Certificaatautoriteit ANSSI verstrekte vals Google-certificaat

De Franse certificaatautoriteit ANSSI heeft een vervalst ssl-certificaat uitgegeven dat afkomstig leek van Google, zo ontdekte de internetgigant. ANSSI spreekt van een menselijke fout en stelt dat internetgebruikers niet zijn getroffen.

ANSSI Het Google Security Team meldt op zijn weblog dat zij op 3 december een vals certificaat hebben ontdekt. Het ssl-certificaat bleek te zijn verstrekt door ANSSI, de organisatie die certificaten aan Franse overheidssites uitdeelt. Het valse ssl-certificaat is binnen een privénetwerk gebruikt om versleuteld dataverkeer van en naar Google-servers af te tappen, zo concludeerde ANSSI na te zijn geïnformeerd door Google. Kort na de ontdekking besloot het Google Security Team om de zogeheten intermediate certificate authority direct te blokkeren in zijn Chrome-browser. Ook andere browserbouwers zijn geïnformeerd over de kwestie.

De ANSSI heeft inmiddels laten weten dat er bij de uitgifte van het betreffende certificaat sprake was van een menselijke fout. Het certificaat zou zijn gebruikt door het ministerie van Financiën om het interne netwerk te kunnen monitoren. Daarmee zijn de regels van ANSSI overtreden. De certificaatautoriteit zegt dat het maatregelen heeft genomen om herhaling te voorkomen en dat de veiligheid van zowel de Franse overheid als die van internetgebruikers niet in gevaar is geweest.

Google wijst erop dat de kwestie heeft aangetoond hoe belangrijk zijn Certificate Transparancy-platform is. Met dit zelfontwikkelde systeem wordt de geldigheid van certificaten realtime gecontroleerd. Zo moet het in omloop brengen van valse certificaten voorkomen worden, evenals inbraken bij certificaatautoriteiten, zoals bij de roemruchte Diginotar-zaak het geval was.

IT-banen

Reacties (66)

CAPSLOCK2000

Frankrijk
Netwerk en systeembeheer

9 december 2013 01:32

De oplossing voor het CA fiasco bestaat al en heet DANE (DNS-based Authentication of Named Entities).
In het kort komt het er op neer dat je via DNS publiceert welke SSL-certificaten je gebruikt.
Bezoeker kunnen daarmee controleren of ze het juiste certificaat hebben gekregen of een ander certificaat dat (onterecht) op dezelfde naam staat.
Je kan het op verschillende manier gebruiken.
Ten eerste kan je het gebruiken om aan te geven welke CA en/of welke certificaten je gebruikt. Daarmee zou deze fout van ANSSI onschadelijk zijn gemaakt.
Ten tweede kun je het gebruiken om je eigen CA te draaien en kun je 'self-signed certificates' gaan gebruiken. Dat kan nu ook al, maar dan wordt je certificaat niet herkend door de browsers en krijgen je bezoekers een waarschuwing dat het certificaat niet kan worden gecontroleerd. Met DANE kan dat wel. Je hoeft dus niet meer te betalen voor SSL-certificaten en je bent niet meer afhankelijk van de kunde en goede bedoelingen van honderden CA's. Bijkomend voordeel is dat je zoveel certificaten kan aanmaken als je wil en ze zo vaak kan wisselen als je wil, het is immers gratis en je hebt geen vertragingen meer bij het aanvragen.
Daarvoor moet je DNS kunnen vertrouwen maar daarvoor hebben wel gelukkig DNSSEC.

Damusic2me 8 december 2013 20:38

De enige menselijke fout die ik hier zie, is dat ze dit zo gedaan hebben, dat google er achter kwam.
Kom op zeg, als ik bij mijn werkgever een nieuw certificaat moet regelen voor een vpn verbinding bijv. dan zit er al meer controle op, dan 1 persoon. Alle C.A.'s waar ik gebruik van maak, verifiëren alles ook tig keer. Daarnaast zou dit niet naar boven komen, als de certificaten enkel intern gebruikt zouden worden, maar pas als er bevestiging gevraagd wordt aan een publieke CA mbt dit certificaat. kortom, slap gelul, franse veiligheidsdienst is betrapt, en t excuus is niet veel beter dan 'de hond heeft mijn huiswerk opgegeten' of: 'de verantwoordelijke assistent heeft dit zonder toestemming gedaan'

CAPSLOCK2000

Frankrijk
Netwerk en systeembeheer

@Damusic2me • 9 december 2013 01:37

De enige menselijke fout die ik hier zie, is dat ze dit zo gedaan hebben, dat google er achter kwam.
<knip>
Daarnaast zou dit niet naar boven komen, als de certificaten enkel intern gebruikt zouden worden, maar pas als er bevestiging gevraagd wordt aan een publieke CA mbt dit certificaat.

Niet helemaal. Google heeft een extra troef achter de hand, ze hebben namelijk hun eigen browser, Chromium en hun eigen besturingssyteem, Android. Daarmee kunnen ze controleren of de juiste certificaten wel worden gebruikt.

Verder is er een project, ook van Google, dat Certificate Transparency heet. Kort gezegd worden daar lijsten van uitgegeven certificaten gepubliceerd. Daar kun je controleren of er geen vreemde certificaten worden uitgegeven onder jouw naam.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 04:19]

swhnld

8 december 2013 13:39

Franse NSA? Met een geldig certificaat kun je heel makkelijk tussen de SSL sessies komen en dat zonder dat de gebruiker het weet.

Moartn @swhnld • 8 december 2013 14:07

De Staat der Nederlanden heeft ook z'n eigen root CA (PKI overheid), dus theoretisch kan de AIVD ook aan trusted cert's voor elk mogelijk domein komen.

Ik weet uit ervaring dat een PKI overheid cert krijgen inmiddels vrij veel werk is geworden, vanwege alle controles die gedaan worden (is na het Diginotar gebacle behoorlijk aangescherpt denk ik), maar dat wil niet zeggen dat er voor de AIVD geen achterdeur in het proces is gemaakt. Technisch is er geen belemmering iig.

TD-er

@Moartn • 8 december 2013 14:21

Technisch hoeft er geen belemmering te zijn, maar de Google-browser is in elk geval op de hoogte van welke CA de certificaten voor Google hoort te ondertekenen.
Wanneer dit een andere CA is, gaan er bij Google allerlei alarmbellen af.
Jammer alleen dat dat voor een hoop andere certificaten niet zo makkelijk te controleren is.

m-m @Moartn • 8 december 2013 18:13

'Probleem' is dat ze geen certificaten kunnen uitgeven waar niet aan te zien is dat de Nederlandse overheid erbij betrokken is. Tenzij ze een random andere CA zo ver hebben gekregen (bewust of onbewust

) die wat minder opvalt. Die kans is nog best groot, denk ik..

kodak @Moartn • 8 december 2013 19:51

Je haalt twee zaken door elkaar. De Staat mag, net als honderden andere CA's, certificaten uit laten geven. En daarin zit hem nu net de kneep: De Staat doet het zelf niet. Het hoe en waarom mag duidelijk zijn, maar je moet er in ieder geval voor naar een van de vier CA-bedrijven die het voor een bepaald bedrag wel voor de Staat wilde doen. En het proces is daarbij hetzelfde als bedoeld voor ieder ander CA: je moet een legitieme eigenaar zijn die een certificaat aanvraagt + je moet een overheidspartij zijn.
Met andere woorden: theoretisch kan de AIVD net zo makkelijk bij iedere CA aan 'betrouwbare' certificaten komen. In theorie heeft de AIVD namelijk geen mogelijkheid om zelfs als CA op te treden.
Diginotar is het schoolvoorbeeld hoe criminelen/boosdoeners misbruik maken van zwakheden in het CA-systeem.
Het punt is en blijft dat het niet gaat om de mogelijke verbanden die je wil zien, maar om welke je niet wil zien: waarom vertrouwen we al die CAs in onze browsers? Omdat we er niet bij stil willen staan of die wel te vertrouwen zijn! Bedrijven die maar genoeg betalen en met slordigheden en wanpraktijken weg komen bij de groep beslissers komen en blijven met gemak in de browser hangen als 'betrouwbaar'. En die beslissers zijn niet democratisch gekozen en volledig intransparant in hun handelen en belissingen. Behalve als het wereldschokkend nieuws is wat de reputatie echt lijkt te schaden, dan knikkeren ze er misschien eens een een beetje uit in de hoop dat de schaapjes/gebruikers zich weer mak in de kudde gaan ophouden.

dasiro @swhnld • 8 december 2013 14:07

je moet niet gewoon een geldig certificaat hebben, maar wel datgene dat aan beide kanten gebruikt wordt, anders zal je het verkeer niet kunnen decrypten

swhnld

@dasiro • 8 december 2013 14:20

Nee, onze firewall kan het ook op kantoor, enige dat ik daarvoor hoef te doen is zijn SSL impoteren op de pc op kantoor. Verbinding is dan van pc naar firewall, en van firewall naar gewenste eind website en niemand die het merkt. Importeer ik de SSL cert niet, dan krijgt de gebruiker een untrusted cert error.
Gevaarlijk speelgoed, maar de OR was niet akkoord dus we hebben het niet geactiveerd.

CAPSLOCK2000

Frankrijk
Netwerk en systeembeheer

@swhnld • 8 december 2013 14:42

Het doet me een beetje pijn dat de techneuten het blijkbaar wel een goed idee vonden. Het komt niet vaak voor dat een OR een beter inzicht in deze materie heeft dan de IT-afdeling.

Martijntj 8 december 2013 13:11

Gaat het met dit bedrijf nu exact diezelfde kant op als met DigiNotar?
Andere browsers zullen certificaten uitgegeven door dit bedrijf niet te lang meer accepteren denk ik?

Plofkotje @Martijntj • 8 december 2013 14:05

Dit is geen bedrijf, dit is onderdeel van het Franse Ministerie van Defensie. Ze verkopen geen commerciële certificaten, ze hebben zelf een certificaat voor Google.com uitgegeven voor intern gebruik en hier is iets mis gegaan. Had ook niet gemogen volgens hun eigen veiligheidsregels.

DigiNotar was een commercieel bedrijf van de beveiligingsgroep VASCO wat namens de Nederlandse overheid certificaten uitgaf onder een intermediate certificaat getekend door het Staat der Nederlanden CA. DigiNotar was gehackt en de hackers hadden vrij spel op hun interne netwerk. Totaal andere zaak dus.

OddesE @Plofkotje • 8 december 2013 20:55

ze hebben zelf een certificaat voor Google.com uitgegeven voor intern gebruik en hier is iets mis gegaan.

Waarbij het 'iets' dat is misgegaan gewoon het ontdekken door Google is. Het lijkt er namelijk sterk op dat men een vals Google.com certificaat heeft uitgegeven om middels een man-in-the-middle aanval het (standaard versleutelde) verkeer naar Google.com te kunnen ontsleutelen om zo te kunnen monitoren. Spionage dus.

Het lijkt wel of er nu elke dag berichten naar buiten komen waaruit blijkt dat onze overheden niet te vertrouwen zijn en, als het hun zo uitkomt, structureel de wet/regels overtreden om te krijgen wat ze willen hebben.

Dannisi @OddesE • 9 december 2013 06:00

Al is dit natuurlijk wel interne spionage, overheid op overheid (nog steeds spionage natuurlijk)

Henk Poley @Plofkotje • 8 december 2013 16:11

Inderdaad, ANSSI's root certificering is bijvoorbeeld ook niet standaard aanwezig in OS X Mavericks. Hoewel het voorval niet netjes is, heeft het dus voor vrijwel alle internet gebruikers weinig invloed.

[Reactie gewijzigd door Henk Poley op 23 juli 2024 04:19]

Rolfie

@Martijntj • 8 december 2013 13:38

Ik denk dat er nog wel een verschil is tussen DigiNotar en de ANSSI.
Digitnotar was gewoon gehacked en had zijn zaakjes niet in orde. Zowel in de Techniek als het proces gedeelte.
Wat ik uit de berichtgeving lees, is beide bij ANSSI opzich in orde. Het was snel getraceerd, dus zowel de technisch als het proces gedeelte was goed ingeregeld. Immers het issue was snel gevonden.
Dat wil natuurlijk niet zeggen, dat men weer eens goed moet gaan kijken of het verbeterd kan en moet worden. Immers dit mag gewoon niet gebeuren. Iemand heeft ergens een fatale fout gemaakt. Die niet gemaakt had mogen worden.

dasiro @Rolfie • 8 december 2013 14:04

Het was snel getraceerd, dus zowel de technisch als het proces gedeelte was goed ingeregeld. Immers het issue was snel gevonden.

Het was niet ANSSI, maar wel het Google Security Team dat het foutief uitgegeven certificaat ontdekte en niet ANSSI zélf. Het kan dus goed zijn dat er nog een hoop certificaten zijn uitgegeven op naam van andere bedrijven die zelf niet over zo'n gespecialiseerd team beschikken en het niet beseffen dat hun naam misbruikt wordt, laat staan dat de klanten weten of de uitgegeven certificaten wel correct zijn.

Rolfie

@dasiro • 8 december 2013 20:52

GST heeft inderdaad het illigale certificaat gevonden. Maar ANSSI zal intern moeten uitzoeken hoe uitgegeven is. Immers het had volgens de bedachte procedures niet gemogen.

dasiro @Rolfie • 8 december 2013 22:05

daarom ook dat ik die zin quotte, het proces gedeelte was duidelijk NIET goed geregeld

remy007 @Martijntj • 8 december 2013 13:22

Dit zou je eigenlijk wel verwachten, na het DigiNotar debacle.

Fijinees @Martijntj • 8 december 2013 16:55

Het zou wel moeten. Weg er mee

DCK 8 december 2013 13:11

Och gut, een menselijke fout... Kan gebeuren toch?

Nee! Als certificaatautoriteit is jouw enige bestaansrecht dat jij onvoorwaardelijk te vertrouwen bent. Weg met dit bedrijf uit de browsers.

mphilipp @DCK • 8 december 2013 13:15

Precies. Je moet het zodanig inrichten dat die menselijke fouten uitgesloten worden. Alleen worden die mechanismen door mensen bedacht (en uitgevoerd). En dan krijg je weer regel 1: de mens maakt fouten.

Niet te vermijden. Je kunt natuurlijk wél je best proberen te doen. Punt is een beetje dat het dan weer zo duur wordt, dat een toko die het goed probeert te doen uit de markt geprijsd wordt. Wij shoppen namelijk nogal graag.

Rafe @mphilipp • 8 december 2013 13:30

Als een menselijke fout zo makkelijk gaat, lijkt het alsof slechts een persoon een certificaat kan laten uitgeven bij ANSSI. Het vierogenprincipe (two-man rule) is geen overbodige luxe voor een CA.

kjast @Rafe • 8 december 2013 14:57

Het lijkt me buitengewoon sterk dat dit een menselijke fout betreft.

"Het valse ssl-certificaat is binnen een privénetwerk gebruikt om versleuteld dataverkeer van en naar Google-servers af te tappen, zo concludeerde ANSSI na te zijn geïnformeerd door Google."

Dus we hebben per ongeluk een vals certificaat en het is misbruikt. Iets zegt me dat dat certificaat bewust is vervalst om oneigenlijk gebruik mogelijk te maken. Resteert de vraag of het vaker voor komt, en wie de opdracht gaf tot vervalsing.

[Reactie gewijzigd door kjast op 23 juli 2024 04:19]

SPee @kjast • 9 december 2013 00:21

Het certificaat zou zijn gebruikt door het ministerie van Financiën om het interne netwerk te kunnen monitoren.

Ik denk dat het gebruikt is voor de proxy server. En dit zal ook niet enkel tot Google beperkt zijn.
In vele bedrijven of instellingen gebruiken ze een interne certificaat om hetzelfde te bereiken. Maar hiermee konden ze ook de bezoekers op hun netwerk monitoren.

Beide lijkt me niet wenselijk. En voor zover ik weet kan een website niet controleren of het certificaat in de browser ook de originele is. Voor Google zit het in Chrome ingebakken. Maar er zou voor browsers een standaard api moeten komen waarmee je kan verifiëren bij de server.

rko4u @Rafe • 8 december 2013 15:27

Helemaal mee eens, tijd om een dubbele authenticatie te creeren waar twee instanties het certificaat samen uitgeven.

Armada651 @rko4u • 9 december 2013 03:22

Mooi idee, maar in de praktijk gaan ze dan simpelweg een dochteronderneming oprichten.

TD-er

@Rafe • 8 december 2013 14:14

Als een menselijke fout zo makkelijk gaat, lijkt het alsof slechts een persoon een certificaat kan laten uitgeven bij ANSSI. Het vierogenprincipe (two-man rule) is geen overbodige luxe voor een CA.

Inderdaad, het lijkt er hier sterk op dat iemand dacht iets nodig te hebben voor interne monitoring en dus "even snel" een certificaat heeft uitgedraaid.
Dat zou nooit mogelijk mogen zijn en toont dus aan dat het hier structureel fout zit.

unglaublich @mphilipp • 8 december 2013 13:47

Sorry maar je punt is niet relevant. De CA deelt uit aan Franse overheden. Wij shoppen natuurlijk graag goedkoop maar om een extended validation certificaat te verkrijgen is er nog steeds veel vetrouwen nodig: van browsers, CA's, gebruikers en shops zelf.

Zoals gezegd maken mensen fouten, vrij natuurlijk. Maar dit sluit absoluut niet uit dat mensen geen fout-vrije mechanismen kunnen ontwikkelen. Dit laatste is waar hier tekort aan is geschoten. Een fatale fout in een gevoelige wereld: einde bedrijf.

koelpasta @unglaublich • 8 december 2013 14:29

"Maar dit sluit absoluut niet uit dat mensen geen fout-vrije mechanismen kunnen ontwikkelen."

Fout-vrije mechanismen bestaan niet. In eerste instantie alleen al op basis van entropie.
Je kunt wel ontzettend hard je best doen om fouten te voorkomen en dat werkt ook wel tot op zekere hoogte.
Maar fout-vrij is een illusie in ons universum.
Dat zie je onder andere ook aan hoe biologie werkt. De truuk is om een mechanisme te laten werken ondanks dat het vol met fouten zit.

[Reactie gewijzigd door koelpasta op 23 juli 2024 04:19]

Finraziel

@koelpasta • 8 december 2013 16:28

Het hangt er een beetje vanaf hoe je "systeem" definiëert, maar een foutvrij systeem dat bijvoorbeeld 1 en 1 op telt bestaat natuurlijk wel, tenzij je de bijzonder kleine kans mee telt dat de processor ineens niet meer doet wat hij moet doen.
Als je hardware fouten buiten beschouwing laat dan kun je absoluut software systemen ontwerpen die gegarandeerd foutvrij zijn. Dat kost alleen heel HEEL veel moeite (je moet al je code bewijzen, bijzonder arbeidsintensief).

Edit: En het hangt af van hoe je foutvrij definiëert natuurlijk. Als je het letterlijk opvat en het dus nooit onder welke omstandigheid ook ooit fout kan gaan, dan heb je gelijk en bestaat foutvrij niet. Als je een 0 zeer dicht benaderende kans op fouten (weet ik veel, gemiddeld eens in de 5000000 jaar gaat het fout of zo) echter wel goed genoeg vindt dan zou ik in de praktijk toch gewoon van foutvrij spreken.

[Reactie gewijzigd door Finraziel op 23 juli 2024 04:19]

defixje @Finraziel • 8 december 2013 21:10

een foutvrij systeem dat bijvoorbeeld 1 en 1 op telt bestaat natuurlijk wel, tenzij je de bijzonder kleine kans mee telt dat de processor ineens niet meer doet wat hij moet doen.

Je geeft zelf al aan dat een foutvrij systeem niet bestaat in de zelfde regel waarin je wilt ontkrachten dat hij nooit kan bestaan.

Finraziel

@defixje • 8 december 2013 22:38

Als je de sofist uit wil hangen kun je altijd wel je gelijk halen, maar daar heb je zo weinig aan in het echte leven.

defixje @Finraziel • 10 december 2013 23:35

Het hangt er een beetje vanaf hoe je "systeem" definiëert,

En wat jij schreef dat valt onder...?

unglaublich @koelpasta • 8 december 2013 17:35

Dat zeg je heel mooi en retorisch maar gelukkig hebben mensen meer bruikbare definities van foutvrij: foutvrij zijn is het voldoen aan alle verwachtingen en specificaties. Zo is de genoemde CA niet vrij van fouten maar een plastic tas van de supermarkt wel.

koelpasta @DCK • 8 december 2013 14:25

"Als certificaatautoriteit is jouw enige bestaansrecht dat jij onvoorwaardelijk te vertrouwen bent. "

Volgens deze definitie kunnen er dus geen CA's bestaan.
Vertrouwen is een relatieve zaak en absoluut vertrouwen bestaat in werkelijkheid niet.
Je kunt hooguit vinden dat je iets genoeg vertrouwt.

Moartn 8 december 2013 14:44

Los van het gedrag van de CA, waarom heeft een Ministerie (of wat voor organisatie dan ook) een "echt" certificaat nodig voor intern gebruik? Elk fatsoenlijk netwerk (en/of Windows domain) heeft z'n eigen interne root CA, en daarmee kun je alles signen wat je maar wilt, aangezien deze root op alle clients getrust is.

CAPSLOCK2000

Frankrijk
Netwerk en systeembeheer

@Moartn • 8 december 2013 14:59

Voor BYOD (Bring Your Own Device). Tegenwoordig neemt iedereen z'n eigen telefoon/tablet/laptop mee naar z'n werk en verwacht daarmee op het netwerk te kunnen.

Je kan wel zeggen dat BYOD een slecht idee is en dat je het niet moet toestaan maar dat is niet meer van deze tijd. Zelfs wanneer je het verbiedt en vreemde devices van je netwerk blokkeert bereik je nog niks want dan schakelen ze gewoon over op hun 3G verbinding. Voor je het weet heb je dan 10 telefoons in je gebouw met een ingebouwde hotspot waar je helemaal geen controle meer over hebt.

ajakkes @CAPSLOCK2000 • 8 december 2013 15:39

Waarom wil je het verkeer van en naar google ontsleutelen en versleutelel. Anders dan om je eigen personeel af te luisteren. Het uitgeven van een certificaat waar je niet het recht toe hebt schaat het vertrouwen van je organisatie. tijd om hem te blokkeren.

CAPSLOCK2000

Frankrijk
Netwerk en systeembeheer

@ajakkes • 8 december 2013 16:09

Waarom wil je het verkeer van en naar google ontsleutelen en versleutelel. Anders dan om je eigen personeel af te luisteren.

Spyware kan ook naar gmail mailen.

mashell @ajakkes • 8 december 2013 17:52

Anders dan om je eigen personeel af te luisteren.

Dat klink weer zo negatief. De geïnfiltreerde spion in je organisatie ontmaskeren klinkt veel spannender en vereist dezelfde middelen.

ajakkes @mashell • 11 december 2013 07:10

De geinfiltreerde spion weet hoe een ssl certificaat te controleren. Eigen personeel niet.

CAPSLOCK2000

Frankrijk
Netwerk en systeembeheer

8 december 2013 13:54

Ik snap wel wat het ministerie probeert te doen. Je weet gewoon zeker dat er computers in je organisatie zijn die besmet zijn met virussen en spyware. Als het niet door spionnen komt dan wel door domme gebruikers. Die troep bedient zich van SSL om te verbergen wat er aan de hand is. De auteurs van dat spul snappen namelijk wel hoe belangrijk dat is. Een versleutelde verbinding naar gmail gaat niemand opvallen. De enige manier om dat goed te controleren is om de verbinding open te breken en mee te kijken.

In theorie klinkt dat heel redelijk maar de praktijk is nooit zo mooi als de theorie. Zodra je beveiliging gaat openbreken weet je dat het vroeg of laat fout gaat. Opzettelijk of per ongeluk zal er informatie in de verkeerde handen vallen.

Als ik het voor het zeggen had dat zou ik de hele gmail-webinterface blokkeren op het ministerie. De overheid zou geen gebruik moeten maken van computersystemen die in het buitenland gehost worden door een organisatie waar je geen controle over hebt. Maar ook hier is de praktijk nooit zo mooi als de theorie, waarschijnlijk zou het halve ministerie woest zijn als je gmail daadwerkelijk blokkeert.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 04:19]

mae-t.net @CAPSLOCK2000 • 8 december 2013 14:13

Dan moeten ze maar woest zijn. Dat soort diensten hoort niet thuis in bedrijven (niet als je bedrijfsgeheimen hebt in elk geval) en al helemaal niet in overheidsinstanties. Niet alleen omdat je ze niet onder controle hebt, maar ook omdat gewoon in de voorwaarden staat dat jij niet de enige eigenaar van je data meer bent.

@swhnld: dat er op meer manieren data kan lekken, betekent niet dat je de meest in het oog springende lekken niet alvast preventief moet vermijden.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 04:19]

swhnld

@mae-t.net • 8 december 2013 14:24

Er zijn zoveel manieren om hier achter te komen, gwoon met een verrekijker meekijken op scherm en toetsenbord, of foto maken met mobieltje, GoogleGlass aan staan tijdens werk.

De beste optie is die uit mission imposible, en dan nog kwam Tom Cruise binnen....

Fuzzillogic 8 december 2013 13:28

Om welke (intermediate) CA gaat het hier dan nou? Ik wil die dan ook even uit mijn browser verbannen.

Zorgwekkend wel dat het op smartphones dikwijls niet mogelijk is om als gebruiker CA's te wijzigen. Je moet daarvoor je apparaat vaak geroot of jailbroken hebben. Zelfs op mijn relatief open Nokia N9 heb ik nog behoorlijk wat moeite moeten doen om een certificaat te verwijderen

HakanX @Fuzzillogic • 8 december 2013 16:55

Daarom kun je ook beter een smartphone gebruiken die in eerste instantie op veiligheid is gericht en waarbij je je privacy in eigen handen hebt. Op Blackberry kun je dit gewoon standaard instellen. Op mijn Z10 heb ik de optie om vertrouwelijkheid in te trekken of alleen op wifi te accepteren (handig dus als je iets intern iets wilt onderzoeken).

m4ikel 8 december 2013 13:48

Quote:
De ANSSI heeft inmiddels laten weten dat er bij de uitgifte van het betreffende certificaat sprake was van een menselijke fout.

Het certificaat zou zijn gebruikt door het ministerie van Financiën om het interne netwerk te kunnen monitoren.
----
Eerst heeft men het over een menselijke fout, maar in de volgende regel over doelbewuste afluisterpraktijken. M.a.w: Nu het certificaat is ontdekt erkent ANSSI dat men niet had mogen meewerken aan deze praktijken... ik zeg: te laat! === exit

Frituurbaas @m4ikel • 8 december 2013 23:21

Eerst heeft men het over een menselijke fout, maar in de volgende regel over doelbewuste afluisterpraktijken. M.a.w: Nu het certificaat is ontdekt erkent ANSSI dat men niet had mogen meewerken aan deze praktijken... ik zeg: te laat! === exit

Dit klinkt een beetje als een persvoorlichter die eerst een half verkeerd verhaal (menselijke fout) de wereld in heeft geholpen, en toen is teruggefloten omdat er vanwege externe druk toch een waarheidssausje over de situatie moest worden gegoten.

kodak 8 december 2013 15:47

Wanneer is dit als een 'menselijke fout' aangemerkt?
Was dat nadat Google aan de CA-bel trok en ANSSI erachter kwam dat het niet heel erg handig was om valse certificaten uit te delen?
of
Was dat op het moment dat ze bij ANSSI al hun controles en verantwoordelijkheden overboord gooiden en doodleuk op verzoek van een nieuwsgierig ministerie een vals certificaat wilde leveren?

Linksom of rechtsom, het blijkt dat men bij ANSSII danwel volledig onafdoende controlemaatregelen toepast (meer ogen principes etc) - en waarom is dat niet eerder bij audits opgemerkt. Of er werken bij ANSSII meerdere mensen die maling hebben aan hun verantwoordelijkheid richting de rest van de wereld.

Mijn mening: het zoveeste bewijs dat CAs onbetrouwbare organisaties zijn en audits been barst voorstellen. Het hele CA-systeem is een grote farce waar het enkel draait om zogenaamd vertrouwen en er als CA zelfs beter van worden.

Op dit item kan niet meer gereageerd worden.

Certificaatautoriteit ANSSI verstrekte vals Google-certificaat

Lees meer

IT-banen

Reacties (66)

Sorteer op:

Weergave: