image

"Nederlandse overheid moet DigiNotar dumpen"

donderdag 1 september 2011, 08:23 door Redactie, 15 reacties

De Nederlandse overheid moet het voorbeeld van Microsoft, Mozilla en Google volgen door DigiNotar uit de PKI-keten te verbannen. Dat zegt de Nederlandse senior virusonderzoeker Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab. Door een aanval op DigiNotar wisten aanvallers frauduleuze certificaten uit te geven, waarmee de verbindingen van gebruikers zijn af te luisteren. Op dit moment is alleen officieel bekend dat het om een certificaat van *.google.com gaat, dat gebruikt werd om Iraanse Gmail-gebruikers af te luisteren.

Volgens berichten zouden ook Yahoo.com, mozilla.org, torproject.org, wordpress.org en het Iraanse blogplatform Baladin zijn getroffen. Schouwenberg zou graag zien dat DigiNotar een lijst vrijgeeft met de getroffen domeinen. "Ervan uitgaande dat deze domeinen inderdaad zijn aangevallen, dan is de meest aannemelijke verklaring dat een specifieke overheid achter de aanval zit."

De virusbestrijder noemt het ook zorgelijk dat DigiNotar eerst beweerde dat een tiental valse certificaten waren gegenereerd, terwijl gisteren bekend werd dat het om 247 certificaten ging. "Dit is een behoorlijk verdachte bewering, omdat Google op hetzelfde moment meer dan 200 valse certificaten blokkeerde. Iets klopt er niet."

Verbannen
Wat de situatie nog erger maakt, is dat DigiNotar volgens Schouwenberg niet in staat is om te zien welke frauduleuze certificaten gegenereerd zijn. "Dus er kunnen nog meer van deze valse certificaten in omloop zijn." Dat is volgens de Nederlander alleen mogelijk omdat DigiNotar het genereren van certificaten niet logt, of dat de logs tijdens de aanval zijn verwijderd. "Elk antwoord is slecht en geen van beide is het vertrouwen waard dat we in certificate authorities moeten plaatsen."

De reactie van DigiNotar heeft Schouwenberg nog bezorgder gemaakt over de impact van de aanval. "Het lijkt me dat DigiNotar niet beseft dat certificate authorities boven alles vertrouwen moeten verkopen. De browsermakers hebben gereageerd door DigiNotar uit de PKI-keten te verbannen. Het is tijd dat de Nederlandse overheid hetzelfde doet."

Reacties (15)
01-09-2011, 08:38 door Anoniem
Buiten nog dat het vertrouwen ernstig geschaad is. We leren de gebruikers al jaren dat ze goed moeten controleren naar welke url ze gaan en of het slotje van de https pagina dicht zit en dat ze bij een foutmelding over het certificaat vooral niet verder moeten gaan. Dat ligt nu wel een beetje ter discussie want welk certificaat is nog veilig?
Onderzoek zal dat moeten uitwijzen maar ik zou zeggen better safe then sorry en alle Diginotar certificaten inclusief de PKI Overheid certificaten verwijderen en door een andere CA opnieuw laten maken. Kost misschien wel een lieve duit maar er valt, zeker voor de overheid, wel het één en ander te verliezen. Mocht achteraf blijken dat het een overdreven actie was dan is het jammer van de moeite en het geld maar als je niets doet en er gebeuren zaken dan heb je wel iets uit te leggen.
01-09-2011, 09:23 door Anoniem
Mee eens. Het feit dat ze geen full disclosure geven zet ze al in een uitermate verdacht hoekje. Openheid van zaken is het enige dat ze kunnen doen om schade te beperken. Ze zijn niet meer betrouwbaar.
01-09-2011, 09:29 door N4ppy
Als we alles moeten laten vallen wat gehacked is dan blijft er weinig over. Apache, linux kernel, google, rsa om er maar een paar te noemen.

Oh en ehh....
"Kaspersky Lab now admits that people attempting to buy Kaspersky's security products on Oct. 17 were redirected by hackers to a scareware site with links to fake antivirus software called Security Tool."
http://www.eweek.com/c/a/Security/Kasperskys-Download-Site-Hacked-Directs-Users-to-Fake-AntiVirus-336193/

:)
01-09-2011, 09:29 door Anoniem
Door Anoniem: Buiten nog dat het vertrouwen ernstig geschaad is. We leren de gebruikers al jaren dat ze goed moeten controleren naar welke url ze gaan en of het slotje van de https pagina dicht zit en dat ze bij een foutmelding over het certificaat vooral niet verder moeten gaan. Dat ligt nu wel een beetje ter discussie want welk certificaat is nog veilig?

Het erge is dat DigiNotar vervolgens als advies gaat geven om de foutmeldingen te omzeilen door zelf root CA's te downloaden. Als zo'n club dat zegt, wat is een set vertrouwde root CA's nog waard. Nog afgezien van het feit dat ik geen garantie hebt dat het te downloaden root CA wel de juiste is en niet ook is aangepast.

[/quote]Onderzoek zal dat moeten uitwijzen maar ik zou zeggen better safe then sorry en alle Diginotar certificaten inclusief de PKI Overheid certificaten verwijderen en door een andere CA opnieuw laten maken. Kost misschien wel een lieve duit maar er valt, zeker voor de overheid, wel het één en ander te verliezen. Mocht achteraf blijken dat het een overdreven actie was dan is het jammer van de moeite en het geld maar als je niets doet en er gebeuren zaken dan heb je wel iets uit te leggen.[/quote]
DigiNotar zal in ieder geval alle kosten moeten dragen voor vervanging van bij hen verkregen certificaten.

Peter
01-09-2011, 11:08 door PeterB
De Nederlandse Overheid loopt al jaren zwaar achter op de feiten. logisch aangezien ze zich voornamelijk bezig houden met hun eigen politiek en dan doel ik op Ministers die het belangrijker vinden hoe ze in " de Kamer voorkomen" dan dat ze een probleem oplossen. De term Symbool Politiek is bij het huidige zootje ongeregeld in Den Haag wel heel erg van toepassing.

Dat gezegd hebbende acht ik het een zeer, zeer ernstige zaak dat een Certificate authority zoals DigiNotar die notabene de DigiD certificaten uitgeeft deze niet direct intrekt. Daarbij dient de overheid direct actie te ondernemen door desnoods die site maar uit de lucht te halen en eerst nieuwe certificaten te installeren alvorens mensen er nog op inloggen.

Nagenoeg je ganse digitale leven ligt daardoor open en op straat. Bijna elke gemeente en zorg instelling maakt gebruik van DigiD. Ik zou als systeembeheerder daarvan geen seconde na hoeven denken. Plat die handel, dan maar paar dagen extra werk en even onbereikbaar terwijl er nieuwe certificaten worden aangemaakt en geïnstalleerd Dat is altijd beter dan ale info van gebruikers zomaar open te leggen vanwege een gehackt certificaat wat meer dan 70 % van de bewuste internetters toch al niet meer vertrouwen.

Als je gaat kijken op DigiD staat er dit als uitleg:

Betrouwbaarheid DigiD website niet in geding

dinsdag, 30 augustus 2011
In de media zijn berichten verschenen over de betrouwbaarheid van beveiligingscertificaten van DigiD. Browsers zoals Internet Explorer en Firefox zouden waarschuwingen kunnen geven als men DigiD gebruikt.

DigiD maakt gebruik van een PKIoverheid-certificaat dat is uitgegeven door DigiNotar om communicatie tussen uw internet browser en DigiD te beveiligen.

De veiligheid van DigiD is niet in het geding. DigiD heeft geen indicatie dat browsers de certificaten van DigiNotar onder het stamcertificaat van Staat der Nederlanden niet meer vertrouwen. Gebruikers van DigiD zullen daarom geen beveiligingswaarschuwing krijgen.

Ja hoor...de burger is een dom wezen....natuurlijk !
Sjonge wat een zootje dombo's in Den haag...bah bah.
01-09-2011, 12:07 door Anoniem
Sinds de overname van Diginotar door Vasco, is een boel kennis weggelopen uit het bedrijf.
Dit zie je terug in het handelen van Diginotar op deze hack, en de onbenulligheid van Vasco in hun persberichten met als doel "damage control". Uit alles blijkt dat Vasco zich lekker moet bezig blijven houden met OTP en weg moet blijven van certificaten, dit kunnen ze gewoon niet. De paar miljoen die Vasco heeft betaald voor Diginotar gewoon afschrijven en tokens blijven bouwen.
01-09-2011, 13:32 door Anoniem
Het wordt vanzelf en spoedig gecorrigeerd is mijn verwachting.
Zodra men zich realiseerd dat het rootcertificaat van de staat der nederlanden niet is gecomprommiteerd..

Oh, Sorry, onzin,

de certificaat fabriek die dat certificaat gemaakt heeft! is gecomprommiteerd zal zelfs de Nederlandse overheid wel wakker worden.
01-09-2011, 13:58 door Anoniem
Wat ik wel vreemd vind is dat er vooralsnog helemaal geen nieuw teruggetrokken certificaten in de CRL zoals aangegeven via het CRLDP in de CA's (http://service.diginotar.nl/crl/root/latestCRL.crl) zijn te herkennen.
01-09-2011, 14:51 door Anoniem
Door Anoniem: Wat ik wel vreemd vind is dat er vooralsnog helemaal geen nieuw teruggetrokken certificaten in de CRL zoals aangegeven via het CRLDP in de CA's (http://service.diginotar.nl/crl/root/latestCRL.crl) zijn te herkennen.

Dit kan er op duiden dat de aanvallers de uitgegeven certificaten uit de database van de CA hebben verwijderd. Een certificaat dat niet meer in de database zit, kan niet worden ingetrokken en verschijnt dus niet op de CRL. Als de logging niet ingeregeld is, kan ook niet meer het serienummer van het certificaat worden achterhaald zodat desnoods handmatig dit nummer aan de CRL kan worden toegevoegd.
01-09-2011, 17:13 door Anoniem
Door Anoniem: Het wordt vanzelf en spoedig gecorrigeerd is mijn verwachting.
Zodra men zich realiseerd dat het rootcertificaat van de staat der nederlanden niet is gecomprommiteerd..

Oh, Sorry, onzin,

de certificaat fabriek die dat certificaat gemaakt heeft! is gecomprommiteerd zal zelfs de Nederlandse overheid wel wakker worden.
Dit is dus je reinste onzin. De root CA van de NL Overheid staat niet bij DigiNotar en is ook niet uitgegeven door DigiNotar. Zoals het hoort, is de root namelijk off-line, juist om dit soort aanvallen onmogelijk te maken. Voorts zijn de vereisten voor Overheids Certificaten zwaarder dan wat DigiNotar presteerde. Zoek Bij Logius maar naar de PvE's.

Voor al die mensen, die meteen actie willen van een overheid: stel jij bent de eigenaar van een fabriek en maakt produkten. Iemand, ergens, doet iets waardoor jouw producten, discutabel zijn. De overheid komt langs, sluit je fabriek en (Zo iets willen de mensen die gelijk actie willen) vernietigen je handel. Dan een week later bleek het loos alarm. Zeg jij dan: prima de overheid deed haar werk, of zeg je dan: ' Ik ga ze aanklagen en ze zullen er voor bloeden?' Goed zo. Maar nu het over iemand anders inkomsten gaat is het altijd makkelijk, right?

De NL overheid heeft zo correct mogelijk gehandeld door DigiNotar niet uit de overheids PKI te gooien, maar wel meteen opdracht te geven om niet te vertrouwen op een telefoontje, maar belastinggeld te spenderen aan een privaat bedrijf om onafhankelijk te controleren of DigiNotar de waarheid heeft gesproken of niet.

@PeterB, ga eerst een leren hoe een PKI met Certificaten eigenlijk werkt. Dan weet je waarom die mededeling gedaan is.
Natuurlijk blijft het zo, dat DigiNotar, hierna onbetrouwbaar blijft. Hele simpele fundamentele beveiligingsmaatregelen, kunnen ze schijnbaar niet succesvol invoeren en gebruiken. Hierdoor betwijfel, ook ik de waarde van hun Overheids PKI.
02-09-2011, 19:07 door Anoniem
Het gaat er niet om dat de root off line is. Dat weet ik ook wel. Het gaat erom dat de fabriek van diginotar is gecompromitteerd. Dat is heel wat ernstiger dan alleen die certificaatjes.

De herkomst van de root van de overheid heb ik trouwens niet kunnen vinden en ik kan dus ook niet vast stellen of hij al dan niet in de DigiNotar straat is gemaakt.

De email die uitgegaan is en door Brenno de Winter is gepubliceerd lijkt er bovendien op te duiden dat men wel degelijk rekening houdt met het intrekken van alle certificaten, ook die van PKIOverheid.

En die email komt van... jawel Logius.

Lijkt mij dat zij wel weten wat de herkomst is?

Stel dat er in zo'n fabriek een bias in de randomness (randomness is essentieel voor rootcertificaten) is geintroduceerd. bijvoorbeeld. Dan is cryptografisch de sterkte van zo'n root vele malen zwakker.
En nou niet meteen weer gaan schrijven dat dat niet kan.
We herinnerren ons hier allemaal wat er met sommige chipjes van Siemens via een cyberaanval is gebeurd en kerncentrales en centrifuges worden minimaal even goed beveiligd als de wereldwijde certificate chain.

Er zijn reeds sinds 2009 lekken bekend in de DigiNotar organisatie.
03-09-2011, 16:52 door Anoniem
Door Anoniem:
Door Anoniem: Het wordt vanzelf en spoedig gecorrigeerd is mijn verwachting.
Zodra men zich realiseerd dat het rootcertificaat van de staat der nederlanden niet is gecomprommiteerd..

Oh, Sorry, onzin,

de certificaat fabriek die dat certificaat gemaakt heeft! is gecomprommiteerd zal zelfs de Nederlandse overheid wel wakker worden.
Dit is dus je reinste onzin. De root CA van de NL Overheid staat niet bij DigiNotar en is ook niet uitgegeven door DigiNotar. Zoals het hoort, is de root namelijk off-line, juist om dit soort aanvallen onmogelijk te maken. Voorts zijn de vereisten voor Overheids Certificaten zwaarder dan wat DigiNotar presteerde. Zoek Bij Logius maar naar de PvE's.

Voor al die mensen, die meteen actie willen van een overheid: stel jij bent de eigenaar van een fabriek en maakt produkten. Iemand, ergens, doet iets waardoor jouw producten, discutabel zijn. De overheid komt langs, sluit je fabriek en (Zo iets willen de mensen die gelijk actie willen) vernietigen je handel. Dan een week later bleek het loos alarm. Zeg jij dan: prima de overheid deed haar werk, of zeg je dan: ' Ik ga ze aanklagen en ze zullen er voor bloeden?' Goed zo. Maar nu het over iemand anders inkomsten gaat is het altijd makkelijk, right?

De NL overheid heeft zo correct mogelijk gehandeld door DigiNotar niet uit de overheids PKI te gooien, maar wel meteen opdracht te geven om niet te vertrouwen op een telefoontje, maar belastinggeld te spenderen aan een privaat bedrijf om onafhankelijk te controleren of DigiNotar de waarheid heeft gesproken of niet.

@PeterB, ga eerst een leren hoe een PKI met Certificaten eigenlijk werkt. Dan weet je waarom die mededeling gedaan is.
Natuurlijk blijft het zo, dat DigiNotar, hierna onbetrouwbaar blijft. Hele simpele fundamentele beveiligingsmaatregelen, kunnen ze schijnbaar niet succesvol invoeren en gebruiken. Hierdoor betwijfel, ook ik de waarde van hun Overheids PKI.

Een klein excuus zou inmiddels op zijn plaats zijn aan deze "anoniem"...

Er is precies gebeurd wat ik voorspelde.
Die PKI straat is niet veilig meer.

Logius is een goede instelling, met gelukkig voldoende realiteitszin in het management om het af te kappen.
Duur maar wel heel lovenswaardig.
03-09-2011, 17:14 door Anoniem
Wat mij het meest stoort in deze discussie is dat er maar een beperkt aantal mensen (2 ip's schat ik) het echte gevolg zagen en becommentarieerden.
Inmiddels is het gevolg bekend.

Allebei hebben ze nu gelijk.

Thaddy (1 van die ip's)
03-09-2011, 22:31 door Anoniem
<quote>
Dit is dus je reinste onzin. De root CA van de NL Overheid staat niet bij DigiNotar en is ook niet uitgegeven door DigiNotar. Zoals het hoort, is de root namelijk off-line, juist om dit soort aanvallen onmogelijk te maken. Voorts zijn de vereisten voor Overheids Certificaten zwaarder dan wat DigiNotar presteerde. Zoek Bij Logius maar naar de PvE's.
</quote>

http://www.digid.nl/nieuws/artikel/artikel/89/ en dat is er maar eentje van vandaag.


U zei? Welke onzin?
03-09-2011, 23:41 door Anoniem
Stukje onderwijs, stukje cabaret:

Dit is maar een van de zwakheden in een fabriek, maar de makkelijkste:

Een root cert kan per definitie niet gebaseerd zijn op iets anders dan random informatie, dus niet iets uit boeken, niets wat voorspelbaar is.
Men gebruikt hiervoor een zo dicht mogelijke benadering van witte ruis (met natuurlijke elementen: geen algoritmes). Als hier op een of andere manier een (zelfs zwakke) golf mee wordt gemengd krijg je een verdeling die die golf statistisch aantoonbaar maakt. Zelfs heel zwak, zelfs geen golf maar een anomalie.
Als jij degene bent die de golf of anomalie erin heeft verstopt - of hebt ontdekt - heb je een vrij goede kans de sleutel te raden, millioenen malen beter dan brute forcen op witte ruis.
Als dat of zoiets hier gebeurd is - en dat is echt niet ondenkbeeldig - is het probleem veel groter dan een namaak 2e CA die zich voordoet als iemand anders (wat de directe dreiging leek).

Vergeet niet dat ze al binnen waren, als ze al niet hulp van binnenaf hebben gehad, zoals met de pakibom (werkte ook voor iranibom).

Nederland heeft een "goede" naam in die landen. En zij hebben vrij hoog opgeleide mensen die we hier graag zien, toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.