Logius haalt DigiD offline na lek in Ruby on Rails
De dienst Digitale overheid van het ministerie Binnenlandse Zaken Logius heeft per direct het digitale authetiecatiesysteem DigiD offline gehaald. Reden hiervoor is de vondst van een ernstig lek in het onderliggende open source webapplicatieframework Ruby on Rails. Het probleem is zo ernstig dat het gevoelig is voor een denial of service (DoS)-aanval, beveiligingsmaatregelen zoals authenticatie omzeild kunnen worden, er gesjoemeld kan worden met gebruikersrechten, SQL-injecties mogelijk zijn en er toegang tot gegevens mogelijk was. DigiD zelf is niet lek.
Doordat er misbruik van DigiD gemaakt kon worden is besloten per direct de dienst offline te halen. Logius is momenteel bezig met het nemen van noodmaatregelen. Als er een oplossing is gevonden, moet de update eerst nog getest worden voordat DigiD weer gebruikt kan worden. Naar verwachting zal de dienst pas donderdagochtend weer beschikbaar zijn.
JSON- en XML-parameters
In een raportage van NCSC staat het volgende te lezen: ‘Door een fout in de afhandeling van JSON-parameters door ‘Active Record’ bestaat de mogelijkheid om sql-queries te beïnvloeden. De kwetsbaarheid stelt kwaadwillenden niet in staat om de volledige query te wijzigen maar wel om controles op NULL-waarden te beïnvloeden en de WHERE-clause van een query te elimineren. Dit kan een hoge impact op de applicatielogica hebben, maar dit hangt af van de specifieke applicatie die gebruikt maakt van deze functionaliteit.’
Ook is er een fout in verwerking XML-parameters. Hierover wordt gezegd: ‘Ruby on Rails handelt bepaalde typen data niet goed af wanneer deze data is opgenomen in een XML-bericht of als YAML-parameter. Kwaadwillenden kunnen dit XML-bericht aan een Ruby on Rails-applicatie aanbieden via de body van een ‘HTTP POST’-verzoek. Misbruik van deze kwetsbaarheid kan leiden tot het injecteren van willekeurige code en sql-queries, het omzeilen van authenticatiesystemen en het uitvoeren van DoS-aanvallen.’
NCSC, Diginotar en Ombudsman
Het is niet de eerste keer dat DigiD vanwege kwetsbaarheden offline wordt gehaald. Begin 2012 waarschuwde het Nationaal Cyber Security Centrum (NCSC) voor kwetsbaarheden op webservers van Logius. Die zwakke plekken hadden invloed op de beveiliging van DigiD. De apparatuur kon misbruikt worden voor een DoS-aanval.
Ook zorgde een vervalst ssl-certificaat bij het inmiddels failliete Diginotar ervoor dat DigiD offline ging. Overigens was de overheid toen al eens een keer gewaarschuwd door de Nationale Ombudsman. DigiD zou namelijk niet goed beveiligd zijn.
Etienne van der Woude, 10-01-2013 15:11
Pascal, 10-01-2013 17:02
Dat er gekozen wordt voor Ruby on Rails is nog daar aan toe maar waarom wordt die via het web aangeboden data (ongeacht op welke technische manier dat gebeurd) niet even gecontroleerd voordat je het in een query stopt.
Zo moeilijk is dat toch allemaal niet.
Gert Jan Wolfis, 10-01-2013 19:29
IDS/IPS snapt alleen algemene applicatie-protocol gerelateerde zaken, maar kan niet het onderscheidt maken op ISO laag 7 (applicatielaag) en applicatie specifieke zaken. Daarbij wordt web verkeer vaak in SSL verpakt en dat is meestal niet zo gunstig voor een IDS/IPS oplossing die vaak niets met SSL verkeer kan en daarom zonder inspectie doorlaat of diep in de beschikbare capaciteit moeten grijpen om SSL te decrypten en weer encrypten wat een performance degradatie van de web omgeving als geheel betekend. Een IPS beschikt vaak over andere kwaliteiten waardoor het zeker een toevoeging op de beveiliging is.
Het beschermen van applicaties op het juiste niveau, namelijk de applicatie laag (ISO laag 7) is juist de specialiteit van een web application firewall. Die kan dan tevens de rol van XML firewall op zich nemen, zodat ook de genoemde XML berichten en bijbehorende HTTP posts kunnen worden beschermd.
Om dit soort problemen in de toekomst te voorkomen is het zaak om te beschikken over Security LifeCycle Management waarin een vulnerability scanner wordt gekoppeld aan de web application firewall en dit combineert met een SIEM (Security Information and event Managment). Hierdoor ben je als organisatie in staat om bij iedere verandering zelf vast te stellen of de omgeving nog voldoet aan het vereiste niveau van beveiliging. Overigens, het hebben van een bovenstaand SLCM ontslaat u niet van periodieke manuele pentesting.
Rutger Storm, 11-01-2013 10:44
Dit is gewoon een goede actie geweest van Logius. Dinsdag middag/avond kwam de post op de mailinglist en woensdagochtend was DigiD al uit de lucht om het te patchen.
18-06 Vrouw kiest bewust voor ICT-werkveld
18-06 SIG en TÜViT belonen Selektvracht met 5 sterren
18-06 Rechtbank verklaart Apple-huis iCentre failliet
18-06 Lager tarief drukt omzet Imtech ICT
18-06 BMP Datapartners en Gemini bieden ICT-leaseplan
18-06 Progress stoot Apama af aan Software AG
18-06 Mitel neemt toeleverancier prairieFyre over
18-06 KPN versnelt 4G-uitrol in Nederland
18-06 Acer structureert zakelijke divisie
17-06 Tegenstribbelende fusiepartner verbaast DPA
13-06 Deciso Netboard A10 krijgt AMD-CPU mee
13-06 Vasco vindt in AET alternatief voor Diginotar
12-06 id-me komt met vingerafdrukidentificatie voor...
06-06 Tips om veilig mobiel te werken
05-06 MKB ondervindt problemen bij back-up en herstel
05-06 Kaspersky stuit op cyberspionage NetTraveler
04-06 Cybersecurity: aanval is beste verdediging
04-06 McAfee pakt beveiliging compleet en geïntegreerd...
04-06 GFI Software lanceert FixIT Scripts
03-06 Reclassering introduceert thuiswerken in één dag
|
|
21-05-13 DigiD 4.1 (Atos, Digidentity en Logius)
24-04-13 King maakt afspraken over DigiD-assessment
10-04-13 DigiD doorstaat Digistorm
24-01-13 ‘Maatwerksoftware deed DigiD de das om’
18-01-13 ‘Lek Ruby on Rails snel dicht door open source’
17-01-13 NCSC waarschuwt voor lek in Joomla add-on
17-01-13 ‘Ruby on Rails blijft zonder update risicovol’
17-01-13 Onverklaarbare platformkeuzes bij de overheid?
15-01-13 ‘Lek in Ruby on Rails heeft beperkte impact’
14-01-13 Ontwikkelen veilige software is complex
09-01-13 Lek in Ruby on Rails is griezelig
11-01-13 De voor- en nadelen van Ruby on Rails
15-01-13 Behandelen van parameters is complex
11-01-13 Top 3 gedupeerden door Ruby on Rails-lek
10-01-13 Lek in Ruby on Rails heeft veel kanten
14-01-13 Na Ruby on Rails volgt weer een ander systeem
10-01-13 Ruby on Rails-patch kan problemen opleveren
09-01-13 De gevaren door het Ruby on Rails-lek
11-01-13 ‘Dienst gebouwd op Ruby on Rails moet offline’
11-10-12 Atos migreert nieuwe DigiD als 'big bang'
DoS-aanvallen: strategieen om de schade te beperken
 |
De kans dat organisaties getroffen worden door een DoS-aanval is helaas reëel. Omdat er allerlei soorten......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 803 | 6.1 | |
 | 2 | 711 | 6.3 | |
 | 3 | 657 | 6.4 | |
 | 4 | 609 | 6.3 | |
 | 5 | 556 | 6.2 | |
 | 6 | 547 | 6.3 | |
 | 7 | 316 | 6.3 | |
 | 8 | 236 | 6.2 | |
 | 9 | 167 | 6.1 | |
 | 10 | 124 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep
Zelf kon ik een week geleden geen aangifte doen. Kreeg via een pide meldingpagina (niet de standaard) te zien dat” Uw sessie is verlopen en u bent automatisch uitgelogd” Maar ik was nog niet eens ingelogd. Was de verbinding gekraakt? Dacht van niet; de terugmelding klopte gewoon niet. Volgens het PDFje van belastingdienst.nl voldeed het gebruikte systeem ruim aan de systeemeisen. Op een andere PC met dezelfde browser en browserversie, maar met een ander OS/SP, kon ik wel mijn opgave doen.
Ze hebben dus geen standaard webtest uitgevoerd, waarbij de door hen gemelde systeemeisen getest zijn.
Dus ik vraag me af of de beveiliging van de applicatieketen wel eens goed getest is. Ik vrees van niet, zoals bij veel cloud ketens.