Van Bussel Document Services

Tot slot: Diginotar ‘definitief’ finito

Gisteren publiceerde de OPTA het navolgende persbericht: ‘Uit onderzoek van OPTA naar de uitgifte van gekwalificeerde certificaten door DigiNotar, blijkt dat de betrouwbaarheid van deze certificaten niet langer te garanderen is.

OPTA beëindigt daarom de registratie van DigiNotar.

Dit houdt in dat het bedrijf zijn uitgegeven gekwalificeerde certificaten in moet trekken en geen nieuwe gekwalificeerde certificaten meer mag uitgeven. Gekwalificeerde certificaten zijn certificaten waarmee elektronische handtekeningen kunnen worden gezet, vaak door middel van een pasje met chip.

OPTA heeft de wettelijke taak om toezicht te houden op de uitgifte van uitsluitend dit type certificaten. …

DigiNotar dient nu zijn klanten te informeren over de intrekking van de gekwalificeerde certificaten. OPTA houdt hier toezicht op. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft inmiddels het operationele beheer van de systemen voor certificering overgenomen van DigiNotar.

Omdat de gekwalificeerde certificaten niet meer te gebruiken zijn, dienen de gebruikers nieuwe gekwalificeerde certificaten bij geregistreerde aanbieders aan te vragen. Op de website van OPTA is een lijst te raadplegen van geregistreerde aanbieders’.

Share This:

Elke Certificatieautoriteit in gevaar ?

GlobalSign ondertekent tot nader order geen beveiligingscertificaten meer. De multinational wil eerst onderzoek uitvoeren en zal weer certificaten uitgeven als duidelijk is geworden dat het netwerk en infrastructuur van de certificaatautoriteit (CA) niet is gecompromitteerd.

Gisteren publiceerde de zogenaamde ‘Comodohacker’ verschillende nieuwe berichten op Pastebin. Hierin claimde hij, naast DigiNotar, nog vier andere certificaatautoriteiten (CA’s) te hebben gehackt, waaronder GlobalSign. Het concern onderzocht onmiddellijk de eigen logfiles en besloot een paar uur later voorlopig geen nieuwe certificaten uit te geven.

‘GlobalSign takes this claim very seriously and is currently investigating. As a responsible CA, we have decided to temporarily cease issuance of all Certificates until the investigation is complete. We will post updates as frequently as possible’, meldt het bedrijf. 

Alhoewel de beslissing aanleiding geeft tot wilde speculaties over een mogelijke cyberaanval op het bedrijf, prijzen verschillende experts de maatregel.

‘Major props to GlobalSign for taking hacking claims seriously’,  tweet HD Moore, secuitychef van Rapid7 en architect van hackertoolkit Metasploit. ‘Good call’,  vindt ook Mikko Hypponen, hoofdonderzoeker bij securityconcern F-Secure.  Volgens Netcraft geeft GlobalSign zo’n 200 tot 250 certificaten per dag uit.

Share This:

Diginotar juridisch aangepakt

Het Openbaar Ministerie begint een onderzoek naar DigiNotar. Daarbij kijkt het of de certificaatverstrekker formeel aangesproken kan worden of zelfs aansprakelijk valt te stellen. Deze kritische blik volgt op het feit dat het bedrijf de cyberinbraak lang stil heeft gehouden en heeft gebagatelliseerd. Het volgt op politieke geluiden dat DigiNotar aansprakelijk gesteld moet worden en strafrechtelijk vervolgd. Het bedrijf heeft niet alleen de overheid benadeeld (die nu op grote schaal in hoog tempo certificaten moet vervangen), maar heeft ook dissidenten in Iran in gevaar gebracht.

Een onderzoek van FoxIT stelt dat de cyberinbraak niet alleen begin juni al is gepleegd, maar dat DigiNotar het toen ook heeft ontdekt. Vervolgens zijn in juli de eerste frauduleuze certificaten aangemaakt, voor onder andere Google.com. Dat certificaat is eind juli voor het eerst actief gebruikt om beveiligd Gmail-verkeer vanuit Iran af te tappen.

Uiteindelijk is dit misbruik eind augustus gemeld aan GovCERT in Nederland door het Duitse CERT-BUND. Het IT-beveiligingsorgaan van de Nederlandse overheid heeft toen DigiNotar ingelicht. Dat bedrijf had in juli een eigen onderzoek ingesteld en daarna maatregelen genomen. Maar het heeft de hele zaak stilgehouden; betrokken sites, browsermakers, GovCERT en de Nederlandse overheid wisten nog van niets.

Share This:

Nogmaals Diginotar: willens en wetens fout ?

Er zijn sterke aanwijzingen dat TTP DigiNotar nog frauduleuze certificaten uitgaf na de ontdekking van de hack op zijn servers. Het gaat om zes certificaten, waarmee systemen zich als servers van het Tor-project konden voordoen.

De voorman van het Tor-project, Jacob Appelbaum, schrijft op het weblog van het project dat niet alleen een vals Google-certificaat is gegenereerd bij Diginotar; de hackers hebben ook twaalf nagemaakte certificaten voor de servers van Tor aangemaakt. Hoewel dat voor het gebruik van Tor zelf niet uitmaakt, omdat deze niet op certificatie is gebaseerd, zou iemand zich als de server van het Tor-project kunnen voordoen en (bijvoorbeeld) een valse versie van de Tor-software kunnen aanbieden. Die software is bedoeld om anoniem te kunnen surfen en wordt door journalisten en mensenrechtenactivisten in dictaturen gebruikt.

De makers van Tor hebben van DigiNotar beperkte informatie gekregen over de frauduleuze certificaten. Zo is bekend dat de helft van de valse Tor-certificaten op 18 juli is gegenereerd, en de andere helft op 20 juli. Dat laatste is verwonderlijk: de eigenaar van DigiNotar, Vasco Security, meldde eerder dat de hack op 19 juli is ontdekt. Als de informatie dus klopt, zijn er een dag na het ontdekken van de hack nog valse certificaten gegenereerd. Dat zou zeer kwalijk zijn.

Share This:

Diginotar finito ?

Diginotar is een soort digitale notaris, een Trusted Third Party. Wie zeker wil weten op het juiste domein op internet aan te landen, maakt via de webbrowser gebruik van een Trusted Third Party. Deze ‘vertrouwde’ partij is in dit geval Diginotar. Juist dat bedrijf adviseert nu gebruikers beveiligingsalarmen van de webbrowser te negeren en onvertrouwde certificaten te vertrouwen.

De website heeft het certificaat als identificatiebewijs, waarbij de afkomst erg belangrijk is. Volgens Mark Bergman, zelfstandig beveiligingsexpert, maakt het nogal uit wie de uitgever is. Hij vergelijkt het met paspoorten. Het vertrouwen in een Nigeriaans paspoort zal minder zijn dan in een Nederlands paspoort.

Het technisch afdwingen van correct functioneren is belangrijk, maar is slechts de helft van het verhaal. Technisch klopte het certificaat van Google.com bij Diginotar helemaal. Het probleem is alleen dat het nooit bij dit bedrijf is aangevraagd en dat zij dus geen waarmerker horen te zijn. Qua cryptografie klopt alles perfect, maar procedureel niet.

Dat er nepcertificaten zijn uitgegeven is volgens Bergman een aanval op de uitgever. ‘Het probleem is dat als je een reeks Nederlandse paspoorten vals uitgeeft en je niet kunt zeggen dat ze als Nederlandse paspoort te gebruiken zijn. Ze staan dan allemaal ter discussie’, vertelt Bergman. ‘Je kunt niet roepen dat het goed zit. Dat zul je moeten bewijzen. Als je tien foute certificaten uitgeeft, kun je niet die terugtrekken en doen alsof er niets gebeurd is’.

Share This: