image

Nederlandse DigiNotar door Iraanse hackers gehackt

dinsdag 30 augustus 2011, 12:22 door Redactie, 13 reacties

Verschillende hackers hebben de afgelopen jaren meerdere keren de portal van het Nederlandse DigiNotar gehackt, maar of deze aanvallen ook verband houden met de recente SSL-blunder is onbekend. DigiNotar gaf onlangs een SSL-certificaat uit voor alle *.Google.com domeinen. Daarmee werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Hoe de hackers bij het Nederlandse bedrijf wisten binnen te dringen is onbekend. De aanvallers lieten wel twee meldingen achter, die op het moment van schrijven nog online stonden.

Deze meldingen zijn echter al jaren oud, aldus het Finse F-Secure. Een andere melding van Turkse hackers zou al uit 2009 stammen. "Deze hacks zijn zo oud, dat het waarschijnlijk niets met het huidige probleem te maken heeft, althans, dat hopen we", zegt Mikko Hypponen. Eerder liet hij nog weten: "Deze kleine Nederlandse SSL-winkel moet waarschijnlijk zo trots zijn geweest toen Google besloot hun SSL-certificaat bij hen te vernieuwen."

DigiD
Inmiddels hebben zowel Microsoft als Mozilla aangegeven dat ze DigiNotar uit de browsers zullen verwijderen. DigiNotar heeft echter ook het SSL-certificaat voor DigiD.nl uitgegeven, en volgens berichten zouden bepaalde testversies van Firefox niet meer met DigiD werken. "Heb de nieuwe build getest, zowel DigiNotar als DigiNotar PKIoverheid CA Overheid en Bedrijven worden niet meer vertrouwd", aldus Paul van Brouwershaven van Networking4all, die ook onderstaande screenshot maakte.

Een aantal maanden geleden wist een Iraanse hacker ook bij SSL-uitgever Comodo een vals certificaat aan te vragen. Deze SSL-leverancier mocht toen in de browser blijven. Volgens Hypponen komt dit omdat Comodo veel groter dan DigiNotar is.


Update 12:35: DigiD screenshot en link Mozilla bugtracker toegevoegd

Reacties (13)
30-08-2011, 12:40 door Anoniem
DigiNotar is sowieso erg amateuristisch. Hopelijk gaan ze snel failliet!
30-08-2011, 13:10 door Night
Dat fat.txt stamt al uit 2009? Meerdere hacks en pas vandaag na alle ophef worden de bestanden verwijderd?

Het belangrijkste woord in heel de Certificate Autority business is Trust.
Ze hebben heel wat te uit te leggen bij diginotar.
30-08-2011, 13:21 door [Account Verwijderd]
[Verwijderd]
30-08-2011, 13:51 door tuxick
Ik heb toch al niet veel vertrouwen in een security gerelateerd bedrijf dat IIS gebruikt :)
30-08-2011, 14:39 door Anoniem
Ook een verhelderende uitleg van een student: http://phedny.wordpress.com/2011/08/30/is-digid-aangevallen-door-iran-en-wie-is-diginotar/
30-08-2011, 14:40 door SecuLay
Heeft Vasco toch nog een behoorlijke kat in de zak gekocht.... 10 mln voor een paar blaatapen.
30-08-2011, 17:02 door Anoniem
maar welke idioot heeft de server met de key om de certificaten te signen online in het netwerk hangen? die moet toch offline staan?
30-08-2011, 17:54 door Anoniem
Kan iemand hier uitleggen hoe dat SSL en certificaten werkt? Hoe worden Iraanse Gmail gebruikers nou afgeluisterd?
30-08-2011, 18:57 door sjonniev
Wie zegt dat de problemen niet zijn veroorzaakt door het "stroomlijnen" van allerlei "commerciëel gedoe" door een Amerikaans "moeder"-bedrijf. Ik speculeer maar wat.

Zoals te doen gebruikelijk wordt er door Mozilla, Google en Microsoft met 2 maten gemeten, en mag de gecompromitteerde certificatenboer Comodo gewoon in de stores blijven. Hoeveel zou dat gekost hebben?
30-08-2011, 21:57 door Anoniem
Door sjonniev: Zoals te doen gebruikelijk wordt er door Mozilla, Google en Microsoft met 2 maten gemeten, en mag de gecompromitteerde certificatenboer Comodo gewoon in de stores blijven. Hoeveel zou dat gekost hebben?

Bij Comodo was een reseller gecompromiteerd. Ook in dit geval wordt niet de CA van de Staat der Nederlanden eruit gegooid, waar DigiNotar een "reseller" van is. Als de root zelf gecomrpomiteerd is, kun je niets anders doen dan die CA eruit gooien. Bij resellers is dat anders.

Peter
30-08-2011, 23:36 door hans2009
Hoezo "Iraanse" hackers? Omdat er Iraanse GMail gebruikers zijn afgeluisterd? Lijkt mij meer dat het hackers uit de USSA of Israel zijn geweest.
31-08-2011, 14:55 door Anoniem
DigiD/Diginotar is duidelijk vriendjespolitiek !!

Directeur/ eigenaar van Diginotar is Tony de Bos en hij is ook Bestuursvoorzitter CDA Zuid-Holland (zie www.cdazh.nl) en is lid landelijk bestuur CDA. Zijn opdrachtgever voor Digid is Minister Donner ook van het CDA. Wat toevallig he !! Tony de Bos was al eerder door Donner op de vingers getikt, maar was niet naar buiten gebracht. Dus zo gaat het CDA om met onze belastingsgeld.
Vriendjespolitiek en volksvertegenwoordiging gaat echt niet samen!!
02-09-2011, 12:24 door Anoniem
[quote Ook in dit geval wordt niet de CA van de Staat der Nederlanden eruit gegooid, waar DigiNotar een "reseller" van is. Als de root zelf gecomrpomiteerd is, kun je niets anders doen dan die CA eruit gooien. Bij resellers is dat anders.
Peter[/quote]
Dan mis je het punt toch wel erg: het is goed mogelijk dat het root certificaat Staat der Nederlanden is gemaakt in de PKI straat van DigiNotar. Als blijkt dat dat het geval is, is er wel een - heel erg groot - probleem.. Hrt gaat dan niet meer om de cryptografische zuiverheid maar om de infrastructuur.
Een gecompromitteerde infrastructuur is vele malen erger.
De staat heeft overigens op diverse plaatsen eigen PKI straten en ook nog onder eigen beheer, maar deze voldoen niet aan de eisen die worden gesteld aan openbare certificaten. Als het rootcertificaat NIET is gegenereerd in de PKI straat van DigiNotar is er inderdaad wat minder aan de hand.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.