Vlaams digitaal ‘veiligheidsplatform’ kwetsbaar voor criminelen

Het SSL-encryptieprotocol dat gebruikt wordt voor de beveiliging van het Vlaams digitaal veiligheidsplatform OSR (Organisatie Snelle Redding) is erg kwetsbaar. Het gevolg is dat criminelen zonder veel moeite kunnen meeluisteren en cruciale informatie kunnen onderscheppen betreffende rampenbeheersing en noodplannen.

Het digitaal veiligheidsplatform OSR bevat onder meer een centrale databank waarin alle belangrijke gegevens voor het beheersen van een ramp online worden bijgehouden. Wanneer zich een ramp voordoet, wordt het OSR-platform ook gebruikt door brandweer en politie om op een efficiënte manier een logboek aan te maken.

Het is de Vlaamse it-dienstenorganisatie Cipal die het OSR-beveiligingsplatform gebouwd heeft voor politie en brandweer. De organisatie staat ook in voor de hosting van de toepassing.

Het OSR-platform, dat op belangrijke momenten dus een cruciale rol te spelen heeft, blijkt vreselijk slecht beveiligd. Security-specialist Jan Guldentops stelde vast dat de configuratie van de SSL-encryptie die gebruikt wordt voor de beveiliging van het platform alles behalve in orde is.

SSL-encryptie wordt door miljoenen websites gebruikt voor de beveiliging bij online aankopen, financiële transacties en het versturen van persoonsgegevens. Bedoeling is dat alle informatie tijdens het transport vertrouwelijk blijft en niet leesbaar is door derden. Websites die over de SSL-beveiliging beschikken zijn herkenbaar aan het gesloten slotje en de https:// in de adresbalk. Uw bank gebruikt SSL-encryptie, maar ook Facebook en vele andere webplatformen doen het.

Guldentops kwam de kwetsbaarheden bij het OSR-platform op het spoor door gebruik te maken van de ‘SSL Labs’-test. Iedereen die dat wenst kan die online tool gebruiken om te checken in welke mate het SSL-encryptieprotocol van een organisatie goed geconfigureerd en up to date is. SSL Labs kent na een test een score toe. A+ is prima, B is zwak, en C tot F zijn slecht tot zeer slecht. Zoals u op de bijgevoegde screenshot kan zien, krijgt OSR een F toebedeeld, de slechts mogelijke score dus.

“Hackers of kwaadwillenden kunnen die zwakke vorm van encryptie met andere woorden gemakkelijk misbruiken, en kunnen zonder veel problemen zicht krijgen op het logboek van de politiediensten en op de andere informatie over de noodplannen van de overheid. Alles wat er over de ‘beveiligde’ verbinding wordt meegestuurd, kan worden afgeluisterd. Bovendien kunnen communicaties gekaapt worden en data kan worden aangepast.”

Hoeksteen

“Als je een F-score haalt in de SSL Labs test, dan wil dat zeggen dat je je SSL-setup al twee jaar niet meer geüpdatet hebt”, klinkt het nog. “En het straffe is dat een degelijk systeembeheerder dit euvel op een uurtje of twee kan oplossen. Ik hoop dat dit nu snel gebeurt.”

Voor de security-expert is de HTTPS-verbinding de hoeksteen van alle applicaties in de cloud. “Als die niet in orde is wordt er een vals gevoel van veiligheid gecreëerd. Ik zou het nog snappen als het vreselijk moeilijk zou zijn om je SSL-voorzieningen op orde te houden, maar dit is echt iets triviaals. Je kan je de vraag stellen hoe het voor de rest gesteld is met de beveiliging van de overheidstoepassingen.”

Aanbesteding

Overigens vernamen we intussen op de redactie dat het OSR-platform sowieso op zijn laatste benen loopt, en dat het zal worden vervangen door iets nieuws. Er is daarvoor een aanbesteding uitgeschreven, die niet door Cipal werd binnengehaald.

Update

Nog geen 24 uur na publicatie van dit artikel was het OSR-platform reeds bijgewerkt. De website behaalt op de SSL-test nu A+: dat is de hoogst mogelijke score.