DigiNotar-hackers blijken 531 certificaten te hebben vervalst

Bij de hack op de systemen van het Beverwijkse DigiNotar blijken in totaal meer dan 500 valse certificaten te zijn gegenereerd. Bijna een kwart van deze certificaten werd uitgegeven nadat DigiNotar de hack zelf medio juli had ontdekt.

Dit blijkt uit gegevens die Tor-ontwikkelaar Jacob Appelbaum van de Nederlandse overheid heeft ontvangen. Eerder vandaag heeft Appelbaum contact gehad met de Nederlandse overheid, waarna hij een lijst met maar liefst 531 certificaten heeft ontvangen die mogelijk zijn vervalst. Eerder werd nog uitgegaan van hooguit 250 stuks, nadat in de nieuwste Google Chrome-versie 247 certificaten van DigiNotar werden geblokkeerd.

In overleg met de Nederlandse overheid heeft de ontwikkelaar besloten de volledige lijst met getroffen certificaten te publiceren. "Het is geen mooie lijst en ik heb besloten dat ik deze ga vrijgeven. De mensen met wie ik heb gesproken van de Nederlandse overheid zijn het eens met deze actie."

Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA. Saillant detail is dat deze laatstgenoemde organisatie ooit verantwoordelijk was voor de oprichting van DigiNotar.

"De ergste certificaten zijn uitgegeven voor *.*.com en *.*.org, terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn", stelt Appelbaum. "De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA', al kunnen we niet bepalen of ze er in zijn geslaagd om onderliggende CA-certificaten uit te geven."

Uit een snelle inventarisatie van de lijst blijkt dat 124 certificaten zijn uitgegeven nadat DigiNotar medio juli de hack ontdekte. Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten, maar nog heeft door laten draaien nadat de aanval werd ontdekt. Een andere mogelijke verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server.

DigiNotar was één van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot aan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op.

Browsers zullen binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken. De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies is echter niet waterdicht: browsers geven nu nog geen foutmelding als het gebruikte certificaat van DigiNotar is. Bovendien werken sommige mensen met een browser die niet up-to-date is en dus helemaal geen melding zal geven.

Ondertussen zit de overheid niet stil en wordt er voor PKIOverheid CA gewerkt aan een overstap naar Getronics PinkRoccade voor DigiD. Deze overstap is technisch nog niet gereed, al meldt het certificaat al wel dat deze vanaf 4 september geldig is. Opvallend is dat het certificaat tot 1 januari 2012 geldig is. Het is niet bekend of het om een tijdelijke maatregel gaat.

Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen of dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen.

DigiD-certificaat Getronics

Door Wilbert de Vries

Feedback • 04-09-2011 23:20
133 • submitter: Icingdeath

04-09-2011 • 23:20

133

Submitter: Icingdeath

Lees meer

Voorstel meldplicht ict-incidenten bij vitale diensten gaat naar Tweede Kamer
Voorstel meldplicht ict-incidenten bij vitale diensten gaat naar Tweede Kamer Nieuws van 21 januari 2016
Onderzoeker zet vraagtekens bij Europese https-regels
Onderzoeker zet vraagtekens bij Europese https-regels Nieuws van 29 december 2012
'Hacker kwam door verouderde cms-software Diginotar binnen'
'Hacker kwam door verouderde cms-software Diginotar binnen' Nieuws van 18 november 2012
Taskforce moet informatiebeveiliging bij overheid gaan verbeteren
Taskforce moet informatiebeveiliging bij overheid gaan verbeteren Nieuws van 12 november 2012
Onderzoeksraad: ict-beveiliging overheid moet flink beter
Onderzoeksraad: ict-beveiliging overheid moet flink beter Nieuws van 28 juni 2012
Rijksauditdienst: overheid heeft geleerd van Diginotar-affaire
Rijksauditdienst: overheid heeft geleerd van Diginotar-affaire Nieuws van 16 maart 2012
Hackers kraakten VeriSign-systemen in 2010
Hackers kraakten VeriSign-systemen in 2010 Nieuws van 2 februari 2012
KPN haalt site Gemnet offline na beveiligingsprobleem - update
KPN haalt site Gemnet offline na beveiligingsprobleem - update Nieuws van 8 december 2011
Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt
Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt Nieuws van 22 november 2011
Vasco ziet winst flink afnemen door DigiNotar-faillissement
Vasco ziet winst flink afnemen door DigiNotar-faillissement Nieuws van 27 oktober 2011
Gehackte ssl-autoriteit DigiNotar is failliet verklaard
Gehackte ssl-autoriteit DigiNotar is failliet verklaard Nieuws van 20 september 2011
Honderden burgers slachtoffer van DigiD-fraude bij Belastingdienst
Honderden burgers slachtoffer van DigiD-fraude bij Belastingdienst Nieuws van 19 september 2011
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten Nieuws van 17 september 2011
Ministerie onderzoekt stelsel ssl-certificaten
Ministerie onderzoekt stelsel ssl-certificaten Nieuws van 13 september 2011
DigiNotar: Wat is er aan de hand?
DigiNotar: Wat is er aan de hand? Video van 12 september 2011
DigiNotar-hacker daagt Fox-IT uit
DigiNotar-hacker daagt Fox-IT uit Nieuws van 9 september 2011
Mozilla eist maatregelen certificaatuitgevers na DigiNotar-debacle
Mozilla eist maatregelen certificaatuitgevers na DigiNotar-debacle Nieuws van 9 september 2011
Getronics berekent extra geld voor SHA-1-certificaten
Getronics berekent extra geld voor SHA-1-certificaten Nieuws van 9 september 2011
Ssl-hacker claimt privésleutel GlobalSign in handen te hebben
Ssl-hacker claimt privésleutel GlobalSign in handen te hebben Nieuws van 8 september 2011
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack Nieuws van 7 september 2011
Hacker Comodo claimt DigiNotar-inbraak
Hacker Comodo claimt DigiNotar-inbraak Nieuws van 6 september 2011
Overheid dwingt vertraagde Windows Update af bij Microsoft
Overheid dwingt vertraagde Windows Update af bij Microsoft Nieuws van 5 september 2011
Belastingdienst werkt toch nog met DigiNotar-certificaten - update
Belastingdienst werkt toch nog met DigiNotar-certificaten - update Nieuws van 5 september 2011
Hackers maakten certificaten aan voor sites geheime diensten
Hackers maakten certificaten aan voor sites geheime diensten Nieuws van 4 september 2011
Overheid: mogelijk DigiD-inloggegevens gestolen door hack
Overheid: mogelijk DigiD-inloggegevens gestolen door hack Nieuws van 3 september 2011
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar Nieuws van 3 september 2011
Overheid zegt vertrouwen in gehackte ssl-autoriteit op
Overheid zegt vertrouwen in gehackte ssl-autoriteit op Nieuws van 3 september 2011
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack Nieuws van 1 september 2011
Overheid vertrouwt blunderende ssl-autoriteit
Overheid vertrouwt blunderende ssl-autoriteit Nieuws van 31 augustus 2011
Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid - update
Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid - update Nieuws van 31 augustus 2011
Hackers genereerden zelf vervalst Google-certificaat - update
Hackers genereerden zelf vervalst Google-certificaat - update Nieuws van 30 augustus 2011
Firefox vertrouwt certificaat DigiD niet meer
Firefox vertrouwt certificaat DigiD niet meer Nieuws van 30 augustus 2011
Browsermakers geven nieuwe versies uit na DigiNotar-blunder
Browsermakers geven nieuwe versies uit na DigiNotar-blunder Nieuws van 30 augustus 2011
'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen'
'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen' Nieuws van 29 augustus 2011
DigiNotar verkocht aan Vasco voor tien miljoen euro
DigiNotar verkocht aan Vasco voor tien miljoen euro Nieuws van 10 januari 2011
Meer producten en artikelen
Politiek en recht Browsers Privacy Beveiliging Overheid

Reacties (133)

-Moderatie-faq
133
130
85
7
0
14
Wijzig sortering
-Tom 4 september 2011 23:27
"Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA."

Ik denk dat geen enkel certificaat die de naam 'DigiNotar' draait nog te vertrouwen is. Juist in de wereld van beveiliging van cruciaal belang voor het bestaansrecht van de betreffende onderneming.

DigiNotar heeft niet alleen haar eigen bestaansrecht ondermijnd, maar ook die van de gehele CA-markt. Voor zover ik het nieuws de afgelopen jaren heb gevolgd, heeft er nog nooit een dergelijk 'schandaal' voorgedaan met betrekking tot deze certificaten. De 'onomstotelijke betrouwbaarheid' van de branche is ondermijnd. Wellicht niet terecht, maar er zal nooit meer op dezelfde manier naar CA-organisaties gekeken worden.

Het doet me enigszins denken aan hogeschool InHolland. Ook al heb je precies hetzelfde gedaan als een student van een andere hogeschool, de naam zal altijd een negatieve lading hebben, waardoor je een 'streepje achter' hebt op de rest. Zo zie ik de situatie ook in met betrekking tot de CA-branche.
max3D @-Tom4 september 2011 23:55
Er is een eerder geval geweest van een CA die gehackt is, de low cost certificate provider Comodo. Die hebben het echter gelijk gemeld en zijn daarom niet in de ban gedaan.
( http://www.f-secure.com/weblog/archives/00002128.html)

Dus voorlopig staat de branche nog wel overeind ook al verwacht ik dat we in de toekomst naar browser pinning gaan op een beperkt aantal CA´s, dus een oligopolie ipv open concurrentie. Dat laatste leidt tot prijsdumping en dat is moeilijk te verenigen met een goede beveiling.

Dat het DigiNotar niet opviel dat Google nooit klant was is vreemd. Dat ze na de hack geen kas zagen om zelfs maar hun eigen output te bekijken is een mirakel. Elke stageaire had op Maandagochtend toch even de uitgegeven certifcaten voor:
skype
facebook
yahoo
wordpress
twitter
login.livemail
mi6
cia

etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.

Als de Iraanse overheid de DNS servers omgeleid had naar eigen adressen met deze certificaten hadden ze dus als man in the middle als eerste bericht van ieder kritisch bericht aan de bovenstaande clubs. Er zijn daar no doubt doden gevallen om hier een paar centen te besparen.

Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie. Dit ast een civiele procedure tegen de eigenaar.

Overigens is dit nog lang niet opgelost door te revoken. Het internet cafe waar je als dissident binnenwipt, het bedrijf waar je werkt hebben beiden waarschijnlijk nog oude un upgedate browsers en Safari schijnt niet te weten hoe revocation moet. Dat laatste weet ik niet zeker, maar het wordt alom bericht.

(edit bron voor mijn laatste claim http://revoke.info/revoke...sl-certificates-properly/)

(edit2: zojuist word bekend dat van een aantal bekende sites de DNS adressen gewijzigd zijn door vermoedelijk Turkse hackers. Heeft niet direct met DigiNotar te maken, maar de combi vervalste certificaten en DNS hacks is explosief. Zie http://nakedsecurity.soph...legraph-register-ups-etc/)

[Reactie gewijzigd door max3D op 24 juli 2024 05:53]

H!GHGuY @max3D5 september 2011 12:52
etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.
Je snapt blijkbaar niet hoe certificaten werken.

Een certificaat dat uitgegeven wordt krijgt (direct of indirect) een digitale handtekening van een root CA. maw het volstaat om de private key van het root CA te hebben om eender welk certificaat te tekenen.

In mensentaal: een willekeurig CA heeft een referentie naar het root CA, maar het root CA heeft geen enkele verwijzing naar alle CA's die het heeft goedgekeurd.
Eens de private key buitgemaakt is, heeft de uitgever van het root CA helemaal geen enkele controlemogelijkheid meer over wat er met het certificaat gebeurt. De enige actie die kan (en moet) genomen worden is het root CA revoken/terugroepen en opnieuw beginnen.
airell @H!GHGuY5 september 2011 13:12
Voor het eerst dat ik nu (ook) de mensentaal versie snap.

Dit betekent dan dat dus ook dat 'tussen certificaten', waarvan de private key gestolen is, niet te vertrouwen zijn, ook al is het root certificaat nog wel te vertrouwen (bijv. van VeriSign). Alleen een private key van een bovenliggend certificaat is voldoende(?).
siknu @max3D5 september 2011 00:17
Dat is wel erg drastisch, let wel dat DigiNotar in feite wel de juiste procedure gevolgd heeft. Nadat ze de hack opgemerkt hebben is de overheid bericht en heeft het een onafhankelijke audit laten uitvoeren. Je kan ook wel stellen dat PWC hier de bal flink heeft laten vallen, dat die niet meer vuur aan hun schenen gelegd wordt in de media valt mij erg op. Als betaalde auditor mag je toch verwachten dat na een dergelijk voorval ingeschakeld te worden ze secuurder te werk gaan.
bkor @siknu5 september 2011 00:50
Audit kijkt alleen of de procedures goed zijn. Als je gehacked bent is een audit van je procedures totaal niet voldoende.

Waar staat trouwens dat ze de overheid toen hebben ingelicht? Ik heb dat niet gezien.
arjankoole
@bkor5 september 2011 07:58
Audit kijkt alleen of de procedures goed zijn. Als je gehacked bent is een audit van je procedures totaal niet voldoende.
Als het goed is kijkt een audit naar de procedures en naar de inhoud. Als m'n vriendin een audit kreeg op de afdeling waar ze leiding gaf, werd er ook naar de procedures gekeken, en naar de inhoud van bepaalde dossiers. (steekproef, random aantal dossiers werden gedefineerd, en opgevraagd, waarvan dan zowel het digitale exemplaar als de papieren versie werden ingezien)

[Reactie gewijzigd door arjankoole op 24 juli 2024 05:53]

Jester-NL @siknu5 september 2011 07:40
Nadat ze de hack opgemerkt hebben is de overheid bericht en heeft het een onafhankelijke audit laten uitvoeren.
en
Onduidelijk is waarom Diginotar, een onderdeel van beveiligingsbedrijf Vasco Data Security, niet eerder heeft aangegeven dat zij honderden certificaten ongeldig hebben moeten verklaren. De eerste hacks blijken namelijk al op 19 juli ontdekt te zijn. Ook de gedupeerde bedrijven zijn door de organisatie niet geïnformeerd totdat het nieuws naar buiten kwam via een Iraanse dissident.

Ook deed het bedrijf geen aangifte van de inbraak, maar belde het deze week met het Openbaar Ministerie dat daarop direct een onderzoek gelastte. Het bedrijf doet naar verluidt maandag aangifte. Diverse advocaten wijzen erop dat het niet melden strafbaar kan zijn als blijkt dat als gevolg van de hack mensen iets overkomt.
De tweede quote komt van Nu.nl

Het verhaal is eigenlijk deze week pas naar buiten gekomen. Bijna twee maanden na de hack. Lijkt mij niet meer in de categorie 'in feite de juiste procedure gevolgd'.

[Reactie gewijzigd door Jester-NL op 24 juli 2024 05:53]

cire @siknu5 september 2011 19:26
Dat hangt natuurlijk af wat de vraag aan PWC was... als PWC alleen gevraagd is om de processen te beoordelen is het niet gek dat ze geen beveilingslek hebben gevonden.
tERRiON @max3D5 september 2011 01:56
Voor een dissident is het per definitie niet voldoende om te vertrouwen op de echtheid van certificaten. Een dissident zou eigenlijk een lijstje legitieme fingerprints van certificaten moeten hebben om die te controleren. Dat biedt de meeste zekerheid, zeker in het geval van internetcafé's.

Als een internetcafé of bedrijf op last van de overheid een aantal root- of intermediate-certificaten in de certificate-store van hun computers installeert dan ga je alsnog nat. De desbetreffende overheid kan dan alsnog klakkeloos alle certificaten genereren die ze maar willen, al dan niet met de gegevens uit de legitieme certificaten. De diverse velden uit een certificaat zijn kinderlijk eenvoudig in te vullen met de gegevens uit een legitiem certificaat. Alleen de fingerprints e.d. zijn in principe niet na te maken...
FreezeXJ @tERRiON5 september 2011 10:12
Echter verwacht je dan dat elke dissident/terrorist/protester volledig op de hoogte is van digitale veiligheid... Volgens mij is dat een beetje te optimistisch, zeker als je kijkt naar de stand van techniek in betreffende landen.
robvanwijk
@max3D5 september 2011 15:49
Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie.
Ik ben geen jurist, maar ik denk niet dat je ze daarvoor veroordeeld krijgt zonder een concreet slachtoffer aan te wijzen. Hoewel het absoluut mogelijk is dat er inderdaad doden zijn gevallen, dat ga je niet kunnen bewijzen (niet zonder de medewerking van Iran, die ze natuurlijk niet gaan geven). Ik vrees dat de "beste" aanklacht waar je ze op veroordeelt zou kunnen krijgen "grove nalatigheid (zonder aantoonbare, niet-financiële schade)" is.
engelbertus @-Tom5 september 2011 10:33
de vergelijking( en de concklusie) mbt hogeschool inholland vindt ik wat raar.
en zeker onterecht. uiteindelijk is elke afgestudeerde een individu,en geen enkele afgestudeerde is zomaar üitwisselbaar"met een andere, qua prestaties, kennis of kwaliteit.

dat je een bepaalde hogeschool hebt doorlopen zegt dus feitelijk niets.
ik mag tenminste hopen dat bedrijven iemand niet uitsluitend als een "papiertje" zien, wanneer ze iemand aannemen. waar zijn anders al die uitvoerige procedures voor met solliciteren. dan zou alleen het CV belangrijk zijn.
SuperDre
@-Tom5 september 2011 01:06
Ik denk eerder dat gewoonweg GEEN enkel CA certificaat van wie dan ook nog betrouwbaar is, want wie geeft ons garantie dat de andere providers ook niet gehackt zijn (geweest).
arjankoole
@SuperDre5 september 2011 07:59
Ik denk eerder dat gewoonweg GEEN enkel CA certificaat van wie dan ook nog betrouwbaar is, want wie geeft ons garantie dat de andere providers ook niet gehackt zijn (geweest).
Het is dan ook op vertrouwen gebaseerd. En ik vertrouw anderen heus wel, tot het tegendeel is bewezen.

De root certificaten van diginotar echter, staan bij mij inmiddels handmatig op 'never trust' in de key chain.
Anoniem: 35352 @arjankoole5 september 2011 18:50
Het is dan ook op vertrouwen gebaseerd. En ik vertrouw anderen heus wel, tot het tegendeel is bewezen.
Gezien meerdere commerciële Root CA's (inclusief de grootste op de markt) al meerdere malen bewezen hebben niet erg betrouwbaar te zijn, kan je dan maar beter niet al te veel vertrouwen hebben in de meeste SSL-certificaten...
GijsbertatNL 4 september 2011 23:46
Getoonde certiticaat DigiD is SHA-1 certificaat

Mogen niet langer geldig zijn dan tot eind 2011 volgens PKIOverheid en certificerings richtlijnen.

Verdouderde systemen/browsers kunnen nog niet goed met veiliger opvolger SHA2 omgaan.
AndriesLouw @GijsbertatNL5 september 2011 00:02
Opera keurt hier ook het niet ondersteunen van TLS-renegotiation af, het lijkt erop dat er nog wat werk is voor de beheerders van as.digid.nl.
Anoniem: 63628 @AndriesLouw5 september 2011 03:20
Sowieso is Opera wel handig want die hoef je niet te patchen voor deze wijziging, gelukkig. Daar werken de certificaten iets anders en checkt Opera online of ze wel/niet ingetrokken/betrouwbaar zijn op het moment van het benaderen van de website. Zal wel lullig zijn voor al die niet gepatched browserts. Misschien moeten die ook 's na gaan denken over het systeem van Opera.
Henk Poley @Anoniem: 636285 september 2011 07:20
convergence.io implementeerd een soortgelijk systeem in Firefox en Chrome.
SunnieNL @Anoniem: 636285 september 2011 07:46
Dat doet MSIE9 volgens mij ook al.
Anoniem: 27535 4 september 2011 23:40
De DigiNotar website is verre van up-to-date over de gang van zaken. Niet eens een verklaring. Dus nog steeds geen openheid van zaken. In principe is de webshop zelfs gewoon open.

De ironie: Als je op dit moment bij Diginotar een SSL certificaat wil aanvragen, dan wordt je naar een beveiligde verbinding op diginotar.nl geleid - en die geeft je browser dus als untrusted.

Ik denk niet dat er met deze aanhoudende opstelling veel mensen medeleiden zullen hebben als dit ze de kop kost. Er vanuit gaande dat ze niet nog wat mooie claims krijgen. De fout ingaan kan overal gebeuren, wat écht telt is hoe je ermee omgaat. Bizar dat ze zelfs nú die les nog niet geleerd hebben.
SuperDre
@Anoniem: 275355 september 2011 01:12
tja, het is toch wel afgelopen nu met diginotar, dus waarom zouden ze nog moeite steken in een verklaring geven.
josttie 5 september 2011 00:14
Wie gaat er mee aandelen kopen? Schijnen niet zoveel waard meer te zijn... :P
arjankoole
@josttie5 september 2011 08:22
Wie gaat er mee aandelen kopen? Schijnen niet zoveel waard meer te zijn... :P
En wat wil je in hemelsnaam met die aandelen? ze zullen niet meer waard worden. Bovendien is Diginotar eigendom van het Amerikaanse Vasco ( wat me een security risico voor de overheid lijkt, gezien de patriot act).
FicoF 4 september 2011 23:27
Goed, ik ben noob op dit gebied. Maar is de Iraanse overheid nu de belangrijkste verdachte? Wij hier allemaal zorgen maken over OVchip, slimme meter, rekeningrijden, terwijl buitenlandse overheden gewoon even het systeem hacken.
Step @FicoF4 september 2011 23:29
Ja dat vind ik ook zo vreemd, iedereen wijst met de vingers richting Iran. Maar niemand die ze er ook echt hard van beschuldigd en een internationale sancties op zet. :( Het mag internationaal blijkbaar allemaal!

We zullen nog druk hiermee bij de gemeente worden... :z
Anoniem: 126717 @Step5 september 2011 07:57
Of particular note is this certificate:
CN=*.RamzShekaneBozorg.com,SN=PK000229200006593,OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam,C=IR

The text here appears to be be an entry like any other but it is infact a calling card from a Farsi speaker. RamzShekaneBozorg.com is not a valid domain as of this writing.

Thanks to an anonymous Farsi speaker, I now understand that the above certificate is actually a comment to anyone who bothers to read between the lines:
"RamzShekaneBozorg" is "great cracker"
"Hameyeh Ramzaro Mishkanam" translates to "I will crack all encryption"
"Sare Toro Ham Mishkanam" translates to "i hate/break your head"
Uit de link naar de lijst...
Soundless @Step5 september 2011 01:26
We moeten eens stoppen met het wijzen naar partijen zonder dat we bewijzen hebben. Iran is momenteel nog 'maar een verdachte'. Laten we er niet meteen de dader van maken zonder die bewijzen.

En ja ik heb de pastebin gezien maar dit zegt natuurlijk niks. Iedere halve gare kan plaatsen op pastebin wat die wilt.

Of is er ander bewijs waar ik nog niks van af weet?
Proxy @Soundless5 september 2011 05:04
Of we moeten wel meteen Iran als dader zien, het is immers modern het principe 'schuldig totdat het tegendeel is bewezen' te gebruiken in plaats van het wettelijke 'onschuldig totdat het tegendeel is bewezen'.
arjankoole
@Step5 september 2011 08:02
Maar niemand die ze er ook echt hard van beschuldigd en een internationale sancties op zet. Het mag internationaal blijkbaar allemaal!
Nee, het mag internationaal absoluut niet. Maar je moet onomstotelijk bewijs hebben, zeg maar gerust: bewijs dat een rechtzaak zonder meer overleefd.

Wijzen naar Iran is al 'zwaar' in diplomatieke kringen, op dit moment verder gaan dan dat is dom, want dat kost je op latere momenten veel als je het niet kunt hard maken.
ATS @arjankoole5 september 2011 10:59
Net zo onomstokelijk als de WOMD die Irak zou hebben, bedoel je?

Het was natuurlijk te verwachten dat Iran zich niet onbetuigd zou laten, zeker niet nadat ze zelf slachtoffer zijn geworden van een trojan die er op gericht was om hun nucleaire programma te ondermijnen. Wie kaatst kan de bal verwachten, toch?
Fireshade @ATS5 september 2011 22:31
Deze hackactie is natuurlijk geen reactie op de trojan.
Deze hack is puur een spionageactiviteit op de eigen burgers om eventuele opstanden a la Egypte en Libie op voorhand de kop in te drukken. De democratie in Iran is niets meer dan een lege huls.
bvonk @Step4 september 2011 23:43
Waarschijnlijk kunnen ze wel zien waarvoor de meeste vervalste certificaten gebruikt zijn. En dat was waarschijnlijk om het Iraanse volk in de gaten te houden. En als je dat ziet kom je snel tot de conclusie dat Iran de dader is. Maar dat is geen bewijst en de regels die hier gelden betekenen niets in Iran.
SunnieNL @Step5 september 2011 07:37
Zover ik weet is de bal gaan rollen doordat iemand in Iran opmerkte dat er iets raars wat met het certificaat dat gebruikt werd.
Daarmee is dus gelijk gezegd dat de overheid (of in ieder geval de provider waar de datalijn liep) de boel belazerde met een nep certificaat.
Vigilans @FicoF4 september 2011 23:30
Ik heb nog nergens toonaangevend bewijs gezien dat de Iraanse regering hier achter zit. Voor hetzelfde geld ..... Ik zeg maar niks als anti-amerika zijnde O.o

[Reactie gewijzigd door Vigilans op 24 juli 2024 05:53]

ashemedai @Vigilans5 september 2011 07:50
Beter is om gewoon de aanwezige beschikbare data voor zich te laten spreken en die zegt op dit moment vrij weinig, behalve dat er fraudulente certificaten uitgegeven zijn names een of meerdere personen c.q. groepen. Iran is een verdachte omdat ze in het verleden via Comodo al eerder certificaten buit gemaakt hebben.

Een vooringenomen mening zoals je jezelf "anti-Amerikaans" noemt helpt sowieso niet.
bkor @FicoF5 september 2011 00:52
De Google bugreport is anders behoorlijk duidelijk. Verkeer van gebruikers van een Iraanse ISP werd omgeleid en een Diginotar certificaat werd gebruikt om te voorkomen dat klanten het omleiden van verkeer zouden opmerken.
FreshMaker @bkor5 september 2011 06:20
En andere instanties zoals de CIA of FSB zouden hier niets mee te maken 'kunnen' hebben ?

De politieke wereld is nooit betrouwbaar geweest, als het om "zwartmaken" van anderen gaat
Ik ben geen doemdenker, of aluhoedje-vouwer maar wie garandeert ons dat de CIA geen server geplaatst heeft bij betreffende Iraanse ISP.

Of erger, Diginotar is in handen van de Russische geheime diensten, en Comodo was destijds 'maar' een oefening.

Laat onderzoeken uitwijzen wat en waarom het gebeurt is, wat mij kwalijk lijkt is dat pas anderhalve maand NA ontdekking de grootte aan het licht komt, en fout op fout naar buiten komt
Anoniem: 295700 @FicoF4 september 2011 23:32
Ahmadinejad wil hier natuurlijk wel gratis met de trein! En zorgen dat het rekeningrijden niet werkt want hij wil natuurlijk ook olie blijven verkopen.
ProperChaos 4 september 2011 23:40
"De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA'"

Kan iemand uitleggen hoe dit mogelijk is? Je hebt dan toch de private signing key van Verisign/Thawte nodig?
Anoniem: 366402 @ProperChaos4 september 2011 23:47
Dat vraag ik mij idd ook af.
Het lijkt mij niet mogelijk om je certs te signen onder een andere autoriteit dan jijzelf.
Hier berust het hele vertrouwensprincipe op.

Toevoeging:
Ah, wat ik op kan maken uit die gepubliceerde lijst is de dignotar CA gebruikt om nagemaakte CA's van andere autoriteiten te signen. Een stukkie verder omlaag in de chain, dus.

[Reactie gewijzigd door Anoniem: 366402 op 24 juli 2024 05:53]

redah @ProperChaos4 september 2011 23:49
Ze hebben simpelweg certificaten uitgegeven met als naam 'Verisign Root CA'. Deze linkten dus nog altijd naar de Diginotar CA, en zijn technisch gezien niets anders dan de certificaten die gemaakt zijn voor (bijv.) google.com.

De root van Verisign en Thawte zijn dus niet 'beschadigd' :)
gtissink 5 september 2011 00:06
Misschien heeeel misschien snappen er nu een aantal mensen dat ik nog
niet aan de DigiD ben.

Als IT'er heb ik een gouden regel
Alles is te kraken, er bestaat niet zoiets zoals eVeilig(heid)

Het is niet negatief jegens techniek bedoeld maar de overheid maakt er elke keer
een rommeltje van dus DgiD Nee bedankt.
AndriesLouw @gtissink5 september 2011 00:18
Als je dit aangrijpt om DigiD in zijn geheel te bombarderen, dan snap je niet de strekking van dit hele debacle. DigiD is maar een van de gebruikers van certificaten ondertekend door DigiNotar, en zij zijn inmiddels overgestapt op certificaten ondertekend door een andere leverancier.

Daarbij, er is, tot zover, nog geen vervalst certificaat voor as.digid.nl bovengekomen. Enkel is het vertrouwen opgezegd in DigiNotar, en browsers zouden hier in de afgelopen dagen een melding van kunnen hebben gemaakt wanneer je van DigiD gebruik wilde maken.
Ray-zor @gtissink5 september 2011 00:25
Ja, alles is te kraken. Maar dat geldt even zozeer niet-digitale zaken. Dus DigiD (en andere gevoelige onderwerpen als elektronisch patiënten dossier en eHerkenning) zijn niet onfeilbaar, maar mijns inziens is de vraag of het een beter alternatief is ten opzichte van het papieren-systeem. Persoonlijk denk ik van wel, maar ik ben het met je eens dat er een gevoel van absolute veiligheid omtrent digitale zaken is/wordt gecreëerd die onterecht en zelfs gevaarlijk is. Of dat onkunde, politiek, commercie of een combi hiervan is, weet ik niet maar dit soort berichten zullen nog wel vaker voorkomen. Helaas want wat mij betreft: DigiD Ja maar wel verstandig :)
haneev @gtissink5 september 2011 00:27
En ik vind het ronduit knap dat je als IT'er niet aan de elektronische overheid bent. Alles is te kraken, klopt en dat is zeker ook het geval bij papieren overheid, denk aan fraude, valsheid in geschriften. Ik denk dat het kortzichtig is om niet met de tijd mee te gaan ("vroeger was alles beter" manier van redeneren). Ja, waarschijnlijk is papier nu veiliger, omdat het een uitzondering betreft. Als jij graag wil betalen voor een papieren overheid mag jij dat doen. Ik denk dat we helemaal geen slecht beveiligingsstelsel hebben rond overheid zaken, het is meestal goed geregeld en als het fout gaat is het aardig vlot verholpen. De techniek achter certificaten ziet goed in elkaar alleen rust het voor een deel op vertrouwen, dat vertrouwen is nu geschaad, maar dat moet geen groot probleem opleveren. Pas als iedereen het vertrouwen opzegt hebben we een groter probleem.
Een IT'er ziet waar het fout kan gaan, maar kan daardoor ook zien hoe het juist wel moet (kan controleren of het goed gedaan wordt of niet) en kan dus zo prima veilig over het internet met de overheid.

[Reactie gewijzigd door haneev op 24 juli 2024 05:53]

SuperDre
@gtissink5 september 2011 09:28
Knap voor je, want sommige dingen bv bij de gemeente zijn niet eens meer te regelen zonder digid. Ook je inkomstenbelasing aangifte is niet zonder DigiD te regelen, dus hoe jij je aangifte hebt gedaan is mij een raadsel..
The Jester @gtissink5 september 2011 11:03
Je kunt de risico's beperken, door SMS-authenticatie aan te vinken.
Je krijgt dan, bij het doen van electronische aangifrte, een SMS met een code. Ook dat is te ondervangen, maar dan moeten ze wel het bij DigiD bekende nummer van jouw mobiel hebben.

100% veiligheid is natuurlijk een illusie, maar je kunt als consument natuurlijk zelf ook opletten. Overigens ben ik wel van mening dat de overheid ondersteuning voor verouderde, brakke browsers (denk aan IE 6) moet staken.
Het feit dat de Overheid "idereen" wil/moet kunnen bedienen heeft IMHO \o zijn grenzen.
sidelo @gtissink5 september 2011 00:16
Helemaal gelijk Ik neem dan ook aan dat je net als ik je aangifte biljet persoonlijk gaat overhandigen aan je belastinginspecteur en je hem onder toeziend oog van een notaris laat tekenen voor ontvangst. Want ze zouden je aangifte toch eens vervalsen of erger nog je APK status van je auto opvragen.......
Clubbtraxx @gtissink5 september 2011 00:22
Gewoon selectief mee omgaan, ik gebruik DigiD alleen voor mijn electronische aangifte bv
preske 4 september 2011 23:29
"terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn"

Welja, een miljard potentiele doelwitten. Helemaal niet schadelijk, toch?
Lizard @preske4 september 2011 23:52
De windows updates packages zijn zelf nog eens door Microsoft digitaal ondertekend.
Dit is niet met een SSL certificaat te spoofen.
arjankoole
@Lizard5 september 2011 08:05
De windows updates packages zijn zelf nog eens door Microsoft digitaal ondertekend.
Dit is niet met een SSL certificaat te spoofen.
Ware het niet dat certificaten ook gebruikt kunnen worden om software pakketten digitaal te tekenen. als ze toegang hadden tot de CA, kunnen ze ook software certificaten genereren.
deadinspace @arjankoole5 september 2011 09:03
Ware het niet dat certificaten ook gebruikt kunnen worden om software pakketten digitaal te tekenen.
Ik neem aan dat updates van Microsoft ondertekend moeten zijn door Microsofts certificaten, en niet door Diginotars certificaten?
als ze toegang hadden tot de CA, kunnen ze ook software certificaten genereren.
Iedereen kan softwarecertificaten genereren, dat wil nog niet zeggen dat ze geaccepteerd worden ;)
bkor @preske5 september 2011 00:53
Zo ver ik altijd Windows update heb begrepen vertrouwt het alleen certificaten die ondertekent zijn met een Microsoft CA. Dus https://windowsupdate.microsoft.com/ zou geen foutmelding geven, maar de 'window update' software juist weer wel.
arjankoole
@bkor5 september 2011 08:08
Zo ver ik altijd Windows update heb begrepen vertrouwt het alleen certificaten die ondertekent zijn met een Microsoft CA. Dus https://windowsupdate.microsoft.com/ zou geen foutmelding geven, maar de 'window update' software juist weer wel.
Dat hangt er vanaf. Als het certificaat op 'explorer.exe' is uitgegeven door Microsoft CA, die uitgegeven is door de (gehackte) DigiNotar CA, dan kan het nog steeds. Dat is afhankelijk van hoe Microsoft het geïmplementeerd heeft. Als Microsoft tevens verreist (en dat verwacht ik wel) dat Microsoft CA de absolute ROOT CA is (dus niet uitgegeven door iemand anders) dan kan 't. Tevens zullen ze 't vast hebben gepint op een key fingerprint.
Firesphere @bkor5 september 2011 19:07
Als ik (met firefox) naar windows update site ga... krijg ik een "niet vertrouwde verbinding" melding.

Dat klopt dus niet helemaal. (SSL-Cert is wel van Microsoft trouwens)
Ulysses @preske5 september 2011 00:18
Windows Update Certificaten zouden alleen werken waar de overheden de controle tot het internet in handen hebben, zoals in Iran. En dan nog alleen onder zeer uitgekiende omstandigheden. Er is NOG geen bewijs dat het daadwerkelijk gelukt is een Windows Update vals te verspreiden. Ook is de digitale handtekening van Microsoft zelf niet gecompromitteerd. {/afkloppen}
http://webwereld.nl/nieuw...mijnt-windows-update.html
deadinspace @preske5 september 2011 09:01
"terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn"

Welja, een miljard potentiele doelwitten. Helemaal niet schadelijk, toch?
Met *.*.com en *.*.org kan SSL-verkeer naar alle .com en .org domeinen onderschept worden, inclusief windowsupdate.microsoft.com. Met die wildcard certificaten kan dus hetzelfde als met de windowsupdate certificaten, en meer. Dus ja, die zijn per definitie schadelijker.
Helemaal niet schadelijk, toch?
In het artikel staat "in vergelijking minder schadelijk", wat een prima verwoording is. Jij bent degene die daar "niet schadelijk" van maakt.
huugie 5 september 2011 08:40
Wat ik mij afvraag: Het gaat bij deze hack dus om valse certificaten waardoor in een browser een mogelijk vals gevoel van veiligheid gecreëerd kan worden. Maar je moet dus in tweede instantie, naast het certificaat, ook de browser kunnen vertrouwen.
Browsers downloaden gebeurt van sites (voor zover ik weet) zonder beveiligde verbinding. Een kwaadwillende partij met voldoende middelen (een Iraanse regering bijv.) kan dan toch ook zonder problemen deze onbeveiligde sites spoofen en een eigen versie van een browser aanbieden waarmee het hacken van CA's helemaal niet meer nodig is?
Of snap ik er iets niet :? ?
SuperDre
@huugie5 september 2011 09:35
Juist en Firefox is zelf al meerdere malen hiervan de pineut geweest, omdat het opensource is en mensen domweg geloven dat ze de mozilla build downloaden van firefox.. daarom, browsers sowieso alleen maar downloaden van de officiele site..
huugie @SuperDre5 september 2011 09:52
Inderdaad, maar als die officiële site voor het downloaden een onbeveiligde verbinding gebruikt, kun je er dus niet op vertrouwen dat je van de echte site aan het downloaden bent en dus de echte, te vertrouwen browser download....
MrHankey @huugie5 september 2011 11:20
als je internet explorer gebruik download je die van MSupdate en dat is wel beveiligd. als het certificaat niet gehackt is dan
SECURITEH 4 september 2011 23:47
Simpelweg DigiNotar heeft ontzettend zitten prutsen en de overheid heeft dit bedrijf zelfs zitten te verdedigen, lachwekkend.

Het is duidelijk dat beide niets weten van beveiliging anders maak je dit soort blunders niet, en ik doel niet op de hack, uiteindelijk kan alles gehacked worden, maar het zo onder de mat proberen te vegen...
Anoniem: 228838 @SECURITEH5 september 2011 00:18
Diginotar is incompetent, dat is duidelijk. De "coverup" lijkt mij vanuit management beslissingen te komen maar dat er na ontdekking toch nog valse certificaten uitgedeeld werden toont aan dat ook technische blunders begaan zijn. Het verbaasde mij ook dat Donner in zijn persconferentie vrijdagnacht vertelde dat het probleem met een management wissel opgelost zou worden.

Ik weet wel zeker dat de overheid wel degelijk veel weet van beveiliging, alleen niet de politiek (of de hogere ambtenaren). Ik denk dat de hoogste prioriteit verkeerd ligt. Nu gaat schijnbaar de continuiteit van de systemen voor op de betrouwbaarheid van de systemen. Ik verwacht dat er in de toekomst op z'n minst een een plan klaar moet liggen voor dit soort gevallen, dat een dergelijk plan er nu niet is mag duidelijk zijn.
Budha @SECURITEH5 september 2011 00:18
DigiNotar kan de deuren wel sluiten. Wie wil er nu nog met dat bedrijf in zee?
arjankoole
@Budha5 september 2011 08:20
DigiNotar kan de deuren wel sluiten. Wie wil er nu nog met dat bedrijf in zee?
Ik niet, de overheid ook niet zo te zien. DigiD is al om naar Getronics. (niet dat ik KPN in staat acht 't beter te doen, en gingen ze niet heel Getronics lekker naar India verplaatsen?)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq