De Diginotar affaire legt het probleem met SSL-certificaten bloot zoals dit al enkele jaren gedaan is door Moxie Marlinspike (http://www.thoughtcrime.org/). Nu is Diginotar niet de eerste die dit probleem heeft. Comodo, een grote speler op de markt van certificate authorities (CA’s), werd eerder dit jaar gehackt. Dezelfde hacker uit Iran verklaart nu ook bij Diginotar binnen geraakt te zijn.
Er zijn echter enkele verschillen. De aanval bij Diginotar werd publiekelijke ontdekt door een aanval met de valse certificaten van Diginotar. Comodo kondigde de aanval zelf aan en ondernam zelf direct actie (middels een ‘certificate revoke’). Ten tweede zijn bij Diginotar ongeveer vijfhonderd certificaten verkregen. Bij Comodo ging het over een klein aantal. Ook de communicatie en reactie tijd van Diginotar waren ronduit slecht ten opzichte van de reacties bij Comodo. Tot slot is het audit-rapport van Fox-IT over de infrastructuur van Diginotar ronduit vernietigend.
Diginotar ondernam geen actie bij het detecteren van de aanval en mogelijk hierdoor zijn er in de weken daarna rond de vijfhonderd certificaten gestolen. Beveiligingslekken in het systeem zijn in sommige gevallen niet te vermijden, dus is het mijns inziens vooral van belang dat het bedrijf in kwestie daar verantwoordelijk mee omgaat en zorgt voor een degelijke oplossing. Dit is niet het geval geweest bij Diginotar.
De reactie van GlobalSign toen bekend werd dat ook zij mogelijk waren getroffen door een hack door wederom dezelfde hacker, was moedig en correct. GlobalSign heeft activiteiten gestaakt en reikt geen certificaten uit en is momenteel bezig met een intern onderzoek. Dit om zeker te zijn dat de claim al dan niet correct is.
Ook wil ik graag stilstaan bij de reacties en maatregelen van de webbrowser-fabrikanten. Opvallend is dat bij de Comodo-hack er geen directe actie werd ondernomen. In het geval van Diginotar is er wel snel gereageerd met browser-updates die de Root CA-certificates van Diginotar verwijderen.
Het voortbestaan van Diginotar zal afhangen van twee zaken: communicatie naar de markt en de gesprekken met de Nederlandse overheid. Als een van deze twee aandachtspunten niet goed wordt ingevuld dan vrees ik dat het heel moeilijk zal zijn voor Diginotar om het vertrouwen terug te winne.
“Voortbestaan van Diginotar”? Even samenvatten: de infrastructuur is niet goed, incompleet en onveilig. Mensen die hiervoor verantwoordelijk zijn (geweest) kan je niet vertrouwen. Bestaande aantal klanten van Diginotar: lijkt me -0- (nul). De naam “Diginotar” opent geen deuren (behalve bij klanten van Diginotar: de achterdeur….)
Ik denk dat de Nederlandse overheid lering trekt uit deze ervaring: andere mensen, eisen aan de infrastructuur, controle volgens standaarden die meetbaar zijn en breed erkent worden én een andere naam, als het gaat om het vinden van een betrouwbare partij.
De auteur schrijft: “Beveiligingslekken in het systeem zijn in sommige gevallen niet te vermijden …”. Wat een hopeloos geval van piep-piep (zelfcensurering).
Ieder bedrijf dient een goede firewall, antivirus op de mail server en antivirus op de proxy-server te hebben. Vervolgens hebben bepaalde bedrijveen met zeer gevoelige extra veiligheidsbarrieres nodig. Ik wil niets te maken hebben met een beveiligingsexpert die denkt dat een lek af en toe erbij hoort. Verkeerd uitgangspunt!
Volgens mij hoort een netwerk waar certificaten worden uitgegeven in het geheel niet benaderbaar te zijn vanaf welk ander netwerk dan ook, met toegang voor een zeer beperkte subset van het personeel. Bij een hack kan er dan alleen maar personeel betrokken zijn.
@marcus
Het lijkt mij juist zeer realistisch om er vanuit te gaan dat er wél lekken zijn (niets is volledig te beveiligen). Met dat uitgangspunt in het achterhoofd kunnen procedures worden ingericht voor het detecteren van (misbruik van) lekken en het daarop actie ondernemen.
@Marcus
Een goede beveiligingsexpert denkt ook na over wat er fout kan gaan en zorgt ervoor dat daarop geacteerd kan worden.
En dus niet zoals bij Diginotar waar ze pas na 2 jaar erachter kwamen dat hun website tot twee maal toe gecompromitteerd was.
En als beveiliger is het ook niet zomaar toegestaan om het personeel regelmatig financieel door te lichten om te kijken of ze evt omgekocht zijn. Daar zal dan tenminste een gegronde reden voor moeten zijn. Dus is bij voorbaat al niet uit te sluiten dat er een lek van binnenuit ontstaat door omkoping.
Self signed certificate toch de toekomst …?
In ieder geval betaalbaar 😉
Het voortbestaan van Diginotar is volstrekt niet interessant. Waarom de auteur dáár nou mee komt?
In een breder verband begrijp ik echt niet waarom de beveiliging van gegevensverkeer dat tot het overheidsdomein behoort (DiGiD oa) toevertrouwd wordt aan een externe bedrijf (groot of klein, dat maakt niet uit). De beveiliging van gegevensverkeer behoort te berusten bij de eigenaar/beheerder van de gegevens. De overheid in dit geval.