Navigatie overslaan.
Start

DigiNOTar

CA's - Iran: 0 - 2

Vorige week werd duidelijk dat er alweer een CA gehacked werd, nl Diginotar. (Een onderdeel van Vasco.)

De hack is mogelijk al gebeurd in mei 2009 maar bleef onopgemerkt tot enkele maanden geleden.
Toen heeft Diginotar geniepig een aantal certificaten ongeldig verklaard. (Zonder uitleg te geven)
Helaas werden ook na die datum nog certs geissued die actief in attacks gebruikt werden. Hierdoor kwam alles uiteindelijk toch aan het licht.
Door deze hack en hun geniepige acties om het in de doofpot proberen te stoppen, is de CA momenteel alle vertrouwen kwijt.
(En dat is niet goed, want "vertrouwen" is juist hun core business. Ze zullen dat tijdelijk vergeten zijn, denk ik.)

De volgende CA mogen nooit meer vertrouwd worden:

  • DigiNotar Cyber CA
  • DigiNotar Extended Validation CA
  • DigiNotar Public CA 2025
  • DigiNotar Public CA - G2
  • Koninklijke Notariele Beroepsorganisatie CA
  • Stichting TTP Infos CA

Hopelijk krijgt iedere gedupeerde klant zijn geld terug en een vergoeding voor alle veroorzaakte ongemakken. En worden ze vervolgd voor hun laksheid.

Het is eigenlijk best simpel.
Ik ken hen niet, dus waarom zou ik hen überhaupt vertrouwen?

"Trust can not be enforced", dus als je om de een of andere reden gedwongen wordt om een bepaald certificaat te "vertrouwen", dat is er absoluut geen sprake van vertrouwen, en faalt het hele systeem.

Dus laat je maar eens goed gaan in de CA lijst van je favoriete browser of operating system, want ik weet niet hoe het met jullie zit, maar ik ken "TÜRKTRUST Bilgi ?leti?im ve Bili?im Güvenli?i Hizmetleri", "Chunghwa Telecom Co., Ltd.", etc... dus helemaal niet...

De Nederlandse overheid heeft certificaten die ondertekend werden door Diginotar.
"werden", want de Nederlandse overheid begrijpt ondertussen wat er gebeurd is, en wil, zoals het logisch verstand gebied, absoluut niets meer te maken hebben met Diginotar.
(Ze zijn uiteindelijk gelukkig bijgedraaid, want eerst ze hadden wel nog vertrouwen. GovCERT was blijkbaar onder invloed van de PR talk van Vasco /Diginotar.)

Momenteel kan hierdoor geen enkele online overheidstoepassing meer vertrouwd worden.

Alle (gekende) certificaten werden dus reeds opzettelijk ongeldig gemaakt. Helaas zijn er nog steeds (belangrijke) applicaties die geen revocation lists ondersteunen of de geldigheid van een certificaat controleren. (En Diginotar heeft ook de reputatie om niet eens revocatie informatie in het certificaat te zetten.)

Diginotar zal ook automatisch verdwijnen uit Firefox, want hier kan niemand om lachen.

http://blog.mozilla.com/security/2011/09/02/diginotar-removal-follow-up/

Ik begrijp nog steeds niet waarom er standaard CA's vertrouwd worden in software.
Ik ben de eigenaar van mijn PC, ik ben de gebruiker van de software, dus IK, en niemand anders, bepaal welke CA's er vertrouwd worden en al de rest sowieso niet.

Bijgevoegd is de lijst van de tot nu toe gekende "rogue certificates": 531 stuks in totaal!
Er zitten mooie tussen: MI6, Google, Mossad, windowsupdate.com, jouw bank, skype, cia, etc...
Zelfs intermediate certs van andere CA's!

Die mannen van Diginotar mogen van mij nooit meer een taak uitoefenen met enige vertrouwensfunctie want ze hebben net bewezen dat ze daar compleet niet toe in staat zijn.
Zij snappen dus gewoon niet dat door hun incompetentie mensen gedood worden in repressieve landen omdat de overheden aldaar op deze manier alle communicatie kunnen onderscheppen van dissidenten...

Ik vraag me af welke CA de volgende zal zijn...

"We believe that DigiNotar's certificates are among the most reliable in the field."
-- Jan Valcke, President en COO van Vasco, 20 Juni 2011.

Famous last words. ;-)

http://en.wikipedia.org/wiki/DigiNotar

http://blog.gerv.net/2011/09/diginotar-compromise/

BijlageGrootte
rogue-certs-2011-09-04.xlsx106.41 KB

Amateurs

a) No antivirus software was present on Diginotar's servers;
b) 'the most critical servers' had malicious software infections;
c) The software installed on the public web servers was outdated and not patched; and
d) all servers were accessible by one user/password combination, which was 'not very strong and could easily be brute-forced.

http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0

Het admin wachtwoord was blijkbaar "Pr0d@dm1n", hetgeen een vrij zwak wachtwoord is.

Nog opmerkelijk is dat er iemand is die beweert de eerdere Comodo hack en deze op zijn geweten te hebben, en het leuke is dat hij ook beweert nog actieve access te hebben tot 4 andere "high profile" CA's.
Als ik een CA was, was het nu tijd om te beginnen zweten.

Als dat waar is, dan is het 6 - 0 voor Iran. ;-)

Dit is dus exact de reden waarom je absoluut GEEN GELD moet geven om een certificaat in handen te krijgen.

Delete alle CA's uit je browser en operating system, vertrouw enkel de CA's die je nodig hebt. (Dit zijn degenenen die je gebruikt.)
CRLs en OSCP zijn absoluut NOODZAKELIJK.
Voor je eigen bedrijf, zet je je eigen CA op.

Professioneel

http://www.rijksoverheid.nl/documenten-en-publicaties/brochures/2011/09/...

Wat doet de overheid om dit probleem op te lossen?

De overheid heeft de volgende maatregelen genomen om de problemen met beveiligingscertificaten op te lossen:

  1. De overheid heeft het vertouwen opgezegd in het bedrijf DigiNotar en alle door hen geleverde diensten en certificaten.
  2. De overheid heeft het operationele beheer van de systemen voor certificering overgenomen van DigiNotar.
  3. Alle door DigiNotar uitgegeven certificaten voor websites van overheidsorganisaties worden vervangen door certificaten van andere (PKI-)certificatenleveranciers. Private partijen kiezen zelf een nieuwe leverancier.

Verder heeft de overheid de volgende juridische maatregelen genomen:

  1. De Landsadvocaat is sinds vrijdag 2 september 2011 betrokken.
  2. Het Openbaar Ministerie heeft een feitenonderzoek ingesteld.
  3. De toezichthouder voor Telecom OPTA is nauw betrokken bij de problemen met de DigiNotar-certificaten.
  4. Het Kabinet onderzoekt wie betrokken zijn bij het hecken van DigiNotar.
  5. Het bedrijf DigiNotar wordt aangesproken op de verantwoordelijkheid en/of aansprakelijkheid wegens nalatigheid.

En hier in België hebben wij nog altijd geen regering, is ieder (IT) project een flop, en draagt uiteindelijk als er iets gebeurd niemand enige verantwoordelijkheid...