Rechter veroordeelt oud-eigenaren DigiNotar tot betalen miljoenen euro's

De rechtbank in Amsterdam heeft het bedrijf van de oud-eigenaren van DigiNotar veroordeeld tot een miljoenenboete. De oud-eigenaren moeten die boete betalen aan Vasco, dat DigiNotar overnam. Vlak daarna bleek dat een Iraanse hacker de ssl-autoriteit had gehackt.

Hoe hoog de schadevergoeding precies zal uitvallen, is nog onbekend, maar het zal in elk geval een fors deel van het overnamebedrag van 3,7 miljoen euro zijn, blijkt uit de uitspraak van de rechtbank die Emerce ontdekte. Dat de oud-eigenaren moeten betalen, komt niet zozeer doordat de rechtbank de verantwoordelijkheid bij hen legt. Beide bedrijven hadden in de koopovereenkomst vastgelegd dat als zou blijken dat het Nederlandse bedrijf de beveiliging niet op orde had, DigiNotar zelf aansprakelijk zou zijn.

De rechters hebben vastgesteld dat DigiNotar niet voldoende heeft gedaan om de systemen te beschermen, onder meer omdat ze oude versies van software draaiden en wachtwoorden in plain text hadden opgeslagen. Bovendien is er een rechtstreeks verband tussen de gevolgen van de hack en het faillissement van DigiNotar.

DigiNotar kwam in opspraak toen bleek dat een Iraanse hacker de systemen van het Nederlandse bedrijf was binnengedrongen om valse ssl-certificaten te genereren. Toen dat naar buiten kwam, zegde onder meer de Nederlandse overheid het vertrouwen in DigiNotar op. Bovendien merkten browsers DigiNotar-certificaten niet langer aan als 'vertrouwd'.

IT-banen

Reacties (71)

ro8in 8 augustus 2014 09:43

Excuus ik ben nog niet wakker blijkbaar. Op een of andere manier las ik dit als dat dit een straf rechtelijke vervolging is waarbij de huidige eigenaren een boete aan de staat moeten betalen.

Het gaat hier gewoon omdat de oud eigenaren een schadevergoeding moeten betalen aan Vasco omdat zij gewoon rotzooi hadden verkocht. Lijkt me een prima uitspraak dit.

Streepje door mijn verhaal hieronder dus.

Belachelijk dit. In plaats van de hacker te vervolgen worden nu de slachtoffers vervolgd. Ik heb een bank en wordt overvallen en vervolgens wordt ik vervolgd omdat ik de beveiliging niet op orde had terwijl de daders vrijuit gaan met alle poen?? Nederland is echt helemaal gek geworden. Natuurlijk hoorde Diginotar de beveiliging op orde te hebben, maar beveiliging blijft een service naar de klant toe en is geen wettelijke verplichting (met een paar uitzonderingen na). Dat ze dit niet op orde hadden heeft hun de kop gekost lijkt me al een straf genoeg. Maar om hun daarop ook nog eens straf rechtelijk te vervolgen vind ik gewoon walgelijk. Nederland het land waar de daders vrij uit gaan want die pakken is te moeilijk enzo dus pakken we de slachtoffers maar aan..

Ons recht systeem hoort er te zijn voor dat dit soort criminele daden niet gebeuren. Niet om slachtoffers te vervolgen die zich niet tegen deze criminelen hebben kunnen weren!

Edit op reacties hieronder:
Op geen enkele manier suggereer ik nu dat ik mijn boel niet zou beveiligen. Natuurlijk moet je je op en top beveiligen, omdat we nou eenmaal in een wereld leven waar mensen aan je spullen willen komen. Dat mensen dit proberen dat weet je en daar probeer je zoveel je kan wat tegen te doen!
Ik stel nu puur aan de kaak wat hier gebeurd en waar ons recht systeem voor hoort te dienen.
Het gaat mij hier om het feit dat ons recht systeem hoort te dienen voor het stoppen van dit soort boeven. Alleen in dit geval gaat de echte veroorzaker van dit alles (de hacker zelf) gewoon vrijuit en wordt het slachtoffer vervolgd voor nalatigheid. Dat is toch gewoon een omgekeerde wereld? De overheid hoort achter deze boef aan te gaan en hem op te pakken en zijn straf te geven. Daar betalen we belasting voor! Het is de overheid en het recht systeem wat in mijn opinie nu nalatig is en hun taak niet doet!
Of Diginotar vervolgens nalatig is geweest door contractueel niet volgens de genoemde beveiligen te werken etc. is iets wat gedupeerde klanten kunnen aankaarten. Daar heb je weer civiele rechtszaken voor. Als vervolgens daar de eigenaren worden veroordeeld tot het betalen van een schade vergoeding aan hun klanten is weer een heel ander verhaal.

[Reactie gewijzigd door ro8in op 22 juli 2024 17:00]

D-Raven @ro8in • 8 augustus 2014 09:59

Ze zijn aantoonbaar nalatig geweest anders worden ze echt niet veroordeeld. Als je de directeur van een CA bent dan is beveiliging niet zomaar een service naar de klant toe. Het is je core business, en als je daarin faalt dan beschadig je daarmee niet alleen je directe klanten maar ook het vertrouwen in het hele CA systeem. Dat met name is een bijzonder kwalijke zaak.

Ik vind het juist een heel goed signaal deze ontwikkeling. Het geeft duidelijk aan dat als jij ervoor kiest om een CA te runnen, je beter je shit op orde kunt hebben. Want anders weten we je te vinden, en terecht!

Hoe vaak hoor je wel niet dat een bedrijf ten onder gaat vanwege de achterlijke capriolen van een of andere overbetaalde directeur, welke dan ook nog eens scott-free gaat met een dikke oprotpremie. Vind je dat dan wel gerechtigheid?

En je bank vergelijking klopt niet. Het zou beter zijn als een vergelijk maakt met een bank directeur die vanwege onkunde de bank ten onder laat gaat. Waardoor jij een hoop spaargeld kwijt bent, andere banken in sector moeten bijspringen, en uiteindelijk de belastingbetaler ervoor op moet draaien..
Vind jij dat zo iemand ook vrijuit mag gaan?

[Reactie gewijzigd door D-Raven op 22 juli 2024 17:00]

Dennism @D-Raven • 8 augustus 2014 11:16

Ik zie nergens dat het om strafrechtelijke vervolging gaat (enige bron daarvoor?), voor zover ik kan zien is dit gewoon een civiele zaak vanwege een garantie bepaling in het contract. Ik zie ook nergens in de uitspraak een directe uitspraak over nalatigheid van de oud bestuurders, enkel dat zij garanderen dat de infra ten tijden van de overname goed beveiligd was en voldeed aan de geldende normen, was deze bepaling niet in het contract opgenomen dan had Vasco mogelijk helemaal niets kunnen claimen, daar de documentatie en de uitspraak laten zien dat Vasco zelf ook niet afdoende onderzoek gedaan heeft vooraf gaande aan de uitspraak (enkel documentatie doorgenomen, geen eigen experts de infra hebben laten beoordelen) en ook na de overname heeft nagelaten bepaalde beveiligingsupdates die zijn vrijgegeven na de overname datum door te voeren.

Voor zover ik het kan inschatten met de informatie die er ligt na de uitspraak zijn de directeuren enkel nat gegaan op de hun gegeven garantie clausule. Dat ze deze clausule in deze vorm hebben laten opnemen getuigt denk ik van een (te) goed vertrouwen in de eigen beheersorganisatie, maar (grove) nalatigheid persoonlijk door de bestuurders (bijv. het niet uitvoerden van bepaalde zaken voor financieel gewin) zie ik nergens naar voren komen.

Wel worden ze uiteraard gezien de garantie clausule verantwoordelijk gehouden voor de nalatigheid binnen de organisatie, maar het kan heel goed zijn dat ze daar vanwege het wel verkrijgen van de benodigde certificeringen, compliance met het door de accounts opgestelde beleid en het opdracht geven tot het opvolgen van aangestippelde punten in security audits niet persoonlijk op de hoogte waren van deze nalatigheden.

[Reactie gewijzigd door Dennism op 22 juli 2024 17:00]

tinzarian @D-Raven • 8 augustus 2014 10:33

Dit is geen strafzaak, maar een civiele. Degenen die moeten betalen moeten dat niet als oud-ditrecteur, maar als oud eigenaar. Ze hadden het bedrijf Diginotar, bij de verkoop daarvan is overeengekomen dat:

als zou blijken dat het Nederlandse bedrijf de beveiliging niet op orde had, Diginotar zelf aansprakelijk zou zijn

Dus, als we tweakers.net mogen geloven, volgens die overeenkomst waren de oud-eigenaren niet verantwoordelijk, omdat ze het bedrijf Diginotar verkocht hadden.
De rechter vond, als we tweakers.net mogen geloven, hen ook niet verantwoordelijk.
Dus: waarom moeten ze dan wel betalen?

D-Raven @tinzarian • 8 augustus 2014 10:49

Omdat schijnbaar de rechter vond dat de vorige eigenaren aantoonbaar nalatig zijn geweest met het nemen van (redelijke) stappen om de systemen van Diginotar te beveiligen. Waardoor er sprake is van garantie schending en ze dus toch veroordeeld worden tot het betalen van een schade bedrag.

En je hoeft tweakers.net niet te geloven, je kan ook zelf het vonnis lezen. Daarin staat de exacte onderbouwing. Ik spreek geen advocaten taal maar het lijkt erop dat de rechter bepaald dat het onderdeel wat jij quote niet van toepassing is.

Ienni1983 @tinzarian • 8 augustus 2014 10:50

Even een tijdlijn voor je opgesteld

Op 10 januari 2011 maakte VASCO Data Security International bekend DigiNotar te hebben overgenomen.

De overnamesom zou 11 miljoen euro hebben bedragen

In juni 2011 lukte het een hacker die zich Comodohacker noemde, in te breken bij DigiNotar.

Op 20 september 2011 werd het bedrijf failliet verklaard.

Dus in 8 maanden tijd is het bedrijf de grond in gestuurd omdat de oud-eigenaren het blijkbaar niet nodig vonden om de veiligheid te verbeteren.

Ondanks het feit dat DigiNotar al in 2009 door het bedrijf IT-Sec op tekortkomingen in de beveiliging van haar netwerk was gewezen, heeft zij nagelaten verbeteringen door te voeren, vindt de rechtbank.

[Reactie gewijzigd door Ienni1983 op 22 juli 2024 17:00]

ro8in @D-Raven • 8 augustus 2014 11:06

Als de bank inderdaad ten onder gaat door rare capriolen die tot aan het criminele toe zijn van de bank directeur zou ik willen dat ons recht systeem inderdaad naar de directeur gaat kijken en mijn geld bij hem terug gaat halen.

Wordt de bank overvallen dan moeten ze achter de overvallers aan en daar mijn geld terug halen. Het gaat erom wie de criminele daad verricht. Niet goed beveiligen is heel erg dom en zou een bedrijf zeker niet moeten doen, maar per definitie van het recht moet dat geen criminele daad zijn. In de perfecte wereld (welke ons recht systeem na streeft) hoort beveiliging niet eens nodig te zijn.

Bonez0r @ro8in • 9 augustus 2014 01:07

Als echter door grove nalatigheid van de bank zelf, het een overvaller erg makkelijk wordt gemaakt, dan hoop ik toch dat niet alleen de overvaller, maar ook de bank aangepakt wordt. Als je een bank runt neem je een bepaalde verantwoordelijkheid op je. Het is geen supermarkt die je runt, je bent verantwoordelijk voor het spaargeld van duizenden mensen. Daar mág gewoon niet laks mee omgegaan worden. In het geval van Diginotar gaat het niet eens om een paar duizend mensen, maar om de DigiD van heel Nederland. Dat een bedrijf daarmee maar wat aanrommelt is ontoelaatbaar.

[Reactie gewijzigd door Bonez0r op 22 juli 2024 17:00]

Gomez12 @ro8in • 8 augustus 2014 09:48

maar beveiliging blijft een service naar de klant toe.

Help me herinneren nooit zaken met jou te doen... Dit is een gedachtengang uit het jaar 1000 oid.

Verwijderd @ro8in • 8 augustus 2014 09:49

Als jij een auto koopt en de oude eigenaar garandeert in het contract dat de auto in uitstekende is en nog jaren mee zal kunnen gaan maar de auto wordt een week later door de politie van de weg afgehaald en direct als onveilig wrak vernietigd dan wil je ook je geld terug.

Die oud eigenaars zijn geen slachtoffers maar direct verantwoordelijken die kort daarvoor nog enorm gecashed hadden door hun waardeloos beveiligde bedrijfje te verkopen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:00]

wdelange @ro8in • 8 augustus 2014 09:55

Er staat duidelijk dat er geen slachtoffer wordt vervolgd. Er is een overeenkomst gesloten tussen 2 partijen, waarin staat dat als de ene partij in gebreke is, er een schadebedrag wordt betaald. Dat contract wordt uitgevoerd waarbij de rechtbank vaststelt dat er inderdaad sprake is van dat 1 partij zich niet aan het contract heeft gehouden en de hoogte van de vergoeding bepaalt.
Wat mij niet duidelijk is, of de hoogte van het bedrag wel of niet in het contract stond.

Grrrr @ro8in • 8 augustus 2014 10:01

De echte slachtoffers zijn de nieuwe eigenaars die dachten een bedrijf te hebben gekocht wat op een verantwoorde en veilig manier opereerde, nota bene nog wel in de markt van beveiligingstechnologie. Lijkt me dus een zeer terechte uitspraak van de rechter, zeker omdat er in het overnamecontract blijkbaar keurig een clausule was opgenomen om de nieuwe eigenaars tegen een ' kat in de zak kopen' te beschermen.

Los van deze clausule is de oude eigenaars wanprestatie en gebrek aan integere bedrijfsvoering te verwijten, integere bedrijfsvoering is meer dan enkel je primaire product aan je eindklanten leveren, maar dit ook op een in alle aspecten verantwoorde manier doen. Dus incl. eigen beveiling.

Joep Lunaar @ro8in • 8 augustus 2014 12:31

Lees de uitspraak, je raaskalkt !

Obiter dictum (zoek maar op): vervolging is iets strafrechtelijks.
in deze zaak ging het om de vraag voor wiens rekening de schade moet komen en de toerekening daarvan door de rechtbank is redelijk en genanceerd.

ro8in @Joep Lunaar • 8 augustus 2014 14:01

Er is inmiddels een streep door mijn reactie. Ik was nog niet wakker blijkbaar..

Blokker_1999

Bedrijfsnieuws

@ro8in • 8 augustus 2014 09:59

Ze werden gehacked, hebben hier niet over gecommuniceerd maar in de plaats daarvan hun bedrijf verkocht met het label 'veilig'. Is dat dan nog een eerlijke verkoop? Heeft de koper gekregen wat hij verwacht had? Was dat bedrijf nog 3,7 miljoen waard indien de kopers wisten van die hack?

Dennism @Blokker_1999 • 8 augustus 2014 11:17

Je weet dat de hack meer dan 6 maand na de verkoop pas heeft plaatsgevonden?

kroegtijger @Dennism • 8 augustus 2014 11:28

De partij die het over heeft genomen heeft imho dan ook wel wat steken laten vallen. Als de beveiliging werkelijk zo beroerd was als dat wordt voorgesteld, vraag je je toch af waarom er dan niet direct actie is ondernomen. Kennelijk is het dus nooit opgevallen dat het zo dramatisch was, of hebben ze er nooit naar gekeken danwel wat mee gedaan. Dan lijkt het me ook niet meer dan logisch dat het geen 100% van het bedrag zal zijn.

Dennism @kroegtijger • 8 augustus 2014 11:39

Als je de uitspraak leest dan was het ook allemaal niet super dramatisch gesteld met de beveiliging (maar zijn er door zowel Diginotar als Vasco wel fouten gemaakt en 1 foutje kan voor een hacker voldoende zijn), en daar kun je ook in zien dat Vasco inderdaad ook nalatig is geweest na de overname door bepaalde patches die vrijgekomen zijn na de overname niet te installeren (een van deze patches zou voor zover de uitspraak laat zien de hack zelfs voorkomen kunnen hebben), echter weegt de garantie clausule in het contract zwaar waardoor in ieder geval een deel van de verantwoordelijkheid teruggelegd wordt richting de oud eigenaren.

Ienni1983 @Blokker_1999 • 8 augustus 2014 10:51

Het overname bedrag was 11 miljoen euro

de 3,7 miljoen is een deel van het overnamebedrag.

Verwijderd 8 augustus 2014 09:19

Bovendien draaiden ze Windows - voor een dergelijke server die een hoge mate van beveiliging moet bieden mijns inziens not done. Een webserver als Windows kan nog wel, maar voor een certificate authority verwacht ik toch wel AIX of tenminste een zwaar dichtgetimmerde Solaris/BSD/Linux-omgeving. Het gebruik van een simpel wachtwoord als certificate passphrase sluit hier volledig op aan; het waren gewoon amateurs.

Toch mag de meeste verantwoordelijkheid voor de gevolgen van de hack bij de Nederlandse overheid gelegd worden; deze dient niet zomaar met elke partij in zee te gaan maar gedegen onderzoek te verrichten of een CA voor zoiets belangrijks als DigiID wat alle burgers dient te beschermen, wel genoeg kennis en mogelijkheden heeft om deze taak naar behoren uit te voeren. Ik stel dan ook vraagtekens bij de competentie van de ambtenaren die DigiNotar (Digitale Notaris) hebben uitgekozen voor deze zeer belangrijke dienstverlening.

Verzoek: doe jezelf een dienst en lees onderstaande discussie eens door. Je doet jezelf tekort als je een reactie als deze gelijk als troll/flame-reactie bestempelt. Lees in elk geval eens in detail iemands argumenten door, voordat je een dergelijk stempel geeft aan iemand.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:00]

Nibble @Verwijderd • 8 augustus 2014 09:34

Sorry maar dat is gewoon onzin. Ik ben geen fanboy, maar dat heeft niets met *nix of windows te maken. Je timmert een systeem wel of niet goed dicht ongeacht het OS.
Een ongepatchte heartbleed binnen een *nix omgeving is ook vragen om problemen bijvoorbeeld.
Ze moeten gewoon verantwoordelijk en met kennis van zaken opereren en precies dat is niet gebeurt (aan beide kanten zo te lezen).

Verwijderd @Nibble • 8 augustus 2014 09:58

Het aloude argument: ieder operating system is dicht te timmeren. De security hangt voornamelijk af van de system operator, niet van het operating system.

Ik ken de argumenten. Maar de zijn simpelweg niet waar. Althans, niet volledig.

De tegenargumenten:

Windows valt niet dicht te timmeren zoals *NIX valt dicht te timmeren. Tuurlijk kun je veel doen met firewalls, policies, automatische updates, uitschakelen van onnodige meuk. Maar dat haalt het bij lange na niet van een goed dichtgetimmerde *NIX omgeving, waarbij er vrijwel geen enkele service meer draait behalve de remote service, in een zwaarafgebakende sandbox (Capsicum/Jail/whatever). Het draaien van een GUI alleen al, betekent dat je nooit dezelfde theoretische bescherming kunt bieden tegen aanvallen, dan een dergelijk zwaarbeveiligde *NIX server. Ooit wel eens gekeken welke services bij Windows allemaal verplicht zijn?
Windows is propriëtair en daarmee afhankelijk van de intenties van de maker: Microsoft, die vervolgens valt onder vergaande Amerikaanse wetgeving, waarbij het medewerking dient te verlenen en daarover niet naar de buitenwereld mag communiceren. Er is geen hard bewijs, maar wel aanwijzingen dat Microsoft in diverse producten inderdaad achterdeurtjes heeft gebouwd. Voor een webserver is dat echt niet zo'n groot probleem; maar voor een CA zeker wel, aangezien deze voor Digi-ID wordt gebruikt en daarmee de kerninfrastructuur van de gehele Nederlandse bevolking wordt gebruikt. Daarmee betekent het gebruik van Windows voor een dergelijke functie automatisch dat we afhankelijk zijn van de goede intenties van de Amerikaanse regering, iets wat na de recente onthullingen toch iets voorzichtiger mee mag worden omgesprongen mijns inziens.

Ik blijf er dus bij dat voor iets als een CA je echt geen Windows zou moeten draaien. Zeker niet als die CA wordt gekozen om Digi-ID te beschermen. Dat is gewoon vragen om problemen. Als een overheid zoals Iran bij DigiNotar kon komen, kun je de donder opzeggen dat Amerika qua mogelijkheden nog veel verder kan gaan.

Dat we nu vriendjes zijn met Amerika, betekent niet dat dit in de toekomst ook zo zal blijven. Zeker gezien de recente koers die het land vaart, waarbij het duidelijk andere standaarden legt voor niet-Amerikanen dan de eigen inwoners; waarbij het zelfs de wet voor de eigen inwoners al schendt. Als de producten van Amerikaanse aanbieders gecompromitteerd worden - zoals recente chips van Intel (RDRAND), routerapparatuur van Cisco, en dataproviders zoals Microsoft/Google/Yahoo/AOL - dan kan dat ernstige gevolgen hebben mocht het ooit tot een confrontatie komen tussen onze voormalige bevrijders. GPS bijvoorbeeld kan - omdat het een voorziening is van het Amerikaanse leger - beperkt worden of afgesloten worden voor bepaalde werelddelen. Zo is het goed dat Europa zijn eigen satellietsysteem is gaan bouwen - Galileo - toch zie je dat Amerika zich direct wapent door de mogelijkheid open te houden om satellieten uit de ruimte te kunnen schieten mocht dat voor hun belangen wenselijk zijn.

Ik wil niet te ver afdwalen, maar mijn punt is gewoon dat we niet zo naief moeten zijn, en onze eigen veiligheid moeten bewaken en die niet over laten aan andere landen. Een website draaien op Microsoft IIS is prima, daar zal het gevaar hem niet in zitten. Maar als we onze veiligheid middels Digi-ID aan Microsoft en dus aan Amerika overlaten, zie ik dit als een bedreiging voor de lange tot middellange toekomst.

Vitale infrastructuur dien je in eigen beheer te houden, en te laten verzorgen door échte kenners die verstand van zaken hebben. En daar is genoeg geschikt personeel voor te vinden in eigen land. Daar hoef je niet die kneuzen van DigiNotar voor te vragen. Mijn mening.....

Nibble @Verwijderd • 8 augustus 2014 15:39

Als men achterdeuren in hardware in gaat bouwen dan ga je dat op OS niveau ook niet kunnen afvangen. Zeker met de laatste windows servers is echt niet meer een hele GUI omgeving nodig zoals vroeger. Het zijn gewoon geen steekhoudende argumenten hoe uitgebreid of mooi je het ook neerzet. Er is helemaal geen hard bewijs voor het inbouwen van achterdeuren door microsoft zelf. Dat zou bovendien ook bijzonder riskant zijn gezien hun businessmodel.

Veel services is niet per definitie een slecht iets, ook hier geld; bang voor het onbekende. Als je weet wat die doen en je audit dat is er niets aan de hand. In dit geval is dit puur jouw onderbuik gevoel "mijn inziens". Het valt of staat allemaal met controle, audits en up to date houden van de software. Ongeacht welke oorsprong die heeft. Windows of *NIX. Zelf een OS ontwikkelen is ook onzin, immers zul je dat op dezelfde manier moeten testen op robuustheid en veiligheid.
En ik denk dat dat we van amerika nog minder te vrezen hebben dan enkele oostbloklanden om nog maar van china te zwijgen (en laten die nou juist grootleverancier zijn van veel hardware).

Fouten gevonden in opensource worden ook niet altijd aan de grote klok gehangen, zie het verhaal omtrend de ssl bug van afgelopen periode die al heeeeel lang bekend was. De 1 day exploits en andere (betaalde) toolkits.

Ik blijf erbij, ongeacht het os, windows, *nix of whatever, beveiliging is afhankelijk van de kennis en kunde van de beheerder. En zeker op hedendaagse os-en.

djwice

@Nibble • 8 augustus 2014 21:53

Er is helemaal geen hard bewijs voor het inbouwen van achterdeuren door microsoft zelf. Dat zou bovendien ook bijzonder riskant zijn gezien hun businessmodel.

Er is wel degelijk hard bewijs. Ik weet dat in Exchange (ten tijden van Groove - 2006?) backdoors verplicht waren ingebouwd. In die tijd werd er nog open over gecommuniceerd en kreeg je zelfs de architectuur platen van hoe dat in zijn werk ging.

[Reactie gewijzigd door djwice op 22 juli 2024 17:00]

Verwijderd @djwice • 11 augustus 2014 10:10

Laat maar zien dan dat harde bewijs.
Dat moet dan in ruime mate op het internet voorhanden zijn.

djwice

@Verwijderd • 11 augustus 2014 11:41

Geen idee of het dan ook op internet voorhanden is. Op oude harddisks of backs daarvan van laptops toen kunnen die presentaties wellicht staan. Ik snap niet dat mensen hier moeilijk of sceptisch over doen. Amerikaanse banken eisten toen bijvoorbeeld dat ze in alle communicatie van hun medewerkers moesten kunnen kijken. Ook als deze, zoals bij Groove, versleuteld was.

Het verbaast mij dat men nu doet alsof dat iets raars is en alsof Microsoft dit nooit gefaciliteerd zou hebben. Waarom zouden ze niet? En waarom zeiden ze toen van wel incl. architectuur platen?
Is geen samenzwering, gewoon klantwens die netjes wordt vervult.

En blijkbaar als je die kennis nu meld wordt het als fabel afgedaan.
Haal zelf de Groove platen van de begin jaren maar op, ik heb geen MSDN login meer dus kan er niet meer bij. En heb echt geen zin om een presentatie uit 2006 voor je te zoeken in mijn backups.

Verwijderd @djwice • 11 augustus 2014 11:57

Jij maakt een bewering over backdoor in exchange.
Blijkt alleen nergens op gebaseerd en nu kom je met een verhaald over banken die hun interne communicatie moesten kunnen inzien.
Bedrijven hebben geen backdoors nodig voor toegang in hun eigen systemen. Die hebben gewoon toegang tot hun eigen systemen.

Je verhaalslaat dus totaal niet op het onderwerp.

djwice

@Verwijderd • 12 augustus 2014 20:58

Jij maakt een bewering over backdoor in exchange.
Blijkt alleen nergens op gebaseerd en nu kom je met een verhaald over banken die hun interne communicatie moesten kunnen inzien.
Bedrijven hebben geen backdoors nodig voor toegang in hun eigen systemen. Die hebben gewoon toegang tot hun eigen systemen.

Je verhaalslaat dus totaal niet op het onderwerp.

En echt wel, dat jij er niets van gelooft en geen moeite doet om op MSDN platen uit 2006 op te zoeken, betekend niet dat het niet bestaat. Doe gewoon wat moeite, download de slides uit het Groove tijdperk en je zult het zelf zien en lezen. Incl. het verhaal m.b.t. banken.

Ik snap niet waarom je net doet alsof ik onzin neerzet. Als je dat vermoed bewijs het dan, je draait nu de zaak om. Nogmaals ik geef aan dat Microsoft belang had om die backdoors in te bouwen en daar gewoon transparant over communiceerde. Niets conspiracy, geen evil dit of dat, geen geheimhouding etc, gewoon open en normale business.

Toegang tot eigen systemen betekend niet automatisch mogelijkheid tot inzicht in data. Voorbeeld: als het goed is kun je als bedrijf bij de database met klant wachtwoorden, echter kun je de wachtwoorden zelf niet lezen, deze zijn sterk versleuteld opgeslagen. Dat is conform wetgeving.

Even zo kon je met Groove versleuteld communiceren en data uitwisselen, zonder dat die data door anderen (buiten het gedefineerde groepje) in te zien was. Om dat te behouden, maar toch de data in te kunnen laten zien, is er een backdoor gemaakt. Dit is gewoon gedocumenteerd.

[Reactie gewijzigd door djwice op 22 juli 2024 17:00]

Verwijderd @Verwijderd • 8 augustus 2014 10:10

Een nobele gedachte. Helaas alleen op te lossen door zelf dan een OS, of nog beter, een dedicated systeem voor het uitvoeren van de beoogde taak. De kans dat daarin nieuwe kwetsbaarheden optreden is wellicht echter groter dan gebruik maken van een platform dat al dusdanig breed ingezet wordt dat heel de wereld er bovenop zit om kwetsbaarheden te ontdekken.
Het argument vóór het gebruik van een open source OS zodat je zelf kunt zien wat er gebeurt heeft in het verleden ook al laten zien dat dit geen garantie is op het lang herbergen van kwetsbaarheden. De gemeenschappelijke code van de software en de gebruikte compilers is inmiddels dusdanig complex en simpelweg groot dat ook hier geen doorkomen meer aan is.
Het voordeel wat blijft van open source is dat als je op de hoogte bent van een bepaalde kwetsbaarheid dat het mogelijk is om gericht te zoeken naar de bron van het probleem, waar je bij het in jouw voorbeeld genoemde Windows terug moet vallen op het vertrouwen in de aanbiedende partij, in dit geval Microsoft. Je kunt je daarbij voorstellen dat ook zij er belang bij hebben dat 'de wereld' vertrouwen blijft hebben in hun producten, en dus hun stinkende best zullen doen om dat vertrouwen te houden.

Verwijderd @Verwijderd • 8 augustus 2014 10:23

Open source heeft zeker een nadeel dat 'de vijand' ook de code kan bestuderen en naar kwetsbaarheden kan zoeken. Ook deel ik je mening dat Open Source-producten zoals OpenSSL niet veilig zijn. De code is een rommeltje en als een goed gemotiveerde hacker - al dan niet in dienst van een overheid - daar voldoende tijd aan besteed, is het vinden van exploits zeker geen nihil risico.

Máár..

Als er in propriëtaire producten zoals Windows kwetsbaarheden worden gevonden, worden deze niet altijd bekend gemaakt. De echt ernstige gevallen kunnen onder pet worden gehouden zonder dat de buitenwereld hier weet van heeft. Zo zijn er diverse gevallen waarbij Microsoft vele maanden achtereenvolgend uiterst kritieke bugs niet heeft gepatched, en dit ook niet wereldkundig heeft gemaakt. Bij Open Source is dat vaak anders; of de CVE's worden direct bekend gemaakt of er is een timeout-window waarbij als er binnen x dagen/weken geen oplossing voor gevonden is, de details alsnog worden gepubliceerd.
Buiten de mainstream Open Source producten zijn er ook projecten die specifiek gebouwd zijn om een hoog niveau van bescherming te bieden. Zogenaamde 'hardening' zoals Security Enhanced Linux, hebben een uitgeklede basis waarbij veel meuk is weggelaten en een kleine kern overblijft. Die kleine kern kun je vervolgens blootstellen aan veel peer review, waarbij een grote groep kundige hackers de veiligheid naar een bijzonder hoog niveau kan tillen.
Het dichttimmeren van AIX/BSD/Solaris/Linux kan veel verder gaan dan het dichttimmeren van Windows. Je kunt Windows niet dichttimmeren tot het niveau dat er alleen een mini-kernel + applicatie service draaiend wordt gehouden. Je kunt het wel wat uitkleden, maar dat haalt het bij lange na niet bij de mogelijkheden die je op genoemde platforms wel hebt.

De juiste route is denk ik om zelf als overheid een operating system als derivative te maken, ondersteund door de open source-gemeenschap. Zo kun je je baseren op Linux of BSD en daar een uitgeklede 'hardened' afgeleide van maken die je zelf beheert in samenwerking met de community; die daar ook interesse in zal hebben.

Het voordeel van een dergelijke opzet is dat je niet langer afhankelijk bent van buitenlandse mogendheden, je zaken als achterdeurtjes zo goed als kunt uitsluiten, een dichtgetimmerd OS maakt zonder overbodige services en vooral: je kunt betaalde topfiguren uit de securitywereld aantrekken om een zeer hoog niveau van peer-review los te laten op de overgebleven uitgeklede kern-code.

100% veiligheid bestaat niet, maar er zitten veel gradaties in het niveau van bescherming en ik denk dat bovenstaande aanpak in het allerhoogste gradatie zit van dit spectrum. Een veiliger OS zul je denk ik niet krijgen.

Verwijderd @Verwijderd • 8 augustus 2014 10:52

Ik sluit me aan bij het grootste deel van je informatieve post. Een kleine toelichting is echter op zijn plaats, voor de volledigheid en niet omdat ik zo nodig Microsoft/Windows moet verdedigen:
Microsoft heeft voor specifieke toepassingen Windows Embedded. Deze versie kan net als de omschreven aparte versies van de verschillende Unix-achtige platformen volledig op maat opgebouwd worden, (en worden aangepast aan de gebruikte hardware, waaronder een groot aantal processor-varianten) zodat je alleen die componenten overhoudt die gewenst zijn voor de gestelde toepassing.
Op die manier kun je dus ook op basis van Windows een dedicated security-device bouwen met een minimale attack surface.

KeiFront @Verwijderd • 8 augustus 2014 11:16

Diginotar is hier als publieke Certification Authority zwaar in de fout gegaan (hierover later meer).

Ten eerste een gerupteerde "publieke CA" leverancier gebruikt geen Windows (veel te insecure en is niet volledig dicht te timmeren alhoewel fanboys dit keer op keer blijven beweren) maar Hardware security modules (HSM) dit zijn aparte appliances die draaien op een custom firmware en een custom appliance operating system (er wordt gewerkt met verschillende security partitions, etc). HSM's hebben vaak ook geen verbinding met het interne netwek van de ca leverancier of worden enkel als offline root ca gebruikt.

Als je zelf intern certificaten uitdeeld (dit is heel wat anders dan publieke certiticaten) kan je natuurlijk wel Windows of Linux gebruiken of zelf ook een HSM aanschaffen als je serieus met cetificaten bezig bent, bijvoorbeeld grote bedrijven banken, etc maar dan nog moet je alles netjes afschermen en securen.

Diginotar is zwaar in de fout gegaan wat ik me nog kan herinneren is dat men als "publieke CA" voornamelijk werkte met Windows servers waar geen antivirus op draaide, er was geen intrusion detection, etc voorzien. Men gebruikte eveneens zwakke wachtwoorden, allemaal zaken die als CA leverancier not done zijn. Het vebaast me dan ook niet dat ze zijn veroordeeld voor nalatigheid. Ik heb ook geen idee hoe ze door audits zijn gekomen.

[Reactie gewijzigd door KeiFront op 22 juli 2024 17:00]

synoniem @Verwijderd • 8 augustus 2014 11:46

Ik ben het helemaal met je motivatie eens maar gezien de overblijvende kwetsbaarheden ook in het best beveiligde OS en server zou je met een root CA simpelweg niet fysiek aan welk netwerk dan ook moeten hangen.

rob12424 @Verwijderd • 9 augustus 2014 09:57

correctie: een foute aanname, bij opensource MAG de vijand de code bestuderen. Maar bij beide OSen KAN de vijhand de code bestuderen.

WizX @Verwijderd • 8 augustus 2014 12:35

"Het draaien van een GUI alleen al, betekent dat je nooit dezelfde theoretische bescherming kunt bieden tegen aanvallen"

Sorry, maar vanaf Windows Server 2008 kan je wel degelijk een installatie draaiën zonder GUI. Bij Windows server 2012 is dit verder doorgezet: http://technet.microsoft.com/en-us/library/hh831786.aspx

edit: typo's

[Reactie gewijzigd door WizX op 22 juli 2024 17:00]

The Zep Man

Bedrijfsnieuws

@WizX • 8 augustus 2014 13:15

"Het draaien van een GUI alleen al, betekent dat je nooit dezelfde theoretische bescherming kunt bieden tegen aanvallen"

Sorry, maar vanaf Windows Server 2008 kan je wel degelijk een installatie draaiën zonder GUI. Bij Windows server 2012 is dit verder doorgezet: http://technet.microsoft.com/en-us/library/hh831786.aspx

edit: typo's

Een screenshot van Server Core in 2008 en en een screenshot van Server Core in 2012. Nee, Server Core is niet zonder GUI. Het heeft wel een minimum aan ondersteunende libraries, maar heeft nog steeds een (waarschijnlijk algemene VESA) driver voor de grafische kaart nodig om de grafische interface te tonen.

Gomez12 @Verwijderd • 8 augustus 2014 09:38

Bovendien draaiden ze Windows - voor een dergelijke server die een hoge mate van beveiliging moet bieden mijns inziens not done. Een webserver als Windows kan nog wel, maar voor een certificate authority verwacht ik toch wel AIX of tenminste een zwaar dichtgetimmerde Solaris/BSD/Linux-omgeving.

1990 belde, ze willen hun gedachtengoed terug.

Heden ten dage maakt het helemaal niet meer uit waar je CA op draait, alles is net zo veilig te krijgen (even ervanuit gaande dat je geen windows 3.1 gaat draaien)

latka @Gomez12 • 8 augustus 2014 10:33

AIX is EAL4+ certified, windows EAL4. Dat zijn de 'experts'. Enige veilige CA is er een die zijn private key niet aan het netwerk heeft hangen. Richt een process in waarbij CSRs verzameld worden en op een USB stick gekopieerd worden. Steek deze ieder uur in de CA machine en tekenen de CSRs. Alle andere oplossingen zijn eigenlijk complexer en duurder.

Oh: Windows 3.1 is veiliger dan Windows server of welke Unix dan ook: zat geen native TCP/IP networking in dus is veel lastiger remote te hacken....

[Reactie gewijzigd door latka op 22 juli 2024 17:00]

BRAINLESS01 @Gomez12 • 8 augustus 2014 10:43

Hij heeft natuurlijk wel een punt. Windows is groot, erg groot. Het grootste deel daarvan kun je niet uitschakelen, dus je hebt enorm veel code waar potentieel een bug/ingang in kan zitten. Een uitgeklede Unix is veel kleiner, je hebt dus ook veel minder code waar potentieel een bug/ingang in kan zitten.

Windows is niet per definitie onveilig, maar het is statistisch bijna onmogelijk dat het net zo veilig is als de uitgeklede Unix variant. Dat betekent niet dat Windows makkelijk gehackt zou kunnen worden, maar wel dat er meer mogelijkheden zijn om binnen te komen.

Bonez0r @Gomez12 • 9 augustus 2014 00:14

[...]

1990 belde, ze willen hun gedachtengoed terug.

Oh mijn god! Heb je ze gewaarschuwd?! (linkje)

Blokker_1999

Bedrijfsnieuws

@Verwijderd • 8 augustus 2014 09:57

Beveiliging heeft weinig met het gebruikte OS te maken, maar wel met de maatregelen die je zelf treft. Goede antivirus, goede firewall en een wel doordachte setup zijn belangrijk om het veilig te houden. En dat kan ook perfect met Windows. De tijd dat windows zo lek was als een zeef ligt al weer 10 jaar achter ons.

latka @Blokker_1999 • 8 augustus 2014 10:35

Goede antivirus heb ik nooit begrepen: welke malloot gaat er surfen/software installeren op een CA machine ???

_Peter2_ @latka • 8 augustus 2014 10:54

Niet elk virus vereist surfen / installeren van software.
Vooral als het lucaratief genoeg is kunnen heel vernufige virussen worden geschreven die bijvoorbeeld over netwerk infecteren.

[Reactie gewijzigd door _Peter2_ op 22 juli 2024 17:00]

Joep Lunaar @_Peter2_ • 8 augustus 2014 11:32

Voor een systeem dat uitsluitend tot taak heeft certficaten te tekenen zijn virii geen risico. Een virus scanner voegt dan vooral extra mogelijke kwetsbaarheden toe. Bedenk bijvoorbeeld dat op gezette tijden de database die de scanner gebruikt moet worden bijgewerk: met data van buiten ! Oei oei oei!

Rafe @Verwijderd • 8 augustus 2014 10:08

of een CA voor zoiets belangrijks als DigiID wat alle burgers dient te beschermen, wel genoeg kennis en mogelijkheden heeft om deze taak naar behoren uit te voeren

Om een publieke CA te worden (en blijven) moet je je laten auditen om aan te tonen dat je voldoet aan de nodige standaarden. Kennelijk kwam Diginotar daar doorheen, wat een groen licht betekende voor de ambtenaren, en kon dit toch gebeuren. De regels zijn denk ik wel aangescherpt sindsdien.

Nu kan een auditor niet alles controleren en moeten de medewerkers zelf ook scherp blijven... ergens in hun documentatie zullen ze een password policy hebben gehad die iets anders voorschreef dan overal 'pr0d@dm1n' als admin-wachtwoord te gebruiken.

[Reactie gewijzigd door Rafe op 22 juli 2024 17:00]

Rolfie

@Rafe • 8 augustus 2014 10:14

Dit zijn meestal papieren tijgers. Voornamelijk hoe de processen ingeregeld zijn.
Mijn ervaring is, dat ze nooit naar de techniek kijken, en als ze er al naar kijken, snappen ze er eigenlijk toch niets van.

SuperDre @Verwijderd • 8 augustus 2014 12:50

Wat een dikke onzin zeg. Windows mag dan zo zijn problemen hebben, maar een goed geadministreerde windows is gewoon veilig, in linux etc zitten net zoveel lekken als je de statistieken er op nakijkt (alleen windows is interessanter om te targetten omdat deze veel meer verspreid is)..

Vaak wordt er voor dit soort onderzoeken een extern bureau ingehuurd, want tja, de ambtenaren zelf hebben er natuurlijk geen verstand van. En wat natuurlijk ook mogelijk is, is dat op het moment dat men er gebruik van ging maken de beveiliging wel op orde was (immers was dat meer dan 6 a 7 jaar eerder)...

Bonez0r @SuperDre • 9 augustus 2014 00:24

Het zal best dat beide even veel lekken hebben, maar je kan het aantal lekken verkleinen door het OS uit te kleden. En zoals CiPHER uitlegt lukt dat bij Windows minder goed vanwege o.a. de GUI.

Leroy @Verwijderd • 8 augustus 2014 09:34

Wat een biased en ongefundeerde reactie zeg. Windows is prima geschikt voor veilige omgevingen en is net zo goed te hardenen als andere operating systems.

Verwijderd @Leroy • 8 augustus 2014 10:18

Ik deel deze mening niet. Hoe kan closed source proprietary software bijdragen aan veiligheid als er een kostenplaatje aanhangt per safety feature? Ook is er geen enkele vorm van druk om security issues als dringend te behandelen behalve als het publiek bekend word.

Daarnaast ben je altijd afhankelijk bent van een 3e partij om zijn zaakjes goed voor elkaar te hebben (Zoals Diginotar.)

Buiten dat, Windows is het meest populaire OS en heeft daardoor de grootste attack surface.
Het is gewoon een onlogische keuze imho, zeker voor een partij die CA is. Je kiest dan
voor een technisch veiligere omgeving, waarbij je dit transparant (lees source) onder controle
hebt.

i-chat @Verwijderd • 8 augustus 2014 13:19

dat hele atack surface is een non-argument want als iets maar belangrijk genoeg is wordt er echt wel opgehackt, de naaktfoto's op de laptop van sara, zullen hooguit interesant zijn voor een scriptkiddy van 16 en zijn vriendjes. de systemen van diginotar voor elke russische hacker met plannen om id-fraude te plegen.

een veel groter probleem is dat het hele windels ecosysteem van oudsher gebaseerd is om features te bieden, en niet zozeer om veilig te zijn, het hele next > next > next > finish verhaal laat dat prima zien.

en dan kom je bij het hele punt, een root CA beheren kan met it personeel van 5euo per uur en het zal werken, maar zodra je capabel personeel gaat inhuren maakt het geen zak meer uit of je windows of linux draait, echte it-professionals kosten een duit of wat. en dan zou ik ze liever niet binden aan een systeem waarbij ze als het op bugfixes aan komt niet gebonden zijn aan patch-tuesday.

Verwijderd @i-chat • 11 augustus 2014 10:18

een veel groter probleem is dat het hele windels ecosysteem van oudsher gebaseerd is om features te bieden, en niet zozeer om veilig te zijn

Dat was misschien nog met windows voor NT maar sinds de NT kernel is er juist heel veel gedaan aan veiligheid.
Zo bevat windows NT kernel en veel geavanceerder security mechanisme dan Linux dat is gebaseerd op VMS en heeft windows een hybride kernel wat een scheiding mogelijk maakt tussen essentielere delen van de kernel en minder essentiele delen.

Daarmee wil ik niet zeggen dat windows veiliger is maar het basis ontwerp van windows sinds de invoering van de NT kernel is veel geavanceerder en biedt juist wel voldoende mogelijkheden voor een veilige implementatie.

BoringDay @Verwijderd • 8 augustus 2014 23:32

Wat is het verschil tussen dichtgetimmerde windows en dichtgetimmerde niet-windows systeem?
Als mijn poortje X onder windows of linux open staat maakt het weinig verschil uit.

Ik zie niet in wat de overheid te verwijten valt? Moeten ze 24 uur monitoren of iemand even snel tussen alle haast een wachtwoord in een bestandje opslaat? Je kent het vast wel als je het extreem druk hebt ... vlug vlug vlug.

tinzarian 8 augustus 2014 09:27

Dat de oud-eigenaren moeten betalen, komt niet zozeer omdat de rechtbank de verantwoordelijkheid bij hen legt. Beide bedrijven hadden in de koopovereenkomst vastgelegd dat als zou blijken dat het Nederlandse bedrijf de beveiliging niet op orde had, Diginotar zelf aansprakelijk zou zijn.

Ik snap dit niet. Als dit was overeengekomen, dan wisten de kopers toch dat ze daarmee dit risico liepen, en de rechtank legt dus kennelijk ook de verantwoordelijkheid niet bij de oude eigenaren? Waarom moeten die dan wel betalen?
Het lijkt mij terecht, daar niet van, maar dit stukje is onbegrijpelijk.

Ienni1983 @tinzarian • 8 augustus 2014 09:41

Dat ze moeten betalen komt niet door het feit dat de rechtbank de verantwoordelijkheid bij hen legt, Maar omdat de twee bedrijven dat afgesproken hebben in het contract van overname.

En dan moeten ze voor de schade betalen die aangericht is.

tinzarian @Ienni1983 • 8 augustus 2014 10:24

Maar zoals het in het artikel staat, ligt die verantwoordelijkheid niet bij hen (die oud eigenaren), maar bij Diginotar, en gaat het dus mee naar de nieuwe eigenaren.

Ienni1983 @tinzarian • 8 augustus 2014 10:55

Ondanks het feit dat DigiNotar al in 2009 door het bedrijf IT-Sec op tekortkomingen in de beveiliging van haar netwerk was gewezen, heeft zij nagelaten verbeteringen door te voeren, vindt de rechtbank.

Dit staat in het Emerce stukje in de tekst.

Bonez0r @tinzarian • 9 augustus 2014 00:43

In de link in het artikel staat de uitspraak van de rechtbank:

In deze zaak is de vraag aan de orde of de verkoper van de aandelen in DigiNotar alle redelijke stappen heeft gezet en alle redelijke procedures heeft geïmplementeerd om de systemen van DigiNotar te beveiligen ten einde een hack als zich in de zomer van 2011 heeft voorgedaan te voorkomen (zoals gegarandeerd in de koopovereenkomst aandelen). De rechtbank oordeelt dat sprake is van garantieschendingen en dat de verkoper de schade die de koper hierdoor lijdt, moet vergoeden. De schade bestaat ten minste uit de koopprijs van de aandelen.

Dus omdat de oude eigenaren nalatig zijn geweest, kunnen ze nu wel persoonlijk aansprakelijk gesteld worden (en moeten ze dus de schadevergoeding betalen). Dat was een afspraak die in de koopovereenkomst stond, nogal dom dus van de oude eigenaren. Waren ze niet nalatig geweest, dan was—ondanks een hack—Diginotar aansprakelijk geweest.

[Reactie gewijzigd door Bonez0r op 22 juli 2024 17:00]

Gomez12 @tinzarian • 8 augustus 2014 09:41

Ok, je hebt als directeur in je contract staan dat je alle kosten betaald die voortkomen uit nalatige beveiliging.
Er komt een hack.
Dan ga jij niet direct een random getal verzonnen door de nieuwe eigenaar overhandigen omdat het in je contract staat, dan gooi je die regels uit je contract voor de rechter zodat die kan bepalen wat de kosten zijn die je moet gaan betalen.

Het is heel moeilijk om hoogtes van schadevergoedingen etc te gaan bepalen, dat laat je het liefste over aan de rechtbank.

.oisyn Moderator Devschuur® @Gomez12 • 8 augustus 2014 12:47

Jij interpreteert dat stukje uit het artikel heel anders dan tinzarian en ik, en daar ligt misschien ook wel de crux. Zoals ik lees is het Diginotar die aansprakelijk is, dat is een rechtspersoon. Op het moment dat de overname heeft voltrokken, werken de oud-eigenaren dus niet meer voor het bedrijf. Ze kunnen, volgens het contract, dus op geen enkele manier aansprakelijk gesteld worden voor de schade. Nou ja, dat kan natuurlijk wel, als de rechter het euvel erg genoeg vind om die clausule uit het contract te schrappen, maar het staat hier zowat expliciet bij dat dat niet gebeurd is. Als de rechter erin meegaat dat de oud-eigenaren niet verantwoordelijk gehouden kunnen worden, waarom moeten ze dan alsnog betalen?

i-chat @.oisyn • 8 augustus 2014 13:31

ik vind het een beetje onduidelijk geschreven door tweakers.net

ik vraag me af wat ze met die zin bedoelen waarin staat dat diginotar verantwoordelijk als blijkt dat de boel onveilig is... bedoelen ze daar nu het oude bedrijf van voor de verkoop voor, of is diginotar als rechtspersoon blijven bestaan daardoor je gewoon gelijk hebt..

ik kan me zo voorstellen dat hier duidelijk sprake was van onbehoorlijk bestuur en dan gaan dit soort bepalingen bijna altijd in de prullenbak maar dat staat dan weer niet in het artiekel.

gooddaddy 8 augustus 2014 09:24

Ik denk dat dit goed te doen is met een windwos server hoor. Elke server is tenslotte zo veilig als dat de de gebruiker hem geconfigureerd heeft. Je moet dus gewoon weten wat je doe, en dat deden ze blijkbaar niet

sKweezr 8 augustus 2014 09:23

Toch mag de meeste verantwoordelijkheid voor de gevolgen van de hack bij de Nederlandse overheid gelegd worden; [...] Ik stel dan ook vraagtekens bij de competentie van de ambtenaren die DigiNotar (Digitale Notaris) hebben uitgekozen voor deze zeer belangrijke dienstverlening.

Wordt het niet eens tijd om vraagtekens te zetten niet zozeer bij de competentie maar bij de drijfveren van die ambtenaren? En die van de overheid?

Joep Lunaar @sKweezr • 8 augustus 2014 11:44

Neen. Zoek geen kwaadaardige verklaring wanneer één zonder, in dit geval stupiditeit, ook kan voldoen.

Even breder: dat men van MS Windows accepteert dat het, veelal taalkundig onzinnige, foutmeldingen geeft, te kust en te keur, en die met de beste wil voor een gewone gebruiker abracadabra zijn, vind ik ongelooflijk stupide. Waarom? Omdat een automobilist ook niet zou accepteren als het pedaal de ene keer rechts zit, dan links, soms accelereert, soms niet en waarschuwingslampjes soms aangaan als je eerst de achterklep sluit en dan pas een voorportier.

Onzin? Nee niet helemaal. De Windows kernel mag in orde zijn, maar ter illustratie, van de commando's die op de commandoregel (CMD.EXE) kunnen worden aangeroepen geven vele geen behoorlijke en reguliere foutcode af, bijvoorbeeld het CD commando. Bizar.

SuperDre @Joep Lunaar • 8 augustus 2014 12:52

Even breder: dat men van MS Windows accepteert dat het, veelal taalkundig onzinnige, foutmeldingen geeft, te kust en te keur, en die met de beste wil voor een gewone gebruiker abracadabra zijn, vind ik ongelooflijk stupide.

Tja, je doet net alsof dat iets is van Windows, maaruh, dat heeft ELK os, linux bv geeft meer dan eens ook foutmeldingen waar je niets mee kunt..

_Thanatos_ 8 augustus 2014 14:11

Blijft toch apart. Ze zijn slachtoffer van een hack, en nu moeten ze een boete betalen?

Het motiveert iemand niet echt om een certificate authority in NL te starten op deze manier.

wildhagen

Bedrijfsnieuws

@_Thanatos_ • 8 augustus 2014 16:37

Blijft toch apart. Ze zijn slachtoffer van een hack, en nu moeten ze een boete betalen?

Niks raars aan. De boete is niet omdat ze gehacked zijn, maar vanwege nalatigheid, door het draaien van verouderde (en kwetsbare) versies van software en een slecht wachtwoordbeleid, waardoor het hackers wel érg gemakkelijk gemaakt werd. Dát is waar ze voor veroordeeld zijn, niet voor de hack zelf.

LEX63 9 augustus 2014 11:08

Die hebben al het geld al verbrast.

Tja het bedrijf kon ook niet voorspellen dat het systeem door een Iraanse hacker zou worden gehackt.

Wie weet heeft Vasco deze Iraanse hacker de opdracht hiervoor wel gegeven en onder tafel een dikke envelop gegeven?

Eerst maar eens glasharde bewijzen.

Dat kunnen nog leuke rechtszaken gaan worden.
Ik weer wel zeker dat DigiNotar in hoger beroep gaat en de beste advocaten en de arm neemt.

Lex

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: