image

"Stilzwijgen DigiNotar bracht miljoenen in gevaar"

dinsdag 6 december 2011, 10:05 door Redactie, 2 reacties

Doordat DigiNotar de aanval op het eigen netwerk verzweeg, bracht het de veiligheid en privacy van miljoenen mensen in gevaar. Dat is te lezen in een analyse van het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). ENISA maakte een eigen analyse van de DigiNotar-hack en ziet daarbij drie grote problemen. De eerste is het niet direct inlichten van klanten en overheidsinstanties. Als het bedrijf eerder had gereageerd, had dit de gevolgen enorm kunnen beperken.

Maatregelen
Een ander punt dat ENISA noemt zijn fundamentele zwakheden in het ontwerp van HTTPS. "In de huidige opzet plaatsen browsers en besturingssystemen vertrouwen in een groot aantal Certificate Authorities (CA), dus het falen van één creëert een risico voor alle gebruikers en websites. De veiligheid van HTTPS is gelijk aan de veiligheid van de zwakste CA", aldus ENISA. Het orgaan roept op om HTTPS te moderniseren, beter bestand tegen aanvallen en gebruiksvriendelijker te maken.

Als laatste is ENISA van mening dat DigiNotar basale beveiligingsmaatregelen niet heeft genomen. "Het is belangrijk dat service providers, zoals CA's, die een belangrijke rol in de digitale maatschappij spelen, zich aan best practices houden."

Reacties (2)
06-12-2011, 13:02 door Anoniem
Gaap, betaal ik hier belasting voor? Een analyse maken over wat iedereen al lang weet?
06-12-2011, 13:39 door Erik van Straten
Door Anoniem: Gaap, betaal ik hier belasting voor? Een analyse maken over wat iedereen al lang weet?
Nog veel te weinig mensen doen iets aan de problematiek, dus zinvol wat mij beteft. Je moet dit soort zaken (helaas) net zo vaak onder de aandacht brengen tot er wat mee gebeurt.

In het rapport (te vinden op http://www.enisa.europa.eu/media/news-items/analysis-of-2018operation-black-tulip2019-certificate-authorities-lose-authority) worden een aantal belangrijke tekortkomingen van HTTPS en een stel goede aanbevelingen m.b.t. ICT security beschreven. M.b.t. mogelijke verbeteringen voor https wordt concreet alleen Convergence genoemd, daarnaast "We look forward to see industry and browser vendors agree on a more secure and user-friendly design of HTTPS". Het is m.i. absoluut noodzakelijk dat er op dit punt grote stappen worden genomen.

Ook interessant vind ik dat kennelijk nog veel meer gebruikers https waarschuwingen negeren dan ik al dacht, footnote 5 vermeldt: "This is demonstrated by the case of New Zealand's BankDirect which accidentally allowed a certificate to expire. Server logs show that all but one of 300 users dismissed the HTTPS security warning". We nog een lange weg te gaan...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.