AIVD onderzocht certificaatverstrekkers op kwetsbaarheden

De AIVD heeft vorig jaar na de DigiNotar-affaire uit voorzorg onderzoek uitgevoerd naar de veiligheid van andere certificaatverstrekkers die zogenaamde pki-overheid-certificaten uitgeven. Ook maakt de dienst zich zorgen over de gsm-beveiliging.

Dat meldt de dienst in zijn jaarverslag. Het was al langer bekend dat de Algemene Inlichtingen- en Veiligheidsdienst betrokken was bij het onderzoek naar de inbraken bij DigiNotar. De AIVD stelt dat bij dit onderzoek met name gekeken is naar de motieven en de werkwijze van de dader en de mogelijkheden van de buitgemaakte gegevens. De hack bij DigiNotar, waarbij certificaten vervalst werden, is vermoedelijk uitgevoerd in opdracht van de Iraanse overheid.

Naar aanleiding van de DigiNotar-affaire is de AIVD 'vanuit zijn veiligheidsbevorderende taak' een onderzoek gestart naar niet nader genoemde certificaatverstrekkers die zogenaamde pki-overheid-certificaten verstrekken aan overheidsinstellingen. De veiligheidsdienst zou hen gewezen hebben op eventuele kwetsbaarheden in het systeem, terwijl aan de certificaatverstrekkers ook werd verzocht om hun eigen it-infrastructuur door te lichten op mogelijke inbraken. Daarbij zou de AIVD hen geassisteerd hebben met informatie die zou zijn verzameld na een analyse van de DigiNotar-inbraak en de 'eigen kennis en ervaring met hacking.'

De AIVD waarschuwt in zijn jaarverslag opnieuw voor de gebrekkige beveiliging van gsm-verkeer. De dienst stelt dat met relatief goedkope hardware en vrij verkrijgbare software gesprekken afgeluisterd kunnen worden. Om de beveiliging te verbeteren, zou de AIVD twee producten hebben goedgekeurd die geschikt zouden zijn voor gebruik op het niveau 'departementaal vertrouwelijk'. Welke dit zijn, is nog niet bekend. Verder onderzoekt de dienst welke gevolgen de byod-trend kan hebben op de rijksoverheid.

Door Dimitri Reijerman

Redacteur

19-04-2012 • 20:02

10 Linkedin

Lees meer

'Cyber Security Centrum' opent deuren Nieuws van 12 januari 2012

Reacties (10)

10
10
7
1
0
2
Wijzig sortering
Goede zaak, maar leuk dat dit in het rapport staat etc. maar ik vind het allemaal maar wat ''duister'' omschreven. Er worden geen onderzoeksresultaten getoond als is er niet echt een degelijk antwoord te vinden op wat ze gedaan hebben bij hun onderzoek en wat er uiteindelijk uit is gekomen en wat het mogelijke advies is geweest naar de betreffende organisaties.

Echt verder dan dit kom ik niet, het klinkt leuk maar dan heb je het ook wel gehad :/ ;
Daarbij zou de AIVD hen geassisteerd hebben met informatie die zou zijn verzameld na een analyse van de DigiNotar-inbraak en de 'eigen kennis en ervaring met hacking.'

[Reactie gewijzigd door Perkouw op 19 april 2012 22:46]

Ik weet niet wat jij precies verwacht van een inlichtingen- en veiligheidsdienst, maar het lijkt mij behoorlijk begrijpelijk dat ze niet zomaar al hun rapporten in de openbaarheid gooien. Dergelijke diensten horen in de schaduw te opereren: als je ze niet hoort (en er zijn geen grote incidenten, uiteraard) dan is het goed. Als je ze wel hoort hebben ze ofwel geld nodig ofwel geblunderd.

Een jaarverslag waarin op hoofdlijnen verantwoordelijkheid wordt afgelegd is natuurlijk prima maar vooral PR. Echte verantwoording leggen ze af tegenover de minister en in de commissie stiekem van de TK.
De controle van de tweede kamer wordt vaak de commissie 'stiekem' genoemd maar bestaat in werkelijkheid uit twee commissies: de commissie voor de Inlichtingen- en Veiligheidsdiensten en de Vaste Commissie voor Binnenlandse Zaken en Koninkrijksrelaties.

Daarnaast wordt de aivd ook nog intern gecontroleerd door de commissie van toezicht op grond van art. 64-82 van de Wet op de Inlichtingen- en Veiligheidsdiensten.

Ik ben het overigens met je eens dat het jaarverslag van de AIVD vooral PR is maar er wordt weldegelijk meer verantwoording afgelegd dan je denkt.
Leuk dat de AIVD nu pas een onderzoek gestart is naar de veiligheid/beveiliging van de IT-infrastructuur van deze certificaatverstrekkers, maar is dit niet iets wat preventief al moet gebeuren en het liefst om de zoveel tijd gedaan moet worden?

Hiermee kun je de kans op mogelijke aanvallen zo klein mogelijk maken omdat je op deze manier op kwetsbaarheden kunt stuiten en deze kunt verhelpen waardoor je hackers de wind uit de zeilen neemt, lijkt mij.. of is dit TE simpel gedacht?
Ja natuurlijk is dit de beste optie alleen is er niet genoeg capaciteit om alles preventief te controleren.

Certificaten zijn altijd als veilig geacht en helaas was er een incident nodig om de controles op te starten. Hieruit blijkt wel weer dat veilig een relatief begrip is en altijd zal blijven binnen de IT. Alles is en blijft te hacken, ookal zijn er preventieve controles. Het is altijd mogelijk dat niet het juiste gecontroleerd wordt.
Enigszins off-topic maar is de AIVD niet een beetje van het achteraf praten en minder van het actueel doen?

Geen idee of iemand het NOS-journaal heeft gezien maar de AIVD weet van enkele tientallen personen, die in NL wonen, dat ze minstens 1x in hun leven een reis hebben gemaakt richting islamitische risico-gebieden en/of daar training hebben gevolgd om het jihadistische gedachtengoed met geweld te verspreiden. Wat ik miste in het interview was het cijfer van het aantal personen wat dan daadwerkelijk is aangehouden op verdenking van, of minstens eens was uitgenodigd voor een goed gesprek met de wijkagent, so to speak.

En dit artikel op T.net over certificaten en GSM-beveiliging; niets nieuws... Certificaten liggen al jaren op straat en in Duitsland was ruim een jaar geleden al door een hooggeplaatst persoon een rechtszaak aangespannen over de lokatie-gegevens. Ook kan je op eBay zeer eenvoudig zaken aanschaffen die, gebruikmakende van het GSM-protocol, zaken voor elkaar krijgen die je niet kan afnemen bij Vodafone, T-Mobile of andere providers.

[Reactie gewijzigd door MAX3400 op 19 april 2012 20:49]

"Na de affaire" het onderzoek nog ''Uit voorzorg" noemen ... wel moedig
Anoniem: 126717
@comatoast19 april 2012 20:28
De AIVD heeft vorig jaar na de DigiNotar-affaire uit voorzorg onderzoek uitgevoerd naar de veiligheid van andere certificaatverstrekkers (...)
Wel correct, als je leest tenminste.
Ik vindt het niet meer dan normaal dat ze dit hebben gedaan. Een (erg) fout, wellicht meer?
ik maak me al jaren zorgen om de AIVD .. dus kan ik even tappen.. je weet maar nooit wat daar allemaal gebeurt..

tijd voor transperantie..
Anoniem: 454860
20 april 2012 13:03
AIVD stoer man..

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee