Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

"Koppeling naar DigiD-pagina bij 12 gemeenten slecht beveiligd"

dinsdag 28 oktober 2014, 16:30 door Redactie, 11 reacties

Bij een dozijn Nederlandse gemeenten was koppeling naar de DigiD-inlogpagina maandenlang slecht beveiligd, waardoor gegevens van burgers mogelijk risico hebben gelopen, zo beweert het televisieprogramma Opgelicht. Bijna iedere gemeente in Nederland heeft een website waar met een DigiD kan worden ingelogd, bijvoorbeeld om een vergunning aan te vragen.

Een onderzoeker ontdekte bij 24 kwetsbare gemeenten software die van een standaard wachtwoord was voorzien. Bij 12 van deze 24 gemeenten plus twee andere instanties was de koppeling naar de DigiD-inlogpagina "bar slecht beveiligd en dus makkelijk te hacken", aldus Opgelicht. Om welke software het precies gaat en hoe een aanvaller hier misbruik van zou kunnen maken wordt niet vermeld. De kwetsbaarheid zou inmiddels zijn verholpen.

Bedrijven afgeperst via DDoS-aanvallen en gehackte data
Trojaans paard verspreidt zich via Word-macro's
Reacties (11)
28-10-2014, 17:08 door Anoniem
Ik ben om.
Ik zie geen enkel probleem meer waarom ik niet alle belastingzaken en meer zou invullen op deze site van DigiD.
Wat kan er nou mis gaan, je hebt geen papieren administratie meer die je kwijt kan raken en gemak dient immers de mens.
En je post kan ook maar weg raken of niet bezorgd worden tenslotte. Mijn medewerking hebben ze.
28-10-2014, 17:56 door Anoniem
Door Anoniem: Ik ben om.
Ik zie geen enkel probleem meer waarom ik niet alle belastingzaken en meer zou invullen op deze site van DigiD.
Wat kan er nou mis gaan, je hebt geen papieren administratie meer die je kwijt kan raken en gemak dient immers de mens.
En je post kan ook maar weg raken of niet bezorgd worden tenslotte. Mijn medewerking hebben ze.

Ben je vergeten dat overheid en ICT totaal niet samen gaan. Als je deze post gelezen hebt en nog positief reageer vind ik je kort door de bocht.
28-10-2014, 18:26 door [Account Verwijderd] - Bijgewerkt: 28-10-2014, 18:30
[Verwijderd]
28-10-2014, 19:15 door Anoniem
De enige echte oplossing betreffende de veiligheid van al deze websites, is gewoon het onvoldoende beveiligen strafbaar te stellen voor de leidinggevenden van deze organisaties. Of het om particuliere bedrijven gaat, of overheid, de leidinggevenden moeten na een inbraak kunnen aantonen dat ze alles hebben gedaan, om de veiligheid zo goed mogelijk te kunnen waarborgen. De straf; gewoon een beroepsverbod van enkele jaren, zonder recht op een vergoeding of uitkering.
28-10-2014, 23:37 door Anoniem
Vandaag, 17:56 door Anoniem,

Een stukje sarcasme/humor moet ook kunnen, dacht ik na alle berichten over overheid en ICT gelezen te hebben.
29-10-2014, 00:05 door Erik van Straten - Bijgewerkt: 29-10-2014, 01:53
Eerder vanavond heb ik op TV naar "Opgelicht" gekeken. Wat Erik Westhovens daarin suggereerde, namelijk dat het certificaat van https://www.digid.nl/ SHA1 als hash-algoritme zou gebruiken, is onjuist. En los daarvan, voor zover bekend is SHA1 wel verzwakt, maar nog niet gekraakt (hoewel het gebruik ervan wordt afgeraden, stikt het nog van de certificaten die van SHA1 afhankelijk zijn qua veiligheid). Onderaan deze bijdrage een korte uitleg over hash-algoritmes.

Het DigiD certificaat is niet erg fraai, daar schrijf ik verderop wat over; eerst maar eens het SHA1 misverstand uit de wereld helpen. In Internet Explorer gebeurt iets vergelijkbaars (zie verderop). Gebruikmakend van Firefox (Engelstalig) klik je op het slotje. In het popup venstertje klik je op de knop onderaan: [More Information...]. In de "Page info" dialoogbox klik je op [View certificate].

Onderin de "Certificate Viewer" dialoogbox zie je:
SHA1 Fingerprint    1A:5A:44:84:80:D9:AA:84:C9:9B:7C:81:72:83:57:C6:04:3E:DC:5B
MD5 Fingerprint      21:40:5A:68:8C:CE:BB:B3:9C:A1:4B:EC:29:FB:0A:AC

Een weetje: de hierboven getoonde hashes maken geen onderdeel uit van het certificaat!

Het in het certificaat gebruikte hash-algoritme vind je door de "Details" tab te openen. Selecteer in de bovenste box "www.digid.nl" en in de onderste "Certificate Signature Algorithm". Daar zie je:
PKCS #1 SHA-256 With RSA Encryption
Dat betekent dat "QuoVadis CSP - PKI Overheid CA - G2" dit certificaat digitaal heeft ondertekend gebruik makend van het SHA-256 hash-algoritme en RSA asymmetrische versleuteling.

Fingerprints, Thumbprints en Vingerafdrukken
Hoe zit het dan met die "fingerprints" (ook aangeduid met "thumbprints", "vingerafdrukken", "message digests" of gewoon hashes)? Firefox berekent deze over het hele certificaat, voor je zodat je, bij onzekerheid over de echtheid certificaat, bijv. de eigenaar kunt bellen en deze hashes mondeling vergelijken.

Dat Firefox hiervoor nog de wel gekraakte MD5 en scheurtjes-vertonende SHA1 gebruikt is jammer. Aan de andere kant, het is ontzettend veel moeilijker om een vervalst exemplaar van zo'n klein bestandje als een certificaat te maken, zodanig dat er geen totale onzin in staat tewijl tegelijkertijd, zowel de MD5- als de SHA1 hash hetzelfde zijn.

Bewijs
Nu hoef je mij niet te geloven; je kunt zelf controleren dat het zo werkt. Daarvoor heb je wel een programma nodig dat dergelijke cryptografische hashes kan berekenen. Via https://www.security.nl/posting/406569/Tor-node+ontdekt+die+malware+aan+downloads+toevoegt#posting406594, achter "4)" vind je meer info over dat soort tools.

Gebruikmakend van Firefox gaat dat als volgt: open zoals boven beschreven de certificaat dialoogbox, en klik daarna op de "Details" tab.

Selecteer het onderste certificaat (www.digid.nl) en klik linksonder op de knop [Export...].
Open de onderste keuzebalk ("Save as type:) en kies voor het type: X.509 Certificate (DER) *.der.
Sla het bestand op, bijv. op jouw bureaublad, als "www.digid.nl.der". Dat ".der" formaat is de meest compacte, binaire, representatie van het certificaat (dit is ook het formaat waarin de webserver dat certificaat via het internet naar jouw browser stuurt).

Gebruik vervolgens het gewenste tooltje om de cryptografische hash over dat bestand te berekenen. Bijvoorbeeld bij de "DigitalVolcano Hash Tool 1.1" gaat dat als volgt:
- Zorg dat je scherm verder leeg is
- Start het programma ("DigitalVolcano Hash Tool 1.1")
- Kies het gewenste "Hash Type"
- Sleep het certificaat, "www.digid.nl.der" (afhankelijk van de instellingen op jouw PC kan dit ook getoond worden als "www.digid.nl"), op het venster van "DigitalVolcano Hash Tool 1.1".

Als ik dat doe verschijnt:
1a5a448480d9aa84c99b7c81728357c6043edc5b,C:\Users\ErikvS\Desktop\www.digid.nl.der

Een paar zaken vallen op: soms worden bij getoonde hashes kleine- en soms hoofdletters gebruikt, en de "bytes" (elke twee karakters) worden soms door dubbele punten, soms door spaties en soms nergens door gescheiden. Dit wetende zie je dat het hier om dezelfde SHA1 hash gaat als Firefox toonde. Dit kunstje kun je nu ook nadoen met MD5.

Internet Explorer
Met Internet Explorer gebeurt iets vergelijkbaars. Ga naar https://www.digid.nl/, klik op het slotje en klik onderaan op "View Certificates" (ook hiervan gebruik ik een Engelstalige versie, maar je snapt waarschijnlijk wel wat de NL vertaling hiervan is). In de "Certificate" dialoogbox open je de "Details" tab, en vervolgens scroll je met de scrollbalk helemaal naar beneden. Selecteer de onderste regel.

Op de onderste twee regels zie je dan staan:
Thumbprint algorithm   sha1
Thumbprint                 1a 5a 44 84 80 d9 aa 84 c9 9b...
In de box daaronder zie je de volledige "vingerafdruk":
  1a 5a 44 84 80 d9 aa 84 c9 9b 7c 81 72 83 57 c6 04 3e dc 5b
(waarom Microsoft hier met een spatie begint is mij een raadsel).

Vraag: ik weet bijna zeker dat je vroeger, vanuit MSIE, certificaten kon opslaan. Ergens bij een update lijkt die functionaliteit te zijn verdwenen. Of droom ik, en heeft dit nooit gekund?

Nb. exact dezelfde dialoogbox zie je trouwens door op je desktop op het (vanuit Firefox) opgeslagen bestandje "www.digid.nl.der" te dubbel-klikken.

Ik hoop dat Logius eerst iets aan RC4 doet voordat ze aan het certificaat gaat sleutelen! (zie https://www.security.nl/posting/406116/https+lekjes%3A+DigiD%2C+KPN%2C+ABP%2C+SNS%2C+Triodos%2C+ASN).

Informatie in het DigiD certificaat
Over het certificaat zelf: Opnieuw gebruikmakend van Firefox, klik je op het slotje. In het popup venstertje verschijnt:
You are connected to
digid.nl
which is run by
(unknown)
Verified by: QuoVadis TrustLink BV
The connection to this website is secure.
Dat woord "(unknown)" wekt natuurlijk geen vertrouwen. Echter, voor zover ik weet doet Firefox dit bij alle "standaard" certificaten (ook bij Google, Facebook, Twitter etc. - en zelfs security.nl :)

Uitsluitend indien sprake is van een EV (Extended Validation) certificaat, meestal aangeduid met groen, toont Firefox hier iets anders dan "(unknown)". Waarom de, qua cryptografie al vele jaren zeer sterke "PKI Overheid" certificaten, niet de kwalificatie EV hebben, mag Joost weten (anderzijds betekent een EV-certificaat niet dat jouw browser uitsluitend met de site met dat EV-certificaat communiceert. In de achtergrond kan jouw browser, onzichtbaar, meerdere verbindingen met allerlei andere https sites opzetten, zonder dat je daar de certificaten van kunt bekijken. Zo heel veel zegt zo'n EV certificaat dus ook weer niet).

Toch is er m.i. wel iets mis met het certificaat van DigiD. En dat is de wijze waarop het "Subject" is ingevuld (ik heb dit eerder aangekaart onder "V1 Server-authenticatie in https://www.security.nl/posting/406474/Website+naar+https%3F+%28voorbeeld%3A+Tweakers_net%29):
Is nu:                   Had moeten zijn:
-----------------------------------------
CN = www.digid.nl
OU = DigiD               Logius
O = Logius               Rijksoverheid
L = 's-Gravenhage
ST = Zuid-Holland
C = NL
-----------------------------------------

Wat is een (cryptografisch) hash-algoritme
Korte uitleg: een hash is een soort "checksum" waarbij het resultaat een vaste lengte heeft. Dit zou er als volgt uit kunnen zien: stel je wilt dat de hash altijd 4 cijfers lang is. Dan begin je met het getal 1000. Vervolgens tel je de waarde van elke byte uit het "te hashen" bestand hierbij op. Als het resultaat langer is dan 4 cijfers (dus groter is dan 9999) bewaar je slechts de meest rechtse 4 cijfers (de rest gooi je weg). Dit is een matige hash om onopzettelijke wijzigingen te detecteren, maar zelfs dan is het niet erg betrouwbaar. Als je in een tekstbestand twee letters van plaats verwisselt levert dat dezelfde hash op... Een goede cryptografische hash zit wiskundig zo in elkaar dat het redelijkerwijs onmogelijk is om twee verschillende bestanden te vinden die dezelfde cryptografische hash opleveren.
Het resultaat van cryptografische hashes wordt (voor zover ik weet) altijd met een hexadecimaal getal weergegeven (naast de cijfers 0 t/m 9 worden ook de letters A t/m F gebruikt).
SHA1 is een cryptografisch hash-algoritme dat een hexadecimaal getal van 160 bits, dus 20 bytes, oplevert.
MD5 is 128 bits lang, 16 bytes dus.
MD5 is, voor de meeste toepassingen, gekraakt: zie bijv. http://www.win.tue.nl/hashclash/rogue-ca/.
29-10-2014, 11:24 door B3am
Dat is weer een mooi college. Bedankt Erik van Straten.
29-10-2014, 11:53 door Anoniem
Wat die meneer op TV beweerde (waarbij hij ook niet erg geloofwaardig overkwam vond ik) was dat doordat je in de CMS
kon inloggen de DigiD koppeling gehacked kon worden. Maar daar heb ik sterk mijn twijfels over.
Immers het inloggen gebeurt helemaal niet op de site van de gemeente of whatever instelling die DIgiD gebruikt.
Je wordt doorgestuurd naar een pagina van DigiD. Ik denk dat hij bedoelt dat iemand een eigen site maakt die er ongeveer
zo uitziet als de DigiD inlogpagina en dan in de gemeente site doorlinkt naar die pagina ipv naar DigiD. Dan zul je
wellicht je wachtwood intikken wat dan opgeslagen kan worden, en de loginpoging zal wel falen waarna je doorgestuurd
wordt naar de echte login.
Maar dan is de boel niet gehacked want dat ZIE je als je probeert in te loggen en op die URL let. Als het mis gaat terwijl
je niet oplette en je goede wachtwoord gebruikte dan ben je nog op tijd om je wachtwoord te veranderen via de gewone
digid site.

Zoals altijd in dit soort gevallen ligt het eigenlijke probleem niet in DigiD maar in backoffice systemen die alles maar
accepteren en volgen. Je zag die logs van de belastingdienst. Iemand verandert 3 keer van banknummer en vraagt
vanalles aan. Dat gaan ze dan zomaar uitvoeren, nergens gaat er een belletje rinkelen. Dat krijg je ervan als je alles
maar automatiseert zonder na te denken over misbruik en fraude.
Dan nog, men gaat dan het geld "terug" vragen van degene wiens DigiD account het was. Hoezo "terug". Die heeft
het toch helemaal nooit gehad? Ze moeten het "terug" vragen van degene op wiens banknummer het overgemaakt
is. Die heeft het gehad dus die kan het "terug" betalen. Dat die het op een Western Union kantoor gebracht heeft
dat is zijn probleem, hij is in ieder geval onderdeel van de criminele organisatie, en dat is het slachtoffer niet.
29-10-2014, 12:34 door Anoniem
Het gaat om de volgende gemeenten:
Alkmaar
Alphen-Chaam
Amersfoort
Apeldoorn
Hardenberg
Haaksbergen
Heerlen
Helmond
Hengelo
Hoorn
Krimpen aan den IJssel
Leidschendam
Voorburg
Lelystad
Moerdijk
Rhenen
Roermond
Rucphen
Schiedam
Rotterdam
Smallingerland
Soest
Waalwijk
Weert
Wijdemeren

http://www.opgelicht.nl/nieuws/detail/7725/10/

Ik weet dat Rotterdam Smartsite CMS gebruikt.
30-10-2014, 01:24 door Erik van Straten
Door Erik van Straten: Informatie in het DigiD certificaat
Over het certificaat zelf: Opnieuw gebruikmakend van Firefox, klik je op het slotje. In het popup venstertje verschijnt:
You are connected to
digid.nl
which is run by
(unknown)
Verified by: QuoVadis TrustLink BV
The connection to this website is secure.
Dat woord "(unknown)" wekt natuurlijk geen vertrouwen. Echter, voor zover ik weet doet Firefox dit bij alle "standaard" certificaten (ook bij Google, Facebook, Twitter etc. - en zelfs security.nl :)

Uitsluitend indien sprake is van een EV (Extended Validation) certificaat, meestal aangeduid met groen, toont Firefox hier iets anders dan "(unknown)".
In https://www.expeditedssl.com/pages/visual-security-browser-ssl-icons-and-design zie je, voor de meeste browsers (ook mobile), de visuele verschillen tussen gewone en EV certrificaten.
30-10-2014, 10:13 door Anoniem
Geachte heer, mevrouw,

Gisteren hebben wij u geïnformeerd over een kwetsbaarheid in het CMS van een aantal gemeenten. Het programma Opgelicht?! ging gisteravond in op deze zaak.

Wij concluderen dat in het programma vele waar- en onwaarheden door elkaar zijn gaan lopen. Verschillende zaken zijn op één hoop gegooid, waardoor er een behoorlijk diffuus en onduidelijk beeld is ontstaan. Er zijn in de uitzending echter geen nieuwe feiten naar boven gekomen over de kwetsbaarheid waarover wij u informeerden.

De IBD voor gemeenten heeft een reactie op de uitzending gepubliceerd.
https://www.ibdgemeenten.nl/mediaconsternatie-digid-lek-gemeentelijke-websites-niet-gebaseerd-op-feiten/

Voor de goede orde benadrukken wij dat er dus geen lek in DigiD was en er ook geen aanwijzingen zijn dat DigiD’s door deze kwetsbaarheid in handen van derden zijn gevallen.


Vragen
Heeft u nog vragen en/of opmerkingen, dan kunt u op werkdagen van 8.00 tot 17.00 uur telefonisch contact opnemen met het servicecentrum op het telefoonnummer 0900 555 4555 (10 ct/m) of per e-mail aan servicecentrum@logius.nl.

Met vriendelijke groet,

Servicecentrum Logius
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Banken moeten slachtoffers van phishing altijd compenseren:

26 reacties
Aantal stemmen: 1008
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

51 reacties
Lees meer
Juridische vraag: Moet de overheid over hard bewijs beschikken om providers apparatuur van bepaalde leveranciers te laten vervangen?
11-12-2019 door Arnoud Engelfriet

Ik las op diverse plekken dat Nederland een wet heeft aangenomen dat providers verplicht kunnen worden om Huawei-apparatuur uit ...

6 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

49 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter