image

DigiNotar bevestigt aanval op SSL-infrastructuur

dinsdag 30 augustus 2011, 15:12 door Redactie, 19 reacties

De Nederlandse SSL-leverancier DigiNotar is door onbekenden gehackt, zo heeft het zelf in een verklaring laten weten. Het bedrijf gaf onlangs een SSL-certificaat voor alle *.Google.com domeinen uit. Dat certificaat werd vervolgens gebruikt voor het afluisteren van Iraanse Gmail-gebruikers. Sommige experts dachten dat DigiNotar de certificaten zelf had uitgegeven, maar nu blijkt het om een aanval te gaan.

Op 19 juli detecteerde DigiNotar een aanval op de eigen Certificate Authority (CA) infrastructuur, waarbij er "public key certificaten" voor een aantal domeinen werden aangevraagd, waaronder Google.com.

Certificaat
Toen het de aanval detecteerde, zou het Nederlandse bedrijf "in overeenstemming met alle relevante regels en procedures" hebben gehandeld. Op dat moment werd er aan de hand van een externe audit bepaald dat alle uitgegeven certificaten weer waren ingetrokken. Onlangs werd ontdekt dat tenminste één frauduleus certificaat nog niet was ingetrokken.

Nadat DigiNotar door overheidsinstantie GovCERT was ingelicht, werd ook dit certificaat ingetrokken. Het bedrijf laat niet weten of deze aanval iets met de eerdere hacks van de DigiNotar portal te maken hebben.

Oplossing
Volgens DigiNotar was de aanval alleen gericht op de Certificate Authority infrastructuur voor het uitgeven van SSL en EVSSL-certificaten. "Geen andere soorten certificaten zijn uitgegeven of gecompromitteerd." De aanval had dan ook geen gevolgen voor PKIOverheid. Vanwege de aanval wordt de verkoop van SSL en EVSSL-certificaten tijdelijk stopgezet. Pas na een uitgebreide security audit zal het de verkoop weer hervatten.

In de tussentijd werkt het bedrijf aan een oplossing voor bestaande klanten, die mogelijk in problemen komen doordat Mozilla, Google en Microsoft DigiNotar uit hun browsers verwijderen. Bij het bezoeken van websites met een door DigiNotar uitgegeven SSL-certificaat, waaronder DigiD.nl, krijgt men dan een waarschuwing. De kosten van deze oplossing zijn volgens de SSL-uitgever "minimaal".

VASCO, het bedrijf dat vorig jaar DigiNotar overnam, verwacht niet dat het beveiligingsincident grote gevolgen op het bedrijf of de omzet zal hebben.

Reacties (19)
30-08-2011, 15:22 door Anoniem
Right, en ik ben de koning van China. Dat gelooft toch geen hond dat ze 'ineens' gehackt zouden zijn? Of is dit weer het nieuwe excuus. Je verprutst een aantal zaken maar dat heb je zelf niet gedaan want je bent gehackt. Sukkels zijn het bij Diginotar en de overheid zou in ieder geval geen overheidscertificaten meer van deze prutsers mogen afnemen..
30-08-2011, 15:34 door Anoniem
De Third Trusted Party welke de communicatie met de belangrijkste websites van onze overheid authenticeert (nodig voor de beveiliging) wordt niet meer door de grote webbrowsers vertrouwd.
Veel pijnlijker dan dit is nauwelijk denkbaar!

Joep Lunaar
30-08-2011, 15:42 door martijno
[admin] Bedankt, het is aangepast [/admin]
30-08-2011, 15:59 door Anoniem
VASCO does not expect that the DigiNotar security incident will have a significant impact on the company’s future revenue or business plans.
Kijk, dat is fijn. VASCO voorspelt vast vanuit dat alle klanten loyaal zijn en er niet van uitgaan dat dit ook wel eens van invloed op andere PKI-omgevingen kan zijn.
30-08-2011, 16:13 door Anoniem
Op dat moment werd er aan de hand van een externe audit bepaald dat alle uitgegeven certificaten weer waren ingetrokken. Onlangs werd ontdekt dat tenminste één frauduleus certificaat nog niet was ingetrokken.

Ja hoor. Goede smoes, maar ik zou er niet intrappen. Als ze er eentje zijn vergeten, is de kans groot dat ze er meer zijn vergeten.

Peter
30-08-2011, 16:15 door Anoniem
Ben wel benieuwd naar het verhaal van de externe auditor over het gemiste certificaat.
30-08-2011, 16:28 door Anoniem
In de tussentijd werkt het bedrijf aan een oplossing voor bestaande klanten, die mogelijk in problemen komen doordat Mozilla, Google en Microsoft DigiNotar uit hun browsers verwijderen.

Gewoon de certificaten van klanten gratis vervangen door certificaten van DigiNotar PKIoverheid! :-)

Nieuwe intermediate CA aanmaken en voila, probleem opgelost! De Staat der Nederlanden werkt wel mee, toch?
30-08-2011, 16:46 door musiman
Ik vind het gewoon ronduit schandalig dat een CA van de hoogste orde een Hack aanval VERZWIJGT en pas wanneer het mis gaat zegt: oh ja, we waren 19 juli gehackt maar hebben toen maatregelen genomen; die bleken echter niet voldoende.

Nou, mooi is dat. De hoogste boom in de vertrouwens-infrastructuur (ook wel PKI genoemd) moet toch 100% te vertrouwen zijn? Wanneer daar ook maar IETS verdachts gebeurt, moet dat toch direct wereldkundig gemaakt worden? Hoe kunnen wij, klanten van Diginotar (ja dat zijn wij Nederlanders allemaal), dit bedrijf nog vertrouwen? Een volgende keer gaan ze zo weer dingen verzwijgen en net doen alsof zij een goed te vertrouwen bedrijf zijn.
30-08-2011, 17:34 door _Peterr
Mijn vertrouwen in Diginotar was al niet hoog na die foutieve revocatie van DigiD certificaat in maart 2010 en nu dit....
Vraag me werkelijk af waarom de overheid nog zaken met ze doen.

Bij mij is 1+1=2 en er kan maar 1 kant op met Diginotar. Vertrouwen in Diginotar is weg en als jullie verstandig zijn ontbinden jullie de contracten en revoken het CA certificaat van Diginotar. Dit geeft veel te veel schade aan het PKI-overheid systeem.

(zie ook http://www.ictloket.nl/2010/03/25/digid-plat-door-ingetrokken-certificaat/)
30-08-2011, 17:39 door Night
100% eens met musiman.

CA=vertrouwen. Diginotar wekt geen vertrouwen en zeker niet door deze uitlatingen.

Hoe kunnen ze nu beweren dat het schrappen van hun root CA uit de major browsers een trivialitiet is die voor een prikje verholpen kan worden. Als ze op dezelfde voet met een andere of nieuwe CA verder gaan ligt die binnen no time ook uit de browsers.
Bagatelliseren werkt averechts.
30-08-2011, 17:56 door [Account Verwijderd]
[Verwijderd]
30-08-2011, 19:00 door sjonniev
Door musiman: Ik vind het gewoon ronduit schandalig dat een CA van de hoogste orde een Hack aanval VERZWIJGT en pas wanneer het mis gaat zegt: oh ja, we waren 19 juli gehackt maar hebben toen maatregelen genomen; die bleken echter niet voldoende.

Bij klachten over de Nederlandse wetgeving en het tekortschieten daarvan wende men zich tot de dichtsbijzijnde parlementariër...
30-08-2011, 20:23 door root
Net als altijd is het nu belangrijk, maar hoor je er straks niemand meer over en is alles weer goed.

Oja, en hoeveel mensen rijden er al met een gehackte ov chipkaart?
30-08-2011, 22:58 door Bert de Beveiliger
Door Anoniem:
In de tussentijd werkt het bedrijf aan een oplossing voor bestaande klanten, die mogelijk in problemen komen doordat Mozilla, Google en Microsoft DigiNotar uit hun browsers verwijderen.

Gewoon de certificaten van klanten gratis vervangen door certificaten van DigiNotar PKIoverheid! :-)

Nieuwe intermediate CA aanmaken en voila, probleem opgelost! De Staat der Nederlanden werkt wel mee, toch?

Lolbroek. En verdorie nog aan toe - er is een mail rondgegaan aan de klanten dat ze PKIoverheid certs krijgen, het zal toch niet waar zijn zeg.
30-08-2011, 23:36 door Anoniem
Door AlexK:
Door Anoniem:
In de tussentijd werkt het bedrijf aan een oplossing voor bestaande klanten, die mogelijk in problemen komen doordat Mozilla, Google en Microsoft DigiNotar uit hun browsers verwijderen.

Gewoon de certificaten van klanten gratis vervangen door certificaten van DigiNotar PKIoverheid! :-)

Nieuwe intermediate CA aanmaken en voila, probleem opgelost! De Staat der Nederlanden werkt wel mee, toch?

Lolbroek. En verdorie nog aan toe - er is een mail rondgegaan aan de klanten dat ze PKIoverheid certs krijgen, het zal toch niet waar zijn zeg.

Dat komt denk ik omdat dat root certificaat niet gerevoked wordt. Kijk maar naar de Chain of Authority van het diginotar cert... Die zijn anders dan die van bijvoorbeeld het Roljournaal.. wiens root cert wel gerevoked wordt.
31-08-2011, 09:07 door Anoniem
deze organisatie heeft het vertrouwen onherstelbaar beschadigd. Het zou stom zijn om deze organisatie nog als "trusted" partner te zien.

Helaas DigiNotar, 't lijkt me dat jullie worden bedankt door onze overheid.

Altijd sneu voor de ondernemer en zijnw erknemers zo'n verhaal. Maar het laat de overheid geen andere keuze.
Heel veel suc6 met je overige klanten.
31-08-2011, 09:25 door Ed_Emmer
PKIOverheid is van Getronics en heeft niets met Diginotar te maken. Anyway, het lijkt mij einde verhaal voor Diginotar. Gehacked of niet, in beide gevallen blijft het een doodzonde.
31-08-2011, 10:13 door Anoniem
Door Ed_Emmer: PKIOverheid is van Getronics en heeft niets met Diginotar te maken. Anyway, het lijkt mij einde verhaal voor Diginotar. Gehacked of niet, in beide gevallen blijft het een doodzonde.

Oh, en waar haal je vandaan dat PKIOverheid van Getronics is? Het stam certificaat valt onder verantwoordelijkheid van de nederlandse overheid. Verder zijn er een aantal CSP's die de certificaten uitgeven/verkopen. Dit zijn onder andere Getronics en Diginotar, maar er zijn er meer. Getronics is dus absoluut geen eigenaar...

Bron: http://www.logius.nl/producten/toegang/pkioverheid/productinformatie/over-pkioverheid/
Bron: http://www.logius.nl/producten/toegang/pkioverheid/aansluiten/toegetreden-csps/
31-08-2011, 16:34 door Anoniem
DigiD/Diginotar is duidelijk CDA Vriendjespolitiek !!

Directeur/ eigenaar van Diginotar is Tony de Bos en hij is ook Bestuursvoorzitter CDA Zuid-Holland (zie www.cdazh.nl) en is lid landelijk bestuur CDA. Zijn opdrachtgever voor Digid is Minister Donner ook van het CDA. Wat toevallig he !! Tony de Bos was al eerder door Donner op de vingers getikt (zo onder vrienden), maar was niet naar buiten gebracht. Dus zo gaat het CDA om met onze belastinggeld.
Vriendjespolitiek en volksvertegenwoordiging gaat echt niet samen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.