Overheid dwingt vertraagde Windows Update af bij Microsoft
De overheid zal PKI-Overheid-certificaten van DigiNotar bovendien niet intrekken: volgens minister Donner van Binnenlandse Zaken zou er maatschappelijke schade kunnen optreden als dat wel van de ene op de andere dag zou gebeuren. "Communicatiesystemen zouden dan verstoord kunnen raken", zei de bewindsman maandagavond tijdens een persconferentie over de DigiNotar-zaak. "Hierdoor heeft het kabinet gekozen voor een gefaseerde migratie naar andere certificatiesystemen."
Ondanks de overstap moeten internetters volgens de minister nog steeds waakzaam zijn. "Mensen moeten nog steeds goed opletten. De overheid is nog niet op alle sites overgestapt op nieuwe certificaten. Er is nu veel vraag naar nieuwe certificaten. We denken dat de overheid nog drie tot vier dagen nodig heeft om de certificaten te vervangen. Voor de certificaten op machines voor contacten tussen machines onderling is langer nodig."
Wanneer de hele overstap op voor deze machine-to-machine-certificaten is afgerond, kon Donner niet precies aangeven. Wel gaf de minister aan dat de tijd hiervoor beperkt is door de updatedruk vanuit Microsoft. Microsoft zal de update voor Nederland wel aankondigen en ter beschikking stellen, maar niet automatisch uitrollen. "Microsoft zal voor in ieder geval Nederland de nieuwe release niet automatisch toepassen maar de keuze bieden om handmatig over te stappen naar een andere aanbieder."
DigiNotar, dat ssl-certificaten verstrekt waarmee websites en bedrijven zichzelf kunnen identificeren, bleek vorige week te zijn gehackt. Beveiligingsbedrijf Fox-IT deed in de afgelopen week onderzoek naar de beveiligingsproblemen bij ssl-autoriteit DigiNotar en de resultaten van dat onderzoek zijn maandagavond gepresenteerd. Het onderzoeksrapport, dat in verband met de korte tijd waarin het moest worden opgesteld niet overal op ingaat, laat zien dat het met de beveiliging van DigiNotar zeer slecht was gesteld.
De onderzoekers van Fox-IT schrijven onder meer dat er geen antivirussoftware op de onderzochte servers was geïnstalleerd. Ook zouden de servers die werden gebruikt voor het signen van certificaten in hetzelfde Windows-domein hebben gehangen; daardoor was het ontfutselen van één wachtwoord genoeg om alle servers te kraken. De gebruikte wachtwoorden bleken ook nog eens veel te simpel. Bovendien waren de servers over het netwerk te benaderen vanaf pc's van medewerkers, terwijl dat niet mag. Hoewel er een systeem in werking was dat inbraken op het netwerk zou moeten hebben opgespoord, bleek dit niet effectief.
De overheid kan niet langer garanderen dat de PKIoverheid-certificaten van DigiNotar nog veilig zijn, al valt in het rapport te lezen dat misbruik niet is aangetoond. Hetzelfde blijkt te gelden voor een aantal andere certificaat-autoriteiten, waaronder het Ministerie van Justitie, de Nederlandse Orde van Advocaten, TenneT, Renault-Nissan en de TU Delft; ook de veiligheid van certificaten van die autoriteiten kan niet worden gegarandeerd, omdat DigiNotar ze verzorgde.
De onderzoekers schrijven verder dat sommige scripts en software die door de hackers is gebruikt professioneel was, terwijl een deel een amateuristische uitstraling had. De onderzoekers stellen bovendien dat het ssl-certificaat dat de DigiNotar-hackers uitgaven waarmee ze zich als een Google-dienst konden voordoen, vooral is misbruikt bij Iraanse internetters. Het vermoeden bestond al dat de aanval was bedoeld om ssl-certificaten te kunnen misbruiken met als doel internetverkeer van en naar Iraanse internetters te kunnen onderscheppen.
DigiNotar kwam een week geleden in het nieuws, toen bleek dat hackers systemen van het bedrijf hadden gebruikt om valse certificaten te genereren. Hoewel DigiNotar de hack 19 juli ontdekte, trok het bedrijf niet aan de bel. Uit het onderzoek van Fox-IT blijkt dat de eerste sporen van de aanvallers al dateren van 17 juni. De laatste valse certificaten werden aangemaakt op 22 juli - drie dagen na de ontdekking.
Zondag bleek dat er in ieder geval 531 certificaten zijn gegenereerd, waaronder voor *.*.com en *.*.org. DigiNotar was een van de zes partijen die namens de Rijksoverheid ssl-certificaten mochten uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten voor de overheid uitgeeft, niet is gekraakt.