NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
Ad.nlquote:'Crisisberaad overheidssites, zodadelijk personferentie Donner'
Op het ministerie van Binnenlandse Zaken is de hele avond crisisoverleg gevoerd over de beveiliging van Nederlandse overheidssites. Om één uur vannacht geeft minister Donner een persconferentie.
Dat meldt de NOS. Het zou gaan om een grootschalig IT-probleem.
Afgelopen week werd bekend dat het Nederlandse internetbeveiligingsbedrijf DigiNotar eerder een nep-certificaat had geaccepteerd dat door de Iraanse overheid zou zijn gebruikt om Gmail-accounts mee te bespioneren. DigiNotar verzorgt beveiligingscertificaten van onder meer overheidssites en de Belastingdienst.
Microsoft, Mozilla en Google, de grootste spelers op de browsermarkt, kondigden maatregelen aan die de sites mogelijk zouden blokkeren. Als de browsers de certificaten van Diginotar niet meer vertrouwen, zullen de sites die er gebruik van maken bij een volgende update niet meer beschikbaar zijn.
[ Bericht 91% gewijzigd door Taurus op 03-09-2011 01:15:45 ]
Ik dacht even dat ik gewoon in een herhaling kwam vallen, maar er is zowaar een persconferentie zometeen van Donner over ITproblemen met mogelijk 'ver strekkende gevolgen'.
Ik snap er nog niks van, en ik snap ook niet wat de 'ver strekkende gevolgen' kunnen zijn? En de Iraniers hebben het gedaan. Tot zover.quote:Op zaterdag 3 september 2011 01:08 schreef OverRated het volgende:
Overheidssites geraakt omdat er een bedrijf dat in veiligheidscertificaten doet gehackt is. Of zo.
Ik snap er ook geen reet van. Donner zal het vast duidelijk maken.quote:Op zaterdag 3 september 2011 01:08 schreef Taurus het volgende:
[..]
Ik snap er nog niks van, en ik snap ook niet wat de 'ver strekkende gevolgen' kunnen zijn? En de Iraniers hebben het gedaan. Tot zover.
Nouja, overheidscommunicatie onderscheppen is geen kleine zaak natuurlijk.quote:
[..]
Ik snap er nog niks van, en ik snap ook niet wat de 'ver strekkende gevolgen' kunnen zijn? En de Iraniers hebben het gedaan. Tot zover.
Op donderdag 11 oktober 2012 19:49 schreef Tem het volgende:
Bis bis bis
Op maandag 17 december 2012 22:25 schreef KoosVogels het volgende:
Wij krijgen niks voor kerst van de baas. Alleen een trap onder de reet en een stuk steenkool.
Bis bis bis
Op maandag 17 december 2012 22:25 schreef KoosVogels het volgende:
Wij krijgen niks voor kerst van de baas. Alleen een trap onder de reet en een stuk steenkool.
Ja maar ik ben niet zo technisch, ik begrijp niet wat wij daar exact van gaan merken behalve een internetsite die even plat ligt. Ik heb ook wat drankjes op, eigenlijk.quote:
Ze hebben het net al 2 keer uitgelegd op Ned 1.
http://tweakers.net/nieuw(...)ontdekking-hack.htmlquote:
Overheidssites geraakt omdat er een bedrijf dat in veiligheidscertificaten doet gehackt is. Of zo.
SSL certificaten bedrijf is gehacked of heeft stiekem certificaten verkocht aan Iran waardoor die Gmail konden lezen. Nu willen de browsermakers alle certificaten van dat bedrijf blokkeren dus is digid niet meer veilig.
Ik vind dit wel een heeeeeeeel mager nieuwsbericht. Zo kan ik ook wel een "Hongersnood in Afrika" topic openen 
Daarvoor is wel wat meer nodig, dan moet je ook de Nederlandse DNS hacken. Op hun "eigen" deel van het internet kunnen ze wel een man-in-the-middle-attack uitvoeren, bv. doen alsof ze Gmail of Hotmail zijn.quote:
[..]
Nouja, overheidscommunicatie onderscheppen is geen kleine zaak natuurlijk.
Ooit schreef oh-oh het volgende:Management en beleid en zo, dat kan elke debiel leren.
Die Iraanse hackers opereren vanuit Amerika om o.a. informatie van Iraniërs in NL in te zien of af te luisteren, wat een afgang voor Diginota in Beverwijk
De overheid had dit nooit uit handen mogen geven...
De overheid had dit nooit uit handen mogen geven...
Ja maar het is vers van de pers. Ik kan echt nog geen link vinden met het nieuws, komt zo wel.quote:Op zaterdag 3 september 2011 01:10 schreef slashdotter3 het volgende:
Ik vind dit wel een heeeeeeeel mager nieuwsbericht. Zo kan ik ook wel een "Hongersnood in Afrika" topic openen
het staat nog niet eens op nu.nl en de meeste nieuwssites slapen blijkbaar al dus info vinden lijkt me ook niet makkelijk, maar als jij nou even zoektquote:
Ik vind dit wel een heeeeeeeel mager nieuwsbericht. Zo kan ik ook wel een "Hongersnood in Afrika" topic openen
know'm sayin?
×
word? word.
×
word? word.
Dat bedrijf faalde dus al op 19 juli maar heeft het stilgehouden, Nederlandse overheid werd getipt door Iraniers....
know'm sayin?
×
word? word.
×
word? word.
dus alles wat we via digiD hebben gedaan is onveilig? Al die gegevens gehacked? althans dat zou mogelijk kunnen zijn begrijp ik?
There are only 151 Pokémon.
Persco midden in de nacht, dan weet je natuurlijk wel hoe laat het is...
Als ICTer zijnde vind ik het aan de ene kant wel goed dat het een keer goed mis is gegaan, gaan we eindelijk eens goede wetgeving krijgen omtrent beveiliging van persoonsgegevens.
Als ICTer zijnde vind ik het aan de ene kant wel goed dat het een keer goed mis is gegaan, gaan we eindelijk eens goede wetgeving krijgen omtrent beveiliging van persoonsgegevens.
Utopie.quote:
Persco midden in de nacht, dan weet je natuurlijk wel hoe laat het is...
Als ICTer zijnde vind ik het aan de ene kant wel goed dat het een keer goed mis is gegaan, gaan we eindelijk eens goede wetgeving krijgen omtrent beveiliging van persoonsgegevens.
👍Wanneer krijg ik de FA rechten terug?
Op maandag 11 juli 2011 17:38 schreef Bart het volgende:
Je bent echt een unieke verschijning, vind ik altijd wel grappig als ik jou ergens zie posten :D.
Op maandag 11 juli 2011 17:38 schreef Bart het volgende:
Je bent echt een unieke verschijning, vind ik altijd wel grappig als ik jou ergens zie posten :D.
Aha, nu snap ik het een beetje.
Op donderdag 11 oktober 2012 19:49 schreef Tem het volgende:
Bis bis bis
Op maandag 17 december 2012 22:25 schreef KoosVogels het volgende:
Wij krijgen niks voor kerst van de baas. Alleen een trap onder de reet en een stuk steenkool.
Bis bis bis
Op maandag 17 december 2012 22:25 schreef KoosVogels het volgende:
Wij krijgen niks voor kerst van de baas. Alleen een trap onder de reet en een stuk steenkool.
Nee dat niet. Het is alleen dat het bedrijf niet meer te vertrouwen is dus willen google mozilla en microsoft hun certificaten ongeldig verklaren en dan is digid niet meer veilig.quote:
dus alles wat we via digiD hebben gedaan is onveilig? Al die gegevens gehacked? althans dat zou mogelijk kunnen zijn begrijp ik?
hij heeft er verder ook geen idee van denk ikquote:Op zaterdag 3 september 2011 01:15 schreef OverRated het volgende:
Donner lijkt niet zo blij te zijn dat hij nu een persco moet geven
Hij denkt, laat mijn ambtenaren het maar oplossen die er echt verstand van hebben.
There are only 151 Pokémon.
http://www.nu.nl/internet(...)n-aangifte-hack.htmlquote:Dat ontdekte NU.nl op basis van onderzoek.
Al op 19 juli was bij het bedrijf Diginotar bekend dat er was ingebroken en dat hackers valselijk certificaten hadden aangemaakt. Ook is duidelijk dat vermoedelijk de Iraanse overheid achter de kraak heeft gezeten.
De Iraanse overheid?
I Ask for so Little. Just Fear Me, Love Me, Do as I Say, and I Will Be Your Slave.
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.quote:
[..]
http://www.nu.nl/internet(...)n-aangifte-hack.html
De Iraanse overheid?
know'm sayin?
×
word? word.
×
word? word.
Inderdaadquote:
[..]
Nee dat niet. Het is alleen dat het bedrijf niet meer te vertrouwen is dus willen google mozilla en microsoft hun certificaten ongeldig verklaren en dan is digid niet meer veilig.
. Ik beweerde net dat de Iraniers weinig met de Nederlandse certificaten kunnen maar de foutmelding die een browser nu geeft bij een Diginotar-cert. is natuurlijk veel makkelijker te veroorzaken door een Nederlandse hacker/phisher.
Ooit schreef oh-oh het volgende:Management en beleid en zo, dat kan elke debiel leren.
Nee... Het is een man in de middle attack. Om hier wat aan te hebben moet de data door hun servers lopen. Het is dus voor Iraniërs in hun eigen land.quote:
[..]
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.
Alle beveiligde websites van de overheid zijn niet meer betrouwbaar en kunnen vrij gemakkelijk worden gekraakt.quote:
[..]
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.
Eigenlijk alle SSL certificaten van dit bedrijf zijn niet betrouwbaar. Google maakte ook gebruik van deze certificaten)
Voor mij als leek klinkt het raar dat ze de sites die getroffen zijn niet meteen offline halen. Kan iemand mij dat uitleggen?
De reden waarom ze nu opeens midden in de nacht die persco geven is omdat over een paar uur die certificaten foutmeldingen gaan geven in de browsers omdat ze door Mozilla/Google/etc op de zwarte lijst komen.
Dan rest natuurlijk de vraag, waarom komen ze daar nu pas bij, hadden ze toch vanmiddag al aan kunnen zien komen?
Dan rest natuurlijk de vraag, waarom komen ze daar nu pas bij, hadden ze toch vanmiddag al aan kunnen zien komen?
Ik vind het ook raar, zo;n beveiligingsmelding klikken echt veel mensen gewoon weg.
know'm sayin?
×
word? word.
×
word? word.
quote:
[..]
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.
Iran zou juist achter de hack zitten volgens nu.nl quote:Ook is duidelijk dat vermoedelijk de Iraanse overheid achter de kraak heeft gezeten.
I Ask for so Little. Just Fear Me, Love Me, Do as I Say, and I Will Be Your Slave.
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
De sites zijn niet gekraakt. Alleen gmail lijkt getroffen te zijn en zelfs dan kan de Iraanse overheid enkel meekijken met gmail gebruikers in Iran. De reden dat alle certificaten geblokkeerd gaan worden is dat het certificaten bedrijf erg slordig was.quote:Op zaterdag 3 september 2011 01:21 schreef Operc het volgende:
Voor mij als leek klinkt het raar dat ze de sites die getroffen zijn niet meteen offline halen. Kan iemand mij dat uitleggen?
Certificaten zijn gestolen/verdwenen
I Ask for so Little. Just Fear Me, Love Me, Do as I Say, and I Will Be Your Slave.
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
en alleen de NOS is aanwezig lijkt het? RTL mic zie ik er niet bij staan, die slapen zeker alquote:Die persconferentie verloopt ook niet helemaal wakker.
There are only 151 Pokémon.
dit is een melding waarbij jezeg maar 1 grote knop: "ik ga weg van de site" hebt en ergens in een hoekje een linkje met "ik ga door"quote:
Ik vind het ook raar, zo;n beveiligingsmelding klikken echt veel mensen gewoon weg.
potentieel van grote invloed dus...
echter snap ik het gezeur niet zo: de SSL certificaten van de overheid zijn door/met een speciale CA aangemaakt (Staat der Nederlanden CA)
zolang daar niks mee is gemaakt is er niet echt een probleem
Het leek best spannend, maar nu ben ik inderdaad geneigd ook maar te gaan slapen. Arme Donner.quote:
[..]
en alleen de NOS is aanwezig lijkt het? RTL mic zie ik er niet bij staan, die slapen zeker al
Er wordt dus niet ontkent nog toegegeven dat de Iraanse regering er achter zou zitten. Hij had de bewering ook gehoord, maar kan hier verder niet op doorgaan. Weet het niet.
I Ask for so Little. Just Fear Me, Love Me, Do as I Say, and I Will Be Your Slave.
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
Die NOS verslaggever stelt moeilijke vragen en Donner ziet eruit alsof hij nu liever in bed had gelegen.
.
Zo'n slotje zegt toch ook niet alles..
en ik vind dat ze die sites imo offline moeten halen, veel mensen klikken altijd door nadat ze een zo'n veiligheidsbericht krijgen.
en ik vind dat ze die sites imo offline moeten halen, veel mensen klikken altijd door nadat ze een zo'n veiligheidsbericht krijgen.
There are only 151 Pokémon.
Helaas wel jaquote:
Zo'n slotje zegt toch ook niet alles..
en ik vind dat ze die sites imo offline moeten halen, veel mensen klikken altijd door nadat ze een zo'n veiligheidsbericht krijgen.
.
Ze zijn al even bezig met damage control hoor.quote:
Trouwens wel een FUCKING late reactie van de overheid.
Ik doe wellis online aankopen zoals pizza of kapasalon wat later op de avond met Ideal van abnamro moet ik dan nu extra op letten?
Uit dat onderzoek van Fox-IT bleek dat niet uitgesloten kan zijn dat ook de PKI certificaten gecompromiteerd zijn.quote:
[..]
dit is een melding waarbij jezeg maar 1 grote knop: "ik ga weg van de site" hebt en ergens in een hoekje een linkje met "ik ga door"
potentieel van grote invloed dus...
echter snap ik het gezeur niet zo: de SSL certificaten van de overheid zijn door/met een speciale CA aangemaakt (Staat der Nederlanden CA)
zolang daar niks mee is gemaakt is er niet echt een probleem
Ooit schreef oh-oh het volgende:Management en beleid en zo, dat kan elke debiel leren.
Zie deze hack als een superidentiteitsdiefstal.
[quote][img]http://i.fokzine.net/p/10s.gif[/img] Op maandag 23 april 2012 17:00 schreef Voorschrift het volgende:
[..]
[..]
Op dag 1 je certificaten intrekken en bij een betrouwbare partij inkopen, ik noem een Thawte / VeriSign.quote:
[..]
Ze zijn al even bezig met damage control hoor.
ABN zit bij VeriSign en dat is goed te vertrouwen.quote:
Ik doe wellis online aankopen zoals pizza of kapasalon wat later op de avond met Ideal van abnamro moet ik dan nu extra op letten?
Ook buitenlandse sites zouden gehakt kunnen zijn? Lekker vaag ook weer
I Ask for so Little. Just Fear Me, Love Me, Do as I Say, and I Will Be Your Slave.
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
User van NWS zei: Maak van internet een schoner riool! YES WE CAN!
ze hadden een dag na bekend wording nieuwe certificaten moeten laten aanmaken/aanvragen bij een ander bedrijf, ja dat kost wat, ja vervelend voor diginotar maar alles voor de veiligheidquote:
Zo'n slotje zegt toch ook niet alles..
en ik vind dat ze die sites imo offline moeten halen, veel mensen klikken altijd door nadat ze een zo'n veiligheidsbericht krijgen.
De certificaten van de overheid waren op zich in orde. Ze zijn ook al sinds het begin in gesprek met mozilla en google om tijd te winnen. Je moet begrijpen dat de overheid 30 lagen heeft en honderden sites. Die machine verander je niet in 1 dag.quote:Op zaterdag 3 september 2011 01:32 schreef PiRANiA het volgende:
[..]
Op dag 1 je certificaten intrekken en bij een betrouwbare partij inkopen, ik noem een Thawte / VeriSign.
Had het meteen gemeld op de FP, rond 01.00 uur, maar ze slapen daar al.
[b]"It's me Bitches..!!! "[/b]
*********************************************************************
[b]Every Need Has An Ego To Feed[/b]..............
*********************************************************************
[b]Every Need Has An Ego To Feed[/b]..............
Ja, via kijktvonline.nl, maar de uitzending is net afgelopenquote:
Currency War, Trade War, Real War
Dat zal ja, maar zeker de grootste sites met de meeste bezoekers zouden prio1 moeten krijgen (DigID).quote:
[..]
De certificaten van de overheid waren op zich in orde. Ze zijn ook al sinds het begin in gesprek met mozilla en google om tijd te winnen. Je moet begrijpen dat de overheid 30 lagen heeft en honderden sites. Die machine verander je niet in 1 dag.
Of dat nu zo is was niet helemaal duidelijk.quote:
Ook buitenlandse sites zouden gehakt kunnen zijn? Lekker vaag ook weer
AFC AJAX
Zag ik nou echt 'rechtsstreeks' naar 'rechtstreeks' veranderen?
Yvonne riep ergens: [b]Static is gewoon Static, je leeft met hem of niet.
Geen verborgen agenda's, trouw, grote muil, lief hartje, bang voor bloed, scheld FA's graag uit voor lul.[/b]
Geen verborgen agenda's, trouw, grote muil, lief hartje, bang voor bloed, scheld FA's graag uit voor lul.[/b]
Rechts kabinet, die denken bij links nooit aan websitesquote:
Maar goed, dit was mij in ieder geval al dagen bekend, hoe heeft dit zo lang kunnen duren...
[quote][img]http://i.fokzine.net/p/10s.gif[/img] Op maandag 23 april 2012 17:00 schreef Voorschrift het volgende:
[..]
[..]
Hahaquote:
[..]
Rechts kabinet, die denken bij links nooit aan websites
;P
Ben benieuwd of de focus van justitie nu ligt op de hackers, of op Diginotar.
Bij de hacks van de meerdere sites die we de afgelopen weken voorbij hebben zien komen zag je elke keer weer in de pers voorbij komen dat er alles aan gedaan wordt de daders te pakken, maar nergens werd gepraat over de rol van maker van deze sites. Om een voorbeeld te noemen; de pepper.nl hack, één of andere datingsite met een beveiliging uit het jaar 0. In plaats van excuses aan te bieden aan hun gebruikers deden ze net alsof ze zelf niks fout hadden gedaan en legden ze de focus volledig op de hackers zelf.
Hoop dat we nu eindelijk een keer een draai hierin gaan zien.
Bij de hacks van de meerdere sites die we de afgelopen weken voorbij hebben zien komen zag je elke keer weer in de pers voorbij komen dat er alles aan gedaan wordt de daders te pakken, maar nergens werd gepraat over de rol van maker van deze sites. Om een voorbeeld te noemen; de pepper.nl hack, één of andere datingsite met een beveiliging uit het jaar 0. In plaats van excuses aan te bieden aan hun gebruikers deden ze net alsof ze zelf niks fout hadden gedaan en legden ze de focus volledig op de hackers zelf.
Hoop dat we nu eindelijk een keer een draai hierin gaan zien.
bij ons op de gemeente was vanochtend al bekend dat de certificaten niet meer te vertrouwen waren, waarom ze nu pas een persco geven is mij ook een raadsel
Het duurde even voor Donner begreep wat hij moest gaan vertellen.quote:
bij ons op de gemeente was vanochtend al bekend dat de certificaten niet meer te vertrouwen waren, waarom ze nu pas een persco geven is mij ook een raadsel
Het "nieuws" van net was dat ook de PKI-overheid certificaten als gecompromitteerd worden beschouwd. Deze staan in principe los van de 'gewone' Diginotar-certificaten (die al eerder deze week ingetrokken waren) maar omdat Diginotar zoveel steken heeft laten vallen wordt nu ook het vertrouwen in de PKI-overheids-certificaten opgezegd.
haha dat viel mij ook al op, maar het was al laat he dus dan mogen ze van mij best een typefoutje makenquote:
Zag ik nou echt 'rechtsstreeks' naar 'rechtstreeks' veranderen?
Donner snapte er ook niet zo veel van nee. Maar het is nogal een technisch verhaal, en als je ICT hebt gestudeerd snap je het waarschijnlijk wel maar volgens mij heeft Donner dat nooit gedaan.quote:
[..]
Het duurde even voor Donner begreep wat hij moest gaan vertellen.
Wellicht is uit verder onderzoek vandaag gebleken dat de situatie ernstiger is dan aanvankelijk werd gedacht.quote:
bij ons op de gemeente was vanochtend al bekend dat de certificaten niet meer te vertrouwen waren, waarom ze nu pas een persco geven is mij ook een raadsel
Currency War, Trade War, Real War
Donner is blijven hangen in de jaren 70, hij zou zomaar van een andere planeet kunnen komen...quote:
[..]
Het duurde even voor Donner begreep wat hij moest gaan vertellen.
9/10 x kun je toch niet inloggen op DigiD dus who cares.
Op vrijdag 18 maart 2011 01:26 [b]schreef Ezio het volgende:[/b]Ik ga nu wel. Kijk uit waar je je staart steekt!
Groetjes, Ezio.
Groetjes, Ezio.
Ze dachten gisteren nog wat langer met die certificaten te kunnen omdat de browsers een uitzondering gingen maken.quote:
[..]
Wellicht is uit verder onderzoek vandaag gebleken dat de situatie ernstiger is dan aanvankelijk werd gedacht.
idd, zolang maar Fok! betrouwbaar is... dan vind ik alles goed.quote:
9/10 x kun je toch niet inloggen op DigiD dus who cares.
Piep
Herman Finkers... He buurman, ik hier ?
Daar kun je best eens gelijk in hebben. Wij hebben misschien 15 sites geblokkeerd voor de medewerkers, terwijl ik net hoor dat er meer dan 100 sites problemen kunnen geven. Dat scheelt nogal. Probleem is alleen dat als je alle sites blokkeert er maandag op de gemeentehuizen niks kan worden gedaan, vandaar ook dat ze vanuit de centrale overheid de websites maar niet geblokkeerd hebben denk ik.quote:
[..]
Wellicht is uit verder onderzoek vandaag gebleken dat de situatie ernstiger is dan aanvankelijk werd gedacht.
Mja, ik hoorde Donner ook over Suwinet, dat vind ik best zorgelijk. In dat systeem staan je naw gegevens, je werkverleden/uitkering, wat je inkomsten zijn, of je kinderbijslag ontvangt en ga zo maar door.quote:
9/10 x kun je toch niet inloggen op DigiD dus who cares.
Currency War, Trade War, Real War
Suwinet is inderdaad veel zorgelijker dan bijvoorbeeld Digi-D, dat was dan ook de eerste website die bij ons op de gemeente was geblokkeerd en ik hoop dat de meeste gemeentes net zo gehandeld hebben. Als die gegevens op straat komen te liggen ben je echt ver van huis en is de persco die om kwart over 1 werd gegeven volledig terecht.quote:
[..]
Mja, ik hoorde Donner ook over Suwinet, dat vind ik best zorgelijk. In dat systeem staan je naw gegevens, je werkverleden/uitkering, wat je inkomsten zijn, of je kinderbijslag ontvangt en ga zo maar door.
SSL versleuteld alleen data die verzonden wordt en boefjes die kwaad willen moeten dus eerst de controle hebben over een internet kabel tussen jou en de overheid voordat ze zich voor kunnen doen als de overheid en je shit kunnen lezen.quote:
[..]
Mja, ik hoorde Donner ook over Suwinet, dat vind ik best zorgelijk. In dat systeem staan je naw gegevens, je werkverleden/uitkering, wat je inkomsten zijn, of je kinderbijslag ontvangt en ga zo maar door.
Via die nepcertificaten kunnen die boefjes je naar een hele andere, zogenaamd beveiligde en vertrouwde website toe lokken waar onwetenden vervolgens al hun vertrouwelijke gegevens invoeren..
Om je naar een valse (namaak) website te lokken zijn nog wel andere middelen nodig bijv. malware/trojan horses dmv phishing op de computers van de gebruikers, gehackte DNS-servers of in het geval van Iran waarschijnlijk de overheid die even tussen de gebruiker en google.com gaat zitten met een via DigiNotar geldig verklaard certificaat. De valse certificaten dienen vervolgens om de gebruiker het vertrouwen te geven dat hij een veilige verbinding heeft met de echte site, terwijl hij dat dus niet heeft.quote:
Via die nepcertificaten kunnen die boefjes je naar een hele andere, zogenaamd beveiligde en vertrouwde website toe lokken waar onwetenden vervolgens al hun vertrouwelijke gegevens invoeren..
Het probleem is dat Diginotar geprobeerd heeft de hack stil te houden. Ook toen het incident bekend werd, heeft het bedrijf niet gedaan wat van ze mag worden verwacht. Dus de enige juiste actie was om het vertrouwen op te zeggen.
• In hoeverre is Diginotar gehackt? Zijn de hackers helemaal binnen het bedrijf gedrongen?
• Zo ja, welke beveiligingstechnologieën waren nog meer aanwezig binnen dit bedrijf die eventueel ontvreemd zouden kunnen zijn?
• Diginotar is onderdeel van Vasco, vooral bekend van de challenge/response systemen die bv. ook bij de Rabobank gebruikt wordt. In hoeverre kunnen ze garanderen dat andere onderdelen van Vasco ongemoeid zijn gebleven?
• Zo ja, welke beveiligingstechnologieën waren nog meer aanwezig binnen dit bedrijf die eventueel ontvreemd zouden kunnen zijn?
• Diginotar is onderdeel van Vasco, vooral bekend van de challenge/response systemen die bv. ook bij de Rabobank gebruikt wordt. In hoeverre kunnen ze garanderen dat andere onderdelen van Vasco ongemoeid zijn gebleven?
Vraag dat aan fox@fox-it.comquote:Op zaterdag 3 september 2011 09:01 schreef ACT-F het volgende:
• In hoeverre is Diginotar gehackt? Zijn de hackers helemaal binnen het bedrijf gedrongen?
• Zo ja, welke beveiligingstechnologieën waren nog meer aanwezig binnen dit bedrijf die eventueel ontvreemd zouden kunnen zijn?
• Diginotar is onderdeel van Vasco, vooral bekend van de challenge/response systemen die bv. ook bij de Rabobank gebruikt wordt. In hoeverre kunnen ze garanderen dat andere onderdelen van Vasco ongemoeid zijn gebleven?
, en plak hier de antwoorden.
Ooit schreef oh-oh het volgende:Management en beleid en zo, dat kan elke debiel leren.
Ben benieuwd of dit nog consequenties gaat hebben voor Iran...het verbaasd mij dat nog geen enkele politici (zowel binnen als buitenlands) stevige kritiek op de regering van Iran heeft geuit. Het was al een schurkenstaat, maar dit vind ik toch wel spionage buiten de eigen landsgrenzen...
Ik, als ICT'er, vind dit een briljante move van Iran, al mag het huidige regime daar van mij zsm. *** ****** ** **** ***. Maar wie Iran hier op aan wil spreken zal ook wat vragen mogen beantwoorden, oa. over een worm/virus dat een tijdje terug rondwaarde en het toevallig vooral voorzien had op iraanse ultracentrifuges, en wat andere onfrisse zaken. Er is al een tijdje een oorlog aan de gang in cyberspace, het omvallen van DigiNotar is "collateral damage".quote:
Ben benieuwd of dit nog consequenties gaat hebben voor Iran...het verbaasd mij dat nog geen enkele politici (zowel binnen als buitenlands) stevige kritiek op de regering van Iran heeft geuit. Het was al een schurkenstaat, maar dit vind ik toch wel spionage buiten de eigen landsgrenzen...
Ooit schreef oh-oh het volgende:Management en beleid en zo, dat kan elke debiel leren.
Nu minister Donner op Radio 1 met een toelichting:
"...browsers als Google enzo..."
En 2 minuten later nog een keer "...ik weet dat grote browsers als Google..."
.
"...browsers als Google enzo..."
En 2 minuten later nog een keer "...ik weet dat grote browsers als Google..."
.
Zo zondequote:Op zaterdag 3 september 2011 11:09 schreef Modus het volgende:
Nu minister Donner op Radio 1 met een toelichting:
"...browsers als Google enzo..."
En 2 minuten later nog een keer "...ik weet dat grote browsers als Google..."
.
Maar andersom mag het welquote:
Ben benieuwd of dit nog consequenties gaat hebben voor Iran...het verbaasd mij dat nog geen enkele politici (zowel binnen als buitenlands) stevige kritiek op de regering van Iran heeft geuit. Het was al een schurkenstaat, maar dit vind ik toch wel spionage buiten de eigen landsgrenzen...
?
AFC AJAX
Op 
ach, die man is geen IT nerd...quote:
Nu minister Donner op Radio 1 met een toelichting:
"...browsers als Google enzo..."
En 2 minuten later nog een keer "...ik weet dat grote browsers als Google..."
overigens vind ik het een beetje vreemd: (voor de IT'ers hier)
de RDW heeft wel een ongeldig certificaat maar digID heeft geen ongeldig certificaat..
diginotar staat dan ook niet meer op de trusted root CA lijst (wat de RDW verklaart)
maar er staat wel een "Staat der nederlanden CA" n de trusted root CA lijst, waar DigID kennelijk mee gesigned is..
hoe zit dat, waarom waarschuwen als er geen probleem is?
En vergeet Israel niet, die een poosje geleden het Syrische luchtverdedigingsnetwerk zo hadden gehackt dat ze met 2 vingers in de neus even heen en weer volgen om dat nucleaire complex in aanbouw te bombarderen.quote:
[..]
Ik, als ICT'er, vind dit een briljante move van Iran, al mag het huidige regime daar van mij zsm. *** ****** ** **** ***. Maar wie Iran hier op aan wil spreken zal ook wat vragen mogen beantwoorden, oa. over een worm/virus dat een tijdje terug rondwaarde en het toevallig vooral voorzien had op iraanse ultracentrifuges, en wat andere onfrisse zaken. Er is al een tijdje een oorlog aan de gang in cyberspace, het omvallen van DigiNotar is "collateral damage".
Op woensdag 9 juni 2010 @ 09:07 schreef lezzer: Verder legt fruityloop uitstekend uit hoe het in het echte leven gaat.
De Staat der Nederlanden CA wordt op dit moment alleeen nog geaccepteerd omdat de overheid hier specifiek om gevraagd heeft. Het is natuurlijk maar afwachten hoe lang de browser makers dit in de lijst laten staan, mogelijk hebben ze enkel de overheid een kleine uitstel gegeven.quote:
[..]
ach, die man is geen IT nerd...
overigens vind ik het een beetje vreemd: (voor de IT'ers hier)
de RDW heeft wel een ongeldig certificaat maar digID heeft geen ongeldig certificaat..
diginotar staat dan ook niet meer op de trusted root CA lijst (wat de RDW verklaart)
maar er staat wel een "Staat der nederlanden CA" n de trusted root CA lijst, waar DigID kennelijk mee gesigned is..
hoe zit dat, waarom waarschuwen als er geen probleem is?
Zonet Firefox geupdate en ik krijg nog geen waarschuwing bij digid van Firefox. Terwijl ik wel kan zien dat het certificaat wordt beheerd door Diginotar bv.
zoals ik hierboven zei: DigID wordt gesigned door een aparte CA, die kennelijk nog trusted is.. (ondanks dat die wel weer via diginotar is gekomen...quote:
Zonet Firefox geupdate en ik krijg nog geen waarschuwing bij digid van Firefox. Terwijl ik wel kan zien dat het certificaat wordt beheerd door Diginotar bv.
DigID is ook onveilig, zelfde infrastructuur van Diginotar. Echter, wat ik absoluut onwenselijk vind, is dat Fox-IT, die in juli de eerste audit heeft gedaan, de staat niet heeft geinformeerd over het veiligheidslek, een aantal foute certificaten heeft laten zitten én nu weer de audit mag doen. Niet alleen Diginotar is onbetrouwbaar, Fox-IT is dat net zo!
|
|
