AIVD onderzocht certificaatverstrekkers op kwetsbaarheden

De AIVD heeft vorig jaar na de DigiNotar-affaire uit voorzorg onderzoek uitgevoerd naar de veiligheid van andere certificaatverstrekkers die zogenaamde pki-overheid-certificaten uitgeven. Ook maakt de dienst zich zorgen over de gsm-beveiliging.

Dat meldt de dienst in zijn jaarverslag. Het was al langer bekend dat de Algemene Inlichtingen- en Veiligheidsdienst betrokken was bij het onderzoek naar de inbraken bij DigiNotar. De AIVD stelt dat bij dit onderzoek met name gekeken is naar de motieven en de werkwijze van de dader en de mogelijkheden van de buitgemaakte gegevens. De hack bij DigiNotar, waarbij certificaten vervalst werden, is vermoedelijk uitgevoerd in opdracht van de Iraanse overheid.

Naar aanleiding van de DigiNotar-affaire is de AIVD 'vanuit zijn veiligheidsbevorderende taak' een onderzoek gestart naar niet nader genoemde certificaatverstrekkers die zogenaamde pki-overheid-certificaten verstrekken aan overheidsinstellingen. De veiligheidsdienst zou hen gewezen hebben op eventuele kwetsbaarheden in het systeem, terwijl aan de certificaatverstrekkers ook werd verzocht om hun eigen it-infrastructuur door te lichten op mogelijke inbraken. Daarbij zou de AIVD hen geassisteerd hebben met informatie die zou zijn verzameld na een analyse van de DigiNotar-inbraak en de 'eigen kennis en ervaring met hacking.'

De AIVD waarschuwt in zijn jaarverslag opnieuw voor de gebrekkige beveiliging van gsm-verkeer. De dienst stelt dat met relatief goedkope hardware en vrij verkrijgbare software gesprekken afgeluisterd kunnen worden. Om de beveiliging te verbeteren, zou de AIVD twee producten hebben goedgekeurd die geschikt zouden zijn voor gebruik op het niveau 'departementaal vertrouwelijk'. Welke dit zijn, is nog niet bekend. Verder onderzoekt de dienst welke gevolgen de byod-trend kan hebben op de rijksoverheid.

IT-banen

Reacties (10)

Perkouw Moderator GCC 19 april 2012 22:46

Goede zaak, maar leuk dat dit in het rapport staat etc. maar ik vind het allemaal maar wat ''duister'' omschreven. Er worden geen onderzoeksresultaten getoond als is er niet echt een degelijk antwoord te vinden op wat ze gedaan hebben bij hun onderzoek en wat er uiteindelijk uit is gekomen en wat het mogelijke advies is geweest naar de betreffende organisaties.

Echt verder dan dit kom ik niet, het klinkt leuk maar dan heb je het ook wel gehad

;

Daarbij zou de AIVD hen geassisteerd hebben met informatie die zou zijn verzameld na een analyse van de DigiNotar-inbraak en de 'eigen kennis en ervaring met hacking.'

[Reactie gewijzigd door Perkouw op 5 augustus 2024 23:17]

wizzkizz @Perkouw • 20 april 2012 00:01

Ik weet niet wat jij precies verwacht van een inlichtingen- en veiligheidsdienst, maar het lijkt mij behoorlijk begrijpelijk dat ze niet zomaar al hun rapporten in de openbaarheid gooien. Dergelijke diensten horen in de schaduw te opereren: als je ze niet hoort (en er zijn geen grote incidenten, uiteraard) dan is het goed. Als je ze wel hoort hebben ze ofwel geld nodig ofwel geblunderd.

Een jaarverslag waarin op hoofdlijnen verantwoordelijkheid wordt afgelegd is natuurlijk prima maar vooral PR. Echte verantwoording leggen ze af tegenover de minister en in de commissie stiekem van de TK.

stutrecht @wizzkizz • 20 april 2012 03:42

De controle van de tweede kamer wordt vaak de commissie 'stiekem' genoemd maar bestaat in werkelijkheid uit twee commissies: de commissie voor de Inlichtingen- en Veiligheidsdiensten en de Vaste Commissie voor Binnenlandse Zaken en Koninkrijksrelaties.

Daarnaast wordt de aivd ook nog intern gecontroleerd door de commissie van toezicht op grond van art. 64-82 van de Wet op de Inlichtingen- en Veiligheidsdiensten.

Ik ben het overigens met je eens dat het jaarverslag van de AIVD vooral PR is maar er wordt weldegelijk meer verantwoording afgelegd dan je denkt.

HA5H 19 april 2012 20:06

Leuk dat de AIVD nu pas een onderzoek gestart is naar de veiligheid/beveiliging van de IT-infrastructuur van deze certificaatverstrekkers, maar is dit niet iets wat preventief al moet gebeuren en het liefst om de zoveel tijd gedaan moet worden?

Hiermee kun je de kans op mogelijke aanvallen zo klein mogelijk maken omdat je op deze manier op kwetsbaarheden kunt stuiten en deze kunt verhelpen waardoor je hackers de wind uit de zeilen neemt, lijkt mij.. of is dit TE simpel gedacht?

Team-RiNo

@HA5H • 19 april 2012 20:10

Ja natuurlijk is dit de beste optie alleen is er niet genoeg capaciteit om alles preventief te controleren.

Certificaten zijn altijd als veilig geacht en helaas was er een incident nodig om de controles op te starten. Hieruit blijkt wel weer dat veilig een relatief begrip is en altijd zal blijven binnen de IT. Alles is en blijft te hacken, ookal zijn er preventieve controles. Het is altijd mogelijk dat niet het juiste gecontroleerd wordt.

MAX3400 19 april 2012 20:48

Enigszins off-topic maar is de AIVD niet een beetje van het achteraf praten en minder van het actueel doen?

Geen idee of iemand het NOS-journaal heeft gezien maar de AIVD weet van enkele tientallen personen, die in NL wonen, dat ze minstens 1x in hun leven een reis hebben gemaakt richting islamitische risico-gebieden en/of daar training hebben gevolgd om het jihadistische gedachtengoed met geweld te verspreiden. Wat ik miste in het interview was het cijfer van het aantal personen wat dan daadwerkelijk is aangehouden op verdenking van, of minstens eens was uitgenodigd voor een goed gesprek met de wijkagent, so to speak.

En dit artikel op T.net over certificaten en GSM-beveiliging; niets nieuws... Certificaten liggen al jaren op straat en in Duitsland was ruim een jaar geleden al door een hooggeplaatst persoon een rechtszaak aangespannen over de lokatie-gegevens. Ook kan je op eBay zeer eenvoudig zaken aanschaffen die, gebruikmakende van het GSM-protocol, zaken voor elkaar krijgen die je niet kan afnemen bij Vodafone, T-Mobile of andere providers.

[Reactie gewijzigd door MAX3400 op 5 augustus 2024 23:17]