Hoofdcategorieën

Poll

Gehackte ssl-autoriteit

De Nederlandse overheid vertrouwt de gehackte ssl-autoriteit DigiNotar, die overheidscertificaten levert, nog steeds. Is dat terecht?

Het zou beter zijn om voorzichtig te zijn nu er nog een onderzoek loopt: 32,8%
Nee, eerst moet blijken dat die certificaten wel veilig zijn: 29,8%
Nee, DigiNotar heeft alle geloofwaardigheid verloren: 25,3%
Ja, de media overdrijven de ernst van de hack: 7,1%
Ja, de hack heeft geen betrekking op overheidscertificaten: 5,1%

Aantal stemmen: 9.386. Deelname gesloten op 21-09-2011 12:34. Stemmen is niet meer mogelijk.

Reacties

Door SomerenV, woensdag 31 augustus 2011 14:30

Hoe kun je nou een autoriteit vertrouwen die gehackt is? Da's net als in een pand zitten waar al meermaals ingebroken is, en dat je dan vervolgens zegt dat je de eigenaar van het pand nog steeds vertrouwd ook al is de beveiliging niet op orde. Ligt het aan mij of is dat een vreemde logica?

Edit: typfoutje

[Reactie gewijzigd door SomerenV op woensdag 31 augustus 2011 14:33]

Door the_shadow, woensdag 31 augustus 2011 15:26

Vergelijk het liever met een pand waar eenmalig is ingebroken, waar spul is gejat, maar waarvan de deur is gerepareerd, alleen is nog niet bekend wat er allemaal gestolen is. De boel moet in mijn ogen goed gecontroleerd worden, maar om DigiNator direct af te zeggen gaat wat kort door de bocht. Ze hebben immers in het verleden bewezen dat ze voldoen aan de standaarden van een CA. Dat zouden ze nu weer opnieuw moeten doen.

Door pkuppens, woensdag 31 augustus 2011 17:17

De inbreker heeft bovendien camera's opgehangen van Iraanse makelij.
Pas na een maand kwam de beheerder erachter.

Door Daeron, woensdag 31 augustus 2011 18:53

Het probleem is meer dat de inbraak al vele maanden geleden plaats gevonden heeft en dat er spullen verdwenen zijn, maar dat niet bekend is wat er verdwenen is en dat er ook niet vermeld is aan de klanten dat hun spullen gestolen zijn.

Dat is imho het grote probleem met diginotar. Ze hadden indertijd netjes moeten aangeven dat er certificaten nagemaakt zijn. Dan hadden ze zelf een nieuwe root certificaat kunnen uitgeven en alle andere certificaten opnieuw laten signen met het nieuwe certificaat.

Door de stappen die diginotar ondernomen heeft zijn ze imho alle betrouwbaarheid verloren en zijn alle certificaten die door hun uitgegeven zijn waardeloos.

Door yiNXs, donderdag 1 september 2011 10:43

De vergelijkingen die hier gemaakt worden, zijn eigenlijk allemaal incorrect. Als eerste is het een vrij technisch probleem, dus gooi even alle empathie voor dit bedrijf om wat voor reden dan ook aan de kant, dit is allemaal zakelijk en het gaat over een onderwerp waar geen fouten of twijfels mogen bestaan.

Hoe goed het bedrijf nu beveiligd is doet er niet toe. Het gaat enkel en alleen om de spullen die gejat zijn en met nadruk op wat het zijn, namelijk certificaten. En zelfs al is er onzekerheid over, er is een risico dat er valse certificaten (van echtheid, want dat zijn het) in omloop zijn.

Het doet er ook niet toe wat voor stappen ze ondernomen zouden hebben, de betrouwbaarheid van de certificaten was verloren direct na de inbreuk, daar valt niets meer aan te doen. Hoe goed, betrouwbaar, vriendelijk, etc. het bedrijf dat ze uitgaf ook was.

De beste en ook toepasselijke vergelijking van deze situatie is dat er een vorm van identiteitsbewijzen zijn gestolen, die de dief in staat stelt zich voor 100% zekerheid te kunnen uitgeven voor wie hij ook wil.

In dit geval kan de hacker zich dus geloofwaardig voordoen als o.a. de digid site, waarmee hij dus als gevolg in staat is jouw echte online identiteit te stelen.

Dit nu onbetrouwbare rootcertificaat dient nu dus nog als de garantie van de echtheid van de digid site en daarmee direct ook voor de betrouwbaarheid van onze nederlandse online ID's.

Het negeren van deze inbreuk dat de overheid nu doet is gewoon onacceptabel, hier zou je nooit een seconde bij moeten stilstaan. Altijd direct een nieuw certificaat gebaseerd op een nog steeds betrouwbaar root certificaat. Dit is misschien een hoop werk, maar anders kan je net zo goed geen beveiliging inbouwen.

Door worldcitizen, donderdag 1 september 2011 00:12

Vergelijk het liever met een pand waar eenmalig is ingebroken, waar spul is gejat, maar waarvan de deur is gerepareerd, alleen is nog niet bekend wat er allemaal gestolen is.

Nee, de eigenaar van het pand zegt dat de deur gerepareerd is. Waarna deze op zijn blauwe ogen geloofd wordt.

nieuws: Overheid vertrouwt blunderende ssl-autoriteit

Ik vind dat de overheid moet overstappen op een door de EU gecontroleerde variant of een variant met bewezen staat van dienst zoals bij voorbeeld VeriSign, het gaat uiteindelijk om de veiligheid van de gegevens van de burger.

[Reactie gewijzigd door worldcitizen op donderdag 1 september 2011 00:17]

Door Freee!!, donderdag 1 september 2011 11:14

met bewezen staat van dienst zoals bij voorbeeld VeriSign

Verisign heeft in het verleden ook behoorlijke steken laten vallen. Tevens is dat een Amerikaans bedrijf en ik kan me zo voorstellen dat de Nederlandse overheid het graag bij een Nederlands bedrijf wil houden. Als Nederlands staatsburger geef ik daar (gegeven de Amerikaanse wetgeving en andere onhebbelijkheden) in ieder geval toch wel sterk de voorkeur aan.

Door i-chat, vrijdag 2 september 2011 13:06

geef ik je ergens wel gelijk in, MAAR een of ander raadselachtig schimmig bv-tje uit nergenshuizerveen ??? met alle respect voor mensen uit harderwijk, maar als het een sirieus bedrijf was met sirieuze klanten had het wel dichter in de buurt an andere nuttige bedrijven gezeten, in steden als amersfort, utrecht, amsterdam, leiden of de andere kant op groningen (waar ook een aantal overheidsdiensten zitten?)...

- en dan nog, heb ik 10x liever een intenationaal bedrijf dat z'n zaakjes op orde heeft dan een nederlandse jan-tokkie, die op basis van piano feestjes met rutte, en op school zitten bij jp (uit het vorrige kabinet)... dit contract heeft binnen gesleept...

de staat had bovendien een bv kunnen laten oprichten welke als subcontractor (reseller) van verisign gewoon in nederland was gehuisvest...

Door regmaster, donderdag 1 september 2011 14:27

Het gaat allemaal in feite om vertrouwen. Het gehele internet vertrouwt een CA indien deze een certificaat heeft uitgegeven aan een 3e partij. We onderwijzen onze burgers al jaren dat ze 3 x moeten kloppen en dat in geval van twijfel ze niet verder moeten gaan. Op het moment dat vertrouwen wordt geschonden is er geen sprake meer van het herstellen ervan maar gewoon een zakelijke afrekening op deze schending.
De core business van een CA is immers gebaseerd op vertrouwen en dat ze bij een schending ervan exit gaan is een logisch gevolg.
Ik denk ook dat Vasco, als moederbedrijf, niet op een onderneming zit te wachten welke aan elkaar hangt van blunders en welke ook geen vertrouwen meer geniet.
Ga er maar vanuit dat Diginotar in de huidige vorm zal worden opgedoekt om zo iedere referentie aan een vertrouwensbreuk uit te wissen. Althans dat zou ik als Vasco zijn wel doen. Better safe then sorry.

[Reactie gewijzigd door regmaster op donderdag 1 september 2011 14:28]

Door ZpAz, woensdag 31 augustus 2011 14:55

Diginotar gaf aan dat ze gehackt waren maar dat hebben ze toen stil gehouden. Genoeg reden om over te stappen lijkt me, ze brengen het pas naar buiten als het niet meer te houden is.

Door arbraxas, woensdag 31 augustus 2011 15:24

Als ze gahacked waren en dit was adequaat aangepakt zouden ze nog wat geloofwaardigheid hebben.
Nu hebben ze ten eerste het onbenullig domein van google over het hoofd gezien en het ook nog eens in de doofpot proberen te stoppen.
Nee zelf heb ik nog 0,0 vertrouwen in diginotar omdat ze zichzelf ten alle tijden voorop stellen ipv het goed en veilig regelen van certificaten.
We hebben het uiteindelijk alleen maar over digiD en google, wat voor shit je daarmee kunt veroorzaken ontgaat de heren van Diginotar en onze regering blijkbaar.
Voormij hebben ze totaal afgedaan, zodra ik de naam diginotar zie zal ik toch onmiddelijk achterdochtig worden.
De basis voor het werk van diginotar is weg, namelijk vertrouwen.

[Reactie gewijzigd door arbraxas op woensdag 31 augustus 2011 15:29]

Door ADQ, woensdag 31 augustus 2011 15:45

De basis voor het werk van diginotar is weg, namelijk vertrouwen.

Yep. En er zijn er nog 5 in Nederland, dus waarom doorgaan met dit bedrijf? Ze waren in 2009(!) al gehackt!

Door musiman, donderdag 1 september 2011 07:25

even een bronvermelding m.b.t. de hack van 2009: link

Ik vind het gewoon schandalig dat een hoogste vertrouwenspersoon verzwijgt dat deze gehackt is. En wanneer het vervolgens actief wordt gebruikt en publiekelijk bekend wordt, vermelden zij dit pas.

Hoe kun je nog vertrouwen hebben in een bedrijf dat niet volledig transparant werkt en zeer belangrijke dingen verzwijgt voor zijn klanten?

Door Freee!!, woensdag 31 augustus 2011 15:29

Ik weet niet hoe het met jullie is, maar ik begin steeds meer mijn vertrouwen in de Nederlandse overheid te verliezen door dit soort acties.

Door wouter veltmaat, woensdag 31 augustus 2011 16:36

Dat die vertrouwen op de papieren schijnzekerheid die DigiNotar ze blijkbaar gegeven had?
Ze zijn misschien naief wat dat betreft maar het was DigiNotar die nalatig was.
Uithuilen, failliet en opnieuw beginnen onder een andere naam dus.

Door i-chat, vrijdag 2 september 2011 13:10

en hopen dat men daar achterkomt zodat ook DIE bv weer op de fles kan, dit management team of dat nu diginotar of vasco is...... mag NOOIT maar dan ook NOOIT meer een eigen ROOT CA beheren... niet als minstens de helft van de top word vervangen door nieuw bestuur, welke aantoonbaar geen banden heeft met het vasco / diginotar van nu...

immers " vos + haren + streken ....<vul zelf maar in> "

Door mashell, woensdag 31 augustus 2011 17:30

Iemand wienst product het aantonen van betrouwbaarheid is en die zelf op 1 of andere manier het vertrouwen schendt is per definitie onbetrouwbaar. Een bedrijfsbeeindiging van diginotar is helaas voor hen de enige juiste uitweg.

Door dwarfangel, woensdag 31 augustus 2011 18:24

Als ik 1 ding weet over computers is dat bijna alles 'gehackt' kan worden.. dus mijn mening is dat je als overheid weinig keuze hebt. Want wat zijn de alternatieven?

De kleine dynamische ondernemingen die wél dit soort dingen snel kunnen oplossen doordat ze de juiste kennis in huis hebben komen vaak niet in aanmerkingen om de overheid als opdrachtgever te winnen, domweg door vage en onrealistische criteria die ten tijde van het 'booming-internet' zijn vastgelegd.

Een ander bedrijf inschakelen van dergelijke omvang als DigiNotar gaat zeer waarschijnlijk ook heel veel geld kosten, dat gaat extra ten koste van de geloofwaardigheid van de overheid.

Ze zullen wel erop toezien dat diginotar zorgt dat ze de juiste kennis in huis halen om dit in de toekomst te voorkomen, en kritischer naar de eigen systemen te kijken.

Ik heb laatst documentaire over 'white hackers' gezien en ik zie zeker een toekomst waarin steeds meer hackers de uitdaging zoeken om steeds betere 'fortresses' te bouwen om collega's en criminelen te 'pesten'. In plaats van 'onschuldige' burgers geld afhandig te maken.

Door DaitoX, woensdag 31 augustus 2011 19:36

Alles kan gehacked worden, correct. Maar hoe je daar mee omgaat als bedrijf zijnde maakt wel een groot verschil. Hier is zeker verkeerd gereageerd en omgegaan met het feit dat er een hack plaats heeft gevonden.

Daarnaast vindt de overheid het blijkbaar oke dat hun certificaten daar gewoon nog draaien, terwijl dit wel over zeer persoonlijke gegevens gaat (DigiD, hoe bedoel je identificatie fraude). Hierbij wordt geen openheid gegeven over wat er voor maatregelen zijn genomen en laat de overheid zich compleet leiden door een commercieel bedrijf. Het commerciele bedrijf dat al aantoonde dat het liever dingen verzwijgt als er wat mis is gaat natuurlijk niet zeggen tegen de overheid dat er een risico is, ook als deze er zou zijn.

Dus onze persoonlijke identificatie gegevens, zoals we die moeten gebruiken om met de overheid te communiceren, wordt toevertrouwd aan een commercieel bedrijf zonder enige informatie waarom wij deze zouden moeten vertrouwen.

Vooral voor leken zijn dit toch enorme risico's want die beginnen net het "groene slotje" te begrijpen en dat is nu dus een risico.

Door KoploperMau, woensdag 31 augustus 2011 21:13

Je weet het niet en je kunt het niet weten (tenzij je zelf de hack hebt uitgebracht, maar dat lijkt me stug). Voorzichtig zijn dus!

Door PrinceXEvil, donderdag 1 september 2011 12:34

Uitgaande van alleen de artikelen op Tweakers.net vind ik de lakonieke houding van de overheid. Die deze houding tevens heeft gekregen door advies te vragen aan nota bene DigiNotar. Uitermate slecht.

De overheid faalt keihard. Maar nog erger is DigiNotar. Het lijkt net alsof ze gewoon staan en ondertussen niets doen. Er is een audit geweest en dit kwam toen niet boven tafel. Nu loopt er nog een onderzoek, hoe neutraal of eigenlijk gezegd hoe waardevol is deze onderzoek als de vorige audit ook niet afdoende was?

Ik vind DigiNotar een ontzettend hoog risico op dit moment, ik zou ze ook per direct alle contracten mee ontbinden. Vind je het te hard? Als DigiNotar had bewezen de situatie onder controle zou hebben en zelf ook actief klanten zou benaderen en ook verantwoordelijkheid zou nemen. Dan had ik nog het idee dat ze professioneel te werk gaan en vooral transparant.

Nu stinkt dit zaakje zo erg dat ik het niet eens naar wil kijken. Weg ermee, ze hebben het verpest en hebben geen enkel concrete acties uitgevoerd waarvan ik denk. Goed ! Dat er een onderzoek loopt is wel leuk en aardig, maar daar heb ik als bedrijf niets mee als ik een certificaat NU van hun gebruik.

Door netman, donderdag 1 september 2011 14:15

Stel even dat de overheid PKIoverheids certificaten van DigiNotar wel gekickt zou hebben:

Alle gebruikers van dergelijke certificaten dienen dan nieuwe certificaten aan te vragen bij een andere PKI overheids CSP.. Dat duurt minmaal een week of 4. (Eerst moet een nieuwe klant grondig geverifieerd worden al vorens certificaten aangrvaagd kunnen worden.) Gedurende die tijd kunnen de getroffen bedrijven, instellingen (bijv. scholen) en overheidsorganisaties geen gegevens aanleveren/uitwisselen terwijl ze daar vaak wel wettelijk toe verplicht zijn.....Kortom de chaos wordt nog groter. Als je een dergelijk migratie traject doet dan aub een beetje gereguleerd.

Even een vergelijk met de papieren werkelijkheid. Er worden zo nu en dan ook papieren paspoorten gestolen. Toch trekken we dan niet alle paspoorten type X in......Kortom ook daar een afweging tussen risico en gevolgen van het intrekken.

Door i-chat, vrijdag 2 september 2011 13:15

hoe kom je toch aan 4 weken, ik ken een bedrijf waar ze reden van een inbraak de validiteit van de private key niet meer konden garanderen, binnen 36 uur waren 12 productieservers van een nieuw cert voozien, dat was inclusief de 'bedrijfscheck' welke doro de pki in deze verplicht werdt gesteld (policy zat dus goed in orde)..

Door PrinceXEvil, vrijdag 2 september 2011 13:23

Ik vind de vergelijking niet kloppen. De certificaten worden gebruikt om veilig te communiceren. Dat je weet dat de persoon naar wie je hem verstuurd ook daadwerkelijk dat persoon is.

Je vergelijking zou dan eerder kloppen als je zou zeggen dat de aanvraag van paspoorten voor 4 weken stop wordt gezet en dat je ondertussen wel je paspoort kan gebruiken mocht hij nog geldig zijn.

Het klinkt misschien ernstig en heeft grote gevolgen, maar wat zijn de gevolgen nu? We hebben nu opnieuw een nieuwsbericht gekregen waarbij je dus kan zeggen dat DigiNotar op de hoogte was en nog steeds certificaten aan het uitdelen was.

PS
Ik snap niet hoe jij omhoog gemod wordt, maar ik ben er ondertussen van overtuigt dat inderdaad de meerderheid geldt.

Door ro8in, donderdag 1 september 2011 17:20

Ben ik nou de enige die twijfelt aan het hele hackers verhaal? Ik vind dat het wel erg erop begint te lijken dat Diginotar gewoon wist waar ze mee bezig waren en die valse certificaten misschien gewoon voor veel geld op de zwarte markt hebben verkocht.
Het gaat om 100'en certificaten vind het maar raar dat ze dat zolang niet hebben opgemerkt. Neem aan dat een Iraanse overheid daar wel wat nulletjes voor wil neertellen.

[Reactie gewijzigd door ro8in op vrijdag 2 september 2011 12:28]

Door YuriV, vrijdag 2 september 2011 08:06

Ik heb die twijfels ook. Het is wel erg 'gemakkelijk' om bij dit soort problemen aan te geven dat je gehackt bent. De situatie is op z'n minst dubieus te noemen en daardoor lijkt het mij ook niet mogelijk om zomaar op dezelfde voet door te gaan.

Door Wolfos, vrijdag 2 september 2011 13:18

Dat heb ik constant al gedacht eigenlijk, maar probeer het maar eens te bewijzen.

Op dit item kan niet meer gereageerd worden.

Poll

Gehackte ssl-autoriteit

Reacties

27-05 Nieuws

00:38 Productreviews

06:08 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

05:39 Reacties

05:01 Forum

25-05 Gesponsorde acties

01:46 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines