Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 133 reacties, 41.680 views •
Submitter: Icingdeath

Bij de hack op de systemen van het Beverwijkse DigiNotar blijken in totaal meer dan 500 valse certificaten te zijn gegenereerd. Bijna een kwart van deze certificaten werd uitgegeven nadat DigiNotar de hack zelf medio juli had ontdekt.

Dit blijkt uit gegevens die Tor-ontwikkelaar Jacob Appelbaum van de Nederlandse overheid heeft ontvangen. Eerder vandaag heeft Appelbaum contact gehad met de Nederlandse overheid, waarna hij een lijst met maar liefst 531 certificaten heeft ontvangen die mogelijk zijn vervalst. Eerder werd nog uitgegaan van hooguit 250 stuks, nadat in de nieuwste Google Chrome-versie 247 certificaten van DigiNotar werden geblokkeerd.

In overleg met de Nederlandse overheid heeft de ontwikkelaar besloten de volledige lijst met getroffen certificaten te publiceren. "Het is geen mooie lijst en ik heb besloten dat ik deze ga vrijgeven. De mensen met wie ik heb gesproken van de Nederlandse overheid zijn het eens met deze actie."

Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA. Saillant detail is dat deze laatstgenoemde organisatie ooit verantwoordelijk was voor de oprichting van DigiNotar.

"De ergste certificaten zijn uitgegeven voor *.*.com en *.*.org, terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn", stelt Appelbaum. "De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA', al kunnen we niet bepalen of ze er in zijn geslaagd om onderliggende CA-certificaten uit te geven."

Uit een snelle inventarisatie van de lijst blijkt dat 124 certificaten zijn uitgegeven nadat DigiNotar medio juli de hack ontdekte. Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten, maar nog heeft door laten draaien nadat de aanval werd ontdekt. Een andere mogelijke verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server.

DigiNotar was één van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot aan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op.

Browsers zullen binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken. De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies is echter niet waterdicht: browsers geven nu nog geen foutmelding als het gebruikte certificaat van DigiNotar is. Bovendien werken sommige mensen met een browser die niet up-to-date is en dus helemaal geen melding zal geven.

Ondertussen zit de overheid niet stil en wordt er voor PKIOverheid CA gewerkt aan een overstap naar Getronics PinkRoccade voor DigiD. Deze overstap is technisch nog niet gereed, al meldt het certificaat al wel dat deze vanaf 4 september geldig is. Opvallend is dat het certificaat tot 1 januari 2012 geldig is. Het is niet bekend of het om een tijdelijke maatregel gaat.

Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen of dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen.

DigiD-certificaat Getronics

Gerelateerde content

Alle gerelateerde content (34)

Reacties (133)

Reactiefilter:-11330130+185+27+30
Moderatie-faq Wijzig weergave
"Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA."

Ik denk dat geen enkel certificaat die de naam 'DigiNotar' draait nog te vertrouwen is. Juist in de wereld van beveiliging van cruciaal belang voor het bestaansrecht van de betreffende onderneming.

DigiNotar heeft niet alleen haar eigen bestaansrecht ondermijnd, maar ook die van de gehele CA-markt. Voor zover ik het nieuws de afgelopen jaren heb gevolgd, heeft er nog nooit een dergelijk 'schandaal' voorgedaan met betrekking tot deze certificaten. De 'onomstotelijke betrouwbaarheid' van de branche is ondermijnd. Wellicht niet terecht, maar er zal nooit meer op dezelfde manier naar CA-organisaties gekeken worden.

Het doet me enigszins denken aan hogeschool InHolland. Ook al heb je precies hetzelfde gedaan als een student van een andere hogeschool, de naam zal altijd een negatieve lading hebben, waardoor je een 'streepje achter' hebt op de rest. Zo zie ik de situatie ook in met betrekking tot de CA-branche.
Er is een eerder geval geweest van een CA die gehackt is, de low cost certificate provider Comodo. Die hebben het echter gelijk gemeld en zijn daarom niet in de ban gedaan.
( http://www.f-secure.com/weblog/archives/00002128.html)

Dus voorlopig staat de branche nog wel overeind ook al verwacht ik dat we in de toekomst naar browser pinning gaan op een beperkt aantal CA´s, dus een oligopolie ipv open concurrentie. Dat laatste leidt tot prijsdumping en dat is moeilijk te verenigen met een goede beveiling.

Dat het DigiNotar niet opviel dat Google nooit klant was is vreemd. Dat ze na de hack geen kas zagen om zelfs maar hun eigen output te bekijken is een mirakel. Elke stageaire had op Maandagochtend toch even de uitgegeven certifcaten voor:
skype
facebook
yahoo
wordpress
twitter
login.livemail
mi6
cia

etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.

Als de Iraanse overheid de DNS servers omgeleid had naar eigen adressen met deze certificaten hadden ze dus als man in the middle als eerste bericht van ieder kritisch bericht aan de bovenstaande clubs. Er zijn daar no doubt doden gevallen om hier een paar centen te besparen.

Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie. Dit ast een civiele procedure tegen de eigenaar.

Overigens is dit nog lang niet opgelost door te revoken. Het internet cafe waar je als dissident binnenwipt, het bedrijf waar je werkt hebben beiden waarschijnlijk nog oude un upgedate browsers en Safari schijnt niet te weten hoe revocation moet. Dat laatste weet ik niet zeker, maar het wordt alom bericht.

(edit bron voor mijn laatste claim http://revoke.info/revoke...sl-certificates-properly/)

(edit2: zojuist word bekend dat van een aantal bekende sites de DNS adressen gewijzigd zijn door vermoedelijk Turkse hackers. Heeft niet direct met DigiNotar te maken, maar de combi vervalste certificaten en DNS hacks is explosief. Zie http://nakedsecurity.soph...legraph-register-ups-etc/)

[Reactie gewijzigd door max3D op 5 september 2011 00:56]

etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.
Je snapt blijkbaar niet hoe certificaten werken.

Een certificaat dat uitgegeven wordt krijgt (direct of indirect) een digitale handtekening van een root CA. maw het volstaat om de private key van het root CA te hebben om eender welk certificaat te tekenen.

In mensentaal: een willekeurig CA heeft een referentie naar het root CA, maar het root CA heeft geen enkele verwijzing naar alle CA's die het heeft goedgekeurd.
Eens de private key buitgemaakt is, heeft de uitgever van het root CA helemaal geen enkele controlemogelijkheid meer over wat er met het certificaat gebeurt. De enige actie die kan (en moet) genomen worden is het root CA revoken/terugroepen en opnieuw beginnen.
Voor het eerst dat ik nu (ook) de mensentaal versie snap.

Dit betekent dan dat dus ook dat 'tussen certificaten', waarvan de private key gestolen is, niet te vertrouwen zijn, ook al is het root certificaat nog wel te vertrouwen (bijv. van VeriSign). Alleen een private key van een bovenliggend certificaat is voldoende(?).
Dat is wel erg drastisch, let wel dat DigiNotar in feite wel de juiste procedure gevolgd heeft. Nadat ze de hack opgemerkt hebben is de overheid bericht en heeft het een onafhankelijke audit laten uitvoeren. Je kan ook wel stellen dat PWC hier de bal flink heeft laten vallen, dat die niet meer vuur aan hun schenen gelegd wordt in de media valt mij erg op. Als betaalde auditor mag je toch verwachten dat na een dergelijk voorval ingeschakeld te worden ze secuurder te werk gaan.
Audit kijkt alleen of de procedures goed zijn. Als je gehacked bent is een audit van je procedures totaal niet voldoende.

Waar staat trouwens dat ze de overheid toen hebben ingelicht? Ik heb dat niet gezien.
Audit kijkt alleen of de procedures goed zijn. Als je gehacked bent is een audit van je procedures totaal niet voldoende.
Als het goed is kijkt een audit naar de procedures en naar de inhoud. Als m'n vriendin een audit kreeg op de afdeling waar ze leiding gaf, werd er ook naar de procedures gekeken, en naar de inhoud van bepaalde dossiers. (steekproef, random aantal dossiers werden gedefineerd, en opgevraagd, waarvan dan zowel het digitale exemplaar als de papieren versie werden ingezien)

[Reactie gewijzigd door arjankoole op 5 september 2011 09:03]

Nadat ze de hack opgemerkt hebben is de overheid bericht en heeft het een onafhankelijke audit laten uitvoeren.
en
Onduidelijk is waarom Diginotar, een onderdeel van beveiligingsbedrijf Vasco Data Security, niet eerder heeft aangegeven dat zij honderden certificaten ongeldig hebben moeten verklaren. De eerste hacks blijken namelijk al op 19 juli ontdekt te zijn. Ook de gedupeerde bedrijven zijn door de organisatie niet geÔnformeerd totdat het nieuws naar buiten kwam via een Iraanse dissident.

Ook deed het bedrijf geen aangifte van de inbraak, maar belde het deze week met het Openbaar Ministerie dat daarop direct een onderzoek gelastte. Het bedrijf doet naar verluidt maandag aangifte. Diverse advocaten wijzen erop dat het niet melden strafbaar kan zijn als blijkt dat als gevolg van de hack mensen iets overkomt.
De tweede quote komt van Nu.nl

Het verhaal is eigenlijk deze week pas naar buiten gekomen. Bijna twee maanden na de hack. Lijkt mij niet meer in de categorie 'in feite de juiste procedure gevolgd'.

[Reactie gewijzigd door Jester-NL op 5 september 2011 07:41]

Dat hangt natuurlijk af wat de vraag aan PWC was... als PWC alleen gevraagd is om de processen te beoordelen is het niet gek dat ze geen beveilingslek hebben gevonden.
Voor een dissident is het per definitie niet voldoende om te vertrouwen op de echtheid van certificaten. Een dissident zou eigenlijk een lijstje legitieme fingerprints van certificaten moeten hebben om die te controleren. Dat biedt de meeste zekerheid, zeker in het geval van internetcafť's.

Als een internetcafť of bedrijf op last van de overheid een aantal root- of intermediate-certificaten in de certificate-store van hun computers installeert dan ga je alsnog nat. De desbetreffende overheid kan dan alsnog klakkeloos alle certificaten genereren die ze maar willen, al dan niet met de gegevens uit de legitieme certificaten. De diverse velden uit een certificaat zijn kinderlijk eenvoudig in te vullen met de gegevens uit een legitiem certificaat. Alleen de fingerprints e.d. zijn in principe niet na te maken...
Echter verwacht je dan dat elke dissident/terrorist/protester volledig op de hoogte is van digitale veiligheid... Volgens mij is dat een beetje te optimistisch, zeker als je kijkt naar de stand van techniek in betreffende landen.
Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie.
Ik ben geen jurist, maar ik denk niet dat je ze daarvoor veroordeeld krijgt zonder een concreet slachtoffer aan te wijzen. Hoewel het absoluut mogelijk is dat er inderdaad doden zijn gevallen, dat ga je niet kunnen bewijzen (niet zonder de medewerking van Iran, die ze natuurlijk niet gaan geven). Ik vrees dat de "beste" aanklacht waar je ze op veroordeelt zou kunnen krijgen "grove nalatigheid (zonder aantoonbare, niet-financiŽle schade)" is.
de vergelijking( en de concklusie) mbt hogeschool inholland vindt ik wat raar.
en zeker onterecht. uiteindelijk is elke afgestudeerde een individu,en geen enkele afgestudeerde is zomaar Łitwisselbaar"met een andere, qua prestaties, kennis of kwaliteit.

dat je een bepaalde hogeschool hebt doorlopen zegt dus feitelijk niets.
ik mag tenminste hopen dat bedrijven iemand niet uitsluitend als een "papiertje" zien, wanneer ze iemand aannemen. waar zijn anders al die uitvoerige procedures voor met solliciteren. dan zou alleen het CV belangrijk zijn.
Ik denk eerder dat gewoonweg GEEN enkel CA certificaat van wie dan ook nog betrouwbaar is, want wie geeft ons garantie dat de andere providers ook niet gehackt zijn (geweest).
Ik denk eerder dat gewoonweg GEEN enkel CA certificaat van wie dan ook nog betrouwbaar is, want wie geeft ons garantie dat de andere providers ook niet gehackt zijn (geweest).
Het is dan ook op vertrouwen gebaseerd. En ik vertrouw anderen heus wel, tot het tegendeel is bewezen.

De root certificaten van diginotar echter, staan bij mij inmiddels handmatig op 'never trust' in de key chain.
Het is dan ook op vertrouwen gebaseerd. En ik vertrouw anderen heus wel, tot het tegendeel is bewezen.
Gezien meerdere commerciŽle Root CA's (inclusief de grootste op de markt) al meerdere malen bewezen hebben niet erg betrouwbaar te zijn, kan je dan maar beter niet al te veel vertrouwen hebben in de meeste SSL-certificaten...
Getoonde certiticaat DigiD is SHA-1 certificaat

Mogen niet langer geldig zijn dan tot eind 2011 volgens PKIOverheid en certificerings richtlijnen.

Verdouderde systemen/browsers kunnen nog niet goed met veiliger opvolger SHA2 omgaan.
Opera keurt hier ook het niet ondersteunen van TLS-renegotiation af, het lijkt erop dat er nog wat werk is voor de beheerders van as.digid.nl.
Sowieso is Opera wel handig want die hoef je niet te patchen voor deze wijziging, gelukkig. Daar werken de certificaten iets anders en checkt Opera online of ze wel/niet ingetrokken/betrouwbaar zijn op het moment van het benaderen van de website. Zal wel lullig zijn voor al die niet gepatched browserts. Misschien moeten die ook 's na gaan denken over het systeem van Opera.
convergence.io implementeerd een soortgelijk systeem in Firefox en Chrome.
Dat doet MSIE9 volgens mij ook al.
De DigiNotar website is verre van up-to-date over de gang van zaken. Niet eens een verklaring. Dus nog steeds geen openheid van zaken. In principe is de webshop zelfs gewoon open.

De ironie: Als je op dit moment bij Diginotar een SSL certificaat wil aanvragen, dan wordt je naar een beveiligde verbinding op diginotar.nl geleid - en die geeft je browser dus als untrusted.

Ik denk niet dat er met deze aanhoudende opstelling veel mensen medeleiden zullen hebben als dit ze de kop kost. Er vanuit gaande dat ze niet nog wat mooie claims krijgen. De fout ingaan kan overal gebeuren, wat ťcht telt is hoe je ermee omgaat. Bizar dat ze zelfs nķ die les nog niet geleerd hebben.
tja, het is toch wel afgelopen nu met diginotar, dus waarom zouden ze nog moeite steken in een verklaring geven.
Wie gaat er mee aandelen kopen? Schijnen niet zoveel waard meer te zijn... :P
Wie gaat er mee aandelen kopen? Schijnen niet zoveel waard meer te zijn... :P
En wat wil je in hemelsnaam met die aandelen? ze zullen niet meer waard worden. Bovendien is Diginotar eigendom van het Amerikaanse Vasco ( wat me een security risico voor de overheid lijkt, gezien de patriot act).
Goed, ik ben noob op dit gebied. Maar is de Iraanse overheid nu de belangrijkste verdachte? Wij hier allemaal zorgen maken over OVchip, slimme meter, rekeningrijden, terwijl buitenlandse overheden gewoon even het systeem hacken.
Ja dat vind ik ook zo vreemd, iedereen wijst met de vingers richting Iran. Maar niemand die ze er ook echt hard van beschuldigd en een internationale sancties op zet. :( Het mag internationaal blijkbaar allemaal!

We zullen nog druk hiermee bij de gemeente worden... :z
Of particular note is this certificate:
CN=*.RamzShekaneBozorg.com,SN=PK000229200006593,OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam,C=IR

The text here appears to be be an entry like any other but it is infact a calling card from a Farsi speaker. RamzShekaneBozorg.com is not a valid domain as of this writing.

Thanks to an anonymous Farsi speaker, I now understand that the above certificate is actually a comment to anyone who bothers to read between the lines:
"RamzShekaneBozorg" is "great cracker"
"Hameyeh Ramzaro Mishkanam" translates to "I will crack all encryption"
"Sare Toro Ham Mishkanam" translates to "i hate/break your head"
Uit de link naar de lijst...
We moeten eens stoppen met het wijzen naar partijen zonder dat we bewijzen hebben. Iran is momenteel nog 'maar een verdachte'. Laten we er niet meteen de dader van maken zonder die bewijzen.

En ja ik heb de pastebin gezien maar dit zegt natuurlijk niks. Iedere halve gare kan plaatsen op pastebin wat die wilt.

Of is er ander bewijs waar ik nog niks van af weet?
Of we moeten wel meteen Iran als dader zien, het is immers modern het principe 'schuldig totdat het tegendeel is bewezen' te gebruiken in plaats van het wettelijke 'onschuldig totdat het tegendeel is bewezen'.
Maar niemand die ze er ook echt hard van beschuldigd en een internationale sancties op zet. Het mag internationaal blijkbaar allemaal!
Nee, het mag internationaal absoluut niet. Maar je moet onomstotelijk bewijs hebben, zeg maar gerust: bewijs dat een rechtzaak zonder meer overleefd.

Wijzen naar Iran is al 'zwaar' in diplomatieke kringen, op dit moment verder gaan dan dat is dom, want dat kost je op latere momenten veel als je het niet kunt hard maken.
Net zo onomstokelijk als de WOMD die Irak zou hebben, bedoel je?

Het was natuurlijk te verwachten dat Iran zich niet onbetuigd zou laten, zeker niet nadat ze zelf slachtoffer zijn geworden van een trojan die er op gericht was om hun nucleaire programma te ondermijnen. Wie kaatst kan de bal verwachten, toch?
Deze hackactie is natuurlijk geen reactie op de trojan.
Deze hack is puur een spionageactiviteit op de eigen burgers om eventuele opstanden a la Egypte en Libie op voorhand de kop in te drukken. De democratie in Iran is niets meer dan een lege huls.
Waarschijnlijk kunnen ze wel zien waarvoor de meeste vervalste certificaten gebruikt zijn. En dat was waarschijnlijk om het Iraanse volk in de gaten te houden. En als je dat ziet kom je snel tot de conclusie dat Iran de dader is. Maar dat is geen bewijst en de regels die hier gelden betekenen niets in Iran.
Zover ik weet is de bal gaan rollen doordat iemand in Iran opmerkte dat er iets raars wat met het certificaat dat gebruikt werd.
Daarmee is dus gelijk gezegd dat de overheid (of in ieder geval de provider waar de datalijn liep) de boel belazerde met een nep certificaat.
Ik heb nog nergens toonaangevend bewijs gezien dat de Iraanse regering hier achter zit. Voor hetzelfde geld ..... Ik zeg maar niks als anti-amerika zijnde O.o

[Reactie gewijzigd door Vigilans op 5 september 2011 21:15]

Beter is om gewoon de aanwezige beschikbare data voor zich te laten spreken en die zegt op dit moment vrij weinig, behalve dat er fraudulente certificaten uitgegeven zijn names een of meerdere personen c.q. groepen. Iran is een verdachte omdat ze in het verleden via Comodo al eerder certificaten buit gemaakt hebben.

Een vooringenomen mening zoals je jezelf "anti-Amerikaans" noemt helpt sowieso niet.
De Google bugreport is anders behoorlijk duidelijk. Verkeer van gebruikers van een Iraanse ISP werd omgeleid en een Diginotar certificaat werd gebruikt om te voorkomen dat klanten het omleiden van verkeer zouden opmerken.
En andere instanties zoals de CIA of FSB zouden hier niets mee te maken 'kunnen' hebben ?

De politieke wereld is nooit betrouwbaar geweest, als het om "zwartmaken" van anderen gaat
Ik ben geen doemdenker, of aluhoedje-vouwer maar wie garandeert ons dat de CIA geen server geplaatst heeft bij betreffende Iraanse ISP.

Of erger, Diginotar is in handen van de Russische geheime diensten, en Comodo was destijds 'maar' een oefening.

Laat onderzoeken uitwijzen wat en waarom het gebeurt is, wat mij kwalijk lijkt is dat pas anderhalve maand NA ontdekking de grootte aan het licht komt, en fout op fout naar buiten komt
Ahmadinejad wil hier natuurlijk wel gratis met de trein! En zorgen dat het rekeningrijden niet werkt want hij wil natuurlijk ook olie blijven verkopen.
"De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA'"

Kan iemand uitleggen hoe dit mogelijk is? Je hebt dan toch de private signing key van Verisign/Thawte nodig?
Dat vraag ik mij idd ook af.
Het lijkt mij niet mogelijk om je certs te signen onder een andere autoriteit dan jijzelf.
Hier berust het hele vertrouwensprincipe op.

Toevoeging:
Ah, wat ik op kan maken uit die gepubliceerde lijst is de dignotar CA gebruikt om nagemaakte CA's van andere autoriteiten te signen. Een stukkie verder omlaag in de chain, dus.

[Reactie gewijzigd door jon.kiji op 4 september 2011 23:53]

Ze hebben simpelweg certificaten uitgegeven met als naam 'Verisign Root CA'. Deze linkten dus nog altijd naar de Diginotar CA, en zijn technisch gezien niets anders dan de certificaten die gemaakt zijn voor (bijv.) google.com.

De root van Verisign en Thawte zijn dus niet 'beschadigd' :)
Misschien heeeel misschien snappen er nu een aantal mensen dat ik nog
niet aan de DigiD ben.

Als IT'er heb ik een gouden regel
Alles is te kraken, er bestaat niet zoiets zoals eVeilig(heid)

Het is niet negatief jegens techniek bedoeld maar de overheid maakt er elke keer
een rommeltje van dus DgiD Nee bedankt.
Als je dit aangrijpt om DigiD in zijn geheel te bombarderen, dan snap je niet de strekking van dit hele debacle. DigiD is maar een van de gebruikers van certificaten ondertekend door DigiNotar, en zij zijn inmiddels overgestapt op certificaten ondertekend door een andere leverancier.

Daarbij, er is, tot zover, nog geen vervalst certificaat voor as.digid.nl bovengekomen. Enkel is het vertrouwen opgezegd in DigiNotar, en browsers zouden hier in de afgelopen dagen een melding van kunnen hebben gemaakt wanneer je van DigiD gebruik wilde maken.
Ja, alles is te kraken. Maar dat geldt even zozeer niet-digitale zaken. Dus DigiD (en andere gevoelige onderwerpen als elektronisch patiŽnten dossier en eHerkenning) zijn niet onfeilbaar, maar mijns inziens is de vraag of het een beter alternatief is ten opzichte van het papieren-systeem. Persoonlijk denk ik van wel, maar ik ben het met je eens dat er een gevoel van absolute veiligheid omtrent digitale zaken is/wordt gecreŽerd die onterecht en zelfs gevaarlijk is. Of dat onkunde, politiek, commercie of een combi hiervan is, weet ik niet maar dit soort berichten zullen nog wel vaker voorkomen. Helaas want wat mij betreft: DigiD Ja maar wel verstandig :)
En ik vind het ronduit knap dat je als IT'er niet aan de elektronische overheid bent. Alles is te kraken, klopt en dat is zeker ook het geval bij papieren overheid, denk aan fraude, valsheid in geschriften. Ik denk dat het kortzichtig is om niet met de tijd mee te gaan ("vroeger was alles beter" manier van redeneren). Ja, waarschijnlijk is papier nu veiliger, omdat het een uitzondering betreft. Als jij graag wil betalen voor een papieren overheid mag jij dat doen. Ik denk dat we helemaal geen slecht beveiligingsstelsel hebben rond overheid zaken, het is meestal goed geregeld en als het fout gaat is het aardig vlot verholpen. De techniek achter certificaten ziet goed in elkaar alleen rust het voor een deel op vertrouwen, dat vertrouwen is nu geschaad, maar dat moet geen groot probleem opleveren. Pas als iedereen het vertrouwen opzegt hebben we een groter probleem.
Een IT'er ziet waar het fout kan gaan, maar kan daardoor ook zien hoe het juist wel moet (kan controleren of het goed gedaan wordt of niet) en kan dus zo prima veilig over het internet met de overheid.

[Reactie gewijzigd door haneev op 5 september 2011 00:27]

Knap voor je, want sommige dingen bv bij de gemeente zijn niet eens meer te regelen zonder digid. Ook je inkomstenbelasing aangifte is niet zonder DigiD te regelen, dus hoe jij je aangifte hebt gedaan is mij een raadsel..
Je kunt de risico's beperken, door SMS-authenticatie aan te vinken.
Je krijgt dan, bij het doen van electronische aangifrte, een SMS met een code. Ook dat is te ondervangen, maar dan moeten ze wel het bij DigiD bekende nummer van jouw mobiel hebben.

100% veiligheid is natuurlijk een illusie, maar je kunt als consument natuurlijk zelf ook opletten. Overigens ben ik wel van mening dat de overheid ondersteuning voor verouderde, brakke browsers (denk aan IE 6) moet staken.
Het feit dat de Overheid "idereen" wil/moet kunnen bedienen heeft IMHO \o zijn grenzen.
Helemaal gelijk Ik neem dan ook aan dat je net als ik je aangifte biljet persoonlijk gaat overhandigen aan je belastinginspecteur en je hem onder toeziend oog van een notaris laat tekenen voor ontvangst. Want ze zouden je aangifte toch eens vervalsen of erger nog je APK status van je auto opvragen.......
Gewoon selectief mee omgaan, ik gebruik DigiD alleen voor mijn electronische aangifte bv
"terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn"

Welja, een miljard potentiele doelwitten. Helemaal niet schadelijk, toch?
De windows updates packages zijn zelf nog eens door Microsoft digitaal ondertekend.
Dit is niet met een SSL certificaat te spoofen.
De windows updates packages zijn zelf nog eens door Microsoft digitaal ondertekend.
Dit is niet met een SSL certificaat te spoofen.
Ware het niet dat certificaten ook gebruikt kunnen worden om software pakketten digitaal te tekenen. als ze toegang hadden tot de CA, kunnen ze ook software certificaten genereren.
Ware het niet dat certificaten ook gebruikt kunnen worden om software pakketten digitaal te tekenen.
Ik neem aan dat updates van Microsoft ondertekend moeten zijn door Microsofts certificaten, en niet door Diginotars certificaten?
als ze toegang hadden tot de CA, kunnen ze ook software certificaten genereren.
Iedereen kan softwarecertificaten genereren, dat wil nog niet zeggen dat ze geaccepteerd worden ;)
Zo ver ik altijd Windows update heb begrepen vertrouwt het alleen certificaten die ondertekent zijn met een Microsoft CA. Dus https://windowsupdate.microsoft.com/ zou geen foutmelding geven, maar de 'window update' software juist weer wel.
Zo ver ik altijd Windows update heb begrepen vertrouwt het alleen certificaten die ondertekent zijn met een Microsoft CA. Dus https://windowsupdate.microsoft.com/ zou geen foutmelding geven, maar de 'window update' software juist weer wel.
Dat hangt er vanaf. Als het certificaat op 'explorer.exe' is uitgegeven door Microsoft CA, die uitgegeven is door de (gehackte) DigiNotar CA, dan kan het nog steeds. Dat is afhankelijk van hoe Microsoft het geÔmplementeerd heeft. Als Microsoft tevens verreist (en dat verwacht ik wel) dat Microsoft CA de absolute ROOT CA is (dus niet uitgegeven door iemand anders) dan kan 't. Tevens zullen ze 't vast hebben gepint op een key fingerprint.
Als ik (met firefox) naar windows update site ga... krijg ik een "niet vertrouwde verbinding" melding.

Dat klopt dus niet helemaal. (SSL-Cert is wel van Microsoft trouwens)
Windows Update Certificaten zouden alleen werken waar de overheden de controle tot het internet in handen hebben, zoals in Iran. En dan nog alleen onder zeer uitgekiende omstandigheden. Er is NOG geen bewijs dat het daadwerkelijk gelukt is een Windows Update vals te verspreiden. Ook is de digitale handtekening van Microsoft zelf niet gecompromitteerd. {/afkloppen}
http://webwereld.nl/nieuw...mijnt-windows-update.html
"terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn"

Welja, een miljard potentiele doelwitten. Helemaal niet schadelijk, toch?
Met *.*.com en *.*.org kan SSL-verkeer naar alle .com en .org domeinen onderschept worden, inclusief windowsupdate.microsoft.com. Met die wildcard certificaten kan dus hetzelfde als met de windowsupdate certificaten, en meer. Dus ja, die zijn per definitie schadelijker.
Helemaal niet schadelijk, toch?
In het artikel staat "in vergelijking minder schadelijk", wat een prima verwoording is. Jij bent degene die daar "niet schadelijk" van maakt.
Wat ik mij afvraag: Het gaat bij deze hack dus om valse certificaten waardoor in een browser een mogelijk vals gevoel van veiligheid gecreŽerd kan worden. Maar je moet dus in tweede instantie, naast het certificaat, ook de browser kunnen vertrouwen.
Browsers downloaden gebeurt van sites (voor zover ik weet) zonder beveiligde verbinding. Een kwaadwillende partij met voldoende middelen (een Iraanse regering bijv.) kan dan toch ook zonder problemen deze onbeveiligde sites spoofen en een eigen versie van een browser aanbieden waarmee het hacken van CA's helemaal niet meer nodig is?
Of snap ik er iets niet :? ?
Juist en Firefox is zelf al meerdere malen hiervan de pineut geweest, omdat het opensource is en mensen domweg geloven dat ze de mozilla build downloaden van firefox.. daarom, browsers sowieso alleen maar downloaden van de officiele site..
Inderdaad, maar als die officiŽle site voor het downloaden een onbeveiligde verbinding gebruikt, kun je er dus niet op vertrouwen dat je van de echte site aan het downloaden bent en dus de echte, te vertrouwen browser download....
als je internet explorer gebruik download je die van MSupdate en dat is wel beveiligd. als het certificaat niet gehackt is dan
Simpelweg DigiNotar heeft ontzettend zitten prutsen en de overheid heeft dit bedrijf zelfs zitten te verdedigen, lachwekkend.

Het is duidelijk dat beide niets weten van beveiliging anders maak je dit soort blunders niet, en ik doel niet op de hack, uiteindelijk kan alles gehacked worden, maar het zo onder de mat proberen te vegen...
Diginotar is incompetent, dat is duidelijk. De "coverup" lijkt mij vanuit management beslissingen te komen maar dat er na ontdekking toch nog valse certificaten uitgedeeld werden toont aan dat ook technische blunders begaan zijn. Het verbaasde mij ook dat Donner in zijn persconferentie vrijdagnacht vertelde dat het probleem met een management wissel opgelost zou worden.

Ik weet wel zeker dat de overheid wel degelijk veel weet van beveiliging, alleen niet de politiek (of de hogere ambtenaren). Ik denk dat de hoogste prioriteit verkeerd ligt. Nu gaat schijnbaar de continuiteit van de systemen voor op de betrouwbaarheid van de systemen. Ik verwacht dat er in de toekomst op z'n minst een een plan klaar moet liggen voor dit soort gevallen, dat een dergelijk plan er nu niet is mag duidelijk zijn.
DigiNotar kan de deuren wel sluiten. Wie wil er nu nog met dat bedrijf in zee?
DigiNotar kan de deuren wel sluiten. Wie wil er nu nog met dat bedrijf in zee?
Ik niet, de overheid ook niet zo te zien. DigiD is al om naar Getronics. (niet dat ik KPN in staat acht 't beter te doen, en gingen ze niet heel Getronics lekker naar India verplaatsen?)

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True