Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

OM stelt onderzoek in naar Diginotar

06 september 2011 - 10:173 minuten leestijdActueelOverheidDiginotarFox-ITMinisterie van BZK
Rik Sanders
Rik Sanders

Het Openbaar Ministerie is een feitenonderzoek gestart naar aanleiding van de digitale inbraak bij Diginotar. Ook is de landsadvocaat bij de zaak betrokken. Bekeken wordt of Diginotar aansprakelijk kan worden gesteld voor nalatigheid. Uit het onderzoek van Fox-IT blijkt dat het authenticatiebedrijf er een potje van heeft gemaakt: verouderde software, gebrek aan redundantie, makkelijk te achterhalen wachtwoorden en het ontbreken van voldoende anti-virussoftware.

Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties heeft in een Kamerbrief een uiteenzetting gegeven van de achtergronden en de gevolgen van de digitale inbraak bij Diginotar. Bij de brief zit een vernietigend rapport van ict-beveilingsbedrijf Fox-IT, dat in opdracht van Govcert, het cyber crime-team van de rijksoverheid, de digitale inbraak heeft onderzocht. Fox-ITconstateert in het rapport dat de netwerkinrichting en de beveiligingsprocedures van Diginotar niet toereikend waren om een succesvolle hack tegen te houden.

Kraken

Het digitale forensisch onderzoeksbureau uit Delft vond tijdens zijn recherche dat op de bedrijfskritische servers van Diginotar malware stond die normaliter door anti-virussoftware opgemerkt en opgevangen had moeten worden. Daarnaast opereerde een aantal kritische componenten niet goed gescheiden van elkaar. Alle CA-servers (CA = Certificate Authority) maakten deel uit van één Windows-domein waardoor ze allemaal toegankelijk waren met één verkregen gebruikersnaam/wachtwoord-combinatie. Het wachtwoord was bovendien eenvoudig te kraken, ondervonden de onderzoekers van Fox-IT. Volgens het bedrijf waren de servers, die dan wel weer in een goed fysiek beveiligde en geklimatiseerde computerzaal stonden, bereikbaar via het gangbare management-lan.

Een andere bevinding van Fox-IT is dat de software die Diginotar op zijn publieke webservers had staan, verouderd was en niet gepatched. Antivirus-software was hier afwezig. Wel draaide er een inbraakpreventiesysteem, maar die gaf na de inbraak geen sjoege. Onduidelijk is nog waarom dit systeem niet reageerde op de inbraakpogingen van de vermoedelijk Iraanse hackers. Tot slot concludeerde Fox-IT dat er geen beveiligde centrale network logging was geregeld.

Niet melden

Uit de Kamerbrief van Donner blijkt dat, nadat het kabinet op 2 september 2011 signalen kreeg dat de PKI Overheid-certificaten van Diginotar mogelijk gecompromitteerd waren door de inbraak bij Diginotar, het Openbaar Ministerie en de landsadvocaat zijn ingeschakeld. Diginotar zelf heeft op maandag 5 september aangifte gedaan van de gepleegde digitale inbraak.

Het kabinet heeft inmiddels het vertrouwen opgezegd in Diginotar. Het neemt het het authenticatiebedrijf kwalijk dat het noch op 19 juni 2011, nadat het voor het eerst een inbraakpoging op het spoor kwam, noch in een later stadium de overheid op de hoogte stelde van de beveiligingsproblemen. Pas nadat Govcert werd ingelicht door zijn Duitse evenknie Cert-Bund over mogelijke problemen met de authentieke certificaten van Diginotar op 29 augustus jongstleden kreeg de Nederlandse overheid een eerste indicatie van de problemen, meldt minister Donner.

Meer over

Redundancy

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme toegang vs. onzichtbare cyberrisico’s in de Zorg

    In zorginstellingen is een constante stroom van personeel, patiënten en bezoekers. Maar hoe zorg je ervoor dat gevoelige gebieden beschermd blijven zonder de dagelijkse gang van zaken te verstoren? Hoe herken je eventuele zwakke plekken in het netwerk?

    Computable.nl

    In detail: succesvolle AI-implementaties

    Het implementeren van kunstmatige intelligentie (AI) biedt enorme kansen, maar roept ook vragen op. Deze paper beschrijft hoe je als (middel)grote organisatie klein kunt starten met AI en gaandeweg kunnen opschalen.

    Computable.nl

    Cybercrime Trendrapport 2024

    Een uitgebreide paper over de nieuwste bedreigingen en ruim 50 best-practices in beveiliging.

    Meer lezen

    Computable.nl
    ActueelCloud & Infrastructuur

    Diginotar-hack treft Windows Update niet

    Computable.nl
    ActueelCloud & Infrastructuur

    Vasco: Wij zijn 100 procent Diginotar-vrij

    Computable.nl
    ActueelCloud & Infrastructuur

    Overheid: Diginotar-hack treft e-aangifte niet

    Computable.nl
    ActueelOverheid

    Donner laat Diginotar vallen

    Computable.nl
    ActueelCloud & Infrastructuur

    Vervalst Google SSL-certificaat bij Diginotar

    Computable.nl
    ActueelCloud & Infrastructuur

    Amerikaans authenticatiebedrijf koopt DigiNotar

    16 reacties op “OM stelt onderzoek in naar Diginotar”

    « Oudere reacties
    1. A Snoerd schreef:
      6 september 2011 om 13:58

      Hee, niet mijn hele reactie heeft het gehaald. Hierbij de rest:

      Vooral als je dit berichtje leest uit 2009:
      Overheid moet informatiesystemen beter beschermen
      http://www.logius.nl/nc/producten/toegang/nieuwsbericht/titel/overheid-moet-informatiesystemen-beter-beschermen/?cHash=c94a3aabaf45678847292ee836103c2f&sword_list%5B0%5D=pki&sword_list%5B1%5D=overheid

      Login om te reageren
    2. Peter schreef:
      6 september 2011 om 14:17

      Wat er gebeurd is valt niet echt goed te praten. Maar wat dat betreft denk ik dat er in Nederland nog wel meer van zulke organisaties zijn die hun boel zo slecht op orde hebben dat ze min of meer hun hoofd al op het blok hebben gelegd. En dan puur op het feit dat ik zelf al in menige (overheids) keuken heb mogen rondkijken.
      Security is altijd al het ondergeschoven kindje geweest. Het is lastig, duur en het levert toch niks op. Totdat het fout gaat en je als bedrijf je reputatie en continuïteit op het spel zet.
      Dus als je er bij voorbaat al vanuit gaat dat het mis zal gaan en wat dan de consequenties zijn dan ligt dat rampenplan er en kan er kordaat op worden getreden.

      Login om te reageren
    3. Erwin schreef:
      6 september 2011 om 17:59

      Volgens de site van Diginotar heeft PWC in 2008 nog een audit voor de EV-SSL certificaten uitgevoerd, en is de ETSI certificering nog geldig tot 2013. Vreemd genoeg is nagenoeg de gehele Diginotar-site nog steeds actief, en kan je zelfs nog gewoon certificaten aanvragen. Gelet op de ernst van de situatie zouden diverse functionaliteiten toch meteen op slot moeten.

      Nou moet ik wel zeggen dat PWC hun audits in zoverre correct uitvoert, dat ze controleren wat er gecontroleerd moet worden. Met andere woorden, is de wijze waarop je normaliter een certificaat aanvraagt en uitgeeft correct, zijn de Certificate Practices gedefinieerd en correct. Ik vraag me af of PWC uberhaupt heeft gechecked of het Administrator wachtwoord van het Domain waar de Servers in staan adequaat is beveiligd. Als dat geen onderdeel van de audit is, wordt dat ook niet gecontroleerd. Maar uiteindelijk vraag je je dan wel af wat voor waarde zulks een audit heeft.

      Login om te reageren
    4. Jaap-G schreef:
      7 september 2011 om 12:01

      @Erwin: Het kan zo zijn dat PWC vraagt of er wachtwoorden op de domeinen staan, als het antwoord ‘ja’ is, is dat voor de audit voldoende. Ze zullen nooit het wachtwoord te horen of zien krijgen. Inderdaad, wat is de waarde van de audit dan nog, even afgezien van de rest daarvan.

      Login om te reageren
    5. mm schreef:
      7 september 2011 om 14:13

      Diginotar:
      -verouderde software: 2% goedkoper dan concurrent.
      -gebrek aan redundantie: 3% goedkoper dan concurrent.
      -makkelijk te achterhalen wachtwoorden: geen goede policies (=arbeid=geld): 1% goedkoper dan concurrent.
      -ontbreken van voldoende anti-virussoftware: 1% goedkoper dan concurrent.
      Totaal: 7% goedkoper dan de concurrent met het verstrekken van certificaten, en de overheid neemt wellicht automatisch de goedkoopste?

      Als iets dergelijks als deze voorstelling van zaken correct is (of zijn certificaten bij elk bedrijf even duur?): bij wie ligt dan eigenlijk de grootste fout?

      Hoe dan ook… Dat de beveiliging van delen van de overheid moet afhangen van een commercieel bedrijf en niet van een specialistisch onderdeel van de overheid zelf, lijkt me sowieso een uiterst onwenselijke situatie. (Net zoals je het stemproces van een stemcomputer zou willen laten afhangen die ook via een commercieel bedrijf betrokken moet worden.)

      Maar het is allemaal simpelweg een keuze die voortvloeit uit de (m.i. te) grote hang naar vrije marktwerking en privatisering.
      Enige oplossing tegen deze (in mijn ogen) basale fouten is m.i: links stemmen, en weg blijven van VVD, CDA, Wilders. En privatiseringen weer ongedaan maken.

      Login om te reageren
    6. Steve Sobot schreef:
      13 september 2011 om 15:34

      @Jaap-G As Erwin implies, the audit would more than likely examine the controls and procedures involved in the management and handling of the certificates. Undoubtedly, some of the controls and procedures would involve the technical infrastructure. However the enforcement of any findings and recommendations is a separate issue.

      Login om te reageren
    « Oudere reacties

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs