image

DigiD offline door ernstig beveiligingslek

woensdag 9 januari 2013, 13:14 door Redactie, 25 reacties

DigiD, de overheidsdienst waarmee burgers zich bij overheidsinstellingen kunnen authenticeren, is wegens een beveiligingslek offline. Op de website zelf staat de volgende boodschap voor gebruikers: "DigiD is op dit moment niet beschikbaar. Naar verwachting kunt u morgenochtend weer gebruikmaken van DigiD. Onze excuses voor het ongemak." Volgens Logius, dat DigiD beheert, was dit noodzakelijk wegens een ernstig beveiligingslek.

"Er is een ernstig lek gevonden en dat willen we meteen dichten", laat een woordvoerder van Logius tegenover Nu.nl weten. Die benadrukt dat de beveiligingsproblemen niet in DigiD zelf zitten, maar in het platform waarop de dienst is gebouwd.

Ruby on Rails
Het gaat hier volgens de woordvoerder om Ruby on Rails. Een populair opensource-webapplicatieframework. Afgelopen donderdag verscheen er een update voor een SQL Injectie-probleem in de software waardoor aanvallers de authenticatie konden omzeilen.

Inmiddels is er een nieuwe update uitgekomen die verschillende problemen verhelpt waardoor aanvallers de authenticatie konden omzeilen, SQL injectie konden uitvoeren, willekeurige code op het systeem konden uitvoeren of een denial of service veroorzaken.

Vorig jaar ging de dienst ook offline wegens een beveiligingslek. Toen betrof het een hash collision-kwetsbaarheid.

Update 15:35
De makers van de populaire hackertool Metasploit verwachten binnen een paar dagen een exploit te hebben om het lek in Ruby on Rails te kunnen aanvallen.


Update: info over Ruby on Rails toegevoegd
Update 2: info over Metasploit toegevoegd

Reacties (25)
09-01-2013, 13:19 door Anoniem
beter heel erg laat dan nooit!!
09-01-2013, 13:36 door NetGuardian
Dit was te verwachten natuurlijk. Ook DigiD is een digitaal informatie systeem.
Het heeft ongetwijfeld last van security problemen zoals elk ander (digitaal) informatie systeem.
Misschien dat dit iets te maken heeft met de patch voor 'ruby on rails' die deze week is uitgebracht. Grote kans dat DigiD hier ook last van heeft. Het komt wel erg dicht na het ruby 'foutje'.

Zal wel weer een probleem zijn waardoor een slimmerik (of een script kiddie) bij alle info kan komen....
09-01-2013, 13:42 door Anoniem
Dit is dan een van de best beveiligde systemen van de nederlandse overheid.

Dat EPD waterdicht houden gaat ook vast wel lukken!! Slaap lekker verder!!
09-01-2013, 13:48 door SirDice
Door NetGuardian: Misschien dat dit iets te maken heeft met de patch voor 'ruby on rails' die deze week is uitgebracht. Grote kans dat DigiD hier ook last van heeft. Het komt wel erg dicht na het ruby 'foutje'.
Jep, dat dacht ik ook gelijk.
09-01-2013, 13:52 door Erik van Straten
@NetGuardian en @SirDice: http://www.nu.nl/internet/2999846/digid-offline-lek-in-platform.html bevestigt:
Het probleem speelt in de ontwikkelomgeving Ruby.
09-01-2013, 14:20 door 0101
Ik hoop dat het niet voor het lek van afgelopen donderdag is, want als dat te misbruiken is dan zou dat betekenen dat ze de geheime random key voor het genereren van het sessie token gelekt hebben.
09-01-2013, 14:21 door Anoniem
DigiD... Was dat niet dat super-veilige identificatie gebeuren wat je nodig had om op je erg goed beveiligde EPD (of LSP.. of hoe het vandaag ook heet) in te loggen? Ja toch?
09-01-2013, 14:26 door [Account Verwijderd]
[Verwijderd]
09-01-2013, 14:32 door [Account Verwijderd]
Oke dit is lastig, maar ik vind het een goede zaak dat ze de dienst gewoon stoppen als dit soort problemen zich voordoet!

Gewoon open en eerlijk communiceren, dat zouden meer dienstverleners moet doen.

Beter tijdelijk geen dienst dan een dienst die niet te vertrouwen is.
09-01-2013, 14:43 door Anoniem
Het gaat hier om het Remote Code Execution lek dat gisteren gepubliceerd is door het RoR-team.
09-01-2013, 14:52 door Anoniem
Door 0101: Ik hoop dat het niet voor het lek van afgelopen donderdag is, want als dat te misbruiken is dan zou dat betekenen dat ze de geheime random key voor het genereren van het sessie token gelekt hebben.
Waarschijnlijk is dat het niet, maar is het dit: http://arstechnica.com/security/2013/01/extremely-crtical-ruby-on-rails-bug-threatens-more-than-200000-sites/.
09-01-2013, 15:01 door SirDice
Helemaal mee eens. Het gat is volgens mij niet zo heel makkelijk te misbruiken maar ik vind 't een goede zaak dat ze geen risico nemen en de boel, tijdelijk, plat gooien.
09-01-2013, 15:39 door [Account Verwijderd]
[Verwijderd]
09-01-2013, 15:50 door Anoniem
"Het gat is volgens mij niet zo heel makkelijk"

volgens mij is het een base64 encoded string in cookies waar men sql commandos kan injecteren.
sql-injectie = eenvoudig
base64 encoding = eenvoudig
cookies aanpassen = eenvoudig
eenvoudig + eenvoudig + eenvoudig = niet heel moeilijk
09-01-2013, 16:00 door Anoniem
Te grappig. Voor het eerst heb ik Digid voor meerdere zaken een paar keer per dag nodig. En dan gaat het plat.
09-01-2013, 17:55 door Anoniem
Door Anoniem: "Het gat is volgens mij niet zo heel makkelijk"

volgens mij is het een base64 encoded string in cookies waar men sql commandos kan injecteren.
sql-injectie = eenvoudig
base64 encoding = eenvoudig
cookies aanpassen = eenvoudig
eenvoudig + eenvoudig + eenvoudig = niet heel moeilijk
Dat was dus het lek van vorige week. Volgens Webwereld (http://webwereld.nl/nieuws/112980/digid-offline-door-lek-in-ruby-on-rails.html) gaat het om dit lek dat gisteren bekend werd: http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/
09-01-2013, 18:24 door WesleySmalls
Door Anoniem: Dit is dan een van de best beveiligde systemen van de nederlandse overheid.

Dat EPD waterdicht houden gaat ook vast wel lukken!! Slaap lekker verder!!

Het eerste waterdichte stuk software moet ik nog tegenkomen...
09-01-2013, 19:20 door rob
Ik lees best wel wat laconieke reacties als 'shit happens' enzo. IT-ers weten dat dit de waarheid is. Maar burgers en politici niet. De kans dat hierdoor iets fout gaat, schat men laag in, en daarmee het risico ook. Als men wist (dankzij dit soort voorbeelden) wat het werkelijke risico is, denk ik dat het algemeen publiek en politici niet bereid zouden zijn dit risico te accepteren. Impact van een lek als deze kan aanzienlijk zijn...
09-01-2013, 19:26 door Anoniem
"gaat het om dit lek dat gisteren bekend werd"
wat we op webwereld zien noemen ze "downplayen"
Als je dat gelooft heb je nog weinig ervaring met software lekken bij grote instanties.

Hoezo zat het lek van vorige week niet in de RoR van DigID?

mooie sprookjes kunnen ze vertellen. Geloof jij nog in sprookjes?
09-01-2013, 19:34 door WesleySmalls
Door rob: Ik lees best wel wat laconieke reacties als 'shit happens' enzo. IT-ers weten dat dit de waarheid is. Maar burgers en politici niet. De kans dat hierdoor iets fout gaat, schat men laag in, en daarmee het risico ook. Als men wist (dankzij dit soort voorbeelden) wat het werkelijke risico is, denk ik dat het algemeen publiek en politici niet bereid zouden zijn dit risico te accepteren. Impact van een lek als deze kan aanzienlijk zijn...

Lekken heb je sowieso, maar de kracht zit het erin hoe ermee om word gegaan, en dat word hier uitstekend gedaan. Direct nadat het lek bekend is het systeem offline halen waardoor er geen misbruik kan worden gepleegd dmv. misbruik van dit lek.

Lekken zul je hoe dan ook tegenkomen, bij wat er ook gebeurt, maar in dit geval is erg goed gehandeld
09-01-2013, 19:55 door [Account Verwijderd]
[Verwijderd]
09-01-2013, 20:13 door Anoniem
Door rob: Als men wist (dankzij dit soort voorbeelden) wat het werkelijke risico is, denk ik dat het algemeen publiek en politici niet bereid zouden zijn dit risico te accepteren. Impact van een lek als deze kan aanzienlijk zijn...
Je gaat er aan voorbij of en hoe er aan beveiliging wordt gedaan. Bedenk hoeveel bedrijven, wereldwijd, dit framework gebruiken, En dan hebben we het over banken, overheden, multinationals die veel te verliezen hebben als er dit soort fouten in het framework zitten. Er worden continue software audits op dat soort frameworks en systemen gedaan, dan hebben we het niet over mannen en vrouwen in pak dat met een pennetje wat antwoorden op vraagjes op papier zet en dan een stempeltje geeft. En ja, dan nog kan het mis gaan. Net als er in fabrikage van airbags of onderdelen van het elektriciteitnetwerk. Is dat vervelend? Ja. Is het te voorkomen? Nooit volledig. Is dat acceptabel? Als je het kan verantwoorden zeker. Alleen lijken nogal wat personen daar niet op te willen vertrouwen zodra ze geconfronteerd worden met de uitwerking van een risico, doordat ze er zelf niet over nagedacht hebben en aannamens doen omdat ze er geen verstand van hebben of omdat ze er zelf winst uit kunnen halen. Je ziet het nu ook in de media gebeuren.
10-01-2013, 08:28 door yobi
Misschien een idee voor bedrijven om een testserver (een functionele kopie zonder gevoelige data) in te richten speciaal voor de hackers om fouten aan te tonen.
10-01-2013, 08:38 door yobi
hmmm:
<!--
This website is powered by TYPO3 - inspiring people to share!
TYPO3 is a free open source Content Management Framework initially created by Kasper Skaarhoj and licensed under GNU/GPL.
TYPO3 is copyright 1998-2012 of Kasper Skaarhoj. Extensions are copyright of their respective owners.
Information and contribution at http://typo3.org/
-->

<base href="https://www.digid.nl/" />


<meta name="generator" content="TYPO3 4.5 CMS" />

Misschien was dit het probleem:
http://www.exploit-db.com/exploits/18308/
10-01-2013, 19:30 door Anoniem
Er zijn meerdere kwetsbaarheden. Hopelijk heeft Digid alle fixes aangebracht, maar dat is niet echt duidelijk.

CVE-2012-5664: SQL Injection Vulnerability in Ruby on Rails
http://weblog.rubyonrails.org/2013/1/2/Rails-3-2-10--3-1-9--and-3-0-18-have-been-released/

CVE-2013-0156: Multiple vulnerabilities in parameter parsing in Action Pack
CVE-2013-0155: Unsafe Query Generation Risk in Ruby on Rails
http://weblog.rubyonrails.org/2013/1/8/Rails-3-2-11-3-1-10-3-0-19-and-2-3-15-have-been-released/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.