Vroeger was alles achter de voordeur van ons huis privé. Tegenwoordig willen overheid en bedrijfsleven ons vertellen wat wij achter die voordeur wel en niet mogen. In deze aflevering een voorbeeld van deze moderne slavernij…
Henk van de Kamer
DigiD is wat mij betreft een mislukt ICT-project van onze overheid. De afgelopen jaren is er regelmatig aan gesleuteld, maar ik ben niet overtuigd van de beveiliging. In deze aflevering mijn bezwaren tegen de nieuwste ontwikkeling: DigiD-app.
Onlangs ontving ik net zoals veel lezers, een mailtje van de zorgverzekeraar dat de premie voor het volgende jaar bekend is. Om het bedrag te weten te komen, moest ik inloggen met DigiD beveiligingsniveau middel (www.hetlab.tk/android/digid-app). Wat? De belastingaangifte, en ook allerlei andere overheidsdiensten, kan nog steeds met DigiD laag, ofwel gewoon een naam en wachtwoord. Wie voor elke website een ander lang, random wachtwoord gebruikt via een wachtwoordmanager beveiligd met eveneens een moeilijk wachtwoord, is nog steeds veiliger dan de schijnveiligheid die DigiD middel biedt…
DigiD
In 2003 (https://nl.wikipedia.org/wiki/DigiD) werd de dienst die we nu DigiD noemen, gelanceerd. Begin 2005 was het systeem actief en konden wij burgers ons digitaal identificeren bij de overheid. Een jaar later was DigiD verplicht voor iedereen die digitaal de Belastingaangifte deed. Nog een jaar later maakte de Belastingdienst duidelijk dat zij niet begrepen wat identificeren betekent, door doodleuk te vertellen dat wie nog geen DigiD inlog had, gewoon die van de buurman kon gebruiken. Waarmee het systeem wat mij betreft al niet meer serieus was te nemen…
DigiD kent veel problemen en had nooit ingevoerd mogen worden. Het systeem is in de afgelopen vijftien jaar meerdere keren misbruikt. Na aanvragen van DigiD wordt bijvoorbeeld een brief met activatiecode verstuurd. Daarvoor wordt het adres in de GBA – Gemeentelijk Basis Administratie – gebruikt. Ofwel als iemand op mijn naam een DigiD aanvraagt, zal de brief naar mijn adres gaan. Maar tussen aanvraag en ontvangen zit een paar dagen en in het verleden zijn de brieven door kwaadwillenden regelmatig uit de brievenbus gevist. Dat wordt nog makkelijker als je niet eens weet dat zo’n brief is verstuurd.
Een ander probleem is dat de brief weliswaar naar een bekend adres gaat, maar als daar meerdere mensen wonen, kan onze overheid niet bepalen wie de informatie uit de brief gebruikt. Eigenlijk zouden de brieven persoonlijk afgehaald moeten worden bij de gemeente en pas na controle van de identiteit overhandigd worden. Exact zoals het met de fysieke identiteitspapieren gaat.
Déjà vu
De vereiste van een hoger beveiligingsniveau voor DigiD is een herhaling van een paar jaar terug. Toen wilde ik het eigen risico aanpassen bij een andere zorgverzekeraar en was de enige mogelijkheid inloggen via een sms. Een paar afleveringen geleden heb ik laten zien hoe snel een smartphone onveilig wordt als fabrikanten deze niet meer updaten. Ik meende dat na het vervangen van de verouderde Samsungzooi alles up-to-date zou zijn, maar helaas (www.hetlab.tk/android/samsung-galaxy-s-ii-nog-steeds-onveilig) is dat niet het geval. Het updaten van Android en alle applicaties is niet voldoende. Het probleem zit hem in de kernel. Zodra LineageOS (https://lineageos.org) op een nieuw toestel mogelijk is, moeten de ontwikkelaars vaak noodgedwongen de door de fabrikant gekozen kernel blijven gebruiken. De reden is dat veel hardware ‘bedrijfsgeheim’ is, ofwel de broncode om deze aan te sturen is niet beschikbaar. Bij toeval ontdekte ik dat in de 3.0.101 kernel nog steeds een ernstige bug aanwezig is. Mogelijk dat ik deze kan patchen, maar het mag duidelijk zijn dat dit vele malen verder gaat dan waar normale smartphonegebruikers toe in staat zijn. Persoonlijk zou ik elke Android-versie ouder dan een jaar niet vertrouwen als het gaat om de ‘toegevoegde’ waarde van DigiD middel. Idem voor iOS trouwens!
Sms
Android en iOS – de laatste zegt het zelfs in zijn naam – zijn gewoon besturingssystemen voor een qua vorm wat bijzondere computer. Als een besturingssysteem niet up-to-date is, zou dat niet meer gebruikt mogen worden voor privacy gevoelige zaken. Voor Android is malware bekend die een ontvangen sms direct doorstuurt naar de makers daarvan. Zelfs al zou Google Play honderd procent – onmogelijk! – veilig zijn, kan via bugs in het OS malware achteraf worden geïnstalleerd. Bijna iedereen vindt dat een smartphone aan het internet moet hangen en dat maakt het leven voor kwaadwillenden veel gemakkelijker.
Hierboven ging ik al een stuk verder dan gewone gebruikers qua beveiliging. Ik zou geen moeite hebben met een smartphone die standaard geen connectie met het internet heeft. Is een sms dan wel veilig? In het verleden heb ik al uitgelegd dat de GSM-techniek zwaar verouderd is. Het is gemaakt in een periode dat de overheid haar burgers gemakkelijk wilde afluisteren. Willen ze nog steeds trouwens, maar dat is een ander verhaal. Ruim twee jaar geleden – na mijn laatste tirade tegen sms – is er een nieuwe schuurdeur in de techniek ontdekt (https://bit.ly/2QCEDak). Deze zit in het SS7-protocol dat de masten gebruiken om onderling verkeer uit te wisselen. Technisch is het nu mogelijk om een mast te vertellen dat een telefoon zich ergens anders bevindt, om zo het sms-bericht te onderscheppen. Deskundigen zeggen daarom terecht dat sms als tweede factor niet meer gebruikt moet worden. Het ontvangen van een sms op een mobiel telefoonnummer is geen bezit meer, maar hopelijk iets dat alleen jij ontvangt zonder tussenkomst van nieuwsgierige aagjes...
Tweede factor
Bezit? Wellicht moet ik even een stapje terug doen. Wij mensen zijn slecht in het onthouden of bedenken van goede wachtwoorden. De oplossing is de kennis van naam/wachtwoord aan te vullen met iets wat we bezitten. Een mobiele telefoon lijkt daaraan te voldoen, maar waar het sms betreft, is dat dus onjuist. Nu was dat in het verleden de enige optie, maar midden vorig jaar heeft onze overheid een app gelanceerd. Is dat de oplossing?
Alhoewel ik mijn Samsung Galaxy S II qua beveiliging nog steeds niet volledig vertrouw, besloot ik om de app te installeren en deze via een brief te activeren. Voor het installeren en aanmelden is kortstondig een internetverbinding nodig, maar de kans dat juist op dat moment een aanval plaatsvindt is waarschijnlijk klein. Mijn hoop was dat na activeren er geen internetverbinding meer nodig zou zijn. Technisch is dat mogelijk, sterker nog omdat de app met de aangemaakte geheime sleutel als bezit dienst moet gaan doen, is offline gewoon een vereiste! Iets wat verbonden is met het internet, geldt tegenwoordig niet meer als bezit.
Inloggen
Na het ontvangen van de brief – zie de alinea DigiD waarom ook deze methode discutabel is – moet de code in de app worden ingevoerd. Diens toegang is beveiligd met een zelf gekozen pincode, maar aangezien de broncode noch de communicatie met DigiD bekend is, ga ik aannemen dat deze ‘beveiliging’ onvoldoende is. Als onze overheid dit leest, mag duidelijk zijn wat ik verwacht om deze beschuldiging te weerleggen: de broncode van zowel de app als de communicatie. Een goede beveiliging kan niet worden afgedwongen door geheimhouding van de werking! Voor de controle van de code in de brief, is een internetverbinding verplicht en ook nu is onduidelijk wat er allemaal wordt verstuurd.
Tot op dit punt zou ik de verplichte internetverbinding voor de app nog kunnen accepteren. Dat geldt niet voor hoe het systeem vervolgens werkt. Op de computer ga ik naar de website van mijn zorgverzekering en geef aan dat ik wil inloggen via de app. Op het beeldscherm verschijnt een QR code die ik met de app kan scannen. Uiteraard heb ik deze code ontcijferd en dat levert een gigantische string op met Joost mag weten welke extra informatie deze bevat. Voor controle van deze string door de app, is een internetverbinding verplicht. Zodra de controle is gelukt, wordt de computer automatisch ingelogd. Na ruim drie dagen en vele hoepels weet ik nu het nieuwe maandbedrag. Een bedrag dat ook gewoon op de website is te vinden en dus ook direct in de mail had kunnen staan. Zucht…
Tot slot
Nu ik het systeem in werking heb gezien, heb ik meteen de toegang via de app weer verwijderd. Dit systeem is onduidelijk qua werking en waarschijnlijk zelf verzonnen. Dat laatste is, tezamen met het feit dat bezit niet aan het internet hoort te hangen, wat mij betreft de doodsteek. In de volgende aflevering laat ik zien hoe wel een veilig systeem is te maken.