Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat

De manier waarop de overheid reageerde op het DigiNotar-incident, had 'zwakke punten'. Dat stelt de Nationaal Coördinator Terrorismebestrijding Erik Akerboom. Volgens de terrorismebestrijder is het ssl-systeem daarnaast 'zwak'.

Terrorismebestrijder Erik Akerboom gaf tijdens het symposium van overheids-ict-beveiliger Govcert.nl aan dat de reactie van de overheid op de problemen die door de gehackte ssl-autoriteit DigiNotar werden veroorzaakt, niet perfect was. "Er is binnen een paar uur gereageerd op het incident, maar het gaat ook om wat er daarna gebeurde", zegt Akerboom op het symposium, waarbij Tweakers.net aanwezig is.

"Waren we in staat om binnen een paar dagen alle certificaten te vinden? En hadden we genoeg specialisten? Dat waren de pijnpunten", aldus de terrorismejager. Een groot deel van de overheid leunde op certificaten van DigiNotar, maar het duurde lang voordat alle getroffen certificaten waren vervangen. "Het was lastig om alle certificaten te vinden. Daarom is het belangrijk om je eigen systemen te kennen en niet al je expertise te outsourcen", aldus Akerboom. In Nederland werd een update voor Windows, die de DigiNotar-certificaten introk, zelfs een week uitgesteld om problemen te voorkomen; het bleek niet mogelijk om alle certificaten op tijd te vervangen.

De coördinator terrorismebestrijding zegt dat 100 procent beveiliging niet te realiseren is, maar dat er een 'adequate reactie' moet zijn op bedreigingen. Volgens Akerboom is het ssl-systeem op zichzelf 'zwak'. Het systeem leunt op certificaatautoriteiten die voor alle domeinen certificaten mogen uitgeven, terwijl het proces van het intrekken van certificaten ingewikkeld is en op browser-updates leunt. Als een certificaatautoriteit wordt gehackt en frauduleuze certificaten uitgeeft, zoals bij DigiNotar gebeurde, gaat het mis.

Akerboom, die vanaf begin volgend jaar deel uitmaakt van de nationale Cyber Security Council, zegt dat de belangrijkste ict-bedreigingen spionage, cybercrime en 'hacktivism' zijn. Dat laatste fenomeen wordt aangewakkerd door losvaste verbanden als Anonymous, die om activistische redenen zeggen te hacken.

Het inmiddels failliet verklaarde DigiNotar kwam in de problemen nadat een Iraanse hacker valse ssl-certificaten had gemaakt. Toen later bleek dat de certificaten van de Nederlandse overheid niet langer te vertrouwen waren, besloot de overheid het vertrouwen in DigiNotar op te zeggen en een andere certificaatautoriteit te kiezen.

IT-banen

Reacties (18)

NEO256 15 november 2011 11:02

Ik vindt het wel pijnlijk om te horen dat door 1 slecht beveiligd bedrijf meteen het hele SSL systeem wordt bestempeld als zwak. De verdere beargumentatie zegt wel meer. Dat stuk over dat het intrekken niet makkelijk kan worden gedaan, maar dat is meer mosterd na de maaltijd aangezien kwaad dan al geschied heeft.

Wat ik hieruit begrijp is dat er grote vraag is om de bedrijven die certificaten uit delen ook regelmatig en grondig gecontroleerd moeten worden zodat zwakke bedrijven eruit kunnen worden gepikt voordat zo iets zich voor kan doen. Iets van een keurmerk of een consortium dat zich hierover kan buigen zou misschien uitkomst bieden. Maar dat zou zich breder moeten richten dan alleen SSL of certificaat verstrekkers.

GrooV @NEO256 • 15 november 2011 11:14

De ketting (Chain of trust) is zo sterk als de zwakste schakel. In dit geval was Diginotar gehacked dus was deze vertrouwens ketting verbroken en is het hele SSL systeem op dat moment onveilig totdat de zwakke schakel is verwijderd.

Zolang dit voor ieder bedrijf dat SSL uitgeeft geldt kan je het gehele systeem als zwak beschouwen

[Reactie gewijzigd door GrooV op 22 juli 2024 21:40]

aZuL2001 @NEO256 • 15 november 2011 11:07

"Het systeem leunt op certificaatautoriteiten die voor alle domeinen certificaten mogen uitgeven, terwijl het proces van het intrekken van certificaten ingewikkeld is en op browser-updates leunt."

Denk dat hij hierdoor tot deze conclusie komt.
En kan hem daarin geen ongelijk geven.

Keurmerken zijn vrij waardeloos.
Zeker als ze niet gecontroleerd worden.

kramerty88 @aZuL2001 • 15 november 2011 11:33

[...]

Keurmerken zijn vrij waardeloos.
Zeker als ze niet gecontroleerd worden.

Belangrijkste is nog dat hierbij geen enkele stresstest is uitgevoerd voor dit soort situaties. Normaliter worden bij nieuwe systemen backup mogelijkheden of "red-button" opties onderzocht. Dit is bij SSL niet gebeurd, waardoor de veiligheid van het hele systeem afhangt van enkele certificaat uitgevers.

Als je logisch redeneert is het zeer naïef om ervan uit te gaan dat dit veilig is. Er zijn wereldwijd talloze bedrijven die voor alle instanties/bedrijven certificaten uit mogen geven, er hoeft dus maar één rotte appel ergens op de wereld te zijn (nog niet eens meegenomen de hackers) en het hele systeem is onveilig. Dat er dan ook nog geen quick-escape is maakt het helemaal erg.

Joolee @NEO256 • 15 november 2011 11:12

Het gaat niet alleen om 1 bedrijf. Er zijn zover ik weet ongeveer 500 bedrijven welke ALLEMAAL, voor ALLE domeinen certificaten kunnen uitgeven. Als je als hacker (of inbreker) bij zo'n bedrijf binnen weet te komen is dus het HELE SSL Systeem (sterker nog, het hele internet!) direct onbetrouwbaar. Aangezien het om zoveel (grotendeels ongecontroleerde) schakels in het systeem gaat vind ik het niet erg kort door de bocht om het hele SSL systeem als zwak te bestempelen.

DAARBIJ komt dan nog dat na een hack het ontzettend lang duurt voordat een hele certificeringsinstantie volledig onbetrouwbaar wordt verklaard op alle computers omdat dus door de gebruiker een update binnen moet worden gehengeld. Hoeveel mensen ken jij die dat netjes doen?

[Reactie gewijzigd door Joolee op 22 juli 2024 21:40]

Tarkin @Joolee • 15 november 2011 11:18

zoveel hoofdletters zijn niet nodig om je (valide) punt te maken hoor. Blijkbaar moet er gewoon iets veranderen in de structuur

Verwijderd @Joolee • 15 november 2011 11:23

Je hebt niet eens hackers nodig. Er zitten genoeg dubieuze autoriteiten standaard in je browser. (Chineze instanties om maar wat te noemen.)

Verwijderd 15 november 2011 11:26

Volgens mij is het grootste zwakke punt het gebrek aan zelfreflectie. Eerst zeggen dat het allemaal wel meevalt. Dat de burger kan vertrouwen op Digi-D, en zijn verplichte aangfites ermee moet blijven indienen. Dan roepen dat de hack alleen heeft plaatsgevonden in een ander server-straatje. Zonder inzicht dat het wel heel waarschijnlijk is dat andere servers die volgens hetzelfde concept zijn ingericht ook kwetsbaar zijn. Wat iedere systeembeheerder met drie maanden ervaring je had kunnen influisteren.

En natuurlijk, nog enkele stadia eerder, de overdreven nadruk die wordt gelegd op ssl, als zou het een panacee zijn tegen alle bedreigingen op internet. Een hype waaraan verscheidene publieke instanties vrolijk hebben meegewerkt.

Ghost Dog @Verwijderd • 15 november 2011 13:10

Ik vind het wat te ver gaan om de nadruk op SSL een 'hype' te noemen.
Nog altijd is een verbinding via SSL veiliger dan gewoon HTTP (zonder S), omdat SSL in principe niet te onderscheppen is, tenzij het certificaat vervalst is. Wat dat betreft sta ik wel achter voorlichtingscampagnes die mensen vertellen dat ze bij het inloggen op DigiD of bij internetbankieren op het sleuteltje en 'https://' moeten letten.

Zoals elk systeem is HTTPS door middel van CA's echter niet 100% veilig en is het inderdaad een risico dat mensen blindelings inloggen op websites omdat ze een sleuteltje zien terwijl het certificaat vervalst zou kunnen zijn. Hier is echter geen gemakkelijke oplossing voor te bedenken die ook nog snel te implementeren is.

[Reactie gewijzigd door Ghost Dog op 22 juli 2024 21:40]

Verwijderd @Ghost Dog • 16 november 2011 01:38

SSL is tegenwoordig de standaard, maar deze web 1.0 beveiligingsoplossing is net zo veilig als een ouderwets bontebaardslot:

"Researchers Cracked SSL. Your internet is NOT Safe, even on HTTPS" :
http://nbnl.globalwhelmin...-ssl-internet-safe-https/

Er is maar een goed alternatief voor de SSL CA's op dit moment en dat is Convergence:
"Qualys endorses alternative to crappy SSL system" http://www.theregister.co...lys_endorses_convergence/

Als laatst nog even een leuk filmpje over een "SSL man-in-the-middle-attack":
http://revision3.com/hak5/mitm/

We kunnen beter met z'n alleen overstappen naar een SSH of VPN oplossing...

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:40]

Ghost Dog @Verwijderd • 16 november 2011 03:22

Convergence is inderdaad een handige workaround voor SSL, en draait hier al een tijdje als add-on in Firefox.

Jammer is echter dat het alleen voor FF beschikbaar is.

blouweKip @Verwijderd • 15 november 2011 13:36

Ik vind het erger dat diginotar (een commercieel bedrijf) jarenlang gelogen heeft, helemaal niet aan veiligheid deed en dat ook commerciele auditors dat soort zaken genegeerd hebben.....

De overheid is jarenlang uitgekleed op expertise en steunt te veel op commerciele bedrijven met slechte moraal en te weinig expertise...het zou zgn een besparing op de operationele overheidskosten zijn maar uiteindelijk betalen we met zn alle een veel grotere rekening

Floor 15 november 2011 12:49

Nu de pijnpunten bekend zijn kan er gewerkt gaan worden aan de verbetering. Een mogelijkheid zou zijn om (indien mogelijk) de bron aan te pakken, en dat is in dit geval de uitgevende bedrijven. Zorg dat voor .NL domeinen alleen deze bedrijven certifacten mogen uitgeven.Screen het volledige personeel alsof ze bij de politie gaan werken.
Daarbij is het verbeteren van de procedures en prioriteiten een parallel te nemen stap.

blouweKip @Floor • 15 november 2011 13:09

Screen het volledige personeel alsof ze bij de politie gaan werken.
Daarbij is het verbeteren van de procedures en prioriteiten een parallel te nemen stap.

Veel bedrijven hebben geen zin in dat soort kosten, bovendien is het helemaal geen garantie dat procedurele en personele verbeteringen het risico op dergelijk misbruik wel tot een aanvaardbaar niveau terugbrengen.

Verwijderd 15 november 2011 11:20

SSL is niet zwak, wel het systeem waarmee we nu certificaat autoriteiten vertrouwen geven. Obscure bedrijven en overheden waar ik nog nooit van heb gehoord zitten nu standaard en ongevraagd in mijn browser als autoriteit.

Helaas hebben de veiligere alternatieven om vertrouwen te bewerkstelligen geen goed verdienmodel en zullen dus niet zo snel van de grond komen.

JAHRASTAFARI 15 november 2011 11:28

ICT en informatiebeveiliging zijn geen prioriteit binnen de overheid. Helaas. Daarnaast spelen allerlei economische motieven mee, waardoor er geen capaciteit van specialismen is als het echt mis gaat.

Verwijderd 15 november 2011 17:04

De zwakke schakel is volgens mij de browser, afgezien van wat er bij Diginotar is gebeurd.

De hack kwam aan het licht toen Google's eigen Chrome aangaf dat er toch iets niet klopte.
Chrome gaf aan dat er een certificaat uitgegeven was door een CA die niet door die CA uitgegeven hoort te worden.Het certificaat voor Google G-Mail hoort niet van Diginotar te komen.
Dat is controle die IE en Firefox niet doen.

Kort om, je kunt de rest van het internet tegen 'rotte' CA beschermen door de browser te laten controleren of het certificaat wel door die CA uitgegeven hoort te worden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:40]

Op dit item kan niet meer gereageerd worden.

Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat

Lees meer

De zwakste schakel van https

IT-banen

Reacties (18)

Sorteer op:

Weergave: