image

Symantec ontslaat personeel wegens Google-certificaat

zondag 20 september 2015, 13:57 door Redactie, 8 reacties

Symantec heeft de werknemers ontslagen die verantwoordelijk waren voor het uitgeven van een onterecht Google-certificaat, zo heeft het beveiligingsbedrijf laten weten. Google maakte afgelopen vrijdag bekend dat het op maandag 14 september een EV SSL-certificaat voor google.com en www.google.com had ontdekt dat door Symantec was uitgeven, ook al had de internetgigant hier niet om gevraagd.

Na onderzoek bleek dat Symantec het certificaat tijdens een intern testproces had uitgegeven. Een ernstige overtreding, aangezien SSL-certificaten een belangrijke rol spelen op internet. Een onterecht uitgegeven certificaat kan bijvoorbeeld worden gebruikt voor het onderscheppen van verkeer waarvan gebruikers denken dat het versleuteld is, of het opzetten van phishingsites.

Maatregelen

Symantec stelt dat er tijdens het testen in totaal voor drie domeinen onterechte certificaten zijn uitgegeven. Nadat het probleem werd ontdekt zijn al deze certificaten meteen ingetrokken. Volgens het beveiligingsbedrijf heeft het internet dan ook geen gevaar gelopen. Vanwege het incident heeft het bedrijf nu technische maatregelen genomen, om de kans op menselijke fouten te voorkomen. Ook zegt Symantec dat het de eigen best practices blijft ontwikkelen om herhaling te voorkomen.

In dit geval zou het beleid niet door de medewerkers zijn gevolgd. "Ondanks hun beste intenties zijn ze vanwege het niet volgen van het beleid ontslagen", aldus Quentin Liu. Hij stelt dat Symantec bij dit soort incidenten geen compromissen sluit. "Als gevolg was dit enige keuze die we hadden", zo laat Liu weten. Volgens Liu heeft het beveiligingsbedrijf waardevolle collega's verloren, maar moet het bedrijf aan de hoogste standaarden voldoen. Om hoeveel werknemers het precies gaat is niet bekendgemaakt.

Reacties (8)
20-09-2015, 14:48 door Anoniem
Klinkt als Symantec een klusje moest doen voor NSA en dat nu enkele werknemers geofferd zijn.
20-09-2015, 16:19 door karma4 - Bijgewerkt: 20-09-2015, 16:23
Ik hoop dat de verantwoordelijke managers ook mee gegaan zijn. Meestal spelen die de onschuld zelve ook al hebben ze het willens en wetens er op aangestuurd. "
"Vanwege het incident heeft het bedrijf nu technische maatregelen genomen, om de kans op menselijke fouten te voorkomen."
Wel typisch VS, de baas heeft een imago probleem ergo de werknemers / schuldigen kunnen meteen inpakken.
20-09-2015, 17:19 door Anoniem
In dit geval zou het beleid niet door de medewerkers zijn gevolgd.
In de tekst van Symantec staat niet dat het gaat om de medewerkers die deze fout hebben gemaakt. "In addition, we discovered that a few outstanding employees..." is niet hetzelfde als "In addition, the employees who made this mistake...". Het kan om andere employees gaan. Afgaande op de titel boven de blog-post gaat hij ook niet over de fout met het valse Google-certificaat maar over wat de leiding van Symantec moeilijk vond die dag.
20-09-2015, 18:17 door Rolfieo
Door Anoniem: Klinkt als Symantec een klusje moest doen voor NSA en dat nu enkele werknemers geofferd zijn.

Klinkt als of je totaal geen idee hebt waarover je praat.
Google certificaten zijn niet even te vervalsen, aangezien de meeste weten wat Google zelf zijn certificaten controlleerd. Valse Google certificaten worden dus altijd snel ontdekt. Sterker nog, de meeste van dit soort foutjes worden ontdekt voor Google.
20-09-2015, 19:58 door karma4
Door Anoniem: In de tekst van Symantec ... . Het kan om andere employees gaan. .
Nou dat geloof ik niet.

"In addition, we discovered that a few outstanding employees, who had successfully undergone our stringent on-boarding and security trainings, failed to follow our policies. Despite their best intentions, this failure to follow policies has led to their termination after a thoughtful review process."
- "outstanding employees" "undergone our stringent on-boarding and security trainings" die omschrijving is volgens mij interne medewerkers.
- "failed to follow our policies. Despite their best intentions, this failure to follow policies" Wat is er rond die dag voor iets belangrijks gebeurd (18/9/2015) dat het hoofd zoiets in zijn blog zet. Let wel, jij verwijt de medewerkers gewoon van foutief handelen.

In het begin van de blog: "We learned on Wednesday that a small number of test certificates were inappropriately issued internally this week" Dat een gewoon een verwijzing naar het google certificaat incident. Dat is naar buiten gekomen.

Hoeveel van de aanwijzingen is overtuigend genoeg?
Grappig dat is het spel van juristen, niet mijn vak.
20-09-2015, 22:18 door Anoniem
Door Anoniem:
In dit geval zou het beleid niet door de medewerkers zijn gevolgd.
In de tekst van Symantec staat niet dat het gaat om de medewerkers die deze fout hebben gemaakt. "In addition, we discovered that a few outstanding employees..." is niet hetzelfde als "In addition, the employees who made this mistake...". Het kan om andere employees gaan. Afgaande op de titel boven de blog-post gaat hij ook niet over de fout met het valse Google-certificaat maar over wat de leiding van Symantec moeilijk vond die dag.

Dat staat wel in de tekst, lees hem nog een eens:

"In addition, we discovered that a few outstanding employees, who had successfully undergone our stringent on-boarding and security trainings, failed to follow our policies. Despite their best intentions, this failure to follow policies has led to their termination after a thoughtful review process."

Lijkt me toch duidelijk werknemers die het beleid niet hebben gevolgd en daarom zijn ontslagen.
21-09-2015, 13:43 door Overcome
Als ik dit lees ben ik blij dat ik in Nederland woon. Je bent "outstanding" en "valuable", maakt een fout en je kunt meteen inpakken. Als dat al waar is, dan speelt er denk ik heel wat meer dan het uitgeven van een testcertificaat voor een domein dat niet van jou is, zeker gezien de beperkte risico's die zijn gelopen (certificaat was maar 1 dag geldig etc). Je houdt anders geen werknemers meer over.

De tekst "we have immediately put in place additional processes and technical controls to eliminate the possibility of human error" doet ook vermoeden dat het menselijke fouten zijn. Die zie je liever niet, maar om dan meteen met een huichelachtige memo met daarin een verwijzing naar je hoge standaarden en industry leader positie je medewerkers op straat te gooien... Veel hypocrieter dan dat wordt het niet.
21-09-2015, 14:39 door Anoniem
Klinkt als of je totaal geen idee hebt waarover je praat.
Google certificaten zijn niet even te vervalsen, aangezien de meeste weten wat Google zelf zijn certificaten controlleerd. Valse Google certificaten worden dus altijd snel ontdekt. Sterker nog, de meeste van dit soort foutjes worden ontdekt voor Google.
Ah, jij hebt blijkbaar de wijsheid in pacht!
Mooi, dan kan ik aan jou dus vragen, of die keer dat "CERT-FR" dat deed dus ook niks met intelligence (al dan niet in contradictionle terminalogie) te maken had?

http://www.theregister.co.uk/2013/12/10/french_gov_dodgy_ssl_cert_reprimand/
Diezelfde ANSSI wilde een soort van RFC authoriteit worden in Frankrijk, en is uitermate geintresseerd in package manipulation...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.