Archief
- De topics van lang geleden
Geen beveiliging voor DigiD op toeslagen.nl!
15-09-2007, 16:37 door Titus Nachbrenner, 15 reacties
Zojuist wilde ik mijn zorg- en huurtoeslag wijzigen.
Daarvoor keek ik op www.toeslagen.nl. Hier kon ik, net als elke andere gebruiker, een handig programmaatje downloaden waarmee de toeslagen online te wijzigen zijn.
So far so good. Echter, na het invullen van alle informatie, werd ik gevraagd om mijn DigiD en inlogcode in te voeren; in het scherm van het programma zelf!
Het probleem hiermee is dat er geen zichtbare beveiliginskenmerken zijn, en er geen mogelijkheid is om het certificaat te controleren, zodat je zeker weet dat je gegevens naar de belastingdienst gaan.
Ik verbaas mij hierover zeer, want het kan voor criminelen natuurlijk maar al te interessant zijn om om deze manier duizenden DigiD-codes in hun macht te krijgen. Op deze manier werkt de fiscus dus fraude en identiteitsdiefstal in de hand
Nu zullen mensen zeggen, dat het programma natuurlijk veilig is omdat het gedownload is bij de belastingdienst. Maar wie zegt mij dat ik daadwerkelijk het originele programma voor met heb?
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en er nergens een MD5-hash van de software is gepubliceerd is het onmogelijk om te bepalen of het programma niet door een hack van de site, een redirect, een spoof of door een man-in-the-middle attack tijdens het downloaden is gewijzigd. Iedereen die toegang heeft tot enige router tussen mij en de site kan immers de gegevens hebben verandert. En nog veel waarschijnlijker is dat iemand een nep-site opzet, net zoals dat veel met banken gebeurt op het moment.
Hierdoor kan niet alleen mijn DigiD in verkeerde handen vallen, maar ook alle persoonlijke informatie die het programma vraagt.
DigiD heeft al vaker het nieuws gehaald door de aan het systeem inherente onveiligheid, maar deze wanprestatie van de belastingdiest slaat voor mij alles. Het is ongeloofelijk dat willekeurige open source tools beter beveiligd zijn, doordat zij wel een MD5-hash publiceren.
De enige oplossing lijkt voorlopig te zijn om het programma van de site te halen en voorlopig te blokkeren, tot er een veiligere oplossing is gerealiseerd.
Ik zal in elk geval mijn toevlucht weer eens tot het geduldige papier nemen, waarmee ik geen kans heb dat mijn DigiD-code wordt afgevangen. Bijkomend voordeel: op papier maken niet alleen mijn handtekening en mijn handschrift op elke pagina controleerbaar dat ik het formulier heb ingevuld.
Daarvoor keek ik op www.toeslagen.nl. Hier kon ik, net als elke andere gebruiker, een handig programmaatje downloaden waarmee de toeslagen online te wijzigen zijn.
So far so good. Echter, na het invullen van alle informatie, werd ik gevraagd om mijn DigiD en inlogcode in te voeren; in het scherm van het programma zelf!
Het probleem hiermee is dat er geen zichtbare beveiliginskenmerken zijn, en er geen mogelijkheid is om het certificaat te controleren, zodat je zeker weet dat je gegevens naar de belastingdienst gaan.
Ik verbaas mij hierover zeer, want het kan voor criminelen natuurlijk maar al te interessant zijn om om deze manier duizenden DigiD-codes in hun macht te krijgen. Op deze manier werkt de fiscus dus fraude en identiteitsdiefstal in de hand
Nu zullen mensen zeggen, dat het programma natuurlijk veilig is omdat het gedownload is bij de belastingdienst. Maar wie zegt mij dat ik daadwerkelijk het originele programma voor met heb?
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en er nergens een MD5-hash van de software is gepubliceerd is het onmogelijk om te bepalen of het programma niet door een hack van de site, een redirect, een spoof of door een man-in-the-middle attack tijdens het downloaden is gewijzigd. Iedereen die toegang heeft tot enige router tussen mij en de site kan immers de gegevens hebben verandert. En nog veel waarschijnlijker is dat iemand een nep-site opzet, net zoals dat veel met banken gebeurt op het moment.
Hierdoor kan niet alleen mijn DigiD in verkeerde handen vallen, maar ook alle persoonlijke informatie die het programma vraagt.
DigiD heeft al vaker het nieuws gehaald door de aan het systeem inherente onveiligheid, maar deze wanprestatie van de belastingdiest slaat voor mij alles. Het is ongeloofelijk dat willekeurige open source tools beter beveiligd zijn, doordat zij wel een MD5-hash publiceren.
De enige oplossing lijkt voorlopig te zijn om het programma van de site te halen en voorlopig te blokkeren, tot er een veiligere oplossing is gerealiseerd.
Ik zal in elk geval mijn toevlucht weer eens tot het geduldige papier nemen, waarmee ik geen kans heb dat mijn DigiD-code wordt afgevangen. Bijkomend voordeel: op papier maken niet alleen mijn handtekening en mijn handschrift op elke pagina controleerbaar dat ik het formulier heb ingevuld.
Reacties (15)
Ik ben het helemaal met u eens. Het feit dat men geen
beveiligingscertificaat heeft, geeft inderdaad onzekerheid
of je wel met de juiste instelling "praat" waar o.a. het
SANS-instituut in de VS nog niet zo lang geleden ook over
geklaagd heeft. Zo hebben nogal wat bank-homepages ook geen
certificaat, zodat je maar aan de kleur van de blauwe ogen
van de site moet geloven dat het geen phishing-site is.
Misschien is een klacht indienen bij de genoemde instanties
hier wel op zijn plaats. Zie daarvoor het klachtenformulier dat u hier vindt:
http://www.toeslagen.nl/overig/klachten/klachten-01.html#P23_1773
Op de pagina is een PDF-document te downloaden die u kunt
invullen op de computer.
beveiligingscertificaat heeft, geeft inderdaad onzekerheid
of je wel met de juiste instelling "praat" waar o.a. het
SANS-instituut in de VS nog niet zo lang geleden ook over
geklaagd heeft. Zo hebben nogal wat bank-homepages ook geen
certificaat, zodat je maar aan de kleur van de blauwe ogen
van de site moet geloven dat het geen phishing-site is.
Misschien is een klacht indienen bij de genoemde instanties
hier wel op zijn plaats. Zie daarvoor het klachtenformulier dat u hier vindt:
http://www.toeslagen.nl/overig/klachten/klachten-01.html#P23_1773
Op de pagina is een PDF-document te downloaden die u kunt
invullen op de computer.
Door Titus Nachbrenner
Nu zullen mensen zeggen, dat het programma natuurlijk veilig
is omdat het gedownload is bij de belastingdienst. Maar wie
zegt mij dat ik daadwerkelijk het originele programma voor
met heb?
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
Het programma dat je downloadt op die site is voorzien vanNu zullen mensen zeggen, dat het programma natuurlijk veilig
is omdat het gedownload is bij de belastingdienst. Maar wie
zegt mij dat ik daadwerkelijk het originele programma voor
met heb?
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
een digitale handtekening.
Een digitale handtekening is in principe veiliger dan een
hash (zoals MD5), met name indien die hash op dezelfde
website wordt gepubliceerd als het programma (wat meestal
het geval is). Als de website gespoofed of gecracked is kan
de exe door malware worden vervangen en de bijbehorende
nieuwe hash worden gepubliceerd (dat risico is overigens in
de praktijk veel groter dan dat iemand 'onderweg', dus
tijdens downloaden, een programma muteert).
Je controleert de digitale handtekening door na het
downloaden met de rechter muistoets op het programma
te clicken en voor Eigenschappen te kiezen. Alleen als er
sprake is van een digitale handtekening verschijnt een
tabblad met die aanduiding. Open dat, selecteer op de naam
van de ondertekenaar, en bekijk de vensters onder de details
knop.
Een digitale handtekening onder een programma is geen
garantie dat het om betrouwbare software gaat. Het toont
alleen aan (met grote zekerheid) wie het ondertekend heeft,
en dat het sinds ondertekening niet meer is gewijzigd (dit
gebeurt overigens ook met een hash). In dit geval is de
ondertekenaar de Belastingdienst (dat wordt geverifieerd
door Windows). Bijv. Firefox downloads zijn ook van zo'n
handtekening voorzien.
Windows zeurt niet als je een gedownload programma start dat
is voorzien van een geldige en verifieerbare digitale
handtekening. Zonder digitale handtekening is het
afhankelijk van de Windows versie hoe hard gewaarschuwd wordt.
Als je door de vensters van de digitale handtekening
heenloopt zul je soms merken dat er even verbinding met
Internet gemaakt wordt. Dan wordt gecontroleerd of het
gebruikte certificaat niet is ingetrokken (revoked). Mocht
dat het geval zijn, dan zal Windows (als het goed is) melden
dat het programma onbetrouwbaar is. Of deze check ook
plaatsvindt bij het starten van een programma
betwijfel ik. Daarom is het altijd goed handmatig te
controleren na downloaden.
19-09-2007, 15:59 door
Titus Nachbrenner
Door Anoniem
Het programma dat je downloadt op die site is voorzien van
een digitale handtekening.
Een digitale handtekening is in principe veiliger dan een
hash (zoals MD5), met name indien die hash op dezelfde
website wordt gepubliceerd als het programma (wat meestal
het geval is). Als de website gespoofed of gecracked is kan
de exe door malware worden vervangen en de bijbehorende
nieuwe hash worden gepubliceerd (dat risico is overigens in
de praktijk veel groter dan dat iemand 'onderweg', dus
tijdens downloaden, een programma muteert).
Het programma dat je downloadt op die site is voorzien van
een digitale handtekening.
Een digitale handtekening is in principe veiliger dan een
hash (zoals MD5), met name indien die hash op dezelfde
website wordt gepubliceerd als het programma (wat meestal
het geval is). Als de website gespoofed of gecracked is kan
de exe door malware worden vervangen en de bijbehorende
nieuwe hash worden gepubliceerd (dat risico is overigens in
de praktijk veel groter dan dat iemand 'onderweg', dus
tijdens downloaden, een programma muteert).
Klopt, een hash publiceren helpt inderdaad niet tegen
gespoofde of gekraakte sites. Een certificaat biedt ook niet
100% veiligheid. Zie http://www.schneier.com/paper-pki.html
voor een interessant en helaas nog steeds actueel artikel over de veiligheid van certificaten en PKI.
De combinatie van een hash en een certificaat geeft
gebruikers wel meer duidelijkheid, voorkomt spoofing grotendeels en maak de - wellicht
onwaarschijnlijke, maar daardoor niet minder gevaarlijke - man-in-the-middle aanvallen extreem moeilijk.
De digitale handtekening is inderdaad beter dan een simpele
hash, want deze geeft aan dat Microsoft de software heeft
gecontroleerd en dat deze niet is verandert. Helaas werk ik
zelf op een Apple en die versie is niet ondertekend.
Transparantie van eea. is natuurlijk moeilijk. Maar als jij iets op de
post doet vertrouw je blijkbaar wel op alle tussenliggende schakels.
Of niet?
post doet vertrouw je blijkbaar wel op alle tussenliggende schakels.
Of niet?
Door Anoniem
Holbewoner...
Je schrijft holbewoner. Door Anoniem
Niet aan beginnen die digid
Niet aan beginnen die digid
Holbewoner...
Het is natuurlijk de bedoeling degene waarop je reageer te beledigen?
Maar volgens mij is je conclusie wel snel maar niet doordacht. Denk
maar eens over het volgende na:
Er zijn holbewoners met berevellen, maar er kunnen ook holbewoners
zonder berevellen ontstaan. Daar gaat de discussie over, weet je?
Is dat probleem van niet zeker weten wat je voor je hebt geen kwestie van je
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en je je
pincode niet zomaar afgeeft.
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en je je
pincode niet zomaar afgeeft.
Door Anoniem
Is dat probleem van niet zeker weten wat je voor je hebt geen kwestie
van je
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en
je je
pincode niet zomaar afgeeft.
Ik begrijp het al. Het is altijd eigen schuld dikke bult.Is dat probleem van niet zeker weten wat je voor je hebt geen kwestie
van je
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en
je je
pincode niet zomaar afgeeft.
Door Titus Nachbrenner
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
Tja...en dan is er SSL....en een goede MITM....En dan worden
je gegevens dus toch nog afgevangen....Dus via een site doen
blijft net zo onbetrouwbaar.....
En die MD5 hashwaarde.....Als je dan toch een programma op
de website plaatst, pas dan ook de MD5 aan....dan is die ook
weer kloppend met het gewijzigde tooltje...
M.a.w. veilig wordt het nooit...
Peter
Door Anoniem
Tja...en dan is er SSL....en een goede MITM....En dan worden
je gegevens dus toch nog afgevangen....Dus via een site doen
blijft net zo onbetrouwbaar.....
En die MD5 hashwaarde.....Als je dan toch een programma op
de website plaatst, pas dan ook de MD5 aan....dan is die ook
weer kloppend met het gewijzigde tooltje...
M.a.w. veilig wordt het nooit...
Peter
Zoals je ook doodgereden kan worden als je de straat oversteekt.Door Titus Nachbrenner
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
Tja...en dan is er SSL....en een goede MITM....En dan worden
je gegevens dus toch nog afgevangen....Dus via een site doen
blijft net zo onbetrouwbaar.....
En die MD5 hashwaarde.....Als je dan toch een programma op
de website plaatst, pas dan ook de MD5 aan....dan is die ook
weer kloppend met het gewijzigde tooltje...
M.a.w. veilig wordt het nooit...
Peter
Door Anoniem
Tja...en dan is er SSL....en een goede MITM....En dan worden
je gegevens dus toch nog afgevangen....Dus via een site doen
blijft net zo onbetrouwbaar.....
En die MD5 hashwaarde.....Als je dan toch een programma op
de website plaatst, pas dan ook de MD5 aan....dan is die ook
weer kloppend met het gewijzigde tooltje...
M.a.w. veilig wordt het nooit...
Peter
Zoals je ook doodgereden kan worden als je de straat oversteekt. Maar Door Titus Nachbrenner
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
Aangezien de site toeslagen.nl geen SSL-beveiliging kent en
er nergens een MD5-hash van de software is gepubliceerd is
het onmogelijk om te bepalen of het programma niet door een
hack van de site, een redirect, een spoof of door een
man-in-the-middle attack tijdens het downloaden is
gewijzigd. Iedereen die toegang heeft tot enige router
tussen mij en de site kan immers de gegevens hebben
verandert.
Tja...en dan is er SSL....en een goede MITM....En dan worden
je gegevens dus toch nog afgevangen....Dus via een site doen
blijft net zo onbetrouwbaar.....
En die MD5 hashwaarde.....Als je dan toch een programma op
de website plaatst, pas dan ook de MD5 aan....dan is die ook
weer kloppend met het gewijzigde tooltje...
M.a.w. veilig wordt het nooit...
Peter
de overheid heeft wel een taak bij de bescherming van privacy.
We zullen moeten afwachten of ze daarin zullen slagen, in dit geval.
Door Anoniem
En die MD5 hashwaarde.....Als je dan toch een programma op
de website plaatst, pas dan ook de MD5 aan....dan is die ook
weer kloppend met het gewijzigde tooltje...
M.a.w. veilig wordt het nooit...
Peter
En die MD5 hashwaarde.....Als je dan toch een programma op
de website plaatst, pas dan ook de MD5 aan....dan is die ook
weer kloppend met het gewijzigde tooltje...
M.a.w. veilig wordt het nooit...
Peter
Inderdaad, dit is één van de grootste kritiekpunten van MD5-hashes. Je
kan er nooit voor 100% op aan.
Door Anoniem
Door Anoniem
Is dat probleem van niet zeker weten wat je voor je hebt geen kwestie
van je
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en
je je
pincode niet zomaar afgeeft.
Ik begrijp het al. Het is altijd eigen schuld dikke bult.Is dat probleem van niet zeker weten wat je voor je hebt geen kwestie
van je
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en
je je
pincode niet zomaar afgeeft.
Mwah.. de dinosauriers zijn ook uitgestorven. Natuurlijke selectie heet dat.
Door Anoniem
Mwah.. de dinosauriers zijn ook uitgestorven. Natuurlijke selectie heet
dat.
Ik ben bang als jij gelijk hebt, dat er dan nu wel heel weinig bewoners Door Anoniem
Door Anoniem
Is dat probleem van niet zeker weten wat je voor je hebt geen kwestie
van je
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en
je je
pincode niet zomaar afgeeft.
Ik begrijp het al. Het is altijd eigen schuld dikke bult.Is dat probleem van niet zeker weten wat je voor je hebt geen kwestie
van je
eigen computer goed beveiligen en een beetje opletten?
Net zoals je niet iedere factuur zomaar moet betalen die je ontvangt en
je je
pincode niet zomaar afgeeft.
Mwah.. de dinosauriers zijn ook uitgestorven. Natuurlijke selectie heet
dat.
zullen overblijven.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
