image

Lek in eIDAS-node maakte EU-burgers kwetsbaar voor id-fraude

dinsdag 29 oktober 2019, 15:24 door Redactie, 11 reacties
Laatst bijgewerkt: 30-10-2019, 08:34

Een ernstig beveiligingslek in de software die EU-landen voor grensoverschrijdende authenticatie gebruiken maakte het mogelijk voor aanvallers om zich als willekeurige EU-burgers uit te geven, zo stelt securitybedrijf SEC Consult dat de kwetsbaarheid ontdekte.

EIDAS-node is software waarmee EU-lidstaten kunnen deelnemen aan de EU-verordening elektronische identiteiten en vertrouwensdiensten (eIDAS). Het doel van deze verordening is betere publieke en private onlinediensten en elektronische handel binnen Europa. Ook regelt eIDAS het grensoverschrijdend gebruik van elektronische identificatiemiddelen en vertrouwensdiensten tussen de lidstaten van de Europese Unie.

Elke lidstaat heeft zijn eigen methode om burgers te authenticeren. EIDAS verbindt deze nationale eID-systemen. Zo moet het straks mogelijk worden dat Nederlandse burgers zich dankzij eIDAS met DigiD bij de diensten van een buitenlandse overheid kunnen authenticeren. SEC Consult ontdekte een kwetsbaarheid in het systeem waardoor een aanvaller zich als een willekeurige EU-burger had kunnen uitgeven.

Wanneer bijvoorbeeld een Italiaanse burger zich bij een Duitse onlinedienst wil authenticeren, zal de betreffende webapplicatie de Duitse eIDAS-node het authenticatieproces laten starten. De Duitse eIDAS-node stuurt een verzoek naar de Italiaanse eIDAS-node. Deze node stuurt de gebruiker door naar een systeem dat Italiaanse burgers via hun nationaal eID-systeem laat authenticeren. Na de authenticatie ontvangt de Duitse eIDAS-connector de informatie van de Italiaanse burger en stuurt die door naar de webapplicatie van de Duitse onlinedienst.

EIDAS maakt gebruik van SAML voor de communicatie tussen de eIDAS-conncector en eIDAS-service (die samen de eIDAS-node vormen). Nadat de gebruiker succesvol is geauthenticeerd, wordt er een SAML-antwoord naar de eIDAS-node gestuurd die het verzoek deed. Om de authenticiteit van de SAML-response te verifiëren controleert de eIDAS-node een digitale handtekening en het certificaat dat voor het signeren is gebruikt.

Deze certificaatcontrole bleek tekort te schieten, waardoor een aanvaller een gemanipuleerd SAML-antwoord met een vervalst certificaat kon signeren dat vervolgens werd geaccepteerd. De leverancier van eIDAS-node werd op 4 juli van dit jaar geïnformeerd en rolde kort daarna een update uit voor de lidstaten. De gepatchte versie 2.3.1 is vandaag openbaar gemaakt voor het publiek.

Image

Reacties (11)
29-10-2019, 15:54 door Anoniem
Maar het is veilig hoor. Echt waar!
29-10-2019, 17:51 door Anoniem
Door Anoniem: Maar het is veilig hoor. Echt waar!
De buzzwords zeggen al dat het veilig is. Dus nakijken hoefde niet. Makkelijk!
29-10-2019, 20:24 door Anoniem
Het was allemaal kennelijk kei-veilig, maar doe er voor de lol 2-factor authenticatie bij en je hebt een veelvoud aan point of entries en bijkomende veelvoud aan nog verdere verzwakking van de hele keten bij. Een walhalla voor “cyber”-logen, ict defensers en “crisis” beheersers.
29-10-2019, 20:48 door Anoniem
Door Anoniem: Maar het is veilig hoor. Echt waar!
Alles is veilig tot het tegendeel bewezen is. En dan moet je het repareren. Niet anders dan welk ander stuk software.
30-10-2019, 06:50 door karma4
Door Anoniem:
Door Anoniem: Maar het is veilig hoor. Echt waar!
De buzzwords zeggen al dat het veilig is. Dus nakijken hoefde niet. Makkelijk!
Ik zie inderdaad open source en gebruik van certificaten als buzzwords. https://www.samltool.com/toolkits.php
Bedoel je dat omdat iedereen het kan zien, maar niemand dat bij de bouw en uitrol echt doet, dat het zo mis gaat?
30-10-2019, 07:21 door Anoniem
Goh, dit had ook echt niemand verwacht :-)

Software en veilig.
Zijn er eigenlijk voorbeelden die wel veilig opgeleverd worden (zonder lekken).
Keer op keer is het hetzelfde riedeltje.

Is het ontwerp of de wens gewoon te compelx, of falen de "ITers" bij het ontwerrpen dan wel bouwen.
30-10-2019, 11:00 door Q1
Als ik bovenstaande reacties lees zie ik veel geklaag maar weinig inhoud. Overheid bashen is makkelijk maar levert niets op. Kunnen we het een beetje inhoudelijk houden?

Ik zie een goed initiatief, namelijk de mogelijkheid om eID's uit andere landen te accepteren.
Dat hier behoefte aan is, blijkt uit bv. patiënten portalen van ziekenhuizen bij de Duitse grens die geen DigiD gebruiken omdat onze oosterburen geen Nederlandse DigiD hebben. Het lijkt ook op een goede manier ontworpen (federatie via SAML is een goede standaard oplossing), alleen is de implementatie niet correct verlopen. De fout zelf zoals hierboven beschreven, het niet volledig controleren van responses, is behoorlijk standaard: veel app ontwikkelaars werken met slechte implementatie van encryptie en controleren certificaten niet, omdat ze alleen naar functionaliteit ipv. veiligheid kijken.

Mijn vraag hier is: wat zou je kunnen verbeteren om te voorkomen dat in dit soort cruciale oplossingen slordig geprogrammeerd wordt? Verplichte pentesten? Code review? certificering als bv. minimaal EAL5?

Q
30-10-2019, 11:54 door Anoniem
Door Q1: Als ik bovenstaande reacties lees zie ik veel geklaag maar weinig inhoud. Overheid bashen is makkelijk maar levert niets op. Kunnen we het een beetje inhoudelijk houden?
Ik denk dat er best inhoudelijk gereageerd is. Al was het dan niet heel respectvol.

[...] Mijn vraag hier is: wat zou je kunnen verbeteren om te voorkomen dat in dit soort cruciale oplossingen slordig geprogrammeerd wordt? Verplichte pentesten? Code review? certificering als bv. minimaal EAL5?
Dan kun je je dus afvragen of je wel de juiste mensen neergezet hebt. Dan kun je dat helemaal dichtplakken met "red tape", bureaucratische overhead, verplichte dit en verplichte dat, maar dat is nooit een panacea. Het blijft altijd modderen, al kun je natuurlijk altijd volhouden op de netwerkborrels dat je vre-se-lijk je best doet en dat je dus enorm goed bent (in modderen).

Je kan er ook anders tegenaankijken. Je kunt je bijvoorbeeld ook afvragen of die crucialiteit wel zo'n goed idee is. Want wat je hier eigenlijk zegt is dat we dit internationaal aanelkaarknopen van datasystemen vol persoonlijke gegevens wel moeten want "we" hebben ons overal afhankelijk gemaakt van allerlei digitale identifikaasie/legitimaasie en dat is allemaal anders over elke grens. Ja maar wacht even, hoezo bouw je systemen die niet anders kunnen? Om een excuus te hebben ze vervolgens met veel pijn en moeite "heroisch" weer aanelkaar te knopen, zo goed en zo kwaad als het gaat?

En dan zeg je "ja maar hee het ging over dit ding niet over het grotere beleid", maar dan zeg ik: Ja, maar dat is wel relevant.

Want kijk je niet groot genoeg en ben je voortdurend alleen maar bezig je directe probleempjes op te lossen, dan ben je dus ook bezig eerdere inschattingsfouten en ongelukkige aannames tot in de eeuwigheid vast te houden.

En dan blijk je allerlei basisdingen te zijn vergeten. En dan mogen we best vragen hoe dat zo heeft kunnen komen? Kon je de juiste mensen niet vinden? Wat denk je zijn die juiste mensen en hoe ben je ze gaan zoeken? En zo verder.

En dan blijkt dat het er vooral om ging een prestigeprojectje in de markt te zetten om te laten zien dat er met de muziek wordt meegelopen. "Kijk ons nu, digitale transformasie, hee!" Dat is dan ook een stukje witwassen van basisaannames. Dan kun jij het flauw vinden dat ik daar toch nog ook nog even kritisch naar kijk, maar dat vind ik niet flauw. Integendeel.
30-10-2019, 13:55 door Q1
Door Anoniem:
[...]
Je kan er ook anders tegenaankijken. Je kunt je bijvoorbeeld ook afvragen of die crucialiteit wel zo'n goed idee is. Want wat je hier eigenlijk zegt is dat we dit internationaal aanelkaarknopen van datasystemen vol persoonlijke gegevens wel moeten want "we" hebben ons overal afhankelijk gemaakt van allerlei digitale identifikaasie/legitimaasie en dat is allemaal anders over elke grens. Ja maar wacht even, hoezo bouw je systemen die niet anders kunnen? Om een excuus te hebben ze vervolgens met veel pijn en moeite "heroisch" weer aanelkaar te knopen, zo goed en zo kwaad als het gaat?
[...].
Met "cruciale systemen" bedoel ik niet sec dit eIDAS systeem, maar gevoelige/kritische systemen in het algemeen. Denk dan aan alle systemen waar PII in verwerkt wordt. Of alle identificatie systemen, of alle xxx (noem maar een willekeurig belangrijk systeem)

Als we even naar het hierboven genoemde eIDAS systeem kijken zie ik het positief:
- ieder land kan zijn eigen eID systeem maken, en houdt daarmee de volledige controle over de eigen eID's (dus geen megalomaan systeem waar alle eID's van de hele wereld in komen!)
- voor die applicaties waar er een behoefte is om je in een ander land te identificeren (bv. mijn voorbeeld van een patienten portaal) maakt het eIDAS systeem dit mogelijk, ZONDER dat de hele eID database met een ander land gedeeld moet worden!.
Kortom, ook met eIDAS houdt ieder land volledig eigen regie over de eigen database en wordt er niets gedeeld. En iedere applicatie die het gebruikt heeft de mogelijkheid om bv. landen uit te sluiten (bv. wel accepteren van Belgische eID's, maar niet van Duitse eID's)

Vanuit de combinatie behoefte en beveiliging ben ik blij met de gedistribueerde aanpak in plaats van ieder land toegang geven tot de eID database van andere landen.

Door Anoniem:
[...]
En dan blijkt dat het er vooral om ging een prestigeprojectje in de markt te zetten om te laten zien dat er met de muziek wordt meegelopen. "Kijk ons nu, digitale transformasie, hee!" Dat is dan ook een stukje witwassen van basisaannames. Dan kun jij het flauw vinden dat ik daar toch nog ook nog even kritisch naar kijk, maar dat vind ik niet flauw. Integendeel.

Kan je onderbouwen waarom het volgens jou om een prestigeprojectje gaat? Ik lees dat er niet uit

Q
01-11-2019, 17:58 door Anoniem
Door Q1: Als ik bovenstaande reacties lees zie ik veel geklaag maar weinig inhoud. Overheid bashen is makkelijk maar levert niets op. Kunnen we het een beetje inhoudelijk houden?

Ik zie een goed initiatief, namelijk de mogelijkheid om eID's uit andere landen te accepteren.
Dat hier behoefte aan is, blijkt uit bv. patiënten portalen van ziekenhuizen bij de Duitse grens die geen DigiD gebruiken omdat onze oosterburen geen Nederlandse DigiD hebben. Het lijkt ook op een goede manier ontworpen (federatie via SAML is een goede standaard oplossing), alleen is de implementatie niet correct verlopen. De fout zelf zoals hierboven beschreven, het niet volledig controleren van responses, is behoorlijk standaard: veel app ontwikkelaars werken met slechte implementatie van encryptie en controleren certificaten niet, omdat ze alleen naar functionaliteit ipv. veiligheid kijken.

Mijn vraag hier is: wat zou je kunnen verbeteren om te voorkomen dat in dit soort cruciale oplossingen slordig geprogrammeerd wordt? Verplichte pentesten? Code review? certificering als bv. minimaal EAL5?

Q

Vraag me af wat u als “goed” vaststelt aan het initiatief zelf en wat goed / minder goed ?
Hoe “goed” wordt ermee het algehele niveau?
En hoe federabel(/op elkaar aansluitbaar) zijn de architecturen van de digid’s van elk land met elkaar?
En ontstaan met het federeren alleen hoogstens acceptabele gaten en geen gaten cruciale functies/elememten?

Verder lijkt het toch ook in enige mate een redudante werking op te leveren.
Behandeling kan volgens meerdere ziekenhuizen in Duitsland en Oostenrijk zelf in meerdere gevallen en omstandigheden zonder vertraging doorgaan.

Goedkeuring blijkt in de praktijk binnen 10-20 minuten gewoon bij het duitse ziekenhuis binnen te kunnen zijn.
Dat het langer duurt komt in de helft van de gevallen door voorzorg principes.
Doordat behoorlijk wat werknemers bij internationale helpdesks van verzekeraars vaak niets anders dan engels en Nederlands spreekt terwijl de meeste aanvragen voor nederlanders juist in niet Engelstalige landen plaats vindt.
Zo ontstaat een begrijpelijk maar onhandig communicatie issue als men iets wil checken of extra wil afstemmen.
Dit terwijl veel behandelcodes en behandelplannen ook gewoon in spaans, frans en duits beschikbaar zijn.
Met een digid of eIDAS of niet, die gaan dat niet veranderen.
Afhankelijk van omstandigheden staat de patient evengoed voor Duitsland en Oostenrijk van een wacht een paar uur tot dagen in de wacht.
In andere gevallen gaan ze soms ook al aan de slag zodra het eerste contact met de Nederlandse verzekeraar is gelegd en de patient een gevalideerde credit card bij zich heeft,
Bij patienten uit andere EU landen doen ze dit veelal niet en moeten patienten om verzekering technische redenen nog weer langer wachten dan de Nederlands verzekerde patienten.
02-11-2019, 00:48 door Anoniem
Door Q1:
Door Anoniem:
[...]
Je kan er ook anders tegenaankijken. Je kunt je bijvoorbeeld ook afvragen of die crucialiteit wel zo'n goed idee is. Want wat je hier eigenlijk zegt is dat we dit internationaal aanelkaarknopen van datasystemen vol persoonlijke gegevens wel moeten want "we" hebben ons overal afhankelijk gemaakt van allerlei digitale identifikaasie/legitimaasie en dat is allemaal anders over elke grens. Ja maar wacht even, hoezo bouw je systemen die niet anders kunnen? Om een excuus te hebben ze vervolgens met veel pijn en moeite "heroisch" weer aanelkaar te knopen, zo goed en zo kwaad als het gaat?
[...].
Met "cruciale systemen" bedoel ik niet sec dit eIDAS systeem, maar gevoelige/kritische systemen in het algemeen. Denk dan aan alle systemen waar PII in verwerkt wordt. Of alle identificatie systemen, of alle xxx (noem maar een willekeurig belangrijk systeem)

Als we even naar het hierboven genoemde eIDAS systeem kijken zie ik het positief:
- ieder land kan zijn eigen eID systeem maken, en houdt daarmee de volledige controle over de eigen eID's (dus geen megalomaan systeem waar alle eID's van de hele wereld in komen!)
- voor die applicaties waar er een behoefte is om je in een ander land te identificeren (bv. mijn voorbeeld van een patienten portaal) maakt het eIDAS systeem dit mogelijk, ZONDER dat de hele eID database met een ander land gedeeld moet worden!.
Kortom, ook met eIDAS houdt ieder land volledig eigen regie over de eigen database en wordt er niets gedeeld. En iedere applicatie die het gebruikt heeft de mogelijkheid om bv. landen uit te sluiten (bv. wel accepteren van Belgische eID's, maar niet van Duitse eID's)

Vanuit de combinatie behoefte en beveiliging ben ik blij met de gedistribueerde aanpak in plaats van ieder land toegang geven tot de eID database van andere landen.

Door Anoniem:
[...]
En dan blijkt dat het er vooral om ging een prestigeprojectje in de markt te zetten om te laten zien dat er met de muziek wordt meegelopen. "Kijk ons nu, digitale transformasie, hee!" Dat is dan ook een stukje witwassen van basisaannames. Dan kun jij het flauw vinden dat ik daar toch nog ook nog even kritisch naar kijk, maar dat vind ik niet flauw. Integendeel.

Kan je onderbouwen waarom het volgens jou om een prestigeprojectje gaat? Ik lees dat er niet uit

Q


Ik denk dat ik het beeld van "een prestigeprojectje" van Q1 mogelijk kan staven.
Sowieso omdat identificatie van personen de relatie en het verkeer van die personen met de overheid definieert. Zonder identificatie geen staat, zou je haast wel zeggen.
En dan gaat het hier om een overkoepelend geheel voor tal van EU, EEA en aanverwante landen.
Dit maakt het eIDAS van potentieel zeer grote omvang.

Die duiding valt verder ook te staven aan het feit dat Juncker en Timmermans de afgelopen jaren het zelf het als eminent belangrijk duidden. Zonder eIDAS kon van een echte EU haast geen sprake zijn zo zei Timmermans in 2014.

Verder hebben beide personen ook tal van bijkomende ontwikkelingen / facilliteiten gekoppeld aan de digitale identificatie diensten.
Ook als mensen eventueel nog geen paspoort hebben maar wel recht hebben of moeten hebben om geld van de overheid of instanties te ontvangen, volgens Timmermans tijdens een grote belegde pers-conferentie.
Het moest kennelijk ook zelfs de afhankelijkheid van burgers in Europa voor betalingen op internet middels ideal banken-diensten en credit-card maatschapijen en bijkomende prive gegevens verstrekking verminderen.
Als je beseft dat "geld ontvangen" primair een functie van staat jegens inwoner is en geld betalen aan een geverifeerde ontvanger dan besef je ook dat de EU met het eIDAS bestuurlijk enorm prestigieus inzet.
Met een breder pakket van diensten, betaalverkeer en waar ze humanitaire hulp aan wil koppelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.