Overheid dwingt vertraagde Windows Update af bij Microsoft

Microsoft zal op verzoek van de Nederlandse overheid de komende patchronde voor Windows niet automatisch helemaal uitrollen in Nederland. Volgens het kabinet heeft het rücksichtslos blokkeren van de certificaten te grote gevolgen.

Microsoft was van plan om - na de ontdekking van een grote inbraak bij DigiNotar - de certificaten van dit bedrijf te blokkeren. Op verzoek van de overheid wordt in ieder geval voor Nederlanders voorlopig een uitzondering gemaakt: de update wordt niet automatisch geïnstalleerd. Het is niet bekend of dit voor de gehele patchronde geldt of alleen voor de afzonderlijke update die de certificaten van DigiNotar uit de whitelist zou halen.

De overheid zal PKI-Overheid-certificaten van DigiNotar bovendien niet intrekken: volgens minister Donner van Binnenlandse Zaken zou er maatschappelijke schade kunnen optreden als dat wel van de ene op de andere dag zou gebeuren. "Communicatiesystemen zouden dan verstoord kunnen raken", zei de bewindsman maandagavond tijdens een persconferentie over de DigiNotar-zaak. "Hierdoor heeft het kabinet gekozen voor een gefaseerde migratie naar andere certificatiesystemen."

Ondanks de overstap moeten internetters volgens de minister nog steeds waakzaam zijn. "Mensen moeten nog steeds goed opletten. De overheid is nog niet op alle sites overgestapt op nieuwe certificaten. Er is nu veel vraag naar nieuwe certificaten. We denken dat de overheid nog drie tot vier dagen nodig heeft om de certificaten te vervangen. Voor de certificaten op machines voor contacten tussen machines onderling is langer nodig."

Wanneer de hele overstap op voor deze machine-to-machine-certificaten is afgerond, kon Donner niet precies aangeven. Wel gaf de minister aan dat de tijd hiervoor beperkt is door de updatedruk vanuit Microsoft. Microsoft zal de update voor Nederland wel aankondigen en ter beschikking stellen, maar niet automatisch uitrollen. "Microsoft zal voor in ieder geval Nederland de nieuwe release niet automatisch toepassen maar de keuze bieden om handmatig over te stappen naar een andere aanbieder."

DigiNotar, dat ssl-certificaten verstrekt waarmee websites en bedrijven zichzelf kunnen identificeren, bleek vorige week te zijn gehackt. Beveiligingsbedrijf Fox-IT deed in de afgelopen week onderzoek naar de beveiligingsproblemen bij ssl-autoriteit DigiNotar en de resultaten van dat onderzoek zijn maandagavond gepresenteerd. Het onderzoeksrapport, dat in verband met de korte tijd waarin het moest worden opgesteld niet overal op ingaat, laat zien dat het met de beveiliging van DigiNotar zeer slecht was gesteld.

De onderzoekers van Fox-IT schrijven onder meer dat er geen antivirussoftware op de onderzochte servers was geïnstalleerd. Ook zouden de servers die werden gebruikt voor het signen van certificaten in hetzelfde Windows-domein hebben gehangen; daardoor was het ontfutselen van één wachtwoord genoeg om alle servers te kraken. De gebruikte wachtwoorden bleken ook nog eens veel te simpel. Bovendien waren de servers over het netwerk te benaderen vanaf pc's van medewerkers, terwijl dat niet mag. Hoewel er een systeem in werking was dat inbraken op het netwerk zou moeten hebben opgespoord, bleek dit niet effectief.

De overheid kan niet langer garanderen dat de PKIoverheid-certificaten van DigiNotar nog veilig zijn, al valt in het rapport te lezen dat misbruik niet is aangetoond. Hetzelfde blijkt te gelden voor een aantal andere certificaat-autoriteiten, waaronder het Ministerie van Justitie, de Nederlandse Orde van Advocaten, TenneT, Renault-Nissan en de TU Delft; ook de veiligheid van certificaten van die autoriteiten kan niet worden gegarandeerd, omdat DigiNotar ze verzorgde.

De onderzoekers schrijven verder dat sommige scripts en software die door de hackers is gebruikt professioneel was, terwijl een deel een amateuristische uitstraling had. De onderzoekers stellen bovendien dat het ssl-certificaat dat de DigiNotar-hackers uitgaven waarmee ze zich als een Google-dienst konden voordoen, vooral is misbruikt bij Iraanse internetters. Het vermoeden bestond al dat de aanval was bedoeld om ssl-certificaten te kunnen misbruiken met als doel internetverkeer van en naar Iraanse internetters te kunnen onderscheppen.

DigiNotar kwam een week geleden in het nieuws, toen bleek dat hackers systemen van het bedrijf hadden gebruikt om valse certificaten te genereren. Hoewel DigiNotar de hack 19 juli ontdekte, trok het bedrijf niet aan de bel. Uit het onderzoek van Fox-IT blijkt dat de eerste sporen van de aanvallers al dateren van 17 juni. De laatste valse certificaten werden aangemaakt op 22 juli - drie dagen na de ontdekking.

Zondag bleek dat er in ieder geval 531 certificaten zijn gegenereerd, waaronder voor *.*.com en *.*.org. DigiNotar was een van de zes partijen die namens de Rijksoverheid ssl-certificaten mochten uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten voor de overheid uitgeeft, niet is gekraakt.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

Visuele weergave van ongeveer 300.000 unieke ip-adressen waarvan het verkeer naar Google.com werd onderschept als gevolg van de DigiNotar-hack. Meer dan 99 procent van deze ip-adressen bevond zich in Iran.

IT-banen

Reacties (179)

PROnline 5 september 2011 22:42

Om de bemoeienis van de overheid te ontlopen:

certutil -delstore authroot “c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c”
certutil -delstore authroot “‎43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3”
certutil –urlcache * delete

Dit verwijderd de foute certificaten. Zie http://blogs.technet.com/b/srd/

DDX @PROnline • 5 september 2011 22:50

Hiermee verwijder enkel de Diginotar CA's die als het goed is al automatisch verwijderd zijn.
En niet de Staat der Nederlanden Diginotar CA's.

<edit, deze info klopte niet>

[Reactie gewijzigd door DDX op 22 juli 2024 13:49]

_root @DDX • 5 september 2011 23:10

NIET DOEN!

Dit is het root CA van staat der Nederlanden, dan gaat het getronics PKI overheids certificaat ook niet meer werken.

Weer een gedoe, moet je deze weer handmatig gaan toevoegen !

Met het certificaat van de staat der Nederlanden is niets mis, het gaat om het certificaat daaronder van Diginotar.

[Reactie gewijzigd door _root op 22 juli 2024 13:49]

DDX @_root • 5 september 2011 23:17

Ok, welke moet je dan verwijderen ?

terugzetten kan eenvoudig via : http://download.windowsup.../trustedr/en/rootsupd.exe

MSalters

Politiek en recht
Nederland

@DDX • 7 september 2011 02:30

Geen enkele. Certficates worden op twee manieren gecheckt.

Root certificates worden in die lijst gecheckt.
Intermediate worden bij hun parent gecheckt.

Zodra de Staat der Nederlanden het certificate van DigiNotar intrekt, is dat automatisch rejected.

Jasper Janssen @DDX • 6 september 2011 10:31

Verwijdert die de staat der nederlanden root CA zoals je zegt? want dat is nl. niet de bedoeling. Het gaat om diginotar PKIoverheid, dat een van de sub-licensed CAs is van staat der nederlanden. De andere takken van Staat der Nederlanden CA blijven gewoon geldig.

regmaster 6 september 2011 08:37

Overigens lijken de reacties hier steeds meer het niveau te krijgen van een gemiddelde Telegraaf reactie. Er zijn, zo te lezen, maar weinig mensen die snappen hoe certificaten echt werken en wat je moet doen om deze succesvol te kunnen misbruiken.
Er wordt teveel vanuit de onderbuik gereageerd en niet met het verstand, aangedreven door kennis van zaken.
Dat de certificaten van Digikneutar allemaal z.s.m. moeten worden vervangen is geen discussie, geschonden vertrouwen is niet meer te repareren dus weg ermee. Maar welk risico lopen we nu echt? In de praktijk is het niet zo eenvoudig om een vals certificaat te gebruiken.
Je zult een man in the middle aanval moeten gaan uitvoeren waarbij je een aangepaste kopie van de target site opzet en gaat hosten. Dat is geen probleem maar dan begint de werkelijke uitdaging. Je zult de doelgroep van de te vervangen site moeten laten geloven dat ze op de echte site zitten terwijl ze op die van jou zitten. Dat betekend dat je een stuk DNS verkeer moet rerouten naar jouw eigen DNS of je moet DNS records aanpassen. En dat allemaal zonder dat iemand dat opvalt. Voor een land is dat niet zo heel ingewikkeld maar voor een hacker(sgroep) des te meer. Er zijn veel variabelen waar het 'fout' kan gaan en daardoor kan vroegtijdige ontdekking een feit zijn. Lees het artikel in Security.nl maar eens hoe zoiets in zijn werken kan gaan.
Uiteraard is er een zeker risico, en daar moet zeker naar gehandeld worden maar op ad hoc even tien duizenden certificaten op veelal kritische systemen te vervangen is toch heel andere koek. Dat moet zorgvuldig gebeuren wil de dienstverlening gecontinueerd blijven worden.

Peetz0r 5 september 2011 22:27

Jongens, zes weken!
Zes weken is het (bij de overheid) bekend dat DigiNotar niet in orde is. ZES WEKEN! jullie hadden tijd zat om nieuwe certificaten te halen. En nu maar bij Microsoft bedelen voor wat extra tijd...

edit: hierzo

Chief operating officer Jan Valcke van DigiNotar zegt dat de Nederlandse overheid destijds wel is ingelicht, maar dat het bedrijf het niet nodig vond om de hack publiek te maken.

[Reactie gewijzigd door Peetz0r op 22 juli 2024 13:49]

Anoniem: 119722 @Peetz0r • 5 september 2011 22:41

Jongens, zes weken!
Zes weken is het (bij de overheid) bekend dat DigiNotar niet in orde is. ZES WEKEN! jullie hadden tijd zat om nieuwe certificaten te halen. En nu maar bij Microsoft bedelen voor wat extra tijd...

Het was geen 6 weken bekend bij de overheid. De eerste hack vond waarschijnlijk plaats op 17 juni. In de nachts van 2/3 aug. jl heeft Donner die persconferentie gegeven.De overheid was ook veel te laat ingelicht. Dat had al op 17 juni gemoeten.
Diginotar is in deze geheel verantwoordelijk.
Volgens IT expert Ronald Prins van Fox-IT (in Nieuwsuur 22:00) zijn er ook certificaten gestolen waarmee je belastingaangiften zou kunnen manipuleren.
http://nieuwsuur.nl/onder...ran-kraakt-nederland.html

Diginotar gebruikte geen virusscanner, de software was niet bijgewerkt. En de wachtwoorden waren makkelijk en simpel te raden(NOS)
http://nos.nl/artikel/270...-zo-lek-als-een-zeef.html

[Reactie gewijzigd door Anoniem: 119722 op 22 juli 2024 13:49]

Peetz0r @Anoniem: 119722 • 6 september 2011 00:07

Ik heb ergens gelezen dat de overheid weldegelijk al in juli wist dat DigiNotar hegackt was. Ik kan me helaas niet herinneren waar ik dat heb gelezen. Als ik het vindt bewerk ik mijn reactie.

edit: hierzo

Chief operating officer Jan Valcke van DigiNotar zegt dat de Nederlandse overheid destijds wel is ingelicht, maar dat het bedrijf het niet nodig vond om de hack publiek te maken.

[Reactie gewijzigd door Peetz0r op 22 juli 2024 13:49]

i-chat @Peetz0r • 6 september 2011 00:53

ik wil die C.O.O van diginotar echter nu niet bepaald op zo'n bolle ogen geloven, wel slaan trouwens maar das wat anders...

wat ik wil zeggen ga maar liever uit van de bevindingen van fox-it...

Cergorach @Peetz0r • 6 september 2011 09:11

De vraag is even wat er destijds precies is gemeld aan de overheid en aan wie. Ik ga niet verkondigen dat de Nederlandse staat nu heel vlot en veilig is, maar hoge pieten bij Diginotar hebben op het moment heel weinig 'credibility' bij mij.

[Reactie gewijzigd door Cergorach op 22 juli 2024 13:49]

Lapixx @Anoniem: 119722 • 5 september 2011 23:12

Wat ik vooral opmerkelijk vind is dat eerst verzekerd wordt dat er niks aan de hand is, vervolgens een verzoek wordt gestuurd naar Mozilla om de certificaten die onderdeel zijn van overheidsinstanties tóch te blijven vertrouwen. Wanneer Mozilla daarna toch besluit dit niet te doen, zegt Donner het vertrouwen in DigiNotar ook op, en nu wordt uitstel (want dat is het in principe) afgedwongen bij Microsoft?

En dat alles zodat de websites van overheidsinstanties 'normaal' blijven uitzien voor de gebruikers, ondanks het feit dat er vervalste certificaten in omloop/gebruik zijn.

Op deze manier ondermijn je de volledige Public key infrastructure en saboteer je tevens actief een onderdeel van de beveiliging van MSIE (in dit specifieke geval).

Navi @Lapixx • 5 september 2011 23:20

Dat is toch altijd bij dit soort dingen en/of rampen, eerst valt het allemaal wel mee, totdat het niet meer te ontkennen is.

Lapixx @Navi • 5 september 2011 23:49

Dat klopt, maar in dit geval wordt er gevraagd om de certificaten toch nog even te vertrouwen (of om uitstel tot wantrouwen, wat op hetzelfde neer komt), nadat er publiekelijk gemeld is dat de situatie niet al te best uitziet.

En goed, niemand heeft echt wat aan een 'Captain Hindsight' in dit soort gevallen, maar om het nu te hebben over "rücksichtslos blokkeren van certificaten" wanneer je zelf geen backup-plan hebt? Twijfelachtig in mijn ogen.

Glashelder

@Lapixx • 5 september 2011 23:56

Voor zover ik weet heeft Donner het vertrouwen in Diginotar opgezegd omdat uit het rapport van Fox-IT bleek dat dit gerechtvaardigd was. Mozilla had daar niets te maken.

Als overheid kan je niet zomaar het vertrouwen in een bedrijf (waarmee je een contract) hebt opzeggen. Daar moet gedegen onderzoek naar gedaan worden. Al met al vindt ik dat er voor een overheid snel gehandeld is. DigiD is gisteren al van een nieuw certificaat voorzien.

Dit verhaal van Windows Update vind ik verder ook vreemd. Ik ga de update in ieder geval gewoon installeren (ook bij klanten met BAPI certificaten). De belastingdienst heeft immers aangegeven coulant om te gaan 'bij problemen'..

Lapixx @Glashelder • 6 september 2011 01:03

Overheid of niet, wanneer een bedrijf dat praktisch draait om veiligheid niet meer veilig blijkt te zijn, en daardoor in de nabije toekomst al onbruikbaar wordt, dan ga je geen gebruik meer maken van haar diensten.

Overigens zeg ik niet dat er langzaam is gehandeld, integendeel, ik heb het idee dat er nu te snel besluiten worden genomen, een andere verklaring voor deze merkwaardige gang van zaken kan ik me haast niet voorstellen.

source @Anoniem: 119722 • 5 september 2011 22:52

Moet dat niet 2/3 sept zijn....

ontopic: Je zou je nog kunnen afvragen; Hoe goed zijn de andere registars qua beveiliging? Zouden er andere gehacked zijn waar wij nu nog niets van weten....

MrMonkE @source • 5 september 2011 23:18

Bond, James Bond.

Het zou me verbazen als er niet talloze mensen tegelijkertijd op de loonlijst staan bij spionage diensten en certificaat authoriteiten. Eigenlijk ga ik er min of meer van uit dat dit het geval is. Het is gewoon 'good business' voor spionage diensten.

Vastloper @Haribo112 • 6 september 2011 08:57

Toch in dit geval heeft de hacker dezelfde fingerprint achtergelaten als http://www.wired.com/threatlevel/2011/03/comodo_hack/ waar een heel publiek statement van hem is te zien. Hierin is hij extreem pro iraanse regering en lijkt het zeker niet ondenkbaar dat hij op zijn minst banden heeft met de iraanse regering. Ken jij alle spionagediensten ter wereld goed genoeg om zomaar uit te kunnen sluiten dat het ook maar iets met spionage te maken heeft?

Al gaat MrMonke misschien inderdaad wat ver, het lijkt in ieder geval niet geheel onwaarschijnlijk dat de iraanse regering hier iets mee te maken heeft zeker gezien het algehele wantrouwen van iran in internet met hun paranoide irannet.

[Reactie gewijzigd door Vastloper op 22 juli 2024 13:49]

bbob

Privacy
Nederland
Politiek en recht

@Vastloper • 6 september 2011 09:29

Ikd urf zelf nog verder te gaan. Zijn Amerikaanse certificaten wel te vertrouwen. De Amerikaanse regering kan en vraagt bij iedere Amerikaans bedrijf alle informatie op.

Wie zegt dat er in de Amerikaanse certificaten geen master sleutel zit waarmee de Amerikaanse overheid het ssl verkeer kan afluisteren. Ik zie de overheid nu versign certificaten gebruiken = Amerikaans.

Hoe betrouwbaar zijn die certificaten eigenlijk wel, of zitten er stiekem achterdeurtjes in ?

arjankoole

Beveiliging
Overheid

@bbob • 6 september 2011 10:22

. Ik zie de overheid nu versign certificaten gebruiken = Amerikaans.

Maakt in weze weinig uit, Diginotar is Vasco, ook Amerikaans.

Wie zegt dat er in de Amerikaanse certificaten geen master sleutel zit waarmee de Amerikaanse overheid het ssl verkeer kan afluisteren.

Dat staat de SSL/TLS standaard niet toe. Jij tekent je public key met je eigen private key met wachtwoord. Vervolgens tekent de CA het public certificaat (als goedkeuring/verificatie) met hun eigen public key.

Zonder jouw private key / wachtwoord pair is het onmogelijk voor wie dan ook (met uitzondering van bruteforce, iets waar de amerikaanse NSA prima toe in staat is) om dat te kraken en het encrypted verkeer te lezen.

Maar je wantrouwen is opzich terecht te noemen.

Ex-KPN-er @Peetz0r • 6 september 2011 01:22

Dit is nu toch echt te gek om los te lopen.

Puntjes (en ik ben moe; dus zal er heus een stel overslaan..)

1. Welke *PIEP* bij diginotar had het idee dat je alle servers lekker aan elkaar moest knopen? Waarom niet die dingen gewoon stand-alone en alleen via cd/dvd/usb benaderbaar?

2. Welke *PIEP* bij de overheid heeft dit geaccepteerd bij de oplevering/offerte van diginotar?

3. Welke *PIEP* heeft bij Govcert besloten dat alleen de melding van Diginotar dat er niks aan de hand zou wezen bij de PKIOverheid-services genoeg was om de melding de wereld in te sturen dat er niks aan de hand zou wezen met PKIOverheid?

(sorry hoor; maar je kan wel roepen dat je geen aanwijzingen hebt dat er iets aan de hand is; maar als je gewoon NIET zelf kijkt dan mag je zoiets volgens mij echt niet gaan roepen... en dat is hier overduidelijk gebeurd)

4. Wanneer gaan ALLE overige certificaatleverantiers aan de overheid een bijzonder uitgebreid onderzoek krijgen van de overheid?
Want mijn ervaring is dat het echt wel normaal is dat security een grote puinzooi is..

5. Wie heeft bedacht dat het wellicht handig is als M$ geen update's gaat doen voor NL van de certificaten? En wie heeft ze zo gek gekregen? (en wat is daarbij geboden/gedreigd? want M$ is ook niet gek; dit is gewoon een van de grootste security-fails in stand houden op verzoek van een overheid;) had niet verwacht dat ze daar zomaar in mee zouden gaan.. Het hele certificaatproces (hoe debiel dan ook) is immers gebaseerd op vertrouwen.

6. Wie zegt ons dat de 'iranier's ' niet gewoon even wachten op het goede moment om NL te hacken? Er IS nu gewoon een extra mogelijkheid dat bepaalde overheidsdiensten 'snel' nu te pakken genomen gaan worden; nu het nog kan. ALS ze kwaad willen/wilden dan gaan ze dat dus in de aankomende week of 2 snel overal even proberen!

7. Hoe zeker zijn we dat de eerste cert-hacks inderdaad begonnen in juli?

8. Hoe zeker kunnen we nu nog van welke bit dan ook van diginotar opaan? De logs? de hackers hebben toegang gehad tot zo ongeveer alles als je de fox-it rapportage mag geloven; dan zijn ze zeker in staat geweest om logs te vervalsen. Van de meeste logging-systemen is namelijk gewoon bekend hoe die dingen loggen; met welke crc's enzo.

Ik weet niet hoe het zit met de andere 'it-tweakers' hiero; maar als ik 6 weken root heb in een netwerk; dan weet ik precies wat waar waarom draait. En hoe ik dat kan manipuleren.

Vooral het leuke detail dat er geen virusscanners op de certificaat-uitgifte-servers stonden (en dat die dingen waarschijnlijk door de hackers vol zijn gezet met allerlij leuke progsels en keyloggers en whatnot.

Daarnaast is diginotar inmiddels onderdeel van vasco; en hebben ze vast wel een connectie gehad met de vasco-servers. Volgende onderzoek graag.

Ook leuk; begrijpen de Diginotar mensen wel dat ALLES wat ze de afgelopen 6 weken (minimaal) hebben ingetyped nu ergens gelogd zou kunnen zijn? Elk systeem waar ze in kunnen heeft hopelijk unieke wachtwoorden (net zoals ze zo lekker standaard bij diginotar deden; dus beloofd veel goeds..)

En erg leuk dat de hacker-IP-adressen in Iran zouden 'wonen'.. Maar iemand die ZO een gesofisticeerde hack uitvoert doet dat echt niet via zijn thuispc'tje toch?

Veel succes gewenst Fox-IT.

Alle backups terugzetten en telkens gaan vergelijken of er sporen van hacks zijn; OF sporen van het veranderen van logs.

Ook lijkt het me handig om de backups van 2009 eens te bekijken; toen zijn ze immers ook al gehackt. toch wel handig die 5-jaar bewaarplicht van overheidsdingen; dus die backups moeten ergens nog te halen zijn.

Het lijkt nu wel een lijstje met kamervragen; maar ik denk dat er nog zat bij te verzinnen zijn.

Ik ben erg benieuwd naar het rapport

Djaro @Ex-KPN-er • 6 september 2011 08:20

je puntje 6 klopt niet helemaal .. (de overheid nog even te pakken nemen)..
volgens mij snap je de situatie niet helemaal , een CA authority is gehacked.. ze hebben dus certificaten van allerlei overheids instanties, maar zonder CONTROLE over DNS verkeer. I.e. het omleiden naar een "iraanse" server met het valse certificaat heb je er geen drol aan.
Persoonlijk zie ik maar weinig mensen DIGid gebruiken of hun BTW aangifte doen vanuit IRAN .... dus zolang er iemand bij de overheid tijdens de uitstel alle DNS servers in de gaten blijft houden waar normale nederlanders gebruik van maken is er niets aan de hand...

Joker @Ex-KPN-er • 6 september 2011 09:49

Ik denk dat je hier wel iets te kort door de bocht gaat. Waarom zo bashen op de overheid? Die zijn het slachtoffer, niet de aanstichter. En ze zijn niet alleen.

Ad 2: Ik denk niet dat het een taak van de klant is (in dit geval de overheid, maar ook bijv. TU Delft, Orde van Advocaten en anderen) om zijn CA door te lichten. Als ik een certificaat koop, dan mag ik er toch van uit gaan dat de CA een betrouwbaar bedrijf is? En om dit even door te trekken: Wie zegt dat andere CA's hun zaken op orde hebben? Dit leidt eigenlijk tot de vraag: Wie controleert de CA's? Waar is dat vertrouwen op gebaseerd? Hebben de externe auditors steken laten vallen?

Ad 3: Ook het (voorlopige) rapport van Fox-IT geeft aan dat er geen aanwijzingen zijn dat er overheidscertificaten zijn misbruikt. Er zijn echter twee serials gevonden die niet gematcht kunnen worden met certificaten. Die kunnen een bijproduct zijn van de PKI software, maar er is een mogelijkheid dat er frauduleuze overheidscertificaten zijn gegenereerd. Vandaar nu de conclusie dat het beter is de certificaten te vernieuwen.

Ad 4: Dat is een enorme klus. En zoals eerder opgemerkt: Dat zou dan elk bedrijf moeten doen. Alle banken, verzekeraars, betaaldiensten, webshops, etc. Nee, de bedoeling is dat externe auditors controles uitvoeren, zodat je dat niet zelf hoeft te doen. Maar dat blijkt dus niet waterdicht.

Ad 5: Het intrekken van certificaten heeft enorme gevolgen. Certificaten worden niet alleen gebruikt voor eindgebruikers. Veel B2B systemen zullen niet meer werken. Communicatie tussen verschillende bedrijven met de overheid (en andere Diginotar klanten) ligt op z'n gat. Dus het is niet onverstandig om eerst uit te zoeken wat de gevolgen zijn, voordat er gepatched wordt.

Ad 6: Nogmaals: Er zijn geen aanwijzingen dat er overheidscertificaten zijn misbruikt. Het omgekeerde is helaas ook het geval: Men weet niet zeker of ze 100% veilig zijn. Maar het lijkt er niet op dat die Iraanse hackers zich richten op de Nederlandse overheid. Dat vergt trouwens ook nog een hack van DNS. Dat is in Iran redelijk gemakkelijk, omdat daar alles uiteindelijk via de infra van één bedrijf loopt. In Nederland is dat een stuk lastiger.

Ad 8: Het rapport geeft aan dat er geen aanwijzingen zijn dat logs zijn gemanipuleerd, hoewel verder onderzoek nog nodig is.

Voor de rest heb je natuurlijk gelijk: De eerste bevindingen van Fox-IT zijn desastreus voor een bedrijf als Diginotar. Bij de meest basale beveiligings/bescherming zijn al fouten gemaakt. Geen virusscanning, geen patching, simpele wachtwoorden, dat kan natuurlijk niet.

-edit-
Inmiddels claimt ComodoHacker dat hij nog vier andere CA's gehackt heeft en zegt zich ook te richten op de Nederlandse overheid...

[Reactie gewijzigd door Joker op 22 juli 2024 13:49]

Anoniem: 293388 @Joker • 6 september 2011 10:36

Ik denk dat je hier wel iets te kort door de bocht gaat. Waarom zo bashen op de overheid? Die zijn het slachtoffer, niet de aanstichter. En ze zijn niet alleen.

Ad 2: Ik denk niet dat het een taak van de klant is (in dit geval de overheid, maar ook bijv. TU Delft, Orde van Advocaten en anderen) om zijn CA door te lichten. Als ik een certificaat koop, dan mag ik er toch van uit gaan dat de CA een betrouwbaar bedrijf is? En om dit even door te trekken: Wie zegt dat andere CA's hun zaken op orde hebben? Dit leidt eigenlijk tot de vraag: Wie controleert de CA's? Waar is dat vertrouwen op gebaseerd? Hebben de externe auditors steken laten vallen?

De overheid is wel degelijk verantwoordelijk voor de veiligheid van z'n eigen site. net zoals de TU Delft en de ander.
Daarnaast heeft de overheid een grotere verantwoordelijkheid want zij hebben diginotar de vergunning gegeven om dit te mogen doen. En hierbij had best een terug kerende check op op de veiligheid van zo'n bedrijf mogen(moeten) zijn. Nu maar hopen dat ze dit vanaf nu gaan doen

Joker @Anoniem: 293388 • 6 september 2011 10:48

De overheid is natuurlijk verantwoordelijk voor zijn eigen site. Maar het is niet de normale gang van zaken dat de overheid (of welke andere klant dan ook) bij de leverancier over de vloer komt om de infrastructuur door te lichten. Dat laten ze over aan een andere partij (externe auditor) en normaal gesproken vraagt de klant dan om een rapport van die auditor bij het afsluiten van het contract. Die audit moet ook regelmatig herhaald worden, eventueel op verzoek van de klant. Of dat hier ook gebeurd is, dat is niet duidelijk.

Anoniem: 293388 @Joker • 6 september 2011 12:07

In dit geval is de overheid niet alleen klant maar ook vergunning verstrekker.
En in die rol hadden ze eigenlijk regelmatig controles moeten doen.
Maar helaas.

]Byte[ @Ex-KPN-er • 6 september 2011 08:26

Ik sluit mij hier helemaal bij aan!
Zoals je zelf al opmerkte, en ook door Fox-IT is gemeld, dat er sporen waren gevonden die er op zouden kunnen duiden dat ze waarschijnlijk al sinds 2009 gehacked waren.
Wat mij (extreem) bevreemd is dat dergelijke bedrijven niet verplicht zijn regelmatige audits te ondergaan.
Dan waren de problemen met incomplete / onvoldoende logging allang boven water gekomen en de hack(s) ook al veel eerder opgemerkt.
Bij banken is er een dusdanig toezicht dat ieder bestand verifieerbaar moet zijn waar het voor is en of met niet gemodificeerd is.
En een bedrijf als DigiNotar lijkt alles bij elkaar te prutsen, en zien niet eens DAT ze gehacked zijn, en er geen enkele controle is op validiteit van uitgegeven certificaten.

Jeroenneman @Ex-KPN-er • 6 september 2011 08:25

Zon mooie lap tekst en dan nog M$ moeten gebruiken...

Fermion @Ex-KPN-er • 6 september 2011 10:24

Ook lijkt het me handig om de backups van 2009 eens te bekijken; toen zijn ze immers ook al gehackt. toch wel handig die 5-jaar bewaarplicht van overheidsdingen; dus die backups moeten ergens nog te halen zijn.

Wel... waarom krijg ik het gevoel dat dit niet het geval is.... De officiële aanvragen worden volgens mij 5 jaar bewaard. Het technisch onderhoud, zoals het maken van een backup van een systeem niet.

Ik geloof ook niet wanneer backups zijn gemaakt, ze ingesteld zijn op forensisch onderzoek. En ik vraag mij af of tijdens de aanbesteding aan gedacht is wat te doen als het systeem gecomprimeerd is, wat zijn de procedures etc etc. Zulke eisen heb ik in een aanbesteding nog niet gezien.

Het is wel een zeer interessante zaak. In ieder geval lijkt het erop dat ze daar geen SIEM oplossing hadden draaien (ik lees het nergens).

Wat stink dit zaakje ongelooflijk...

[Reactie gewijzigd door Fermion op 22 juli 2024 13:49]

rdfeij @Peetz0r • 6 september 2011 09:16

Sowieso die extra tijd is belachelijk, welk bedrijf heeft zijn updates nu niet in beheer. Oftewel, de overheid heeft geen management op windows updates???

Dat aan de consumentenkant na deze update een en ander niet meer zou werken ok, maar ik lees dat ze bang zijn voor machine to machine certificaten. Ik mag hopen dat hier toch wel enige WSUS admin mag zijn, die deze update gewoon nog een tijd tegenhoud.

Volgens mij hebben er weer een paar mensen hoog van de toren staan blazen, terwijl dit allemaal wel meevalt (indien goed gemanaged)

Anoniem: 121241 @Peetz0r • 6 september 2011 08:58

Het blijkt wel dat ze er bij de overheid geen * verstand van hebben, als je Donner gisteren hoorde op tv dan weet jij wel hoelaat het is....

arjankoole

Beveiliging
Overheid

@Anoniem: 121241 • 6 september 2011 10:24

Het blijkt wel dat ze er bij de overheid geen * verstand van hebben, als je Donner gisteren hoorde op tv dan weet jij wel hoelaat het is....

Het is Donner z'n taak ook niet verstand te hebben van dit soort dingen. Hij rapporteerd wat de 30 lagen aan ambtenaren onder hem gerappoteerd krijgen. Pas helemaal onderaan ergens krijg je een verhaal wat technisch gezien klopt.

bwerg 5 september 2011 22:30

De overheid heeft toch aangegeven dat ze niet met zekerheid kunnen zeggen dat de deze certificaten nog betrouwbaar zijn? Dan snap ik niet wat het toevoegt om ze nog even geldig te laten: veilig is het dan sowieso niet, of je nou een groen slotje hebt of niet. Je creëert alleen een vals gevoel van veiligheid. Ik snap dat de overheid zijn belangen heeft, maar een certificaat waarvan je de veiligheid niet kan garanderen hoort gewoon geen groen slotje te hebben, punt.

Daarnaast is het hele probleem juist dat een gekraakte vorm van beveiliging in gebruik is gebleven. Eerst heeft diginotar het stilgehouden waardoor er langer en meer misbruik van gemaakt kon worden, laten we dat niet nog langer doen. Gekraakt = gekraakt, zo snel mogelijk vervangen maar alsjeblieft niet doen alsof het nog veilig is. Als je niet wil dat een website down gaat of niet meer goed gebruikt kan worden dan moet je het van tevoren goed beveiligen. Dubbele certificaten zijn altijd een optie geweest maar (waarschijnlijk vanwege kosten) niet gebruikt, tsjah, dan kan dit nou eenmaal gebeuren hé...

[Reactie gewijzigd door bwerg op 22 juli 2024 13:49]

.oisyn Moderator Devschuur®

Beveiliging

@bwerg • 5 september 2011 22:40

Het gaat uiteraard niet alleen om gebruiker-computer-interactie, maar ook om computer-computer-interactie. Er kunnen een hoop geautomatiseerde systemen op hun gat gaan omdat certificaten niet meer werken. En terecht natuurlijk, niets doen is beter dan het gewoon maar blind accepteren als er even geen gebruiker in de buurt is om de boel te accepteren. Hiermee wil ik het overigens niet goedpraten, ik wil louter aangeven dat het heus niet alleen gaat om dat groene icoontje.

bwerg @.oisyn • 5 september 2011 23:58

Ik neem aan dat er een reden is dat systemen van de overheid alleen geldige certificaten accepteren. Zo ja, dan zouden die systemen niet gebruikt moeten worden, zo nee, dan zouden die systemen ook zonder geldige certificaten moeten kunnen werken. Ook daar geld dat het geen zin heeft om als strenge eis een geldig certificaat te eisen en dan vervolgens praktisch ongeldige certificaten te blijven gebruiken. Als je certificaten gebruikt moet je ze ook serieus nemen.

Ik snap ook dat het voor de overheid een groot probleem gaat worden, en het bovenstaande is wat dat betreft misschien te idealistisch, in de praktijk is éventjes rommelen vaak acceptabel als dat op dat moment problemen oplost. Maar ik vind het raar dat de thuis-gebruiker ineens geen volledige windows-update krijgt omdat de systemen van de overheid anders niet meer werken.

[Reactie gewijzigd door bwerg op 22 juli 2024 13:49]

.oisyn Moderator Devschuur®

Beveiliging

@bwerg • 6 september 2011 02:06

Ook daar geld dat het geen zin heeft om als strenge eis een geldig certificaat te eisen en dan vervolgens praktisch ongeldige certificaten te blijven gebruiken. Als je certificaten gebruikt moet je ze ook serieus nemen.

Klopt, maar niets is zo zwart-wit, en er kan hier best een afweging gemaakt worden: alle certificaten ongeldig maken, alle systemen op hun gat laten gaan, met alle potentiele cruciale gevolgen van dien, óf, je realizeren dat het nog knap lastig is om binnen de Nederlandse infrastructuur ook daadwerkelijk misbruik te maken van die certificaten en het in ogenschouw nemen van de tijdspanne om de certificaten te vervangen door wél veilige, zodat daarna de updates kunnen worden uitgerold.

De certificaten voor de diensten waar de consument gebruik van maakt zijn voor het overgrote deel al vervangen, dus dat gevaar is iig al geweken.

[Reactie gewijzigd door .oisyn op 22 juli 2024 13:49]

miw @.oisyn • 6 september 2011 10:21

De overheid dwingt burgers en bedrijven nu dus om gebruik te blijven maken van een onbetrouwbare infrastructuur waarbij het schade risico verplaatst wordt van de overheid naar de bugers en bedrijven. Dit is een fundamenteel verkeerde aanpak. De partij die verantwoordelijk is voor een beveiligingsinfrastructuur dient ook de gevolgen te accepteren van hun (indirecte) fouten. Dus bwerg heeft gewoon gelijk met zijn opmerking.
Wat betreft de timing heb je ook geen punt, want ook software bedrijven hebben tijd nodig om hun software aan te passen zodat certificaten van een onbetrouwbare uitgifte instantie niet mer geaccepteerd worden. Kennelijk heeft de overheid geen enkel draaiboek om adequaat te reageren op een beveiligingsprobleem binnen de termijn waarop software bedrijven hun beveiligingspatches uitrollen (enkele dagen).

.oisyn Moderator Devschuur®

Beveiliging

@miw • 6 september 2011 11:09

Kennelijk heeft de overheid geen enkel draaiboek om adequaat te reageren op een beveiligingsprobleem binnen de termijn waarop software bedrijven hun beveiligingspatches uitrollen (enkele dagen).

Oh, maar ik wil helemaal niet beweren dat de overheid geen blaam treft! Ik riep donderdag al dat het ronduit belachelijk was dat zij het vertrouwen in DigiNotar behielden simpelweg omdat DigiNotar zei dat ze nog steeds betrouwbaar waren. Ze hadden toen al alles in werking moeten stellen om nieuwe certificaten aan te vragen. Dat niet doen en simpelweg het onderzoek afwachten was erg kortzichtig en laks.

Maar dat is gebeurd en kun je niet meer terugdraaien. Nu is het van belang om de DigiNotar certificaten zo soepel mogeljik uit te faseren. En geloof me, die burgers en bedrijven waar jij het over hebt hebben er veel meer last van als alledaagse diensten ineens niet meer werken, terwijl het daadwerkelijke veiligheidsrisico minimaal is.

wica @.oisyn • 5 september 2011 23:04

Yep, daar heb je gelijk in.
o.a. antwoordvoorbedrijven.nl, omgevingsloket.nl maken gebruik van ssl voor de communicatie tussen verschillende servers. Zodra deze ssl certs onledig worden, valt ook hier de communicatie stil. Al is het voor betreffende beheerders (als ze 1 maal nieuwe ssl certs hebben) vrij snel op te lossen.

Maar ja een gecodeerde USB stick veilig versturen naar een x aantal plaatsen doe je niet 1 2 3.

eymey

5 september 2011 22:51

Ik vind het wel een slechte zaak dat de overheid zo maar bij browsermakers kan 'afdwingen' om een update die de certificaten niet langer vertrouwt uit te rollen.

Volgens mij valt en staat de betrouwbaarheid en integriteit van het hele huidige systeem met certificaten en root-CA's juist met het wel of niet KUNNEN vertrouwen hiervan.

Het is al erg genoeg dat Diginotar is gehacked (kan gebeuren, fouten maken is menselijk) en dat het zo lang heeft geduurd voor er aan de bel getrokken is, is al helemaal kwalijk. Maar als een overheid dan ook nog kan gaan eisen dat we ondanks dat de CA nog even wat langer 'vertrouwen'.....

netman @eymey • 5 september 2011 23:10

Jij hebt liever dat allerlei noodzakelijke gegevens uitwisselingen de komende weken niet mogelijk zijn.

APK keuringen niet meer mogelijk. Notarissen kunnen (een deel van ) hun werk niet meer doen. Scholen kunnen geen gegevens meer aanleveren aan DUO waardoor ze te weinig geld krijgen. Ondernemers kunnen niet tijdig aan de belastingdienst aanleveren.

Of te wel redelijk wat chaos die eenvoudig is op te lossen door dit enigszins georganiseerd te doen ipv nu meteen alles dicht te gooien.)

zx9r_mario @eymey • 5 september 2011 23:27

Als jehet rapport van Fox-IT hebt gelezen, dan zie je hoe gemakzuchtig Diginotar was. Ze gebruikte geen virusscanners en er werd veel malware aangetroffen. Verder hangt alles binnen een windows domein en de admin wachtwoorden waren te simpel.

Is dit nu een gevolg van de vermicrosoftisering van Nederland?

alt-92 @zx9r_mario • 5 september 2011 23:39

Is dit nu een gevolg van de vermicrosoftisering van Nederland?

Nee, van doorsnee geklungel.
Zelfs de PKI Guides van Microsoft zelf adviseren een scheiding of zelfs standalone systemen ipv domain-joined systemen.

.oisyn Moderator Devschuur®

Beveiliging

@alt-92 • 6 september 2011 02:14

Zelfs de PKI Guides van Microsoft

"Zelfs"? Je kunt een hoop van MS zeggen, maar dat ze hun veiligheid niet op orde hebben is daar niet een van. Op niets gebaseerde trolls zoals die van zx9r_mario doen daar niets aan af.

gertvdijk @zx9r_mario • 5 september 2011 23:53

Is dit nu een gevolg van de vermicrosoftisering van Nederland?

Dat heeft er weinig mee te maken. Het gaat hier gewoon om procedures en regels die niet worden nageleefd. Integendeel; er werden tegen de regels in dingen in de techniek juist vergemakkelijkt die precies het omgekeerde in beveiliging bewerkstelligen.

Precies hetzelfde kan je verkeerd doen met een Linux-omgeving, een Unix-omgeving of een ... omgeving. Het gaat om de personen in charge daar; de regeltjes en best-practices zijn er al.

Anoniem: 178310 @eymey • 5 september 2011 23:01

Hoezo, het is toch een taak voor justitie om vervalsingen in dit geval aan te pakken.
Een overheidsapparaat dus

rud 5 september 2011 22:33

En wat staat er op de frontpage van de Telegraaf:
DigiD weer veilig
http://www.telegraaf.nl/b..._DigiD_weer_veilig__.html

...DigiD is weer veilig te gebruiken. De gewraakte beveiligingscertificaten van het bedrijf DigiNotar zijn maandag vervangen. ...

@hieronder: daar is ook niets mis mee. Maar als dat voor DigiD kan waarom dan ook niet voor eventueel andere sites die certificaten van DigiNotar gebruikten? Dan hadden ze ook de uitrol van de updates van Microsoft niet tegen hoeven te houden.

En het is een beetje tegenstrijdig. Met de kreet dat DigiD weer veilig is wordt gesuggereerd dat alle problemen opgelost zijn. Tegelijkertijd houdt men de updates tegen?

[Reactie gewijzigd door rud op 22 juli 2024 13:49]

netman @rud • 5 september 2011 23:03

Tsja het gaat om zo'n 54000! certificaten. De identificatie procedure neemt nogal wat tijd in beslag bij PKI overheid. Voor een zeer cruciale en in het oog springende site als DigiD valt dan snel wat te regelen, (Ik zie wat vertegenwoordigers in auto;'s springen om zich persoonlijk te identificeren ) . Maar voor duizenden organisaties is dat niet in een paar dagen te doen.

Een ICT organisatie als Digid is bovendien beter op de hoogte van de afhankelijkheid van hun certificaat. Ik vermoed dat er nog tal van organisaties zijn die nog nauwelijks een idee hebben dat ze ook geraakt worden door dit falen.

miw @netman • 6 september 2011 10:26

Als een organisatie niet eens op de hoogte is van hun afhankelijkheid van het falen bij Diginotar, dan is de snelste manier om ze gewoon onbereikbaar te maken voor gepachte software. Het is moeilijk voorstelbaar dat dit "grote schade" zou berokkenen bij die organisaties anders waren ze wel op de hoogte geweest.

Ghost Dog @rud • 5 september 2011 22:50

Dat klopt, DigiD heeft nu een certificaat van Getronics PinkRoccade (PKIoverheid CA), uitgegeven op 04-09-2011, dus is gewoon weer veilig te gebruiken.
Goede zaak dat ze dat zo snel hebben geregeld.

Martinspire @Ghost Dog • 5 september 2011 23:26

Getronics en Pink hebben als het goed is niets meer met elkaar te maken, dus dat moet dan van Getronics afkomen denk ik zo.

Ghost Dog @Martinspire • 5 september 2011 23:28

Als je het certificaat op DigiD.nl bekijkt zie je toch echt

Geverifieerd door: Getronics PinkRoccade Nederland B.V.

staan.

sampoo @Martinspire • 5 september 2011 23:55

Ter informatie:

In 2005, Getronics expanded its capabilities in security and applications with its acquisitions of PinkRoccade and RedSiren.

http://en.wikipedia.org/wiki/Getronics

source @rud • 5 september 2011 22:44

Wat is daar mis mee? Dat is ook waar.

IceM 5 september 2011 22:29

Twee zaken aan de hele DigiNotar soap vind ik wel frappant. Ten eerste heeft elke browser met uitzondering van Opera een patch/update nodig en ten tweede geven zowel Mozilla als Microsoft gehoor aan het verzoek om updates uit te stellen of zelfs speciale code op te nemen om toch een (deel) van de certificaten te blijven accepteren. Dit druist toch tegen het hele gevoel van veiligheid in? Als het niet meer gegarandeerd kan worden dat die certificaten authentiek zijn dienen ze gewoon direct niet meer vertrouwd te worden, daar zou geen eens een update van de browser voor nodig moeten zijn

DFyNt2U @IceM • 5 september 2011 22:40

Om het automatisch te doen ja, dan is er een update nodig. (Of het nou hardcoded is of niet)
Maar je kan DigiNotar gewoon zelf uit je lijst gooien.

Je kan ze ook allemaal eruit knikkeren en ieder afzonderlijk certificaat wat jij vertrouwd in de lijst zetten (dus geen root CAs maar, het certificaat van bv. google.com zelf.)
Veiliger kan bijna niet en ben je gelijk ongevoelig voor dit soort misstanden.

gertvdijk @DFyNt2U • 5 september 2011 23:43

Om het automatisch te doen ja, dan is er een update nodig. (Of het nou hardcoded is of niet)
Maar je kan DigiNotar gewoon zelf uit je lijst gooien.

Zo makkelijk is dat niet! Dat is een groot misverstand. Verschillende andere grote CAs hebben DigiNotar namelijk cross-signed. Dat betekent dat je intermediates van CAs als Entrust ook moet gaan droppen. Alleen het pad direct naar de Root CA van Diginotar verwijderen is gewoon onvoldoende voor het dis-trusten.

De enige manier om dit heel goed tegen te gaan is om in de code van de library voor het checken van de certs een check te doen op de Common Name van het gehele pad. Juist daarom zijn er ook allerlei bugs ontstaan bij het maken van code daarvoor en was het allemaal nog niet zo simpel.

Daarnaast is er ook nog gediscussieerd over een mogelijkheid om het certificaat van Diginotar specifiek te dis-trusten, maar dan nog is er code nodig om ervoor te zorgen dat het niet op een ander pad alsnog wordt goedgekeurd, of dat het alleen nog maar dat pad kan volgen.

Zie dan ook het bugreport op de bugtracker van Mozilla daarvoor, met in het bijzonder comment #9 m.b.t. de cross-signing.

Je kan ze ook allemaal eruit knikkeren en ieder afzonderlijk certificaat wat jij vertrouwd in de lijst zetten (dus geen root CAs maar, het certificaat van bv. google.com zelf.)
Veiliger kan bijna niet en ben je gelijk ongevoelig voor dit soort misstanden.

Dat kan inderdaad in theorie. Maar hoe weet jij nou wat *alle* *juiste* certificaten van Google, je bank, je gemeente, etc. zijn? Daarvoor hebben we juist het X.509 systeem van SSL certificaten.
Wel zou ik pleiten voor een meer PGP/GnuPG-achtig idee, waarbij je individuen vertrouwt en die elkaar weer, waardoor er een web ontstaat dat niet met maar een paar paden naar de Root gaat.

[Reactie gewijzigd door gertvdijk op 22 juli 2024 13:49]

wolkewietje @gertvdijk • 6 september 2011 01:19

Jou idee van personen vertrouwen gaat helaas zeer snel mank.

Simpel voorbeeld:
Ken je mij? NEE.
Vertrouw je mij? NEE.
Vertrouw jij je neef? JA.
Jou neef werkt samen met iemand die ik ook ken.
Jou neef vertrouwd die persoon en die vertrouwt mij dus jij vertrouwt mij wel.

Voor een laag niveau van vertrouwde systemen is dit niet zo erg maar voor gevoelige systemen van overheden, banken e.d. is dit dus wel belangrijk en wil ik het liefst niet vertrouwen op een willekeurige naam maar op een systeem dat zich zelf goed controleert en beschermt.
Helaas is hier nu 1 instelling heel grof de fout in gegaan en moet alles waar hun vertrouwenspositie uit blijkt verwijdert worden.
Of dit in een directe lijn of indirecte lijn is maakt voor het terug verkrijgen van een vertrouwd systeem niets uit.
Ik wil niet over 1 jaar geconfronteerd worden met zaken die door misplaatste vertrouwen in b.v. de belasting website mij een hoge boete oplevert omdat ik via een besmet certificaat mijn privé gegevens aan een crimineel heb toe vertrouwd.

indigo79 @wolkewietje • 6 september 2011 11:48

Jou idee van personen vertrouwen gaat helaas zeer snel mank.

Simpel voorbeeld:
Ken je mij? NEE.
Vertrouw je mij? NEE.
Vertrouw jij je neef? JA.
Jou neef werkt samen met iemand die ik ook ken.
Jou neef vertrouwd die persoon en die vertrouwt mij dus jij vertrouwt mij wel.

In theorie werkt het nog wel, want als ik mijn neef z'n omgang met keys en certificaten terecht zou vertrouwen en dat vertrouwen van mijn neef in de persoon waarmee jij werkt en die persoon in jou ook terecht is, kan ik jou ook vertrouwen.

Het hele probleem is dat ik in mijn hele vriendengroep nog niet eens een handvol mensen ken die serieus met keys omgaan (fingerprints via direct persoonlijk contact controleren bijvoorbeeld) en die in mijn GnuPG als absoluut te vertrouwen zijn aangegeven en dat je op die manier nooit een voldoende uitgebreid sluitend 'vertrouwensweb' kan genereren.

zalazar @DFyNt2U • 5 september 2011 23:38

Met IE en Windows kan dat volgens mij niet.
Als je de certificaten verwijderd en daarna de website opnieuw benaderd dan download de browser de certificaten gewoon automatisch en installeert deze weer.

freggy @IceM • 5 september 2011 22:36

Firefox heeft in versie 6.0.2 al afgezien van die uitzondering voor PKIOverheid. Ze waren dat eigenlijk al van plan in 6.0.1, maar omdat ze de enige browser waren die alles wilden blokkeren, en omdat de Nederlandse overheid daarover begon te klagen, hebben ze het uiteindelijk toch niet gedaan. Al bij al hadden ze het van bij het begin dus bij het rechte eind. Firefox doet het dus toch een pak beter dan Microsoft, die de oplossing zelfs nu nog altijd niet wil uitrollen in Nederland...

.oisyn Moderator Devschuur®

Beveiliging

@freggy • 5 september 2011 22:37

die de oplossing zelfs nu nog altijd niet wil uitrollen in Nederland...

Nee, Nederland wil dat, en MS stemt daarin toe.

Relief2009 @freggy • 5 september 2011 22:40

MS wil wel, maar Nederland niet. Big difference.

freggy @Relief2009 • 5 september 2011 22:48

OK, maar het blijft een feit dat Microsoft gewoon gehoor geeft aan deze vraag, terwijl andere browsers wel zo standvastig zijn om de enige juiste oplossing te implementeren. En daar zit ook een groot verschil tussen Firefox en Microsoft....

Thomaster94 @freggy • 5 september 2011 23:03

Het gaat in dit artikel niet over IE (browser) maar over het besturingssysteem. Hoewel je een punt hebt als je zegt dat MS zich steviger op zou moeten stellen en bijv. toch de update uit zou moeten rollen, kun je een besturingssysteem (Windows) natuurlijk niet vergelijken met een browser in deze context.

Ik weet trouwens niet wat de consequentie zou zijn voor MS als ze gewoon de overheid zouden negeren en de patchronde alsnog automatisch laten uitvoeren. Iemand een idee?

SunnieNL

@Thomaster94 • 6 september 2011 00:30

Dan ligt de overheid stil omdat bepaalde primaire systemen niet meer werken

i-chat @SunnieNL • 6 september 2011 00:58

dan moet de overheid op elke server dat cert maar handmatig toevoegen nadat deze bij de rest is uitgesmeten... het ging namelijk enkel om machine -to- machine certs.... de rest is de komende dagen al vervangen..

[Reactie gewijzigd door i-chat op 22 juli 2024 13:49]

miw @SunnieNL • 6 september 2011 09:53

Dan moet de overheid die primaire systemen maar eventjes niet van de laatste OS update voorzien.

MSalters

Politiek en recht
Nederland

@Thomaster94 • 7 september 2011 02:16

[Je kunt] een besturingssysteem (Windows) natuurlijk niet vergelijken met een browser in deze context.

Dat kan, en dat moet je wel. FireFox is eigenwijs en gebruikt z'n eigen certificate store, maar Windows heeft een certificate store op OS nivo. Dat wordt gebruikt voor Authenticode (EXE signing) maar ook door Internet Explorer. Dat is ook waarom deze certificate update via Windows Update loopt.

Anoniem: 312533 @freggy • 5 september 2011 22:58

Ehm... Als de overheid (het bestuur dus) van een land jou vraagt die update niet uit te rollen heb je denk ik weinig keus. Zeker als je diezelfde overheid te vriend wilt houden omdat je ze nog wat dure contracten wilt aansmeren...

koter84 @Anoniem: 312533 • 5 september 2011 23:04

vergeet het "volk" niet, en het bedrijfsleven, die zijn ook klant, en ik kan me voorstellen dat die de update wel willen...

natuurlijk kan het wel, want je zal het handmatig gewoon kunnen doen, maar ja.. auto is toch beter denk ik...

Anoniem: 312533 @koter84 • 5 september 2011 23:18

Ik bedoelde eigenlijk ook dat de overheid het land bestuurd, en hoewel ze geen wet zullen maken om MS te verbieden die update uit te rollen lijkt het me voor MS wel verstandig naar het verzoek van de overheid te luisteren. Stel dat ze niet luisteren, dan zou een overheid wel eens een heel andere houding ten opzichte van een bedrijf kunnen aannemen.

Ik zeg niet dat dit per definitie zo is, maar ik denk dat MS het liever op 'safe' speelt

Stevendefeij @Anoniem: 312533 • 5 september 2011 23:34

Dus vanwege onkunde van de overheid moeten we hier allemaal risico lopen?

Leuk hoor die nieuwe certificaatjes op de overheids websites, maar het echte gevaar is de erkenning van de valse certificaten.

Diginotar's root certificates moeten zo snel mogelijk verwijderd worden, hoe halen ze het in hun hoofd om dit te vertragen. De schijnveiligheid op de overheidswebsites is al in orde maar de neppe certifcaten laten we voorlopig nog accepteren?

Op dit moment kunnen we dus misleid worden, nou ik verwijder zelf alle Diginotar Certificates wel.

Van de overheid moeten we het maar weer hebben, de brengers van DigiD, de OV chipflop en nu dit. Ik was onder de indruk van het de snelheid waarmee ze de certificaten vervangen hebben maar dat ze nu de echte oplossing gaan vertragen is beneden alle peil.

SunnieNL

@Stevendefeij • 6 september 2011 00:30

Je wil niet weten hoeveel systemen er bij de overheid intern ook deze certificaten gebruiken. Als die ineens ongeldig zijn is digid wel het minste systeem.
De meeste overheids programmatuur werkt met die zaken en zonder die programma's kunnen gemeenten voorlopig wel op slot en mag er niemand geboren worden of sterven

Wat netter was geweest was Microsoft te vragen er geen mandatory update van te maken, zodat hij tijdelijk via wsus te stoppen is. Dan wordt het volk beschermd en kan de overheid, door de update te stoppen op hen interne systemen, ook gewoon rustig doorwerken en de patch later doorvoeren.

miw @Anoniem: 312533 • 6 september 2011 09:52

Dus als China iets in jouw software wil doen opnemen, dan doe je dat? Wat een kul argument. Er is een bedrijf waarvan de certificaten niet langer meer betrouwbaar zijn. Dan is de enige valide actie om die certificaten zo snel mogelijk niet meer te accepteren. Elke andere actie is volstrekt ongeloofwaardig. Dat de overheid dan een probleem heeft, is jammer, maar dan had die overheid maar een betere dienstverlener moeten uitzoeken.
Bovednien is het belang van de Nederlandse overheid nogal vaag geformuleerd terwijl de consumenten een veel groter belang hebben om foutieve certificaten niet meer te accepteren. Als een veiligheids update de overheid mogelijk schade zou opleveren, dan moet die overheid maar even wachten met het installeren van die update.

Anoniem: 80466 @IceM • 6 september 2011 10:11

Ten eerste heeft elke browser met uitzondering van Opera een patch/update nodig

Nee, IE versies op Vista en Windows 7 hebben geen update nodig.

RobIII 5 september 2011 22:29

Holy shit

Dat is blunder op blunder bij Diginotar! En 't kan me niet schelen wat de overheid wil, ik wil die update(s)! Sporen ze nog wel helemaal daar?

MS had ze een dikke vinger moeten geven, ze lossen het maar a.s.a.p op.

[Reactie gewijzigd door RobIII op 22 juli 2024 13:49]

Ford Prefect @RobIII • 5 september 2011 23:22

Je begrijpt dat het kiezen is voor de overheid tussen 2 kwaden:

Heel veel overheids isntantie werken niet meer omdat alle browsers alle diginotar certificaten blokkeren inclusief PKI overheid (en daar hangen heel veel diensten achter) en de maarschappij serieus ontwrichten
Of je laat de burgers (en bedrijfen) een tijdje langer met onveilige certificaten waarnee ze misschien gemakkelijk slachtoffer van man-in-the-middle attacks.

Geen fijne keuze lijkt me zo, ik zou hem niet graag willen maken

Free rider @Ford Prefect • 5 september 2011 23:47

Vergis je niet in de schade voor de overheid. Grotere bedrijven moeten iedere maand hun BTW aangifte doen en de geinde BTW overmaken. De aangifte over augustus moet in september worden ingediend, dus voor 1 oktober. BTW-aangiftes kunnen sinds 2005 alleen via internet worden gedaan. Het gaat om miljarden.
Verder zijn er allerlei regelingen waarbij de overheid binnen een zekere termijn een besluit moet nemen, een vergunning moet toekennen of afwijzen, een klacht moet afronden enz. Dit speelt ook bij gemeenten die zulke zaken via internet ontsluiten. Het wordt lastig om dit allemaal ineens buiten internet om te doen.

Ik denk dat het voorzien van dit soort schade heeft geleid tot de beslissing.

PPie @Free rider • 6 september 2011 09:31

Het gaat om miljarden.

Dat houdt dus ook in dat je iemand van de andere certificeringsbedrijven die PKIoverheid certificaten kan uitgeven uit zijn bed kan bellen en kan laten overwerken.

Ieder bedrijf die certificaten gebruikt zou toch al een lijst moeten hebben met de gebruikte certificaten (want ze verlopen na een bepaalde tijd...), dus iedereen moet snel kunnen kijken welke certificaten hierdoor geraakt worden en kan dus nieuwe aanvragen...

miw @Free rider • 6 september 2011 10:08

Kennelijk is de overheid in staat om af te dwingen dat het fraude risico nu bij de betalende bedrijven komt te liggen. Als er geen enkele beveiligingsrisico's zou zijn, dan had de overheid dat hele PKI gebeuren natuurlijk niet nodig. De PKI structuur is nu vollkstrekt onbetrouwbaar en is er een groot veiligheidsrisico ontstaan.
De schade van fraude met transacties met een waarde van miljarden Euro's wordt nu door het laten voortduren van het gebruik van een gecompromitteerde PKI infrastructuur, geheel bij de bedrijven en consumenten gelegd.
Schade bij de overheid is kennelijk van een andere orde dan schade bij bedrijven.

Martinspire @Ford Prefect • 5 september 2011 23:25

Toch ga ik voor optie 2: Door het naar buiten brengen van dit nieuws kunnen een hoop gebruikers hier al rekening mee houden en de certificaten kunnen dadelijk toch automatisch worden vervangen. Heb je misschien wel wat problemen met de burgers, maar zolang niet hele systemen (weken) worden ontwricht, beperk je de schade imo

Arcticwolfx @RobIII • 5 september 2011 22:59

Gebruik je toch even Firefox of Chrome.

RobIII @Arcticwolfx • 6 september 2011 00:41

Beetje lastig voor Windows updates; daar gaat het hier om voor zover ik begrijp; en IE maakt daar (o.a.) ook gebruik van

(En ik gebruik al alles behalve IE

)

[Reactie gewijzigd door RobIII op 22 juli 2024 13:49]

Matthijs Hoekstra @RobIII • 6 september 2011 09:48

de client revocation list krijg je automatisch al, dus voor SSL sites ben je al gecovered met IE. Dit gaat om het revoken of niet bruikbaar meer laten zijn van de certificaten die op de servers van de overheid worden gebruikt. Heb je als 'gewone' gebruiker verder niets mee te maken op jouw pc.

Tomsworld

5 september 2011 23:00

Ik zou die update juist asap uitrollen. Maar dan nog ik ken genoeg strakke organisaties, certificaten regelen bij een andere CA is een kwestie van uren, maximum enkele dagen. Als je als overheid een goede inventaris & cartografie hebt kan je direct alle nodige certificaten laten generen.

Dan is het een kwestie van een hoopje emergency changes aan te vragen en door je CAB te laten goedkeuren, normaal worden certificaten ieder jaar vernieuwd, ok vervangen is iets meer werk (public / private key & eventueel chaining) maar dan nog moeten dat vrij standaard als procedure bestaan. En vaak zijn zo'n certificaten gecentraliseerd op hardware ssl offloaders, hsm's, of in java keystores van application servers.

Volgens mij gaan we nog een heel aantal episodes krijgen in deze soap.

Ik hoop dat de Nederlandse overheid een goed contract heeft met Vasco/Diginotar, dat ze netjes al die manuren kan betalen, om nog te zwijgen over imagoschade.

renevanh @Tomsworld • 5 september 2011 23:11

Veel overheidssystemen draaien op Windows XP met IE, dat is de standaard.
Heel wat systemen gebruiken webbased interfaces (IE dus).
De updates binnen de overheid uitrollen zou al betekenen dat heel veel ambtenaren hun werk de komende week niet kunnen doen, dat is onacceptabel.

Hetzelfde geld voor de vele overheidssystemen waar wij burgers gebruik van maken. RDW, DUO, DigiD, etc. Als dat allemaal onderuit gaat door een fout certificaat en dagen of weken onbruikbaar wordt, dan heb je als overheid een serieus probleem.

Dus, als MS de betreffende update voor Nederland nog even niet uitrolt kan de overheid (en de betreffende beheerder van de overheidsnetwerken/sites) eerst orde op zaken brengen. Er zijn zo ontzettend veel systemen gekoppeld dat je dat niet in een dagje doet, zeker niet zonder downtime. Dat wil je niet, dus gaat het gefaseerd en gecontroleerd. Dat kost meer tijd, maar dan gebeurd het wel goed. Dat is wat we willen nietwaar?

Martinspire @renevanh • 5 september 2011 23:31

Dat niet alleen, het zijn ook duizenden certificaten die vervangen moeten worden, dat lukt je niet in een week

rorydeleur @Tomsworld • 5 september 2011 23:27

Duidelijk is dat de uitbesteding van de overheid nog vele hobbels kent, anders hadden ze het SUB-CA ingetrokken en direct bij een ander belegd.

Ps. Vind niemand het vreemd dat er nog Getronics in de sub-CA naam voorkomt, ik had zelf KPN verwacht, of verklaart dat waarom deze maar tot 1-1-2012 geldig is?

SunnieNL

@rorydeleur • 6 september 2011 00:42

Dat is nou precies wat ze doen. De staat der Nederlanden ca heeft een nieuwe sub ca benoemt.

Daarbij is het niet opgelost. Nu moeten alle certificaten opnieuw worden uitgegeven, verwerkt in programma's, getest etc. Dat kost tijd.
Is dat rond, dan kan de oude sub ca worden gerevoked.

r2504 5 september 2011 22:33

"Communicatiesystemen zouden dan verstoord kunnen raken" of "Er zou maatschappelijke schade kunnen optreden"... tja, da's dan pech zeker, maar absoluut geen excuus om zomaar lekker verder te doen alsof er niets aan de hand is (in een andere thread kan je dan ook nog eens lezen dat een DNS server gehacked is, zo ongevaarlijk is het dus allemaal niet !).

"moeten internetters volgens de minister nog steeds waakzaam zijn"... misschien kan de minister hen uitleggen steeds eerst een ping te doen om te kijken of het IP-adres nog klopt of wat ?

Regering of niet... uitrollen zou ik zeggen tegen Microsoft !

Martinspire @r2504 • 5 september 2011 23:27

De grote problemen zijn dan ook bij DigiNotar ontstaan en dat krijgt de overheid nu ineens op zijn bord gegooid, daar moet dus even over nagedacht worden, voordat men maar lukraak certificaten gaat dichtgooien.

miw @Martinspire • 6 september 2011 10:33

De overheid kiest een dienstverlener wetende dat de veiligheid van een complete communicatie infrastructuur van afhangt. Dan mag je verwachten dat daar een degelijk bedrijf wordt uitgezocht dat adequaat reageert op beveiligingsproblemen. Dan mag je verwachten dat er een plan klaarligt om in geval van een beveiligingsprobleem zo snel mogelijk de betrouwbaarheid van de infrastructuur te herstellen.
De enige manier om de overheid te dwingen om dit wel te doen is door nu lukraak onbetrouwbare certificaten te blokkeren. Nu is er geen enkele drijfveer voor overheden om dit in de toekomst wel op een fatsoenlijke manier te reageren. De overheid wordt nu dus beloond voor verkeerd handelen.

Rmg @r2504 • 5 september 2011 23:33

"Da's dan pech" is heel makkelijk te roepen als je aan de zijlijn staat.

het is al 6 weken onveilig, ze kunnen nu overhaaste beslissingen maken en het nog harder verneuken. of kijken naar een fatsoenlijke oplossing zonder het (nog) erger te maken.

Als je uitrolt krijgen (tien)duizenden bezoekers een groot "Deze site is onveilig" melding op overheids sites.

(naast nog allemaal problemen met automatische systemen)

hoe denk je dat je die mensen ooit weer terugkrijgt? een (extreem) dure reclame campagne? alles weer via de post doen met alle problemen van dien?

Op dit item kan niet meer gereageerd worden.

Overheid dwingt vertraagde Windows Update af bij Microsoft

Lees meer

IT-banen

Reacties (179)

Sorteer op:

Weergave: