Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 151, views: 56.846 •

Het systeem, waarmee ssl-certificaten voor overheidsdiensten als DigiD en de belastingdienst worden gemaakt, is gekraakt. Dat blijkt uit een rapport van beveiligingsbedrijf Fox-IT. Het is onduidelijk of DigiD-inloggegevens zijn gestolen.

Het is niet onmogelijk dat hackers de inloggegevens van Nederlanders bij DigiD hebben buitgemaakt, schrijft het ministerie van Binnenlandse Zaken. Het systeem waarmee ssl-certificaten voor onder meer DigiD, de Rijksdienst voor het Wegverkeer en de Belastingdienst worden gemaakt, blijkt te zijn gekraakt door hackers. Dat blijkt uit het rapport dat beveiligingsbedrijf Fox-IT schreef over de hack bij ssl-autoriteit DigiNotar.

De Rijksoverheid lijkt vooralsnog de kans dat er valse certificaten voor de overheidsdiensten zijn misbruikt, niet groot te achten, maar waarschuwt mensen wel: "Er valt niet voor de volle honderd procent uit te sluiten dat u als gebruiker geen risico loopt als gevolg van frauduleuze certificaten. Zo kunnen aanvallers u herleiden naar een
malafide website en daarmee uw inloggegevens, zoals gebruikersnaam en wachtwoord, in handen krijgen. Hiermee kunnen zij toegang krijgen tot uw account. Daarnaast kunt u als gebruiker in de veronderstelling zijn dat u te maken heeft met een betrouwbare website. Als u dan bijvoorbeeld software wilt downloaden, kan dat
kwaadaardige software zijn zonder dat u het weet."

Tot aan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op. Browsers zullen  binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken.

De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies is echter niet waterdicht: browsers geven nu nog geen foutmelding, terwijl het gebruikte certificaat van DigiNotar is. Bovendien werken sommige mensen met een browser die niet up-to-date is en dus helemaal geen melding zal geven.

Update 15:25: DigiD raadt zelf gebruikers af van het systeem gebruik te maken.

Gerelateerde content

Alle gerelateerde content (27)

Reacties (151)

Reactiefilter:-11510139+186+211+32
Dit toont maar weer eens aan hoe gevaarlijik digitale systemen kunnen zijn.
Elk systeem kan gevaarlijk zijn, ook brievenpost kan nog steeds gevaarlijk zijn.
Zover ik weet staat er op post van DigiD zelfs op de enveloppe zelf dat deze daarvandaan komt.

Het enige probleem met digitale systemen is het feit dat deze door iedereen benadert kan worden die toegang heeft tot internet, een postkantoor kun je niet zomaar betreden, maar de postbode kun je wel weer beroven van post.

Kortom, elk systeem zal een lek hebben of een zwakte, en gezien persoonsgegevens steeds lucratiever worden zul je straks geen andere optie hebben dan draconische manieren of weer terug te keren naar het stenen tijdperk. In ieder geval betreffende persoonsgegevens en dergelijke.
de envelop met activatie code is in ieder geval blanco (heb er gisteren een gekregen)
Die blanco enveloppen met inloggegevens op pincodes van betaalpassen vallen zowat nog meer op.
zucht. ik weet niet bij welke bank jij zit maar als jouw bank zo werkt zou ik maar een andere zoeken...
Dit zijn twee aparte brieven, één met kaart andere met codes, en dat is omdat ik in het buitenland woon. Bij mijn lokale rekening wordt ik verplicht naar het loket te gaan om de nieuwe kaart af te halen.
@analog_, meestal is het dezelfde postbode die jou post bezorgt. Als hij/zij merkt dat er een pas in zit, hoeft hij/zij de volgende keer alleen de vervolg enveloppe op te wachten met de codes erin.
Twee brieven sturen is nog steeds onzin om veiligheid te garanderen.

[Reactie gewijzigd door Eric167 op 4 september 2011 11:18]

al heb je het pasje ontvangen met de codes moet je het nog steeds telefonisch activeren en verifiëren, tenzij je postbode al je gegevens geboorte gegevens enzovoorts weet, anders kan die er nog niets mee.. ;)
Maar wel met afzender. Zo weten de meeste pakjesbezorgers wel in welke "generieke" dozen de sex dvd's zitten. Kortom, ze zijn er zeker tussenuit te halen.
Aks je een blanco envelop krijgt is de kans vrij groot dat er belangrijke informatie in zit. Gewone post van bedrijven bevat immers vrijwel altijd het logo van het bedrijf. Dus typisch een gevalletje schijnveiligheid.
Of gewoon eens een fatsoenlijk bedrijf in de arm nemen die wel weet waar ze mee bezig zijn, in plaats van simpelweg de goedkoopste zijn, zoals de overheid meestal haar opdrachtnemers selecteert.
De prijs daarvoor komt toch bij ons belastingbetalers te liggen...
dit gezeik zal al met al een stuk duurder uitpakken als een duurdere maar betere voorziening kopen in de eerste plaats
Hoezo de goedkoopste?

Waarom zou diginotar geen fatsoenlijk bedrijf zijn. Ik hoop dat je weet waar je het over hebt.

De eisen om certificaten uit te mogen geven welke getekend zijn door de staat der nederlanden zijn erg streng. Zo moet je bijvoorbeeld elk jaar geaudit worden op de procedure om certifcaten aan te vragen.
Daarnaast zal 1x in de drie jaar het hele bedrijf geaudit worden.
Als je dat soort dingen op orde hebt, dan denk ik dat je zeker een fatsoenlijk bedrijf bent.

Diginotar is ook zeker niet de goedkoopste, het is mogelijk om voor een fractie van het bedrag een certificaat aan te vragen bij een concurrent (€300,- ipv €25,-).
Behalve het feit dat ze een hack op hun systeem hebben stilgehouden, en nu niet schijnen te kunnen achterhalen hoeveel en welke certificaten er uit gegeven zijn, is het een prima bedrijf hoor.
Geeft ook aan dat die audits een wassen neus zijn. Simpele oplossing: ontkoppel de PC met de private key van het netwerk en sneakernet de te signen certs er heen. Knappe hacker die hier, zonder social engineering, doorheen komt. Ik ken geen CA die het zo doet, dus m.i. zijn ze altijd hackbaar en audits geven altijd een schijnzekerheid omdat men vaak ook niet weet wat men of, of men wordt gevraagd uit te sluiten dat iets kan gebeuren wat ook weer onmogelijk is...
Audits zijn inderdaad een wassen neus, aangezien ze alleen testen of dat je de (slechte) procedure volgt die je zelf hebt opgesteld.
Als je dat soort dingen op orde hebt, dan denk ik dat je zeker een fatsoenlijk bedrijf bent.
Totaal geen garantie.
Als ik de CIA was, zou ik ook een bedrijf als DigiNotar oprichten. Vooral in dat naďeve Nederland dat inmiddels ook de atoombom aan Pakistan heeft 'weggegeven'.

Je kunt perfect een bedrijf als DigiNotar oprichten, of zelfs meerdere in diverse landen, de certificaten laten 'hacken' en dan in een politieke koehandel aan de Iraniërs, Chinezen, of wie er maar z'n burgers wil afluisteren (NL bijv.) overdragen.

Je kunt het bedrijf perfect aan alle procedures laten voldoen, en dan zou 't volgens jouw definitie een 'fatsoenlijk bedrijf' zijn terwijl 't dat in [i[mijn[/i[ ogen absoluut niet zou zijn.
Het enige probleem met digitale systemen is het feit dat deze door iedereen benadert kan worden die toegang heeft tot internet, een postkantoor kun je niet zomaar betreden, maar de postbode kun je wel weer beroven van post.
Dat is precies waarom een digitaal systeem gevaarlijk kan zijn, dwz gevaarlijker dan een fysiek systeem: een digitaal systeem is veel makkelijker te hacken dan een fysiek systeem (zoals een postkantoor).
Ik denk eerder dat het anonieme gevoel van het internet hier mee te maken heeft. Ik denk dat het makkelijker is om in een postkantoor te komen en daar wat te jatten dan dat het is om een CA te hacken.
Maar fake postkantoor opzetten en poststukken ontvangen lukt je weer niet. Dat is eerder het niveau van deze hack,
Ik denk eerder dat het anonieme gevoel van het internet hier mee te maken heeft. Ik denk dat het makkelijker is om in een postkantoor te komen en daar wat te jatten dan dat het is om een CA te hacken.
Anonimiteit is slechts één vd factoren.
Ik denk dat het feit dat het ongezien kan worden gedaan vanuit de luie stoel en dat je genoeg hebt aan een PC wat software en een internetverbinding, ipv dat je er fysiek naar toe moet gaan en gespecialiseerde mechanische gereedschappen mee moet nemen, de belangrijkste factoren zijn.
Een postbode wordt niet overvallen. Althans, uiterst zelden. Het is dus niet echt een nadeel te noemen. Bovendien heeft een overval op zo'n persoon een kleine impact. Zo veel heeft ie niet bij zich. De schaal van een netwerk, als het mis gaat, vergroot het aantal slachtoffers exponentieel.

Dat stenen tijdperk bevalt me steeds beter.

We worden opgejaagd in een richting waar de honden geen brood van lusten. Dood aan de digitalisering. Technologie is NIET onze vriend, niet meer.
Bij de Post werken tegenwoordig "passanten". Uitzendkrachten die geen binding hebben met het bedrijf maar wel met criminele organisaties. Post wordt zo door hen onderschept en zonder dat jij het weet worden nieuwe bankpassen met pincodes aangevraagd en onderschept. En wat dacht jij hiervan over steunpunten van de post. Post dat onbeheerd door iedereen gestolen kan worden....
"Terug naar de overschrijvingskaarten!"
~Donner - Minister van Binnenlandse Zaken en Koninkrijksrelaties
"Terug naar de overschrijvingskaarten!"
~Donner - Minister van Binnenlandse Zaken en Koninkrijksrelaties
Gewoon accept giro.. , en geld opnemen binnen bij de bank met je pas :)
Wanneer ben jij voor het laatst een bankkantoor binnengestapt?
ongeveer een maand geleden, om enveloppen te halen. wat is daar verkeerd aan?
en ja, ik gebruik overschrijvingskaarten. internetbankieren is ook niet veilig

[Reactie gewijzigd door PetervdM op 3 september 2011 20:28]

Als je het zo gaar bekijken is niets meer veilig, en kan je beter een bunker gaan bouwen, heel veel blikvoer inslaan en voor je leven lang wegkruipen.

Internet bankieren is veilig genoeg. Miljoenen transacties worden er gedaan, hoeveel gaan er fout? Hoeveel worden er gehacked? Denk je niet dat er heel veel hackers dagelijks proberen de banksystemen te kraken?
Er is niets 100% veilig, maar ik denk dat internetbankieren wel 1 van de meest veilige systemen op het web is.
Internet bankieren is veilig genoeg. Miljoenen transacties worden er gedaan, hoeveel gaan er fout? Hoeveel worden er gehacked? Denk je niet dat er heel veel hackers dagelijks proberen de banksystemen te kraken?
Er is niets 100% veilig, maar ik denk dat internetbankieren wel 1 van de meest veilige systemen op het web is.
Ik hoop nog altijd dat mijn rekening een keer gehackt wordt, en dat de hackers dan medelijden gaan krijgen bij het zien van mijn saldo en er uit menslievendheid wat extra geld zullen bij hacken.
dan wil ik dat Greenpeace ooit is aan de deur komt met Geld-Boompitten,
krijgen hun wel 20% van het opgehaalde geld. :)
Certificaten van banken worden niet door Diginotar uitgegeven, althans niet bij mijn bank. Net gecheckt.
Verder heeft iedere fatsoenlijke bank tenminste 2-factor authenticatie(fysieke pas & code die alleen bij gebruiker bekend is), dus om te stellen dat het onveilig is, is gewoon niet waar.

Helaas is geen enkel systeem 100% waterdicht te krijgen.
gewoon je weekloon weer in een envelope :)

die banken maken met ons geld miljarden winst per kwartaal en als ze dan een keertje verlies draaien moeten ze ook weer met ons geld gered worden.

boycotten die handel! :)
Moet je wel in een grote stad wonen, anders is er geen bankkantoor meer te vinden.
Niet het feit dat het digitaal is maar juist dat het wijdverbreid en door iedereen gebruikt is, is het gevaar. Inbrekers hoeven ipv 16 miljoen deuren te kraken, nu nog maar 1 deur open te breken...
Dit toont maar weer eens aan hoe gevaarlijk digitale systemen kunnen zijn.
Dit toont aan hoe goed een systeem ook kan werken. De menselijke fout is de grootste risico. Hebben de hackers tijdens de hack alleen onsite ssl keys gemaakt met *.google.com OF is het de sleutel gestolen en daarna *.google.com gegenereerd.
DigiNotar kan blijkbaar niet garanderen dat *.google.com tijdens de hack gemaakt is, DigiNotar is gehackt en ondanks dat zij melden dat alles onder controle is blijkt dat er geen enkel directe aanleiding te zijn dat te denken. De hack is niet het ergste DigiNotar dat maar proberen door te lopen en zeker niet stil staan met wat er werkelijk gebeurt kan zijn.

[Reactie gewijzigd door daft_dutch op 3 september 2011 13:43]

[Dit toont maar weer eens aan hoe gevaarlijk digitale systemen kunnen zijn.]

Dit toont aan hoe goed een systeem ook kan werken.
Jullie hebben allebei gelijk.
DigiNotar is "Just another company".
Geen enkel digitaal ondernemen is 100% veilig.

Het enige waar kerk, wetenschap en filosofie het over eens zijn:
Zoek en gij zult vinden.

Want voor de mensen die naar fouten zoeken, zijn er heel veel fouten te vinden.
Maar voor de mensen die naar goede dingen zoeken, zullen er weer heel veel goeden dingen te vinden zijn. En die mensen willen niet weten wat er schort aan hun vertrouwen, die voelen hun eerder diep beledigd dat iemand hun zegt dat hun vertrouwen in een bedrijf onterecht is. Of dat ze het verkeerd hebben in wat voor zin dan ook.

Je zei zelf al dat het grootste probleem is dat DigiNotar zelf niet kan garanderen dat *.google.com op een bepaald moment wel of niet is gemaakt.

Dit kan een paar dingen betekenen:
A ) Ze hebben geen logdata. Of het nou verwijderd is door hackers/hunzelf of dat het nooit heeft bestaan, dat maakt niet uit, het is er gewoon niet.
B ) Ze mogen de data (nog) niet publiekelijk maken. En dat staat inderdaad nergens, maar is heel goed denkbaar dat het zo is. Want als ze nu openbaar maken hoeveel er werkelijk gehackt is dan schieten ze hun eigen verhaal lek.

Veilig digitaal? Wie met vuur speelt....

*edit*
Als je die waarschuwing van DigiD leest en je weet niets over de huidige hacks, dan word je hier niet veel wijzer van...
Er had ongeveer iets moeten staan als: "Naar aanleiding van de recente licentieramp"

[Reactie gewijzigd door Yezpahr op 3 september 2011 20:19]

Dus elke keer dat er een auto ongeluk is (en er zijn er op jaarbasis nogal veel, zelfs met dodelijke uitkomst) moeten we maar gaan lobbyen om auto's te verbieden of flinke limieten aan te zetten? Toen men alleen maar papieren systemen gebruikte was het allemaal ook zo lek als een mandje, een mens blijft altijd makkelijker te omzeilen dan een computer. Een fout in een computer kan je verhelpen (of voorkomen), bij een mens gaat dat niet...
Wat een overspannen reactie zeg. Dat is toch helemaal niet wat Jan-Willem schrijft?

Maar goed, als je dan zo nodig met een (per definitie) kromme auto-analogie moet aankomen: Voor je met een auto de weg op mag moet dat ding gekeurd worden. Elk jaar APK. Je hebt een rijbewijs nodig om 'm te mogen besturen, en dan nog onder voorwaarden (nuchter, niet bellen, etc). Er is een dik boek met verkeersregels, - tekens et cetera.

Er is een groot verschil tussen verbieden en proberen te zorgen dat er zo weinig mogelijk mis gaat.
Volgens mij laten NL'se politieke partijen zich voor politieke besluiten zijn bijna enkele leiden door Excel sheets. En dan weet je al dat je opmerking niet klopt.
Gevaarlijk?? Ik mag aannemen dat je kwetsbaar bedoeld?

Criminelen (digitale zowel als heuse echte van vlees en bloed, want die bestaan ook nog, ja ja ;) ) die zijn gevaarlijk, voor jouw en mijn veiligheid.

De combinatie van deze twee resulteert in een zeer zorgwekkende situatie, waarvan zoals al meerdere malen is gezegd, de rekening toch wederom bij ons, de belastingbetaler, terecht komt.
Dit toont alleen maar aan dat de overheid die eerst zegt dat er niets aan de hand zou zij met Digitar en er geen reden is om de relatie op te zeggen een arrogante houding heeft en een stel idioten in dienst heeft die allereerst alles proberen af te doen alsof er niets aan de hand is.

Gegevens van burgers liggen nu open en bloot : "goed" gedaan weer overheid, ga zo door het vertouwen van de burger neemt keer op keer meer af na blunder op blunder, foute voorlichting, OV chipkaart etc.
Ik meen me te herinneren dat laatst iemand zei dat digi d heel erg veilig was, ja als je zulke uitspraken doet dan kun je hierop rekenen!
Dit is BS. De 'berichten' die gevonden zijn waren allemaal Iraanse hackers; die hebben weinig waarde aan Nederlandse DiGiD gegevens (twijfel of ze uberhaubt weten wat het is).

Dit was gewoon een geval van laag hangend fruit; een CA die de beveiliging zeer slecht op orde had & die misbruikt kon worden om certificaten aan te maken zoals dat ook gebeurd is, om grote internationale targets te hitten.

Kortom: Stemming makerij dit bericht.
Aan de andere kant: Als de overheid geen waarschuwing afgeeft en er blijken toch DigiD gegevens buit gemaakt te zijn , is het ook niet goed.
Er is geen goede oplossing voor het huidige probleem.

Ik zat eerst te denken: Ok, dan zou ik ssl verkeer naar non-ssl redirecten op digid.nl (geen certificaat geladen) en dan redirect naar new-digid.nl o.i.d. met een e.v. certificaat van een andere CA, maar als er ergens anders op de wereld nog een CA gehackt is, kan die net zo goed een certificaat uitgeven voor het nieuwe domain.

Het probleem zit 'm er in dat de CA als onfeilbaar beschouwd worden en dat is dus helaas niet het geval. Zodra er een gehackt wordt zoals Diginotar gehackt is, valt het hele SSL Trust systeem om; er is namelijk geen goede manier om de trust list van een browser te updaten; als je niet met de bleeding edge versie van een browsers werkt, blijft Diginotar trusted; hier is geen goede oplossing voor.

Je zou kunnen denken dat je het via DNS als txt record mee kan geven; welke CA het certificaat moet leveren, maar voor een successvolle hack met deze fake certificaten moet je al een MitM attack doen, daardoor kun je DNS ook niet trusten.

Al met al een heel vervelende situatie; ben benieuwd of men een andere manier gaat vinden om dit op te lossen.

Je zou een soort common knowledge systeem kunnen toepassen, waarbij je peers uit de omgeving vraagt of je gegevens kloppen, maar ok dat zou je kunnen faken. Probleem is dat als je in een positie bent om deze hack toe te passen (MitM), dan je eigenlijk al het hele netwerk verkeer beheerst en er bijna geen goede verdediging meer bestaat.
Van-Z in 'nieuws: Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar'
"SSL is gevoelig zelfs wanneer de CA's niet gehackt worden: BlackHat USA 2011: SSL And The Future Of Authenticity

Mijn tip is gebruik Convergence voor spul waar je echt 'paranoide' over bent. Het principe achter Convergence zal certificaten goed- of af- keuren op basis van de resultaten uit meerdere perspectieven. Niet op basis van het feit dat een CA in 'de trusted lijst' staat. (details over de werking worden uit de doeken gedaan in "BlackHat USA 2011: SSL And the Future of Authenticitiy")
Je kan enkele simpele zaken configureren aan Convergence om tot het gewenste paranoia niveau te komen...."
Even nagezocht wat Convergence is.
"The idea behind Convergence is to download the presented SSL certificate directly and then ask a series of trusted notaries to download the certificate and give it to you as well.

You can then compare the certificates to yours to determine whether your connection is being spied upon. This allows for the user to decide who to trust, and also eliminates the need to purchase certificates or trust CAs.

Ofwel als je naar een beveiligde website gaat, haal je het certificaat op. Datzelfde certificaat haal je op bij een aantal door jouw vertrouwde "notarissen" en vergelijkt ze allemaal. Zo beslis je zelf wie je vertrouwd.

Lijkt me wel wat.

[Reactie gewijzigd door Xubby op 4 september 2011 16:11]

Welnee, da's ook niks.
Vééls te ingewikkeld voor elke niet-doorgewinterde tweaker.
Oftewel waardeloos voor 99% van de bevolking. Hetzelfde deel van de bevolking die nu ook al in spam/scam- en hoaxmails trapt.
Je bedoelt zoals RFC4398 en RFC4985? De eerste stamt uit 2006 (!!!) en in 2009 heeft oa Dan Kaminsky hier al voor gewaarschuwd. Pas bij de Comodo hack werden partijen als Google en Mozilla wakker en is de implementatie van RFC4398 begonnen, maar het zal nog even duren. Om dit goed te implementeren heb je wel DNSSEC nodig en dit is iets waar oa de OpenSSH developers in 2003 (!!!) als ik me niet vergis al tegen aan liepen om SSH-hostkeys veilig in DNS op te slaan en te gebruiken.
CMG er is wel een alternatief. Namelijk wat Google gedaan heeft. Dit artikel http://www.imperialviolet.org/2011/05/04/pinning.html is al van Mei dit jaar, maar wijst erop dat Google zich erg bewust van het gevaar van ´rogue´ organisaties als DigiNotar. Zeer lezenswaardig in het licht van de huidige onthullingen.

Google heeft straffe maatregelen genomen door voor haar eigen diensten/subdomeinen pinning te gebruiken en slechts 4 certificates te accepteren, de drie meest serieuze en hun eigen natuurlijk.. Mogelijk hebben ze daarmee al een boel schade voorkomen in Iran door dit preventief te doen.

Ze pinnen hun eigen services en acceptereren alleen certificates van max 4 authorities. Dat zou in het geval van de Nederlandse staat in mijn ogen een prima handeling zijn. De overheid zou hetzelfde dus moeten doen. Je moet je eigen overheid kunnen vertrouwen en dus ook zeker weten dat je geen MiM hebt. Google gelooft niet in het huidige systeem voor haar eigen diensten en we hebben nu gezien dat dit correct is.

Als zij geen certificate pinning gedaan zouden hebben zou dit probleem met gmail.com en google.com nooit aan het licht gekomen zijn en zou de Iraanse overheid inderdaad MiM hebben kunnen spelen. Lijkt me toch heel verstandig en prettig van zo´n cruciale search en mail service.

Daar DigIID zéér privacy gevoelige gegevens moet beschermen hebben overheden hier een taak. Ik zou google dus gewoon volgen in dit beleid..
Aan de andere kant: Als de overheid geen waarschuwing afgeeft en er blijken toch DigiD gegevens buit gemaakt te zijn , is het ook niet goed.
Dat er enkele (check het certificaat) garantie is. Is er geen enkele aanleiding dat het in gebruik is. Je weet het niet. Dat is geen veiligheid dus weg er mee.
Iran heeft directe grip op hun internet pijplijn. (iran <=> world ) Daar tussen kan je zeer gemakkelijk met een vals certificaat Alles lezen. met 1 ssl proxy 100% google.com.
Ik mag aan nemen dat dat in Nederland een flink stuk veiliger is.

[Reactie gewijzigd door daft_dutch op 3 september 2011 13:52]

Tja, ik kan me bijna niet voorstellen dat Binnenlandse Zaken dit naar buiten brengt als "Stemmingmakerij". Ik zie zo snel niet wat BiZa te winnen heeft met de betrouwbaarheid van DigiD in twijfel trekken? Wel valt er een hoop te verliezen als consumenten het vertrouwen verliezen en dergelijke producten.

Daarbij komt dat ik ook liever heb dat ze de mogelijkheid gaan onderzoeken, dan dat ze het bij voorbaat verwerpen.
Ik had het niet over BZ, maar over Tweakers.net.

Dat iemand van de overheid zegt dat 'alles mogelijk is' en dat vertalen naar:

Overheid: mogelijk DIgiD-inloggegevens gestolen door hack

vind ik wel degelijk mensen onnodig ongerust maken. Er is al genoeg aangestipt wat de mogelijkheid waren (certs genereren), waar het tot nu toe is gevonden (gmail en 200+ andere die niet genoemd zijn) en dat ze mogelijk niet alle fake certs hebben gevonden. Om dat meteen mensen bank te gaan maken met 'Mogelijk DiGiD gegevens op straat' (wat mensen lezen als een 50/50 kans) vind ik behoorlijk overdreven en op sensatie belust.
Dit gaat niet om de fake certs voor *.google.com; we wisten al dagen dat het systeem daarvoor was gekraakt. De overheid wist echter vrijwel zeker dat de PKI-Overheid-certs (die op een apart systeem worden gegenereerd) niet nep konden zijn: de overheid heeft zelfs Mozillia ertoe bewogen om PKI-Overheid-certs niet in de ban te doen (daarvoor moest aparte code worden geschreven). Daar is Mozilla ook niet blij mee: de browserbouwer wil nog een hartig woordje spreken met onze overheid.

Ik zie veel mensen impliceren dat het de Iraanse overheid was die met valse certificaten eigen burgers wilden bespioneren. Het zal wel, maar waarom is er dan op het systeem voor PKI-Overheid ingebroken? De hackers konden al certs maken voor Google, Facebook en Twitter, dus waarom wilden ze ssl-certificaten kunnen maken voor DigiD en de Belastingdienst? (voor de duidelijkheid: we weten niet of dat is gebeurd, we weten alleen dat hackers dat konden)

De overheid is heel, heel voorzichtig met dit soort meldingen: pas als het echt niet anders kan, zal het ministerie zeggen dat het beveiligingssysteem niet kan worden vertrouwd.

Ik ben geen Fox-IT-expert, maar op basis van de nu beschikbare info zou ik je afraden deze diensten te gebruiken als je browser zegt dat het certificaat is ondertekend door DigiNotar :)

[Reactie gewijzigd door arnoudwokke op 3 september 2011 13:45]

Ik ben ook geen Fox-It expert, maar ze zijn ingehuurd om een echt onderzoek in te stellen na de formele audit van Price-Waterhouse gelijk na de hack in Juli. Die laastste gingen de checklist na en die was gevolgd kennelijk. Fox-IT is hetzelfde bedrijf dat binnendrong in de diepere krochten van het Tor netwerk om het pedo netwerk van Robert M. binnen te dringen.

Zij werken ook aan een betere beveiling van de SKADA systemen die in Iran (oh ironie) zo te lijden hadden onder het Stux virus.

Dus ook al waren er mensen die dachten dat ze zich opgedrongen hadden; nee, het bedrijf is gewoon het beste dat NL in huis heeft misschien samen met Madison, maar de vookeur voor een ex-NFI club zal groot geweest zijn.

En https://www.fox-it.com//uploads/pdf/VN322011_Prins.pdf is leuk leesvoer voor tweakers. Ronald en Menno zijn authoriteiten en maken hun naam meestal wel waar.

Als je dat artikel leest zul je ook begrijpen hoe Ronald gisteren te keer zal zijn gegaan tegen over de minister en de aanwezige vertegenwoordigers van de veiligheidsdiensten. Die bijeenkomst had niet zo lang geduurd als Donner en zijn adviseurs de conclusie van het rapport in een keer overgenomen hadden. Daar zal flink gehamerd zijn door Ronald dat wat kán, meestal ook gebeurt terwijl de overheid ongetwijfeld betoogde dat er nog geen enkel misbruik van PKI overheid was vastgesteld.

Dat zie je zelfs vanmorgen terug in het persbericht: ´het systeem is gekraakt, maar misbruik is onwaarschijnlijk´ terwijl Ronald´s motto toch echt is dat een gekraakt systeem ook gebruikt is. Ik deel die opvatting. Tenzij PKIoverheid door DigiNotar exact dezelfde procedures moest doorlopen en deel was van hetzelfde digitale uitgifte loket. In dat geval kan het toevallige bijvangst zijn, maar zover ik tot nu weet heeft PKIoverheid een afwijkende, zwaardere procedure. Dan zou die dus bewust ook gehackt moeten zijn en waarom zou je dat doen als je er niet iets mee wil.

De Iraanse overheid (als die er achter zat) had het liefst natuurlijk allleen MiM willen spelen voor email verkeer en dergelijke en iedere uitbreiding van de hack naar de Nederlandse overheid zou juist meer aandacht vestigen. Kortom, ik betwijfel of zij de opdrachtgevers waren en (zie mijn post hierboven) zou het vervalste certificaat niet gewerkt hebben igv Chrome gebruikers).

Het klinkt toch meer als commerciele hackers die de buit vervolgens in stukjes verkopen.
Opdrachtgever of heler maakt niet uit; de Iraanse overheid is duidelijk over de scheef gegaan en als NL overheid zou ik ze ook direct verantwoordelijk stellen. Je hebt helemaal gelijk dat Donner en consorten nog steeds totaal clueless zijn; de persconferentie vannacht was echt een doorn in het oog van elke IT-expert ...
Zou dit nog gevolgen hebben voor ons aller EPD (electr patienten dossier)? Ik hoop van wel, krijg een beetje de buik vol van het noob-achtige (blinde ) vertrouwen dat de overheid stelt in "veilige" digitale omgevingen...
Als ik dit artikel mag geloven heeft DigiNotar zijn beveiliging al heel lang niet op orde.
http://www.f-secure.com/weblog/archives/00002228.html

Hoe kun je dan verwachten dat iemand die echt kwaad wil niet binnen komt.
Dit bedrijf lijkt zijn zaken erg slecht voor elkaar te hebben en de kans is groot dat er veel meer misbruik van gemaakt is dan wij ooit zullen weten.

[Reactie gewijzigd door R-J_W op 3 september 2011 18:47]

> zou ik je afraden deze diensten te gebruiken als je browser zegt dat het certificaat is ondertekend door DigiNotar

Helaas heb je ook nog dingen als (in de GGZ) verplichte DIS aanleveringen, waarbij een applicatie (pvm-dis) met DigiNotar certificaat wordt gebruikt.

Nog enger wordt het als ik die DIS aanleveringen verzorg voor een GGZ instelling, en voor de communicatie een apart gmail account gebruik, waarop onlangs volgens gmail is ingelogd (?!) vanaf ip-adressen uit Koeweit (178.61.161.233) en Turkije (213.248.132.245) (??!!)

Toeval?
Download Google Authenticator app & enable 2-step authentication
http://www.google.com/support/a/bin/answer.py?answer=1037451
Ik had het niet over BZ, maar over Tweakers.net.
Dat iemand van de overheid zegt dat 'alles mogelijk is' en dat vertalen naar:
Overheid: mogelijk DIgiD-inloggegevens gestolen door hack
vind ik wel degelijk mensen onnodig ongerust maken.
ONNODIG ongerust? Terwijl DigID zélf zegt dat ze de DigiNotar certificaten niet meer vertrouwd? Het is niks anders dan een herhaling van de woorden van DigID zelf.
Hoezo? Wat ik in het bericht lees is "Er valt niet voor de volle honderd procent uit te sluiten dat u als gebruiker geen risico loopt als gevolg van frauduleuze certificaten." en dat is voor zover ik begrijp toch ook zo? Ze kunnen het niet uitsluiten en waarschuwen dat het mogelijk is gebeurd.

Het systeem is (2 maanden geleden) gekraakt. De certificaten zijn blijkbaar dusdanig onbetrouwbaar dat iedereen per direct het vertrouwen heeft opgezegd, inclusief de verschillende grote browsers. Genoeg reden denk ik om twijfels te hebben.

En of iemand waarde hecht aan iemands DigiD (identity theft?) kan jij ook moeilijk bepalen, volgens mij weet jij helemaal niet wat de motivatie van die Iraanse hackers was.
Wat jij doet is net zo goed complete speculatie; het systeem is gekraakt, dat is een feit. Wie of wat het uiteindelijk gedaan heeft, en met welke intenties, is volledig onbekend. Het kan net zo goed een afleiding zijn om de suggestie te wekken dat een buitenlandse mogendheid erachter zit, het is immers nogal een 'red herring' om opvallende sporen op gehackte servers achter te laten.
Mogelijk hebben ze wel baat bij digid gegevens van (ex-)Iraanse staatsburgers.
Mogelijk hebben ze wel baat bij digid gegevens van (ex-)Iraanse staatsburgers.
sowieso, dat 'ex' bestaat niet, je bent iraans staatsburger, en daar kom je nooit meer vanaf. ook dubbel-staatsburgerschap (iraans en nederlands) wordt niet erkent. Zo is die iraans-nederlandse dame onlangs aan een te vroeg einde gekomen door het regime daar. Nederland mocht geen consulaire bijstand verstrekken, aangezien die niet erkend werd als 'partij'.

Dus, ja, je kan in theorie best wel wat hebben aan die gegevens, maar in praktijk? Ik denk niet dat er veel gegevens overheen gaan die voor het iraanse regime direct nuttig zouden zijn. Anders dan met bijvoorbeeld gmail.

[Reactie gewijzigd door arjankoole op 3 september 2011 13:49]

Oftewel, enkel waar het gevonden is daar is het een probleem? Niet gevonden is geen probleem?

Maar sowieso heb je vast wel wat NL'ers in Iran zitten (ambassade / toeristen) maar die tellen dus ook maar niet meer mee?
Dit is BS. De 'berichten' die gevonden zijn waren allemaal Iraanse hackers; die hebben weinig waarde aan Nederlandse DiGiD gegevens (twijfel of ze uberhaubt weten wat het is).
Totdat ze identiteitsfraude plegen en JIJ daarvan de dupe bent. ;)

Overigens wel ironisch, eerst werd er verteld, dat DigiD niet in het geding was, nu blijkt maar weer van wél. Hoezo falend Nederland, met nog altijd de doofpotten mentaliteit. Wanneer ziet 'ons' NL nou eens in, dat het slecht gesteld is met de beveiliging alhier. Niet alleen op ICT / digitaal gebied, maar ook met dingen als een Alberto Stegeman, die 'gewoon' bij dingen kon komen op Schiphol, die naar binnen kon komen bij een militaire basis.

[Reactie gewijzigd door CptChaos op 3 september 2011 14:27]

Kortom: Stemming makerij dit bericht.
Dit artikel van tweakers.net is inderdaad stemmingmakerij, vooral de titel. Ik snap wel dat je een off-topic/irrelevant status krijgt daar een groot aantal reacties op tweakers.net vaak meer stemmingmakerij is dan een inhoudelijk technische discussie die een tweaker waardig is.
Hoezo stemmingmakerij? DigID zélf zegt ook dat ze de DigiNotar certificaten niet meer vertrouwd. Kortom, de titel van dit tweakers-artikel is gewoon een herhaling van woorden.

[Reactie gewijzigd door kimborntobewild op 5 september 2011 05:41]

Natuurlijk is het mogelijk, maar alles wijst er vooralsnog op dat het de Iraanse overheid was, en die wilden 'enkel' hun volk bespioneren..
Er is ook nog zoiets als de rechten van de mens. Maar daar wordt in Iran heel ruim omgegaan. Lijkt me niet dat je daarbij mee wil helpen.
Jij denkt dat er geen mogelijke spionage acties zijn ondernomen als men doorhad hoever dit ging? Nederland is internationaal gezien nog best een interessant land en aangezien deze certificaten ook gebruikt werden tussen overheidsdiensten in...
En wat dacht je van nederlandse "iraniers".
Veel van die mensen zijn natuurlijk een doorn in het oog van de iraanse "overheid".
(die bestaat in feite niet, het land word geregeerd door religieuze facties).
Dit was natuurlijk de ideale mogelijkheid om wat meer info te vergaren over deze "dissidenten".
Wat ik niet helemaal snap is dat op dit moment zowel Opera als IE9 geen fout geven bij digid.nl en dat ik uberhaupt mag inloggen van de digid website.
De sites moetne gewoon plat, want nog steeds kunnen inloggegevens gejat worden, ook met het slotje waar de overheid op een zeker moment op hammerde. Hoe vervelend ook, ze moeten nu niet toestaan dat je gevoelige informatie naar die sites stuurt.
Site platgooien heeft geen zin. Als er certificaten voor b.v digid zijn vervalst dan zijn die alleen bruikbaar als je een fake site opzet met die fake certificaten. als de originele site uit de lucht is maar de fake site niet geven mensen nog steeds hun gegevens.

Certificaten terug trekken en vervangen door nieuwe is dus de enige oplossing.
Hypothetisch is nu een correcte DNS de enige manier om zeker te weten dat ik met digid verbinding maak. Mocht de DNS server gecompromiteerd zijn is er voor mij geen enkele manier om te verifieren dat de connectie veilig is.

Nu geloof ik de DNS server van ziggo nog wel, maar denk eens aan open wifi? Daar is het helemaal niet zo moeilijk om nu de verbinding te onderscheppen en via een malafide site door te sturen. Daarom is het onverstandig om de site omhoog te houden.
Het is sowieso nooit verstandig om via een onbekend, en dus onvertrouwd, (open) WiFi-netwerk te surfen zonder gebruik te maken van een getunnelde verbinding. Dus ook nu niet.

DNSSEC zou mogelijk een oplossing bieden: publiceer het fingerprint van het certificaat dat voor een bepaald (sub)domein wordt gebruikt in je DNS. DNSSEC voorkomt dan dat de aanvaller deze fingerprint ook kan manipuleren. Je browser kan dan controleren of het fingerprint van het certificaat dat de verbinding moet beveiligen gelijk is aan dat wat in de DNS gepubliceerd is.
Het is sowieso nooit verstandig om via een onbekend, en dus onvertrouwd, (open) WiFi-netwerk te surfen zonder gebruik te maken van een getunnelde verbinding.
Waarom zou het dan wel verstandig zijn om via een bekend] WiFi-netwerk te surfen zonder getunndelde verbinding?
Waarom zou een fake site nodig zijn? Helemaal niet! Deze certificaten worden gebruikt voor een Man-in-the-Middle aanval, waarbij de verbinding dus afgetapt wordt. Om ervoor te zorgen dat de browser in zo een geval geen waarschuwing geeft bij een SSL-enabled site, moet het certificaat dat gebruikt wordt door deze man in het midden ook geldig zijn. DigiNotar certificaten zijn dat, dus krijg je geen melding.

Een fake site is veel te veel werk, het enige dat nodig is, is dat je de verbinding moet kunnen "omleggen". En overheden kunnen dat. Iran ook. Voor Iraniërs dan.
Waar ik nog het meest van baal dat ik een melding heb gemaakt
bij de overheid dat ik niet in het E.Patienten Dosier wilde,
omdat bij een eventuele kraak/hack mijn gegevens op straat zouden liggen...
Die hele E.P.D. zaak is niet doorgegaan, maar ik sta nu geregistreerd ! }:O
omdat ik me niet wilde registreren ;)
Je staat al geregistreerd, EPD is niets anders dan een systeem om deze gegevens te koppelen.
Helaas sta je standaard in dat systeem.
Het enigste wat weigeren doet is een vlaggetje zetten zodat je dokter of whatever niet bij je gegevens kan.
Maar reken maar dat politie/ geheime dienst etc er wel degelijk bij kunnen..
Vergelijk het maar met de dienst nummer onderdrukking. De normale gebruiker ziet inderdaad nummer onbekend. Maar 112 ziet ten alle tijden het nummer. Dit is natuurlijk ook nodig mocht iemand bellen met nummeronderdrukking die in nood is. De politie kan zo ook heel snel grapjassen achterhalen die het nummer misbruiken. Het is gewoon een kwestie van een vinkje zetten in de software.

Maar heb niet de illusie dat je niet bekend bent in het systeem alleen omdat je een formuliertje hebt ingevuld dat je dat niet wilt.

[Reactie gewijzigd door arbraxas op 3 september 2011 13:31]

Inderdaad, en reken ook maar dat bij 90% van de websites waar je op een 'delete'-link kunt klikken er alleen een 'active' vlaggetje op 0 gaat staan in de database.
Maak je niet ongerust die EPD komt er wel, al is het onder een andere naam. Zo gaat dat hier in Nederlands is het niet linksom dan wel rechtsom. :/
Heel fijn dat Fox-IT dit allemaal heeft onderzocht. Toch zou ik graag een second opinion van Madison Gurkha zien. We hebben in Nederland twee bedrijven op dit gebied, waarvan ik denk dat ze vaker samen ingezet moeten worden. Zeker als het voor de overheid is. Liever dubbel en zeker.

Ook lijkt het mij niet meer dan redelijk dat Diginotar opdraait voor de kosten die nu door de overheid gemaakt moeten worden. Zeker omdat ze 'vergeten' zijn aangifte te doen van de hack en zover de berichtgeving klopt, in eerste instantie verzuimt hebben de overheid in te lichten.

[Reactie gewijzigd door FireWire op 3 september 2011 13:14]

Pff wat een rotzooi zeg. Wat ik nu overal gelezen heb is dat Diginotar echt alle mogelijke beginners- (amateurs?)fouten gemaakt heeft heeft omtrent hun beveiliging. Kostenplaatje loopt ook weer lekker op natuurlijk; alle helpdesks van overheidorganen maar bijvoorbeeld ook die van Digid moeten allemaal langer open blijven.

Waar zou juridisch nu de verantwoordelijkheid liggen? Diginotar lijkt me wel de digitale sjaak toch?

We zouden gister eigenlijk een gastcollege van govcert krijgen maar die konden helaas niet komen omdat ze oa al deze zaken aan het inventariseren/opruimen waren.
If you're not paranoid doesn't mean they are out to get ya!

Vind het al heel wat dat ze het gewoon zo naar buiten brengen. Ontkennen had alleen nog maar meer olie op het vuur gegooid.

Voor al de mensen die nu hun DigiD gegevens willen veranderen. De site bevat nog steeds een mogelijk vals certificaat.

Op dit item kan niet meer gereageerd worden.



Populair: Mobiele netwerken Gamecontrollers Game-accessoires Smartphones Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013