Zoals ik in
https://www.security.nl/posting/406814/%22Koppeling+naar+DigiD-pagina+bij+12+gemeenten+slecht+beveiligd%22#posting406856 schreef, klopte er het een en ander niet aan wat Erik Westhovens in de TV uitzending "Opgelicht" beweerde.
Door Redactie: "In tegenstelling tot wat in de media wordt geschreven is het met deze kwetsbaarheid sowieso niet mogelijk geweest om direct DigiD-wachtwoorden van burgers te achterhalen", aldus de IBD.
Maar
dat vind ik ook te kort door de bocht. Als ik het goed begrepen heb, had een aanvaller (via het CMS) Administrator rechten kunnen krijgen op de webserver. Daarmee had hij dan een nep-DigiD inlogpagina
op die site kunnen maken.
Zo'n nep DigiD inlogpagina had er zo uit kunnen zien: http://i.imgur.com/IALiSn7.png(Nb. het slotje is natuurlijk een favicon).
Wie trapt daar nou in?Nu zullen alle puristen wel weer roepen dat je "natuurlijk" op de domainname moet letten, maar als bezoeker schenk je vertrouwen in de website van
de gemeente die je bezoekt. En anderen zullen zeggen dat je op het slotje moet klikken. Nou, dat slotje doet vandaag even niets. Waar staat dat ik in zo'n geval onmiddellijk moet stoppen? Ik vermoed dat ontzettend veel mensen in zo'n pagina zullen trappen.
Vertrouwen in domainnames van gemeenten?Ik was begonnen met een plaatje te maken van de eerste op de alfabetische lijst in
https://www.security.nl/posting/406814/%22Koppeling+naar+DigiD-pagina+bij+12+gemeenten+slecht+beveiligd%22#posting406900, maar bij Alkmaar ontdekte ik iets vreemds. Alphen-Chaam vond ik te klein, daarom heb ik Amersfoort gebruikt in het plaatje hierboven.
AlkmaarTot mijn stomme verbazing zag ik dat je, in het geval van Alkmaar, slechts via
tussensites naar DigiD kunt! Dat stinkt naar phishing...
Voorbeelden(1) Ga naar
http://www.alkmaar.nl/ (helaas, http
s://www.alkmaar.nl/ bestaat niet). Klik op "Inwoners", dan op "Alle producten en diensten" en scroll naar beneden.
Als je rechts onder "
Mijn Alkmaar" de muispijl stilhoudt boven "
mijn Alkmaar", laten de meeste webbrowsers zien dat de link daaronder is:
http://www.mijnalkmaar.nl/. Vreemd, ook geen https. Affijn, klik. En dan zit ik ineens op
https://alkmaar.interaccess.nl/pls/alkmaar/klant/app.first?p_mim_id_hoofd=4240?! Als je op
die pagina op
Aanmelden klikt, kom je op de DigiD site.
(2) Open
http://www.alkmaar.nl/23602/product-verkeer_parkeren-Parkeren en klik op "Ga naar het
E-Loket!".
Dan kom je terecht op:
https://www.smartpark.eu/alkmaar/eloket/index.html. Als je op
die pagina op het DigiD plaatje klikt, kom je op de DigiD site.
Interaccess.nl en Smartpark.nl zijn vast phishing sites!Als u de kranten goed gelezen had, had u geweten dat interaccess.nl en smartpark.eu phishing sites
moeten zijn. Immers, in de media is duidelijk uiteengezet dat het gebruik van DigiD voorbehouden is aan de overheid, ziektekostenverzekeringen en pensioenen. Interaccess en Smartpark zijn dat duidelijk niet, dus daar trapt u niet in!
Totdat u Alkmaar belt, die u vervolgens zal vertellen dat het in
deze gevallen weer
wel betrouwbaar is...
Snapt u het nog? Ik niet.Kortom: hoe moet je als
gewone gebruiker in hemelsnaam weten welke site wel en welke niet te vertrouwen is?
Aanvullingen:alkmaar.interaccess.nl krijgt een
C omdat deze nog SSLv3 ondersteunt
https://www.ssllabs.com/ssltest/analyze.html?d=alkmaar.interaccess.nlwww.smartpark.eu krijgt een
F (je kunt net zo goed niet versleutelen)
https://www.ssllabs.com/ssltest/analyze.html?d=smartpark.eu&s=88.211.135.11: Ondersteunt SSLv2, SSLv3, 40 bit cipher suites (u bent welkom met Netscape 1.0), POODLE en TLS compression. Hoe komt zo'n server door de audit heen, die -meen ik- nodig is om om een user-token van DigiD te mogen ontvangen?