Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 28, views: 12.091 •

Systemen met Windows XP of Windows Server 2003 blijken in sommige gevallen nog gewoon te werken met de omstreden root-certificaten van DigiNotar. Door een fout van Microsoft werkt de aanvankelijke patch namelijk niet in alle gevallen.

Naar nu blijkt hebben wellicht niet alle systemen met Windows XP of Windows Server 2003 de juiste patch van Microsoft ontvangen. Hierdoor zijn op deze systemen misschien niet automatisch alle root-certificaten van DigiNotar geblokkeerd.

De softwarefabrikant heeft bevestigd dat een andere update, die niet alle certificaten blokkeerde, voorrang heeft gekregen en dat de juiste update niet automatisch wordt geïnstalleerd als die eerder aangeboden patch is geïnstalleerd.

Microsoft heeft inmiddels een nieuwe patch voor XP en Server 2003 vrijgegeven. De nieuwe update wordt automatisch via Windows Update aangeboden voor de getroffen systemen. Als Windows Update niet aanstaat, moet een beheerder de update zelf downloaden en installeren. De systemen moeten wel rebooten om de update effectief te laten zijn. Microsoft benadrukt dat het probleem niet speelt voor andere versies van zijn besturingssysteem.

DigiNotar kwam in opspraak toen bleek dat een Iraanse hacker deze zomer had ingebroken bij de Nederlandse certificatenmaker. Dat was mogelijk vanwege de slechte beveiliging. De hacker genereerde 531 valse ssl-certificaten, die onder meer misbruikt zijn door de Iraanse overheid om eigen burgers te bespioneren.

Omdat de systemen voor het maken van particuliere certificaten en overheidscertificaten niet gescheiden bleken te zijn, zegde de Nederlandse overheid het vertrouwen in DigiNotar op. Na een onderzoek heeft toezichthouder OPTA besloten om alle zogenoemde gekwalificeerde DigiNotar-certificaten ongeldig te verklaren.

Reacties (28)

DigiNotar kwam in opspraak toen bleek dat een Iraanse hacker deze zomer had ingebroken bij de Nederlandse certificatenmaker. Dat was mogelijk vanwege de slechte beveiliging
Volgens die hacker zelf (met een veel te groot ego) was 't gewoon de eerste CA die op een lijstje van hem stond. Een lijstje waarop ie eventueel te hacken CA's had staan.
Da's dus wel erg toevallig dat dan alleen DigiNotar zo slecht beveiligd zou zijn.

[Reactie gewijzigd door kimborntobewild op 20 september 2011 09:12]

Het was toch een Iraanse hacker? Hoe zou hij op zo'n idee komen om iets in NL te gaan hacken?
Volgens mij had het er iets mee te maken dat hij het niet goed vond hoe Nederland zich gedroeg denk b.v. aan geert wilders.

Maar over de beveiliging van DigiNotar. Oke dit was slecht maar ik geloof best dat er nog wel meer CA's zijn die de beveiliging slecht voor elkaar hebben. Als hij zegt dat dit de eerste op zijn lijstje is had hij misschien wel een andere CA gehackt als DigiNotar te goed was beveiligt?
Nederland 'gedraagt' zich niet goed dus ga je maar lopen hacken?
Zoals kimborntobewild zegt, DigiNotar stond bovenaan de CA lijst van firefox en de hacker begon daar bovenaan.
Dit heeft echt totaal niets met geert wilders te maken.
Raar dacht dat -- (c) 2005 TURKTRUST bilgi iletisem -- etc ... de eerste was

Sun Ich is blijkbaar erg ijdel net als een bepaalde vlieg in farsi

Maar Sebrenica en Geurtje Wilders stonden hem niet aan en Diginotar was zo lek als
de rest in politiek verkozen ITC projecten of Websites
Dat was toeval. Maar achteraf kwam hij achter wat - vanuit zijn oogpunt - misstanden in Nederland. In eerste instantie Sebrenica waarbij Nederland iets van 1800 moslims geruild zou hebben voor 30 Nederlanders waarna die moslims vermoord werden. En daarna ontdekte hij Wilders.

Die hacker is trouwens wel erg stil geworden nadat bleek dat zijn GlobalSign hack nergens op sloeg (hij zou alleen een geisoleerde Japanse webserver van GlobalSign hebben gehacked). Hij heeft op twitter een van zijn accounts leeggehaald. Zijn andere account is ook al ruim een week stil. Zijn ymail account zal ook vast wel gevorderd zijn door de Amerikaanse justitie.

Diginotar mag nu zelf geen certificaten meer aanmaken. Ze leveren nu certificaten van Comodo. Laat de diginotar hacker nou ook comodo hebben gehacked.
Zie Webwereld. Dat zou zo ongeveer mijn laatste keus zijn geweest. Gelukkig blijken overheidsdiensten enz. hier niet in mee te gaan.
Diginotar is volgens Vasco nu ook falliet
Waarschijnlijk omdat wij Nederlanders erg na´ef zijn. Pakistan kon ook zo de plannen voor een kernbom bij ons meenemen.
Je zou maar voor Microsoft werken... Al die versies testen en alles. Werkt het op W7? Werkt het op WVista? Werkt het met die en die pack? echt frustrerend lijkt mij dat!
Gelukkig worden ze er voor betaald :/
Ja, en je zou bijna denken dat ze liever hebben dat je op windows 7 overstapt.
SBS2011 als je klein bent en anders 2008R2. Vooral die laatste is het ideale desktop-OS.
Ik neem aan dat het testen in hoge mate geautomatiseerd is.
Is DigiNotar niet gewoon failliet?
Nog niet.. maar zal niet lang meer duren.
Volgens de Telegraaf zijn ze failliet (http://www.telegraaf.nl/d...et_verklaard__.html?p=1,1)

"AMSTERDAM - Het bedrijf DigiNotar is dinsdag door de rechtbank in Haarlem failliet verklaard. Dat heeft het moederbedrijf Vasco Data Security bekendgemaakt.

DigiNotar kwam recentelijk in opspraak, toen bleek dat de veiligheidscertificaten die het uitgaf voor websites, niet waterdicht waren."
Ook dan zal er een patch moeten volgen om hun root certificates uit de lijst te halen.

Er is geen automatische koppeling van je browser naar de aankondigingen van de rechtbank ;)
Op deze win xp sp3 us versie is de 1e DigiNotar root distrusted.
Volgens het MS KB artikel worden dan de volgende 2 certificaten niet disabled, als je de patch van voor 19 september hebt:
DigiNotar Root CA
DigiNotar Root CA G2
Ik heb de patch op mijn xp-machine nog niet geinstalleerd. Is het wijs deze (kb2616676) te weigeren en te wachten op de herinnering? Of moet ik dan juist de herinnering uitzetten? In het lijstje van MS waarnaar in het artikel wordt gelinkt zie ik namelijk geen XP-update staan.

edit: dank@wilhagen

[Reactie gewijzigd door Zaphod69 op 20 september 2011 16:40]

ik zou niet weten waarom je uberhaupt deze patch zou weigeren...
Het nu nog weigeren van die patch is zeer zeker niet slim, want de nieuwe fix (die gisteren is uitgekomen) heeft namelijk hetzelfde KB-nummer ;)
On September 19, 2011, we rereleased update 2616676 to address this issue. If you are running Windows XP or Windows Server 2003 and you have not applied updates 2524375, 2607712, and 2616676, you should install cumulative update 2616676.
Zie http://support.microsoft.com/kb/2616676

Die doet het dus wel goed.

Overigens staat in dat lijstje XP er ook gewoon bij hoor. Dit is de (goede) versie voor XP: http://www.microsoft.com/...splaylang=en&id=27304 (Windows 2003: http://www.microsoft.com/...splaylang=en&id=27355)
Nu heb ik deze update geinstalleerd en staan ze inderdaad in not trusted certificaten.
Maar nu doet mijn studielink.nl het bijvoorbeeld niet. Hoe krijg ik die nieuwe certificaten gedownload?
Niet. De overheid moet de certificaten van studielink vervangen.
Haha, ik zie de ambtenaren zichzelf al voor het hoofd slaan.
Ze waren al in hun broek aan het schijten toen de eerste patch uitkwam (omdat ze blijkbaar nog nooit van patchmanagement gehoord hebben...). Zie nieuws: Overheid dwingt vertraagde Windows Update af bij Microsoft
Nu kunnen ze blijkbaar nog niet feestvieren...

Ik hoop ze al het slechte toe bij de overheid. Alleen met zulk falen wordt het duidelijk dat het anders moet
Dat is inderdaad heel interessant, maar het artikel waar je naar linkt geeft geen reden op voor de faillietverklaring. Ik kan er wel een bedenken: je moet vier jaar vooruitbetalen voor zo'n certificaat. Dat betekent dat veel mensen zich nu, om het even populistisch te zeggen, nogal genaaid voelen. Mijn certificaat loopt nog tot 2013. Ze zagen de claims dus al aankomen en je failliet laten verklaren is dan wel een gemakkelijke en doeltreffende oplossing.

Ik weet niet eens of dit wel zo'n slimme zet is, want DigiNotar is voor zover ik weet gekoppeld aan de belastingdienst. Wellicht valt daar nog wat te halen...
Werkt de Windows XP SP3 diginotar-patch ook in Duisland?

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Mobiele netwerken Gamecontrollers Smartphones Apple Sony Microsoft Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013