Een, twee, drie – en gekraakt is de website!
© Berend Vonk
Persoonsgegevens van burgers zijn niet veilig op overheidssites. Een beetje hacker legt er met het intikken van enkele codes moeiteloos de hand op. De weg naar identiteitsfraude ligt open.
In de huiskamer van Henk flikkeren vier grote computerschermen. Henk is softwareontwikkelaar en onderzoekt de veiligheid van websites. Elke week vindt hij naar eigen zeggen tussen de veertig en honderd lekken bij overheden, bedrijven en andere organisaties. Bluf? Waar Trouw bij is, zit hij binnen een paar minuten in de database van de overheidssite dedigitalekaart.nl.
Hacker Henk tikt een paar codes in de adresbalk. Er verschijnt een foutmelding met allerlei computercodes op het beeldscherm. In een handomdraai decodeert hij deze gegevens en dan gebeurt het: alle e-mailadressen, gebruikersnamen en wachtwoorden van de mensen achter de site verschijnen op zijn beeldscherm. Hiermee kan hij op de persoonlijke profielen van al deze gebruikers inloggen. Zelfs in het gedeelte van de websitebeheerder kan Henk terecht.
Gevoelige persoonlijke informatie komt via een dergelijke, vrij eenvoudig uit te voeren, aanval op straat te liggen. Tot nu toe is de overheid er niet in geslaagd om gegevens van burgers zo veilig te bewaren dat hackers er niet bij kunnen. Omdat de beveiliging van websites nog geen topprioriteit is bij de overheid, kunnen de privégegevens van de burger zonder al te veel moeite gestolen worden.
Volgens Ton Horrevorts, directeur van het adviesbureau HMS-management en adviseur good public governance, is de situatie op het gebied van internetveiligheid zelfs ’slechter dan een jaar geleden’. „Nederland loopt achter. Er is wel aandacht voor internetveiligheid, maar zeer versnipperd en daardoor onvoldoende effectief.”
Ook Govcert, het adviesorgaan van de overheid op ICT-gebied, meldt in haar jaarlijkse rapportage dat ’de risico’s op misbruik van overheids- en burgergegevens toenemen’.
Twee maanden na het verschijnen van het Govcert-rapport werd de veiligheid van overheidwebsites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse ICT-bedrijf signaleerde bij het merendeel van de overheidssites de afwezigheid van een digitaal slot, het zogenaamde SSL-cerificaat. Dit certificaat, herkenbaar aan de code ’https’ in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.
Het persbericht over de SSL-certificaten deed alle alarmbellen rinkelen bij de overheid. Diverse overheidsorganisaties reageerden geschrokken, plaatsten direct waarschuwingen op hun websites en beloofden beterschap. De website van Postbus 51 was binnen een paar dagen voorzien van een slotje.
Maar het breed in de media uitgemeten gevaar van het ontbreken van slotjes is volgens Ronald Prins van het ICT-bedrijf Fox-IT niet de echte oorzaak van de onveiligheid van overheidssites. „Een SSL-certificaat is zeker belangrijk, maar het is slechts een klein deel van een veel groter verhaal.” Prins meent dat identiteitsfraude zoals Networking4all dat beschrijft wel meevalt, en dat er ook weinig fraudezaken bekend zijn die op die manier tot stand zijn gekomen.
Ook Joost Pol, directeur van het ICT-bedrijf Certified Secure, vindt dat een beveiligde verbinding niet genoeg is om hackers te weren. Volgens Pol moet er verder worden gekeken dan naar SSL alleen. „Het is voor hackers niet voor de hand liggend om de verbinding tussen de computer van een gebruiker en de overheidsserver af te luisteren. Zij hacken de website zelf in plaats van de verbinding. Daar vinden ze de gegevens van alle bezoekers, in plaats van die van één persoon.”
De echte risico’s liggen volgens Pol bij programmeerfouten in webapplicaties. Zijn collega Prins is het daarmee eens. „Wanneer de applicatiebouw niet op orde is, kunnen criminelen via de webformulieren zelf bij de database komen. Daar valt meer te halen dan wanneer het verkeer tussen één persoon en de overheid onderschept wordt. Het belangrijkste is dat er veilig wordt geprogrammeerd. Als de webformulieren van een website niet op orde zijn, kunnen ze de hele database leeghalen.”
Het kraken van een slecht geschreven programma door middel van een zogenaamde SQL-injection (zie kader) kan goed beveiligd worden, maar als dat niet gebeurt, zijn de gevolgen volgens Horrevorts niet te overzien. „Het eerste gevaar is dat criminelen de sites platleggen; en in het ergste geval wordt de overheid stilgelegd.”
Want, zo redeneert Horrevorts, overheden worden steeds afhankelijker van het internet. Een tweede, nog ernstiger gevaar, is dat „criminelen toegang krijgen tot algemene bestanden van burgers en van medewerkers bij het Rijk. Kwaadwilligen kunnen hiermee identiteitsfraude plegen, de boel oplichten.”
Hoe ernstig het met de digitale veiligheidssituatie van de overheid is gesteld, is volgens Pol moeilijk in te schatten. „Om te weten hoe veilig een overheidssite is, zal je als externe moeten hacken, en dat kunnen wij als bedrijf natuurlijk niet doen. De overheid zal daarom zelf open moeten zijn over hun mate van veiligheid en deze moeten aangeven, door bijvoorbeeld het instellen van een keurmerk.”
Hoewel exacte cijfers van incidenten door onveilige overheidssites ontbreken, is de overheid wel degelijk op de hoogte van de toenemende problemen rondom cybercriminaliteit.
Volgens Ank Bijleveld, staatssecretaris van binnenlandse zaken en koninkrijksrelaties, is het verlies van persoonsgegevens door cybercriminaliteit „een structureel probleem”. Als verantwoordelijke voor de elektronische overheid gaf zij begin deze maand een toespraak tijdens het ICT-symposium van Govcert, een jaarlijks terugkerend evenement waar ICT-mensen uit de hele wereld naar toe komen. Haar kernboodschap was dat er meer informatie moet komen over de mate van beveiliging bij de overheid. „Er bestaat een grote toename van cybercrime. Wij moeten weten waar de barsten zitten.”
De burger is met de overheidscampagne ’Veilig internetten’ al gewaarschuwd voor identiteitsfraude door hackers. Nu is volgens Bijleveld de beurt aan de overheidsorganisaties zelf om actie te ondernemen. „Het wordt tijd dat de aandacht uit gaat naar de overheid; want niet alleen de burgers moeten alert zijn op de gevaren, ook bij de overheid moet er voldoende aandacht zijn voor dit probleem.”
Een betere organisatie bij de overheid is cruciaal om de beveiliging van digitale burgergegevens te garanderen. Daar wijst ook Horrevorts op: „Overheden denken dat de veiligheid van internet alleen met techniek te maken heeft. Maar hoe je het organiseert, is het allerbelangrijkst.” De managementexpert pleit ervoor om te beginnen met het verzamelen van gegevens over de omvang van het probleem, „want dat doen we slecht”. „In de Verenigde Staten zijn ze daar al mee begonnen, en sindsdien blijkt de omvang van het probleem veel groter dan gedacht. Alles komt nu aan het licht.
„In de VS zijn organisaties verplicht om, als zij slachtoffer zijn van cybercrime, dit te melden en in de openbaarheid te brengen. In Nederland is dat niet het geval, waardoor niet bekend is hoe vaak er ingebroken wordt op websites van overheidsorganisaties en hoe vaak er misbruik gemaakt wordt van de daarbij gehackte privégegevens.”
De overheid heeft al aangegeven daar iets aan te zullen doen. Zo heeft staatssecretaris Bijleveld aangekondigd dat ze ook in Nederland overheden verplicht wil stellen om incidenten openbaar te maken. „Er moet een meldplicht komen, in het bijzonder voor incidenten die te maken hebben met het verlies van persoonsgegevens.” Met de nieuwe beleidsplannen hoopt Bijleveld dat er meer informatie naar boven komt over identiteitsfraude bij overheidsorganisaties en dat er verbanden gelegd kunnen worden tussen de verschillende veiligheidsproblemen.
Toch mag de techniek niet achterwege blijven. Volgens Prins moeten veel overheidssites ’gehardened’ worden: de software moet up-to-date zijn en de applicatiebouw van de website zelf moet in orde zijn. En precies daar schort het aan bij de overheid, meent ICT-beveiligingsexpert Prins. „Het probleem ligt bij de opdrachtgevers die de websites laten maken. Het veiligheidsaspect wordt niet automatisch meegenomen bij de bouw van een website, of er wordt niet voldoende aandacht aan besteed. Bij zowel de overheid als bij de gebruiker moet een mentaliteitsverandering plaatsvinden.”
Ministeries, provincies, waterschappen en gemeenten zullen de veiligheidsadviezen die Govcert geeft, moeten opvolgen. Iets dat volgens Bijleveld nu niet gebeurt. „De leden van Govcert bepalen nu zelf wat ze met de adviezen doen. De adviezen zijn niet verplicht.” Daarom wil Bijleveld dit gaan controleren. „Eén van de middelen is auditing. Bij de Rijksauditdienst willen we dit ook op het punt van digitale veiligheid gaan doen.”
Naast betere monitoring, een meldplicht en het opvolgen van adviezen, blijft deskundigheid de grote afwezige bij veel overheidsorganisaties die ICT-projecten in het leven roepen. De hacker bezit de kennis en de macht. Daarom pleit Pol voor betere opleidingen aan universiteiten, omdat veel ICT’ers ook niet genoeg ervaring met hackers zouden hebben. „Wij krijgen mensen die een technische opleiding hebben gedaan en die met grote ogen staan te kijken. Het hacken moet meer aandacht krijgen en mensen die websites opzetten en ontwikkelen, moeten weten hoe belangrijk veiligheid is.”
Veiligheidsexpert Henk, die een voorbeeld is van een hacker waar de overheid niet naar luistert, heeft meerdere vergeefse pogingen gedaan om overheidsorganisaties te wijzen op aanwezige lekken in hun websites. Hij gebruikt de website van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) om te illustreren hoe serieus de zaak is. Hij kraakt de site, haalt de bestaande tekst weg en schrijft: ’Slecht regeringsbeleid omtrent beveiliging van webapplicaties. Is het niet eens tijd dat iemand de handen uit de mouwen steekt en gewoon alles eens gaat controleren en repareren?’
De informatie die Henk tijdens zijn controles vindt, interesseert hem niet: hij wil waarschuwen voor het gebrek aan veiligheid. Volgens de softwareontwikkelaar gaan veel websites al in de lucht voor ze goed en wel klaar zijn, dus zonder dat ze goed op lekken zijn gecontroleerd. „Dat klinkt hopeloos, en dat is het ook.”
© Trouw 2010, op dit artikel rust copyright.
Wat is een SQL-injectie?
SQL staat voor Structured Query Language; het is de computertaal die gebruikt wordt voor taken zoals het oproepen, opslaan en aanpassen van gegevens via een webapplicatie die gekoppeld is aan een databank. SQL is de brug tussen webapplicatie en database.
Een webapplicatie is een programma dat niet op een computer draait, maar dat op een webserver staat en via een webbrowser te bedienen is.
Het woord ’injectie’ staat voor het zelf inbrengen van SQL-commando’s door gebruik te maken van onzorgvuldig gebouwde webapplicaties.
Henk hackt dedigitalekaart.nl
Van onze verslaggevers
De methode die hacker Henk gebruikt, is SQL-injectie, waarmee volgens hem één van de voor overheidssites meest gevaarlijke soorten aanvallen op touw kan worden gezet. De werkwijze is bovendien vrij eenvoudig. De hacker komt gewoon via de voordeur, de website zelf, binnen. Er hoeven dus geen overheidscomputers gekraakt te worden, zoals in het verleden vaak gebeurde.
De onwetende burger verstuurt privégegevens naar de overheid via programma’s die niet op de pc staan, maar via de website van de overheid te bedienen zijn. Dit kunnen bijvoorbeeld invulformulieren of profielen zijn met persoonsgegevens, burgerservicenummers en bankgegevens. Via dezelfde programma’s waarmee de burger gevoelige privé-informatie naar de database van de overheid stuurt, haalt de hacker de gegevens weer op. Daar zijn alleen wat commando’s voor nodig.
Voor de hack van de dedigitalekaart.nl heeft Henk eerst naar e-mailadressen gezocht. Vervolgens zoekt hij aan de hand van veel gebruikte termen de lijsten met gebruikersnamen en wachtwoorden. Uiteindelijk heeft hij een overzicht met de details van alle gebruikers.
Uit de lijsten kiest hij een medewerkster van het ministerie van volkshuisvesting, ruimtelijke ordening en milieubeheer (vrom). Laten we haar ’Annemiek’ noemen. Hij logt in met haar gebruikersnaam en wachtwoord (screenshot 1).
Vervolgens kan Henk het gebruikersprofiel van ’Annemiek’ bekijken. Veel is er (nog niet) te zien want Annemiek heeft alleen haar e-mailadres ingevuld. Maar na een beetje verder surfen, krijgt hij inzage in het beheer van overheidsteksten. Er is nu nog weinig informatie te vinden, waarschijnlijk omdat de site onlangs is gelanceerd.
Dan logt hij in met de gebruikersnaam van de beheerder van de site. Nu is te zien wie de site heeft gemaakt, wat er allemaal in de database te vinden is en welke gebruikers er zijn. Hij kan zowel gegevens aanpassen als verwijderen.
Daarbij komt volgens Henk nog dat veel overheden gebruik maken van één databasesysteem. Dit betekent concreet dat Henk door één site te hacken, toegang krijgt tot allerlei andere databases van andere overheden.
De naam van de hacker is gefingeerd
Reacties (17)
Carel: "Nog maar kort gebruik ik DIGID (ik ben een computer-leek) en het viel me direct op dat je met die code direct ALLERLEI diverse overheidsdiensten binnenkomt MET DEZELFDE CODE: handig voor de burger maar veilig? Met één code ligt je hele (voorheen) privé-leven op straat!"
DigiD kent meerdere beveiligingsniveaus; de situatie die jij schetst betreft het laagste niveau. Afhankelijk van de sensitiviteit van de gegevens dient authenticatie plaats te vinden middels een wachtwoord, wachtwoord in combinatie met sms dan wel in de toekomst een pas met reader (zoals dit ook wordt gedaan door banken).
Paul, Nederland op 01-12-2009, 15:09
Bij deze ondereensluitende bijeenkomst van hoere reacties.
zal ik het ff duidelijk maken
ik zal uitleggen hoe je een website moet hacken.
eerst instaleer je key logger op je computer en stuur je het bestandje door met je mail of usb.
dan ga je naar de computer toe die je wilt hacken.
je vraagt (netjes ) mag ik mijn mail checken.
dan stop je stiekem je usb erin of download je key logger van je mail en instaleer je hem.
dan sluit je hem weer af.
dan zeg je ow verdorie ik heb het niet uitgeprint !
mag ik opniuw kijke.
hij typt het wachtwoord in en tada je hebt hem gehackt.
Met vriendelijke groet kempi de kempoveen! Free kempi
Kempi de kempoveen, Eindje gramma hosselemma op 10-11-2009, 10:39
Je hoeft geen hacker te zijn om toegang tot deze gegevens te hebben. In veel gemeenten hebben politie, (semi-)overheidsinstellingen, pensioenfondsen, ziekenhuizen, crematoria, geestelijke gezondheidszorg instellingen, reclassering, verslaafdenzorg en thuiszorg organisaties ook toegang.
griffioen, dordrecht op 08-11-2009, 14:08
DigiD (o.a. voor de belastingdienst)
EPS (elektronisch patientendossier)
BP (biometrisch paspoort)
BSN (burgerservicenummer - vroeger het sofi-nummer)
Je BSN staat nu zelfs op het plastic kaartje van je zorgverzekeraar en op het politiebureau word je gevraagd naar je zorgverzekeraar, hoorde ik laatst ....
big brother
brave new world
...
Ab, Amsterdam op 06-11-2009, 13:59
@ Peter Zwitser
Natuurlijk zullen hackers politieke prominenten gaan aanvallen en confronteren met hun eigen onbenul.
Dacht u van niet?
Klutser, wwijk op 06-11-2009, 12:42
Ik ken gemeentes waar je zgn digitaal loket hebt en daar moet inloggen met digidit ( dure naam voor eenvoudigweg burgerservicenr, wat tegenwoordig ook overal gevraagd wordt en rond slingert).
Zelf weiger ik maar hier gebruik van te maken en kennelijk met goede reden. Maar de pressie op de burger om dat wèl te doen neemt hand over hand toe en men verkoopt het ook nog als "betere service en klantgerichtheid". Ik heb overigens geen behoefte door de overheid als klant behandeld te worden.
J.Lacosta, America op 05-11-2009, 20:04
Ook al wordt een website nog zo goed beveiligd, er zijn altijd wel mensen die er lol in hebben zo'n site te hacken. Dat is niet altijd met boze bedoelingen, maar ik ben bang dat veel zorgverzekeraars er aardig wat voor over zullen hebben om een slimme hacker in te huren en zo inzage te krijgen in de dossiergegevens van verzekerden. Want daar kunnen ze hun voordeel mee doen. Elke beveiliging die je bedenkt kan nog zo fraai zijn, er is altijd wel iemand die weer net iets slimmer is en er voldoening in schept de codes te doorbreken.
Jan Hamer, Didam op 05-11-2009, 16:59
Dat roepen vele deskundigen dus al jaren. Maar voorlopig gaan de vingerafdrukken in Nederland (als enige land) gecentraliseerd opgeslagen worden. 'n Paradijs voor criminelen die straks de vingerafdrukken voor 't uitzoeken hebben!
Laten we hopen dat de eerste vervalste afdrukken die bij 'n moord of zo worden achtergelaten van ministers zijn. Worden ze misschien eindelijk wakker.
(Ik weet dat die vingerafdrukken natuurlijk niet op 'n openbare website komen te staan, maar 't principe en de beveiliging werken 't zelfde.)
Peter Zwitser, Amsterdam op 05-11-2009, 15:29
Websites vallen niet te beveiligen. Alle websites ook die van de overheid. En een ieder die zegt dat een website wel 100% te beveiligen valt is onvoldoende bekend met de materie. Beveiliging is een kat en muis spel. Daarom is het internet volkomen ongeschikt voor het uitwisselen van persoonsgegevens of iets meer dan informatie.
Kwestie van 1010101010
Cracken is niet meer dat Hollywood beed van jaren geleden. Het is een (geautomatiseerde) industrie op zich geworden. Vroeger of later liggen je gegevens op straat. En een ieder die iets anders zegt is onwijs naïef.
Maar ja, er valt miljoenen (belastinggeld) mee te verdienen?
Fata morgana, Woestijn op 05-11-2009, 14:56
Websites vallen niet te beveiligen. Alle websites ook die van de overheid. En een ieder die zegt dat een website wel 100% te beveiligen valt is onvoldoende bekend met de materie. Beveiliging is een kat en muis spel. Daarom is het internet volkomen ongeschikt voor het uitwisselen van persoonsgegevens of iets meer dan informatie.
Kwestie van 1010101010
Cracken is niet meer dat Holywood beed van jaren geleden. Het is een (geautomatiseerde) industrie op zich geworden. Vroeger of later liggen je gegevens op straat. En een ieder die iets anders zegt is onwijs naïef. Maar ja, daar valt geen miljoenen mee te verdienen.
Fata morgana, Woestijn op 05-11-2009, 14:28
Ik werk al vijftien jaar voor de overheid en heb niet meer het minste vetrouwen in die overheid. Dit is de zoveelste rechtvaardiging voor mijn wantrouwen.
Gewoon alles lekker op papier en persoonlijk aan de balie regelen. Dat vrijwaart nog niet van misbruik van gegevens, maar scheelt al een boel.
marjolein, rotterdam op 05-11-2009, 14:25
Een website die via een SQL injectie attack kan worden gehackt is een schandaal. De overheid zou meer aan competente programmeeurs moeten uitgeven dan aan vormgeving. Maar de realiteit is omgekeerd. Er gaan kapitalen naar vormgeving en huisstijlen en de programmeurs krijgen een schijntje.
Als je als programmeur SQL attacks mogelijk maakt ben je incompetent en moet je ontslagen worden.
(overigens betwijfel ik of het probleem *zo* wijd verspreid is als het artikel suggereert)
Piet, Utrecht op 05-11-2009, 14:22
Wat deze zaak veel ernstiger maakt, is dat een aantal overheidsdiensten maar ongelegetimeerd informatie verzamelt. Nu blijkt dat ze er niet behoorlijk mee om kunnen gaan en onze privacy soms vrijwel op straat te worden gegooid.
Fatsoen moet je doen, was een bekende kreet. Laten onze politici zichzelf daar ook aan houden en zorgen dat wij ons bij onze eigen overheid weer snel veilig kunnen voelen.
Co Gersen, Duivendrecht op 05-11-2009, 14:22
Wat een onthutsend en zorgwekkend artikel. Hacker Henk is kennelijk bonafide en uiterst deskunndig. Het is buitengewoon zorgwekkend dat hij desondanks niet gehoord wordt door de verantwoordelijke instanties. Ik zou zeggen: Henk ga door en zorg ervoor dat "ze" je niet "pakken", want een ambtenaar in zijn/haar hemd zetten, zoals jij dat doet, mag niet. Maar een andere manier is er kennelijk niet.
Kees van Dongen, Gruitrode op 05-11-2009, 14:20
Wat is er niet gekraakt.? Ik denk dat de kaartenbak toch veiliger is,een mobile telefoon staat bij mij altijd uit en nu zag ik pas dat ze iets hadden uitgevonden als dat er in geplaatst wordt ben je overal te volgen en ze kunnen ook alle gesprekken verstaan .
M v Doorne, Spijkenisse op 05-11-2009, 13:40
De letters bij het SQL-schema zijn helaas niet leesbaar.
cris, waddinxveen op 05-11-2009, 13:01
De overheid met haar sinistere KLIKLIJNEN zou de veiligheid ook kunnen verhogen door hackers te BELONEN als ze binnendringen in "geheime" bestanden, door het jaarlijks organiseren van een hack-wedstrijd met mooie prijzen voor indringers,en nog mooiere voor wie een verdedigings-systeem bedenkt TEGEN die indringers.Nog maar kort gebruik ik DIGID (ik ben een computer-leek) en het viel me direct op dat je met die code direct ALLERLEI diverse overheidsdiensten binnenkomt MET DEZELFDE CODE: handig voor de burger maar veilig? Met één code ligt je hele (voorheen) privé-leven op straat!
Carel van Eeden, Landsmeer op 05-11-2009, 13:01
Plaats een reactie
Stuur artikel door