In oktober vorig jaar wees een beveiligingsonderzoeker Govcert, dat zich richt op digitale beveiliging bij de overheid, op een aantal zwakheden in diverse websites. Duidelijk was op dat moment dat ook regering.nl gevoelig was.

Veel opsporings- en beveiligingssites

Nu blijken er veel meer sites vatbaar te zijn geweest voor Cross-Site Scripting (XSS) aanvallen. Ook het Ministerie van Algemene Zaken en het Ministerie van Sociale Zaken en Werkgelegenheid werden door onderzoeker Jacco van Tuyl getipt over de gevoeligheden.

Maar het opmerkelijkst waren toch wel de websites die iets met veiligheid te maken hebben. Zo kwamen het ook het Ministerie van Justitie en de sectie met personeelsadvertenties van Europol op lijst voor. Echt ironisch was het XSS-lek in de Justitie-site Veiligheid begint bij voorkomen. (Zie screendumps hieronder.)

Overigens bleven de lekken niet alleen beperkt tot de overheid en trof van Tuyl ook zwakheden in de website van het Platform Beveiliging en het tijdschrift Security Management.

Geen groot risico

"De problemen waren vooral slordigheden van de programmeur, maar geen echt groot risico", beschouwt een woordvoerster van Govcert. Bij geen van de lekken zijn er volgens haar gegevens van burgers gelekt of is er echte schade aan hen berokkend. "Was dat wel het geval geweest dan waren we zeker naar buiten getreden."

Zij wil uit veiligheidsoverwegingen niet zeggen of de lekken een half jaar later gedicht zijn, maar navraag leert dat de betrokkenen de problemen snel hebben verholpen. Ook doen zij minder cryptisch dan Govcert over maatregelen die zijn genomen om herhaling te voorkomen. Dat blijkt namelijk wel het geval te zijn. Volgens betrokkenen heeft Govcert daar goed bij geholpen, maar "werken zij wel erg gedreven op de vraag en grijpen niet in."

Govcert denkt dat het verhaal nogal opgeklopt is en dat de problemen niet erg groot zijn geweest.

Van Tuyl deelt die analyse niet. "Bij het rommelen met een database via een SQL-insertion hoeft niet alles direct kwaadaardig te zijn", vertelt hij tegenover Webwereld. "Maar bij een XSS-aanval is dat echt anders. Een aanvaller kan dan echt kwaadaardige code meesturen of een gebruiker misleiden die denkt dat hij zaken doet met de overheid."

Nieuwe lekkage

Recentelijk vond van Tuyl een lek op de C2000-website van Politie Nederland. "Gelukkig is dat geen gevoelige site, maar mooi is dat niet", zegt een woordvoerder, die dankbaar is voor de tijd om eerst het probleem te verhelpen. "We hebben het probleem verholpen en de website is weer helemaal op orde.'

Govcert wijst er verder op dat er momenteel richtlijnen zijn bij de overheid om websites te bouwen. Daar zijn ook handreikingen om het risico op ernstige fouten te verminderen. Maar tegen slecht programmeren bieden die natuurlijk geen garantie.