image

"Belastingaangifte via Linux onveilig"

maandag 12 maart 2007, 10:47 door Redactie, 11 reacties

De Linux versie van het aangifteprogramma van de belastingdienst gaat op een onveilige manier met de DigiD inlogcode om, waardoor andere gebruikers van dezelfde computer het wachtwoord kunnen achterhalen, zo waarschuwt wetenschappelijk programmeur Joris van Rantwijk.

Van Rantwijk ontdekte dat de DigiD inlogcode en het wachtwoord worden doorgegeven in de vorm van een command line parameter. Op veel Linux systemen is het normaal dat alle ingelogde gebruikers de volledige lijst van actieve processen en bijbehorende command line parameters kunnen zien. Indien er dus tijdens het verzenden van de belastingaangifte een tweede gebruiker op de computer is ingelogd, bijvoorbeeld via het netwerk, kan deze het DigiD wachtwoord afluisteren door simpelweg de lijst van processen op te vragen.

De DigiD gegevens zijn niet rechtstreeks leesbaar omdat er gebruik wordt gemaakt van een zogenaamde base64 codering, maar het decoderen daarvan is buitengewoon eenvoudig. "Welliswaar moet de lijst van processen op precies het juiste moment worden opgevraagd, maar dat is eenvoudig te realiseren met behulp van een script" aldus de programmeur.

Hij ontwikkelde zelfs een programma genaamd DigiDsnoop om automatisch DigiD gegevens af te luisteren. Wanneer dit programma actief is op een computer op het moment dat iemand (mogelijk onder een andere gebruikersnaam) zijn aangifte verzendt, wordt de DigiD inlogcode afgeluisterd en weergegeven.

Hoewel een aanvaller er niet zoveel mee kan behalve "het laten schrikken van een collega", heeft van Rantwijk het al in oktober 2006 gemeld op het testforum van het programma, maar zagen de ontwikkelaars geen reden om in actie te komen.

De programmeur ontdekte meer onzorgvuldigheden in het aangifteprogramma. Zo worden databestanden standaard opgeslagen met leestoegang voor alle gebruikers van de computer. Ook is gebleken dat de wachtwoordbeveiliging van het programma zeer onveilig is. "Als je informatieveiligheid serieus neemt, is het wellicht beter om voorlopig aangifte te doen via papieren formulieren."

Reacties (11)
12-03-2007, 11:40 door Anoniem
Voor de duidelijkheid: dit heeft dus niets met de veiligheid van DigiD te
maken maar met het gebruik ervan door de Belastingdienst. Stelletje
prutsers!
12-03-2007, 11:42 door Anoniem
Bij mijn weten schermen moderne linux-installaties dat
standaard af. Een gewone gebruiker krijgt dus niet alle
processesn te zien.
Maar als dat niet zo is hoor ik het graag en zou ik graag
zien of je dat ook buiten SElinux om veiliger kan instellen!?!??
12-03-2007, 12:00 door jeed
Dit lijkt mij ook een probleem van DigiD zelf. Wie bedenkt
het in 2007 nog om dit soort dingen met enkel een username
en password te beschermen. Laat ze het DigiD maar eens
upgraden naar een persoonlijk certificaat.

En ja, op papier aanvragen graag, maar na drie pogingen om
een papieren formulier te krijgen bij de belastingdienst heb
ik nog niets ontvangen.
12-03-2007, 12:31 door DWizzy
dat persoonlijk certificaat komt volgens mij pas als ze bij DigiD het 'hoge
niveau' beveiliging introduceren: nu heb je alleen nog laag en middel.
12-03-2007, 12:34 door koekblik
een lijst van processen krijgen op het moment dat bepaald
netwerkverkeer gezien wordt is vrij makkelijk,
http://www.stuvel.eu/netwatch
12-03-2007, 12:45 door Anoniem
Door Anoniem
Voor de duidelijkheid: dit heeft dus niets met de veiligheid van DigiD te
maken maar met het gebruik ervan door de Belastingdienst. Stelletje
prutsers!

Tja, makkelijk afgeschoven hoor. Je kan natuurlijk ook redeneren dat
degene die de authenticatie mogelijk maakt met DigiD moet voorzien in
het veilige gebruik. Maw. een goede Linux authenticatie module.
12-03-2007, 14:14 door meneer
Door DWizzy
dat persoonlijk certificaat komt volgens mij pas als ze bij
DigiD het 'hoge
niveau' beveiliging introduceren: nu heb je alleen nog laag
en middel.
In dat geval zullen ze toch iedereen een nieuwe DigiD moeten
geven en bij de uitreiking authenticatie op basis van een
echt paspoort moeten toepassen.
12-03-2007, 15:02 door Secyourit
Aperte onzin dat dit aan Linux ligt...het is ook mogelijk
Samba-schijven aan te koppelen zonder dat het wachtwoord in
de taaklijst verschijnt.
12-03-2007, 15:36 door Anoniem
Door jeed
Dit lijkt mij ook een probleem van DigiD zelf. Wie bedenkt
het in 2007 nog om dit soort dingen met enkel een username
en password te beschermen. Laat ze het DigiD maar eens
upgraden naar een persoonlijk certificaat.

En ja, op papier aanvragen graag, maar na drie pogingen om
een papieren formulier te krijgen bij de belastingdienst heb
ik nog niets ontvangen.

Oei...en het is al bijna 1 april...
13-03-2007, 22:55 door Anoniem
wederom zo een ALS verhaal......

ALS mijn tante rolschaatsen had was het een autobus......

T|T
14-03-2007, 13:59 door Anoniem
Door Anoniem
Bij mijn weten schermen moderne linux-installaties dat
standaard af. Een gewone gebruiker krijgt dus niet alle
processesn te zien.
Maar als dat niet zo is hoor ik het graag en zou ik graag
zien of je dat ook buiten SElinux om veiliger kan instellen!?!??
Onder Fedora Core 6 krijgt een beperkte gebruiker met ps
keurig alle processen te zien, inclusief de hele
startopdracht. Dit ljikt in principe toch een
veiligheidsrisico en ik wil graag weten of en hoe dit te
voorkomen is.
De manier waarop het belastingprogramma m.i. zou moeten
werken, is zoals meer linux-programma's dat doen: een
tekstbestandje (/etc/belasting/aangifte.conf) waarin het
wachtwoord als hash staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.