Donner laat Diginotar vallen

Betrouwbaarheid overheidssites in geding

Dit artikel delen:

Uit onderzoek van ict-beveiligingsbedrijf Fox-IT is gebleken dat ook de PKI Overheid-certificaten van het Beverwijkse authenticatiebedrijf Diginotar niet meer betrouwbaar zijn. Gebruikers van overheidssites zijn er daardoor niet zeker meer van dat ze daadwerkelijk de site van hun keuze bezoeken en niet op een nepsite terecht komen. Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties heeft ingegrepen. Overheidswebsites, zoals van DigiD, RDW en de Belastingdienst, gaan zo snel mogelijk over op andere beveiligingscertificaten. Het operationeel beheer van alle certificaten wordt van Diginotar overgenomen.

De minister heeft ook overleg gevoerd met werkgeversorganisatie VNO-NCW omdat de problemen met de certificaten ook bedrijven kunnen raken die er gebruik van maken. Donner zei in de nacht van 2 op 3 september 2011 tijdens een in aller ijl belegde persconferentie dat hij wil voorkomen dat het beeld ontstaat dat alle overheidswebsites onbetrouwbaar zijn. Van hoeveel sites de beveiliging in het geding is, is nog niet duidelijk.

Eerder werd bekend dat de Diginotar-certificaten van eigen merk door een elektronische inbraak niet meer veilig zijn. Zo werd een vervalst SSL-certificaat afkomstig van Diginotar misbruikt voor aanvallen op gebruikers van Google. Nu zijn daar dus de pki-certificaten voor de overheid bijgekomen. Naar verluidt hebben Iraanse hackers ingebroken bij de Nederlandse pki-dienstverlener, sinds kort in handen van het Amerikaanse Vasco.

Nepsite

De rijksoverheid maakt op diverse websites meldingen dat gebruikers beveiligingswaarschuwingen kunnen krijgen omdat hun internetbrowser het beveiligingscertificaat van Diginotar niet meer vertrouwt. Beveiligingscertificaten beveiligen de verbinding tussen de internetbrowser en de betreffende site. Ook geeft zo'n certificaat zekerheid dat een gebruiker de echte website bezoekt en niet een nepsite.

De DigiD-organisatie laat weten dat de helpdesk als gevolg van de beveiligingsproblemen gedurende het weekeinde geopend. Logius, het servicehuis voor de infrastructuur van de rijksoverheid, heeft een telefoonlijn (0900 - 555 4555) geopend en een servicepagina over hoe certificaten te vervangen zijn door drie andere certificaatleveranciers van PKI Overheid services/SSL-certificaten (ESG, QuoVadis, Getronics).

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Vervalst Google SSL-certificaat bij Diginotar

Amerikaans authenticatiebedrijf koopt DigiNotar

Na Diginotar-hack heeft Nederland weer CA

‘Ondergang Diginotar blijft doodzonde’

Feitenonderzoek OM naar Diginotar doodgebloed

'Overheid moet digitale veiligheid verbeteren'

Rijk eist 8,7 miljoen euro van failliet Diginotar

Onderzoeksraad gaat overheids-ICT analyseren

Vasco verliest bijna vijf miljoen door Diginotar

'Convergence is goed alternatief voor CA's'

Kabinet: meer dan één certificaat per systeem

'We moeten af van certificaat-autoriteiten'

Wat er mis is met certificaatautoriteiten

Hackers laken ICT-beveiliging overheid

Pensioenregister wacht op PKI-bewijs Getronics

'Diginotar is ten dode opgeschreven'

Diginotar frustreert project Boordcomputer Taxi

Authenticatie mag geen technisch probleem zijn

Diginotar bungelt aan Parelsnoer

Diginotar CA-hack raakt ons allemaal

Alternatief voor certificaat ontbreekt nog

Diginotar-partners zoeken naar alternatieven

Advocatenorde zegt vertrouwen in Diginotar op

OM stelt onderzoek in naar Diginotar

Diginotar-hack treft Windows Update niet

Vasco: Wij zijn 100 procent Diginotar-vrij

Overheid: Diginotar-hack treft e-aangifte niet


Reacties

Diginotar heeft gebruikers anderhalf maand geleden kunnen waarschuwen, maar heeft dat niet gedaan. Nu de beerput open is gegaan en de overheid Diginotar eruit heeft gegooid, zullen vele bedrijven wel volgen, want het belangrijkste asset van Dignotar is naar de Filistijnen.

Ik verwacht dat moederconcern Vasco het huidige management van Diginotar zal gaan vervangen, net als de verouderde infrastructuur en een nieuwe naam voor de dochter gaat verzinnen.


Is het een verrassing dat Diginotar is overtreden? Niet echt - De waarschuwingen waren er enkele maanden geleden, toen een vergelijkbaar bedrijf, Comodo, ook werd geschonden aanwezig. Maar gezien de onverschilligheid en onwetendheid van vele verantwoordelijke voor de beveiliging van hun IT-infrastructuur ontstaat de neiging om een mentaliteit te creeëren in de sector van Nederland als: "het kan en zal mij niet overkomen".

In feite behoren Nederlandse organisaties tot de weinige in Europa die niet aan het proberen zijn om deze risico's aan te pakken. Ik heb zowel de overheids-en commerciële sectoren in Nederland gewaarschuwd. De waarschuwing hield in, dat zij zich beter moesten voorbereiden bij soort gelijke evenementen. De meeste personen die de verantwoordelijkheid hebben voor de beveiliging hebben hier echter geen aandacht voor.

Je zet ook niet al je geld op één renpaard. De inbraak bij Diginotar moeten wij allen zien als een waarschuwing. Het kan ons allen gebeuren. Organisaties die niet zijn voorbereid op soortgelijke evenementen lopen het risico gedwongen uit het bedrijfsleven te moeten stappen als zo'n inbraak bij hen gebeurd. Iedereen zou een saneringsplan moeten hebben in het geval van een SSL-compromis.
Het is hoog tijd dat de Nederlandse IT-sector wakker wordt en de risico's erkent. Het is een groot probleem van business continuïteit, die ingezien en begrepen moet worden.
En denk niet dat je niet gehacked kan worden,... dat ben je al!

De vraag is waarom Donner zolang gewacht heeft met het bekendmaken hiervan. De indruk wordt gewekt dat de bekendmaking niet kon wachten en per se in de nacht van 2 op 3 september publiekelijk gemaakt moest worden. En dit terwijl al vanaf half juli Diginotar met vervalste certificaten te kampen heeft.

Wellicht zijn er honderden vervalste certificaten gemaakt. Een kwart van deze vervalste certificaten zou zijn uitgegeven nadat Diginotar de hack medio juli had ontdekt.

Govcert.nl stelt daarom voor:
- "Websites gaan op zo kort mogelijke termijn over op andere PKI-certificatenleveranciers.
- We kiezen voor een beheerst overgangsscenario waarbij het operationeel beheer van alle certificaten van Diginotar wordt overgenomen.
- Door operationeel beheer over te nemen kunnen we aansluitend monitoren of oneigenlijk gebruik plaatsvindt tijdens de overgangsfase."

Het VNO meldt vandaag op hun website: "Bedrijven die gebruik maken van certificaten van DigiNotar, om hun communicatie op internet te beveiligen, moeten snel overstappen op andere dienstverleners van beveiligingscertificaten".

Einde DigNotar

Wat mij het meest verbaasd is de stilte die Diginotar hanteert. Of ze zijn erg naief, of ze dachten dat het wel zou overwaaien.
Je kon al snel stellen dat dit tot grote ophef zou leiden. In hun geval hadden ze van ieder certificaat de aanvrager extra moeten checken.
Zo vreemd is het niet om een hervalidatie van de aanvrager te doen.
Het kost wel tijd en dus ook geld, maar dat was beter geweest dan wat er nu gebeurt is.

Wat dit vooral aangetoond heeft is dat bestuurstechnisch dit langer heeft geduurd dan strikt noodzakelijk. Al voordat men merkt dat men gehacked is moet er al een noodplan zijn horende bij een risico inventarisatie. Worst case scenario is dan de stekker eruit.
Wat dat betreft hoort iedere organisatie die persoonsgegegevens beheerd een security audit afgenomen te worden. In gevallen van overheden moeten de resultaten dan ook op te vragen te zijn via WoB. Niet dat dit ineens alle problemen oplost maar het is dan beter dan het gestuntel wat we tot nu toe hebben gezien.

Tja, het zoveelste voorbeeld waaruit blijkt dat we hier te maken hebben met een overheid die IT nog steeds niet als core business ziet. Hoeveel van dit soort gevallen moeten er nog voorbij komen totdat men inziet dat het zo niet langer kan? Dit is een situatie die niet is te vergelijken met het dagelijks bestuur. Dit is een noodsituatie, waar een totaal ander proces voor nodig is. Overheid, wen er maar aan, en buig je over de implementatie van een proces dat sneller is te activeren, dan de bestuurlijke rompslomp die tot nu toe wordt bedreven. Dit is de 21e eeuw...zijn jullie er klaar voor? De hackers in ieder geval wel....

Uiteindelijk kun je alleen maar respect hebben voor de mensen achter Firefox, die hun nek hebben uitgestoken en de rootcertificaten van Diginotar uit hun browser hebben verwijderd. De andere browser makers (zoals bijv Microsoft, Google) hebben wel gezegd dat ze dat zouden doen, maar gewacht tot een ander het deed. Uiteindelijk heeft Firefox haar verantwoordelijkheid genomen en de nek uit gestoken waardoor de bal vorige week begon te rollen. Schande aan Diginotar, schande aan de overheid, maar bovenal hulde voor Firefox!

Naast de binnenlandse gevolgen zijn de internationale gevolgen eigenlijk veel dramatischer. Het is game-over voor DigiNotar. Mozilla en Google hebben verklaard dat Firefox en Chrome nooit meer certificaten van DigiNotar zullen vertrouwen (waaronder dus PKIoverheid).
Er wordt gesproken over 'substandard practices' en Directeur Firefox Engineering Johnathan Nightingale heeft het over 'a litany of failures that put entire internet populations at risk'.
Dat wordt opdoeken.

Wat zit er een spanning en sensatie negatief waarde oordeel wel.
Is deze koppenmaker van Privé overgenomen?

@criticaster.

Volgens mij is Openbare Orde en Veiligheid core business voor de overheid, net als gezondheid, ouderenzorg en verzin er zelf ook maar een paar.
ICT is niet meer dan een hulpmiddel, net als een GSM, een dienstfiets en een gebouw!

Wat ik me nu afvraag: op basis waarvan is Diginotar destijds geselecteerd?

Waren de selectiecriteria niet zorgvuldig genoeg, is er simpelweg gekozen voor de goedkoopste in plaats van functioneel de beste of ?

Wellicht een leuk onderzoekje waard

@:PaVaKe: Ik vrees dat dit een retorische vraag is.

Zie ook het artikel op nu.nl: 'Diginotar negeerde misbruik en was slecht beveiligd'

Ik citeer hieruit slechts 2 zaken:
1) Maar ook met de beveiliging blijkt van alles mis te zijn. Zo ontbrak het aan anti-virusbescherming voor het Windows besturingssysteem
2) Wachtwoorden van systeembeheerders waren zo slecht gekozen dat deze geautomatiseerd zijn gekraakt

Werkelijk 1e klas prutsers...

Soms is gelijk krijgen vervelend. Vasco DataSecurity, het moederbedrijf van DigiNotar, heeft het vanmiddag failliet laten verklaren. Lang leven de doorstart?

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2011-09-03T14:32:00.000Z Rik Sanders


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.