Wij laten automatisering
voor u werken
radecom

Lek1: Blunder Logius maakt DigiD-fraude kinderspel

Het is 1 oktober, dus presenteren we het eerste lek in Lektober. Kwetsbare overheidssites maken het mogelijk DigiD-sessies te stelen. Een aanvaller kan eenvoudig rechtsgeldige transacties doen.
Dat ontdekte beveiligingsonderzoeker Wouter van Dongen van Dong IT. Hij ontdekte twee weken geleden al een zwakheid in diverse raadsinformatiesystemen. Die problemen zijn verholpen, maar naast de kwetsbaarheid in de site kwam ook de mogelijkheid aan het licht om DigiD-sessies over te nemen.

Simpel sessie stelen

Het probleem speelt bij overheidssites die kwetsbaar zijn voor cross site scripting lekken. En dat zijn er behoorlijk wat, zo zal volgende week blijken uit ons onderzoek in het kader van Lektober. Door het manipuleren van de URL is het bij XSS-gevoelige sites vervolgens mogelijk de cookie te stelen. Daarmee kan een aanvaller dezelfde sessie overnemen en dus namens de niets vermoedende gebruiker werken.

Het uitvoeren van een dergelijke aanval is niet ingewikkeld en kan zelfs geautomatiseerd worden. Wie namelijk een website bouwt die gevoelig is voor XSS-lekken, blijkt vaak ook gevoelig voor SQL-injectie. Daarmee is het kinderspel om internetadressen zo aan te passen dat gebruikers bij het klikken op een link al de dupe van een aanval worden.

Ook in het voorbeeld van Van Dongen​ bleek dit probleem te spelen. Hij ontdekte eerst de SQL-injection en toen het XSS-lek. vervolgens kwam het probleem met DigiD aan het licht.

Geen checks

Dat het mogelijk is om sessies over te nemen komt door het ontbreken van de nodige basale beveiligingslagen in DigiD. Zo wordt er niet gewerkt met secure cookies. Daardoor is het mogelijk de informatie over een sessie te stelen en te misbruiken.

Ook controleert DigiD niet van welk internetadres een gebruiker afkomstig is. Hierdoor kan een eenmaal overgenomen DigiD-sessie overal ter wereld worden misbruikt en wordt fraude makkelijker gemaakt.

Overheden die werken met DigiD moeten wel een aantal tests van een checklist (pdf) doorlopen. Maar daarbij wordt er niet gecontroleerd op een basaal beveiligingsprobleem als cross site scripting, terwijl het verantwoordelijke onderdeel van Binnenlandse Zaken, Logius, bijvoorbeeld wel zeker wil weten dat het woord DigiD goed wordt geschreven.

Webwereld heeft het lek in DigiD aangemeld bij Govcert. Die organisatie coördineert de afhandeling van het probleem. Daar wordt gemeld dat de problemen kloppen. In sommige gevallen er wel wordt gekeken naar de status van de DigiD-sessie. Een voorbeeld is de Belastingdienst. Toch is dit een controle is die de website moet doen en niet standaard bij DigiD hoort. Deze is dus niet altijd aanwezig.

Veel voorkomend

"Cross site scripting kwetsbaarheden zijn een van de meest voorkomende kwetsbaarheden in webapplicaties", zegt Van Dongen tegenover Webwereld. Uit een onderzoek in 2009 bleek dat maar liefst 65% van de onderzochte sites vatbaar waren. Van Dongen wijst erop dat zulke fouten makkelijk zijn te voorkomen. Maar al bij het ontwerp en de bouw van een applicatie kun je ook de impact ervan flink beperken, voor het geval er toch een XSS-fout door de controles komt.

"Door simpelweg gebruik te maken van HTTP only cookies en HTTP Trace methode uit te schakelen worden de mogelijkheden van een aanvaller al flink beperkt wanneer er een XSS kwetsbaarheid doorheen glipt", legt hij uit. "En door HTTP secure cookies worden de cookies niet over een onbeveiligde verbinding verzonden. Eenvoudig te implementeren en te controleren."

Niet de eerste keer

Het is niet de eerste keer dat Logius in opspraak raakt over geblunder met beveiliging. Precies een maand geleden bracht de organisatie een advies uit over de DigiNotar-crisis. Daarin stelde het bestuursorgaan dat er geen reden was om te twijfelen aan de integriteit van de PKI Overheid-certificaten. Dat was niet waar, aangezien de systemen voor PKI-overheid wel degelijk ook waren gekraakt door de inbreker.

Lektober

Dit DigiD-lek is alvast een opwarmer voor Lektober, waarin Webwereld iedere werkdag van de maand oktober een privacy-lek blootlegt. Hiermee willen we de aandacht vestigen op de slechte bescherming van privacygevoelige gegevens in de semipublieke sector en bij bedrijven.

Bron: webwereld.nl