image

"Berichtgeving over DigiD-lek gemeenten is stemmingmakerij"

donderdag 30 oktober 2014, 15:31 door Redactie, 12 reacties

De berichtgeving van dinsdag over een DigiD-lek bij gemeenten waardoor kwaadwillenden DigiD-wachtwoorden hadden kunnen onderscheppen is niet op feiten gebaseerd en stemmingmakerij, aldus de Informatiebeveiligingsdienst voor gemeenten (IBD). De IBD is een initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

De organisatie reageert op een uitzending van het televisieprogramma Opgelicht?! dat beweerde dat de DigiD van honderdduizenden Nederlanders onbeschermd was. De koppeling naar de DigiD-inlogpagina zou niet goed beveiligd zijn en daardoor "makkelijk te hacken". De IBD laat weten dat de kwetsbaarheid bij twaalf gemeenten werd ontdekt en niet bij 24 zoals de media beweerden.

De twaalf gemeenten alsmede de IBD werden na de ontdekking van het lek direct door de softwareleverancier gewaarschuwd en hebben vervolgens de beschikbare patch geïnstalleerd. Daarmee werd het probleem opgelost. Uit onderzoek zou blijken dat de kwetsbaarheid niet is misbruikt door derden. Verder bleek dat bij drie van de twaalf gemeenten het bovendien software betrof die niet in verbinding stond met de DigiD-koppeling.

"In tegenstelling tot wat in de media wordt geschreven is het met deze kwetsbaarheid sowieso niet mogelijk geweest om direct DigiD-wachtwoorden van burgers te achterhalen", aldus de IBD. Die merkt ook op dat alle betrokken twaalf gemeenten een gedegen wachtwoordbeleid hebben. De organisatie betreurt de "incorrect gevoede stemmingmakerij" in de media en benadrukt dat de DigiD-wachtwoorden van burgers op dit punt geen gevaar hebben gelopen.

Reacties (12)
30-10-2014, 16:05 door Anoniem
haha, ze hebben http://www.200ok.nl/cms-gemeenten/ gebruikt om te kijken welke gemeentes gebruik maken van SmartSite. Deze lijst is echter onjuist en verouderd.

Lekker onderzoek van Opgelicht!?
Ze zijn zelf opgelicht door de melder :P
30-10-2014, 16:21 door Anoniem
nothing to see people, keep walking.
Er was niks aan de hand, en daar waar er wel iets was was het niks, en kon niemand erbij.

De IDB komt op deze manier over als een enge gesloten partij die niet openstaat voor kritiek.
als er niks aan de hand was, waarom dan patchen?
Ik denk dat ik liever een incapabele beveiliger heb dan een eng mannetje dat alleen maar zegt dat er niets aan de hand is.
30-10-2014, 16:31 door Anoniem
Ja dat mannetje wat het verhaal in opgelicht vertelde was zeer duidelijk alleen uit op eigen publiciteit.
Hij dacht kennelijk "het zijn altijd die lui van Fox IT die op TV komen, dat moet mij toch ook lukken met mijn bedrijfje".
Op dat moment worden de feiten kennelijk minder belangrijk...
30-10-2014, 18:29 door Anoniem
Hoe kan je beweren dat gemeenten een gedegen wachtwoordbeleid hebben als je aan de andere kant toegeeft dat er een hand vol gemeenten hun website nog met een standaard wachtwoord beveiligd hadden?

Ik vind het niet ver gezocht dat er een verband is gemaakt met een risico met DigiD. Iemand met toegang tot het CMS van de hoofdwebsite van een gemeente kan dus alle verwijzingen naar diensten zodanig aanpassen dat het als betrouwbaar overkomt. je gaat nagenoeg altijd via de hoofdsite van de gemeente om bij dienstverlening te komen. Het is alleen wel in eerste instantie indirect dat DigiD daarbij betrokken kan worden. Niet veel mensen lijken in staat om te herkennen wat een echte DigiD-site is en zullen waarschijnlijk ieder verzoek op een hoofdwebsite van een gemeente als betrouwbaar ervaren om hun DigiD of andere persoonsgegevens voor dienstverlening achter te laten. Maar dat laatste heb ik in het programma niet bewezen zien worden. Er werd zelfs in zijn geheel niets bewezen aan technische kwetsbaarheden, behalve dat de gemeenten dus bevestigen dat 12 gemeenten hun website niet beveiligd hadden.

De makers van televisieprogramma Opgelicht?! lijken een item te hebben willen maken om ongelijkheid in verantwoordelijkheid aan te geven. Gebruikers van de overheid worden verantwoordelijk gesteld voor misbruik, maar de overheid blijkt zelfs door hun procedures en middelen verantwoordelijk te kunnen zijn. Dan is het vreemd dat alleen de gebruiker verantwoordelijk is bij misbruik van bijvoorbeeld zijn DigiD-gegevens. De makers van televisieprogramma Opgelicht?! hebben de klok horen luiden maar weten niet waar de klepel hangt. En dat is voor een professionele publieke omroep behoorlijk triest als je zo je gelijk tracht te halen.
30-10-2014, 21:51 door Anoniem
Anoniem (16:21):
De IDB komt op deze manier over als een enge gesloten partij die niet openstaat voor kritiek.
als er niks aan de hand was, waarom dan patchen?
Ik denk dat ik liever een incapabele beveiliger heb dan een eng mannetje dat alleen maar zegt dat er niets aan de hand is.
Afgezien van de evidente typo ...
Even goed lezen en oorzaak en gevolg van elkaar onderscheiden.
Er was niets aan de hand OMDAT er op tijd gepatcht is.
Dan ben je geen enge gesloten partij, maar eerlijk en verantwoordelijk.
Mocht u aanwijzingen hebben voor het tegendeel: graag hier naar voren brengen, met namen, rugnummers, alles.
Tot u daarmee komt bent u in mijn ogen een onruststoker met een gebrek aan logica.

Ter info: ik heb geen banden met de IBD en werk niet bij een gemeente.
30-10-2014, 22:51 door Anoniem
De hele item van Opgelicht was nogal zwak en feiten zijn niet gecontroleerd.

Punt 1:
Als een gemeente zijn website niet goed beveiligd door het admin wachtwoord default te laten na installatie van CMS is dat nalatigheid van de systeembeheerder, dus de verantwoording van de gemeente en niet van DigiD (Logius) Of het moet zo zijn dat Logius deze software bij de gemeentes installeert dan is het een ander verhaal.

Punt 2:
In de rapportage werd aangegeven dat door een besmetting van een laptop er DigiD inlogcodes waren buit gemaakt. Wat heeft DigiD hiermee te maken??? Laptop was besmet geraakt door dat de gebruiker zelf een niet betrouwbare Facebook-webchat app geinstalleerd heeft. Dit heeft niks met de veiligheid van DigiD te maken lijkt mij zo.

Punt 3:
TLS RC4 wordt default als Cipher aangeboden dat klopt. De andere Ciphers zijn wel aanwezig volgens ssllabs.com

https://www.ssllabs.com/ssltest/analyze.html?d=digid.nl&s=144.43.254.212
TLS_RSA_WITH_RC4_128_SHA (0x5) 128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256

Microsoft heeft in een patch al vorige jaar uitgebracht om RC4 uit te zetten. http://support.microsoft.com/kb/2868725
Deze was bij mij ook geïnstalleerd, maar pas nadat ik ook mijn Firefox RC4 heb uitgeschakeld werd er voor AES gekozen bij het bezoeken van de DigiD inlogpagina, Dus ja is dit nu een fout van DigiD??

Soms zit de overheid inderdaad fout, maar Opgelicht heeft niet goed zijn huiswerk gemaakt en naar mijn mening zitten ze er nu flink naast en een rectificatie zou nu wel op zijn plaats zijn denk ik.
30-10-2014, 23:16 door Anoniem
Door Anoniem: Ja dat mannetje wat het verhaal in opgelicht vertelde was zeer duidelijk alleen uit op eigen publiciteit.
Hij dacht kennelijk "het zijn altijd die lui van Fox IT die op TV komen, dat moet mij toch ook lukken met mijn bedrijfje".
Op dat moment worden de feiten kennelijk minder belangrijk...

hij vertelde ook nog eens onwaarheden, bijvoorbeeld een weekje nodig hebben om een sha1 hash van een certificaat te kraken, dat is gewoon klinkklare onzin, ik heb geen bewijs gezien,
31-10-2014, 00:50 door Erik van Straten - Bijgewerkt: 31-10-2014, 01:17
Zoals ik in https://www.security.nl/posting/406814/%22Koppeling+naar+DigiD-pagina+bij+12+gemeenten+slecht+beveiligd%22#posting406856 schreef, klopte er het een en ander niet aan wat Erik Westhovens in de TV uitzending "Opgelicht" beweerde.

Door Redactie: "In tegenstelling tot wat in de media wordt geschreven is het met deze kwetsbaarheid sowieso niet mogelijk geweest om direct DigiD-wachtwoorden van burgers te achterhalen", aldus de IBD.
Maar dat vind ik ook te kort door de bocht. Als ik het goed begrepen heb, had een aanvaller (via het CMS) Administrator rechten kunnen krijgen op de webserver. Daarmee had hij dan een nep-DigiD inlogpagina op die site kunnen maken.

Zo'n nep DigiD inlogpagina had er zo uit kunnen zien: http://i.imgur.com/IALiSn7.png
(Nb. het slotje is natuurlijk een favicon).

Wie trapt daar nou in?
Nu zullen alle puristen wel weer roepen dat je "natuurlijk" op de domainname moet letten, maar als bezoeker schenk je vertrouwen in de website van de gemeente die je bezoekt. En anderen zullen zeggen dat je op het slotje moet klikken. Nou, dat slotje doet vandaag even niets. Waar staat dat ik in zo'n geval onmiddellijk moet stoppen? Ik vermoed dat ontzettend veel mensen in zo'n pagina zullen trappen.

Vertrouwen in domainnames van gemeenten?
Ik was begonnen met een plaatje te maken van de eerste op de alfabetische lijst in https://www.security.nl/posting/406814/%22Koppeling+naar+DigiD-pagina+bij+12+gemeenten+slecht+beveiligd%22#posting406900, maar bij Alkmaar ontdekte ik iets vreemds. Alphen-Chaam vond ik te klein, daarom heb ik Amersfoort gebruikt in het plaatje hierboven.

Alkmaar
Tot mijn stomme verbazing zag ik dat je, in het geval van Alkmaar, slechts via tussensites naar DigiD kunt! Dat stinkt naar phishing...

Voorbeelden
(1) Ga naar http://www.alkmaar.nl/ (helaas, https://www.alkmaar.nl/ bestaat niet). Klik op "Inwoners", dan op "Alle producten en diensten" en scroll naar beneden.
Als je rechts onder "Mijn Alkmaar" de muispijl stilhoudt boven "mijn Alkmaar", laten de meeste webbrowsers zien dat de link daaronder is: http://www.mijnalkmaar.nl/. Vreemd, ook geen https. Affijn, klik. En dan zit ik ineens op https://alkmaar.interaccess.nl/pls/alkmaar/klant/app.first?p_mim_id_hoofd=4240?! Als je op die pagina op Aanmelden klikt, kom je op de DigiD site.

(2) Open http://www.alkmaar.nl/23602/product-verkeer_parkeren-Parkeren en klik op "Ga naar het E-Loket!".
Dan kom je terecht op: https://www.smartpark.eu/alkmaar/eloket/index.html. Als je op die pagina op het DigiD plaatje klikt, kom je op de DigiD site.

Interaccess.nl en Smartpark.nl zijn vast phishing sites!
Als u de kranten goed gelezen had, had u geweten dat interaccess.nl en smartpark.eu phishing sites moeten zijn. Immers, in de media is duidelijk uiteengezet dat het gebruik van DigiD voorbehouden is aan de overheid, ziektekostenverzekeringen en pensioenen. Interaccess en Smartpark zijn dat duidelijk niet, dus daar trapt u niet in!
Totdat u Alkmaar belt, die u vervolgens zal vertellen dat het in deze gevallen weer wel betrouwbaar is...

Snapt u het nog? Ik niet.
Kortom: hoe moet je als gewone gebruiker in hemelsnaam weten welke site wel en welke niet te vertrouwen is?


Aanvullingen:
alkmaar.interaccess.nl krijgt een C omdat deze nog SSLv3 ondersteunt
https://www.ssllabs.com/ssltest/analyze.html?d=alkmaar.interaccess.nl

www.smartpark.eu krijgt een F (je kunt net zo goed niet versleutelen)
https://www.ssllabs.com/ssltest/analyze.html?d=smartpark.eu&s=88.211.135.11: Ondersteunt SSLv2, SSLv3, 40 bit cipher suites (u bent welkom met Netscape 1.0), POODLE en TLS compression. Hoe komt zo'n server door de audit heen, die -meen ik- nodig is om om een user-token van DigiD te mogen ontvangen?
31-10-2014, 01:01 door Anoniem
Als je toegang hebt tot een CMS kun je XSS injecteren in content en heb je dus de mogelijkheid om te hacken. Punt uit....

My two cents
31-10-2014, 09:17 door linuxpro
DigID heeft ook zo'n goed beveiligings track-record.. waar rook is is vuur en dat gemeentes laks zijn in wachtwoorden en veiligheid v/d week nog aan den lijve meegemaakt. Het wachtwoord om het GBA te raadplegen zit als A4 geplakt aan 't scheidingswandje tussen medewerkers....
31-10-2014, 10:45 door Anoniem
Door Anoniem:
Anoniem (16:21):
De IDB komt op deze manier over als een enge gesloten partij die niet openstaat voor kritiek.
als er niks aan de hand was, waarom dan patchen?
Ik denk dat ik liever een incapabele beveiliger heb dan een eng mannetje dat alleen maar zegt dat er niets aan de hand is.
Afgezien van de evidente typo ...
Even goed lezen en oorzaak en gevolg van elkaar onderscheiden.
Er was niets aan de hand OMDAT er op tijd gepatcht is.
Dan ben je geen enge gesloten partij, maar eerlijk en verantwoordelijk.
Mocht u aanwijzingen hebben voor het tegendeel: graag hier naar voren brengen, met namen, rugnummers, alles.
Tot u daarmee komt bent u in mijn ogen een onruststoker met een gebrek aan logica.

Ter info: ik heb geen banden met de IBD en werk niet bij een gemeente.
Hm. anoniem die reageert op anoniem. Ik ben de eerst anoniem (als je dat gelooft) en sorry voor mijn evidente typo. Zal het noooit meer doen. Ik heb heel die uitzending niet gezien, maar het lijkt me goed als Digid een lijstje bijhoud van referring sites, en als daar een site bijzit die niet in hun goedgekeurde 3 keer gecheckede regelmatig gereviewede partners bijzit, dan volgt een automatische redirection naar een duidelijke error pagina.
Dat zal Alkmaar leren om via een server van interaccess mijn dgid informatie te leiden.

een gemeente die hun site laat hacken is sowieso niet de verantwoordelijkheid van digid, en met zo'n site kan een hacker keurig de digid website namaken en alle gegevens afvangen, en daarna doorzetten naar digid. dat is echter door bijvoorbeeld digid wel na te kijken, door middels een script en een dummy digid op alle paertnersites dagelijks een keer in te loggen, en onregelmatigheden te rapporteren.
Lastig? ja, onmogelijk voor sommige gemeenten? vast. Maar dan moet je maar geen gemeente willen zijn, en fuseer je met een gemeente die hun burgers wel op waarde kan schatten.
31-10-2014, 13:54 door Anoniem
Door Anoniem: Hoe kan je beweren dat gemeenten een gedegen wachtwoordbeleid hebben als je aan de andere kant toegeeft dat er een hand vol gemeenten hun website nog met een standaard wachtwoord beveiligd hadden?
....................
Er werd zelfs in zijn geheel niets bewezen aan technische kwetsbaarheden, behalve dat de gemeenten dus bevestigen dat 12 gemeenten hun website niet beveiligd hadden.

Volgens mij spreek jij jezelf tegen. Als er niet bewezen is dat een handvol gemeenten met een standaard wachtwoord werken, hoe kun je dan stellen dat er aangetoond is dat ze geen gedegen wachtwoord beleid hebben. Er is alleen een suggestie gedaan dat er kon worden ingelogd met een standaard wachtwoord, maar er is nergens gezegd op welke websites dat mogelijk was.
Als laatste wil ik nog opmerken dat er ook niet bevestigd is dat 12 gemeenten hun website niet beveiligd hadden. Er is alleen gezegd dat 12 gemeenten geraakt werden door de kwetsbaarheid.

Ik ben het met je eens dat er helemaal niets bewezen is van hetgeen aangehaald is in Opgelicht?! Het komt op mij over alsof meneer Westhovens graag eens wat media aandacht wilde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.