Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 143 reacties, 34.496 views •

De overheid stopt per direct met gebruik van PKIoverheid-certificaten van DigiNotar, omdat niet kan worden gegarandeerd dat de certificaten nog veilig zijn en de identiteit van overheidssites dus niet meer kan worden gegarandeerd.

DiginotarVanaf nu kunnen gebruikers die een overheidssite benaderen, de melding krijgen dat deze site niet kan worden vertrouwd. Dat maakte minister Piet Hein Donner van Binnenlandse Zaken vrijdagnacht bekend. De overheid zegt het vertrouwen in certificaat-autoriteit DigiNotar op en kiest voor andere certificaat-autoriteiten.

Daartoe is besloten omdat niet kan worden uitgesloten dat de PKIoverheid-certificaten van DigiNotar, die worden gebruikt om de identiteit van overheidssites te kunnen controleren, ook gehackt zijn. Donner adviseert om overheidssites met ongeldige certificaten tijdelijk niet te gebruiken. De komende tijd zullen deze certificaten worden omgeruild voor veilige certificaten. Het advies volgt op een onderzoek van beveiligingsbedrijf Fox-IT naar de hack.

DigiNotar is een van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Hoewel die overheidscertificaten gescheiden van de gehackte certificaten worden uitgegeven, roepen de gebeurtenissen de vraag op in hoeverre DigiNotar nog kan worden vertrouwd. "Hoe kan het publiek nog vertrouwen hebben in een bedrijf dat een zeer serieuze hack heeft stilgehouden?" vraagt Roel Schouwenberg van Kaspersky zich af.

Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen dat dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen. Browsermakers zegden deze week collectief het  vertrouwen in het bedrijf op.

DigiD, met certificaat van Diginotar

Gerelateerde content

Alle gerelateerde content (24)

Reacties (143)

Reactiefilter:-11430138+181+29+30
Moderatie-faq Wijzig weergave
Het Ministerie van Justitie geeft voor mensen een Verklaring Omtrent gedrag uit. Dat is ook een soort certificaat. Waarom kan de overheid voor belangrijke overheidsservers niet zelf een certificaat uitgeven. Zijn daar per sé derden voor nodig?
Wat ook kan is wat Google gedaan heeft. Dit artikel http://www.imperialviolet.org/2011/05/04/pinning.html is al van Mei dit jaar, maar wijst erop dat Google zich erg bewust van het gevaar van ´rogue´ organisaties als DigiNotar. Zeer lezenswaardig in het licht van de huidige onthullingen.

Google heeft straffe maatregelen genomen door voor haar eigen diensten/subdomeinen pinning te gebruiken en slechts 4 certificates te accepteren, de drie meest serieuze en hun eigen natuurlijk.. Mogelijk hebben ze daarmee al een boel schade voorkomen in Iran door dit preventief te doen.

De overheid zou hetzelfde kunnen doen.

edit: hai, heb je het artikel gelezen? Ze pinnen hun eigen services en acceptereren alleen certificates van 4 authorities. Dat zou in het geval van de Nederlandse staat in mijn ogen een prima handeling zijn. Je moet je eigen overheid kunnen vertrouwen en dus ook zeker weten dat je geen MiM hebt. Google gelooft niet in het huidige systeem voor haar eigen diensten en we hebben nu gezien dat dit correct is.

Als ze geen certificate pinning gedaan zouden hebben zou dit probleem met gmail.com en google.com nooit aan het licht gekomen zijn en zou de Iraanse overheid inderdaad MiM hebben kunnen spelen. Lijkt me toch heel verstandig en prettig van zo´n cruciale search en mail service.

Daar DigIID zéér privacy gevoelige gegevens moet beschermen hebben overheden hier een taak. Ik zou google dus gewoon volgen in dit beleid.

[Reactie gewijzigd door max3D op 3 september 2011 13:13]

De overheid zou hetzelfde kunnen doen.
Het hard vastleggen van de oorsprong van certificaten in bepaalde browsers is een hele foute oplossing. Zeker structureel.
Als je een tweede partij wilt inzetten voor een extra controle van de certificaten of een soort dubbele certificering is dat op zich geen verkeerd idee maar dan moet dat wel een andere onafhankelijk partij zijjn.
De overheid zou hetzelfde kunnen doen.
Hoe had je dat (technisch) in gedachte? De overheid geeft geen browser uit! En de pinning die Google doet voor haar domeinen werkt alleen in Chrome (niet in IE, FF, Opera, Safari, Lynx, ...); dat kan ook niet anders, want die pinning zit in de code van de browser, niet in het certificaat (het wel in het certificaat stoppen is geen optie, een MitM-server gebruikt gewoon een certificaat van een willekeurige, gehackte CA en laat dan natuurlijk de pinning-optie weg).

Wat je uiteindelijk probeert te bereiken (een onderscheidd maken tussen "gewone certificaten" en "extra-betrouwbare certificaten") bestaat al, onder de naam EV ("extended validation"). In veel browsers zie je dit terug doordat gewone certificaten een (meestal) blauw balkje laten zien, terwijl EV-certificaten een groene balk geven. Helaas weten de meeste gebruikers niet dat als de website van (laten we zeggen) je bank "alleen maar" blauw wordt, er waarschijnlijk iets ontzettend mis is.

Dit kun je mensen moeilijk kwalijk nemen; net even geprobeerd in Firefox 6, als je niet weet wat het verschil is tussen blauw en groen, dan moet je klikken op het certificaat, ""More Information", "View Certificate", "Details", het Certificate Field "Certificate Policies" selecteren en dan staat er eindelijk "Extended Validation"... (Altijd nog beter dan IE7, waar ik het helemaal niet terug kan vinden...!?)
Lijkt mij hoog tijd dat browsers (zowel bij EV, als bij gewone certificates), een tekst opnemen (voor EV) "This certificate is intended to secure critical services such as online banking and very privacy sensitive applications" en (voor gewone) "This certificate is only intended to verify the authenticity of regular website; it should NOT be used to secure online banking or very privacy sensitive applications".
[...]
Wat je uiteindelijk probeert te bereiken (een onderscheid maken tussen "gewone certificaten" en "extra-betrouwbare certificaten") bestaat al, onder de naam EV ("extended validation"). In veel browsers zie je dit terug doordat gewone certificaten een (meestal) blauw balkje laten zien, terwijl EV-certificaten een groene balk geven. Helaas weten de meeste gebruikers niet dat als de website van (laten we zeggen) je bank "alleen maar" blauw wordt, er waarschijnlijk iets ontzettend mis is.
Zelf geloof ik niet in een onderscheid tussen "gewone" en "extra betrouwbare" certificaten.
Een certificaat is veilig of niet. Ik wil geen tussenweg. Je mag een onderscheid in encryptie zwaarte maken, maar dat was het dan ook wel, wat mij betreft.

Internetten zelf, certificaten, virussen, back-doors, mal-ware enz. is voor veel mensen al ingewikkeld genoeg. Ze weten regelmatig niet eens dat je een virusscanner (regelmatig) moet updaten ("ik heb toch een virusscanner?") Laten we even niet over "groene" en "blauwe" of zo certificaten beginnen. Dan is het voor velen echt niet meer te volgen. En dan nog: een onveilig certificaat maak je rood ... en een blauw certificaat soms veilig, soms niet, zoals ik begrijp, laat ook mij afhaken.

Toegevoegd: de bank en ook fox-it.com geeft een groene balk links van de websitenaam, mijn.belastingdienst.nl b.v. of mijn werkgever inderdaad een (belasting ;) ) blauwe ...

[Reactie gewijzigd door Xubby op 4 september 2011 12:12]

Het Ministerie van Justitie geeft voor mensen een Verklaring Omtrent gedrag uit. Dat is ook een soort certificaat. Waarom kan de overheid voor belangrijke overheidsservers niet zelf een certificaat uitgeven. Zijn daar per sé derden voor nodig?
Ik las bij de NOS dat 'ie overweegt om dat, in ieder geval voor de overheid, inderdaad zelf in handen te nemen.
Dat wordt 'm waarschijnlijk niet: zelf een root CA beginnen is niet bepaald makkelijk. Als je al door het proces heen komt zit je bijvoorbeeld met oude browsers die de nieuwe root niet meenemen. Als overheid is dat niet bepaald ideaal en dus ook een onwaarschijnlijke optie.

Loop eens bij 20 verschillende mensen naar binnen en gebruik hun computer om op digid in te loggen. Hoeveel computers geven ook echt een beveiligingswaarschuwing? Waarschijnlijk ergens tussen de 0 en de 5. Dit illustreert goed waarom het zo lastig is.

[Reactie gewijzigd door TvdW op 3 september 2011 03:05]

Dat hoeft niet. De overheid heeft al een root CA die door alles wat belangrijk is vertrouwd wordt. Het enige wat moet gebeuren is dat Logius (of een soortgelijke partij) even zelf CSP moet worden en er een intermediate CA gemaakt moet worden voor die partij (wat per definitie een taak voor Logius is.)

[Reactie gewijzigd door CyBeR op 3 september 2011 03:15]

Ja. Zo werkt het systeem. Ik zeg dat ik jou vertrouw, en teken jouw vertrouwbaarheidsverklaring (VOG, verklaring van goed gedrag) ook.
En ik als vertrouwde partij, wordt ook geloofd. En daar ging het mis....
Waarschijnlijk in het kader van 'bedrijven kunnen dit efficiënter en goedkoper'.
Nu is mijn vraag moet iran met onze gegevens. :?
Niets. Iran heeft alleen gebruik gemaakt van een beveiligingslek bij een Nederlandse Certificate Authority. Dat had net zo goed een duitse, amerikaanse, poolse of zimbabwaanse kunnen zijn.

Iran wilde de veilige communicatie van hun eigen burgers met GMail aftappen. Door bij DigiNotar een geldig certificaat voor gmail.com (of watdanook specifiek) te genereren, kon dat.

Helaas voor ons maakt dat wel dat de certificaten van dat bedrijf nu onbetrouwbaar zijn omdat voor een gebruiker niet makkelijk met zekerheid is vast te stellen dat 't geen frauduleus certificaat betreft. En helaas voor ons ging 't om een CA die ook nogal belangrijk was voor de communicatie met en tussen overheden.
Daarnaast is er iemand iets van bekend wat dit met de beveiligde sites van bijv. de banken doet. In dit verhaal van Donner konden we horen dat het gaat om een een tweetal certificaten. Namelijk die van overheid en die van bedrijven.
Zolang de banken (e.d.) geen zaken deden met DigiNotar is er daar niets mee aan de hand. De meeste banken (waaronder ING, ABN AMRO en Rabobank) gebruiken al jaren certificaten van Verisign.
Je snapt een deel niet helemaal, denk ik. Het maakt niet uit bij welke CA het bedrijf is aangesloten, https-verkeer valt altijd te onderscheppen als je geldige certificaten gebruikt. Iran had dus wel degelijk je bankzaken kunnen onderscheppen, als je vanaf een Iraanse internetverbinding je bankrekening wou bekijken.

Gelukkig wel een beetje onwaarschijnlijk.
Onderscheppen wel, maar niet kunnen meelezen zonder de encryptie te bruteforcen.
Met deze valse certificaten (en gemanipuleerd DNS!) konden ze een man in the middle attack doen zonder dat de browser alarm sloeg.
Nu is mijn vraag moet iran met onze gegevens. :?
Er is, voor zover ik weet, geen enkele reden om aan te nemen dat Iran valse certificaten heeft voor, bijvoorbeeld, digid.nl.
Het punt is dat iemand (maakt niet uit wie) een vals certificaat hebben weten te genereren (maakt niet uit waarvoor). Toen dat bekend werd, zijn er een aantal instanties opeens heel erg goed naar DigiNotar gaan kijken en kwamen ze erachter dat ze helemaal niet blij zijn met wat ze daar zien. En daarom laat iedereen ze nu opeens als een baksteen vallen. De enige reden dat we in Nederland met de gebakken peren zitten is omdat DigiNotar ook het certificaat levert voor, onder andere, digid.nl. Maar dat is gewoon toeval en heeft niks te maken met Iran (of Google, wat dat betreft).
[...]
Er is, voor zover ik weet, geen enkele reden om aan te nemen dat Iran valse certificaten heeft voor, bijvoorbeeld, digid.nl.
Dat is inmiddels verandert: in NOS filmpje zegt Donner: dat: "... de gebruiker niet langer de garantie heeft dat je op een website van de overheid bent. [...] en je een melding kunt krijgen dat de website niet langer betrouwbaar is."

Toegevoegd, :
"DigiNotar is also a participant in the “PKIoverheid” [...] certs in this PKI were not compromised [...] It has recently emerged, due to a report from a 3rd party security company, Fox-IT, that this confidence was misplaced, and the next Mozilla security update will remove this exemption. There are questions here for the Dutch government and, particularly, GovCERT, as to how they felt confident to give us the assurances they did. We were offered some of them in writing; in hindsight, we should have taken them up on that offer."
http://blog.gerv.net/2011/09/diginotar-compromise/
Ofwel: Er is vastgesteld door 3e partij Fox-IT ... dat het sub certificaat PKIoverheid niet meer vertrouwd kan worden. En nu geblokkeerd wordt door Firefox bouwer Mozilla, die deze update verspreid. GovCERT heeft wat uit te leggen: onterecht vertrouwen in dit certificaat.

[Reactie gewijzigd door Xubby op 4 september 2011 14:25]

Iran weinig, maar als de Nederlandse sites aangeven onbetrouwbaar te zijn weet je niet of je toch de echte site hebt, of eentje die door een derde partij opgezet is om van de verwarring misbruik te maken.
Dat dit zou gebeuren had ik enig sinds al verwacht maar ik snap de regering ook goed met betrekking tot het lopend onderzoek toen dat ze nog geen beslissing hadden genomen.
Dat een bedrijf zo'n grove fout maakt zeker met een vertrouwen relatie ben zeker benieuwd hoe het intern er aan toe is gaan. Zet het maar op een rijtje en je ziet fout na fout het is ook goed dat het hard wordt afgestraft.

Wat ik me wel afvraag is er geen wet in de maak of misschien al is dat bedrijven het moeten melden als ze gehackt zijn of informatie is gestolen of misbruikt?. Er zijn al meer berichten geweest op verschillende sites over deze wet maar heb het niet echt gevolgd of de wet er al is of niet in de pijp zit.
Er staat in de Telecomwet in ieder geval vrij duidelijk omschreven aan welke eisen een CA moet voldoen:

http://www.st-ab.nl/wette...nische_handtekeningen.htm

En hier gaat het over de aansprakelijkheid: http://lexius.nl/burgerlijk-wetboek-boek-6/artikel196b

Arnoud Engelfriet had vandaag ook een blog over de aansprakelijkheid: http://blog.iusmentis.com...frauduleuze-certificaten/

[Reactie gewijzigd door Tourniquet op 3 september 2011 02:39]

@Tourniquet.
Alvast bedankt voor de informatie deze was zeker handig. Zo wist ik niet dat een CA aan wettelijke eisen moest voldoen en dat de OPTA er een een partij in is. Ben nu wel erg benieuwd of de OPTA hier nog wat mee gaat doen. Dit zullen we moeten afwachten.
het balletje ging waarschijnlijk rollen toen mozilla de ssl certificaat afwees als veilig, een +1 voor firefox
Het probleem werd opgemerkt door "HTTP Strict Transport Security" dat Chrome voor GMail niet certificaten van alle trusted CA's accepteert maar alleen een lijstje van ingebouwde CA's (built-in certificate pinning).

[Reactie gewijzigd door matthijsln op 3 september 2011 03:48]

Bijna, HSTS is een HTTP-header die meekrijgt als je sommige HTTPS-sites bezoekt. Je browser slaat dit op en de volgende keer dat je naar de HTTP-site gaat wordt je automagisch doorgesluist naar de HTTPS-site. Het is zeg maar een opt-in voor HTTPS-only sites en werkt voorlopig alleen met Chrome en Firefox.
HSTS was inderdaad niet juist, waar ik op doelde was de "built-in certificate pinning".
Niet alleen Mozilla hoor. Microsoft en Google hebben hetzelfde gedaan of gaan dat doen en van Debian heb ik ook al een update binnen.

Ik heb eigenlijk alleen nog niets gehoord van Opera en Apple.
De bovenstaande reacties dekken de meeste punten wel af, maar er is toch iets waar ik mee zit, namelijk de initiele reactie van het ministerie van Justitie.

Als ik de inhoud en toonzetting van hun eerste reactie vergelijk met de reactie in tweede aanleg (het berichtje boven) dan lijk het erop dat wie er ook verantwoordelijk was voor die eerste reactie geen goed inzicht had in wat de eerder beschikbare gegevens betekenden.

Voor zover ik weet is er tussen beide overheidsstandpunten geen nadere in formatie gepubliceerd.

Betekent dit nu dat de eerste reactie een soort ' reflex' was, en de reactie in tweede instantie pas doordacht was?

Ik herinner mij dat ik wel vaker berichten gelezen heb van niet-zo-slimme acties van het ministerie van justitie (van het lekken van informatie naar zware criminelen, het kwijtraken van gevoelige informatie over informanten, het opsturen van onvolledige dossiers naar de rechtbank, en het maken van knullige vormfouten waardoor advocaten als Spong en Moskowitz de vloer met ze konden aanvegen).

En nu dit weer. Licht het nou aan mij of loopt de kwaliteit bij Justitie als geheel wat achter?
De bovenstaande reacties dekken de meeste punten wel af, maar er is toch iets waar ik mee zit, namelijk de initiele reactie van het ministerie van Justitie.
Voor de goede orde, het artikel is niet correct. Donner is van Binnenlandse Zaken en het hele web gebeuren valt onder dat ministerie.

Justitie heeft , in mijn ogen correct gehandeld door de AIVD onderzoek te laten doen bij Diginotar, waarbij aan het licht kwam dat er nog veel meer fout is gegaan dan het uitgeven van een vals certificaat.(GOVCERT heeft dit ook onderzocht)
Daarop heeft Binnenlandse zaken dan weer onderzoek laten doen door FoxIt om de risico's vanuit een IT perspectief in kaart te brengen.
Ik wist niet dat de overheid s'nachts ook werkte :)

Maar goed, ik kan het mij goed voorstellen dat de overheid het vertrouwen opzegt, want daar gaat het uiteindelijk om bij deze certificaten.

Ik kan nu alleen maar DigiNotar erg veel succes en vooral sterkte wensen met de voortzetting van hun business,
Ik neem aan dat donner door Fox.it gebriefed is over deze hack, en dat dit pas vanavond is gebeurd. Vervolgens heeft hij een persco belegt, en diginotar bij het afval heeft gezet.
Nog erger: IT specialisten van de overheid nemen het management van DigiNotar over totdat de overdracht naar een andere certificaar leverancier is afgerond

In principe wordt DigiNotar dus voor de komende tijd genationaliseerd

Overigens: Belastingdienst.nl wordt niet beveiligd door DigiNotar, maar door VeriSign.

[Reactie gewijzigd door Lantashh op 3 september 2011 01:48]

Nog erger: IT specialisten van de overheid nemen het management van DigiNotar over totdat de overdracht naar een andere certificaar leverancier is afgerond

In principe wordt DigiNotar dus voor de komende tijd genationaliseerd
Officiële mededeling lijkt te zijn:
"De minister heeft officieel bevestigd dat Diginotar onder toezicht is gesteld. De doelstelling van de ondertoezichtstelling is dat er zo snel mogelijk duidelijkheid komt over welke overheidssites gekraakt zijn door de vermoedelijk Iraanse hackers."

Is Lijkt me nog geen nationalisatie of managements overname. Mogelijk wordt Diginotar daarna gewoon definitief gedumpt en is het over en uit tussen de staat en Diginotar.

Donner zegt dat: "... de gebruiker niet langer de garantie heeft dat je op een website van de overheid bent. [...] en je een melding kunt krijgen dat de website niet langer betrouwbaar is." En dan moet je niet inloggen, zegt een NOS medewerker.
Aldus het filmpje .
Edit: aangepast n.a.v. bekijken later gevonden filmpje NOS met Donner.

[Reactie gewijzigd door Xubby op 4 september 2011 01:43]

Dat is heel normaal hoor. Als het bij een bank niet gaat zoals het hoort bijvoorbeeld wordt het bestuur ook overgenomen. De DSB is daar een voorbeeld van, maar het geldt voor alles wat cruciaal is voor de continuiteit van Nederland NV. Ik kan dit niet meer dan toe juichen en toont aan dat de nationale overheid de laatste jaren duidelijk heeft geleerd en zo nu ook durft te handelen.
DSB was failliet. Dan wordt er een curator aangesteld als bewindvoerder om het faillissement af te wikkelen. Dat is echt iets heel anders.
Ik denk dat army ABN-AMRO bedoeld. Die werd namelijk wel genationaliseerd om te voorkomen dat de bank failliet ging.
Niet helemaal:

Op 12 oktober 2009 werd bij de DSB Bank de noodregeling van kracht. Pas een week daarna (19 oktober 2009) werd de DSB Bank failliet verklaart.
Ik kijk nu net op https://belastingdienst.nl en op https://www.belastingdienst.nl, en krijg geen antwoord...?
Die site reageert ook inderdaad niet op https. https://mijn.belastingdienst.nl/ wel, en daar zit een Verisign cert achter.
Sorry dat ik wederom misschien een beetje uit mijn slof schiet...

Maar hier moeten mensen gewoon voor hangen. Niet langs start, geen 20.000 (of wachtgeld of whatever). Gewoon een proces; en dan de bak in wegens grove nalatigheid, of weet ik wat (IANAL)

Ten eerste heeft diginotar overdruidelijk de boel belazerd.

De ENGIE reden dat de overheid na de afgelopen periode zou hebben mogen instemmen met het ' we vertrouwen erop dat diginotar veilig is want dat hebben ze zelf gezegd' *wc eend iemand???!?!??!?!?!!* is als diginotar heeft gemeld dat de applicaties die de PKIOverheid certificaten uitgeven NIET (dus totaal niet via internet whatever) in verbinding hebben gestaan met de servers die de applicaties draaien voor de rest van diginotar.

Dat is namelijk de enige manier waarop ze de overheid zouden kunnen overtuigen van de relatieve onschuld van de zaak. Als ik het mis heb hoor ik het graag...(ik probeer dan van de goede wil van de overheid uit te gaan...)

Na een onderzoek van een externe auditor (de TWEEDE!!!!! snotverdrie) blijkt er nu dus wel degelijk een mogelijkheid van een verdere suffigheid van Diginotar en blijken die dingen GVD WEL!!!! met elkaar in verbinding te hebben staan..(ik wil weten wie die eerste is geweest; HALLOOOOOO WAKKER WORDEN!!! misschien eens ander werk zoeken!)

Sorry dat ik het zeg; maar ik vind dit dus echt iets waarvoor iemand moet hangen (bij digi & bij de overheid)..

Buiten het FEIT dat het aangetoond is dat er door Iran misbruik (en dus dat er mensen zijn afgeluisterd; die wellicth door het 'misschien bij de volgende verkiezing is er meer vrijheid voor mijn denkbeelden' gemaild te hebben nu in de *@&*#^$ dodencel of martelcel zitten! Zullen we misschien nooit weten) is er (en dat is misschien wat abstracter) een loopje genomen met de privacy van geheel nederland.

(even terzijde; de ENIGE reden dat we nu zo veel weten is dat er een IRANIER was die merkte dat er verdachte servers ineens met diginotar *.google.com certs' tussen hem en gmail geplaatst waren..

Ten tweede moeten ze diegene bij govcert of whatever dat overheidsburo dat meteen *rustig mensen; niks aan de hand hiero; gewoon doorlopen AUB* riep zwaar op z'n falie geven; want HEEL nederland heeft de afgelopen dagen te horen gekregen dat er NIKS aan de hand is.Hoeveel mensen hebben (zoals ik via de helpdesk van DigiD te horen kreeg een paar dagen geleden) gewoon bepaalde site's in de trusted site's gezet?

Nu ga ik er echt niet vanuit dat heel nederland nu gehackt is en dat er allemaal MitM (Man in the Middle) servers overal staan (of het nu wel of niet door de defacementclaimers is gedaan of niet)... Het gaat erom dat snotverdrie het systeem waarop dat vertrouwen gebaseerd is overduidelijk niet werlt/ Het gaat erom dat dit soort dingen gebouwd zijn op 100% VERTROUWEN!.

Helaas laat dit zoveelste voorbeeld (Medisch dossier; IT politie anyone?) maar weer eens blijken dat we niet bepaald blij moeten zijn met wat er nu allemaal gebeurd.
Het KAN niet toch niet zo zijn dat er ambtenaren/managers rondlopen die totaal geen technische knowhow hebben; en die zo gemakjelijk over dat 'vertrouwen' heenstappen? de (weliswaar onofficiele) cyber-regels aan hun laars lappen?

HELLO WORLD is al een poosje geleden heren en dames!

Zoals ik al eerder door mede-tweakers werd geattendeerd zijn er gewoon regels (hoewel geen wetten; maar toch strenge aanwijzigingen) in de vorm van RFC's en zo.

Blijkbaar als er belangen anders dan de gewone burger in het spel komen (Geld; bonus; niet af willen gaan; risicomijdend en kostenbeparende afwegingen; Ik ben bijna aan de beurt voor een promotie; whatever) dan gaan die andere belangen een grote rol spelen; zowel particulier (diginotar) als bij de overheid/

Misschien is het eens een idee om gewoon eens in de grondwet op te nemen dat diegene die ON-etisch handeld (en laten we eerlijk zijn; dit stinkt zodanig dat er wel degelijk sprake van is) strafbaar is en vervolgd moet worden.

misschien als er eens een paar van dit soort MOEDWILLIG bagitalliserende kneuzen gestraft worden; dat er dan door de powers-that-be een beetje beter voor de belangen van het volk opgekomen zal worden.

(alvast sorry voor de rant; maar zoals je aan mijn eerdere posts kunt merken zit dit me behoorlijk hoog)

Jammer dat ik steeds cynischer aan het worden ben; en dat ik telkens weer nieuwe brandstor ervoor krijg..

Zucht...
Na een onderzoek van een externe auditor (de TWEEDE!!!!! snotverdrie) blijkt er nu dus wel degelijk een mogelijkheid van een verdere suffigheid van Diginotar en blijken die dingen GVD WEL!!!! met elkaar in verbinding te hebben staan..(ik wil weten wie die eerste is geweest;
In andere artikelen word PWC als 1e auditor genoemd. Die hebben het "over het hoofd" gezien, lees waren niet volledig bekwaam want het ging blijkbaar niet om 1 certificaat maar meerdere. Dat is niet iets over het hoofd zien maar gewoon vergeten te controleren!
Ligt eraan wat PwC doet als 1ste auditor.

Als accountant (ook auditor) houd je je niet bezig met deze processen, anders dat het tegenwoordig steeds meer gebeurt in accountantscontrole dat EDP auditoren worden ingezet voor 1/8-1/4 van je controlebudget... :X .

Als EDP auditor controleer je of de bestaande, zelf opgezette procedures goed zijn opgezet en kijk je of er voldoende borgingen zijn aangebracht in het proces. Daarnaast worden EDP auditors betaald door de organisatie (in dit geval DigiNotar zelf) ingehuurd.

De forensische auditoren zijn meestal RA (register accountants) met postdoc RE (Register EDP auditor) en aanvullende Registered forensic auditor.

Dat zegt overigens niks over de kwaliteit van deze mensen, want PwC heeft naar mijn weten behoorlijk goed gekwalificeerd personeel op dit laatste gebied rondlopen. Al zal ik niet ontkennen dat deze met name op het gebied van financiele fraude en de technische mogelijkheden hoe dergelijke fraude wordt uitgevoerd worden ingezet.

[Reactie gewijzigd door Black Piet op 3 september 2011 11:49]

Als je ' sorry' in een post zet, tel dan tot 10 voordat je hem post. Als je vaker dan 1x 'sorry' in post zet, post dan niet. Je schiet totaal naast.

1. Er maakt een bedrijf een fout en lost dat niet heel netjes op. Dat een auditor iets niet ziet is niet raar (loop eens een bedrijf binnen en zoek de lijken in de kast, makkelijker gezegd dan gedaan). Dit gebeurt vaker en zal blijven gebeuren zolang de wereld draait. Get a life.

2. De overheid reageert tamelijk accuraat. Dit soort beslissingen zijn lastig in complexe organisaties het overzien van de consequenties is namelijk niet eenvoudig. Er is veel informatie die door niet-technische leidinggevende (minister) moet worden beoordeeld.

3. Iran = boef. Martelkamers e.d. komen voor hun rekening. Blaas niet te hoog van de toren, ook jouw server kan gehackt worden.

4. Onetiisch handelen is al verboden, maar het is geoperationaliseerd, zie wetboek van strafrecht. Als er voor 'alles' dat mis kon gaan een wet was, schreef jij hier een rant over ziekelijk verstikkende bureaucratische dictatoriale overheidsdiensten.
Ik vraag me nu alleen af of de ambassadeur van Iran niet op het matje moet komen en verantwoording moet gaan afleggen.

Dat een server gehacked wordt ala. Dat een PKI uitgever gehacked word ala. Maar als jij als burger met een groepje vrienden RTL-Z een D-DOS aanval zou uitvoeren komt de antitereur wetgeving bij je langs!!

Andere worden, we zien geen woord over wat er met Iran gaat gebeuren op politiek vlak. Denk dat dit toch wel als een soort van oorlogs daad mag worden gezien?? (neem woord oorlog niet al te hoog op aub ;) )

Wat ik bedoel, als ze overheids PKI sleutels nagemaakt hadden gemaakt, dan konden ze bij onze belastingdienst, justitie, Defensie en ga zo maar door!!
heb je wel een punt, als er ook maar 1 pki-overheid cert in handen is gevallen van iran dan zou dat als 'act of war' kunnen en mogen worden gezien...

al heb je hedendaags wel wat meer redenen nodig om toestemming van de vn te krijgen voor vergeldin...
Gaat niet echt om vergelding, Men maakt zich druk en ziet een d-dos aanval op een oevrheids dienst als tereurdaad. Wat misschien wel begrijpelijk kan zijn.

Bij het in handen krijgen van overheids veiligheids certificaten door een ander land wordt alleen afgedaan als. Fout van de uitgever, die gaan we we aansprakelijk stellen. Wat opzicht terecht is. Alleen de aanvaller in dit geval is een Land dat door de VN als agressief en vijandig wordt gezien..

Contrast met terreur en deze actie van Iran is erg dun. en ben zelf van mening dat daar best wel actie op genomen mogen worden. Dat hoeft echt niet het binnen vallen van het land. De overheid heeft vast nog wel andere slag om de arm.
Als blijkt dat er bij diginotar enige vorm van opzet is danwel grove nalatigheid dan zou dit ook gezien kunnen worden als hoogverraad. Ze hebben hierdoor immers faciliteiten aangeboden waardoor de vrijheid van burgers in gevaar komt.
interessante stelling namen, en als het te beweizen is ben ik er groot voorstander van... maar ik vrees dat het OM daar nooit genoeg bewijs van kan leveren, en heb ik dus liever dt ze op tig tal mindere wetten worden veroordeeld dan vrij gesproken op hoogverraad..

zou er toevallig nog ergens perongeluk een wetje zijn die de doodstraf op hoogverraad zet... - misschien een vergeten wetje uit wo2...???
Hoogverraad is een groot woord, maar strafrechtelijke vervolging hoef je helemaal niet uit te sluiten. Ze wisten het al geruime tijd en ze hebben daarmee willens en weten risico's genomen met gegevens van de nlse overheid. De gevaren voor Iraniers zijn vanuit nl wellicht lastiger te vervolgen.
Zo ernstig is dit probleem nu ook weer niet. Zelfs als er misbruik gemaakt word dienen ze of eerst de dns records aan te passen zodat je naar de verkeerde site gaat (vrij onmogelijk) of er moet een stukje kwaadaardige software op je pc draaien die je naar de verkeerde site stuurt.

Dan moet op die andere site nog een correct certificaat draaien. Nou eer je zover bent is het certificaat allang vervangen voor één van een andere maatschappij. Maak je niet zo druk.
Uhh onmogelijk?? Als je de DNS server beheerd zoals veel landen onder dictatuur gewoon verkeer via je eigen server routeren.

Dus ja simple gezegd is het niet zo eenvoudig zoals je aangeeft. Het ging hier voornamelijk in de vorm van afluistertechnieken van GMAIL. Maar als je eenmaal certificaten zou kunnen namaken zijn er nog veel meer mogelijkheden mits de juiste kennis aanwezig is.
Heel verhaal, maar ik haakte al af toen je begon over wachtgeld... Diginotar is een bedrijf, geen overheidsorgaan. Try again...
In dit geval doelt hij waarschijnlijk op de verantwoordelijk aan de zijde van de overheid ;)
samenvatting van zijn post: er moeten koppen rollen!
Die business is nu non-existent geworden en dus zal Diginotar failliet gaan. Jaren geleden bij de start van diginotar/pki-overheid heb ik al gewezen op de risico's, die de overheid loopt door een dergelijke essentiele dienstverlening door een particulier bedrijf te laten uitvoeren. Het was in het begin tijdperk van het internet en beveiligde ssl-verbindingen. De verschillende ambtenaren zaten mij aan te kijken alsof ze water zagen branden en men weigerde dit als een probleem te zien. Nu heb ik gelijk gekregen en moet men maar op de blaren zitten. Een pki is zoiezo een draak van een systeem. Het beheer van de certificaten wordt snel, zoals je nu ook ziet, een NACHTMERRY !
Het beheer van de certificaten ...
... is niet waar het fout ging; het probleem zat bij de beveiliging van de servers.

Als de overheid dit niet had uitbesteed had het evengoed fout kunnen gaan; het is niet alsof staatsbedrijven onhackbaar zijn...!?

All-caps is lelijk, een ontzettende spelfout in all-caps is ontzettend lelijk...
Is de beveiliging van de certificaten niet de nr 1 prioriteit van het beheer ?
dit soort hacks zijn niet altijd te voorkomen, het is alleen de vraag hoe integer reageer je na de ontdekking....

laat je je hele bedrijfsvoering direct doorlichten, met een extreem grondige audit...
en vervang je direct ALLE certs... of doe je alsof je neus bloed, wie komt er immers achter?
de website van diginotar is ook niet meer te bereiken!! slecht en traag te bereiken.
wat zou daar opgemaakt van kunnen worden?

Alleen jammer dat de website nieuws nog niet is aangepast.
Laatste nieuws 30 aug, overheid vertrouwd nog steeds PKI certificaten diginotar

[Reactie gewijzigd door To_Tall op 3 september 2011 14:15]

Ik wist niet dat de overheid s'nachts ook werkte :)
offtopic:
Ik ook niet. Maar heb het rond 1 uur vannacht wel gezien en aangehoord.Als er een persconferentie s'nachts gegeven wordt mag je stellen dat het goed mis is.
Ik kan nu alleen maar DigiNotar erg veel succes en vooral sterkte wensen met de voortzetting van hun business,
Met Diginotar is het gedaan in deze business.Juist vanwege het verzwijgen en het niet doen van aangifte.Dit speelde al sinds Juni jl.

[Reactie gewijzigd door Dutchphoto op 3 september 2011 10:27]

Ik kan nu alleen maar DigiNotar erg veel succes en vooral sterkte wensen met…
Erg misplaatst. Dit bedrijf had nooit mogen bestaan.
Goede zaak dat er een verdenking van dood door schuld kan komen.

Eerder deze week ook al van die reacties in de trant van "wat zielig voor het personeel"... kan daar niet bij.
Beter: ik zeg mijn vertrouwen in deze "deskundige"overheid op, wat een stelletje amateurs daar
Eindelijk zeg. Snap niet dat het nu op eens een probleem is na de eerdere verklaringen, wat is er nu veranderd dat het vertrouwen wordt opgezegd?
De verandering is het resultaat van het onderzoek van FOX IT, een onbemiddeld expertise bedrijf.

Ik baal hier wel enorm van, omdat het een enorme impact heeft op een groot aantal systemen en beheerders in Nederland.

Men moet weten: de PKI Overheid certificaten zijn niet alleen voor de websites van de Overheid gebruikt, maar ook voor webservices (dus geen websites) van bedrijven die iets met burgergegevens doen, zoals het bedrijf waar ik werk.
Dat betekent voor ons o.a. dat een systeem dat maandag live zou gaan, uitgesteld wordt, om eerst andere certificaten aan te vragen en te implementeren.

Het is niet alleen erg dat we deze wijzigingen moeten aanbrengen, maar het ergste is dat dit een vertrouwde autoriteit heeft moeten overkomen:
Als een autoriteit als Diginotar z'n beveiliging niet op orde heeft, hoe kunnen we dat dan van andere bedrijven verwachten? ...

Het is natuurlijk allang bediscusseerd, maar hoe heeft in heavens name een bedrijf als Diginotar via een geautomatiseerd toegangspunt certificaten uit kunnen geven?
Had daar nou niet permanent iemand tussen kunnen zitten?
Als een autoriteit als Diginotar z'n beveiliging niet op orde heeft, hoe kunnen we dat dan van andere bedrijven verwachten? ...
Niet. En van Diginotar ook niet. Dat is ook het probleem niet; het probleem is de manier waarop DigiNotar daarmee om is gegaan. Ze hebben het hele voorval getracht te verbergen en zelfs niet eens aangifte gedaan. En dáárom is het zaakje niet te vertrouwen.
Het is natuurlijk allang bediscusseerd, maar hoe heeft in heavens name een bedrijf als Diginotar via een geautomatiseerd toegangspunt certificaten uit kunnen geven?
Had daar nou niet permanent iemand tussen kunnen zitten?
Strict gezien mag dat ook voor PKIoverheid-certificaten niet, maar wat de impact daarop was moeten we uit het Fox-IT rapport halen (mits dat ooit beschikbaar komt.)
"Niet. En van Diginotar ook niet. Dat is ook het probleem niet; het probleem is de manier waarop DigiNotar daarmee om is gegaan. Ze hebben het hele voorval getracht te verbergen en zelfs niet eens aangifte gedaan. En dáárom is het zaakje niet te vertrouwen."

En dat is nu precies waarom ik daar een zware straf op wil hebben.

Het gaat bij dit soort personen (bedrijfsleven EN ambtenaren zoal zovaak blijkt) niet om de mogelijke impace; maar om een manier om de impact zoveel mogelijk minimaal te houden voor zichzelf; terwijl ze DONDERS goed weten dat het voor anderen misschien totaal fout kan zitten. (en dit geld dus in dit geval voor IEDEREEN in iran en nederland (potentieel))
Overheid ICT projecten worden wel vaker uitgesteld, dus zo er is het niet.
En als de wil er is, hebben ze morgen nog nieuwe cert's. Dan zou het voor de betreffende beheerder('s) niet meer dan 10min werk per services mogen zijn.

Dus zo'n ramp is het niet.

Daarnaast zitten er meestal op andere plekken, wel andere problemen die erger zijn dan een geldige cert. Maar daar praten we niet over.
Fox IT heeft advies uitgebracht na een onderzoek
Had toch allemaal veel eerder gekund, F.secure (en zowel T.net) berichte hier al veel eerder over.
Beetje vaag om dat midden in de nacht te doen, sites open te laten en dan hopen dat alles binnen een paar dagen wonderlijk verdwijnt.
Het probleem is dat dit soort beslissingen verstrekkende gevolgen hebben, niet alleen voor de burger maar ook voor de verschillende departementen (ministeries), en overheidsdiensten.

Met het nemen van dit soort beslissingen kun je simpelweg niet over een nacht ijs gaan.
Eerst het probleem goed in kaart brengen de opties op tafel leggen overwegen en de beste optie kiezen kost tijd.
Dat valt reuze mee hoor. Certificaten wisselen komt regelmatig voor (per n jaar) omdat die maar beperkt houdbaar zijn. In die zin kun je spreken van een vervroegde omwisseling.
Dat er dan heel veel certificaten moeten worden gewisseld kost even tijd en moeite maar je moet wel.
De verloopdatum van DigiD https site is 7-11-2011 dus die hadden het binnenkort toch al moeten vervangen.
De belastingportal voor ondernemers op https://mijn.belastingdienst.nl/ heeft een VeriSign certificaat dus daar is niets aan de hand. Lijkt me overigens niet heel veel werk om even wat certificaten aan te vragen bij andere CA's voor bijvoorbeeld DigiD.
Lijkt me overigens niet heel veel werk om even wat certificaten aan te vragen bij andere CA's voor bijvoorbeeld DigiD.
Misschien niet veel, maar wel tijdrovend; bij het aanvragen van een certificaat moet je aan de uitgever van het certificaat aantonen dat (1) jij inderdaad de eigenaar bent van het domein (2) dat de persoon die de aanvraag doet daar inderdaad toe gemachtigd is door de aanvragende instantie (3) vast nog een boel andere dingen. En dat moet vervolgens allemaal handmatig gecontroleerd worden... Dus ja, dat duurt echt wel even.
Mwah als je als een autoriteit als de staat der nederlanden komt krijg je heus wel voorrang. Kost dan wel stukken meer maar goed
Op de digid website heb je ook nog geen melding
Dat zou de komende uren wel aangepast moeten worden.
Donner adviseert om overheidssites met ongeldige certificaten tijdelijk niet te gebruiken.
Donner moet gewoon de meest risicovolle websites op zwart gooien. Echt weer een afschuif tactiek om de verantwoording te leggen bij het onwetende publiek. Om achteraf te kunnen zeggen we hebben het toch medegedeeld dat het gevaarlijk kon zijn.
Wat wil je daarmee bereiken? De sites zelf zijn veilig, alleen totdat ze van certificaat wisselen is er geen garantie meer dat je ook echt met digid.nl verbonden bent.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True