MrHankey 11 september 2018 18:31

Dat India, veel te groot om zo onverantwoord met tech om te gaan. Zoveelste mondiale kloteaktie, na antibiotica dumps en de plastic rivieren, nu dus massa identiteitsfraude. Boycot plz

Rouwette 12 september 2018 07:40

Waar kan ik me aanmelden?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (30)

Sorteer op:

Weergave: