Overheid: mogelijk DigiD-inloggegevens gestolen door hack

Het systeem, waarmee ssl-certificaten voor overheidsdiensten als DigiD en de belastingdienst worden gemaakt, is gekraakt. Dat blijkt uit een rapport van beveiligingsbedrijf Fox-IT. Het is onduidelijk of DigiD-inloggegevens zijn gestolen.

Het is niet onmogelijk dat hackers de inloggegevens van Nederlanders bij DigiD hebben buitgemaakt, schrijft het ministerie van Binnenlandse Zaken. Het systeem waarmee ssl-certificaten voor onder meer DigiD, de Rijksdienst voor het Wegverkeer en de Belastingdienst worden gemaakt, blijkt te zijn gekraakt door hackers. Dat blijkt uit het rapport dat beveiligingsbedrijf Fox-IT schreef over de hack bij ssl-autoriteit DigiNotar.

De Rijksoverheid lijkt vooralsnog de kans dat er valse certificaten voor de overheidsdiensten zijn misbruikt, niet groot te achten, maar waarschuwt mensen wel: "Er valt niet voor de volle honderd procent uit te sluiten dat u als gebruiker geen risico loopt als gevolg van frauduleuze certificaten. Zo kunnen aanvallers u herleiden naar een
malafide website en daarmee uw inloggegevens, zoals gebruikersnaam en wachtwoord, in handen krijgen. Hiermee kunnen zij toegang krijgen tot uw account. Daarnaast kunt u als gebruiker in de veronderstelling zijn dat u te maken heeft met een betrouwbare website. Als u dan bijvoorbeeld software wilt downloaden, kan dat
kwaadaardige software zijn zonder dat u het weet."

Tot aan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op. Browsers zullen binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken.

De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies is echter niet waterdicht: browsers geven nu nog geen foutmelding, terwijl het gebruikte certificaat van DigiNotar is. Bovendien werken sommige mensen met een browser die niet up-to-date is en dus helemaal geen melding zal geven.

Update 15:25: DigiD raadt zelf gebruikers af van het systeem gebruik te maken.

IT-banen

Reacties (151)

Verwijderd 4 september 2011 10:38

Gelukkig heeft getronics een crisisloket geopend om zo snel mogelijk de ssl certificaten te renewen.

CERTIFICATEN CRISISLOKET GEOPEND
Het KPN/Getronics crisisloket voor certificaten is ook dit weekend geopend. De overheid heeft zaterdag in een persconferentie bekend gemaakt het vertrouwen in DigiNotar te hebben opgezegd. Browser fabrikanten hebben alle DigiNotar certificaten nu als onbetrouwbaar gemarkeerd. Voor informatie over het vervangen van certificaten kunt u contact opnemen met e-mail adres: certificaten.info@getronics.com of telefoonnummer: 0320-217300.

El Cid @Verwijderd • 4 september 2011 21:24

DigiD is al over naar certificaten van Getronics, zag ik net.

doeternietoe 3 september 2011 13:28

Uit de Q&A van het ministerie:

4. Kan ik veilig digitaal belastingaangifte doen?
Zolang u geen beveiligingswaarschuwing en het “slotje” te zien krijgt in uw browser
kunt u veilig uw belastingaangifte doen. Als u wel een waarschuwing te zien krijgt,
adviseren wij u te wachten tot de website geen waarschuwing meer geeft.

De belastingdienst heeft, lijkt me, voor alle bezoekers hetzelfde PKI overheid/diginotar certificaat waarvan de veiligheid niet gegarandeerd kan worden. Nu hangt het dus van de browser af of mensen wel of niet veilig van overheidssites gebruik kunnen maken. Dat de browser het certificaat niet als onveilig markeert heeft er enkel mee te maken dat de browser niet up to date is. Eerlijk gezegd lijkt dat me een vals gevoel van veiligheid, omdat de echtheid van het certificaat nog steeds niet gegarandeerd is. Waarom zetten ze deze diensten niet tijdelijk offline, danwel blokkeren ze het publieke gedeelte?

BamSlam_

3 september 2011 14:03

Snel het wachtwoord van mijn DigiD-account wijzigen dan maar. Ik snap niet dat de overheid dat nog niet geadviseerd heeft. Of wacht, eigenlijk snap ik dat wel..

De pest is dat DigiD weer zo'n product is dat je door de strot is geduwd, je kunt niet meer zonder. Net als de OV Chipkaart, ook zo'n miskleun.

[Reactie gewijzigd door BamSlam_ op 23 juli 2024 14:07]

Alex3 @BamSlam_ • 3 september 2011 19:47

Volkomen zinloos, dat is juist link. De site is niet gehackt. Wel kan een ander met een vals certificaat een nep-DigiD-site opzetten. Zolang je niet inlogt komt een hacker niet achter je wachtwoord. Nu weet hij ook je nieuwe wachtwoord.

Verwijderd @BamSlam_ • 3 september 2011 14:18

Dat heb ik ook al gedaan maar als digid.nl zelf gecorrumpeerd is dan heb je er nog niet veel aan

Verwijderd @BamSlam_ • 3 september 2011 14:26

Precies, was ook het eerste wat ik heb gedaan.
Alleen ben ik nu niet meer zo zeker van mijn zaak, omdat die hackers dan over mijn schouders heen kunnen kijken nu?
Of snap ik dat niet goed.

CH4OS @BamSlam_ • 3 september 2011 14:43

Snel het wachtwoord van mijn DigiD-account wijzigen dan maar. Ik snap niet dat de overheid dat nog niet geadviseerd heeft. Of wacht, eigenlijk snap ik dat wel..
De pest is dat DigiD weer zo'n product is dat je door de strot is geduwd, je kunt niet meer zonder. Net als de OV Chipkaart, ook zo'n miskleun.

Het advies is om een aantal dagen nog te wachten vooraleer digitaal verzoeken te doen naar de overheid.

CMG 3 september 2011 13:06

Dit is BS. De 'berichten' die gevonden zijn waren allemaal Iraanse hackers; die hebben weinig waarde aan Nederlandse DiGiD gegevens (twijfel of ze uberhaubt weten wat het is).

Dit was gewoon een geval van laag hangend fruit; een CA die de beveiliging zeer slecht op orde had & die misbruikt kon worden om certificaten aan te maken zoals dat ook gebeurd is, om grote internationale targets te hitten.

Kortom: Stemming makerij dit bericht.

BrokenTable @CMG • 3 september 2011 13:09

Aan de andere kant: Als de overheid geen waarschuwing afgeeft en er blijken toch DigiD gegevens buit gemaakt te zijn , is het ook niet goed.

CMG @BrokenTable • 3 september 2011 13:17

Er is geen goede oplossing voor het huidige probleem.

Ik zat eerst te denken: Ok, dan zou ik ssl verkeer naar non-ssl redirecten op digid.nl (geen certificaat geladen) en dan redirect naar new-digid.nl o.i.d. met een e.v. certificaat van een andere CA, maar als er ergens anders op de wereld nog een CA gehackt is, kan die net zo goed een certificaat uitgeven voor het nieuwe domain.

Het probleem zit 'm er in dat de CA als onfeilbaar beschouwd worden en dat is dus helaas niet het geval. Zodra er een gehackt wordt zoals Diginotar gehackt is, valt het hele SSL Trust systeem om; er is namelijk geen goede manier om de trust list van een browser te updaten; als je niet met de bleeding edge versie van een browsers werkt, blijft Diginotar trusted; hier is geen goede oplossing voor.

Je zou kunnen denken dat je het via DNS als txt record mee kan geven; welke CA het certificaat moet leveren, maar voor een successvolle hack met deze fake certificaten moet je al een MitM attack doen, daardoor kun je DNS ook niet trusten.

Al met al een heel vervelende situatie; ben benieuwd of men een andere manier gaat vinden om dit op te lossen.

Je zou een soort common knowledge systeem kunnen toepassen, waarbij je peers uit de omgeving vraagt of je gegevens kloppen, maar ok dat zou je kunnen faken. Probleem is dat als je in een positie bent om deze hack toe te passen (MitM), dan je eigenlijk al het hele netwerk verkeer beheerst en er bijna geen goede verdediging meer bestaat.

Van-Z @CMG • 3 september 2011 13:40

Van-Z in 'nieuws: Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar'

"SSL is gevoelig zelfs wanneer de CA's niet gehackt worden: BlackHat USA 2011: SSL And The Future Of Authenticity

Mijn tip is gebruik Convergence voor spul waar je echt 'paranoide' over bent. Het principe achter Convergence zal certificaten goed- of af- keuren op basis van de resultaten uit meerdere perspectieven. Niet op basis van het feit dat een CA in 'de trusted lijst' staat. (details over de werking worden uit de doeken gedaan in "BlackHat USA 2011: SSL And the Future of Authenticitiy")
Je kan enkele simpele zaken configureren aan Convergence om tot het gewenste paranoia niveau te komen...."

Xubby @Van-Z • 4 september 2011 16:11

Van-Z in 'nieuws: Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar'

Even nagezocht wat Convergence is.
"The idea behind Convergence is to download the presented SSL certificate directly and then ask a series of trusted notaries to download the certificate and give it to you as well.

You can then compare the certificates to yours to determine whether your connection is being spied upon. This allows for the user to decide who to trust, and also eliminates the need to purchase certificates or trust CAs.

Ofwel als je naar een beveiligde website gaat, haal je het certificaat op. Datzelfde certificaat haal je op bij een aantal door jouw vertrouwde "notarissen" en vergelijkt ze allemaal. Zo beslis je zelf wie je vertrouwd.

Lijkt me wel wat.

[Reactie gewijzigd door Xubby op 23 juli 2024 14:07]

kimborntobewild @Xubby • 5 september 2011 05:30

Welnee, da's ook niks.
Vééls te ingewikkeld voor elke niet-doorgewinterde tweaker.
Oftewel waardeloos voor 99% van de bevolking. Hetzelfde deel van de bevolking die nu ook al in spam/scam- en hoaxmails trapt.

max3D @CMG • 3 september 2011 14:14

CMG er is wel een alternatief. Namelijk wat Google gedaan heeft. Dit artikel http://www.imperialviolet.org/2011/05/04/pinning.html is al van Mei dit jaar, maar wijst erop dat Google zich erg bewust van het gevaar van ´rogue´ organisaties als DigiNotar. Zeer lezenswaardig in het licht van de huidige onthullingen.

Google heeft straffe maatregelen genomen door voor haar eigen diensten/subdomeinen pinning te gebruiken en slechts 4 certificates te accepteren, de drie meest serieuze en hun eigen natuurlijk.. Mogelijk hebben ze daarmee al een boel schade voorkomen in Iran door dit preventief te doen.

Ze pinnen hun eigen services en acceptereren alleen certificates van max 4 authorities. Dat zou in het geval van de Nederlandse staat in mijn ogen een prima handeling zijn. De overheid zou hetzelfde dus moeten doen. Je moet je eigen overheid kunnen vertrouwen en dus ook zeker weten dat je geen MiM hebt. Google gelooft niet in het huidige systeem voor haar eigen diensten en we hebben nu gezien dat dit correct is.

Als zij geen certificate pinning gedaan zouden hebben zou dit probleem met gmail.com en google.com nooit aan het licht gekomen zijn en zou de Iraanse overheid inderdaad MiM hebben kunnen spelen. Lijkt me toch heel verstandig en prettig van zo´n cruciale search en mail service.

Daar DigIID zéér privacy gevoelige gegevens moet beschermen hebben overheden hier een taak. Ik zou google dus gewoon volgen in dit beleid..

army @CMG • 3 september 2011 13:45

Je bedoelt zoals RFC4398 en RFC4985? De eerste stamt uit 2006 (!!!) en in 2009 heeft oa Dan Kaminsky hier al voor gewaarschuwd. Pas bij de Comodo hack werden partijen als Google en Mozilla wakker en is de implementatie van RFC4398 begonnen, maar het zal nog even duren. Om dit goed te implementeren heb je wel DNSSEC nodig en dit is iets waar oa de OpenSSH developers in 2003 (!!!) als ik me niet vergis al tegen aan liepen om SSH-hostkeys veilig in DNS op te slaan en te gebruiken.

daft_dutch @BrokenTable • 3 september 2011 13:50

Aan de andere kant: Als de overheid geen waarschuwing afgeeft en er blijken toch DigiD gegevens buit gemaakt te zijn , is het ook niet goed.

Dat er enkele (check het certificaat) garantie is. Is er geen enkele aanleiding dat het in gebruik is. Je weet het niet. Dat is geen veiligheid dus weg er mee.
Iran heeft directe grip op hun internet pijplijn. (iran <=> world ) Daar tussen kan je zeer gemakkelijk met een vals certificaat Alles lezen. met 1 ssl proxy 100% google.com.
Ik mag aan nemen dat dat in Nederland een flink stuk veiliger is.

[Reactie gewijzigd door daft_dutch op 23 juli 2024 14:07]

Don Quijote @CMG • 3 september 2011 13:11

Tja, ik kan me bijna niet voorstellen dat Binnenlandse Zaken dit naar buiten brengt als "Stemmingmakerij". Ik zie zo snel niet wat BiZa te winnen heeft met de betrouwbaarheid van DigiD in twijfel trekken? Wel valt er een hoop te verliezen als consumenten het vertrouwen verliezen en dergelijke producten.

Daarbij komt dat ik ook liever heb dat ze de mogelijkheid gaan onderzoeken, dan dat ze het bij voorbaat verwerpen.

CMG @Don Quijote • 3 september 2011 13:27

Ik had het niet over BZ, maar over Tweakers.net.

Dat iemand van de overheid zegt dat 'alles mogelijk is' en dat vertalen naar:

Overheid: mogelijk DIgiD-inloggegevens gestolen door hack

vind ik wel degelijk mensen onnodig ongerust maken. Er is al genoeg aangestipt wat de mogelijkheid waren (certs genereren), waar het tot nu toe is gevonden (gmail en 200+ andere die niet genoemd zijn) en dat ze mogelijk niet alle fake certs hebben gevonden. Om dat meteen mensen bank te gaan maken met 'Mogelijk DiGiD gegevens op straat' (wat mensen lezen als een 50/50 kans) vind ik behoorlijk overdreven en op sensatie belust.

Auteur

arnoudwokke Redacteur Tweakers @CMG • 3 september 2011 13:44

Dit gaat niet om de fake certs voor *.google.com; we wisten al dagen dat het systeem daarvoor was gekraakt. De overheid wist echter vrijwel zeker dat de PKI-Overheid-certs (die op een apart systeem worden gegenereerd) niet nep konden zijn: de overheid heeft zelfs Mozillia ertoe bewogen om PKI-Overheid-certs niet in de ban te doen (daarvoor moest aparte code worden geschreven). Daar is Mozilla ook niet blij mee: de browserbouwer wil nog een hartig woordje spreken met onze overheid.

Ik zie veel mensen impliceren dat het de Iraanse overheid was die met valse certificaten eigen burgers wilden bespioneren. Het zal wel, maar waarom is er dan op het systeem voor PKI-Overheid ingebroken? De hackers konden al certs maken voor Google, Facebook en Twitter, dus waarom wilden ze ssl-certificaten kunnen maken voor DigiD en de Belastingdienst? (voor de duidelijkheid: we weten niet of dat is gebeurd, we weten alleen dat hackers dat konden)

De overheid is heel, heel voorzichtig met dit soort meldingen: pas als het echt niet anders kan, zal het ministerie zeggen dat het beveiligingssysteem niet kan worden vertrouwd.

Ik ben geen Fox-IT-expert, maar op basis van de nu beschikbare info zou ik je afraden deze diensten te gebruiken als je browser zegt dat het certificaat is ondertekend door DigiNotar

[Reactie gewijzigd door arnoudwokke op 23 juli 2024 14:07]

max3D @arnoudwokke • 3 september 2011 14:29

Ik ben ook geen Fox-It expert, maar ze zijn ingehuurd om een echt onderzoek in te stellen na de formele audit van Price-Waterhouse gelijk na de hack in Juli. Die laastste gingen de checklist na en die was gevolgd kennelijk. Fox-IT is hetzelfde bedrijf dat binnendrong in de diepere krochten van het Tor netwerk om het pedo netwerk van Robert M. binnen te dringen.

Zij werken ook aan een betere beveiling van de SKADA systemen die in Iran (oh ironie) zo te lijden hadden onder het Stux virus.

Dus ook al waren er mensen die dachten dat ze zich opgedrongen hadden; nee, het bedrijf is gewoon het beste dat NL in huis heeft misschien samen met Madison, maar de vookeur voor een ex-NFI club zal groot geweest zijn.

En https://www.fox-it.com//uploads/pdf/VN322011_Prins.pdf is leuk leesvoer voor tweakers. Ronald en Menno zijn authoriteiten en maken hun naam meestal wel waar.

Als je dat artikel leest zul je ook begrijpen hoe Ronald gisteren te keer zal zijn gegaan tegen over de minister en de aanwezige vertegenwoordigers van de veiligheidsdiensten. Die bijeenkomst had niet zo lang geduurd als Donner en zijn adviseurs de conclusie van het rapport in een keer overgenomen hadden. Daar zal flink gehamerd zijn door Ronald dat wat kán, meestal ook gebeurt terwijl de overheid ongetwijfeld betoogde dat er nog geen enkel misbruik van PKI overheid was vastgesteld.

Dat zie je zelfs vanmorgen terug in het persbericht: ´het systeem is gekraakt, maar misbruik is onwaarschijnlijk´ terwijl Ronald´s motto toch echt is dat een gekraakt systeem ook gebruikt is. Ik deel die opvatting. Tenzij PKIoverheid door DigiNotar exact dezelfde procedures moest doorlopen en deel was van hetzelfde digitale uitgifte loket. In dat geval kan het toevallige bijvangst zijn, maar zover ik tot nu weet heeft PKIoverheid een afwijkende, zwaardere procedure. Dan zou die dus bewust ook gehackt moeten zijn en waarom zou je dat doen als je er niet iets mee wil.

De Iraanse overheid (als die er achter zat) had het liefst natuurlijk allleen MiM willen spelen voor email verkeer en dergelijke en iedere uitbreiding van de hack naar de Nederlandse overheid zou juist meer aandacht vestigen. Kortom, ik betwijfel of zij de opdrachtgevers waren en (zie mijn post hierboven) zou het vervalste certificaat niet gewerkt hebben igv Chrome gebruikers).

Het klinkt toch meer als commerciele hackers die de buit vervolgens in stukjes verkopen.

SKiLLa @max3D • 3 september 2011 14:38

Opdrachtgever of heler maakt niet uit; de Iraanse overheid is duidelijk over de scheef gegaan en als NL overheid zou ik ze ook direct verantwoordelijk stellen. Je hebt helemaal gelijk dat Donner en consorten nog steeds totaal clueless zijn; de persconferentie vannacht was echt een doorn in het oog van elke IT-expert ...

D-Day @max3D • 3 september 2011 16:16

Zou dit nog gevolgen hebben voor ons aller EPD (electr patienten dossier)? Ik hoop van wel, krijg een beetje de buik vol van het noob-achtige (blinde ) vertrouwen dat de overheid stelt in "veilige" digitale omgevingen...

R-J_W @max3D • 3 september 2011 18:45

Als ik dit artikel mag geloven heeft DigiNotar zijn beveiliging al heel lang niet op orde.
http://www.f-secure.com/weblog/archives/00002228.html

Hoe kun je dan verwachten dat iemand die echt kwaad wil niet binnen komt.
Dit bedrijf lijkt zijn zaken erg slecht voor elkaar te hebben en de kans is groot dat er veel meer misbruik van gemaakt is dan wij ooit zullen weten.

[Reactie gewijzigd door R-J_W op 23 juli 2024 14:07]

Verwijderd @arnoudwokke • 3 september 2011 16:51

> zou ik je afraden deze diensten te gebruiken als je browser zegt dat het certificaat is ondertekend door DigiNotar

Helaas heb je ook nog dingen als (in de GGZ) verplichte DIS aanleveringen, waarbij een applicatie (pvm-dis) met DigiNotar certificaat wordt gebruikt.

Nog enger wordt het als ik die DIS aanleveringen verzorg voor een GGZ instelling, en voor de communicatie een apart gmail account gebruik, waarop onlangs volgens gmail is ingelogd (?!) vanaf ip-adressen uit Koeweit (178.61.161.233) en Turkije (213.248.132.245) (??!!)

Toeval?

CMG @Verwijderd • 4 september 2011 12:55

Download Google Authenticator app & enable 2-step authentication
http://www.google.com/support/a/bin/answer.py?answer=1037451

kimborntobewild @CMG • 5 september 2011 05:38

Ik had het niet over BZ, maar over Tweakers.net.
Dat iemand van de overheid zegt dat 'alles mogelijk is' en dat vertalen naar:
Overheid: mogelijk DIgiD-inloggegevens gestolen door hack
vind ik wel degelijk mensen onnodig ongerust maken.

ONNODIG ongerust? Terwijl DigID zélf zegt dat ze de DigiNotar certificaten niet meer vertrouwd? Het is niks anders dan een herhaling van de woorden van DigID zelf.

Gosat @CMG • 3 september 2011 13:20

Mogelijk hebben ze wel baat bij digid gegevens van (ex-)Iraanse staatsburgers.

arjankoole

Beveiliging
Overheid
Economie en maatschappij

@Gosat • 3 september 2011 13:49

Mogelijk hebben ze wel baat bij digid gegevens van (ex-)Iraanse staatsburgers.

sowieso, dat 'ex' bestaat niet, je bent iraans staatsburger, en daar kom je nooit meer vanaf. ook dubbel-staatsburgerschap (iraans en nederlands) wordt niet erkent. Zo is die iraans-nederlandse dame onlangs aan een te vroeg einde gekomen door het regime daar. Nederland mocht geen consulaire bijstand verstrekken, aangezien die niet erkend werd als 'partij'.

Dus, ja, je kan in theorie best wel wat hebben aan die gegevens, maar in praktijk? Ik denk niet dat er veel gegevens overheen gaan die voor het iraanse regime direct nuttig zouden zijn. Anders dan met bijvoorbeeld gmail.

[Reactie gewijzigd door arjankoole op 23 juli 2024 14:07]

Ary @CMG • 3 september 2011 13:12

Hoezo? Wat ik in het bericht lees is "Er valt niet voor de volle honderd procent uit te sluiten dat u als gebruiker geen risico loopt als gevolg van frauduleuze certificaten." en dat is voor zover ik begrijp toch ook zo? Ze kunnen het niet uitsluiten en waarschuwen dat het mogelijk is gebeurd.

Het systeem is (2 maanden geleden) gekraakt. De certificaten zijn blijkbaar dusdanig onbetrouwbaar dat iedereen per direct het vertrouwen heeft opgezegd, inclusief de verschillende grote browsers. Genoeg reden denk ik om twijfels te hebben.

En of iemand waarde hecht aan iemands DigiD (identity theft?) kan jij ook moeilijk bepalen, volgens mij weet jij helemaal niet wat de motivatie van die Iraanse hackers was.

litemotiv @CMG • 3 september 2011 13:15

Wat jij doet is net zo goed complete speculatie; het systeem is gekraakt, dat is een feit. Wie of wat het uiteindelijk gedaan heeft, en met welke intenties, is volledig onbekend. Het kan net zo goed een afleiding zijn om de suggestie te wekken dat een buitenlandse mogendheid erachter zit, het is immers nogal een 'red herring' om opvallende sporen op gehackte servers achter te laten.

Gomez12 @CMG • 3 september 2011 13:42

Oftewel, enkel waar het gevonden is daar is het een probleem? Niet gevonden is geen probleem?

Maar sowieso heb je vast wel wat NL'ers in Iran zitten (ambassade / toeristen) maar die tellen dus ook maar niet meer mee?

CH4OS @CMG • 3 september 2011 14:24

Dit is BS. De 'berichten' die gevonden zijn waren allemaal Iraanse hackers; die hebben weinig waarde aan Nederlandse DiGiD gegevens (twijfel of ze uberhaubt weten wat het is).

Totdat ze identiteitsfraude plegen en JIJ daarvan de dupe bent.

Overigens wel ironisch, eerst werd er verteld, dat DigiD niet in het geding was, nu blijkt maar weer van wél. Hoezo falend Nederland, met nog altijd de doofpotten mentaliteit. Wanneer ziet 'ons' NL nou eens in, dat het slecht gesteld is met de beveiliging alhier. Niet alleen op ICT / digitaal gebied, maar ook met dingen als een Alberto Stegeman, die 'gewoon' bij dingen kon komen op Schiphol, die naar binnen kon komen bij een militaire basis.

[Reactie gewijzigd door CH4OS op 23 juli 2024 14:07]

mystic101 @CMG • 3 september 2011 16:15

Kortom: Stemming makerij dit bericht.

Dit artikel van tweakers.net is inderdaad stemmingmakerij, vooral de titel. Ik snap wel dat je een off-topic/irrelevant status krijgt daar een groot aantal reacties op tweakers.net vaak meer stemmingmakerij is dan een inhoudelijk technische discussie die een tweaker waardig is.

kimborntobewild @mystic101 • 5 september 2011 05:41

Hoezo stemmingmakerij? DigID zélf zegt ook dat ze de DigiNotar certificaten niet meer vertrouwd. Kortom, de titel van dit tweakers-artikel is gewoon een herhaling van woorden.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 14:07]

Dlocks 4 september 2011 02:38

Ik ben geen leek in de digitale wereld, maar ik begrijp niet helemaal wat het probleem is. Oftewel, ik begrijp niet helemaal wat de impact van die hack is oftewel wat de hackers kunnen doen met die hack. Dit ondanks dat dit nieuws ook in de media voor 'digibeten' naar voren is gekomen maakt de gegeven uitleg het voor mij niet duidelijk.

Wat ik ervan begrijp is dat de hackers gratis een SSL-certificaat voor domein abc.com kunnen gebruiken terwijl er voor dat domein geen SSL-certificaat is uitgegeven. Maar waarom is dat een probleem? I.p.v. via een hack gratis een domein voor abc.com 'krijgen' of er legaal een paar euro betalen en zondere enige voorwaarde een SSL-certificaat krijgt voor abc.com? SSL-certificaten zijn tegen betaling voor iedereen voor ieder domein verkrijgbaar. Dus ik snap het probleem niet helemaal.

Ik snap al helemaal niet hoe de hackers eventueel van DigID gegevens hebben buitgemaakt? Hoe werkt dit in de praktijk?

Kan doormiddel van deze hack de site abc.com het certificaat van DigID gebruiken? En zo ja, waarom zou dat een probleem zijn? Of abc.com nou een certificaat van DigID gebruikt of gewoon een eigen gekochte certificaat gebruikt, zolang de bezoeker maar geen waarschuwing krijgt is er niets aan de hand. Als abc.com dus een willekeurig certificaat zou kopen -die het mits een creditcard heeft overal kan kopen- krijg je als bezoeker dus ook geen waarschuwing.

Wat ik er nu van begrijp is dat het gewoon om [i]phishing/i] gaat die ook zonder deze hack zou kunnen plaatsvinden. De bezoeker zal geen verschil merken tussen phising met of zonder SSL hack.

In het nieuws (en op Tweakers) wordt het nu gebracht alsof deze hackers nu misschien bij bepaalde gegevens van bijvoorbeeld en DigiD gebruiker kunnen komen. Ik begrijp echter niet hoe ze dit dan doen en wat deze SSL hack hiermee te maken heeft.

In het artikel staat onderstaande:

Zo kunnen aanvallers u herleiden naar een
malafide website en daarmee uw inloggegevens, zoals gebruikersnaam en wachtwoord, in handen krijgen.

Herleiden naar een malafide website

Dus ik zit op een malafide website (hoe kom ik daar?). Vervolgens ga ik naar de site van digID en dan kunnen de aanvallers herleiden dat ik daarvoor op de malafide website ben geweest? Of andersom? Of gaat het niet om 'herleiden', maar om 'doorsturen' ofwel 'redirecten'? Dus ik zit op die officiele digID website en ze kunnen mij door deze hack 'doorsturen' (wat totaal iets anders is dan 'herleiden') naar de malafide website?

Kortom, ik bergrijp er helemaal niets van. Oftewel, hoe kunnen deze hackers mijn gegevens buitmaken?

[Reactie gewijzigd door Dlocks op 23 juli 2024 14:07]

t_captain @Dlocks • 4 september 2011 11:00

(a) je hackt Diginotar, waardoor je zelf (onder hun root certificaat) nieuwe site-certificaten kunt aanmaken.
(b) je kopieert een digid website en zet die online.
(c) je maakt een site-certificaat voor het domein digid.nl. Gevolg is dat op "jouw" digid.nl de adresbalk van een browser gewoon groen wordt.
(d) je spooft een DNS, waarmee je digid.nl doorverwijst naar jouw eigen versie. je kunt nu usernames en wachtwoorden harvesten.

In feite is de hack tweeledig:
(1) inbraak bij een SSL CA
(2) DNS spoofing

Zonder DNS spoofing zou je niet verder komen dan een op "digid.nl" lijkede domeinnaam te maken, een beetje in de stijl van vele phishing scams. www.digid.nl.overheidsdiensten.ru o.i.d.

Een oplettende gebruiker ziet dat in zijn adresbalk en een redirect van een bestaande web applicatie van de overheid blijft ook gewoon naar de "goede" digid.nl gaan.

Laat dit een motivatie zijn om snel volledig naar DNSsec te migreren.

C7RL @t_captain • 5 september 2011 17:06

of je kaapt gewoon een DNS server. Net wat ik al zei.

EvilWhiteDragon 3 september 2011 13:08

Wat ik niet helemaal snap is dat op dit moment zowel Opera als IE9 geen fout geven bij digid.nl en dat ik uberhaupt mag inloggen van de digid website.
De sites moetne gewoon plat, want nog steeds kunnen inloggegevens gejat worden, ook met het slotje waar de overheid op een zeker moment op hammerde. Hoe vervelend ook, ze moeten nu niet toestaan dat je gevoelige informatie naar die sites stuurt.

Verwijderd @EvilWhiteDragon • 3 september 2011 13:18

Site platgooien heeft geen zin. Als er certificaten voor b.v digid zijn vervalst dan zijn die alleen bruikbaar als je een fake site opzet met die fake certificaten. als de originele site uit de lucht is maar de fake site niet geven mensen nog steeds hun gegevens.

Certificaten terug trekken en vervangen door nieuwe is dus de enige oplossing.

EvilWhiteDragon @Verwijderd • 3 september 2011 13:28

Hypothetisch is nu een correcte DNS de enige manier om zeker te weten dat ik met digid verbinding maak. Mocht de DNS server gecompromiteerd zijn is er voor mij geen enkele manier om te verifieren dat de connectie veilig is.

Nu geloof ik de DNS server van ziggo nog wel, maar denk eens aan open wifi? Daar is het helemaal niet zo moeilijk om nu de verbinding te onderscheppen en via een malafide site door te sturen. Daarom is het onverstandig om de site omhoog te houden.

wizzkizz @EvilWhiteDragon • 3 september 2011 15:13

Het is sowieso nooit verstandig om via een onbekend, en dus onvertrouwd, (open) WiFi-netwerk te surfen zonder gebruik te maken van een getunnelde verbinding. Dus ook nu niet.

DNSSEC zou mogelijk een oplossing bieden: publiceer het fingerprint van het certificaat dat voor een bepaald (sub)domein wordt gebruikt in je DNS. DNSSEC voorkomt dan dat de aanvaller deze fingerprint ook kan manipuleren. Je browser kan dan controleren of het fingerprint van het certificaat dat de verbinding moet beveiligen gelijk is aan dat wat in de DNS gepubliceerd is.

kimborntobewild @wizzkizz • 5 september 2011 05:45

Het is sowieso nooit verstandig om via een onbekend, en dus onvertrouwd, (open) WiFi-netwerk te surfen zonder gebruik te maken van een getunnelde verbinding.

Waarom zou het dan wel verstandig zijn om via een bekend] WiFi-netwerk te surfen zonder getunndelde verbinding?

wizzkizz @Verwijderd • 3 september 2011 15:06

Waarom zou een fake site nodig zijn? Helemaal niet! Deze certificaten worden gebruikt voor een Man-in-the-Middle aanval, waarbij de verbinding dus afgetapt wordt. Om ervoor te zorgen dat de browser in zo een geval geen waarschuwing geeft bij een SSL-enabled site, moet het certificaat dat gebruikt wordt door deze man in het midden ook geldig zijn. DigiNotar certificaten zijn dat, dus krijg je geen melding.

Een fake site is veel te veel werk, het enige dat nodig is, is dat je de verbinding moet kunnen "omleggen". En overheden kunnen dat. Iran ook. Voor Iraniërs dan.

LemonC200 3 september 2011 13:04

Dit toont maar weer eens aan hoe gevaarlijik digitale systemen kunnen zijn.

SacreBleu @LemonC200 • 3 september 2011 13:09

Elk systeem kan gevaarlijk zijn, ook brievenpost kan nog steeds gevaarlijk zijn.
Zover ik weet staat er op post van DigiD zelfs op de enveloppe zelf dat deze daarvandaan komt.

Het enige probleem met digitale systemen is het feit dat deze door iedereen benadert kan worden die toegang heeft tot internet, een postkantoor kun je niet zomaar betreden, maar de postbode kun je wel weer beroven van post.

Kortom, elk systeem zal een lek hebben of een zwakte, en gezien persoonsgegevens steeds lucratiever worden zul je straks geen andere optie hebben dan draconische manieren of weer terug te keren naar het stenen tijdperk. In ieder geval betreffende persoonsgegevens en dergelijke.

BadRespawn @SacreBleu • 3 september 2011 15:52

Het enige probleem met digitale systemen is het feit dat deze door iedereen benadert kan worden die toegang heeft tot internet, een postkantoor kun je niet zomaar betreden, maar de postbode kun je wel weer beroven van post.

Dat is precies waarom een digitaal systeem gevaarlijk kan zijn, dwz gevaarlijker dan een fysiek systeem: een digitaal systeem is veel makkelijker te hacken dan een fysiek systeem (zoals een postkantoor).

Verwijderd @BadRespawn • 3 september 2011 21:58

Ik denk eerder dat het anonieme gevoel van het internet hier mee te maken heeft. Ik denk dat het makkelijker is om in een postkantoor te komen en daar wat te jatten dan dat het is om een CA te hacken.

latka @Verwijderd • 3 september 2011 23:58

Maar fake postkantoor opzetten en poststukken ontvangen lukt je weer niet. Dat is eerder het niveau van deze hack,

BadRespawn @Verwijderd • 6 september 2011 13:18

Ik denk eerder dat het anonieme gevoel van het internet hier mee te maken heeft. Ik denk dat het makkelijker is om in een postkantoor te komen en daar wat te jatten dan dat het is om een CA te hacken.

Anonimiteit is slechts één vd factoren.
Ik denk dat het feit dat het ongezien kan worden gedaan vanuit de luie stoel en dat je genoeg hebt aan een PC wat software en een internetverbinding, ipv dat je er fysiek naar toe moet gaan en gespecialiseerde mechanische gereedschappen mee moet nemen, de belangrijkste factoren zijn.

TimMer @SacreBleu • 3 september 2011 15:33

Of gewoon eens een fatsoenlijk bedrijf in de arm nemen die wel weet waar ze mee bezig zijn, in plaats van simpelweg de goedkoopste zijn, zoals de overheid meestal haar opdrachtnemers selecteert.

asusk7m550 @TimMer • 3 september 2011 22:29

Hoezo de goedkoopste?

Waarom zou diginotar geen fatsoenlijk bedrijf zijn. Ik hoop dat je weet waar je het over hebt.

De eisen om certificaten uit te mogen geven welke getekend zijn door de staat der nederlanden zijn erg streng. Zo moet je bijvoorbeeld elk jaar geaudit worden op de procedure om certifcaten aan te vragen.
Daarnaast zal 1x in de drie jaar het hele bedrijf geaudit worden.
Als je dat soort dingen op orde hebt, dan denk ik dat je zeker een fatsoenlijk bedrijf bent.

Diginotar is ook zeker niet de goedkoopste, het is mogelijk om voor een fractie van het bedrag een certificaat aan te vragen bij een concurrent (€300,- ipv €25,-).

latka @asusk7m550 • 3 september 2011 23:57

Geeft ook aan dat die audits een wassen neus zijn. Simpele oplossing: ontkoppel de PC met de private key van het netwerk en sneakernet de te signen certs er heen. Knappe hacker die hier, zonder social engineering, doorheen komt. Ik ken geen CA die het zo doet, dus m.i. zijn ze altijd hackbaar en audits geven altijd een schijnzekerheid omdat men vaak ook niet weet wat men of, of men wordt gevraagd uit te sluiten dat iets kan gebeuren wat ook weer onmogelijk is...

Verwijderd @latka • 4 september 2011 11:24

Audits zijn inderdaad een wassen neus, aangezien ze alleen testen of dat je de (slechte) procedure volgt die je zelf hebt opgesteld.

benji83 @asusk7m550 • 3 september 2011 23:07

Behalve het feit dat ze een hack op hun systeem hebben stilgehouden, en nu niet schijnen te kunnen achterhalen hoeveel en welke certificaten er uit gegeven zijn, is het een prima bedrijf hoor.

arcadios2007 @asusk7m550 • 4 september 2011 05:10

Als je dat soort dingen op orde hebt, dan denk ik dat je zeker een fatsoenlijk bedrijf bent.

Totaal geen garantie.
Als ik de CIA was, zou ik ook een bedrijf als DigiNotar oprichten. Vooral in dat naïeve Nederland dat inmiddels ook de atoombom aan Pakistan heeft 'weggegeven'.

Je kunt perfect een bedrijf als DigiNotar oprichten, of zelfs meerdere in diverse landen, de certificaten laten 'hacken' en dan in een politieke koehandel aan de Iraniërs, Chinezen, of wie er maar z'n burgers wil afluisteren (NL bijv.) overdragen.

Je kunt het bedrijf perfect aan alle procedures laten voldoen, en dan zou 't volgens jouw definitie een 'fatsoenlijk bedrijf' zijn terwijl 't dat in [i[mijn[/i[ ogen absoluut niet zou zijn.

Ackermans1973 @TimMer • 3 september 2011 16:23

De prijs daarvoor komt toch bij ons belastingbetalers te liggen...

timberleek @Ackermans1973 • 3 september 2011 16:25

dit gezeik zal al met al een stuk duurder uitpakken als een duurdere maar betere voorziening kopen in de eerste plaats

Verwijderd @SacreBleu • 4 september 2011 10:55

Een postbode wordt niet overvallen. Althans, uiterst zelden. Het is dus niet echt een nadeel te noemen. Bovendien heeft een overval op zo'n persoon een kleine impact. Zo veel heeft ie niet bij zich. De schaal van een netwerk, als het mis gaat, vergroot het aantal slachtoffers exponentieel.

Dat stenen tijdperk bevalt me steeds beter.

We worden opgejaagd in een richting waar de honden geen brood van lusten. Dood aan de digitalisering. Technologie is NIET onze vriend, niet meer.

C7RL @SacreBleu • 5 september 2011 17:02

Bij de Post werken tegenwoordig "passanten". Uitzendkrachten die geen binding hebben met het bedrijf maar wel met criminele organisaties. Post wordt zo door hen onderschept en zonder dat jij het weet worden nieuwe bankpassen met pincodes aangevraagd en onderschept. En wat dacht jij hiervan over steunpunten van de post. Post dat onbeheerd door iedereen gestolen kan worden....

Verwijderd @SacreBleu • 3 september 2011 13:19

de envelop met activatie code is in ieder geval blanco (heb er gisteren een gekregen)

Verwijderd @Verwijderd • 3 september 2011 22:53

Aks je een blanco envelop krijgt is de kans vrij groot dat er belangrijke informatie in zit. Gewone post van bedrijven bevat immers vrijwel altijd het logo van het bedrijf. Dus typisch een gevalletje schijnveiligheid.

Nijn @Verwijderd • 3 september 2011 13:29

Maar wel met afzender. Zo weten de meeste pakjesbezorgers wel in welke "generieke" dozen de sex dvd's zitten. Kortom, ze zijn er zeker tussenuit te halen.

Sjekster @Verwijderd • 3 september 2011 13:27

Die blanco enveloppen met inloggegevens op pincodes van betaalpassen vallen zowat nog meer op.

analog_ @hp197 • 4 september 2011 07:30

Dit zijn twee aparte brieven, één met kaart andere met codes, en dat is omdat ik in het buitenland woon. Bij mijn lokale rekening wordt ik verplicht naar het loket te gaan om de nieuwe kaart af te halen.

Verwijderd @analog_ • 4 september 2011 11:17

@analog_, meestal is het dezelfde postbode die jou post bezorgt. Als hij/zij merkt dat er een pas in zit, hoeft hij/zij de volgende keer alleen de vervolg enveloppe op te wachten met de codes erin.
Twee brieven sturen is nog steeds onzin om veiligheid te garanderen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 14:07]

mahsalti @Verwijderd • 4 september 2011 12:37

al heb je het pasje ontvangen met de codes moet je het nog steeds telefonisch activeren en verifiëren, tenzij je postbode al je gegevens geboorte gegevens enzovoorts weet, anders kan die er nog niets mee..

DoubleD81 @hp197 • 4 september 2011 00:38

zucht. ik weet niet bij welke bank jij zit maar als jouw bank zo werkt zou ik maar een andere zoeken...

daft_dutch @LemonC200 • 3 september 2011 13:41

Dit toont maar weer eens aan hoe gevaarlijk digitale systemen kunnen zijn.

Dit toont aan hoe goed een systeem ook kan werken. De menselijke fout is de grootste risico. Hebben de hackers tijdens de hack alleen onsite ssl keys gemaakt met *.google.com OF is het de sleutel gestolen en daarna *.google.com gegenereerd.
DigiNotar kan blijkbaar niet garanderen dat *.google.com tijdens de hack gemaakt is, DigiNotar is gehackt en ondanks dat zij melden dat alles onder controle is blijkt dat er geen enkel directe aanleiding te zijn dat te denken. De hack is niet het ergste DigiNotar dat maar proberen door te lopen en zeker niet stil staan met wat er werkelijk gebeurt kan zijn.

[Reactie gewijzigd door daft_dutch op 23 juli 2024 14:07]

Yezpahr @daft_dutch • 3 september 2011 19:43

[Dit toont maar weer eens aan hoe gevaarlijk digitale systemen kunnen zijn.]

Dit toont aan hoe goed een systeem ook kan werken.

Jullie hebben allebei gelijk.
DigiNotar is "Just another company".
Geen enkel digitaal ondernemen is 100% veilig.

Het enige waar kerk, wetenschap en filosofie het over eens zijn:
Zoek en gij zult vinden.

Want voor de mensen die naar fouten zoeken, zijn er heel veel fouten te vinden.
Maar voor de mensen die naar goede dingen zoeken, zullen er weer heel veel goeden dingen te vinden zijn. En die mensen willen niet weten wat er schort aan hun vertrouwen, die voelen hun eerder diep beledigd dat iemand hun zegt dat hun vertrouwen in een bedrijf onterecht is. Of dat ze het verkeerd hebben in wat voor zin dan ook.

Je zei zelf al dat het grootste probleem is dat DigiNotar zelf niet kan garanderen dat *.google.com op een bepaald moment wel of niet is gemaakt.

Dit kan een paar dingen betekenen:
A ) Ze hebben geen logdata. Of het nou verwijderd is door hackers/hunzelf of dat het nooit heeft bestaan, dat maakt niet uit, het is er gewoon niet.
B ) Ze mogen de data (nog) niet publiekelijk maken. En dat staat inderdaad nergens, maar is heel goed denkbaar dat het zo is. Want als ze nu openbaar maken hoeveel er werkelijk gehackt is dan schieten ze hun eigen verhaal lek.

Veilig digitaal? Wie met vuur speelt....

*edit*
Als je die waarschuwing van DigiD leest en je weet niets over de huidige hacks, dan word je hier niet veel wijzer van...
Er had ongeveer iets moeten staan als: "Naar aanleiding van de recente licentieramp"

[Reactie gewijzigd door Yezpahr op 23 juli 2024 14:07]

Verwijderd @LemonC200 • 3 september 2011 20:19

Dit toont alleen maar aan dat de overheid die eerst zegt dat er niets aan de hand zou zij met Digitar en er geen reden is om de relatie op te zeggen een arrogante houding heeft en een stel idioten in dienst heeft die allereerst alles proberen af te doen alsof er niets aan de hand is.

Gegevens van burgers liggen nu open en bloot : "goed" gedaan weer overheid, ga zo door het vertouwen van de burger neemt keer op keer meer af na blunder op blunder, foute voorlichting, OV chipkaart etc.

ReDnAx1991 @Verwijderd • 4 september 2011 00:02

Ik meen me te herinneren dat laatst iemand zei dat digi d heel erg veilig was, ja als je zulke uitspraken doet dan kun je hierop rekenen!

D-Day @LemonC200 • 3 september 2011 13:20

Niet het feit dat het digitaal is maar juist dat het wijdverbreid en door iedereen gebruikt is, is het gevaar. Inbrekers hoeven ipv 16 miljoen deuren te kraken, nu nog maar 1 deur open te breken...

Ricochet @LemonC200 • 3 september 2011 18:21

Gevaarlijk?? Ik mag aannemen dat je kwetsbaar bedoeld?

Criminelen (digitale zowel als heuse echte van vlees en bloed, want die bestaan ook nog, ja ja

) die zijn gevaarlijk, voor jouw en mijn veiligheid.

De combinatie van deze twee resulteert in een zeer zorgwekkende situatie, waarvan zoals al meerdere malen is gezegd, de rekening toch wederom bij ons, de belastingbetaler, terecht komt.

Cergorach @LemonC200 • 3 september 2011 13:43

Dus elke keer dat er een auto ongeluk is (en er zijn er op jaarbasis nogal veel, zelfs met dodelijke uitkomst) moeten we maar gaan lobbyen om auto's te verbieden of flinke limieten aan te zetten? Toen men alleen maar papieren systemen gebruikte was het allemaal ook zo lek als een mandje, een mens blijft altijd makkelijker te omzeilen dan een computer. Een fout in een computer kan je verhelpen (of voorkomen), bij een mens gaat dat niet...

Zpottr @Cergorach • 3 september 2011 14:31

Wat een overspannen reactie zeg. Dat is toch helemaal niet wat Jan-Willem schrijft?

Maar goed, als je dan zo nodig met een (per definitie) kromme auto-analogie moet aankomen: Voor je met een auto de weg op mag moet dat ding gekeurd worden. Elk jaar APK. Je hebt een rijbewijs nodig om 'm te mogen besturen, en dan nog onder voorwaarden (nuchter, niet bellen, etc). Er is een dik boek met verkeersregels, - tekens et cetera.

Er is een groot verschil tussen verbieden en proberen te zorgen dat er zo weinig mogelijk mis gaat.

gepebril @Cergorach • 3 september 2011 16:38

Volgens mij laten NL'se politieke partijen zich voor politieke besluiten zijn bijna enkele leiden door Excel sheets. En dan weet je al dat je opmerking niet klopt.

pirania @LemonC200 • 3 september 2011 13:09

"Terug naar de overschrijvingskaarten!"
~Donner - Minister van Binnenlandse Zaken en Koninkrijksrelaties

Verwijderd @pirania • 3 september 2011 17:12

"Terug naar de overschrijvingskaarten!"
~Donner - Minister van Binnenlandse Zaken en Koninkrijksrelaties

Gewoon accept giro.. , en geld opnemen binnen bij de bank met je pas

alt-92 @Verwijderd • 3 september 2011 17:25

Wanneer ben jij voor het laatst een bankkantoor binnengestapt?

PetervdM @alt-92 • 3 september 2011 19:11

ongeveer een maand geleden, om enveloppen te halen. wat is daar verkeerd aan?
en ja, ik gebruik overschrijvingskaarten. internetbankieren is ook niet veilig

[Reactie gewijzigd door PetervdM op 23 juli 2024 14:07]

ShadyNetworker @PetervdM • 3 september 2011 23:50

Certificaten van banken worden niet door Diginotar uitgegeven, althans niet bij mijn bank. Net gecheckt.
Verder heeft iedere fatsoenlijke bank tenminste 2-factor authenticatie(fysieke pas & code die alleen bij gebruiker bekend is), dus om te stellen dat het onveilig is, is gewoon niet waar.

Helaas is geen enkel systeem 100% waterdicht te krijgen.

benji83 @PetervdM • 3 september 2011 23:09

Als je het zo gaar bekijken is niets meer veilig, en kan je beter een bunker gaan bouwen, heel veel blikvoer inslaan en voor je leven lang wegkruipen.

Internet bankieren is veilig genoeg. Miljoenen transacties worden er gedaan, hoeveel gaan er fout? Hoeveel worden er gehacked? Denk je niet dat er heel veel hackers dagelijks proberen de banksystemen te kraken?
Er is niets 100% veilig, maar ik denk dat internetbankieren wel 1 van de meest veilige systemen op het web is.

Verwijderd @benji83 • 4 september 2011 08:30

Internet bankieren is veilig genoeg. Miljoenen transacties worden er gedaan, hoeveel gaan er fout? Hoeveel worden er gehacked? Denk je niet dat er heel veel hackers dagelijks proberen de banksystemen te kraken?
Er is niets 100% veilig, maar ik denk dat internetbankieren wel 1 van de meest veilige systemen op het web is.

Ik hoop nog altijd dat mijn rekening een keer gehackt wordt, en dat de hackers dan medelijden gaan krijgen bij het zien van mijn saldo en er uit menslievendheid wat extra geld zullen bij hacken.

Verwijderd @Verwijderd • 5 september 2011 02:50

dan wil ik dat Greenpeace ooit is aan de deur komt met Geld-Boompitten,
krijgen hun wel 20% van het opgehaalde geld.

Gert @Verwijderd • 4 september 2011 09:40

Moet je wel in een grote stad wonen, anders is er geen bankkantoor meer te vinden.

Webjunkie @Verwijderd • 3 september 2011 20:33

gewoon je weekloon weer in een envelope

die banken maken met ons geld miljarden winst per kwartaal en als ze dan een keertje verlies draaien moeten ze ook weer met ons geld gered worden.

boycotten die handel!

NESFreak 3 september 2011 13:42

De NOS heeft een faq opgesteld met veel voorkomende vragen:
http://nos.nl/artikel/269...ragen-over-diginotar.html

En wat als ik de afgelopen dagen via internet gebankierd heb?
'Wij werken niet met veiligheidscertificaten,' meldt de Vereniging van Banken aan de NOS.

--edit--
[@iedereen hieronder]NOS heeft z'n faq inmiddels geupdate. Ik had 't rechtstreeks gecopypaste. Het leek mij ookal een nogal bizarre uitspraak.

[Reactie gewijzigd door NESFreak op 23 juli 2024 14:07]

CH4OS @NESFreak • 3 september 2011 14:33

De NOS heeft een faq opgesteld met veel voorkomende vragen:
http://nos.nl/artikel/269...ragen-over-diginotar.html

Of je quote selectief, of de tekst is aangepast, want nu staat er

"Wij werken niet met veiligheidscertificaten van Diginotar..."

Wat niet wegneemt dat ándere banken via DigiNotar hun certificaat hebben afgenomen. ;)Net zoals de volgende vraag en het antwoord daar op:

Welke risico's heb ik nou daadwerkelijk gelopen door al die tijd gewoon Belastingdienst.nl en zo te gebruiken? (@tomklaver)

Tot nu toe is alles nog theorie. Er zijn geen bewijzen voor misbruik. In de zogenoemde logfiles van DigiD zijn geen sporen van ongewenst verkeer gevonden. Het kan ook zijn dat die logfiles door derden zijn bewerkt. Ook dat is in theorie mogelijk.

Afhankelijk van wát er wel en niet gelogd wordt, maken de logs het inzichtelijk, of niet. Maar is ook allemaal theorie...

[Reactie gewijzigd door CH4OS op 23 juli 2024 14:07]

DataGhost

@NESFreak • 3 september 2011 14:53

"Wij werken niet met veiligheidscertificaten van Diginotar", meldt de Vereniging van Banken aan de NOS. Kortom, internetbankieren was en is volgens de banken gewoon veilig.

Staat er eigenlijk, en ik vind dit een zeer gevaarlijke uitspraak. Een MITM kan alsnog een door DigiNotar ondertekend certificaat gebruiken en zo zonder waarschuwingen een internetbankieromgeving hijacken. Hoeveel mensen controleren elk bezoek of het certificaat niet opeens door een andere partij ondertekend is en hoeveel mensen weten dat DigiNotar niet gebruikt wordt / zou kunnen gaan worden? Het klinkt heel cru maar een paar dagen/weken lang is eigenlijk geen enkele verbinding veilig geweest zonder handmatige controle dat er geen DigiNotar-certificaat in de chain zit.

Soldaatje @NESFreak • 3 september 2011 14:32

' van Diginotar' staat er nog achter, het zou ook wat zijn zonder certificaten werken is een onbeveiligde verbinding.

LongBowNL

3 september 2011 15:20

Vraagje: Bij Firefox zit een addon genaamd 'Perspectives.' Ik weet niet wie er bekend is met dit systeem, maar kan je veilig doorgaan als Perspectives het certificaat goedkeurd??

Durandal @LongBowNL • 3 september 2011 17:57

Is dat gelijk aan Convergence?

Zeer interessant achtergrond verhaal over hoe het waarschijnlijk niet Iran was, en hoe het systeem te verbeteren (met dank aan Van-Z hierboven).

LongBowNL

@Durandal • 3 september 2011 22:54

Meer info over Perspectives:
http://perspectives-project.org/

JeromeB 3 september 2011 13:46

Waar ik mij trouwens ook druk om maak zijn de diensten die gebruik maken van o.a. DigiD. Nu verteld die gekke meneer Donner dat we maar weer terug naar simpele formulieren moeten. Helaas bieden veel van die diensten helemaal geen alternatieve methoden of het is heel onduidelijk hoe men aan de juiste formulieren kan komen. Het meest in het oog springend zijn de diensten voor studenten; zoals Studielink en DUO. Ik heb lange tijd geprobeerd om die zaken middels formulieren te regelen, maar op den duur is dat gewoon niet te doen.

Verwijderd @JeromeB • 3 september 2011 13:52

DUO kan helemaal niet zoveel formulieren verwerken

. Wacht gewoon tot ze een ander certificaat hebben, dan is je wijziging sneller verwerkt.

Ik denk dat heel veel mensen de naam Diginotar als het even kan uit hun CV gaan schrappen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 14:07]

Op dit item kan niet meer gereageerd worden.

Overheid: mogelijk DigiD-inloggegevens gestolen door hack

Lees meer

IT-banen

Reacties (151)

Sorteer op:

Weergave: