Software voor e-ID onveilig downloadbaar

[ Dit stond nog ongepubliceerd te wachten, geschreven op Jun 22, 2016. ]

Het is erg gesteld met de beveiliging van (overheids-)websites. Onlangs nog berichtte Knack Datanews over gedateerde beveiliging van websites van de Belgische overheid. Vandaag merkte ik dat de website van onze elektronische identiteitskaart (e-ID) helemaal NIET met een beveiligde verbinding werkt. Kijk zelf maar: http://eid.belgium.be/en/using_your_eid/installing_the_eid_software/. Je vind nergens het hangslot of de groene letters zoals je die bij onze banken vind. Dat zie je duidelijk als je die twee naast elkaar legt zoals hieronder.

“En?” hoor ik u denken. Wel, dit is een beginnersfout voor beveiliging van websites. Naast het gat in de beveiliging zelf betekent dat meestal dat beveiliging te weinig aandacht kreeg bij het maken van die website. Dat is op zijn zachts gezegd verontrustend voor een website die potentieel 11 miljoen belgen van software moet voorzien. Bovendien wordt het gebruik van de e-ID meer en meer gepromoot en hoe populairder het wordt hoe interessanter het voor aanvallers wordt om deze beveiligingsproblemen uit te buiten. Ook is de website sowieso al interessant voor aanvallers aangezien je, bijna zeker, op het punt staat om waardevolle informatie te bekijken:

eHealth, tax-on-web, aangiftes bij de politie.

Wat maakt deze slechte afwezige beveiliging nu concreet uit? Er is er geen enkele manier om te controleren of de website die wordt getoond als eid.belgium.be wel echt de juiste website is. Op een draadloos netwerk kan elke gebruiker met een minimum aan technische kennis een andere website tonen. Een aanvaller kan op die manier zijn eigen software aanbieden in de plaats van de e-ID software. Daarmee zou een aanvaller dan je gegevens kunnen stelen (o.a. je paswoorden en pincode van e-ID), je computer overnemen (webcam incluis), … (ongeveer alles wat je kan doen op een computer).

Zelfs als een aanvaller geen toegang heeft tot hetzelfde netwerk is een gevoelige website niet over een beveiligde verbinding aanbieden een probleem. Een nagemaakte website die bijvoorbeeld toegankelijk is via eidbelgium.be of eid.belgiun.be zal waarschijnlijk per ongeluk worden bezocht bij een typefout. Opnieuw zal die niet te onderscheiden zijn van de echte website, met alle gevolgen van dien.

Wat kan je zelf doen om je hiertegen te beschermen? Eigenlijk is het heel simpel: vertrouw geen websites zonder https:// en een groen hangslotje en download of installeer zeker geen software van zo een website! Een overheidssite zou daar echt geen uitzondering op mogen zijn. Het wordt dringend tijd dat computerbeveiliging serieus wordt genomen en de overheid zou daarin net het goede voorbeeld moeten geven. Hopelijk wordt dit probleem alvast spoedig opgelost.

[Ook deze website gebruikt (nog) geen beveiligde verbinding maar daar maakt ik binnenkort werk van.]

Edit1: Ondertussen na ongeveer twee jaar en talloze pogingen om dit sneller in orde te krijgen, is er HTTPS ondersteuning voor de hele site. Beter laat dan nooit?

Edit1: Ondertussen ben ik van WordPress overgestapt Github pages, wegens gratis HTTPS ondersteuning via Letsencrypt.