Opnieuw certificatenverlener gehackt

AMSTERDAM – Een Turkse certificaatdienstverlener blijkt in december een tijd valse certificaten te hebben uitgegeven. Inmiddels hebben Google, Mozilla en Microsoft actie ondernomen.

Google meldt op 24 december te hebben ontdekt dat valse certificaten van het internetbedrijf werden goedgekeurd door Turktrust. Hierdoor leek het voor gebruikers alsof er een vertrouwde verbinding was met Google, terwijl dat niet het geval was.

Het eerst certificaat dat Google ontdekte bleek al in augustus 2011 te zijn gemaakt. Het duurde echter tot december 2012 tot het voor het eerst richting computergebruikers werd misbruikt. De dag na de ontdekking heeft Google het certificaat voor de Chrome-browser geblokkeerd. Lees het verhaal op NU.nl.

‘Diginotar negeerde misbruik en was slecht beveiligd’

DEN HAAG – Het Beverwijkse bedrijf Diginotar wist al op 28 juli dat mensen in Iran daadwerkelijk werden misleid. Ook blijkt de beveiliging op cruciale punten afwezig te zijn geweest, waardoor misbruik kinderlijk eenvoudig was.

Dat blijkt uit het onderzoek (.pdf) dat is gehouden door Fox IT naar aanleiding van de hacks bij Diginotar, een dochter van beveiligingsbedrijf Vasco Data Security. Een overheidsbron heeft NU.nl en Webwereld dit onderzoek laten inzien. De Nederlandse instantie die gaat over ICT-veiligheid bij de overheid hoorde pas vorige week maandag van Duitse collega’s van problemen met certificaten van Diginotar. Lees het verhaal op NU.nl.

Fox IT heeft een vernietigend oordeel geveld over de infrastructuur van Diginotar. Het bedrijf hield zich niet aan afspraken en procedures. Ook ontbraken basale beveiligingsmaatregelen. Dat blijkt uit het onderzoeksrapport van Fox IT naar de inbraak bij Diginotar, dat Webwereld en NU.nl via een overheidsbron hebben ingezien. Zo blijken alles systemen van Diginotar binnen één enkel Windows domein te hebben gefunctioneerd. Daardoor was mogelijk om vanaf de werkplek toegang te krijgen tot de administratie van certificaten. Inloggen op de werkplek was dan ook voldoende om daadwerkelijke toegang tot de systemen te krijgen. Bij beveiliging geldt dat als een absolute doodzonde. Bovendien wist Diginotar eind juli al dat er misbruik werd gemaakt van de certificaten. Lees het verhaal op Webwereld.

Ict’ers malen niet om certificaten

Ict’ers zijn vaak goed in hun vak, maar wars van ‘egotripperij’ met certificering. Dat leidt tot hoofdpijn bij managers in detachering, want die moeten de goede kwaliteit van mensen bewijzen.

Ali Memik is directeur van Proxy Services en worstelt met de vraag hoe hij zijn nerds kan omvormen tot gediplomeerde nerds: “De medewerkers zijn technisch erg goed, maar een klant wil dit vaak met certificering bewezen zien.” Lees het verhaal op Webwereld.