Nadat er meerdere DDoS-aanvallen op de DigiD-infrastructuur zijn geweest, verwacht het ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) een stroom aan nep-mailtjes. Doel: het gebruikers ontfutselen van gebruikersnamen en wachtwoorden. Volgens het ministerie functioneert Digid na de storingen en aanvallen weer grotendeels normaal.
Sinds dinsdagavond 23 april was DigiD voor bezoekers een tijd lang slecht bereikbaar door twee DDoS-aanvallen op de servers van beheerder Logius. Persoonlijke gegevens van gebruikers zijn geheim gebleven, want de aanvallers kregen geen toegang tot het DigiD-systeem. Van een inbraak in het systeem was geen sprake, aldus BZK.
Het is nog onbekend wie er achter de aanval zitten. Het Nationaal Cyber Security Centrum is op de hoogte en levert ondersteuning en expertise. Ook is er aangifte gedaan.
DigiD is een inlogcode voor de Nederlandse overheid. Met het identificatiehulpmiddel kunnen Nederlanders zich digitaal identificeren om via internet diensten van de overheid af te nemen. Bijvoorbeeld voor het doen van de belastingaangifte, het aanvragen van toeslagen en uitkeringen en het regelen van studiefinanciering. In totaal zijn er meer dan tien miljoen DigiD-gebruikers en zijn 522 organisaties van de overheid aangesloten op DigiD, aldus BZK.
Oude tip maar nog steeds effectief.. Bij het invoeren van een wachtwoord altijd eerste keer expres het verkeerde intypen.. Een vals systeem zal dat niet in de gaten hebben en keurt het wachtwoord goed… en dan weet je hoe het zit.
In de rubriek ‘Vraag de expert’ gaan er nogal veel vragen over DDoS omdat dit nu actueel is, Citadel/Pobelka/Dorifel zijn blijkbaar al weer vergeten. Want hoewel zo’n DDoS aanval vervelend is, betrekkelijk eenvoudig op te zetten en moeilijk te bestrijden wordt hierbij meestal geen data gelekt of gewijzigd. Meestal is het enige verlies dan ook productiviteit (omzet) en vertrouwen, dat dus in tegenstelling tot phising, social engineering en zero-day aanvallen waar wel data gelekt of veranderd wordt.
Eerder hadden we een nachtelijke persconferentie van Donner toen uiteindelijk het lek van DigiNotar aan de grote klok gehangen werd want het was tenslotte al langer bekend dat de certificaten niet meer veilig waren maar desondanks mochten er geen maatregelen genomen worden want dat zou alleen maar onrust geven. Belang van de burger kwam dus achter de belangen van bedrijven en overheid, waarbij laatste trouwens opmerkelijk makkelijk weg kwam met dit falen. En ook met Pobelka leek de overheid nogal laks te reageren terwijl de ware aard van Citadel/Dorifel/Pobleka al 6 maanden bekend was: http://rickey-g.blogspot.nl/2012_08_01_archive.html
Gezien de medeling deze maand daarover door NCSC lijkt ook hier weer het beschermen van de burger geen grote prioriteit te hebben: “Manipuleren van financiële transacties bij internetbankieren worden niet gezien als risico voor de continuïteit van getroffen organisaties of de nationale veiligheid.” Dat bezuinigen op beveiliging tot lastenverzwaring bij burgers en klanten leidt lijkt overheid zich ook niet echt druk om te maken want wachtwoorden zijn per definitie zwak en achterhaald, enkel goedkoop waardoor dit bericht me dan ook niet verrast. Of zoals de WRR in de aanbevelingen voor een iOverheid het schrijft:” Zodra een lek resulteert in het verspreiden van gevoelige informatie op internet, is er echter geen beleid meer voorhanden, gaan overheden improviseren om de controle terug te winnen, maar dat biedt een weinig verheffende aanblik.”
En vergeef me mijn cynisme maar als dossierkennis ver te zoeken is bij onze gekozen en ongekozen bestuurders dan wordt het schip van staat stuurloos of gekaapt. Mooiste opmerking in rapport vind ik persoonlijk dan ook:”Eens een dief, altijd een dief” wat me doet denken aan schrijven van Victo Hugo, Les Misérables.