DigiD binnenkort zes uur plat vanwege verhelpen kwetsbaarheid

Overheidsinstantie Logius legt DigiD over anderhalve week zes uur plat om een kwetsbaarheid aan de servers te verhelpen. Het zou wellicht gaan om een kwetsbaarheid die vorige maand openbaar is gemaakt door een beveiligingsbedrijf.

DigiD zal niet werken op maandag 6 februari van twaalf uur 's nachts tot zes uur 's ochtends, blijkt uit een melding van Logius die door NOS-verslaggever Jeroen Wollaars online is gezet. In die tijd kan niemand dus inloggen met zijn of haar DigiD. Logius voert in die tijd een serverupgrade uit, waardoor de servers achter DigiD niet langer kwetsbaar zijn voor een Denial of Service-aanval. Logius geeft verder geen details over de aard van de kwetsbaarheid. Volgens de NOS kan het ook zijn dat Logius de kwetsbaarheid eerder verhelpt.

Security.nl brengt de melding in verband met een kwetsbaarheid die door het beveiligingsbedrijf n.runs is geopenbaard. Bij het exploiteren van die kwetsbaarheid, die bestaat in verschillende programmeertalen, kunnen kwaadwillenden een DoS-aanval uitvoeren door middel van hash collisions. Door die hash collisions kan de kwaadwillende de cpu van een server volledig belasten, waardoor die geen andere verzoeken meer aankan en dus niet meer bereikbaar is.

Logius: DigiD plat om kwetsbaarheid op servers te verhelpen (bron: @wol)

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 27-01-2012 17:13 30

27-01-2012 • 17:13

30

Lees meer

Ombudsman: Nederlanders in buitenland kunnen nu ook DigiD aanvragen
Ombudsman: Nederlanders in buitenland kunnen nu ook DigiD aanvragen Nieuws van 22 juli 2014
Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update
Overheid haalt DigiD offline vanwege ernstig beveiligingsprobleem - update Nieuws van 9 januari 2013
DigiD kampt met login-problemen - update
DigiD kampt met login-problemen - update Nieuws van 21 mei 2012
Hash collision maakt dos-aanval op webservers mogelijk
Hash collision maakt dos-aanval op webservers mogelijk Nieuws van 29 december 2011
Gemeente Eindhoven raakt DigiD-koppeling kwijt
Gemeente Eindhoven raakt DigiD-koppeling kwijt Nieuws van 27 oktober 2011
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten Nieuws van 17 september 2011
Browsermakers geven nieuwe versies uit na DigiNotar-blunder
Browsermakers geven nieuwe versies uit na DigiNotar-blunder Nieuws van 30 augustus 2011
'Ook gesigneerde Windows-bestanden gevoelig voor md5-collision'
'Ook gesigneerde Windows-bestanden gevoelig voor md5-collision' Nieuws van 20 januari 2009
MD5 opnieuw onder vuur na publicatie 'collision'-code
MD5 opnieuw onder vuur na publicatie 'collision'-code Nieuws van 16 november 2005
Onderzoekers verbeteren SHA-1-aanval
Onderzoekers verbeteren SHA-1-aanval Nieuws van 20 augustus 2005
Mogelijkheid ontdekt om hashing te omzeilen
Mogelijkheid ontdekt om hashing te omzeilen Nieuws van 15 juni 2005
SHA-1 gedeeltelijk gekraakt door Chinese onderzoekers
SHA-1 gedeeltelijk gekraakt door Chinese onderzoekers Nieuws van 17 februari 2005
Meer producten en artikelen
Privacy Beveiliging Nederland Overheid

Reacties (30)

-Moderatie-faq
30
26
21
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
DDX 27 januari 2012 17:32
Maar hebben ze dan geen normaal onderhoudswindow waarin dit soort patches installed worden ?
En dan neem ik aan dat ze meerdere loadbalanced webservers hebben, waardoor je gewoon zonder downtime van je website deze patches kan installeren ?
jiriw @DDX27 januari 2012 17:54
Ik heb voor de aardigheid eens op de Logius website gekeken... De Gepland onderhoud pagina is blanco. Of hij is niet bijgewerkt of ze hebben normaalgesproken geen gepland onderhoud.

http://www.logius.nl/actueel/onderhoud/
Verwijderd 27 januari 2012 17:18
kwetsbaar en online blijven... strakke actie!
ari @Verwijderd27 januari 2012 17:19
Het gaat om een kwetsbaarheid voor een DoS-aanval. In zo'n geval gaat de boel plat maar is de veiligheid van gegevens niet in het geding. Je kunt dus de boel preventief platgooien zodat een ander dat niet voor je doet, maar wat daar het nut van is... }:O
Verwijderd @ari28 januari 2012 00:47
Het is natuurlijk wel degelijk nuttig, Digid is een behoorlijk 'belangrijk' systeem, dat moet niet te makkelijk plat te leggen zijn. Maar 6 uur is wel erg lang voor het verhelpen van een bekend probleem... Tenzij ze maar gelijk besloten hebben om over te gaan op andere software, maar zelfs dan is het lang.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 22:30]

Webgnome @Verwijderd28 januari 2012 09:06
Is 6 uur lang voor het verhelpen van een bekend probleem? Als je niet precies weet (Technisch) hoe het probleem in elkaar zit kun je daar toch ONMOGELIJK een uitspraak over doen?
jiriw @Verwijderd27 januari 2012 17:22
Als het een kwetsbaarheid is als deze lijkt te zijn is het 'kwaad' wat aangericht kan worden (niet bereikbare DigiD servers door een DoS) nog wel te overzien. Dan kan je beter een onderhoudswindow inplannen dan dat je in paniek al je servers offline haalt (wat veel meer schade toebrengt).

<edit> In het geval dat je zin niet als sarcasme is bedoeld maar je het werkelijk meent: Inderdaad, een strakke actie. Een overheidsinstantie die keurig de risico's tegen elkaar afweegt (schade door DoS, schade door ongeplande downtime) en beheerst z'n besluiten neemt. Goh, het lijkt wel of ze eindelijk professioneel worden daar bij de overheid ;)

<edit2> inderdaad DoS, niet DDoS, dank je Senzune. Dus in theorie zou dan een computer genoeg moeten zijn om een DigiD server lam te leggen. Dus hierbij een oproep aan iedereen: even anderhalve week netjes zijn, dan kan ik tenminste rustig mijn belastingaangifte versturen. Tenzij je natuurlijk vindt dat DigiD de wederkomst is van de duivel op aarde; in dat geval kannoneer ze.

[Reactie gewijzigd door jiriw op 23 juli 2024 22:30]

Verwijderd @jiriw27 januari 2012 17:25
Het gaat hier wel om een DoS, in plaats van een DDoS, uitgaande van het artikel. Ik vermoed dat met genoeg vuurkracht in een ionenkanon de service toch nog onderuit gehaald kan worden.
Soldaatje @Verwijderd27 januari 2012 17:24
Ja, is wel vreemd dat ze erbij zeggen wat de kwetsbaarheid is en dan anderhalve week open laten staan.
Niet echt verstandig en onnodig; niemand hoeft dit te weten.
ari @Soldaatje27 januari 2012 17:30
De kwetsbaarheid was al bekend. Anderhalve week klinkt wat lang, maar je weet niet welke voorbereiding noodzakelijk is. In dit geval zou ik er juist wel voor kiezen om de aard van de kwetsbaarheid erbij te zetten; dat stelt mensen gerust omdat ze niet hoeven te vrezen voor hun gegevens.
hrodenburg 27 januari 2012 17:23
Het gaat om een DOS kwetsbaarheid. Dat wil dus niet zeggen dat er potentieel gegevens buit gemaakt kunnen worden. Dus dan gewoon online blijven en een goed maintenance window schedulen lijkt mij een goede keuze.
Sorcerer8472 27 januari 2012 17:50
"Ze kunnen misbruikt worden voor ddos" klinkt toch alsof het een ander probleem is dan die hash-collisions.

Sowieso is dat probleem te verhelpen door de suhosin-patch (iig bij PHP) waarvoor alleen een korte restart per server nodig is, van max. een paar seconden om bijv. 04u 's nachts.
Helsie 27 januari 2012 20:22
Wat een telegraaf bericht zeg, alsof dit zo'n ontzettende scoop is. :z

Meeste onderhoudswindows zijn een stuk korter, maar dit is gewoon een aangegeven ruimte waarin het plaatsvindt. Beter vooraf een ruimere marge nemen zodat je bij roll back nog tijd hebt om terug te gaan (en vooraf ook de roll back mogelijk te maken), dan tijdens het onderhoud je onderhoudswindow moeten uitbreiden. Maar al die nerds hier met hun thuispc weten het natuurlijk een stuk beter.

[Reactie gewijzigd door Helsie op 23 juli 2024 22:30]

Keypunchie
27 januari 2012 20:51
Mag hopen dat ze in dat maintenance-window echt groot onderhoud hebben. Als het puur patchen is van de webservers, dan kunnen ze dat toch gefaseerd doen, zonder dat eindgebruikers er ook maar iets van hoeven te merken?

(Server uit de loadbalancing halen, wachten tot alle sessies afgelopen zijn, patchen en weer terug in de loadbalancing Herhaal tot alle servers gepatcht zijn.)
Will_M 27 januari 2012 23:05
NCSC (voormalig GovCERT) is wat dat betreft best goed bij.... 't Zijn vaak alleen de overheidsinstanties (zélf) die er niks/amper wat mee doen.

Het hier beschreven issue is waarschijnlijk: dit ... en dat speelt al sinds vorig jaar (inmiddels versie 1.11 qua bulletin).

[Reactie gewijzigd door Will_M op 23 juli 2024 22:30]

Hack_The_Planet @Will_M30 januari 2012 00:01
Misschien moeten ze bij het rijk en de belasting diensten eens interne Hollandse it'rs nemen!! Of anders ING bank blijven na doen dan leg je er zo een wk uit!!
mtoneman 27 januari 2012 17:29
Niet te geloven, wat een gepruts! 8)7

De hash collision vulnerability kan je met een application firewall of een load-balancer makkelijk afvangen. Zelf al wil/moet je je application servers herconfigureren/patchen dan moet dat eenvoudig zonder downtime kunnen. Als dat niet kan dan heb je een ernstige architectuurfout gemaakt waar iemand eens goed naar moet kijken.
ASS-Ware @mtoneman27 januari 2012 18:01
Niet te geloven, wat een gepruts! 8)7

De hash collision vulnerability kan je met een application firewall of een load-balancer makkelijk afvangen. Zelf al wil/moet je je application servers herconfigureren/patchen dan moet dat eenvoudig zonder downtime kunnen. Als dat niet kan dan heb je een ernstige architectuurfout gemaakt waar iemand eens goed naar moet kijken.
Misschien is dat bij het ontwerp ingecalculeerd en zijn er kosten gedrukt omdat men normaalgesproken de DigiD dienst niet nodig hebt in de nacht van zondag op maandag.
Gomez12 @mtoneman27 januari 2012 18:23
Waarschijnlijk vinden zij een application firewall of een load-balancer juist gepruts...

Ik vermoed zomaar dat die er momenteel al tussenzit en dat die het tijdelijk opvangt.

Over anderhalve week komt dan de echte patch die ervoor zorgt dat het nergens meer kan en dat kost simpelweg tijd.
Verwijderd @mtoneman27 januari 2012 20:51
Neem van mij aan dat DIGID al wel een load balancer gebruikt! Zou vreemd zijn als heel Nederland op 1 terminal inlogd!?
Ajunne 27 januari 2012 18:11
Haha grappig, ik ga volgende week dezelfde fix uitrollen bij een niet nader te noemen telecombedrijf. Alleen heb ik er welgeteld 5 minuten voor nodig. Begin ik me toch weer af te vragen hoe ze deze patch erin gaan draaien...
Verwijderd @Ajunne27 januari 2012 18:52
Wellicht gaan ze ook nog wat hardware vervangen etc?
Beetje gewaagd om nu al te zeggen dat ze over anderhalve week even plat gaan om een fix voor een mogelijke DOS aanval aan te brengen. Dat is bijna een uitnodiging.
Kenhas 30 januari 2012 09:01
Mooi aangekondigd en ruim de tijd om er rekening mee te houden. Iedere overheidsdienst zou zo moeten werken, we waren weeral een stapje dichter bij de "ideale wereld" ;)

Mensen vinden zes uur lang om iets te updaten. Maar ik lees nergens dat het DOS-probleem het enigste probleem is dat verholpen zal worden. Er is misschien een hele waslijst die moet opgelost worden.

Je moet ook tijd inbouwen dat je één en ander kan terugzetten mocht het mislukken.

En natuurlijk marge inbouwen. Kan evengoed na één uur al gedaan zijn. Zeggen dat je zes uur plat gaat en na een uur weer online zijn is nog altijd beter dan zeggen dat het één uur plat gaat en uiteindelijk zes uur plat gaan

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq