Ad.nlquote:'Crisisberaad overheidssites, zodadelijk personferentie Donner'
Op het ministerie van Binnenlandse Zaken is de hele avond crisisoverleg gevoerd over de beveiliging van Nederlandse overheidssites. Om één uur vannacht geeft minister Donner een persconferentie.
Dat meldt de NOS. Het zou gaan om een grootschalig IT-probleem.
Afgelopen week werd bekend dat het Nederlandse internetbeveiligingsbedrijf DigiNotar eerder een nep-certificaat had geaccepteerd dat door de Iraanse overheid zou zijn gebruikt om Gmail-accounts mee te bespioneren. DigiNotar verzorgt beveiligingscertificaten van onder meer overheidssites en de Belastingdienst.
Microsoft, Mozilla en Google, de grootste spelers op de browsermarkt, kondigden maatregelen aan die de sites mogelijk zouden blokkeren. Als de browsers de certificaten van Diginotar niet meer vertrouwen, zullen de sites die er gebruik van maken bij een volgende update niet meer beschikbaar zijn.
[ Bericht 91% gewijzigd door Taurus op 03-09-2011 01:15:45 ]
Ik snap er nog niks van, en ik snap ook niet wat de 'ver strekkende gevolgen' kunnen zijn? En de Iraniers hebben het gedaan. Tot zover.quote:Op zaterdag 3 september 2011 01:08 schreef OverRated het volgende:
Overheidssites geraakt omdat er een bedrijf dat in veiligheidscertificaten doet gehackt is. Of zo.
Ik snap er ook geen reet van. Donner zal het vast duidelijk maken.quote:Op zaterdag 3 september 2011 01:08 schreef Taurus het volgende:
[..]
Ik snap er nog niks van, en ik snap ook niet wat de 'ver strekkende gevolgen' kunnen zijn? En de Iraniers hebben het gedaan. Tot zover.
Nouja, overheidscommunicatie onderscheppen is geen kleine zaak natuurlijk.quote:
[..]
Ik snap er nog niks van, en ik snap ook niet wat de 'ver strekkende gevolgen' kunnen zijn? En de Iraniers hebben het gedaan. Tot zover.
Ja maar ik ben niet zo technisch, ik begrijp niet wat wij daar exact van gaan merken behalve een internetsite die even plat ligt. Ik heb ook wat drankjes op, eigenlijk.quote:
Ze hebben het net al 2 keer uitgelegd op Ned 1.
http://tweakers.net/nieuw(...)ontdekking-hack.htmlquote:
Overheidssites geraakt omdat er een bedrijf dat in veiligheidscertificaten doet gehackt is. Of zo.
SSL certificaten bedrijf is gehacked of heeft stiekem certificaten verkocht aan Iran waardoor die Gmail konden lezen. Nu willen de browsermakers alle certificaten van dat bedrijf blokkeren dus is digid niet meer veilig.
Daarvoor is wel wat meer nodig, dan moet je ook de Nederlandse DNS hacken. Op hun "eigen" deel van het internet kunnen ze wel een man-in-the-middle-attack uitvoeren, bv. doen alsof ze Gmail of Hotmail zijn.quote:
[..]
Nouja, overheidscommunicatie onderscheppen is geen kleine zaak natuurlijk.
De overheid had dit nooit uit handen mogen geven...
Ja maar het is vers van de pers. Ik kan echt nog geen link vinden met het nieuws, komt zo wel.quote:Op zaterdag 3 september 2011 01:10 schreef slashdotter3 het volgende:
Ik vind dit wel een heeeeeeeel mager nieuwsbericht. Zo kan ik ook wel een "Hongersnood in Afrika" topic openen
het staat nog niet eens op nu.nl en de meeste nieuwssites slapen blijkbaar al dus info vinden lijkt me ook niet makkelijk, maar als jij nou even zoektquote:
Ik vind dit wel een heeeeeeeel mager nieuwsbericht. Zo kan ik ook wel een "Hongersnood in Afrika" topic openen
Als ICTer zijnde vind ik het aan de ene kant wel goed dat het een keer goed mis is gegaan, gaan we eindelijk eens goede wetgeving krijgen omtrent beveiliging van persoonsgegevens.
Utopie.quote:
Persco midden in de nacht, dan weet je natuurlijk wel hoe laat het is...
Als ICTer zijnde vind ik het aan de ene kant wel goed dat het een keer goed mis is gegaan, gaan we eindelijk eens goede wetgeving krijgen omtrent beveiliging van persoonsgegevens.
Nee dat niet. Het is alleen dat het bedrijf niet meer te vertrouwen is dus willen google mozilla en microsoft hun certificaten ongeldig verklaren en dan is digid niet meer veilig.quote:
dus alles wat we via digiD hebben gedaan is onveilig? Al die gegevens gehacked? althans dat zou mogelijk kunnen zijn begrijp ik?
hij heeft er verder ook geen idee van denk ikquote:Op zaterdag 3 september 2011 01:15 schreef OverRated het volgende:
Donner lijkt niet zo blij te zijn dat hij nu een persco moet geven
Hij denkt, laat mijn ambtenaren het maar oplossen die er echt verstand van hebben.http://www.nu.nl/internet(...)n-aangifte-hack.htmlquote:Dat ontdekte NU.nl op basis van onderzoek.
Al op 19 juli was bij het bedrijf Diginotar bekend dat er was ingebroken en dat hackers valselijk certificaten hadden aangemaakt. Ook is duidelijk dat vermoedelijk de Iraanse overheid achter de kraak heeft gezeten.
De Iraanse overheid?
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.quote:
[..]
http://www.nu.nl/internet(...)n-aangifte-hack.html
De Iraanse overheid?
Inderdaadquote:
[..]
Nee dat niet. Het is alleen dat het bedrijf niet meer te vertrouwen is dus willen google mozilla en microsoft hun certificaten ongeldig verklaren en dan is digid niet meer veilig.
. Ik beweerde net dat de Iraniers weinig met de Nederlandse certificaten kunnen maar de foutmelding die een browser nu geeft bij een Diginotar-cert. is natuurlijk veel makkelijker te veroorzaken door een Nederlandse hacker/phisher.Nee... Het is een man in de middle attack. Om hier wat aan te hebben moet de data door hun servers lopen. Het is dus voor Iraniërs in hun eigen land.quote:
[..]
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.
Alle beveiligde websites van de overheid zijn niet meer betrouwbaar en kunnen vrij gemakkelijk worden gekraakt.quote:
[..]
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.
Eigenlijk alle SSL certificaten van dit bedrijf zijn niet betrouwbaar. Google maakte ook gebruik van deze certificaten)
Dan rest natuurlijk de vraag, waarom komen ze daar nu pas bij, hadden ze toch vanmiddag al aan kunnen zien komen?
quote:
[..]
ja blijkbaar om Iraniers in den vreemde in de gaten te houden.
Iran zou juist achter de hack zitten volgens nu.nl quote:Ook is duidelijk dat vermoedelijk de Iraanse overheid achter de kraak heeft gezeten.
Die persconferentie verloopt ook niet helemaal wakker.De sites zijn niet gekraakt. Alleen gmail lijkt getroffen te zijn en zelfs dan kan de Iraanse overheid enkel meekijken met gmail gebruikers in Iran. De reden dat alle certificaten geblokkeerd gaan worden is dat het certificaten bedrijf erg slordig was.quote:Op zaterdag 3 september 2011 01:21 schreef Operc het volgende:
Voor mij als leek klinkt het raar dat ze de sites die getroffen zijn niet meteen offline halen. Kan iemand mij dat uitleggen?
en alleen de NOS is aanwezig lijkt het? RTL mic zie ik er niet bij staan, die slapen zeker alquote:
dit is een melding waarbij jezeg maar 1 grote knop: "ik ga weg van de site" hebt en ergens in een hoekje een linkje met "ik ga door"quote:
Ik vind het ook raar, zo;n beveiligingsmelding klikken echt veel mensen gewoon weg.
potentieel van grote invloed dus...
echter snap ik het gezeur niet zo: de SSL certificaten van de overheid zijn door/met een speciale CA aangemaakt (Staat der Nederlanden CA)
zolang daar niks mee is gemaakt is er niet echt een probleem
Het leek best spannend, maar nu ben ik inderdaad geneigd ook maar te gaan slapen. Arme Donner.quote:
[..]
en alleen de NOS is aanwezig lijkt het? RTL mic zie ik er niet bij staan, die slapen zeker al
.en ik vind dat ze die sites imo offline moeten halen, veel mensen klikken altijd door nadat ze een zo'n veiligheidsbericht krijgen.
Helaas wel jaquote:
Zo'n slotje zegt toch ook niet alles..
en ik vind dat ze die sites imo offline moeten halen, veel mensen klikken altijd door nadat ze een zo'n veiligheidsbericht krijgen.
.Ze zijn al even bezig met damage control hoor.quote:
Trouwens wel een FUCKING late reactie van de overheid.
Uit dat onderzoek van Fox-IT bleek dat niet uitgesloten kan zijn dat ook de PKI certificaten gecompromiteerd zijn.quote:
[..]
dit is een melding waarbij jezeg maar 1 grote knop: "ik ga weg van de site" hebt en ergens in een hoekje een linkje met "ik ga door"
potentieel van grote invloed dus...
echter snap ik het gezeur niet zo: de SSL certificaten van de overheid zijn door/met een speciale CA aangemaakt (Staat der Nederlanden CA)
zolang daar niks mee is gemaakt is er niet echt een probleem
Op dag 1 je certificaten intrekken en bij een betrouwbare partij inkopen, ik noem een Thawte / VeriSign.quote:
[..]
Ze zijn al even bezig met damage control hoor.
ABN zit bij VeriSign en dat is goed te vertrouwen.quote:
Ik doe wellis online aankopen zoals pizza of kapasalon wat later op de avond met Ideal van abnamro moet ik dan nu extra op letten?
Brennoquote:
.Kijk je online?
ze hadden een dag na bekend wording nieuwe certificaten moeten laten aanmaken/aanvragen bij een ander bedrijf, ja dat kost wat, ja vervelend voor diginotar maar alles voor de veiligheidquote:
Zo'n slotje zegt toch ook niet alles..
en ik vind dat ze die sites imo offline moeten halen, veel mensen klikken altijd door nadat ze een zo'n veiligheidsbericht krijgen.
De certificaten van de overheid waren op zich in orde. Ze zijn ook al sinds het begin in gesprek met mozilla en google om tijd te winnen. Je moet begrijpen dat de overheid 30 lagen heeft en honderden sites. Die machine verander je niet in 1 dag.quote:Op zaterdag 3 september 2011 01:32 schreef PiRANiA het volgende:
[..]
Op dag 1 je certificaten intrekken en bij een betrouwbare partij inkopen, ik noem een Thawte / VeriSign.
Ja, via kijktvonline.nl, maar de uitzending is net afgelopenquote:
Dat zal ja, maar zeker de grootste sites met de meeste bezoekers zouden prio1 moeten krijgen (DigID).quote:
[..]
De certificaten van de overheid waren op zich in orde. Ze zijn ook al sinds het begin in gesprek met mozilla en google om tijd te winnen. Je moet begrijpen dat de overheid 30 lagen heeft en honderden sites. Die machine verander je niet in 1 dag.
Of dat nu zo is was niet helemaal duidelijk.quote:
Ook buitenlandse sites zouden gehakt kunnen zijn? Lekker vaag ook weer
Rechts kabinet, die denken bij links nooit aan websitesquote:
Maar goed, dit was mij in ieder geval al dagen bekend, hoe heeft dit zo lang kunnen duren...
Hahaquote:
[..]
Rechts kabinet, die denken bij links nooit aan websites
;P
Bij de hacks van de meerdere sites die we de afgelopen weken voorbij hebben zien komen zag je elke keer weer in de pers voorbij komen dat er alles aan gedaan wordt de daders te pakken, maar nergens werd gepraat over de rol van maker van deze sites. Om een voorbeeld te noemen; de pepper.nl hack, één of andere datingsite met een beveiliging uit het jaar 0. In plaats van excuses aan te bieden aan hun gebruikers deden ze net alsof ze zelf niks fout hadden gedaan en legden ze de focus volledig op de hackers zelf.
Hoop dat we nu eindelijk een keer een draai hierin gaan zien.
Het duurde even voor Donner begreep wat hij moest gaan vertellen.quote:
bij ons op de gemeente was vanochtend al bekend dat de certificaten niet meer te vertrouwen waren, waarom ze nu pas een persco geven is mij ook een raadsel
Het "nieuws" van net was dat ook de PKI-overheid certificaten als gecompromitteerd worden beschouwd. Deze staan in principe los van de 'gewone' Diginotar-certificaten (die al eerder deze week ingetrokken waren) maar omdat Diginotar zoveel steken heeft laten vallen wordt nu ook het vertrouwen in de PKI-overheids-certificaten opgezegd.
haha dat viel mij ook al op, maar het was al laat he dus dan mogen ze van mij best een typefoutje makenquote:
Zag ik nou echt 'rechtsstreeks' naar 'rechtstreeks' veranderen?
Donner snapte er ook niet zo veel van nee. Maar het is nogal een technisch verhaal, en als je ICT hebt gestudeerd snap je het waarschijnlijk wel maar volgens mij heeft Donner dat nooit gedaan.quote:
[..]
Het duurde even voor Donner begreep wat hij moest gaan vertellen.
Wellicht is uit verder onderzoek vandaag gebleken dat de situatie ernstiger is dan aanvankelijk werd gedacht.quote:
bij ons op de gemeente was vanochtend al bekend dat de certificaten niet meer te vertrouwen waren, waarom ze nu pas een persco geven is mij ook een raadsel
Donner is blijven hangen in de jaren 70, hij zou zomaar van een andere planeet kunnen komen...quote:
[..]
Het duurde even voor Donner begreep wat hij moest gaan vertellen.
Ze dachten gisteren nog wat langer met die certificaten te kunnen omdat de browsers een uitzondering gingen maken.quote:
[..]
Wellicht is uit verder onderzoek vandaag gebleken dat de situatie ernstiger is dan aanvankelijk werd gedacht.
idd, zolang maar Fok! betrouwbaar is... dan vind ik alles goed.quote:
9/10 x kun je toch niet inloggen op DigiD dus who cares.
PiepDaar kun je best eens gelijk in hebben. Wij hebben misschien 15 sites geblokkeerd voor de medewerkers, terwijl ik net hoor dat er meer dan 100 sites problemen kunnen geven. Dat scheelt nogal. Probleem is alleen dat als je alle sites blokkeert er maandag op de gemeentehuizen niks kan worden gedaan, vandaar ook dat ze vanuit de centrale overheid de websites maar niet geblokkeerd hebben denk ik.quote:
[..]
Wellicht is uit verder onderzoek vandaag gebleken dat de situatie ernstiger is dan aanvankelijk werd gedacht.
Mja, ik hoorde Donner ook over Suwinet, dat vind ik best zorgelijk. In dat systeem staan je naw gegevens, je werkverleden/uitkering, wat je inkomsten zijn, of je kinderbijslag ontvangt en ga zo maar door.quote:
9/10 x kun je toch niet inloggen op DigiD dus who cares.
Suwinet is inderdaad veel zorgelijker dan bijvoorbeeld Digi-D, dat was dan ook de eerste website die bij ons op de gemeente was geblokkeerd en ik hoop dat de meeste gemeentes net zo gehandeld hebben. Als die gegevens op straat komen te liggen ben je echt ver van huis en is de persco die om kwart over 1 werd gegeven volledig terecht.quote:
[..]
Mja, ik hoorde Donner ook over Suwinet, dat vind ik best zorgelijk. In dat systeem staan je naw gegevens, je werkverleden/uitkering, wat je inkomsten zijn, of je kinderbijslag ontvangt en ga zo maar door.
SSL versleuteld alleen data die verzonden wordt en boefjes die kwaad willen moeten dus eerst de controle hebben over een internet kabel tussen jou en de overheid voordat ze zich voor kunnen doen als de overheid en je shit kunnen lezen.quote:
[..]
Mja, ik hoorde Donner ook over Suwinet, dat vind ik best zorgelijk. In dat systeem staan je naw gegevens, je werkverleden/uitkering, wat je inkomsten zijn, of je kinderbijslag ontvangt en ga zo maar door.
Om je naar een valse (namaak) website te lokken zijn nog wel andere middelen nodig bijv. malware/trojan horses dmv phishing op de computers van de gebruikers, gehackte DNS-servers of in het geval van Iran waarschijnlijk de overheid die even tussen de gebruiker en google.com gaat zitten met een via DigiNotar geldig verklaard certificaat. De valse certificaten dienen vervolgens om de gebruiker het vertrouwen te geven dat hij een veilige verbinding heeft met de echte site, terwijl hij dat dus niet heeft.quote:
Via die nepcertificaten kunnen die boefjes je naar een hele andere, zogenaamd beveiligde en vertrouwde website toe lokken waar onwetenden vervolgens al hun vertrouwelijke gegevens invoeren..
Het probleem is dat Diginotar geprobeerd heeft de hack stil te houden. Ook toen het incident bekend werd, heeft het bedrijf niet gedaan wat van ze mag worden verwacht. Dus de enige juiste actie was om het vertrouwen op te zeggen.
Nee, daar zijn helemaal geen aanwijzingen voor.quote:
• Zo ja, welke beveiligingstechnologieën waren nog meer aanwezig binnen dit bedrijf die eventueel ontvreemd zouden kunnen zijn?
• Diginotar is onderdeel van Vasco, vooral bekend van de challenge/response systemen die bv. ook bij de Rabobank gebruikt wordt. In hoeverre kunnen ze garanderen dat andere onderdelen van Vasco ongemoeid zijn gebleven?
Vraag dat aan fox@fox-it.comquote:Op zaterdag 3 september 2011 09:01 schreef ACT-F het volgende:
• In hoeverre is Diginotar gehackt? Zijn de hackers helemaal binnen het bedrijf gedrongen?
• Zo ja, welke beveiligingstechnologieën waren nog meer aanwezig binnen dit bedrijf die eventueel ontvreemd zouden kunnen zijn?
• Diginotar is onderdeel van Vasco, vooral bekend van de challenge/response systemen die bv. ook bij de Rabobank gebruikt wordt. In hoeverre kunnen ze garanderen dat andere onderdelen van Vasco ongemoeid zijn gebleven?
, en plak hier de antwoorden.Ik, als ICT'er, vind dit een briljante move van Iran, al mag het huidige regime daar van mij zsm. *** ****** ** **** ***. Maar wie Iran hier op aan wil spreken zal ook wat vragen mogen beantwoorden, oa. over een worm/virus dat een tijdje terug rondwaarde en het toevallig vooral voorzien had op iraanse ultracentrifuges, en wat andere onfrisse zaken. Er is al een tijdje een oorlog aan de gang in cyberspace, het omvallen van DigiNotar is "collateral damage".quote:
Ben benieuwd of dit nog consequenties gaat hebben voor Iran...het verbaasd mij dat nog geen enkele politici (zowel binnen als buitenlands) stevige kritiek op de regering van Iran heeft geuit. Het was al een schurkenstaat, maar dit vind ik toch wel spionage buiten de eigen landsgrenzen...
"...browsers als Google enzo..."
En 2 minuten later nog een keer "...ik weet dat grote browsers als Google..."
.Zo zondequote:Op zaterdag 3 september 2011 11:09 schreef Modus het volgende:
Nu minister Donner op Radio 1 met een toelichting:
"...browsers als Google enzo..."
En 2 minuten later nog een keer "...ik weet dat grote browsers als Google..."
.Maar andersom mag het welquote:
Ben benieuwd of dit nog consequenties gaat hebben voor Iran...het verbaasd mij dat nog geen enkele politici (zowel binnen als buitenlands) stevige kritiek op de regering van Iran heeft geuit. Het was al een schurkenstaat, maar dit vind ik toch wel spionage buiten de eigen landsgrenzen...
?Ja hehe. Achterlijke cultuur en zulks.quote:
Op 
ach, die man is geen IT nerd...quote:
Nu minister Donner op Radio 1 met een toelichting:
"...browsers als Google enzo..."
En 2 minuten later nog een keer "...ik weet dat grote browsers als Google..."
overigens vind ik het een beetje vreemd: (voor de IT'ers hier)
de RDW heeft wel een ongeldig certificaat maar digID heeft geen ongeldig certificaat..
diginotar staat dan ook niet meer op de trusted root CA lijst (wat de RDW verklaart)
maar er staat wel een "Staat der nederlanden CA" n de trusted root CA lijst, waar DigID kennelijk mee gesigned is..
hoe zit dat, waarom waarschuwen als er geen probleem is?
En vergeet Israel niet, die een poosje geleden het Syrische luchtverdedigingsnetwerk zo hadden gehackt dat ze met 2 vingers in de neus even heen en weer volgen om dat nucleaire complex in aanbouw te bombarderen.quote:
[..]
Ik, als ICT'er, vind dit een briljante move van Iran, al mag het huidige regime daar van mij zsm. *** ****** ** **** ***. Maar wie Iran hier op aan wil spreken zal ook wat vragen mogen beantwoorden, oa. over een worm/virus dat een tijdje terug rondwaarde en het toevallig vooral voorzien had op iraanse ultracentrifuges, en wat andere onfrisse zaken. Er is al een tijdje een oorlog aan de gang in cyberspace, het omvallen van DigiNotar is "collateral damage".
De Staat der Nederlanden CA wordt op dit moment alleeen nog geaccepteerd omdat de overheid hier specifiek om gevraagd heeft. Het is natuurlijk maar afwachten hoe lang de browser makers dit in de lijst laten staan, mogelijk hebben ze enkel de overheid een kleine uitstel gegeven.quote:
[..]
ach, die man is geen IT nerd...
overigens vind ik het een beetje vreemd: (voor de IT'ers hier)
de RDW heeft wel een ongeldig certificaat maar digID heeft geen ongeldig certificaat..
diginotar staat dan ook niet meer op de trusted root CA lijst (wat de RDW verklaart)
maar er staat wel een "Staat der nederlanden CA" n de trusted root CA lijst, waar DigID kennelijk mee gesigned is..
hoe zit dat, waarom waarschuwen als er geen probleem is?
zoals ik hierboven zei: DigID wordt gesigned door een aparte CA, die kennelijk nog trusted is.. (ondanks dat die wel weer via diginotar is gekomen...quote:
Zonet Firefox geupdate en ik krijg nog geen waarschuwing bij digid van Firefox. Terwijl ik wel kan zien dat het certificaat wordt beheerd door Diginotar bv.
Wel apart dit nieuws, nog geen week oud... (ook van Tweakers):quote:Overheid: mogelijk DigiD-inloggegevens gestolen door hack
Door Arnoud Wokke, zaterdag 3 september 2011 13:03, views: 2.317
Het systeem, waarmee ssl-certificaten voor overheidsdiensten als DigiD en de belastingdienst worden gemaakt, is gekraakt. Dat blijkt uit een rapport van beveiligingsbedrijf Fox-IT. Het is onduidelijk of DigiD-inloggegevens zijn gestolen.
Het is niet onmogelijk dat hackers de inloggegevens van Nederlanders bij DigiD hebben buitgemaakt, schrijft het ministerie van Binnenlandse Zaken. Het systeem waarmee ssl-certificaten voor onder meer DigiD, de Rijksdienst voor het Wegverkeer en de Belastingdienst worden gemaakt, blijkt te zijn gekraakt door hackers. Dat blijkt uit het rapport dat beveiligingsbedrijf Fox-IT schreef over de hack bij ssl-autoriteit DigiNotar.
De Rijksoverheid lijkt vooralsnog de kans dat er valse certificaten voor de overheidsdiensten zijn misbruikt, niet groot te achten, maar waarschuwt mensen wel: "Er valt niet voor de volle honderd procent uit te sluiten dat u als gebruiker geen risico loopt als gevolg van frauduleuze certificaten. Zo kunnen aanvallers u herleiden naar een
malafide website en daarmee uw inloggegevens, zoals gebruikersnaam en wachtwoord, in handen krijgen. Hiermee kunnen zij toegang krijgen tot uw account. Daarnaast kunt u als gebruiker in de veronderstelling zijn dat u te maken heeft met een betrouwbare website. Als u dan bijvoorbeeld software wilt downloaden, kan dat
kwaadaardige software zijn zonder dat u het weet."
Totaan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op. Browsers zullen vanaf binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken.
quote:Minister Donner: weinig fraude met DigiD
Door Arnoud Wokke, donderdag 25 augustus 2011 14:25, views: 11.776
Er komen nauwelijks gevallen van fraude voor met DigiD. Dat zegt minister Donner van Binnenlandse Zaken in antwoord op Kamervragen. Het is overigens volgens de minister niet onmogelijk dat een kwaadwillende de DigiD van een ander bemachtigt.
In totaal zijn acht DigiD's dit jaar opgeheven in verband met fraude, zegt Donner in antwoord op Kamervragen. Daarnaast zijn er enkele tientallen meldingen geweest van vermeende fraude. VVD-Kamerlid Helma Nepperus stelde vragen naar aanleiding van berichtgeving in media over fraudegevallen, waarbij namens honderden huishoudens in Rotterdam en omgeving toeslagen waren aangevraagd.
Volgens Donner hadden die fraudegevallen niets te maken met DigiD, al kan hij niet zeggen hoe de fraudeur dan wel te werk is gegaan. "Het betreft hier het frauduleus aanvragen van toeslagen met behulp van identiteitsgegevens van de getroffen huishoudens. Daarvoor waren de DigiD’s van de getroffen huishoudens niet nodig. De Belastingdienst heeft inmiddels maatregelen getroffen waardoor dit niet meer mogelijk is." Het is onduidelijk welke maatregelen dat zijn. Donner wil vanwege het lopende onderzoek niets kwijt over de kwestie.
Desondanks wordt DigiD in de toekomst vervangen door eNik, de elektronische Nederlandse identiteitskaart. Donner zal zijn plannen daarvoor in september ontvouwen. Eerder veegde de Nationale Ombudsman nog de vloer aan met DigiD, omdat het systeem onveilig zou zijn. Volgens de Nationale Ombudsman legt de overheid het probleem bij de burger neer, terwijl slachtoffers van DigiD-fraude bovendien niet goed worden geholpen. Slachtoffers zouden van het kastje naar de muur worden gestuurd en de dienstverlening zou te traag verlopen.
De eerste audit in juli is uitgevoerd door Price Waterhouse Coopers. Fox-IT is pas deze week gevraagd nadat bekend was geworden dat er toch nog een geldig Diginotar-certificaat voor google.com in omloop was.quote:Op zaterdag 3 september 2011 13:21 schreef DABAMaster het volgende:
DigID is ook onveilig, zelfde infrastructuur van Diginotar. Echter, wat ik absoluut onwenselijk vind, is dat Fox-IT, die in juli de eerste audit heeft gedaan, de staat niet heeft geinformeerd over het veiligheidslek, een aantal foute certificaten heeft laten zitten én nu weer de audit mag doen. Niet alleen Diginotar is onbetrouwbaar, Fox-IT is dat net zo!
Ah op die manier. Thnx.quote:
[..]
zoals ik hierboven zei: DigID wordt gesigned door een aparte CA, die kennelijk nog trusted is.. (ondanks dat die wel weer via diginotar is gekomen...
http://twitter.com/#!/wol/status/109957505135808512quote:@wol
Jeroen Wollaars
En weer een persco van Donner over "vervolgmaatregelen" #diginotar. Drie uur. Niet live. Doen we alleen 's nachts.
13 minuten geleden via Twitter for Android
Tuurlijk, daar konden we op wachten.quote:
SP wil parlementair onderzoek ICT-beveiliging
En uiteraard moet de ov-chipkaart er weer bij, waar de overheid niks over te zeggen heeft. Da's appels met voetballen vergelijken. 
In principe heeft de overheid nu toch ook ingegrepen bij een particulier bedrijf waar de overheid zaken mee doet? Niet dat ik daarmee voorstander ben van een parlementair onderzoek (of tegenstander).quote:
[..]
Tuurlijk, daar konden we op wachten.
tuurlijk heeft de overheid daar wat over te zeggen, die hebben dat ding immers door onze strot geramd..quote:
[..]
Tuurlijk, daar konden we op wachten.
Ik kijk daar niet vreemd van op. Wat ik el vreemd vind is dat DigiNotar hier al meer dan een maand van wist. Wat hebben ze ertegen ondernomen, en hebben ze er wel iets tegen ondernomen? Zo nee, waarom niet.
Als systemen die ssl-certificaten uitgeven zijn "gekraakt" zijn daarmee dan niet potentieel alle https verbindingen ondermijnd?
Klaarblijkelijk niet, maar waarom niet?
Ik heb er verder niet veel verstand van.
er zijn meerdere uitgevers (CA, Certificate authorities)quote:
Kan iemand het nog even uitleggen?
Als systemen die ssl-certificaten uitgeven zijn "gekraakt" zijn daarmee dan niet potentieel alle https verbindingen ondermijnd?
Klaarblijkelijk niet, maar waarom niet?
Ik heb er verder niet veel verstand van.
1 daarvan heeft een hack gehad (diginotar)
hierbij hebben de hackers de sleutel buitgemaakt waarmee je een -vertrouwd- certificaat kan uitgeven
jij, ik en alleman kan namelijk ook een certificaat uitgeven, maar die is niet vertrouwd (omdat wij geen CA zijn)
(volg je het nog?
)nu hebben dus de hackers een vals (maar die dus wel werd vertrouwd) certificaat gemaakt waarnee dus beveiligde verbindingen naar gmail onderschept kunnen worden en er "meegekeken"/ingebroken kan worden op de verbinding
is dit duidelijker?
het probleem is dat je met die eerder genoemde sleutel voor elk domein een certificaat aan kan maken, dit KAN dus een grote impact hebben.. maar inmiddels vertrouwen de browsers (internet explorer, chrome, firefox etc.) die sleutel van diginotar niet meer..
Dus als je een site die een certificaat van diginotar heeft bezoekt zal er nu een melding komen dat het certificaat niet meer vertrouwd is en dus kan er niet worden gegarandeerd of de verbinding veilig is
Ja duidelijk, en thanks.quote:
Maar in de praktijk hebben die hackers dus aardig de tijd gehad om die certificaten te misbruiken. En gaat het ook nog eens over het bedrijf dat ze afgeeft voor veel Nederlandse aangelegenheden.
Ik verbaas me eigenlijk nog het meest over dat deze thread pas op Page 2 is.
En om weer zeker te weten dat je met de juiste site (Diginotar) communiceert heb je zeker ook weer een certificaat nodig, ad inf.
Voor dit incident heb ik nog nooit van dit bedrijf gehoord, zijn de andere bedrijven die ook certificaten verstrekken bekend? Kan iedereen zoiets opzetten?
Ik begrijp eigenlijk niet hoe wij de afgelopen jaren veilig hebben kunnen internetten, voor mij lijkt het hele internet 1 groot veiligheidsrisico.
Maar nu las ik weer vanuit een andere bron "Nos Nieuws" dat de naam Verisign er wel bijstaat onder een andere lijst van namen. Ik moet eerlijk toegeven ik ben niet thuis in het internet gebeuren en ben blij mijn knopje te vinden van mijn computer, dus vraag ik jullie of ik dit nu goed lees of dat ik de berichtgeving verkeerd begrepen heb.
Het betreft de deze bron:
http://nos.nl/artikel/269(...)es-doelwit-hack.html
onderaan staat de lijst van webpagina's waar Verisign ook tussen staat.
Ik ook. In het Journaal werd net gedaan of iedereen het begreep na de uitleg van de een of andere IT journalist. Bij mij, terwijl ik toch wel iets van IT afweet, riep het meer vragen op dan dat het antwoorden gaf. Ik heb het idee dat niemand voor het feit uit durft te komen dat hij/zij er eigenlijk niets van begrijpt.quote:
Ik verbaas me eigenlijk nog het meest over dat deze thread pas op Page 2 is.
Zo gaan wij (de alfas) trouwens altijd om met exacte onderwerpen, net doen of het begrepen wordt of zeggen dat het niet belangrijk is, of iets voor techneuten (een term die de minachting duidelijk maakt)
even heel kort (omdat ik daar ook niet 100% thuis in ben..)quote:
Kan iemand mij uitleggen hoe er gegarandeerd wordt dat bij de certificaat controle die mijn PC doet voordat ik een SSL verbinding ga opzetten gecontroleerd wordt op de goede (betrouwbare) site. M.a.w. waarom kun je niet een site bouwen die zich voordoet als de Diginotar site?
En om weer zeker te weten dat je met de juiste site (Diginotar) communiceert heb je zeker ook weer een certificaat nodig, ad inf.
Voor dit incident heb ik nog nooit van dit bedrijf gehoord, zijn de andere bedrijven die ook certificaten verstrekken bekend? Kan iedereen zoiets opzetten?
Ik begrijp eigenlijk niet hoe wij de afgelopen jaren veilig hebben kunnen internetten, voor mij lijkt het hele internet 1 groot veiligheidsrisico.
een bedrijf dat certificaten uitgeeft (de CA, certificate authority) heeft zelf ook een certificaat, het zo genaamde Root certificaat.
alle bedrijven met een root certificaat staan in een lijstje
en dat lijstje wordt bijgewerkt...
een root certificaat krijg je uiteraard niet zomaar, daar zal je grof geld voor neer moeten leggen en diverse garantie's kunnen geven... (maar hoe dat zit, geen idee)
als er iemand is die dat wat beter kan uitleggen: be my guest
Nog een nieuwtje trouwens:
http://webwereld.nl/nieuw(...)-windows-update.html
Geen idee of het sensatie of realiteit is.
quote:Er blijken zeker tweehonderd meer nepcertificaten door DigiNotar te zijn uitgegeven dan de 247 die eerder zijn ontdekt. Ook het certificaat voor Windows Update blijkt nu te zijn vervalst.
Dankzij de vervalsing van het certificaat voor Windows Update zou Iran in theorie aangepaste versies van het besturingssysteem kunnen verspreiden, met het doel om internetgebruikers te bespioneren. Vooral in niet-westerse landen waar de overheid de controle heeft over de verbindingen, is zoiets mogelijk.
Ook de veiligheid van honderden websites van de Nederlandse overheid en bedrijven als Facebook, Gmail en Twitter is in gevaar.
Afgelopen vrijdag greep minister Donner van Binnenlandse Zaken in bij DigiNotar. Maandag stuurt hij een brief naar de Tweede Kamer, met daarin de laatste stand van zaken en de resultaten van het onderzoek naar wat er misging bij DigiNotar.
Er werden ook informatienummers geopend voor burgers en bedrijven met vragen over de veiligheid van overheidswebsites. Daar is dit weekend nog niet veel gebruik van gemaakt, meldt het ministerie van Binnenlandse Zaken.
quote:Tot de websites die mogelijk zijn afgetapt na de hack bij het Nederlandse bedrijf Diginotar behoren Facebook en de geheime diensten van de Verenigde Staten en Israël. Dat meldt de NOS zondagavond op basis van een lijst met vijftig domeinen. Ook andere sociale netwerken, grote e-mailaanbieders en sites van de Iraanse oppositie staan op de lijst.
Door de hack zijn beveiligingscertificaten van getroffen websites niet veilig. Verkeer kan worden omgeleid en anderen kunnen meelezen. Gebruikers kunnen er niet langer zeker van zijn dat ze zich daadwerkelijk op de site bevinden waarvan het adres in de adresbalk van de browser staat.
Valse certificaten zijn behalve voor Gmail ook uitgegeven voor Twitter, Skype, Hotmail, Yahoo en Microsoft Messenger. Volgens de NOS wordt de maildienst van Yahoo veel gebruikt door Iraniërs in de oppositie.
De geheime diensten die op de lijst voorkomen zijn de CIA, de Israëlische Mossad en het Britse MI6. Ook de servers van de updatedienst van het besturingssysteem Windows komen op de lijst voor. Mogelijk wilden de hackers hiermee aangepaste software verspreiden.
De hack bij Diginotar vond plaats in juli, maar werd pas afgelopen week bekend. Naar aanleiding van de affaire zegde minister van Binnenlandse Zaken Piet Hein Donner (CDA) het vertrouwen in het Beverwijkse bedrijf op. De Nederlandse overheid raadt voorlopig af om gebruik te maken van diensten als DigiD.
Browserfabrikanten werken aan updates van hun browser. Zodra die zijn geïnstalleerd, kunnen gebruikers waarschuwingen krijgen zodra ze een site bezoeken die gebruikmaakt van beveiligingscertificaten van Diginotar.
in Januarie 2009 meld DigiNotar zelf hoe je dit moet doen.
Bron:http://www.infosecurity.n(...)ficaten-foutgevoeligquote:DigiNotar: MD5 SSL-certificaten foutgevoelig
06-01-2009 - Een internationaal security-team heeft ontdekt dat het mogelijk is om valse SSL-certificaten te maken, zo meldt DigiNotar.
Een team van Nederlandse, Zwitserse en Amerikaanse onderzoekers heeft een zwakke plek gevonden in de beveiliging van internetsites met certificaten. Hoe dit precies in zijn werk gaat, is te lezen in het document MD5 considered harmful today. De Nederlandse onderzoekers waren Marc Stevens van het Centrum voor Wiskunde en Informatica in Amsterdam en Benne de Weger van de Technische Universiteit Eindhoven. SSL-certificaten die zijn uitgegeven door het Nederlandse DigiNotar zijn wel veilig, zo stelt deze 'trust-leverancier'.
Zwakheden in MD5
De methode van het maken van valse SSL-certificaten berust op een aantal al bekende zwakheden van bepaalde certificaten met het verouderde MD5-beveiligingsalgoritme. Het is gebleken dat het in zo'n geval mogelijk is om verschillende certificaten dezelfde unieke code mee te geven, waardoor een certificaat te vervalsen is. DigiNotar SSL-certificaten kunnen niet met die techniek vervalst worden, omdat hiervoor het sterkere SHA-algoritme wordt gebruikt. Bovendien voert DigiNotar controles uit op de identiteit van de aanvrager en voegt het bedrijf zelf unieke serienummers toe aan ieder certificaat, waardoor certificaten niet nagemaakt kunnen worden.
Snel en goedkoop
Tony de Bos, managing director van DigiNotar, zegt hierover: "Veel organisaties kopen snel en goedkoop online een SSL-certificaat, waarbij vaak een automatisch uitgifteproces gebruikt wordt. Er worden dan nauwelijks controles uitgevoerd. Ook in dit geval is gebruik gemaakt van een dergelijk automatisch uitgifteproces. Dit onderstreept het toenemende belang van het gebruik van betrouwbare SSL-certificaten die worden uitgegeven volgens internationale richtlijnen zoals EV SSL of de nationale PKIoverheid. Bij dergelijke certificaten worden nóg sterkere controles uitgevoerd door de CA (certificate authority) en wordt ook de uitgevende instantie op haar beurt gecontroleerd door een onafhankelijke partij."
technische verhaal. (onderzoek uit 2008)
Bron:http://www.win.tue.nl/hashclash/rogue-ca/
In mei 2009 word DigiNotar gehacked daar lijkt het nu in iedergeval op.(hoe is nog onduidelijk)
Bron: http://tweakers.net/nieuw(...)hebben-vervalst.htmlquote:Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen of dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen.
Laat nou net DigiNotar de "Rogue Ca" zijn geworden nadat ze gehacked zijn.
Dus DigiNotar legt uit hoe en word daar zelf het slachtoffer van.
lijst van getroffen Certificates
https://svn.torproject.or(...)certs-2011-09-04.csv
BNWMODE: Stuxnet is in juni 2009 voor het eerst verspreid , daarvoor zijn ook certificaten gestolen! in iedergeval die van RealTek en JMicro, misschien meer? misschien ook die van DigiNotar. misschien was Iran het doel en niet de dader. in 2011 word DigiNotar gekocht door Vasco. Vasco doet veel voor inlichtigen diensten o.a SIS (MI6) CIA Mossad.
Stuxnet verhaal
http://www.schneier.com/essay-326.html
[ Bericht 1% gewijzigd door WallOfStars op 05-09-2011 03:50:30 ]
. De vraag was: stoppen we tijdelijk met de communicatie of niet?Gelukkig kwam even later het bericht dat de electronische aangifte voor bedrijven en intermediairs nog veilig genoeg zouden zijn.
http://www.belastingdiens(...)ar_problematiek.html
Dat ziet er (gedeeltelijk) zo uit:
Ja leuk, en nu?quote:Bron van herkomst : Gmail.com SSL MITM ATTACK BY Iranian Government -27/8/2011
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
05:e2:e6:a4:cd:09:ea:54:d6:65:b0:75:fe:22:a2:56
Signature Algorithm: sha1WithRSAEncryption
Issuer:
emailAddress = info@diginotar.nl
commonName = DigiNotar Public CA 2025
organizationName = DigiNotar
countryName = NL
Validity
Not Before: Jul 10 19:06:30 2011 GMT
Not After : Jul 9 19:06:30 2013 GMT
Subject:
commonName = *.google.com
serialNumber = PK000229200002
localityName = Mountain View
organizationName = Google Inc
countryName = US
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:cd:6d:e2:ae:6c:25:74:68:2c:61:3a:23:92:09:
24:3f:c3:d1:d7:4d:8b:83:e4:12:ca:ba:2a:97:37:
0d:ec:7a:d7:53:ca:67:89:cf:62:fc:69:63:87:a3:
79:e2:70:53:43:57:05:93:83:05:a8:98:63:6b:d8:
9e:90:ee:0d:62:20:d3:52:5b:4a:d1:e0:4d:65:da:
cc:d1:91:c9:c0:63:a7:3a:8b:f1:24:7b:dd:e7:17:
88:b6:84:3b:27:20:1b:de:a2:51:79:ca:3a:6e:46:
6e:f7:b9:04:03:ba:51:e3:03:70:45:44:5f:cf:4e:
2d:1f:c3:6f:d8:b7:ef:22:7a:83:2e:35:c3:16:37:
a1:28:bb:91:aa:b7:96:19:91:6b:f5:ef:aa:1f:78:
26:ec:06:63:2b:3f:ce:f1:3a:18:6d:4c:37:24:09:
aa:64:e1:54:19:1b:65:eb:7f:36:5c:57:ab:5d:cc:
2a:79:4c:8f:2e:1d:db:b5:ed:c7:73:5e:6d:62:99:
9f:2d:ca:fc:c5:7a:20:84:39:03:7c:bc:f3:73:07:
f7:c8:af:70:89:43:9a:b8:b8:ce:5a:29:3d:c3:0f:
93:de:57:37:f8:ad:f2:4a:40:d8:02:4d:68:88:05:
cf:57:71:61:14:ba:cc:f0:02:c9:e6:83:b7:b6:10:
94:5d
Exponent: 65537 (0x10001)
X509v3 extensions:
Authority Information Access:
OCSP - URI:http://validation.diginotar.nl
X509v3 Authority Key Identifier:
keyid:DF:33:C0:AF:92:FE:37:FC:B6:D8:16:16:D0:D9:B1:91:D5:FA:6E:A5
X509v3 Basic Constraints:
CA:FALSE
X509v3 Certificate Policies:
Policy: 2.16.528.1.1001.1.1.1.2.4.1.2.2
CPS: http://www.diginotar.nl/cps
User Notice:
Explicit Text: Conditions, as mentioned on our website (www.diginotar.nl), are applicable to all our products and services.
X509v3 CRL Distribution Points:
URI:http://service.diginotar.nl/crl/public2025/latestCRL.crl
X509v3 Key Usage: critical
Digital Signature, Key Encipherment, Data Encipherment
X509v3 Subject Alternative Name:
email:admin@google.com
X509v3 Subject Key Identifier:
07:4A:7D:16:27:32:28:D1:E3:01:31:05:0D:B0:CA:8D:E9:E1:7F:ED
Signature Algorithm: sha1WithRSAEncryption
02:ce:5d:2f:b3:7d:c3:34:49:90:8e:00:ab:89:42:e6:df:23:
e5:96:9d:aa:7a:94:72:06:0b:00:3c:d2:bf:81:31:ca:d3:47:
51:8d:a7:1f:a8:95:4e:28:42:d1:43:d2:b0:82:d6:ad:aa:1e:
02:97:53:ed:1a:61:cf:ff:03:2d:01:01:44:67:5e:29:60:29:
b4:d3:37:11:b8:97:b5:06:99:4f:6b:81:a6:27:4b:f1:4a:1a:
7d:7d:24:72:1d:df:ef:56:35:b1:ca:41:12:3b:ee:e5:96:4b:
9e:38:34:03:c0:0b:d2:d9:ec:7a:b7:8e:55:d0:e9:53:df:1b:
2a:a7:5b:6e:b9:cc:15:19:81:95:27:fb:c5:d6:8d:71:ae:89:
24:77:84:a6:06:b8:13:d4:f2:eb:cd:c2:99:c7:2b:48:65:dd:
53:6b:53:0a:e1:c4:27:0c:3e:88:e0:14:b4:f2:19:72:cb:a6:
53:bf:de:61:e6:35:a4:cc:86:2f:22:23:6c:d8:11:63:b9:c3:
cd:1c:2f:33:f0:6c:6c:bf:5e:87:8f:e6:49:08:ff:e2:79:dc:
a8:97:76:da:c5:50:a4:28:20:42:25:4a:6d:a0:76:b1:51:9c:
54:d0:64:2b:9e:5b:4f:c8:0f:aa:7c:7c:27:2a:6e:6f:25:2f:
6b:2c:d9:1a
Elk soort certificaat bestaat in principe uit 3 delen, dit zijn:
1) Publieke sleutel
2) Private sleutel
3) Akte van eigendom en bron van herkomst.
Bovenstaande weergave vind je twee van de drie delen.
Het vetgedrukte (bovenste) gedeelte geeft de bron van herkomst, en de van wie de sleutels zijn.
Eigenaar:
Bron van herkomst:quote:Subject:
commonName = *.google.com
serialNumber = PK000229200002
localityName = Mountain View
organizationName = Google Inc
countryName = US
Het laatste gedeelte van het certificaat, is een onleesbare weergave van de publieke sleutel.quote:Issuer:
emailAddress = info@diginotar.nl
commonName = DigiNotar Public CA 2025
organizationName = DigiNotar
countryName = NL
De publieke sleutel, die word afhankelijk van de toepassing gebruikt om te versleutelen, of juist om tegenovergesteld te ontsluiten.
Stel ik bezit een certificaat, en iemand wilt mij een emailbericht sturen.
Met gebruik van de publieke sleutel kan het emailtje versleuteld worden (coderen/encryptie etc), dus diegene die naar mij wilt emailen gebruikt deze sleutel.
Ik heb het certificaat, en daarop staat de bijbehorende private sleutel. Daarmee kan het emailbericht leesbaar worden gemaakt door te decoderen/decryptie/ontsluiten.
Hiermee kan iemand in bezit van een certificaat vertrouwelijk emailen, want alleen met de private sleutel is het te lezen.
uiteraard is de private sleutel niet in het voorbeeld te vinden, het ontbrekende derde deel.
Maar waarom is die Hack dan zo serieus?
Die hacker heeft valse certificaten gemaakt, waarmee dus versleutelde informatie kan worden verkregen.
In het voorbeeld van het emailbericht, kan een persoon uit Iran zich voordoen als Joke uit Drenthe en met het certificaat versleutelde berichten van Joke lezen.
Echter email versturen kan aan personen, de hack ging over servers, dat zijn machines.
dat klopt, emailberichten versleutelen doe je met een persoonsgebonden certificaat.
(QPOC, Qualified Personal Organisation Certificaat)
((Een gekwalificeerd persoonsgebonden beroeps certificaat))
De certificaten die door de Hacker zijn gemaakt, zijn SSL certificaten.
Deze worden toegepast om machines te identificeren.
Bovenstaand certificaat is een SSL certificaat, de private sleutel bijbehorend tot het weergegeven certificaat staat enkel en alleen (uniek) op de server waarop de aanvraag voor het certificaat heeft plaatsgevonden.
De Hacker heeft niet alleen de twee delen zoals deze in het certificaat zijn vermeld, maar beschikt ook over de private sleutel. Hiermee kan hij door valselijk gebruik van de gebruiker (CN= Google.com), zich voordoen alsof hij Google is. Inclusief de beveiliging van browsers om de tuin leiden, omdat de certificaten niet officieel aan die persoon "hacker" zijn verstrekt.
Dus uiteindelijk is het diefstal van de identiteit van een server, door valselijk verkregen SSL-certificaten.
Is het hiermee duidelijker geworden wat een certificaat is, en hoe het eruit ziet
quote:Fox-IT: Diginotar gebruikte niet eens virusscanner
Gepubliceerd: Maandag 5 september 2011
Auteur: Brenno de Winter
Fox IT heeft een vernietigend oordeel geveld over de infrastructuur van Diginotar. Het bedrijf hield zich niet aan afspraken en procedures. Ook ontbraken basale beveiligingsmaatregelen.
Dat blijkt uit het onderzoeksrapport van Fox IT naar de inbraak bij Diginotar, dat Webwereld en NU.nl via een overheidsbron hebben ingezien. Zo blijken alles systemen van Diginotar binnen één enkel Windows domein te hebben gefunctioneerd. Daardoor was mogelijk om vanaf de werkplek toegang te krijgen tot de administratie van certificaten. Inloggen op de werkplek was dan ook voldoende om daadwerkelijke toegang tot de systemen te krijgen. Bij beveiliging geldt dat als een absolute doodzonde. Bovendien wist Diginotar eind juli al dat er misbruik werd gemaakt van de certificaten.
Geen gescheiden omgeving
Ook voor het uitgeven van overheidscertificaten werden regels met voeten getreden. Zo opereren de computers voor PKI Overheid in een kluis en mogen nooit verbonden worden met het netwerk van Diginotar. Maar ook daar troffen de onderzoekers van Fox IT sporen dat er wel degelijk een verbinding met het Windows domein was geweest.
Bovendien heeft het ontbroken aan basale beveiliging voor de systemen. Zo bleken basale zaken als een virusscanner niet aanwezig. Wachtwoorden bleken niet ingewikkeld genoeg, waardoor het mogelijk was dat ze met de standaard programmatuur Cain and Able werden gekraakt. Daarbij ging het niet alleen om gebruikerswachtwoorden, maar ook om de toegang voor beheerders.
Uit de sporen is dan ook gebleken dat er daadwerkelijk beheerderstoegang is verkregen en dat de Iraanse hackers volledige toegang hadden tot alle systemen. Daarom was het ook niet meer vol te houden dat de overheidsomgeving niet gecompromitteerd zou zijn.
Slechte detectie
Een ander probleem is dat het ontbrak aan een logboek op een centrale locatie, iets wat voor dit soort cruciale zaken gebruikelijk is. Wel was er geïnvesteerd in een intrusion prevention systeem, voor het detecteren van inbraken. Maar dat heeft onvoldoende gefunctioneerd.
Ook administratief ging het nodige verkeerd. Dat blijkt uit het feit dat tussen de overheidscertificaten twee series van certificaten zitten waarvan niet duidelijk is wie ze heeft aangevraagd en waarvoor ze worden gebruikt.
Gepruts
De hackers hebben ook scripts achtergelaten waardoor ze zelf de administratie voor certificaten konden doen. Dat blijken soms mooie scripts te zijn, maar er zitten ook scripts tussen die kunnen worden gezien als gepruts. In ieder geval hadden zij vrij spel om naar hartenlust certificaten aan te maken.
RTL Nieuws meldt dat een oud-medewerker van Diginotar heeft gezien dat er complete certificaten in een losse database werden bewaard. Dat werd gedaan om snel fouten te kunnen herstellen en dat was dus gericht op gemak. Maar de gevolgen kunnen volgens de medewerker zijn dat verkeer ook daadwerkelijk ontcijferd wordt.
Onder de pet houden
Inmiddels is duidelijk dat er ook daadwerkelijk misbruik heeft plaatsgevonden en dat in Iran gebruik is gemaakt van het domein van Google. Volgens de onderzoekers wist Diginotar ook al op 28 juli dat er daadwerkelijk verkeer kwam uit Iran en dat Google werd misbruikt. Maar zelfs toen greep het bedrijf niet in.
Trend Micro heeft ondertussen ontdekt dat er 40 Iraanse netwerken werden afgeluisterd.
Het bedrijf Fox IT heeft dat misbruik in de volgende video weergegeven. Het bedrijf beschuldigt niet de Iraanse regering van de hack, maar wijst er wel op dat de hack is gericht op het afluisteren van het Iraanse volk.
Boodschap
De hacker heeft voor de ontdekker een boodschap achtergelaten op het systeem van DigiNotar:
I know you are shocked of my skills, how i got access to your network to your internal network from outside how I got full control on your domain controller how I got logged in into this computer HoW I LEARNED XUDA PROGRAMMING HOW I got this IDEA to write such XUDA code How I was sure it's going to work? How i bypassed your expensive firewall, routers, NetHSM, unbreakable hardware keys How I did all xUDA programming without 1 line of resource, got this idea, owned your network accesses your domain controlled, got all your passwords, signed my certificates and received them shortly THERE IS NO ANY HARDWARE OR SOFTWARE IN THIS WORLD EXISTS WHICH COULD STOP MY HEAVY ATTACKS MY BRAIN OR MY SKILLS OR MY WILL OR MY EXPERTISE That's all ok! EVerything I do is out of imagination of people in world I know you'll see this message when it is too late, sorry for that I know it's not something you or any one in this world have thought about But everything is not what you see in material world, when God wants something to happen.
Windows update uitgesteld
Alle certificaten van Diginotar moeten worden uitgefaseerd, maar dat blijkt lang niet altijd snel te kunnen gaan. Zo bleek vandaag dat de RDW nog een hele tijd vast zit aan Diginotar.
Uit de brief aan de Kamer die vanavond wordt verstuurd blijkt verder dat de update van Windows die Microsoft in de planning heeft staan, waardoor de certificaten van Diginotar niet meer zullen werken, op verzoek van de overheid wordt vertraagd. Z
"Een van de directe gevolgen is dat de geplande softwareupdate van Microsoft voor Nederland op expliciet verzoek van de Nederlandse overheid beheerst wordt ingevoerd. Dat geeft organisaties en bedrijven meer tijd om certificaten te vervangen", staat in de brief te lezen. De geplande softwareupdate zal op een ander moment worden uitgevoerd.
Overigens is Ronald Prins van Fox-IT vanavond te gast bij Nieuwsuur. 22:00 op Ned 2.
Wat een puinzooiquote:
http://webwereld.nl/nieuw(...)ns-virusscanner.html
[..]
Overigens is Ronald Prins van Fox-IT vanavond te gast bij Nieuwsuur. 22:00 op Ned 2.
gaan we nou schijnveiligheid ggeven aan de gebruikersquote:Uit de brief aan de Kamer die vanavond wordt verstuurd blijkt verder dat de update van Windows die Microsoft in de planning heeft staan, waardoor de certificaten van Diginotar niet meer zullen werken, op verzoek van de overheid wordt vertraagd.
hoezo gaan? dat is al effe bezig hoorquote:
das wel puinzooi ja.. maar dit vind ik haast nog slechter:
[..]
gaan we nou schijnveiligheid ggeven aan de gebruikers
Het blijkt dus dat de hack vanuit Iran is gedaan om mensen te controleren die met demonstraties bezig waren dus tatal controle van Iraniers( overal ter wereld ?). Dus Iran is de dader en de Iraanse burgers het slachtoffer.quote:
Hoe langer hoe vreemder dit word.
in Januarie 2009 meld DigiNotar zelf hoe je dit moet doen.
[..]
Bron:http://www.infosecurity.n(...)ficaten-foutgevoelig
technische verhaal. (onderzoek uit 2008)
[ afbeelding ]
Bron:http://www.win.tue.nl/hashclash/rogue-ca/
In mei 2009 word DigiNotar gehacked daar lijkt het nu in iedergeval op.(hoe is nog onduidelijk)
[..]
Bron: http://tweakers.net/nieuw(...)hebben-vervalst.html
Laat nou net DigiNotar de "Rogue Ca" zijn geworden nadat ze gehacked zijn.
Dus DigiNotar legt uit hoe en word daar zelf het slachtoffer van.
lijst van getroffen Certificates
https://svn.torproject.or(...)certs-2011-09-04.csv
BNWMODE: Stuxnet is in juni 2009 voor het eerst verspreid , daarvoor zijn ook certificaten gestolen! in iedergeval die van RealTek en JMicro, misschien meer? misschien ook die van DigiNotar. misschien was Iran het doel en niet de dader. in 2011 word DigiNotar gekocht door Vasco. Vasco doet veel voor inlichtigen diensten o.a SIS (MI6) CIA Mossad.
Stuxnet verhaal
http://www.schneier.com/essay-326.html
certificaten hadden !op het moment dat het bekend werd! ingetrokken moeten worden, geen uitzonderingen..quote:
[..]
hoezo gaan? dat is al effe bezig hoor
en toch gaan ze allerlei uitzonderingen creeeren...
Omdat ze dachten ermee weg te komen zonder dat iemand wist hoe stupide dat bedrijf is.quote:
Ik heb nog geen antwoord op mijn vraag; Waarom duurde het anderhalve maand voordat ze alarm sloegen nadat ze het wisten? Ik blijf dat vreemd vinden.
volgens mij omdat tegen die tijd het opgemerkt werd dat er valse certificaten in omloop waren?quote:
Ik heb nog geen antwoord op mijn vraag; Waarom duurde het anderhalve maand voordat ze alarm sloegen nadat ze het wisten? Ik blijf dat vreemd vinden.
ik heb dat deel ook niet helemaal begrepen
Diginotar haar hele inkomsten komen voort uit vertrouwen in hun product. Het is dus niet in hun belang om wat te zeggen als ze denken dat er toch niemand achter komt.quote:
[..]
volgens mij omdat tegen die tijd het opgemerkt werd dat er valse certificaten in omloop waren?
ik heb dat deel ook niet helemaal begrepen
Dat word ons verteld ja, maar we hebben daar geen enkelbewijs van gezien.quote:
[..]
Het blijkt dus dat de hack vanuit Iran is gedaan om mensen te controleren die met demonstraties bezig waren dus tatal controle van Iraniers( overal ter wereld ?). Dus Iran is de dader en de Iraanse burgers het slachtoffer.
en de groene revolutie was van na 12-juni 2009. De hack uit Mei 2009.
Dat past niet als Iran dit gedaan heeft vanwege de demonstraties.
Ik denk eerder dat Iran het doel was.
Zeker als je kijkt dat er veel meer Certs zijn aangemaakt dan alleen die van google.
En een ip uit iran gebruiken is natuurlijk kinderspel.
[ Bericht 5% gewijzigd door WallOfStars op 06-09-2011 01:42:18 ]
Fox-IT: Diginotar gebruikte niet eens virusscanner
Fox IT heeft een vernietigend oordeel geveld over de infrastructuur van Diginotar. Het bedrijf hield zich niet aan afspraken en procedures. Ook ontbraken basale beveiligingsmaatregelen.
Dat blijkt uit het onderzoeksrapport van Fox IT naar de inbraak bij Diginotar, dat Webwereld en NU.nl via een overheidsbron hebben ingezien. Zo blijken alles systemen van Diginotar binnen één enkel Windows domein te hebben gefunctioneerd. Daardoor was mogelijk om vanaf de werkplek toegang te krijgen tot de administratie van certificaten. Inloggen op de werkplek was dan ook voldoende om daadwerkelijke toegang tot de systemen te krijgen. Bij beveiliging geldt dat als een absolute doodzonde. Bovendien wist Diginotar eind juli al dat er misbruik werd gemaakt van de certificaten.
Geen gescheiden omgeving
Ook voor het uitgeven van overheidscertificaten werden regels met voeten getreden. Zo opereren de computers voor PKI Overheid in een kluis en mogen nooit verbonden worden met het netwerk van Diginotar. Maar ook daar troffen de onderzoekers van Fox IT sporen dat er wel degelijk een verbinding met het Windows domein was geweest.
Bovendien heeft het ontbroken aan basale beveiliging voor de systemen. Zo bleken basale zaken als een virusscanner niet aanwezig. Wachtwoorden bleken niet ingewikkeld genoeg, waardoor het mogelijk was dat ze met de standaard programmatuur Cain and Able werden gekraakt. Daarbij ging het niet alleen om gebruikerswachtwoorden, maar ook om de toegang voor beheerders.
Uit de sporen is dan ook gebleken dat er daadwerkelijk beheerderstoegang is verkregen en dat de Iraanse hackers volledige toegang hadden tot alle systemen. Daarom was het ook niet meer vol te houden dat de overheidsomgeving niet gecompromitteerd zou zijn.
Slechte detectie
Een ander probleem is dat het ontbrak aan een logboek op een centrale locatie, iets wat voor dit soort cruciale zaken gebruikelijk is. Wel was er geïnvesteerd in een intrusion prevention systeem, voor het detecteren van inbraken. Maar dat heeft onvoldoende gefunctioneerd.
Ook administratief ging het nodige verkeerd. Dat blijkt uit het feit dat tussen de overheidscertificaten twee series van certificaten zitten waarvan niet duidelijk is wie ze heeft aangevraagd en waarvoor ze worden gebruikt.
Gepruts
De hackers hebben ook scripts achtergelaten waardoor ze zelf de administratie voor certificaten konden doen. Dat blijken soms mooie scripts te zijn, maar er zitten ook scripts tussen die kunnen worden gezien als gepruts. In ieder geval hadden zij vrij spel om naar hartenlust certificaten aan te maken.
RTL Nieuws meldt dat een oud-medewerker van Diginotar heeft gezien dat er complete certificaten in een losse database werden bewaard. Dat werd gedaan om snel fouten te kunnen herstellen en dat was dus gericht op gemak. Maar de gevolgen kunnen volgens de medewerker zijn dat verkeer ook daadwerkelijk ontcijferd wordt.
Onder de pet houden
Inmiddels is duidelijk dat er ook daadwerkelijk misbruik heeft plaatsgevonden en dat in Iran gebruik is gemaakt van het domein van Google. Volgens de onderzoekers wist Diginotar ook al op 28 juli dat er daadwerkelijk verkeer kwam uit Iran en dat Google werd misbruikt. Maar zelfs toen greep het bedrijf niet in.
Trend Micro heeft ondertussen ontdekt dat er 40 Iraanse netwerken werden afgeluisterd.
Het bedrijf Fox IT heeft dat misbruik in de volgende video weergegeven. Het bedrijf beschuldigt niet de Iraanse regering van de hack, maar wijst er wel op dat de hack is gericht op het afluisteren van het Iraanse volk.]:
Boodschap
De hacker heeft voor de ontdekker een boodschap achtergelaten op het systeem van DigiNotar:
I know you are shocked of my skills, how i got access to your network to your internal network from outside how I got full control on your domain controller how I got logged in into this computer HoW I LEARNED XUDA PROGRAMMING HOW I got this IDEA to write such XUDA code How I was sure it's going to work? How i bypassed your expensive firewall, routers, NetHSM, unbreakable hardware keys How I did all xUDA programming without 1 line of resource, got this idea, owned your network accesses your domain controlled, got all your passwords, signed my certificates and received them shortly THERE IS NO ANY HARDWARE OR SOFTWARE IN THIS WORLD EXISTS WHICH COULD STOP MY HEAVY ATTACKS MY BRAIN OR MY SKILLS OR MY WILL OR MY EXPERTISE That's all ok! EVerything I do is out of imagination of people in world I know you'll see this message when it is too late, sorry for that I know it's not something you or any one in this world have thought about But everything is not what you see in material world, when God wants something to happen.
Windows update uitgesteld
Alle certificaten van Diginotar moeten worden uitgefaseerd, maar dat blijkt lang niet altijd snel te kunnen gaan. Zo bleek vandaag dat de RDW nog een hele tijd vast zit aan Diginotar.
Uit de brief aan de Kamer die vanavond wordt verstuurd blijkt verder dat de update van Windows die Microsoft in de planning heeft staan, waardoor de certificaten van Diginotar niet meer zullen werken, op verzoek van de overheid wordt vertraagd. Z
"Een van de directe gevolgen is dat de geplande softwareupdate van Microsoft voor Nederland op expliciet verzoek van de Nederlandse overheid beheerst wordt ingevoerd. Dat geeft organisaties en bedrijven meer tijd om certificaten te vervangen", staat in de brief te lezen. De geplande softwareupdate zal op een ander moment worden uitgevoerd.
Vraag me toch af waarom er Public onderstaat,quote:
http://tweakimg.net/files/upload/Operation+Black+Tulip+v1.0.pdf
Het lijkt mij dat er dus ook een non-public version is.
ook word er een stuk overgelagen.
Hoe ze ingebroken hebben word niet gemeld.
Bron: telegraaf.nlquote:'Hack DigiNotar wraak voor Srebrenica'
di 06 sep 2011, 11:16
door onze redactie
De hacker die verantwoordelijk is voor de kraak van het Nederlandse IT-bedrijf DigiNotar, zegt dit ondermeer te hebben gedaan als wraak voor de betrokkenheid van Nederland bij de val van Srebrenica, waarbij duizenden moslims zijn vermoord.
De hack van DigiNotar was wraak voor de Nederlandse betrokkenheid bij de val van Srebrenica.
Dat blijkt uit onderzoek van computerbeveiligingsbedrijf F-Secure, die een online profiel op de website PasteBin van de hacker heeft gevonden. Het blijkt namelijk dat deze computerkraker eerder dit jaar ook verantwoordelijk was voor het hacken van een andere certificaatbedrijf, Comodo.
Op een bericht op PasteBin eist deze zelfbenoemde ComodoHacker de kraak op DigiNotar op. Hiermee wist hij vervalste beveiligingscertificaten voor websites uit te geven zodat kwaadwillenden internetverkeer konden aftappen. Ook bij Comodo was dit het geval.
"De Nederlandse regering heeft 8.000 moslims voor 30 Nederlandse soldaten geruild en de beestelijke Servische soldaten hebben die 8.000 moslims dezelfde dag nog vermoord. De Nederlandse regering moet daarvoor boeten. Er is niks veranderd, er is 16 jaar voorbij gegaan. De 13 miljoen dollar die de Nederlandse regering aan DigiNotar betaald heeft, gaat direct in de prullenmand," zo valt in de verklaring van ComodoHacker te lezen.
Volgens de hacker heeft hij nog steeds toegang bij vier andere certificaatbedrijven, waardoor hij nog steeds valse certificaten kan uitgeven.
Rigghttt.... lekker geloofwaardig. En zich vervolgens wel voor het karretje laten spannen van de Iraanse overheid die honderdduizend doden op z'n geweten heeft
Bron: http://www.cda.nl/ZuidHol(...)ningmeester_CDA.aspxquote:Tony de Bos, voorzitter CDA Zuid-Holland,
[..]
De ondernemer Tony de Bos geeft leiding aan DigiNotar, een bedrijf voor het beveiligen van transacties en documenten op het Internet. Hij heeft een achtergrond op het gebied van ICT en accountancy.
[..]
DigiNotar wordt dus geleid door Tony van den Bos, voorzitter van CDA Zuid-Holland.
Wat ik mij dan afvraag is of destijds de aanbesteding wel helemaal volgens de regels is gegaan of dat er hier sprake is van vriendjespolitiek.
Oei! Dat is een goeie! Dan zou er sprake zijn van nepotismequote:
[..]
Bron: http://www.cda.nl/ZuidHol(...)ningmeester_CDA.aspx
DigiNotar wordt dus geleid door Tony van den Bos, voorzitter van CDA Zuid-Holland.
Wat ik mij dan afvraag is of destijds de aanbesteding wel helemaal volgens de regels is gegaan of dat er hier sprake is van vriendjespolitiek.
quote:Het gebruik van virusscanners en andere technische oplossingen is dan niet genoeg. Denk bijvoorbeeld aan identiteitsdiefstal, misbruik en zelfs fraude. Tony is expert op het gebied van identiteitsmanagement en digitale bewijsbaarheid. Hij kan uitgebreid ingaan op de mogelijkheden als ook de noodzaak voor bedrijven om ook in deze vorm van beveiliging te investeren.
Read more: http://profile.computable.nl/profile/tobos#ixzz1XBQGLULW
Er staat ook nog:quote:
http://profile.computable.nl/profile/tobos
[..]
quote:Vakkennis Tony de Bos
Zeer deskundig: Security, Overheid.
Dat valt nu wel in twijfel te trekken. Maar er staat daarentegen wel dat hij een Register EDP-Auditor (RE) is, dus hij is wel een geregistreerde deskundige op dat gebied.quote:
Orginele verhaal van de "hacker" zelf op paste binquote:
[..]
Bron: telegraaf.nl
Rigghttt.... lekker geloofwaardig. En zich vervolgens wel voor het karretje laten spannen van de Iraanse overheid die honderdduizend doden op z'n geweten heeft
Hoe kom je erbij dat Iran hier achter zit behalve dan dat de "media"
dat roepen, behalve de Google redirect die naar een iraanse server verwees.
Dat kan ook iemand anders zijn geweest die iets of iemand in Iran wou monitoren.
En dat hoeft dus niet de Iraanse overheid te zijn. (kan wel uiteraard)
Bron : http://pastebin.com/1AxH30emquote:Hi again! I strike back again, huh?
I told all that I can do it again, I told all in interviews that I still have accesses in Comodo resellers, I told all I have access to most of CAs, you see that words now?
You know, I have access to 4 more so HIGH profile CAs, which I can issue certs from them too which I will, I won't name them, I also had access to StartCom CA, I hacked their server too with so sophisticated methods, he was lucky by being sitted in front of HSM for signing, I will name just one more which I still have access: GlobalSign, let me use these accesses and CAs, later I'll talk about them too..
I won't talk so many detail for now, just I wanted to let the world know that ANYTHING you do will have consequences, ANYTHING your country did in past, you have to pay for it...
I was sure if I issue those certificates for myself from a company, company will be closed and will not be able to issue certs anymore, Comodo was really really lucky!
I thought if I issue certs from Dutch Gov. CA, they'll lose a lot of money:
http://www.nasdaq.com/asp(...)me=6m&charttype=line
But I remembered something and I hacked DigiNotar without more thinking in anniversary of that mistake:
http://www.tepav.org.tr/en/kose-yazisi-tepav/s/2551
When Dutch government, exchanged 8000 Muslim for 30 Dutch soldiers and Animal Serbian soldiers killed 8000 Muslims in same day, Dutch government have to pay for it, nothing is changed, just 16 years has been passed. Dutch government's 13 million dollars which paid for DigiNotar will have to go DIRECTLY into trash, it's what I can do from KMs away! It's enough for Dutch government for now, to understand that 1 Muslim soldier worth 10000 Dutch government.
I'll talk technical details of hack later, I don't have time now... How I got access to 6 layer network behind internet servers of DigiNotar, how I found passwords, how I got SYSTEM privilage in fully patched and up-to-date system, how I bypassed their nCipher NetHSM, their hardware keys, their RSA certificate manager, their 6th layer internal "CERT NETWORK" which have no ANY connection to internet, how I got full remote desktop connection when there was firewalls that blocked all ports except 80 and 443 and doesn't allow Reverse or direct VNC connections, more and more and more...
After I explain, you'll understand how sophisticated attack it was, It will be a good hacking course for hackers like Anonymous and Lulzsec
Have you ever heard of XUDA programming language which RSA Certificate manager uses it? NO! I heard of it in RSA Certificate Manager and I learned programming in it in same night, it is so unusual like greater than sign in all programming languages is "<" but in XUDA it is "{"
Anyway... I'll talk about DigiNotar later! For now keep thinking about what Dutch government did in 16 years ago in same day of my hack, I'll talk later and I'll introduce to you MOST sophisticated hack of the year which will come more, you have to also wait for other CA's certificates to be used by me, then I'll talk about them too.
Interviews will be done via email ichsun [at] ymail.com
By the way, ask DigiNotar about this username/password combination:
Username: PRODUCTION\Administrator (domain administrator of certificate network)
Password: Pr0d@dm1n
It's not all about passwords or cracking them,
1) you can't have remote desktop connection in a really closed and protected network by firewalls which doesn't allow Reverse VNC, VNC, remote desktop, etc. by packet detection.
2) you can't even dump hashes of domain if you don't have admin privilege to crack them
3) you can't access 6th layer network which have no ANY connection to internet from internet
Yeah!
Bye for now
intressant is dat de hacker claimed dat in ieder geval 1systeem up2date was
quote:how I got SYSTEM privilage in fully patched and up-to-date system
Websites te registeren, overheids websites.
quote:2011-07-10, Matthijs R. Koot
Using Google, I made a list of 84 .gov.ir domains (Iranian govt) and counted the occurrences
of Gmail, Yahoo and Hotmail accounts (US companies) used as Whois contact e-mail for those
domains. Result: 61 (!) occurrences over 54 (!) .gov.ir. domains. I was astounded. Admittedly,
Iran could easily recover from Whois-level domain hijacking because they control whois.nic.ir
(nic.ir itself only has @nic.ir contacts), but they currently leave a window of opportunity.
0 ad.gov.ir
0 aiiri.gov.ir
1 amol.gov.ir
1 aranbidgol.gov.ir
1 ardestan.gov.ir
0 ashayer-ks.gov.ir
1 atf.gov.ir
0 behdasht.gov.ir
1 bijar.gov.ir
0 cobi.gov.ir
1 damavand.gov.ir
1 divanealee.gov.ir
0 ea-customs.gov.ir
0 ea-imo.gov.ir
0 easabt.gov.ir
2 eocr.gov.ir
1 farhang.gov.ir
1 farhang-ks.gov.ir
1 fcc.gov.ir
2 fereydan.gov.ir
1 fereydoonshahr.gov.ir
1 ghorveh.gov.ir
0 gilanmaskan.gov.ir
1 golbahar-ntoir.gov.ir
1 golestan.gov.ir
2 golpayegan.gov.ir
0 health.gov.ir
1 icm.gov.ir
1 ict.gov.ir
0 iieda.gov.ir
1 ilamcustoms.gov.ir
0 irica.gov.ir
0 irtr.gov.ir
0 isc.gov.ir
1 isfahan.gov.ir
2 isfcustoms.gov.ir
1 kamyaran.gov.ir
0 karafarini.gov.ir
1 karaj.gov.ir
1 khansar.gov.ir
0 khcu.gov.ir
0 khoorbiabanak.gov.ir
1 khorrambid.gov.ir
1 ksh-behzisty.gov.ir
2 lenjan.gov.ir
1 maph.gov.ir
0 marivan.gov.ir
1 mefa.gov.ir
1 mfa.gov.ir
1 mhud.gov.ir
1 mianeh.gov.ir
1 mim.gov.ir
0 mimresearch.gov.ir
0 mlsa.gov.ir
0 moc.gov.ir
1 mohme.gov.ir
1 najafabad.gov.ir
1 natanz.gov.ir
0 ntoir.gov.ir
1 ostan-ag.gov.ir
2 ostan-as.gov.ir
0 qazvin.gov.ir
0 qazvin-oefa.gov.ir
1 razavimet.gov.ir
0 refah.gov.ir
0 research.gov.ir
1 robatkarim.gov.ir
2 sabtyazd.gov.ir
1 sarvabad.gov.ir
1 sbs.gov.ir
1 semirom.gov.ir
1 shabestar.gov.ir
1 shahreza.gov.ir
1 shahriyar.gov.ir
1 shemiran.gov.ir
1 tazirat.gov.ir
0 tco.gov.ir
0 teh-coop.gov.ir
1 tehran.gov.ir
0 tri.gov.ir
1 varamin.gov.ir
0 women.gov.ir
1 yco.gov.ir
1 zabol.gov.ir
Zijn ze soms weer stuur en projectgroepen aan het oprichten die nu eerst alles gaan inventariseren en dan in powerpoint een projectplan gaan schrijven?
Omdat het niet alleen aan de overheids kant opgelost moet worden maar ook aan de bedrijven kant. Alle bedijven die via (belasting)applicaties met de overheid communiceren moeten ook hun certificaten aanpassen. Als Windows (dus NIET IE) de certificaten gaat blokken kunnen de bedrijven geen aangiften meer doen.quote:
Is er iemand die kan volgen waarom de overheid 'weken nodig denkt te hebben' voor het definitief oplossen van dit probleem? Dit lijkt mij nou juist bij uitstek iets wat je binnen een paar dagen kunt oplossen als je een beetje voortvarend optreedt.
Zijn ze soms weer stuur en projectgroepen aan het oprichten die nu eerst alles gaan inventariseren en dan in powerpoint een projectplan gaan schrijven?
Dit geldt ook voor de APK afmelding.
Er zullen dus heel wat stuur en project groepjes gestart moeten worden.
Voor het aanwijzen van een nieuwe leverancier voor een essentiele dienst? Ongelooflijk dit amateurisme.quote:
[..]
Omdat het niet alleen aan de overheids kant opgelost moet worden maar ook aan de bedrijven kant. Alle bedijven die via (belasting)applicaties met de overheid communiceren moeten ook hun certificaten aanpassen. Als Windows (dus NIET IE) de certificaten gaat blokken kunnen de bedrijven geen aangiften meer doen.
Dit geldt ook voor de APK afmelding.
Er zullen dus heel wat stuur en project groepjes gestart moeten worden.
Ik werk persoonlijk aan paar nogal grote websites (zeg maar de top 50) en dan word je soms ook naar van de procedures en bureaucratie, paar weken terug moesten we release doen waarbij een kleine dns aanpassing nodig was, bleek daar gewoon 2 weken voor te staanquote:
Is er iemand die kan volgen waarom de overheid 'weken nodig denkt te hebben' voor het definitief oplossen van dit probleem? Dit lijkt mij nou juist bij uitstek iets wat je binnen een paar dagen kunt oplossen als je een beetje voortvarend optreedt.
Zijn ze soms weer stuur en projectgroepen aan het oprichten die nu eerst alles gaan inventariseren en dan in powerpoint een projectplan gaan schrijven?
Het is toch gewoon te gek voor woorden dat de overheid wekenlang een dienst niet biedt die wel geboden zou kunnen worden alleen omdat een stelletje blaaskaken gewichtig moet gaan zitten doen (over dingen die ze kennelijk toch niet begrijpen. Gisteren werd er een of andere wethouder bijgehaald door een nieuwszending die ervan overtuigd was dat er notarissen nodig waren. Kennelijk had ie alleen dat begrepen uit de naam van DigiNotar).quote:
[..]
Ik werk persoonlijk aan paar nogal grote websites (zeg maar de top 50) en dan word je soms ook naar van de procedures en bureaucratie, paar weken terug moesten we release doen waarbij een kleine dns aanpassing nodig was, bleek daar gewoon 2 weken voor te staan
De directeur van diginotar is een prominent CDA lid, en heeft dit aan zo een beetje elke gemeente verkochtquote:
[..]
Het is toch gewoon te gek voor woorden dat de overheid wekenlang een dienst niet biedt die wel geboden zou kunnen worden alleen omdat een stelletje blaaskaken gewichtig moet gaan zitten doen (over dingen die ze kennelijk toch niet begrijpen. Gisteren werd er een of andere wethouder bijgehaald door een nieuwszending die ervan overtuigd was dat er notarissen nodig waren. Kennelijk had ie alleen dat begrepen uit de naam van DigiNotar).
En elke gemeente zou tussen zondagmiddag en nu kunnen hebben uitgezocht om welke certificaten het ging en voor vervanging hebben gezorgd.quote:
[..]
De directeur van diginotar is een prominent CDA lid, en heeft dit aan zo een beetje elke gemeente verkocht
en het invoeren van de certificaten, opzetten van nieuwe/verbeterde regels..quote:
[..]
Voor het aanwijzen van een nieuwe leverancier voor een essentiele dienst? Ongelooflijk dit amateurisme.
als ze zo iets doen doen ze het vaak ook in 1x goed..
dus amateurisme? nee niet echt naar mijn mening, een change op belangrijke systemen moet geanalyseerd worden om te voorkomen dat allerlei services niet (goed) meer werken..
Vind je? Ik vind vooral het bedrijf slordig. Opzich is het normaal om certificaten op deze manier aan te vragen.quote:
Wat staat Nederland (weer) ongelooflijk voor schut. Het is haast niet te bevatten hoe groot dit is.
Ik vind juist dat de overheid nogal krachtig (goed) heeft opgetreden...
Mee eens, maar je zou toch verwachten dat de overheid audits zou laten doen bij zo een bedrijf, ik maak zelf ook redelijk wat belangrijke sites, maar krijg daar toch wel zware externe audits op, en kan je zeggen dat die over het algemeen bij het pietluttige af zijn, niet dat dat erg is, maar soms om je haren uit je hoofd te trekken.quote:
[..]
Vind je? Ik vind vooral het bedrijf slordig. Opzich is het normaal om certificaten op deze manier aan te vragen.
Ik vind juist dat de overheid nogal krachtig (goed) heeft opgetreden...
Dat is het verschil tussen IT-ers en non-IT-ers in deze kwestie denk ik zo.quote:
[..]
Vind je? Ik vind vooral het bedrijf slordig. Opzich is het normaal om certificaten op deze manier aan te vragen.
Ik vind juist dat de overheid nogal krachtig (goed) heeft opgetreden...
Het bedrijf blijkt idd slordig. Toch hoort de overheid te waken over de veiligheid van hun systemen (en burgers). Ook als ze het noodgedwongen uitbesteden moeten zij garant (kunnen) staan. En dus dragen ze verantwoordelijkheid.quote:
[..]
Dat is het verschil tussen IT-ers en non-IT-ers in deze kwestie denk ik zo.
De werkelijk afweging zou, wat mij betreft, moeten zijn of gevoelige zaken niet gewoon via heel andere lijnen moeten.
We moeten niet alles te grabbel willen gooien door een handje vol technologie fetisjisten en/of geldwolfen.
Een bibliotheek vol gevoelige data past verdomme op een USB. Enz enz.
Kortom, zie je het in de browser als er iets niet aan de haak is?
als je netjes update zie je als het goed is bij een diginotar certificaat dat het certificaat niet geldig is...quote:
Hoe ziet dit nu eigenlijk in de praktijk uit? Worden die valse certificaten gebruikt om zaken zogezegd om te leiden? Of worden ze door phishing sites gebruikt om nog echter te lijken?
Kortom, zie je het in de browser als er iets niet aan de haak is?
ok, maar je wordt dus wel eerst naar een andere site gestuurd, en dat is ook zichtbaar in de adresbalk?quote:
[..]
als je netjes update zie je als het goed is bij een diginotar certificaat dat het certificaat niet geldig is...
Ongeveer het laatste, in Iran zal wel alles geproxyd worden, kortom ze hoeven daar niet te fishen, even de "DNS" aanpassen zal wel voldoende zijn geweest.quote:
Hoe ziet dit nu eigenlijk in de praktijk uit? Worden die valse certificaten gebruikt om zaken zogezegd om te leiden? Of worden ze door phishing sites gebruikt om nog echter te lijken?
Kortom, zie je het in de browser als er iets niet aan de haak is?
Dit is nieuw voor mij. Je kan er om lachen maar eigenlijk is het te triest voor woorden.quote:
[..]
De directeur van diginotar is een prominent CDA lid, en heeft dit aan zo een beetje elke gemeente verkocht
Bedrijven zijn veel te laks als het gaat om hun IT infrastructuur. Of misschien zijn het de werknemers die slordig zijn?
Amsterdam is vandaag klaar. Dus zo ontzettend ingewikkeld kan het ook weer niet zijn.quote:
[..]
en het invoeren van de certificaten, opzetten van nieuwe/verbeterde regels..
als ze zo iets doen doen ze het vaak ook in 1x goed..
dus amateurisme? nee niet echt naar mijn mening, een change op belangrijke systemen moet geanalyseerd worden om te voorkomen dat allerlei services niet (goed) meer werken..
A'dam en ICT is ook een hele goede combinatie.......quote:
[..]
Amsterdam is vandaag klaar. Dus zo ontzettend ingewikkeld kan het ook weer niet zijn.
Precies, als dus ZELFS Amsterdam binnen 4 dagen die certificaten zooi ge-update heeft.quote:
[..]
A'dam en ICT is ook een hele goede combinatie.......
het mooie van digid is dat je zelf het certificaat kan controleren..quote:
Vraagje, Als de overheid (contactpersoon) zegt dat Digid weer veilig is, moet je ze dan geloven? zo ben ik namelijk al in conflict dat een ambtenaar vol zelfvertrouwen en ietswat verontwaardigd tegen mij zegt dat hun website veilig is, terwijl de site zelf en het nieuws omtrent het probleem anders verkondigd.
hij is nu uitgegeven door een andere instantie (PKIoverheid Pinkroccade ofzo) dus ja die kan je vertrouwen