Nieuws

Van Huffelen: openbaar maken broncode DigiD moet voor veiligere app zorgen

dinsdag 11 april 2023, 10:51 door Redactie, 15 reacties

Laatst bijgewerkt: 11-04-2023, 11:54

Het gedeeltelijk vrijgeven van de broncode van de DigiD-app moet voor een veiligere app zorgen, zo stelt staatssecretaris Van Huffelen van Digitalisering. Begin dit jaar besloot de overheid om de broncode van de DigiD-app deels via GitHub openbaar te maken. Dit zorgde voor vragen en zorgen bij de VVD, zo blijkt uit een debat van de vaste commissie voor Digitale Zaken over informatiebeveiliging bij de overheid dat vorige week plaatsvond.

"De broncode van de DigiD-app is na een Woo-verzoek openbaargemaakt. DigiD moet voor iedereen veilig zijn, vinden wij. Hoe is dat gewaarborgd? Enkele fragmenten van die broncode kunnen echt een beveiligingsrisico hebben. Er moet een continuïteit zijn op het gebied van de veiligheid daarvan. Het moet blijven werken. Denk daarbij ook aan informatie over infrastructuur en waar de app op draait. Dat is best een risico voor hackers. Hoe gaat de overheid om met dit soort Woo-verzoeken? Dat geldt ook voor andere applicaties. Wat mij betreft is het: Woo tot hier en niet verder. Niet alles hoeft altijd openbaar", stelde VVD-Kamerlid Rahimi.

Hij stelde als it'er zorgen te hebben over het openbaar maken van alles. "Dat lijkt soms goed, maar soms kan het ook best dingen prijsgeven over de infrastructuur die wij hebben, de codes die wij gebruiken en de parameters die worden doorgestuurd. Daar kan een hacker best wel wat mee. Daar kan een regering ook best wel wat mee. Daar maak ik me gewoon zorgen om. Ik vind dat openbaarheid goed is. We moeten wel echt naar het volgende kijken. De broncode van de DigiD-app is gepubliceerd op GitHub. Daar kan iedereen bij. Daar zitten letterlijk fragmenten bij waarop "security" staat. Dat kan ervoor zorgen dat sommige dingen eruit worden gehaald. Iemand kan dan iets bouwen."

Rahimi is dan ook bang voor allerlei narigheid, zoals phishing of malafide apps. "Daarom zei ik ook, voor de grap: Woo tot hier en niet verder. Dit soort dingen moeten we niet doen." Volgens Van Huffelen zijn de zorgen onterecht. "Onze strategie bij open source is om broncodes te delen om daarmee de kwetsbaarheid van overheidssystemen te verminderen, door ervoor te zorgen dat partijen, al dan niet door onszelf daartoe uitgenodigd, mee kunnen kijken naar hoe onze programmatuur eruitziet. Daarmee kunnen ze fouten eruit halen en aangeven of er zwaktes in die programma's zitten. Dat wil niet zeggen dat je daarmee de beveiligingssleutels ook openbaar maakt. Dat hebben we bij DigiD ook niet gedaan. Dat zou namelijk kunnen leiden tot veiligheidsrisico's."

De staatssecretaris voegde toe dat het idee is om open source te gebruiken om daarmee programma's veiliger te maken. "Opensourcesoftware of combinaties van verschillende opensourceprogrammatuur is overigens ook iets wat heel veel partijen gebruiken. Maar we doen dat vanuit veiligheid en natuurlijk op een manier die verantwoord is, door ervoor te zorgen dat informatie die afbreuk doet aan de veiligheid van systemen, zoals versleutelingsmechanismes, wachtwoorden, verwijzingen naar technische infrastructuur enzovoorts, natuurlijk niet wordt gedeeld."

Ransomware versleutelt onderzoeksdossiers Amerikaans politiekorps

Eigenaar KFC en Pizza Hut meldt datalek na ransomware-aanval

Reacties (15)

11-04-2023, 11:00 door Anoniem

Als iemand kwaad wil doen tegen de DigiD app, dan kan die dat heus ook wel zonder broncode...
Maar ik moet wel zeggen: Broncode hebben maakt het wel makkelijker.

11-04-2023, 11:06 door Anoniem

De vraag is natuurlijk: kun je met die broncode (en evt wat eigen werk) zelf een DigiD app maken?
Anders heeft het totaal geen nut. Wat broncode publiceren waarvan je toch niet kunt controleren of de echte app daar wel gebruik van maakt daar heb je weinig aan.

11-04-2023, 11:34 door Anoniem

Door Anoniem: De vraag is natuurlijk: kun je met die broncode (en evt wat eigen werk) zelf een DigiD app maken?
Anders heeft het totaal geen nut. Wat broncode publiceren waarvan je toch niet kunt controleren of de echte app daar wel gebruik van maakt daar heb je weinig aan.

Wat nu gepubliceerd is is een moment opname, en bovendien onvolledig. Does not compile :(

Ik wacht met smart op de dag dat de overheid al haar apps ook gewoon in de FDroid store plaatst.

11-04-2023, 12:01 door Anoniem

Het idee achter behoorlijk in elkaar zittende crypto is dat *alles* openbaar kan zijn, behalve de key en dat het dan nog steeds veilig is. Security by obscurity is geen security tenslotte...

De identificatie is als het goed is hier goeddeels op gebaseerd als het goed is. Als 'openbaar maken' de boel verzwakt, dan zit het toch al niet goed in elkaar volgens bovenstaande.

11-04-2023, 12:11 door Anoniem

Persoonlijk vind ik dat dit toegestaan moet zijn. Authenticatie moet een protocol zijn, niet een arbitraire blob.

11-04-2023, 12:57 door Erik van Straten

Door de staatssecretaris: Maar we doen dat vanuit veiligheid en natuurlijk op een manier die verantwoord is, door ervoor te zorgen dat informatie die afbreuk doet aan de veiligheid van systemen, zoals versleutelingsmechanismes, [...]

Wat zou er in vredesnaam fout kunnen gaan als we cruciale besluitvorming overlaten aan kibbelende nitwits, waarvan we ook al geen idee hebben hoe onafhankelijk en beïnvloedbaar zij zijn?

(De staatssecretaris heeft waarschijnlijk de gebruikelijke term versleutelingsalgoritmes bewust niet gebruikt, om het daarop aanslaan van nog meer noobs te voorkomen. Aarrghh een algoritme!)

11-04-2023, 13:56 door Anoniem

Vandaar dat reproducible builds zijn bedacht:
https://reproducible-builds.org/
... en tools om de benodigde vergelijkingen te doen, zoals:
https://diffoscope.org/
Ook als builds niet volledig identiek zijn kan je met dergelijke tools al heel ver komen in het maken van vergelijkingen. Als het niet alles is voor een app betekent dat nog niet meteen dat het niets is.

11-04-2023, 14:06 door Anoniem

Door Erik van Straten: Wat zou er in vredesnaam fout kunnen gaan als we cruciale besluitvorming overlaten aan kibbelende nitwits, waarvan we ook al geen idee hebben hoe onafhankelijk en beïnvloedbaar zij zijn?

Er kan veel fout gaan, maar ik hoop niet dat je de illusie hebt dat in wat voor regering dan ook de bewindspersonen overal diepgaand verstand van kunnen hebben. Met alle specialismen die de mensheid heeft ontwikkeld heb je een menigte van duizenden mensen nodig om een regering met verstand van alles te hebben, en dat levert ernstige communicatieproblemen op. Die los je op door er een organisatiestructuur in aan te brengen met departementen waarin je specialismen onderbrengt, maar dan heb je een ambtenarenapparaat en weer mensen aan de top die onmogelijk overal zelf verstand van kunnen hebben.

Dat blijft altijd aanmodderen. Als jij een manier weet te bedenken om dat te vermijden, die nog echt werkt ook, dan doe je iets waar volgens mij nog nooit iemand in is geslaagd.

11-04-2023, 19:25 door Anoniem

Het Principe van Kerckhoffs; Shannon's "The enemy knows the system", of "security through obscurity is no security".

Software door de overheid publiek inspecteerbaar te maken is het juiste plan.

11-04-2023, 20:20 door Erik van Straten

Door Anoniem:

Er kan veel fout gaan, maar ik hoop niet dat je de illusie hebt dat in wat voor regering dan ook de bewindspersonen overal diepgaand verstand van kunnen hebben.

Nee, maar van een staatssecretaris voor Digitale Zaken (en Koninkrijksrelaties, voor dat bijrolletje zochten ze ook nog iemand) verwacht ik enig verstand van zaken. Anders is een debat in de Tweede Kamer betekenisloos en dat an sich is al misleidend.

Het probleem van digitalisering is dat commerciële partijen dit promoten, vanzelfsprekend zonder de nadelen te benoemen. Als regeringen en kamerleden daar niet zelf doorheenprikken, en ook geen capabele en onafhankelijke adviseurs hebben die dat voor hen doen, lopen we recht in de val (wat steeds vaker lijkt te gebeuren).

Door Anoniem: Als jij een manier weet te bedenken om dat te vermijden, die nog echt werkt ook, dan doe je iets waar volgens mij nog nooit iemand in is geslaagd.

Wat een onzin. Als je geen verstand hebt van een onderwerp, raadpleeg je betrouwbare specialisten. Een debat voeren en zonder je huiswerk te hebben gedaan en dan maar wat roepen om het roepen is een schertsvertoning en dus flagrante minachting van de democratie.

Als alternatief kunnen schriftelijke vragen gesteld worden, waar zowel de vraagstellers, de beantwoorders als de lezers daarvan ter zake deskundigen kunnen raadplegen.

11-04-2023, 23:16 door Anoniem

Van Huffelen is goed bezig. De overheid is de laatste tijd best wel goed bezig. Weinig ransomware vergeleken met het bedrijfsleven of onderwijs.

12-04-2023, 12:46 door majortom

Enkele fragmenten van die broncode kunnen echt een beveiligingsrisico hebben. Er moet een continuïteit zijn op het gebied van de veiligheid daarvan. Het moet blijven werken. Denk daarbij ook aan informatie over infrastructuur en waar de app op draait. Dat is best een risico voor hackers.

Wat een onzin om dit soort informatie eruit te laten. Deze informatie is eenvoudig op allerhande andere manieren uit de officiele, vanuit de playstore, aangeboden app te halen. Dat is geen hogere wiskunde. Wanneer een hacker dat wil weten dan kan ie daar al zonder die openbaar gemaakte code achterkomen.

Zijn kennis als IT-er valt dan toch behoorlijk tegen als hij veronderstelt dat dit soort info niet of uit de app zelf gehaald kan worden of op andere manieren kan worden achterhaald. Net zoals men niet kan verhinderen dat iemand zelf een alternatieve versie van de app zou maken.

12-04-2023, 15:41 door -Peter-

Als hij een IT-er is met deze angsten dan ben ik blij dat hij politicus is geworden en geen IT systemen meer bouwt. Dergelijke zaken zet je in je configuratie en niet in je broncode.

Peter

12-04-2023, 18:33 door Anoniem

Broncode aan mehoela er is gewoon wat door een beleidswerker op het web gezet en dat is een vork van een vork niks transparant.

12-04-2023, 19:24 door Anoniem

Door -Peter-:

Als hij een IT-er is met deze angsten dan ben ik blij dat hij politicus is geworden en geen IT systemen meer bouwt. Dergelijke zaken zet je in je configuratie en niet in je broncode.

Peter

Ik denk dat je dit statement iets te simpel leest .
Er zit gewoonlijk een hoop van de API structuur verwerkt in code , te zien aan hoe de API calls opgebouwd worden.

En dat is best erg behulpzaam als je kwaadwillend bent op het availability aspect van security.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer