Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 81, views: 24.433 •

Er zijn aanwijzingen dat certificaat-autoriteit DigiNotar nog frauduleuze certificaten uitgaf na de ontdekking van de hack op zijn servers. Het gaat om zes certificaten, waarmee systemen zich als servers van het Tor-project konden voordoen.

De voorman van het Tor-project, Jacob Appelbaum, schrijft op het weblog van het project dat bij de aanval op systemen van DigiNotar niet alleen een vals Google-certificaat is gegenereerd; de hackers hebben ook twaalf nagemaakte certificaten voor de servers van Tor aangemaakt. Hoewel dat voor het gebruik van Tor zelf niet uitmaakt - de software leunt niet op certificaat-autoriteiten - zou iemand zich middels een man in the middle-aanval als de server van het Tor-project kunnen voordoen en bijvoorbeeld een valse versie van de Tor-software kunnen aanbieden. De Tor-software is bedoeld om anoniem te kunnen surfen en wordt onder meer door journalisten en mensenrechtenactivisten in dictaturen gebruikt.

De makers van Tor hebben contact gehad met DigiNotar en hebben beperkte informatie gekregen over de frauduleuze certificaten. Zo is duidelijk dat de helft van de valse Tor-certificaten op 18 juli is gegenereerd, en de andere helft op 20 juli. Dat laatste is opmerkelijk: de eigenaar van DigiNotar, Vasco Security, meldde eerder dat de hack op 19 juli is ontdekt. Als de informatie die het Tor-project heeft ontvangen klopt, zijn er een dag na het ontdekken van de hack dus nog valse certificaten gegenereerd.

DigiNotar-documenten Tor

Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten, maar nog heeft door laten draaien nadat de aanval werd ontdekt. Een andere mogelijke verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server. Er is echter ook een zeer kleine kans dat er sprake is van verwarring over tijdszones: een van de twee hoofdkantoren van Vasco Security is gesitueerd in de Amerikaanse stad Chicago. Het was daar een paar minuten voor middernacht op 19 juli toen deze certificaten werden gegenereerd.

Wat er precies aan de hand is, moet dus nog blijken: zowel DigiNotar als Vasco Security onthouden zich van elk commentaar totdat een onafhankelijk onderzoek naar de zaak is afgerond. Waarschijnlijk worden de resultaten van dat onderzoek, dat door Fox-IT wordt uitgevoerd, binnenkort gepresenteerd. Overigens gaf DigiNotar tegenover Tor aan dat het geen bewijzen had dat de valse ssl-certificaten ook daadwerkelijk zijn ontvangen, maar Appelbaum zegt geen reden te hebben om die bewering te geloven.

Mogelijk wordt na het onderzoek ook duidelijk welke valse certificaten er precies zijn gegenereerd. DigiNotar wil alleen bevestigen dat hackers in ieder geval een vals ssl-certificaat voor alle subdomeinen van Google.com konden genereren, en dat niet uit te sluiten valt dat er nog andere valse certificaten in omloop zijn. Appelbaum schrijft dat de valse Tor-certificaten waarschijnlijk nog in omloop zijn, hoewel deze inmiddels alweer zouden zijn verlopen: alle valse Tor-certificaten waren geldig tot 17 of 19 augustus.

Er zijn sterke indicaties dat het probleem veel groter is dan aanvankelijk werd gedacht: mogelijk zijn er maar liefst 247 nepcertificaten aangemaakt. Dat claimt de topman van beveiligingsbedrijf F-Secure op basis van de broncode van een patch voor Google Chrome. Uit traceroutes die op Pastebin zijn verschenen, blijkt dat Iraanse internetters het slachtoffer van man in the middle-aanvallen werden wanneer ze naar servers van Google, YouTube, Bing, Facebook en Mozilla gingen. Mogelijk zijn DigiNotar-certificaten gebruikt om de aanval goed uit te kunnen voeren, maar of dat werkelijk zo is, blijft speculatie.

Het Beverwijkse bedrijf DigiNotar kwam maandag in het nieuws toen bekend werd dat een certificaat van het bedrijf waarschijnlijk in Iran is gebruikt om gebruikers van Google te bespioneren door middel van een man in the middle-aanval. Het certificaat, dat voor alle subdomeinen van Google.com geldig was, had nooit mogen worden uitgegeven. Het bedrijf ontdekte pas na anderhalve maand dat het door hackers gegenereerde certificaat niet was ingetrokken. Dinsdag zegden browsermakers collectief het vertrouwen in DigiNotar op. Certificaten die DigiNotar namens de overheid uitgeeft, zoals voor DigiD.nl, worden nog wel vertrouwd. Volgens de overheid zijn die certificaten nog veilig, al baseert de overheid zich daarbij op informatie die DigiNotar zelf heeft verstrekt.

Update, 17:00: Mozilla heeft bekend gemaakt dat er vervalste certificaten zijn aangemaakt voor addons.mozilla.org. Het is niet duidelijk of deze actief zijn ingezet om zo dataverkeer af te kunnen luisteren. DigiNotar zou Mozilla in juli hebben medegedeeld dat er valse certificaten waren aangemaakt waarna deze enkele dagen later ongeldig werden gemaakt. Mozilla nam echter het zekere voor het onzekere en verwijderde alle certificaten van DigiNotar van zijn servers. Ook accepteert de laatste Firefox-versie geen certificaten meer van DigiNotar.

Gerelateerde content

Alle gerelateerde content (28)

Reacties (81)

Reactiefilter:-181081+153+211+31
Wat een onbetrouwbare toko zeg, opdoeken die handel |:(
Zou het niet beter zijn DigiNotar te blacklisten totdat alles gevonden is en revoked?

Als ik de berichten van de afgelopen dagen zo volg krijg ik stellig de indruk dat er willens en wetens door het bedrijf is doorgegaan om financiële redenen. Dat vindt ik in het kader waarbinnen dit gebeuren plaats vind buitengewoon kwalijk.
Zou het niet beter zijn om een bedrijf dat willens en wetens onvoldoende maatregelen genomen heeft om in het belang van haar klanten te handelen gewoon verplicht op te heffen?
Dat is niet nodig.
De gigantische golf aan negatieve publiciteit die op gang komt zorgt er vanzelf wel voor dat bestaande klanten opkrassen en er geen nieuwe meer bij zullen komen.

De zegeningen van de vrije markt, zeg maar :)
Precies, inmiddels is binnen de advocatuur en systemen van rechtbanken ook het vertrouwen opgezegd in diginotar. Dat leidt tot het wonderlijke resultaat dat alles nu weer handmatig c.q niet digitaal meer gedaan moet worden.

[Reactie gewijzigd door ffb op 1 september 2011 16:50]

Beteend dus dat er voor alle advocaten die met het ministerie dmv de zogenaamde pvenoot allemaal nieuwe apparatuur en nieuwe smartcards inc persoonlijk certificaat nodig hebben. Andere worden uhh Hoop geld en tijd er moet worden in gestoken.

Denk eerder dat justitie op zoek gaat naar mogelijke andere oplossingen dan alles in 1 keer te revoken. Daarmee komen een hoop rechtzaken en belasting zaken en zelfs het kadaster in grote problemen aldan niet grote vertragingen!!
Volgens mij bereik je daar heel erg weinig mee, want dan zou je gewoon kunnen heropstarten onder een andere naam, zeg maar (of zou je direct heel Vasco willen ontbinden?).

Zoals hierboven gezegd: de normale marktwerking zet dat bedrijf wel buiten spel, de kans dat ze opnieuw vertrouwd worden met hun certificaten is niet vanzelfsprekend en dus zullen mogelijke klanten daar hun certificaten niet meer gaan halen, dus geen klanten meer.

Wat ik zeer kwalijk vind in deze zaak is vooral het gebrek aan communicatie vanuit DigiNotar. Van een beveiligingsfirma verwacht je enerzijds dat ze wel veilig zijn. Dat ze eens een ongelukje kunnen voorhebben, is logisch: je kan niet alles voorzien. Maar dat ze daarover slecht tot niet communiceren is gewoonweg schandalig. Mocht ik bij hen producten afnemen, dan wil ik op het moment dat ze iets voorhebben daarvan verwittigd worden, zodat je zelf ook maatregels kan proberen te treffen om de veiligheid te blijven garanderen of bv. ook intern een extra controle uit te bouwen. In dit geval zou je bv. kunnen vaststellingen proberen doen vanuit Google dat er meer verkeer uit Iran naar bepaalde servers gaat en kan je de bijhorende gebruikers trachten te waarschuwen en erop aandringen dat ze hun wachtwoord wijzigen via een verbinding die wel beveiligd is (over Tor bv.).

Als ze zelf die informatie achtergehouden hebben, is dat natuurlijk deels om het imago van hun bedrijf te vrijwaren; maar met zo'n partij kan je niet in zee gaan en 's nachts nog een oog toedoen.
Niet alleen om financiële redenen, ook omdat zaken als DigiD anders niet meer gecertificeerd zijn en dan staat de Nederlandse overheid voor aap. Het gaat ook veel (of eigenlijk, nog meer) kritiek opleveren als mensen DigiD niet meer veilig kunnen gebruiken, mocht ik bijvoorbeeld zaken willen doorgeven over mijn studie dan kan dat alleen via DigiD en het is niet fijn dat ik dan gedwongen wordt een onbetrouwbaar systeem te gebruiken.

Aan de ene kant is dat natuurlijk een goede reden om een aantal certificaten (zoals DigiD) wel te erkennen, aan de andere kant, wat is een certificaat nog waard als browsers onder druk van de overheid certificaten erkennen?

[Reactie gewijzigd door bwerg op 1 september 2011 15:43]

De Nederlandse overheid staat al voor aap de te roepen dat ze de boel daar nog vertrouwen. Moet er eerst misbruik gemaakt worden op de overheids certificaten voor dat ze daar wakker worden. Ze hadden meteen de hele boel daar moeten op pakken en vertrekken naar een organisatie die wel te vertrouwen is.
Dat doen ze ongetwijfeld ook, maar dat is niet binnen een dag gedaan he...
"ongetwijfeld"? Ze zijn er nog niet eens aan begonnen, omdat ze DigiNotar vertrouwen. En waarom vertrouwen ze DigiNotar? Omdat DigiNotar zelf zei dat ze te vertrouwen waren en er niets aan de hand was |:(
Tot veel Nederlanders met een recente browser opeens niet meer veilig gebruik kunnen maken van de website. Dan zal het niet lang duren. Als mijn browser zegt dat mijn bank geen veilige verbinding meer heeft, dan stap ik ook dadelijk over als klant. Bij een overheid kan je dat niet, maar je kan wel weigeren het te gebruiken en in je volste recht een veilig alternatief eisen, desnoods via de rechtbank.

-ik weet niet zo heel veel over certificaten- maar de private key van diginotar moet toch enkel gebruikt worden bij de generatie van nieuwe certificaten? Met de publieke key kan vastgesteld worden dat het van hen is, maar de private dient enkel voor de creatie als ik het goed heb.

-> is het dan niet mogelijk om die keys op een OFFLINE machine te genereren? Printje maken met de printer en het resultaat dan inscannen op een online machine. Zolang er geen intern misbruik is kan is dat veilig. En de machine met de private key zet je in een kluis met wat security voor. Men rekent toch makkelijk honderden euro's voor een SSL certificaat per jaar, voor dat geld kun je toch manueel eens een key genereren en overzetten!
[q]-> is het dan niet mogelijk om die keys op een OFFLINE machine te genereren? [q]
DAT is de ENIG JUISTE MANIER! Dat deze machines met het internet verbonden zijn (hopelijk: waren) is een blunder van de eerste orde.
Dat ze dan ook nog IIS draaien - daar laat ik me maar niet over uit.
Mijn god wat een gebrabbel hier soms.
[q]-> is het dan niet mogelijk om die keys op een OFFLINE machine te genereren? [q]
DAT is de ENIG JUISTE MANIER! Dat deze machines met het internet verbonden zijn (hopelijk: waren) is een blunder van de eerste orde.
Dat ze dan ook nog IIS draaien - daar laat ik me maar niet over uit.
Waar lees jij dat de servers met de keys directe internettoegang hadden? Hoe ga jij geautomatiseerd ondertekende certificaten uit die machines halen zonder netwerktoegang?

Waar lees jij dat die IIS draaiden? Dat waren hun webserver(s) namelijk.
DAT is de ENIG JUISTE MANIER! Dat deze machines met het internet verbonden zijn (hopelijk: waren) is een blunder van de eerste orde.
Er zijn diverse CA's van zeer betrouwbarre partijen die via volledig geautomatiseerde systemen certificaten uitgeven. Die systemen zijn uiteraard gekoppeld aan het internet.

Ze werken met domeinvalidatie via een email naar bijvoorbeeld mailto:admin@domeinnaam.nl om een certificaat van bijvoorbeeld *.domeinnaam.nl aan te kunnen vragen. Of ze werken met een extra validatieslag die de gegevens van de domeinnaamhouder vergelijkt met een register als bijvoorbeeld het bedrijvenregister van de KvK.

Alleen van EV (Extended Validation) certificaten mag je verwachten dat is uitgezocht wie binnen een bedrijf of organisatie verantwoordelijk is en gemachtigd is om een SSL certificaat aan te vragen. Als de domeinnaamhoudergegevens verschillen, moet dan bijvoorbeeld een verklaring worden getekend die uitlegt waarom dat zo is.

Kortom, volgens jouw eigen logica zou je alleen EV certificaten misschien moeten vertrouwen, en alle andere certificaten moeten wantrouwen. Wellicht is dat ook wel zo, maar tot nu toe vindt iedereen een SSL certificaat blijkbaar al prima. Sowieso zijn er maar weinig mensen die die dingen controleren.
Er zijn diverse CA's van zeer betrouwbarre partijen die via volledig geautomatiseerde systemen certificaten uitgeven. Die systemen zijn uiteraard gekoppeld aan het internet.
Weet je dat of denk je dat?
Om een certificaat aan te vragen moet ik (digitaal, via HTTPS (op basis van EV)) een CSR uploaden en ergens tussen een week en 1 maand is deze meestal te downloaden via deze zelfde portal.
Voor standaard certificaatjes krijg je meestal de eerste keer bij een aanbieder op zijn minst een telefoontje en word je wat gevraagd, in combinatie met een mail naar keuze, postmaster,admin of een aantal andere 'belangrijke' mail aliassen op het gewenste domein.
Voor een EV heb ik geen enkele reden om te geloven dat deze 'online' worden gegenereerd.
Voor wat ik begrepen heb heeft de overheid z'n eigen CA en wordt er door externe partij een signature onder gezet. Op die manier is wel DigiNotar degene die het certificaat ondertekend, maar de root CA is nog steeds de overheid. Door dit gegeven is de root CA van onze overheid nog wel te vertrouwen, je zou hoogstens de root CA moeten nakijken of deze klopt.
Het is een beetje moeite die je moet doen, maar uiteindelijk is computerveiligheid dat met vertrouwen te maken heeft precies dat. En dat is dan ook gelijk de zwakte van geautomatiseerde systemen, als je maar de goede antwoorden krijgt is het vertrouwen er.

Kortom, er is maar 1 veilige computer: installeren met je eigen geschreven software en nooit aan een netwerk hangen (welke dan ook).

Heb net even bij digid gekeken en dat certificaat is door de root CA van de overheid uitgegeven en ondertekend door DigiNotar. De hack heeft deze certificaten dus niet gecompromitteerd. Andere certificaten die door de root CA van DigiNotar zijn uitgegeven zijn dus niet meer te vertrouwen.

Ik had ook gelezen dat de overheid meerdere bedrijven gebruikt om certificaten te ondertekenen, overstappen zou redelijk makkelijk kunnen. Als het nodig zou zijn.
Aan de ene kant is dat natuurlijk een goede reden om een aantal certificaten (zoals DigiD) wel te erkennen, aan de andere kant, wat is een certificaat nog waard als browsers onder druk van de overheid certificaten erkennen?
In theorie heb je volkomen gelijk. Van de andere kant (even er vanuit gaande dat het inderdaad Iran is die hier achter zit):
- De daders hebben geen enkele motivatie om DigiD te kraken; daar schieten ze niks mee op.
- Is het voor de daders bijtengewoon moeilijk om een MitM-aanval op te zetten; met alleen het certificaat ben je er niet, je moet ook verkeer naar je nep-server omleiden. Het is voor de Iraanse overheid eenvoudig om het binnenlandse, Iraanse Internetverkeer om te leiden naar nep-servers; het zou zeer lastig voor ze moeten zijn om verkeer tussen twee machines in Nederland om te leiden.

Dus ja, er moeten nieuwe certificaten voor alle overheidsdiensten komen, die volledig buiten DigiNotar om gegenereerd worden -> je moet het uiteindelijk echt oplossen. Maar het lijkt mij (met de informatie die nu beschikbaar is), niet nodig om dan maar alle overheids-websites een week uit de lucht te halen -> dat is een met-een-kanon-op-een-mug-schieten oplossing die teveel problemen geeft voor iets dat hoogstwaarschijnlijk niet nodig is.
Als ook maar 1 CA in de lijst van de door jou webbrowser vertrouwde CA's een foute zit, is de hele integriteit van SSL beveiligingen gebroken.

Het gaat hier om twee CA's die door Diginotar worden uitgevoerd: hun eigen root CA en een CA gemachtigd door de Staat der Nederlanden. Dat hun eigen root CA succesvol aangevallen is, zou op zich geen probleem zijn. Maar ze hebben aangetoond niet in staat te zijn op een integere manier te reageren op dit soort gebeurtenissen.

Je kan dus aannemen dat hetzelfde zou gebeuren als iets mis gaat rond de Staat der Nederlanden CA, er weer pas later actie wordt ondernomen. Voor mij dus reden genoeg om geen enkel CA certificaat van Diginotar meer willen vertrouwen.
Maar ze hebben aangetoond niet in staat te zijn op een integere manier te reageren op dit soort gebeurtenissen.
En dat is het grote probleem in deze situatie, inderdaad. Maar gegeven dat er geen integriteitsbreuk is aangaande hun Staat der Nederlanden intermediate CA, is dat geen reden om reeds uitgegeven certificaten per direct te invalideren. Wel om ze zo snel mogelijk te vervangen door certificaten uitgegeven door een andere instantie. Maar de eisen van PKIoverheid certificaten zijn zodanig dat dat proces even duurt.
Wel om ze zo snel mogelijk te vervangen door certificaten uitgegeven door een andere instantie.
Dit is dan ook min of meer het advies van Govcert.nl dat in hun factsheet te lezen is:
Voor de continuïteit van uw dienstverlening raden wij aan om zo snel mogelijk over te stappen op een nieuw certificaat. Alle dienstverleners kunnen hiervoor bij Diginotar hun certificaten omruilen voor PKIoverheid certificaten. Daarnaast kunnen dienstverleners in overweging nemen een certificaat af te nemen bij een alternatieve aanbieder.
Zonder dat het expliciet wordt gezegd, wordt toch wel duidelijk gemaakt dat het gratis kan en een goed idee is om elders de certificaten aan te vragen.
Zo bedoelen ze het niet.
Dat moeten ze zeggen, omdat het enige wat ze nu nog kunnen bieden is PKIoverheid certificaten, en daar zijn een aantal extra voorwaarden aan verbonden waar niet alle dienstverleners aan kunnen of willen voldoen.
De enige andere mogelijkheid die overblijft is naar een andere CA over te stappen.
Maar ik betwijfel of of Diginotar daar de rekening voor wil betalen.

Het algehele beeld wat op dit moment heerst is dat Diginotar een onbetrouwbare en onkundige CA is, het vertrouwen hebben hebben ze op grove wijze geschaad. Ik betwijfel dat ze hier nog bovenop komen.
Ik snap niet waarom de Nederlandse staat voor aap zou staan als Diginotar toch niet te vertrouwen blijkt. Shit happens, bedrijven verknallen het wel vaker. Daarom zijn er toch meerdere bedrijven (bijv PinkRoccade) die CSP (certificate service provider) zijn voor PKI overheid? Zodat je niet afhankelijk bent van 1 stinkende rotte appel. Als Diginotar er zo'n potje van maakt zou ik het op prijs stellen als de overheid het CA certificaat van Diginotar in zijn geheel revoked (technisch gezien kan dat toch?).

Digid en andere clubs moeten hun certificaat dan vervangen door een PKIoverheid certificaat van een andere CSP. Dit kost natuurlijk geld, maar daar zou Diginotar verantwoordelijk voor gesteld kunnen worden?
Ik snap niet dat jij dat niet snapt.

Als ik jouw keer op keer blijf vertellen dat je auto prima is terwijl ik gewoon naast de auto sta en zie dat de gehele wielophanging ontbreekt dan verklaar je me ook voor randdebiel neem ik aan.

Zou niet weten waarom mensen bij uitspraken van een debiele overheid daar anders tegen aan zouden moeten kijken.
Zou niet weten waarom mensen bij uitspraken van een debiele overheid daar anders tegen aan zouden moeten kijken.
Ik denk dat je het hier verkeerd ziet.

Jij lijkt ten eerste te denken dat bij overheden alleen randdebielen werken. Dat is alvast niet zo. Er zal allicht een aandeel zijn, maar die vind je bij grote bedrijven in even grote getalen hoor.

Ten tweede: de Rijksoverheid heeft er geen belang bij dat ze een onveilig gebleken CA gebruiken. Dat weten ze zelf ook donders goed. Het gaat hier om het vertrouwelijk kunnen communiceren met en tussen overheden. Als er één ding belangrijk is voor overheden is dat 't wel.

Als er een écht probleem is (cryptografisch) met een PKIoverheid-CSP wordt daar onmiddelijk werk van gemaakt: die certificaten worden ingetrokken en vervangen. Dat dat een paar euro kost maakt daarbij geen moer uit; het moet gedaan worden want dat is het beleid aangaande de vertrouwelijkheid van communicatie.

De grap is dat DigiNotar feitelijk meerdere CSP's is. Een onder z'n eigen root (compromised), een of twee onder andere roots en een onder de Staat der Nederlanden Root. Die laatste is, naar oordeel van GovCert, niet compromised, en er is dus geen reden om die certificaten niet meer te vertrouwen.

Wel is het natuurlijk zo dat DigiNotar één organisatie is, die heeft gedemonstreerd niet goed met dit soort situaties om te kunnen gaan. Zodoende is het mijns insziens zaak om alle certificaten van DigiNotar te vervangen door certificaten van een organisatie die dat wél kan.

[Reactie gewijzigd door CyBeR op 1 september 2011 17:15]

"Ik denk dat je het hier verkeerd ziet."

Ik hoop het;; maar ik ben bang van niet.

Denk jij nu echt dat de techneuten hebben besloten welke certificaten en provider gebruikt moeten worden?

Helaas, helaas..

Er wordt een vereiste op papier gezet door een (als we mazzel hebben) architect; daarna wordt er een PvE geschreven; wat 5 of 6 afdelingen doorgaat. Iedereen kan lekker zijn comments erbij zetten; en dan wordt dat een geheel en door een paar managers besproken; met de budgetjongens nog een keertje; en die strepen samen met de managers wat weg en zetten erbij; daarna worden de procurement mannen ingeschakeld en worden de bedrijven gezocht die dat kunnen leveren; en DAN PAS komt er een techneut bij die met die PvE (die inmiddels totaal veranderd, aangepast whatever) in zijn hand mag proberen om nog iets zinnigs ervan te bakken.

En als het fout gaat? Dan moet het dus helemaal die route terug; en iedereen heeft weer comments en probeert het mooi te laten lijken en niet zo desastreus en zo..

Geloof me; de techies onderaan hebben waarschijnlijk hier hetzelfde commentaar over; maar KUNNEN niet anders als ze hun baantje willen houden.

Hun manager wolligt het al wat op; en zo gaat het 5 stappen door omhoog tot het bij de beslissers komt; en die denken alleen maar aan hun budget en hoe ze afgerekend worden als dingen fout gaan.

En dan is proberen het klein te houden het beste; misschien werkt het; en zolang er niet 100% word aangetoond dat er iets fout zit komen ze er mee weg.

Terwijl gewoon geheel de stekker uit diginotar trekken en omgaan naar een andere iets meer dan een dag of 2 zou moeten kosten; dan heb je 100% zekerheid dat ALS de hack groter is (of nog gaande!) dat je niet meegenomen word in de sh*t
"Ik denk dat je het hier verkeerd ziet."

Ik hoop het;; maar ik ben bang van niet.

Denk jij nu echt dat de techneuten hebben besloten welke certificaten en provider gebruikt moeten worden?
Geen idee, maar denk jij dat voor dit schandaaltje de techneuten een fundamenteel andere keus gemaakt zouden hebben? En vice versa, dat sinds dit schandaaltje de techneuten moeite zouden hebben om de managers te overtuigen?
Ik snap niet waarom de Nederlandse staat voor aap zou staan als Diginotar toch niet te vertrouwen blijkt.
Omdat de bron van dat vertrouwen DigiNotar zelf is, die zeggen dat ze nog steeds te vertrouwen zijn, ookal heeft het verleden uitgewezen dat ze dat vertrouwen niet kunnen garanderen. De overheid moet niet van die domme opmerkingen maken over dingen waar ze verder geen onderzoek naar hebben gedaan. "Wij vertrouwen DigiNotar omdat DigiNotar zegt dat ze te vertrouwen zijn" is een domme opmerking. Als dat vertrouwen dan uiteindelijk ongegrond blijkt, ja, dan staan ze inderdaad voor aap ja. Behoorlijk.
Het gaat ook veel (of eigenlijk, nog meer) kritiek opleveren als mensen DigiD niet meer veilig kunnen gebruiken, mocht ik bijvoorbeeld zaken willen doorgeven over mijn studie dan kan dat alleen via DigiD en het is niet fijn dat ik dan gedwongen wordt een onbetrouwbaar systeem te gebruiken.
Het systeem is even onbetrouwbaar met valse certificaten als wanneer er helemaal geen encryptie is. Dan ben je beter af van je gebruikers te informeren en te waarschuwen over mogelijke onveiligheden, dan ze al hun persoonlijke gegevens te laten versturen over een mogelijk gecompromitteerde verbinding.
dat is pertinent niet waar. De valse certificaten hebben als nadeel dat je niet betrouwbaar de identiteit van de andere partij kunt vaststellen. De encryptie tussen 2 peers is nog wel degelijk veilig.
Dus je Man in the Middle kan alles afluisteren, maar iemand anders dan de Man in the Middle niet. Schiet je wat mee op, inderdaad.
<citaat artikel web wereld>
Volgens Bergman ondermijnt Diginotar met die stellingname volledig het mechanisme van een Trusted Third Party als waarmerkende autoriteit en het lijkt het een aanval op de eigen meerwaarde. "Op dinsdag 30 augustus geeft Diginotar het advies om handmatig certificaten te accepteren, dit is natuurlijk een bizar advies", concludeert hij.
</citaat artikel web wereld>
Ben het volledig met Bergman en Kalizec eens.
De commentaren blijven zich vooral focussen op de Nederlandse situatie en gevolgen, maar het ongemak dat de overheid wel of niet een dagje onbereikbaar is lijkt me een stuk kleiner dan het feit dat google yahoo en live mail in ieder geval vatbaar waren voor Man in the Middle attacks.

Al die certificaten zijn nu door Chrome gerevoked. Het is duidelijk dat de hack bedoeld was om ook het mailverkeer naar google (mail.google is naast de search engine ook gerevoked) te onderscheppen waarmee een groot aantal mensen in groot gevaar verkeert of al in de gevangenis of erger zit.

Dit artikel http://www.imperialviolet.org/2011/05/04/pinning.html is al van Mei dit jaar, maar wijst erop dat Google zich erg bewust van het gevaar van ´rogue´ organisaties als DigiNotar. Zeer lezenswaardig in het licht van de huidige onthullingen.

Google heeft straffe maatregelen genomen door voor haar eigen diensten/subdomeinen pinning te gebruiken en slechts 4 certificates te accepteren, de drie meest serieuze en hun eigen natuurlijk.. Mogelijk hebben ze daarmee al een boel schade voorkomen in Iran door dit preventief te doen.

Probleem is natuurlijk dat veel journalisten en klokkeluiders niet van uit huis internetten en dat een cybercafeetje ergens meesta geen up to date browser aanbiedt.

[Reactie gewijzigd door max3D op 2 september 2011 00:58]

https://digid.nl wordt door firefox al niet meer vertrouwd :) ze hebben gewoon een fout op hun webserver dat https://digid.nl het certificaat van https://www.digid.nl uitgeeft

[Reactie gewijzigd door arnobroekhof op 1 september 2011 15:38]

Dat is al een aantal dagen
Dit heeft te maken met het feit dat dit een certificaat is voor https://www.digid.nl/
Safari (Mac OS X althans) ook niet.

En ik meen laatst een bericht te hebben gezien dat FireFox een uitzondering had gemaakt voor Digid ovv de NL'se overheid... Niet (meer) dus :+
De CN van het certificaat is www.digid.nl dus ja dat werkt niet. Maar dat heeft nooit gewerkt.
Niet helemaal correct. In een UCC/SAN certificaat kunnen extra waardes toegevoegd worden die geen onderdeel van het LDAP path zijn (en dus niet in de CN staan) en extra domeinen dus toch vertrouwd worden.

Nou is het inderdaad geen SAN/UCC certificaat :).
Ik meen dat dergelijke certificaten niet mogen in PKIoverheid.
Er zit wel meer fout....Opera merkte deze fout al eerder op...
Ik heb afgelopen week niet geupdated oid, dus kan niet aan een update liggen.

[IMG]http://i52.tinypic.com/2qdwkzl.jpg[/IMG]

Werkt het plaatje niet? http://i52.tinypic.com/2qdwkzl.jpg

[Reactie gewijzigd door Zunflappie op 1 september 2011 15:47]

Darn!
Dacht dat tags in lower case moesten, maar dat werkt dus ook niet.

[Reactie gewijzigd door The Jester op 1 september 2011 16:28]

Op de frontpage kun je gelukkig geen plaatjes posten in reacties, dat kan alleen op het forum.

@Zunflappie: nee, er zit niet méér fout, die fout is precies waar arnobroekhof het over heeft. De fout is natuurlijk dat ze op digid.nl (dus zonder www subdomein) dezelfde website serveren als www.digid.nl, maar dat het certificaat alleen voor laatstgenoemd domein geldig is.

[Reactie gewijzigd door .oisyn op 1 september 2011 18:01]

digid.nl wordt dan ook niet met https opgeroepen, dat is een subdomein, namelijk: as.digid.nl
als je naar mijn gegevens gaat wordt hij netjes goed gekeurd
Maakt allemaal toch niets uit, immers vertrouwen onze vertegenwoordigers het toch allemaal prima. Ben benieuwd hoe FireFox hierop zal reageren (als ze dat nog doen tenminste) (Zie reactie boven)

IMO: Bedrijf stuk procederen en NEXT. Iedereen maakt fouten maar DigiNotar doet mij wat te laks met de regeltjes omspringen...

[Reactie gewijzigd door Thalaron op 1 september 2011 15:40]

Inderdaad, iedereen maakt fouten. Het verschil zit hem er in wat voor fouten je maakt en hoe er op reageert. Het kan gebeuren dat je server's gehacked worden- dat kan eens gebeuren.

Maar dat DigiNotar dit zelf gedurende anderhalve maand over het hoofd ziet, en vervolgens doet alsof het allemaal wel mee valt- echt belachelijk 8)7

Ik hoop toch dat er alsnog een onderzoek komt, en dat als het niet 100% beter is dat hun status als certificaten distributeur wordt ingetrokken.
247 certificaten?

Hoeveel certificaten geeft DigiNotar dagelijks wel niet uit, dat een dergelijke extra hoeveelheid niet opvalt. Ik weet niet hoe groot het bedrijf is, maar daar heb je toch een flinke afdeling voor nodig om zoveel aanvragen te onderzoeken, controleren en goedkeuren.
Mwah, ligt aan je procedure. Goedkope certificaten bij bijv. RapidSSL en Comodo kosten zo'n ~20 euro per jaar (via resellers... via de sites zelf ~3-4* zoveel). Deze zijn domain validation only, wat inhoud dat ze naar een e-mail adres in de whois gegevens of een ander standaard adres wat ISPs e.d. niet snel uit zullen geven (root@, postmaster@, etc.) een e-mail sturen te verificatie. Zal weinig nut hebben daar een afdeling achter te plaatsen.
De hoeveelheid certificaten verbaast mij, uit eerdere berichten had ik het idee dat het "maar" om een klein aantal gaat. Echter nu er echter 247 wordt geroepen begin ik toch wel te twijfelen.
  • Is deze organisatie wel te vertrouwen?
  • Als dit het begin van het onderzoek is, waarom zijn de nummers nu al zo hoog?
  • Waar is het fout gegaan?
Dat er soms iets mis gaat binnen een organisatie is (bijna) normaal. Ik zou persoonlijk er voor kiezen om deze partij zijn certificaten in te trekken totdat er duidelijkheid is...
Ik denk dat ook heel veel mensen, DIgiNotar ook niet meer vertrouwen en daarom ook geen certificaat meer laten signen door ze.
En welke onafhangelijke partij heeft die eerste audit toen (niet goed) gedaan. Wat is er toen gevraagd? en nu?
Dat was Price Waterhouse Coopers.

Die hebben na de hack een audit uitgevoerd. (maar blijkbaar een hoop gemist)
Een audit is niets anders een controlle uitvoeren op de geschreven procedures, als er in de gesloten procedures die klaarblijkelijk niet instaat of er een aantal punten instaan die niet goed beschreven cq foutief zijn zal een auditor die vaak niets weet hoe iets werkt maar wel kan controleren of de procedures gevolgd worden. kan dit worden gemist.

Kortom. een externe partij die wel weet hoe eea werkt of bekend is met deze vorm van beveiliging zou de procedure moeten opstellen en moeten controleren. Dit zorgt kan wel zorgen voor de juiste vorm van beveiliging.

Dus je hebt een auitor die je procedure's die beschreven staan controleert. en een partij die kennis heeft van je product en die de procedures die beschreven zijn controleert ben je beter opgewassen tegen dit soort aanvallen.
Ik heb al een aantal keer een audit gehad van verschillende gerenommeerde bedrijven wat je zegt is helemaal waar.

Het eerste waar ze naar kijken is data recovery, kan je het bedrijf snel weer opstarten als er een 'ramp' geweest is. Denk aan een backup buiten, en binnen, het bedrijf.
Het tweede kijken ze naar toegangscontrole.
Dit alles op door het bedrijf bepaalde procedures. De overheid kan ook niet zeggen hoe een bedrijf z'n bedrijfsvoering in elkaar moet zetten. Ik heb echter van onze auditors alleen zeer onrealistische voorstellen gehad om bv een off-site backup te doen ipv een tape die iemand mee naar huis neemt.

Uiteindelijk gaat het om de sys-admin zelf, vetrouw je backups, certificaten en degelijke. Is het ja, dan is er geen probleem. Moet je een (voorzichtige) ja zeggen, dan zou je naar je procedures moeten kijken.
Dit had ik eigenlijk wel verwacht.

De private-key van hun root-certificaat is in handen van hackers gevallen. Ze hebben deze niet gerevoked, hierdoor konden de hackers ongestoord doorgaan met het ondertekenen van valse certificaten.

Alle certificaten die niet zijn gemaakt OP de infrastructuur van DigiNotar kunnen niet op individuele basis worden ingetrokken. De enige juiste actie van DigiNotar was het intrekken van het gecompromitteerde root-certificaat geweest.

Dit bericht is eigenlijk geen nieuws, dit hadden we al af kunnen leiden uit het oorspronkelijke nieuwsbericht van dinsdag. Desalniettemin is het goed om de nadruk nog een keer te leggen op de fouten die gemaakt zijn en de mogelijke gevolgen die dit heeft gehad voor de veiligheid van inwoners van Iran.
De private-key van hun root-certificaat is in handen van hackers gevallen.
Waar haal je dat vandaan? Het is prima mogelijk dat ze genoeg toegang hadden om certificaten naar een server te sturen die ze ondertekend teruggeeft, zonder dat die server dan ook meteen de private key prijsgeeft.
Dat lijkt mij immers de normale manier van werken: een DigiNotar medewerker verwerkt een aanvraag en laat die (na zich te authenticeren) ondertekenen door een machine die specifiek zo is ontworpen dat de medewerkers, zelfs na authenticatie, geen toegang tot de private key hebben. Op deze manier is de key veilig, maar kunnen je medewerkers wel hun werk doen.
Waar haal je dat vandaan? Het is prima mogelijk dat ze genoeg toegang hadden om certificaten naar een server te sturen die ze ondertekend teruggeeft, zonder dat die server dan ook meteen de private key prijsgeeft.
Hier heb je gelijk in, het is een aanname van mijn kant. Niet gestoeld op feiten.

Het feit dat DigiNotar toegang had tot de private-keys van diverse valse certificaten doet wel vermoeden dat de hackers redelijk wat speelruimte hadden binnen de DigiNotar infrastructuur, en geen noodzaak zagen achter zichzelf op te ruimen.

Dit doet vermoeden dat het niet zo goed geregeld is als zou moeten, en het is dus zeker mogelijk dat het scenario dat jij schetst niet het geval is geweest.
[...]


Hier heb je gelijk in, het is een aanname van mijn kant. Niet gestoeld op feiten.
Het simpele feit dat DigiNotar niet onmiddelijk hun root heeft ingetrokken zegt al genoeg in deze: de private key is zelf niet compromised.

Als dat wel zo was, namelijk:
• Hadden ze niet kunnen weten dát er certificaten gegenereerd waren
• Hadden ze niet kunnen weten wélke certificaten gegenereerd waren, afgezien van ze in het wild tegenkomen.

Met andere woorden: dan was DigiNotar meteen direct 100% fucked geweest, want het zou nog hun Root geweest zijn ook en niet een intermediate. Dat zie je bij bijna alle andere CA's namelijk, om die reden: hun Root key ligt off-line in een kluis en operationele systemen gebruiken een intermediate met een kortere geldigheid om certificaten te ondertekenen.
Ehum.. ben ik de enige die bij het lezen van TOR netwerk denkt aan dit nieuwsbericht:

nieuws: Zedenrechercheurs ontdekken verborgen netwerk Roberts M.

Wel heel verdacht dat men weet in te breken op het TOR netwerk ( o.a ) om naar kinderporno te zoeken en dat daar dan dit bericht overheen komt * gaat opzoek naar ze alu hoedje * O-) :Y)
In dit bericht staat toch dat die certificaten geen invloed hebben op gebruik van TOR zelf, maar enkel dat mensen gecompromiteerd kunnen worden als ze op die manier met een vals certificaat gaan werken.
Het lijkt me niet dat hier echt een verband tussen zit.
De rechercheurs hebben niet ingebroken op het TOR netwerk, ze hebben ingebroken op hidden services binnen het tor netwerk. Iedereen kan namelijk gewoon toegang verkrijgen tot het tor netwerk met de software van tor project. Als je verbinding hebt met het tor netwerk kun je verbinding maken met de hidden services (als je ze weet te vinden).

Staat dus volgens mij helemaal los van deze zaak, het "vervalsen" van certificaten door hackers.

Overigens vind ik dit wel vrij zorgwekkend. Het lijkt er op te duiden dat iemand/iets heeft geprobeerd om op allerlei mogelijke manieren zo veel mogelijk internetverkeer van mensenrechtenactivisten in Iran te onderscheppen. Als dit is gelukt zitten die mensen nu zwaar in de problemen.
Men heeft niet ingebroken op het Tor netwerk, maar via het Tor netwerk ingebroken (subtiel verschil)

Robert M had (vermoed ik) zowel Tor en een aantal links (historie, favorieten, cache etc) op zijn PC staan. Ze hebben de (kp)server waar die links naar toe verwezen gehacked, zodanig dat men het kunnen achterhalen welke locatie het staat (en allerleid bewijs vastgelegd).... En daarna de lokale autoriteiten ingeschakeld....
Hoewel dat voor het gebruik van Tor zelf niet uitmaakt - de software leunt niet op certificaat-autoriteiten - zou iemand zich middels een man in the middle-aanval als de server van het Tor-project kunnen voordoen en bijvoorbeeld een valse versie van de Tor-software kunnen aanbieden.
Uiterst onwaarschijnlijk, dan moet je een zeer langdurige aanval opzetten; Tor-nodes zullen echt niet elke dag hun software updaten.
Bovendien, op de exit-nodes na zijn alle andere Tor-nodes ook alleen maar versleutelde (onleesbare) data-pakketjes aan het forwarden tussen Tor-nodes, dus die kunnen niet eens iets nuttigs zien. (Niets houdt je tegen om zelf een versie van Tor te modden, die op je eigen machine te installeren en dan te proberen te sniffen. Tor is erop ontworpen dat je de eigenaar van de server niet hoeft te vertrouwen. Als de (Nederlandse of Iraanse) politie een versie maakt zodat ze remote, zonder medeweten van de eigenaar van de server, kunnen sniffen, dan heeft dat ongeveer dezelfde impact als dat ze zelf een sniffende server hosten.)
Wat een prusters zeg, goed bezig daar bij Diginotar. Dicht gooien die toko niet normaal.

Iedereen die daar werkt moet hier maar eens kijken _/-\o_
* Kougk*

http://security.nl/artike...an_DigiNotar-hackers.html

(ook gelijk maar even gesubmit voor nieuws)

Dit gaat redelijk groot worden op dit tempo....

[Reactie gewijzigd door Broken op 1 september 2011 16:02]

Inmiddels is ook bekend geworden dat Mac OS X door een programmeerfout problemen heeft om de frauduleuze certificaten in te trekken.
Bron
Dit is wel interessant nieuws (van bovenstaande bron). Er worden blijkbaar zo weinig root certificaten ingetrokken dat in ieder geval bij Mac OS X niet eerder is opgevallen dat het verwijderen van zo'n certificaat van de whitelist niet werkt.

[Reactie gewijzigd door psyBSD op 1 september 2011 16:08]

Op de een of andere manier werkt het in Internetexplorer ook niet helemaal 100%.
Meerdere systemen hier en sommige kunnen hebben Diginotar nogsteeds in de Trusted root certificates staan.
Terwijl andere systemen wel netjes revoked melding krijgen.
Met firefox heb ik ook problemen met het intrekken van het DigiNotar PKIOverheid certificaat. Blijkbaar vind firefox het vertrouwen van het 'Staat der Nederlanden' root-certificaat belangrijker dan mijn wantrouwen.

[Reactie gewijzigd door psyBSD op 1 september 2011 16:20]

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Apple Games AMD Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013