Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 127 reacties

Hackers hebben na de inbraak bij DigiNotar certificaten aangemaakt voor de sites van een aantal Westerse geheime diensten. Ook zijn er ssl-certificaten aangemaakt voor Thawte en VeriSign, beide vooraanstaande certification authorities.

Mozilla-ontwikkelaar Gervase Markham heeft op zijn weblog een lijst gepubliceerd met domeinnamen waar valse DigiNotar-certificaten voor zijn aangemaakt. Op de lijst staan de publieke websites van de Britse geheime dienst MI6, de CIA en de Israëlische Mossad. Opvallend is dat op de lijst ook enkele certificate authorities staan genoemd, waaronder Thawte en VeriSign. Mogelijk hebben de Iraanse hackers geprobeerd om zich voor te doen als officieel certificaatverstrekker.

De hackers, die in juli de systemen van DigiNotar wisten binnen te dringen, zouden minimaal 247 valse certificaten hebben gegenereerd. De kans dat de vervalste certificaten voor de drie Westerse geheime diensten waardevolle informatie hebben opgeleverd is klein: dergelijke organisaties zullen geen gevoelige informatie op hun publiek toegankelijke webservers plaatsen. Ook is het nog niet duidelijk of de hackers, die vermoedelijk worden aangestuurd vanuit de Iraanse overheid, de valse certificaten daadwerkelijk hebben ingezet.

Inmiddels zijn de grote browserbouwers begonnen met het geheel blokkeren van DigiNotar; Googles Chrome-browser accepteert niet langer DigiNotar-certificaten, waaronder die van Nederlandse overheidswebsites. Mozilla en Microsoft hebben soortgelijke plannen voor respectievelijk Firefox en Internet Explorer. De overheid adviseert burgers om websites als DigiD voorlopig links te laten liggen in afwachting van het aanmaken van nieuwe ssl-certificaten bij een andere instantie.

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (127)

Naar mijn idee is dit dus verkeerd gebruik maken van hacken... Wel grappig dat er spionnen bij MI6, de CIA en de Israëlische Mossad zijn binnengekomen.
Ze zijn nergens naar binnengekomen. Ze hebben certificaten aangemaakt voor de sites van deze diensten. Je kan er potentieel heel veel mee. Maar het is ook moeilijk om dat zomaar te misbruiken, misbruik in Iran is vrij eenvoudig omdat de overheid daar het internet in de hand heeft. Hier in het westen wordt het al wat ingewikkelder omdat dan ook de netwerken van zeg een UPC of Ziggo moeten worden gecompromised. Of er moet aan de client kant wat gedaan worden met de DNS afhandeling/instellingen.

Persoonlijk denk ik dat men het meest te vrezen heeft in Iran. Men kan/kon met deze certificaten heel makkelijk het SSL verkeer dmv een men in the middle attack afvangen. Icm de recent uitgebrachte ongecensuureerde cables is het geen goede tijd om dissident daar te zijn.
Heeft de Iraanse overheid die website niet gehackt? Om zo hun burgers af te luisteren?
Waarom is de overheid in eerste instantie niet in zee gegaan met de grootste en bekendste CA's zoals VeriSign of Thawte?
Omdat een VeriSign of Thawte ook gehackt hadden kunnen worden? En omdat de overheid met meerdere CA's in zee gaat. De grootste vraag is waarom het zolang duurt om een aantal certificaten bij een van de andere CA's aan te vragen.
En omdat de overheid met meerdere CA's in zee gaat.
Daar zeg je zoiets... Waarom zijn er niet gewoon dubbele certificaten voor cruciale diensten zoals digid.nl? Misschien dat browsers (terecht?) alarm slaan als je round-robin elke keer een ander certificaat gebruikt *), dus dat is niet handig, maar waarom kun je niet een tweede setje certificates "standby" hebben staan?
Mocht er iets mis gaan met je "primaire" certificaten dan kun je ze zonder verder twijfelen meteen revoken, en toch door blijven draaien omdat je die andere certificates (van een totaal andere CA natuurlijk) al klaar hebt liggen.
Ik kan me niet voorstellen dat de kosten het probleem zijn en ik zou ook geen technische bezwaren kunnen bedenken... Of zie ik iets over het hoofd?

*) Als we massaal gaan overstappen naar Perspectives of [hoe heet die andere ook alweer?] dan kun je sowieso maar één certificaat tegelijk gebruiken.
omdat de standaard procedures voor het aanvragen van een certificaat JUIST niet overboord gegooid mogen worden:
oftwel is de aanvrager legitiem vertegenwoordiger van de site/organisatie die hij zegt te vertegenwoordigen en waarvoor een certificaat wordt aangevraagd.
Als deze procedures in een "noodsituatie" ook bij andere CA's overboord worden gegooid, dan is ook een nieuw certificaat van een andere CA niets waard.
Ik zeg toch niets over het overboord gooien van procedures? Maar ik weet zeker dat het als het moet binnen een uur geregeld kan zijn (en waarschijnlijk let iedereen ook nog beter op omdat het geen standaard aanvraag is).
Nee, dat kan dus niet. Voor de hoogste veiligheidscertificaten moet je zelfs persoonlijk naar het kantoor van Thawte in de USA komen.
Nee dat gaat niet.

Er moet van alles gecontroleerd worden, je mag zelfs nog ergens bij een notaris op de koffie om je identiteit te laten controleren....

Dus nee, kan niet in een uurtje
Je vraag je eigenlijk af waarom belangrijke overheids websites niet standaard twee verschillende certificaten hebben? Daarmee creeer je een redundantie.

Blijkbaar is iedereen er altijd vanuit gegaan dat deze situatie nooit zou kunnen voorkomen?
Je kan ook overdrijven met redundantie. Hoe vaak komt het nou voor dat een compleet root-certificate ingetrokken wordt?
Zo heel lang heeft het toch niet geduurd? DigID heeft momenteel een certificaat van Getronics Pinkroccade in plaats van DigiNotar, hack is al langer geleden maar het is maar kort geleden dat de overheid daadwerkelijk vertrouwen in DigiNotar heeft opgezegd.

Verder heeft de overheid hun eigen Root-certificaat, waardoor ze samen moeten werken met de bedrijven die ze eerder hebben uitgekozen als geschikte intermediate partij voor dat certificaat. Al weet ik niet hoeveel waarde ze daar nou zelf aan hechten want bijvoorbeeld inloggen voor ondernemers van de belastingdienst gebruikt wel weer Verisign.

Ook als het klopt wat Arfman schrijft dat je voor bepaalde certificaten je moet legitimeren aan het hoofdkantoor van de maatschappij in de USA lijkt me dat minder handig. Aan de andere kant, ik ben nog geen extended validation tegengekomen op een overheidssite*, dus dat probleem zullen ze niet snel hebben.

*Waarom neemt de overheid eigenlijk niet de moeite voor extendend validation, zijn mijn belasting en DigID gegevens nou echt minder waardevol dan bijvoorbeeld die van de bank? Lijkt me toch een kleine moeite en kostenpost (kleiner dan eigen root-ca...) om voor extended validation te gaan?
Zal wel een gevalletje Europese aanbesteding gecombineerd met nationalistische gevoelens zijn geweest. Daarnaast het misplaatste idee dat je bij een Nederlands bedrijf er meer controle over hebt...
Tsjonge, dat mensen dat echt zo misbruiken. Dat had ik niet verwacht. Blijkbaar valt daar toch genoeg mee te doen om dit soort inbraken te "rechtvaardigen".
Wat ik opvallender vind is dat het dus met best wel veel grote sites gedaan is (of het ook gebruikt is is een 2e natuurlijk) en dat eigenlijk niemand dus de certificaten controleert.
Bij geheime diensten zou je verwachten dat men nog wel een 2e check gebruikt.

Maar kennelijk vertrouwt iedereen de certificaten gewoon blindelings.
Wat IK juist opvallend vind is dat in het eerste artikel er werd gezegd dat Iran de mogelijkheid had zijn eigen burgers af te luisteren met die certificaten.

En opeens is het wereldwijd een probleem geworden....

Kan iemand mij deze connectie even uitleggen?

*edit*
En kan iemand dit correleren?
http://www.nu.nl/buitenla...sten-hielpen-kaddafi.html

MI6 en CIA hielpen kadaffi, ghadhafi, of hoe die pestkerel ook mag heten.
En vervolgens duikt een vervalst certificaat op....

Ik vermoed dat dit in de media nog wel nadere toelichting krijgt.
De Israelische mossad werkt trouwens hoe dan ook al samen met de CIA, dat is geen geheim meer.

Nog een source.

[Reactie gewijzigd door Yezpahr op 4 september 2011 18:53]

Het gaat niet zo zeer om wat er mee gedaan is, maar meer dat het ook het vertrouwen in de CA an sich beschadigd.
In Nederlands is er afaik nog niets bewezen mee gedaan, maar het is niet onmogelijk dat het nog gebeurt, noch dat deze certificaten uiteindelijk op de zwarte markt worden verhandeld.


edit nav reacties:
Ik zeg duidelijk 'in nederland' is er nog niet veel mee gedaan voor zover ik weet. In Iran duidelijk dus wel he.
Voor een 'man in the middle' (dus de malware op je pc, netwerkbeheerder; internetcafe ; isp ; router ergens in het netwerk van de isp ; of een hacker van een van deze partijen), is het an sich een koud kunstje om verkeer richting google.com richting een server van de hacker te sturen.

[Reactie gewijzigd door thegve op 6 september 2011 23:04]

Dat is dus de grootste zorg op dit moment?
Gelukkig, ik dacht serieus dat het wel een grote dreiging moest zijn als iedere grote browserbouwer hiermee aan de slag gaat.

Uiteindelijk kan je toch niet zomaar google.com hosten met zo'n certificaat?
Dat domein zit aan een IP vast en staat in duizenden routers opgeslagen en als je naar google.com gaat zou je toch altijd op de juiste moeten uitkomen? Tenzij je gehackt bent en de hosts.file is aangepast natuurlijk.
Hoeft niet perse op client niveau hoor.

Stel dat Iran zijn ISP's "verplicht", op welke wijze dan ook, om in zijn DNS servers google.com naar een IP te sturen waaraan een server van de Iraanse overheid hangt.
Dan heb je opeens een heel land, welke naar de andere google.com server surft, zonder dat je individuele hosts files hebt moeten aanpassen.

Naar hetgeen ik heb opgevangen (ik volg deze discussie maar met mondjesmaat) is er weldegelijk zoiets gebeurt, vermits Google gemerkt had dat er een vals certificaat in omloop was voor zijn website.

Aanvulling: In Iran is het zo dat je ISP mag worden als je goedgekeurd wordt aan de overheid. Bovendien moet je controle software installeren, die door de Iraaanse overheid beheerd wordt. Op die manier is het natuurlijk heel eenvoudig om google.com naar een ander IP te laten verwijzen.
(http://en.wikipedia.org/w...nternet_service_providers)

Nu valt het trouwens nog eens op waarom Iran een "Halal" internet wil bouwen. Aan je bevolking verkoop je dit onder het mom van geloof, maar eigenlijk verbreek je zo alle communicatiewegen van de bloggers die het niet zo eens zijn met het regime.

Nu.nl meldt trouwens ook dat het certificaat van Windows Update ook aangemaakt was. Wat je daar dan allemaal mee kan doen moet ik niet vertellen natuurlijk...
(http://www.nu.nl/internet...-windows-beveiliging.html). Op Torproject maken ze daarbovenop nog eens melding van *.*.com en *.*.org certificaten. Ze hebben daar ook een lijst van de gehackte certificaten geuploaded.
(https://blog.torproject.org/blog/diginotar-damage-disclosure)

Wat ik me trouwens afvraag, in hoeverre is het kwaad al geschied? Als Iran de updates van Internet Explorer, Firefox en de andere browsers blokkeerd heeft de bevolking nog steeds de kans op een gehacked certificaat te stoten en geen melding te krijgen. Uiteraard vermoed ik dat de mensen die hier schade door zouden oplopen intussen wel hiervan bewust zijn en dit zelf in het oog houden, maar wat met de mensen in de grijze zone?

[Reactie gewijzigd door Proxikill op 5 september 2011 08:58]

Klopt ja, ik schrok er even van. Heb even alle artikelen erover gelezen en de dreiging is inderdaad groot dat deze certificaten worden doorverkocht of geshared met veel grotere groepen hackers.

Dat halal internet is eigenlijk al gebouwd dus met deze certificaten... daar komt het wel op neer.
Inderdaad, in hoeverre is het kwaad al geschied :| .
Dat kennelijk mogelijk ook 1,5 maand "valse geheime dienst" websites zouden kunnen zijn bezocht door bezoekers of misschien zelfs mail naar toe is gestuurd, dat verbaast me echt. Met name die 1,5 maand.
Ik weet niet precies wie daar de slachtoffers van zouden kunnen zijn. Misschien wat Iraniërs die wat aan westerse geheime diensten hadden te melden, en dat nu bij hun eigen Iraanse geheime dienst, ongewild, hebben gemeld?
Als dat de aanleiding was, wil je best even tot 's nachts doorgaan, als minister ...
Bij geheime diensten zou je verwachten dat men nog wel een 2e check gebruikt.
Wat bedoel je precies? Webbrowsers 'weten' toch niet eens dat cia.gov de naam is van een geheime dienst?
Nou ja. Ik neem aan (aannamens zijn doodoeners ;) ) dat wanneer een Land een land als Iran een hoop kennis kan vergaren over welke websiets er in de wereld draaien en welke diensten gebruik maken van bepaalde sites.
Daarnaast moet je niet onderschatten dat mogelijk een spionage aanval hiermee ook mogelijk zou kunnen zijn.

Met genoeg kennis, geld, en contacten kan je een hoop verkeerde acties uitvoeren.
De checks voor de geheime dienst worden in het geheim gedaan. De resultaten zijn ook geheim, vandaar dat het niet echt opschiet. :+
Vind het, hoe fout het ook is, wel slim eigenlijk.
Je doet je vertrouwd voor als welke instantie dan ook.

En een certificaat aanvragen namens de uitgever zelf.... raar dat Verisign geen certificaat voor Verisign heeft.....
Self signed certificates worden per definitie niet vertrouwd.
De in browsers ingebouwde lijst van vertrouwde CAs zijn allemaal self-signed...
Wat jij bedoelt is dat je een waarschuwing krijgt als een website zijn eigen certificaat heeft ondertekend, nogal een verschil lijkt me.
Dat laatste is dus juist wat in de volksmond selfsigned heet.
En daarom zijn ze waarschijnlijk ook in browsers/OS ingebouwd. Die certificates zijn speciaal en worden gewoon vertrouwd. https://www.verisign.com gebruikt gewoon een verisign certificaat.
Tuurlijk wel, maar zo werkt een certificaat niet, het zegt alleen dat een hogere instantie (diginotar) beloofd dat die website inderdaad eigenaar is van dat domein.

Er is geen enkele manier om momenteel eigelijk te zeggen WELK certificaat bij een website hoort.
Het is niet dat ik wil meeliften op een hype, maar...
het gedoe rondom diginotar zet je wel aan het denken:
Hoe zat het eigenlijk met de controle hierop?

Wij als burgers worden door de overheid gedwongen om de sites met certificaten van diginotar te vertrouwen

Wat ik begrepen heb, zijn ze tijden geleden gehacked.
Is dat direct gemeld? Is daar adaquaat op gereageerd?
Had iemand (biza/buza/az/minjus/govcert/...) toen niet direct de stekker er uit moeten trekken?

Voor IT-collega's betekent het enkel extra werk (opnieuw certificaten aanvragen), maar voor anderen (journalisten, vluchtelingen etc etc) kan het daadwerkelijk het verschil betekenen tussen vertrouwen/verraad....

De overheid dient controleerbaar aan te tonen (in de openbaarheid) dat ze te vertrouwen zijn. Aangetoond is, dat dit nu niet het geval is.
Het lijkt wel een bananenrepubliek waar iedereen slaapt of om te kopen is....
Die hack heeft diginotar dus niet gemeld.
dit is idd de omgekeerde wereld, de strafbare feiten zijn hier zwaar overtroffen, waarschijnlijk nemen hackers zichzelf zo serieus, dat ze straks ook nog eens zeggen, sorry, maar het moest wel i.v.m de staatsveiligheid.
Het hele systeem deugt niet. Maar veel mensen zullen denken dat nu DigiNotar verbannen is uit de browers, alles weer veilig is. Maar als je de lijst met certificaatautoriteiten in je browser doorspit, dan zitten daar tussen uit Turkije en China. Landen die ik niet zomaar vertrouw.

ps Overigens zijn ook de chips in de Nederlandse paspoorten getekend door DigiNotar.

[Reactie gewijzigd door El Cid op 4 september 2011 12:40]

Dan ben ik benieuwd wat jouw voorstel is voor een beter systeem?

Elk systeem heeft zwakke plekken, de enige manier waarop je er 100% zeker van kan zijn dat er geen MITM-aanvallen plaatsvinden is om alles lokaal te doen, dat gaat hem ook niet worden denk ik...

Certificaten werken prima, moet je alleen wel zorgen dat er geen onbetrouwbare bedrijven zijn die geldige certificaten kunnen uitgeven en als dat toch gebeurt, adequaat reageren. Diginotar heeft dat gewoon verzuimd.
Misschien moet er gekeken worden naar systeem van "web of trust" zoals in PGP/Gpg wordt gebruikt? Stel dat een certicaat door meerdere CA instanties kan worden, en dan vervolgens een score toekent aan de betrouwbaarheid van het certificaat.

Als een certificaat bijvoorbeeld slechts door 1 CA is ondertekend, krijgt het een trust-score "low", door 2 CA's een score van "average", en door 3 ca's een score van "good".

Eventueel kan je dit model ook uitbreiden naar de CA's zelf, en verliezen ze trust-score indien ze slachtoffer worden van een inbraak, en kunnen ze terug trust-score bijwinnen indien ze effectief stappen ondernemen om zulke zaken in de toekomst te vermijden. Voor ca's zou dit eigenlijk moeten gecontroleerd worden door een externe partij.


Anyway, just my 2 cents ...
Klinkt goed, alleen, wie is die externe partij, en wie waarborgt de onafhankelijkheid daarvan? Zonder die externe partij werkt een web of trust al goed genoeg.
Misschien moet er gekeken worden naar systeem van "web of trust" zoals in PGP/Gpg wordt gebruikt? Stel dat een certicaat door meerdere CA instanties kan worden, en dan vervolgens een score toekent aan de betrouwbaarheid van het certificaat.
Op zich wel een goed idee. Zoiets bestaat al voor banken: de credit rating.
Werkt ongeveer als volgt
AAA bank valt nooit om (Rabobank)
AA+? ook niet. Behalve dan ABN en Fortis.
AA? ook niet, maar ING leent wel, 30 miljard om dat te voorkomen ...
BB banken, ATBank, AKBank, zouden in slechte economische omstandigheden kunnen omvallen. Niet dus.
En de "uitdelers" van deze ratings liggen inmiddels zwaar onder vuur.

Ik geloof niet dat dit iets oplost. Het certificaten systeem werkt goed, maar je moet wel knoeiers er uit gooien, zodra dit blijkt.
Zowiezo denk ik dat een systeem waar server-certificaten door meerdere ca's worden getekend wel een meerwaarde bieden tegenover het huidige systeem.

Je hebt natuurlijk wel gelijk wat betreft mijn idee voor trust-scores voor ca's: het systeem is afhankelijk van de instantie die de scores uitdeelt. Maar misschien kunnen we die score door de browser-bouwers zelf laten bepalen?
Dit betekent volgens mij het einde van diginotar. Hun naam is voorgoed besmet.
Dat commentaar is bij dit nieuwsbericht echt volledig misplaatst. Natuurlijk is door de voorgaande nieuwsberichten, en het verwijderen van ondersteuning voor alle SSL certificaten van DigiNotar door de browsermakers, de naam flink besmet.

Dit nieuwsbericht laat echter zien dat dit ook de beste overkomt, en DigiNotar zich er niet echt voor hoeft te schamen. Het is alleen erg naar voor hen dat ze als eerste hierom in het nieuws kwamen, en daardoor het meest schade liepen.

DigiNotar heeft nu als vrijwel enige optie de mogelijkheid om hun naam te wijzigen, servers te legen en SSL certificaten te stoppen, en onder een nieuwe naam aan al hun oude klanten een brief te sturen waarin ze een nieuw SSL certificaat aanbieden, een verklaring geven voor de gemaakte fouten, en laten zien dat ze nieuwe beveiligingsmaatregelen nemen.

Ik denk dus dat met een goed beleid DigiNotar niet noodzakelijk compleet verloren is, maar wel veel verlies gaat leiden.
Een bedrijf dat willens en wetens een hack probeert te verzwijgen -terwijl het om zeer gevoelige informatie gaat- heeft wat mij betreft geen bestaansrecht. Ik vraag me ook af er nog mensen zijn die nog wel vertrouwen hebben in het management. Want vertrouwen is waar het om draait bij certificaten.
Inderdaad, op de blog van Mozilla Security leggen ze ook uit waarom bijvoorbeeld Comodo, die een soortgelijke hack had, niet door Mozilla in de ban is gedaan en Diginotar wel. Zo heeft Comodo wel direct contact gezocht met de browsermakers om de betreffende certificaten te laten blokkeren en hadden ze wél een lijst met verdachte certificaten.

In tegenstelling tot Diginotar die alleen maar kunnen zeggen: we weten het niet. En als je niet weet welke certificaten wel of niet te vertrouwen zijn, dan blokkeer je ze dus allemaal.

En Mozilla's ban gaat verder dan alleen maar het blokkeren van de Diginotar root, ze hebben het vertrouwen in het bedrijf Diginotar opgezegd.
Ben het helemaal eens met hierboven. Wat je alleen vergeet te vermelden, is dat door crappy logging, er ook geen inzicht was bij DigiNotar in welke certificaten waren aangedaan. En als je dat niet weet, dan moet echt alles op zwart.
Precies. En als Diginotar dit gelijk had aangegeven bij de browsermakers ('we weten niet wat er precies is gecompromitteerd, dus blokkeer al onze certificaten maar voor de zekerheid'), dan hadden ze in ieder geval als bedrijf nog vertrouwen gehad en was er verder weinig aan de hand (afgezien van een hoop administratieve rompslomp); nu kunnen ze opdoeken.

Wat mij verder zorgen baart: Vasco heeft al aangegeven dat de hele certificatenhandel van Diginotar slechts ca. 100k per jaar aan winst oplevert. M.a.w.: dit is commercieel niet interessant en dus investeren ze niet in betere beveiligingsmaatregelen. Wat veel bedrijven vergeten (of negeren) is dat een hoog betrouwbaarheidsniveau voor beveiliging aanpassingen vereist in de complete organisatie (dus niet alleen systemen, maar ook screening van medewerkers, fysieke beveiliging in gebouwen, functiescheidingen, inrichting van bedrijfsprocessen etc. etc.). Om dit commercieel interessant te maken moet je wel heel erg veel omzetten. En Diginotar is op dit moment weliswaar de pispaal, maar hoeveel van dit soort CA's zijn er nog meer?
DigiNotar was van oorsprong een partij die als Trusted Third Party optrad, een digitale notaris dus. Blijkbaar boerde dat niet goed genoeg, maar die certificaatjes wel, al lijkt bovenstaande statement anders te beweren
Ja, al moet je natuurlijk niet vertrouwen op dergelijke logs in het geval van een hack. Je logging mechnisme kan immers ook gecompromiteerd zijn.
Off site, log backups?
Een hack verzwijgen, je bedoeld zeker zelf het slot vervangen om daarna triomfantelijk met de eer te gaan strijken.
Hoe bedoel je? Het is echt nog steeds enkel DigiNotar dat gehacked is, er is vanuit hun een certificaat aangemaakt voor VeriSign etc
De beste overkomt? Hun? Dit nieuwsbericht gaat nog steeds alleen over de inbraak bij diginotar!
Dit nieuwsbericht laat echter zien dat dit ook de beste overkomt, en DigiNotar zich er niet echt voor hoeft te schamen. Het is alleen erg naar voor hen dat ze als eerste hierom in het nieuws kwamen, en daardoor het meest schade liepen.
Oh? Dat lees ik anders niet terug in het nieuwsbericht...

Als ik het goed heb begrepen zijn er dus ook DigiNotar-certificaten aangemaakt voor de websites van Thawte en VeriSign. Met behulp van die certificaten zou een kwaadwillende een website kunnen opzetten die lijkt op die van die organisaties; deze kwaadwillenden zullen wel het verkeer moeten omleiden via/naar de eigen servers.
DigiNotar heeft nu als vrijwel enige optie de mogelijkheid om hun naam te wijzigen, servers te legen en SSL certificaten te stoppen, en onder een nieuwe naam aan al hun oude klanten een brief te sturen waarin ze een nieuw SSL certificaat aanbieden, een verklaring geven voor de gemaakte fouten, en laten zien dat ze nieuwe beveiligingsmaatregelen nemen.
1) Tot nog toe hebben ze weinig blijk gegeven van "correct handelen" (na de hack, welteverstaan), dus die "verklaring geven voor de gemaakte fouten, en laten zien dat ze nieuwe beveiligingsmaatregelen nemen" zie ik zo snel niet gebeuren.
2) Strikt genomen valt "onder een nieuwe naam aan al hun oude klanten een brief te sturen" waarschijnlijk onder het verbod op (snail mail) spam; als je onder een nieuwe naam opereert heb je geen toestemming van je (vroegere!) klanten om ze te benaderen met commerciële post.
3) Als minstens één van je vroegere klanten echt helemaal klaar met je is, dan gaat zo'n brief natuurlijk rechtstreeks PasteBin op en dan weet binnen de kortste keren iedereen welke nieuwe naam bij het oude DigiNotar hoort; dat kun je vergeten.
Diginotar is voorgoed history en wat mij betreft komen de ex-medewerkers ook nooit meer aan het werk bij een security-gerelateerd bedrijf.

A) Ze hebben zich laten hacken, wat bij een zo'n beveiligingsbedrijf natuurlijk nooit mag gebeuren. Maar goed... dat kan de beste nog overkomen. Maar behalve dat:
B) Ze hebben die hack mogelijk jarenlang (sinds 2009) niet opgemekt, het is pas opgemerkt toen externen misbruik hebben vastgesteld en aan e bel hebben getrokken.
C) Zelfs nadat ze vastgesteld hebben en zelfs bekendgemaakt hebben dat ze gehacked zijn, hebben de hackers hun gang kunnen gaan.
D) Ze hebben certificaten aangemaakt die zelfs in een normale situatie niet aangemaakt hadden mogen worden. Als je systeem een certificaat maakt voor een opvallende naam als Google, terwijl Google geen klant van je is, moet er toch een lichtje gaan branden? Ze monitoren duidelijk hun eigen systemen geheel niet.
E) Ze hebben met een eigen onderzoekje vastgesteld en verklaard dat er geen gevaar was, een conclusie die iedereen zal hebben verbaarsd. En inderdaad: andere onderzoeken hebben bewezen dat er wel degelijk gevaar was.

Ze hebben zo ongeveer alles fout gedaan wat ze fout hadden kunnen doen en de zaak nog bij elkaar gelogen ook. Wat hadden ze nog kunnen doen (of laten) om het erger te maken?

Misschien 4-bit-certificaten verkopen als 4096-bit? Of windows 95 SP1 draaien als serversoftware? Geen backups? Verklaren God het zo gewild heeft?
Diginotar is overgenomen door Vasco dus wellicht dat ze de naam Vasco gaan gebruiken voor een doorstart. Of Vasco is die 10 miljoen kwijt plus nog evt schadeclaims.

nieuws: DigiNotar verkocht aan Vasco voor tien miljoen euro
En terecht! Een beveiligingsbedrijf, wat na een beveiligingslek zegt "Loopt U even door; niks aan de hand" verdient niet beter.

Eerlijk gezegd had ik verwacht, dat de overheid zelf certificaten in beheer zou nemen, na de introductie van het Root Certificate "Staat der Nederlanden".

ICTU zou dat hebben kunnen doen. Waarom dat aan de commercie overgelaten is, is beyond me.
Een overheidssite, dat een certificaat moet kopen, dat uiteindelijk door diezelfde overheid gegarandeerd wordt. Hoe krom is dat?
Er wordt maar weinig gerept over het softwarebedrijf dat de implementatie van de website gemaakt heeft. Dat geldt ook voor andere beveiligings-issues zoals onlangs bij integriteitoverheid.

Een bericht in de stijl van 'het beveiligingslek is snel gedicht' is volstrekt onvoldoende. Het is duidelijk dat zo'n software bedrijf een ondeugdelijk product heeft afgeleverd, waar de klant (diginotar of integriteitoverheid) ernstige schade door oploopt. De klant zou tenminste het volledige bedrag moeten terugvorderen dat is betaald voor het creeeren van zo'n website. Mogelijkerwijs kan het softwarebedrijf, haar directie, of haar programmeur, aansprakelijk gesteld worden voor geleden schade?
Mijns inziens nemen software bedrijven te gemakkelijk opdrachten aan waarvoor ze onvoldoende kennis in huis hebben, en/of laten het werk uitvoeren door duidelijk onvoldoend gekwalificeerde programmeurs. Dit geeft de software industrie een slechte naam. In sommige andere beroepsgroepen zijn mensen zelf aansprakelijk voor door hen gemaakte fouten!
Toch, zelfs als de fout gemaakt is bij een van de leveranciers, Diginotar is eindverantwoordelijk. Certificaten en veiligheid is wat ze verkopen. Dit is iets belangrijker dan bv of je website 'HTML5' is ofzo.

Hetzelfde als bv een internetwinkel een product niet levert. Het maakt mij niks uit of dat misschien komt omdat een leverancier van hun in gebreke is gebleven. Je hebt van doen met het vanvan je iets bestelde.. als een bedrijf geen goede keuzes maakt is dat bedrijf in gebreke en ga ik volgende keer wel naar een ander.

Maar toch benieuwd: Welk softwarebedrijf heb je het over?
Dit is toch wel een zwakte in het systeem van de certificaten, eigenlijk zou er nog een controle achter moeten zitten die nagaat of degene die het certificaat uitgeeft wel geauthoriseerd is om dat certificaat uit te geven. Nu zijn certificaten die uitgegeven zijn door een vertrouwde instantie sowiezo vertrouwt en daar ligt gelijk de zwakte van het systeem. Wellicht kan dit onderdeel worden van DNS(Sec) waarin dan bijvoorbeeld een record opgenomen kan worden wie de uitgevende instantie(s) is (zijn) voor het certificaat of certificaten van het domein. Die uitgevende instanties moeten daarnaast nog wel als vertrouwd bekend zijn, zoals nu ook het geval is.
Die zit er juist in! Waarom denk je dat een certificaat zo duur is? Juist vanwege het onderzoek, dat de issuer van het certificaat doet (dient te doen).
Juist vanwege als die safekeeps.

Het onvoorstelbaar domme hier is, dat DigiNotar de certificaat genererende machines blijkbaar in het netwerk heeft hangen.
Waarom is het dan mogelijk dat valse DigiNotar certificaten gebruikt kunnen worden voor Google en andere instanties? Terwijl die dus zelf bij VeriSign of een andere CA zitten. Volgens mij is het alleen maar mogelijk omdat niet gekeken wordt wie het certificaat heeft uitgegeven en op basis daarvan wordt bepaald of het vals is of niet. Nu is het zo dat als het certificaat maar van een vertrouwde CA komt dat dan direct wordt aangenomen dat het juist is, tenminste dat maak ik eruit op (anders had het niet gekund dat valse DigiNotar certificaten werden gebruikt voor sites die helemaal niet eens bij DigiNotar hun certificaten hebben afgenomen).
Dat heb je dus verkeerd begrepen :)
Het is wel degelijk opgenomen in het DNS, alleen als je als man-in-the-middle wilt gaan staan heb je een eigen server nodig die alles ontvangt, onderschept, doorstuurd en the-other-way-around.
Wat betekent dat de dns veranderd moet zijn om jou als gebruiker naar die derde te sturen.

oftewel: Iran heeft als overheid het internet in dat land in handen. Alle DNS servers zijn in hun bezit. Ze veranderen de DNS die doorgegeven wordt aan de gebruiker en sturen het door naar hun eigen server. Hun eigen server geeft een certificaat die ondertekend is voor hun server met het google.com of welk domeinnaam dan ook en door een vertrouwde partij.
Omdat de servers van DigiNotar waren gehacked en deze certificaten ook daadwerkelijk uitgedeeld waren, klopte het dus ook dat google.com voor dat certificaat bij die ene server hoorde. Daarom zegt de browser dan oke :)
Ik ben eigenlijk benieuwd of de Iraanse overheid hier straf voor krijgt? Net zoals de Chinese overheid die ook (bljikbaar volgens wikileaks) overheden hackt/spioneert.
Tja, dan mag je alle overheden denk ik wel gaan straffen, want geen enkele zal op dit gebied onschuldig zijn. Om maar een voorbeeld te nomen, enkele jaren geleden was het een klein schandaal toen bekend werd dat de VS leden van de VN bespioneerden met behulp van verschillende surveillance technieken om op die manier aan gevoelige informatie te komen over de betrokken personen. Niet netjes, maar wel de realiteit.
Ook is het nog niet duidelijk of de hackers, die vermoedelijk worden aangestuurd vanuit de Iraanse overheid, de valse certificaten daadwerkelijk hebben ingezet.
Zolang het om een vermoeden gaat is die vraag zinloos. Net zoals bij Stuxnet, waarbij het vermoeden bestaat dat de overheden van de VS en Israel er achter zitten.
Ik ben benieuwd naar de diplomatieke kant van het verhaal. In hoeverre kunnen we dit tolereren en lijkt dit op spionage. In de koude- oorlog had dit gerust een aanleiding kunnen zijn wat enorm snel geëscaleerd had. Of laten we het hierbij zitten? Op zijn minst mag er toch wel een brief naar Iran gaan of een bespreking in de VN.
Zoals men in Yes, Minister zei:

Jim Hacker: Humphrey, do you think it is a good idea to issue a statement?
Sir Humphrey: Well, Minister, in practical terms we have the usual six options:

One: do nothing.
Two: issue a statement deploring the speech.
Three: lodge an official protest.
Four: cut off aid.
Five: break off diplomatic relations.
And six: declare war.

Hacker: Which should be it?
Sir Humphrey: Well:

If we do nothing, that means we implicitly agree with the speech.
If we issue a statement, we'll just look foolish.
If we lodge a protest, it'll be ignored.
We can't cut off aid, because we don't give them any.
If we break off diplomatic relations, then we can't negotiate the oil rig contracts.
And if we declare war, it might just look as though we were over-reacting!
Het is helemaal geen vaststaand feit dat de Iraanse overheid hiervoor verantwoordelijk is. Dus brieven sturen of zittingen van de VN veiligheidsraad houden is nogal voorbarig.
Ik verbaas me toch hoe zn bedrijf met verantwooordelijkheden voor een root certificaat, wat ook nog eens voor een overheid is, zo de fout in gaat...

Je zou toch verwachten dat ze het niet geheim houden..
Met Euwas. Een bedrijf waar de core business draait om garantie van 'schijnveiligheid' is toch een beetje van de zotte.

Je wordt gehacked, maar pretendeert toch dat de wereld door draait en er niets aan de hand is. Dan is het toch echt tijd om maar een theater oid te gaan beginnen |:(
Meest opvallende vind ik dat in het bron artikel nog een stuk staat aangaande een tweede hack op een tweede root certificate van Diginotar. Het is dat de meest recente hack als een olifant in een porceleinkast tekeer is gegaan, anders was het niet boven water gekomen....
wat ook nog eens voor een overheid is, zo de fout in gaat...
Blijkbaar begrijp jij (en vele anderen) niet dat het hele certificaten systeem eigenlijk onveilig is.
Opvallend is dat op de lijst ook enkele certificate authorities staan genoemd, waaronder Thawte en VeriSign.
Helemaal niet opvallend. Lijkt me juist erg logisch (als black hat hacker zijnde, om zulks te doen).
Toelichting: Het zou dan mogelijk zijn om nieuwe certificaten met het DigiNotar certificaat te ondertekenen via een gespoofde Thawte/Verisign site. Nu valt dat trucje wel erg op omdat je als aanvrager toch wel even kijkt wat er in het certificaat staat wat je gekregen hebt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True