'Overheid negeerde aanwijzing dat Diginotar verouderde software draaide'
De overheid had een half jaar voor de hack van Diginotar kunnen weten dat het bedrijf software draaide met de nodige kwetsbaarheden. Govcert kreeg een melding over een lek in de software, maar wist niet hoe afhankelijk de overheid was van de beveiligingscertificaten van Diginotar.
Op 13 januari 2011 kreeg Govcert een melding dat er een lek gevonden was in de websitesoftware die Diginotar leek te gebruiken, meldt Nu.nl. Govcert ondersteunt nu onder de naam Nationaal Cyber Security Centrum de overheid op het gebied van beveiliging. De melding kwam een half jaar voordat de omstreden hack bij Diginotar plaatsvond. Het lek was echter niet van toepassing op de versie die Diginotar gebruikte; deze versie was sterk verouderd en bevatte nog veel meer lekken.
Er ging echter geen belletje rinkelen bij Govcert en de organisatie heeft blijkbaar nagelaten te onderzoeken wat de risico's waren van het feit dat software bij Diginotar niet up-to-date was. Het was bij de beveiligers niet doorgedrongen hoe afhankelijk de overheid was van de beveiligingscertificaten van Diginotar, zegt de woordvoerder van het Nationaal Cyber Security Centrum. Ook de OPTA, die verantwoordelijk was voor het toezicht op Diginotar, werd daarom niet ingelicht.
Uit onderzoek bleek dat de Diginotar-aanvaller vermoedelijk gebruik heeft gemaakt van een gat in het content management systeem DotNetNuke. Het cms zou sinds 2008 niet meer zijn bijgewerkt, waardoor er zeker 30 patches niet waren uitgevoerd en de website een makkelijke prooi was voor aanvallers.
Reacties (24)
Van nu.nl
Lees ik nou verkeerd of komt Fox-IT hier nou ook niet zo goed uit?
Zo gaat dat dus als de overheid iets verkeerd doet of nalaat. Dan heeft men ineens zwijgplicht terwijl Diginator al niet meer bestaat en de problemen inmiddels zijn opgelost.Mijn commentaar is dat ik een zwijgplicht heb en niets kan zeggen over Diginotar", reageert directeur Ronald Prins. In een recent rapport van het bedrijf worden de problemen op de website wel geduid.
Lees ik nou verkeerd of komt Fox-IT hier nou ook niet zo goed uit?
Toezichthouder OPTA stelt dat het op 15 december 2011 een eerder rapport van beveiligingsbedrijf ITSEC in handen heeft gekregen. Daarin stond in ieder geval dat het lek in de website de oorzaak was van de hack.
"Dat is opmerkelijk omdat ook beveiligingsbedrijf Fox-IT onderzoek heeft gedaan bij Diginotar vóór het parlement werd geïnformeerd", reageert SP-kamerlid Sharon Gesthuizen tegenover NU.nl. Ze begrijpt niet waarom het parlement niet alsnog na het realiseren van de blunder van Govcert geïnformeerd is.
"In hoeverre kan de Kamer erop vertrouwen dat er objectief onderzocht is? Ik heb het idee dat er toch dingen zijn weggemoffeld. Dat geeft mij geen prettig gevoel."
[Reactie gewijzigd door ManiacsHouse op donderdag 29 november 2012 16:30]
Als Ronald Prins wel commentaar had gegeven aan nu.nl dan zou ik juist grote vraagtekens hebben geplaatst bij de professionaliteit van Fox-IT. Als je een extern bedrijf gaat inhuren om de veiligheid van software te onderzoeken, dan lijkt mij het contractueel vastleggen van een zwijgplicht toch een voor de hand liggende vereiste?
Waar is die wijsneus van vorige week met zijn: 'bedrijven moeten meer aan ICT veiligheid denken'? Eigenlijk zijn dit soort foutjes toch onbegrijpelijk. Je kunt wel zeggen bij de overheid bakken ze bijna nooit wat van als het gaat om ICT projecten. Alleen er werken toch ook gewoon hoogopgeleide ICT'ers die eenzelfde opleiding hebben genoten als hun collega's in het bedrijfsleven?
Dat ^^
Beetje lame om te zeggen dat de overheid de aanwijzing negeerde... ze hebben juist Diginotar ingeschakeld om die cert. uit te geven.
Als iedereen zo gaat wijzen mag je alle bedrijven preventief opdoeken
Beetje lame om te zeggen dat de overheid de aanwijzing negeerde... ze hebben juist Diginotar ingeschakeld om die cert. uit te geven.
Als iedereen zo gaat wijzen mag je alle bedrijven preventief opdoeken
Maar er is een duidelijk patroon. Dit is niet de eerste keer, en zeer waarschijnlijk ook niet de laatste. Mijns inziens moet de overheid met meerdere partijen samenwerken, want met drie bedrijven die 90% van de overheidsgerelateerde ICT orders binnen krijgt, is er te weinig 'drive' om te zorgen dat de allerbeste service verleend word.
[Reactie gewijzigd door DeathMaster op donderdag 29 november 2012 16:50]
Goede bedrijfsvoering is van meer zaken afhankelijk dan de kennis en expertise van de mensen die daadwerkelijk het werk verrichten: strategie en bestuur. Als deze twee ontbreken, of het nu bij de overheid is of bij een organisatie, dan maakt het niet uit hoeveel expertise je in huis hebt.Je kunt wel zeggen bij de overheid bakken ze bijna nooit wat van als het gaat om ICT projecten. Alleen er werken toch ook gewoon hoogopgeleide ICT'ers die eenzelfde opleiding hebben genoten als hun collega's in het bedrijfsleven?
Bij de overheid ontbreekt het vaak aan beiden:
- Strategie is vaak onderhevig aan de politiek en het gevoel van de dag. Doelstellingen zijn niet SMART gedefinieerd, waardoor ze niet gehaald kunnen worden met de gegeven middelen. Evaluatie van de gekozen strategie vindt ook nauwelijks plaats.
- Bestuur is vaak een combinatie van veel partijen die het ergens over eens moeten zijn en partijen die ergens geen beslissing over willen/kunnen nemen. De enkele hoogopgeleide ICT'er krijgt zelf niets voor elkaar.
Ik geniet van dit soort commentaar.
Mensen die het voor elkaar krijgen heel de overheid op 1 hoop te vegen.
Enig idee hoeveel overheidsinstanties er zijn? hoeveel mensen er werken?
Er is niet één overheid, en al helemaal niet één manier waarop 'de overheid' dingen doet.
Je kan dus nooit conclusie trekken dat 'de overheid' het niet goed doet.
Sterker nog: in dit geval was het diginotar wat het niet goed deed (een niet-overheid) en, zoals hierboven al gezegd: ook fox-it (weer non-overheid) had dit niet goed gezien.
Ik probeer niemand vrij te pleiten, maar bij dit soort onderwerpen is het altijd 'de overheid' vs 'het bedrijfsleven' en beide mag je niet in een hokje stoppen
Mensen die het voor elkaar krijgen heel de overheid op 1 hoop te vegen.
Enig idee hoeveel overheidsinstanties er zijn? hoeveel mensen er werken?
Er is niet één overheid, en al helemaal niet één manier waarop 'de overheid' dingen doet.
Je kan dus nooit conclusie trekken dat 'de overheid' het niet goed doet.
Sterker nog: in dit geval was het diginotar wat het niet goed deed (een niet-overheid) en, zoals hierboven al gezegd: ook fox-it (weer non-overheid) had dit niet goed gezien.
Ik probeer niemand vrij te pleiten, maar bij dit soort onderwerpen is het altijd 'de overheid' vs 'het bedrijfsleven' en beide mag je niet in een hokje stoppen
Het punt is dat we als burgers 1 keer in de 4 jaar 1 regering samenstellen die de rijksoverheid direct aanstuurt en verantwoordelijk gesteld kan worden voor haar functioneren.
Of de overheid nu uit 1 mega instantie bestaat of uit 1000 kleine instanties is niet relevant. Of de overheid alles "in-house" uitvoert of uitbesteed is verder ook niet relevant. Resultaten daarentegen wel.
Het is de overheid die Diginotar en Fox-IT aanstelt om taken uit te voeren en dus de overheid die verantwoordelijk is voor de resultaten. Zou wel erg makkelijk wezen als je door simpelweg iets uitbesteden je onder je verantwoordelijkheden uit kon komen.
Of de overheid nu uit 1 mega instantie bestaat of uit 1000 kleine instanties is niet relevant. Of de overheid alles "in-house" uitvoert of uitbesteed is verder ook niet relevant. Resultaten daarentegen wel.
Het is de overheid die Diginotar en Fox-IT aanstelt om taken uit te voeren en dus de overheid die verantwoordelijk is voor de resultaten. Zou wel erg makkelijk wezen als je door simpelweg iets uitbesteden je onder je verantwoordelijkheden uit kon komen.
Alsof een overheid die elke 4 jaar wisselt uberhaupt verantwoordelijk kan worden gesteld voor dit soort dingen. Hier gaat het over dingen die ruim voor die 4 jaar besloten zijn.
Dit soort beslissingen komen van de ambtenarenlaag er onder. De mensen die niet om de 4 jaar wisselen zegmaar
Dit soort beslissingen komen van de ambtenarenlaag er onder. De mensen die niet om de 4 jaar wisselen zegmaar
Het is minstens 10 jaar geleden dat we 1 keer in de 4 jaar een regering hebben samengesteld.Het punt is dat we als burgers 1 keer in de 4 jaar 1 regering samenstellen die de rijksoverheid direct aanstuurt en verantwoordelijk gesteld kan worden voor haar functioneren.
De afgelopen 10 jaar was het eerder 1 keer in de 2 jaar... Dus daar kan het zeker niet aan gelegen hebben.
Hoogopgeleide IT-ers bij de overheid? In theorie wel, maar in de praktijk zijn het allemaal projectleiders en adviseurs die volgens het peter-principe zijn gepromoveerd tot hun maximale nivo van incompetentie.
En met de technieken van tegenwoordig zullen politie dan ook volledig vervangen gaan worden door de IT. Weg dikzakken in te strakke uniformen, hallo IT'ers die 24/7 de hele wereld met camera's in de gaten houden en met 1 druk op de knop uw bon zullen uitprinten: "Rennen in uw eigen huis. ¤150 exl." Bonnenquota's voor promotie zullen uiteraard blijven 
Het bijhouden van versies nummers en controleren dat de laatste patches zijn geinstalleerd is niet bepaald ingewikkeld. Het is zelfs zo simpel en geestdodend dat waarschijnlijk niemand er consequent mee bezig is bij de overheid.
Wat mij betreft is er geen excuus voor dit soort fouten. Het is simpelweg lui en nalatig om updates niet uit te voeren en de risico's van niet-updaten te negeren. Lijkt mij zinnig om hier een niet-IT'er in te zetten die het geweldig vind om lijstjes bij te houden, IT-excusen niet interessant vind en flink stuitert als z'n lijstjes niet meer kloppen.
Wat mij betreft is er geen excuus voor dit soort fouten. Het is simpelweg lui en nalatig om updates niet uit te voeren en de risico's van niet-updaten te negeren. Lijkt mij zinnig om hier een niet-IT'er in te zetten die het geweldig vind om lijstjes bij te houden, IT-excusen niet interessant vind en flink stuitert als z'n lijstjes niet meer kloppen.
Men heeft dus niet op technisch vlak gevaalt maar voornamelijk op het gebied van controlle, waar deze instantie ook voor bedoeld was.
Maar hoe kan men dan nu garanderen dat het nu wel goed gaat dan ?
Maar hoe kan men dan nu garanderen dat het nu wel goed gaat dan ?
Dat kunnen ze niet.
Vind ik sowieso een vreemde gang van zaken. Dus de toezichthouder moet eerst door iemand anders worden geschopt voordat ze toezicht gaan houden? Natuurlijk kunnen die lui niet overal tegelijk zijn, maar ik vind het wel een gevalletje van dubbel werk....en zoals blijkt vallen er dan dus gaten in.Ook de OPTA, die verantwoordelijk was voor het toezicht op Diginotar, werd daarom niet ingelicht.
En dat is dan ook waarom sommige dingen zo als een certificaat autoriteit voor de overheid niet buiten de overheid moet kunnen werken. Het mag geen publieke dienst zijn maar alleen een dienst van de overheid. Geen website geen reden om aan het internet te hangen. Simpel weg certificaat genereren in eigen beheer en nooit of ten immer een certificaat van de overheid buiten de overheid laten gebruiken.
Omdat de generator geen internet verbinding behoeft natuurlijk ook geen USB of andere handige porten heeft (want niet nodig) kan een hacker tenzij deze direct toegang tot de machine(s) heeft onmogelijk certificaten stelen.
Het is helemaal niet zo moeilijk en er zijn genoeg overheden die hun certificaten op deze manier beheren waarom de Nederlandse overheid nu weer zo nodig buiten de deur moet rommelen... het zal wel een vrindje of een neefje geweest zijn die het bedrijfje opgezet heeft en dus automagisch er met de lucratieve handel vandoor ging.
Gelukkig weet de Nederlandse overheid zo veel van ICT dat alle andere projecten die men uitvoert wel stuk voor stuk allemaal doorslaande successen zijn... Oh wacht
De gemiddelde bananen republiek is minder vatbaar voor dit soort aanvallen omdat die simpel weg zaken doen met een gerenommeerde instantie in plaats van het hobby clubje van het vriendje van.
Omdat de generator geen internet verbinding behoeft natuurlijk ook geen USB of andere handige porten heeft (want niet nodig) kan een hacker tenzij deze direct toegang tot de machine(s) heeft onmogelijk certificaten stelen.
Het is helemaal niet zo moeilijk en er zijn genoeg overheden die hun certificaten op deze manier beheren waarom de Nederlandse overheid nu weer zo nodig buiten de deur moet rommelen... het zal wel een vrindje of een neefje geweest zijn die het bedrijfje opgezet heeft en dus automagisch er met de lucratieve handel vandoor ging.
Gelukkig weet de Nederlandse overheid zo veel van ICT dat alle andere projecten die men uitvoert wel stuk voor stuk allemaal doorslaande successen zijn... Oh wacht
De gemiddelde bananen republiek is minder vatbaar voor dit soort aanvallen omdat die simpel weg zaken doen met een gerenommeerde instantie in plaats van het hobby clubje van het vriendje van.
Veel succes met het indienen van je belastingaangifte via internet dan.En dat is dan ook waarom sommige dingen zo als een certificaat autoriteit voor de overheid niet buiten de overheid moet kunnen werken. .
Sorry hoor, maar als je als GOVCERT niet weet wie de certificaten voor de overheid levert dan ben je geen knip voor de neus waard! GOVCERT hoort een inventarisatie te hebben van alle software welke wordt gebruikt door de Nederlandse overheid en deze regelmatig up-to-date te verversen zodat men altijd een inschatting kan maken van de impact als er een nieuwe exploit bekend wordt..
Als je die inventatie niet hebt, weet je ook niet wie vatbaar is voor een exploit, op welke schaal en aan zo'n melding een prioriteit geven.
GOVCERT hoort de security expert van de overheid te zijn. Maar als je basale security concepten niet begrijpt moet je heel erg snel wat anders gaan doen. Het eerste wat een security expert doet is de huidige software in kaart brengen. Dus op welke server draait welke software en op welke versie en voor welk doel.
Als DotNetNuke het framework is waarmee klanten certificaten kunnen aanvragen moet er een code rood afgaan bij GOVCERT (overigens ook bij DigiNotar) als er meldingen binnenkomen over mogelijke exploits in DNN.
Ik mag toch echt hopen dat GOVCERT na aanleiding an de java exploit welke pas begin volgend jaar gefixed wordt precies weet welke servers dus vatbaar zijn en extra heeft gecontroleerd om dergelijke machines voldoende zijn geisoleerd. Gisteren bleken 'Hamas' hackers emailadressen van het IAEA heeft kunnen bemachtigen omdat een server welke niet meer werd gebruikt (volgens woordvoerder) nog wel steeds bereikbaar was vanaf het internet.. Of hoe vaak lees je niet dat dat men NAW gegevens van een hoofdsite heeft kunnen bemachtigen via een support forum welke verder weinig met de hoofd website heeft te maken?
Ik denk dat het hoog tijd wordt dat het Ministerie van Binnenlandse zaken een patch management draaiboek ontwerpt en deze enforced bij ALLE partners welke diensten aanbieden aan of namens de overheid en dat GOVCERT ala de VWA verrassings bezoeken aflegt bij de verschillende bedrijven om te controleren of het veiligheids protocollen correct worden nageleefd..
Natuurlijk gaat het over honderd duizenden servers en zijn morgen ineens alle servers volledig up-to-date. Maar daarvoor bestaan er security assessment documenten waarmee je de prioriteit kun bepalen wie het snelst zijn servers op orde behoort te hebben. Als eerste denk je dan aan de primaire servers van de overheid (ministeries) zelf. Maar men had al snel moeten zien dat de overheid een afhankelijkheid was van o.a. Diginotar om SSL diensten te kunnen aanbieden en dus had Diginotar op de lijst voor de servers van de Nederlandse overheid moeten komen. Immers als je root niet veilig is, is de rest per definitie ook niet veilig! Dat kun je zien aan je dependency tree..
Als je die inventatie niet hebt, weet je ook niet wie vatbaar is voor een exploit, op welke schaal en aan zo'n melding een prioriteit geven.
GOVCERT hoort de security expert van de overheid te zijn. Maar als je basale security concepten niet begrijpt moet je heel erg snel wat anders gaan doen. Het eerste wat een security expert doet is de huidige software in kaart brengen. Dus op welke server draait welke software en op welke versie en voor welk doel.
Als DotNetNuke het framework is waarmee klanten certificaten kunnen aanvragen moet er een code rood afgaan bij GOVCERT (overigens ook bij DigiNotar) als er meldingen binnenkomen over mogelijke exploits in DNN.
Ik mag toch echt hopen dat GOVCERT na aanleiding an de java exploit welke pas begin volgend jaar gefixed wordt precies weet welke servers dus vatbaar zijn en extra heeft gecontroleerd om dergelijke machines voldoende zijn geisoleerd. Gisteren bleken 'Hamas' hackers emailadressen van het IAEA heeft kunnen bemachtigen omdat een server welke niet meer werd gebruikt (volgens woordvoerder) nog wel steeds bereikbaar was vanaf het internet.. Of hoe vaak lees je niet dat dat men NAW gegevens van een hoofdsite heeft kunnen bemachtigen via een support forum welke verder weinig met de hoofd website heeft te maken?
Ik denk dat het hoog tijd wordt dat het Ministerie van Binnenlandse zaken een patch management draaiboek ontwerpt en deze enforced bij ALLE partners welke diensten aanbieden aan of namens de overheid en dat GOVCERT ala de VWA verrassings bezoeken aflegt bij de verschillende bedrijven om te controleren of het veiligheids protocollen correct worden nageleefd..
Natuurlijk gaat het over honderd duizenden servers en zijn morgen ineens alle servers volledig up-to-date. Maar daarvoor bestaan er security assessment documenten waarmee je de prioriteit kun bepalen wie het snelst zijn servers op orde behoort te hebben. Als eerste denk je dan aan de primaire servers van de overheid (ministeries) zelf. Maar men had al snel moeten zien dat de overheid een afhankelijkheid was van o.a. Diginotar om SSL diensten te kunnen aanbieden en dus had Diginotar op de lijst voor de servers van de Nederlandse overheid moeten komen. Immers als je root niet veilig is, is de rest per definitie ook niet veilig! Dat kun je zien aan je dependency tree..
[Reactie gewijzigd door Niemand_Anders op donderdag 29 november 2012 17:49]
Heb wel wat ervaring bij grote bedrijven en ik kan je verzekeren: ik heb nog nooit mogen meemaken dat men een overzicht heeft van alle applicaties en versies. Voor externe sites is er soms wel iets, maar het is incompleet en intern is het een grote bende aan versies. M.a.w schot hagel met wat oude exploits via een mail naar binnen en je hebt grote kans raak te schieten. Vaak is de focus alleen op extern en vergeet men dat als er echt iets te halen valt, de attack vector via de eigen organisatie veel makkelijker is en vaak nog lastiger te traceren.
Het idee dat GovCert het voor de overheid wel zou kunnen kan niet anders dan een leugen zijn: de overheid is nog vele malen groter en in de naam van backwards compatibility vaak nog veel minder in staat om effectief patch beleid te voeren op interne applicaties. Schijnveiligheid dus en je zal zien dat de politiek denkt er met meer middelen/bevoegdheden een oplossing voor te hebben. Zonde.
Het idee dat GovCert het voor de overheid wel zou kunnen kan niet anders dan een leugen zijn: de overheid is nog vele malen groter en in de naam van backwards compatibility vaak nog veel minder in staat om effectief patch beleid te voeren op interne applicaties. Schijnveiligheid dus en je zal zien dat de politiek denkt er met meer middelen/bevoegdheden een oplossing voor te hebben. Zonde.
Ik hoorde vandaag iets over nog werkende NT4 systemen bij een grote bank....... Daar zakte mijn broek toch wel spontaan van af.
Nu begrjip ik het fenomeen legacy software wel, maar >10 jaar mensen. Dat is vragen om een 'geholpen' financiele crisis als je het mij vraagt.
Nu begrjip ik het fenomeen legacy software wel, maar >10 jaar mensen. Dat is vragen om een 'geholpen' financiele crisis als je het mij vraagt.
Ik ken programmatuur bij grote banken welke geschreven zijn in een 50 jaar oude programmeertaal! Ouder is niet per definitie slechter he. Dit draait nog steeds (en wordt indien nodig nog steeds bijgewerkt) vanwege het simpele feit dat moderne talen te lomp, complex en zwaar zijn voor de eenvoudige taak die de programmatuur heeft.
Sommige banken zijn zelfs van een moderner systeem terug gestapt naar dit! Het bleek eenvoudigweg sneller, stabieler en beter onderhoudbaar.
Sommige banken zijn zelfs van een moderner systeem terug gestapt naar dit! Het bleek eenvoudigweg sneller, stabieler en beter onderhoudbaar.
Tja dit verbaasd me dan weer niets. In vrijwel elk bedrijf en dus ook binnen overheden is beveiliging een ondergeschoven kindje. Er wordt eens een goed plan opgezet en er wordt geld uitgegeven aan de initiële installatie van een pakket beveiligingsmaatregelen maar als die vervolgens niet of slechts summier up to date worden gehouden had je net zo goed niet kunnen investeren.
Het is ook een lastige zaak voor veel managers etc, immers is ICT en beveiliging slechts bij een paar bedrijven de core business en voor alle andere toko's een randverschijnsel. Mensen hebben er zelf weinig verstand van en een ingehuurde werknemer die wèl doorheeft dat er iets mis is met de beveiliging heeft moeite om dat geloofwaardig over te brengen bij de juiste mensen.
Het is ook een lastige zaak voor veel managers etc, immers is ICT en beveiliging slechts bij een paar bedrijven de core business en voor alle andere toko's een randverschijnsel. Mensen hebben er zelf weinig verstand van en een ingehuurde werknemer die wèl doorheeft dat er iets mis is met de beveiliging heeft moeite om dat geloofwaardig over te brengen bij de juiste mensen.
Het is een lastige zaak van managers? Leer eens te luisteren naar je expert personeel en niet bezig te zijn met je eigen plan, vooral de laatste jaren waarin bezuinigen centraal staat, binnen de overheid!
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
