Opnieuw certificatenverlener gehackt

AMSTERDAM – Een Turkse certificaatdienstverlener blijkt in december een tijd valse certificaten te hebben uitgegeven. Inmiddels hebben Google, Mozilla en Microsoft actie ondernomen.

Google meldt op 24 december te hebben ontdekt dat valse certificaten van het internetbedrijf werden goedgekeurd door Turktrust. Hierdoor leek het voor gebruikers alsof er een vertrouwde verbinding was met Google, terwijl dat niet het geval was.

Het eerst certificaat dat Google ontdekte bleek al in augustus 2011 te zijn gemaakt. Het duurde echter tot december 2012 tot het voor het eerst richting computergebruikers werd misbruikt. De dag na de ontdekking heeft Google het certificaat voor de Chrome-browser geblokkeerd. Lees het verhaal op NU.nl.

Privacybescherming moet burger vertrouwen in overheids-ICT geven

DEN HAAG – Wil de overheid nog serieus worden genomen dan moet er worden gewerkt aan vertrouwen bij de burger. Daarvoor zal de privacybescherming beter moeten. Dat bleek tijdens het debat over de DigiNotar-affaire in de Tweede Kamer. Bijna alle partijen zijn bezorgd over de vele beveiligingsincidenten bij de overheid. Er moet veel duidelijk worden over de crisis, maar een parlementair onderzoek zit er niet in. Lees het verhaal op NU.nl.

‘Diginotar negeerde misbruik en was slecht beveiligd’

DEN HAAG – Het Beverwijkse bedrijf Diginotar wist al op 28 juli dat mensen in Iran daadwerkelijk werden misleid. Ook blijkt de beveiliging op cruciale punten afwezig te zijn geweest, waardoor misbruik kinderlijk eenvoudig was.

Dat blijkt uit het onderzoek (.pdf) dat is gehouden door Fox IT naar aanleiding van de hacks bij Diginotar, een dochter van beveiligingsbedrijf Vasco Data Security. Een overheidsbron heeft NU.nl en Webwereld dit onderzoek laten inzien. De Nederlandse instantie die gaat over ICT-veiligheid bij de overheid hoorde pas vorige week maandag van Duitse collega’s van problemen met certificaten van Diginotar. Lees het verhaal op NU.nl.

Fox IT heeft een vernietigend oordeel geveld over de infrastructuur van Diginotar. Het bedrijf hield zich niet aan afspraken en procedures. Ook ontbraken basale beveiligingsmaatregelen. Dat blijkt uit het onderzoeksrapport van Fox IT naar de inbraak bij Diginotar, dat Webwereld en NU.nl via een overheidsbron hebben ingezien. Zo blijken alles systemen van Diginotar binnen één enkel Windows domein te hebben gefunctioneerd. Daardoor was mogelijk om vanaf de werkplek toegang te krijgen tot de administratie van certificaten. Inloggen op de werkplek was dan ook voldoende om daadwerkelijke toegang tot de systemen te krijgen. Bij beveiliging geldt dat als een absolute doodzonde. Bovendien wist Diginotar eind juli al dat er misbruik werd gemaakt van de certificaten. Lees het verhaal op Webwereld.

Diginotar-hack ondermijnt ook Windows-beveiliging

DEN HAAG – Er blijken zeker tweehonderd meer nepcertificaten door Diginotar te zijn uitgegeven dan de 247 die eerder zijn ontdekt. Ook het certificaat voor Windows Update blijkt nu te zijn vervalst, waardoor Iran in theorie aangepaste versies van het besturingssysteem kon verspreiden. Dat blijkt uit een aangepaste lijst van nepcertificaten die inmiddels aan browserleveranciers is verspreid. Daaruit blijkt dat de basis is gelegd om de infrastructuur voor het automatisch bijwerken van Windows te ondermijnen binnen Iran. Lees het verhaal op NU.nl.

Diginotar-hack ondermijnt Windows Update

Diginotar, dochter van beveiligingsbedrijf Vasco Data Security, hield stil dat Iran werkte aan een eigen Windows Update. Tussen de nepcertificaten zit ook het certificaat voor WIndows Update. Inmiddels is de lijst van ten onrechte uitgegeven certificaten gegroeid van 247 naar ruim 530 certificaten. Daar zitten ook hele algemene ‘domeinen’ tussen als *.*.org en *.*.com. Maar ook blijken er veel sites met informatie voor dissidenten tussen te zitten. Uit nieuwe gegevens blijkt verder dat niet alleen voor het domein van Microsoft en Windows Live certificaten zijn uitgegeven door Diginotar. Ook voor Windows Update is een certificaat aangemaakt. Eerder was al duidelijk dat de aanval zich ook op het Mozilla- en Tor-project richt. Lees het verhaal op Webwereld.

SP wil parlementair onderzoek ICT-beveiliging

DEN HAAG – Na alle problemen met overheidscertificaten is de maat voor de SP vol. Er moet een parlementair onderzoek naar digitale veiligheid komen. Daarvoor pleit het SP-kamerlid Sharon Gesthuizen. Directe aanleiding zijn de problemen voor de overheid die zijn ontstaan na het hacken van certificaten bij het bedrijf DigiNotar. Hierdoor is de veilige toegang van websites bij de overheid niet langer te garanderen en moeten versneld nieuwe certificaten worden uitgegeven. Lees het verhaal op NU.nl.

Bereikbaarheid overheid afhankelijk webbrowser

DEN HAAG – De beslissing om geleidelijk over te stappen op andere overheidscertificaten betekent dat de webbrowser de bereikbaarheid van de overheid bepaalt. In de vroege uren van zaterdagochtend maakt Minister Donner van Binnenlandse Zaken bekend over te willen stappen op een andere oplossing voor de beveiliging van websites. Omdat voor deze overstap gemiddeld enkele dagen duren en het honderden overheidssites betreft, zal de overstap tijd kosten. Hoe lang dit gebeurt is niet duidelijk. Lees het verhaal op NU.nl.

Diginotar deed geen aangifte hack

AMSTERDAM – Het bedrijf Diginotar heeft niet alleen de Iraanse kraak van het bedrijf voor betrokkenen geheim gehouden ook is geen aangifte gedaan. Als er nu onderzoek loopt dan is dat pro-actief handelen van het Openbaar Ministerie. Dat ontdekte NU.nl op basis van onderzoek. Al op 19 juli was bij het bedrijf Diginotar bekend dat er was ingebroken en dat hackers valselijk certificaten hadden aangemaakt. Ook is duidelijk dat vermoedelijk de Iraanse overheid achter de kraak heeft gezeten. Lees het verhaal op NU.nl.

‘Ministers moeten uitleg veiligheid overheidsites geven’

AMSTERDAM – Drie PVV-Kamerleden hebben aan vier ministers vragen gesteld over de valse certificaten die na een hack bij Diginotar zijn uitgegeven. Overheidswebsite zijn daardoor potentieel onveilig. De Kamerleden Elissen, Hernandez en Kortenoeven eisen opheldering van de ministers van Veiligheid en Justitie, Buitenlandse Zaken, Binnenlandse Zaken en Koninkrijksrelaties en die van Defensie. Ten eerste wil de PVV weten of de ‘blunder’ gevolgen heeft voor het gebruik van DigiD. Lees het verhaal op NU.nl.

‘Zoek gevaren dreigende uitval IT uit’

DEN HAAG – Het tappen van Gmail door de Iraanse overheid treft nu nagenoeg alle overheden. Het Rijk adviseert andere overheden in kaart te brengen welke dienstverlening uitvalt op het moment dat de beveiligingscertificaten onveilig worden verklaard. Dat kan morgen al gebeuren. Dat blijkt uit een schrijven van IT-dienstverlener Logius, een onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties dat in handen is van NU.nl. Lees het verhaal op NU.nl.

Logius adviseert om gevolgen uitval PKI-overheidscertificaten te benoemen

De volgende e-mail is op 1 september 2011 rond 18:30 verstuurd vanaf Logius naar overheden:

Geachte heer/mevrouw,

 

Wij hebben veel vragen van klanten binnengekregen over PKIoverheid-certificaten van DigiNotar. Naar aanleiding van deze vragen, sturen wij u deze e-mail.

 

Maandag 29 augustus werd bekend dat een frauduleus certificaat is uitgegeven door DigiNotar. DigiNotar geeft eigen certificaten uit en is daarnaast ook één van de leveranciers van PKIoverheid-certificaten van de Staat der Nederlanden. Gebleken is dat de fraude betrekking heeft op de eigen certificaten van DigiNotar.

 

Voor zover nu bekend zijn de DigiNotar beveiligingscertificaten van de PKIoverheid-certificaten niet getroffen. Voor meer informatie hierover verwijzen wij u naar de factsheet van GOVCERT.NL.

 

Momenteel voert Fox-IT een onderzoek uit bij DigiNotar. Een eerste rapport zal naar verwachting eind deze week klaar zijn.

 

Ter voorbereiding op de mogelijke uitkomsten van dit rapport, adviseren wij u om het volgende vast in kaart te brengen:

·       Inventariseer de PKIoverheid-certificaten van DigiNotar die in uw organisatie aanwezig zijn.

·       Inventariseer voor welke processen deze certificaten worden gebruikt.

·       Inventariseer wat de gevolgen zijn als PKIoverheid-certificaten van DigiNotar niet meer kunnen worden vertrouwd.

 

Zodra de resultaten van het onderzoek bekend zijn, informeren wij u over de consequenties hiervan.

 

Met vriendelijke groet,

Servicecentrum Logius