Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Joost Schellevis

Redacteur

2011: alles is te hacken

De overheid en DigiNotar

Ook overheden zijn niet gevrijwaard van beveiligingsproblemen. Zo waren vijftig gemeentesites nauwelijks beveiligd, sloot de Europese Unie externe toegang tot systemen af na een hack, drongen hackers Canadese overheidscomputers binnen, probeerden aanvallers Franse overheidsdocumenten te ontfutselen en liet de overheid van Texas de privégegevens van 3,5 miljoen burgers uitlekken. En dat zijn nog maar enkele van de beveiligingsproblemen die überhaupt in de openbaarheid zijn gekomen.

DigiNotar

Het grootse beveiligingsprobleem voor de Nederlandse overheid was dit jaar de kwestie DigiNotar. Het Beverwijkse bedrijf DigiNotar leverde certificaten, om bijvoorbeeld websites te beveiligen en voor vertrouwelijke communicatie tussen overheden onderling en tussen overheden en bedrijven.

DiginotarVan een bedrijf dat een cruciaal onderdeel van de beveiliging van websites en vertrouwelijke communicatie levert, zou je verwachten dat het zijn systemen goed beveiligt.

Niets bleek minder waar. Eind augustus verschenen berichten in de media over een ssl-certificaat dat door DigiNotar zou zijn uitgereikt en in Iran werd misbruikt om verkeer van en naar de Gmail-servers te onderscheppen. Al vrij snel bleek dat dat kwam door een beveiligingsprobleem bij de ssl-boer.

DigiNotar ontdekte het beveiligingsprobleem al in juli, maar stelde niemand, ook browsermakers niet, op de hoogte. De morgen nadat het frauduleuze Gmail-certificaat werd ontdekt, kondigden Microsoft, Google en Mozilla aan de root-key van DigiNotar te verwijderen, zodat door DigiNotar uitgegeven certificaten ongeldig werden. De bedrijven vertrouwen DigiNotar niet meer.

Uiteindelijk stelde Microsoft een update die DigiNotar-certificaten zou blokkeren uit, op verzoek van de Nederlandse regering. Die was bang dat het blokkeren van de certificaten voor grote ict-problemen zou zorgen, omdat de infrastructuur van de overheid zo zwaar op die certificaten leunde. Ook vertrouwde Firefox DigiNotar-certificaten korte tijd alsnog, op verzoek van de overheid.

DigiNotar probeerde de ernst van de zaak aanvankelijk te bagatelliseren. Zo stelde woordvoerder Jochem Binst van Vasco Security, eigenaar van DigiNotar, dat er geen gevolgen zouden zijn voor de overheidscertificaten die het bedrijf leverde. Die waren immers niet getroffen, stelde Binst - die op dat moment ook nog niet wist hoe het kwam dat er een vals certificaat was uitgegeven. Dat was op zijn minst voorbarig en in het ergste geval een leugen. Er bleek van alles mis met de beveiliging bij DigiNotar en ook van de overheidscertificaten kon niet meer worden gegarandeerd dat ze veilig waren, waarop het kabinet het vertrouwen in het bedrijf opzegde.

De DigiNotar-affaire was een van de grootste beveiligingsblunders van de afgelopen jaren. Hackers bleken meer dan 500 certificaten te hebben vervalst. Bovendien bleek een deel daarvan uitgegeven nadat DigiNotar de hack ontdekte - het bedrijf was er dus niet in geslaagd om de problemen te bedwingen. Het is nog onduidelijk wie achter de hack vanDigiNotar zat, maar er zijn aanwijzingen dat deze uit Iran kwam.

Niet de enige

ComodoDigiNotar is inmiddels failliet verklaard. Dat het niet zo had hoeven lopen, bewijst Comodo. Dat bedrijf kampte dit jaar met een hack waarbij negen frauduleuze certificaten werden gegenereerd. In tegenstelling tot DigiNotar, stelde Comodo het publiek en de makers van browsers en besturingssystemen op de hoogte, zodat erger werd voorkomen. Bovendien slaagde Comodo er voor zover bekend wél in om de beveiligingsproblemen te bedwingen. Later kampte een reseller van Comodo overigens ook met een hack, maar daarbij werden geen certificaten buitgemaakt.

Ook KPN kampte dit jaar met een certificaatprobleem: het bedrijf haalde een website van zijn dochteronderneming Gemnet offline. Deze site, waarop overigens niet rechtstreeks certificaten konden worden aangevraagd, bleek te hacken. Een maand eerder staakte het bedrijf nog de uitgifte van certificaten bij het voormalige Getronics, nadat er 'verdachte' sporen werden aangetroffen. Er bleek echter geen sprake van misbruik.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True