SSL Certificaten

Timeline omtrent de DigiNotar hack

Networking4all heeft zoveel mogelijk nieuws verzameld omtrent de DigiNotar hack van de afgelopen maanden. Het belangrijkste nieuws hebben we middels een timeline gebundeld en overzichtelijk gemaakt. Ontdekt u een fout of heeft u een toevoeging, dan vernemen we dit graag. Wij zullen deze pagina dagelijks updaten.

Het Nederlandse DigiNotar deelde sinds begin juli honderden valse SSL Certificaten uit. DigiNotar merkte de hack pas weken later op en trok een serie valse certificaten in, maar waarschuwde niemand. Sinds 4 augustus werd honderdduizenden Iraanse computers wijsgemaakt dat ze echt met Google contact hadden. Ook de veiligheid van Nederlandse overheidscertificaten lijkt niet meer gegarandeerd. Onderzoek wijst uit dat de interne beveiliging van DigiNotar veel te wensen overlaat.

DigiNotar, opgericht in 1997, werd recentelijk (10 januari 2011) overgenomen door het Amerikaanse beveilingsbedrijf VASCO. DigiNotar geeft beveiligingscertificaten uit, voornamelijk aan overheidsinstanties.

6 juni 2011

Waarschijnlijk de eerste pogingen om binnen te komen bij de Nederlandse Certificate Autority DigiNotar (bron: rapport Fox-IT).

17 juni 2011

Een aantal servers van DigiNotar wordt gehackt (bron: rapport Fox-IT).

19 juni 2011

DigiNotar detecteert dat er een inbraak heeft plaatsgevonden in haar computersysteem (bron: rapport Fox-IT).

10 juli 2011

Het eerste valse SSL Certificaat wordt gecreëerd (bron: rapport Fox-IT).

19 juli 2011

DigiNotar geeft een certificaat uit voor *.google.com welke later gebruikt zal worden voor een man-in-the-middle-attack in Iran (bron: rapport Fox-IT).

22 juli 2011

DigiNotar start een onderzoek naar de hack
Meer dan een maand na de hack start DigiNotar met een extern bureau een onderzoek naar de inbraak. Men besluit echter om deze inbraak stil te houden en doet hier tevens geen aangifte over (bron: rapport Fox-IT).

27/28 juli 2011

Het valse *.google.com SSL Certificaat wordt gebruikt voor een man-in-the-middle-attack in Iran (bron: rapport Fox-IT).

4 augustus 2011

Vanaf deze deze periode wordt het valse SSL Certificaat voor *.google.com op grote schaal misbruikt voor een man-in-the-middle-attack in Iran. Dit zal later blijken uit een onderzoeksrapport van Fox-it (bron: rapport Fox-IT).

27 augustus 2011

Vals certificaat op gmail.com wordt ontdekt door een Iraanse burger
Pas na een maand ontdekt een internetter uit Iran dat gmail.com over een vals certificaat beschikt. Dit aan de hand van een veiligheidsmelding van zijn Google Chrome browser. Deze persoon meldt dit vervolgens op een forum van Google. Het SSL Certificaat was al gecreëerd op 10 juli 2011.

29 augustus 2011

Hack gedetecteert op Mozilla
De hack wordt opgemerkt op het Mozilla forum. Paul van Brouwershaven en Adam Langley stellen DigiNotar op de hoogte. De thread blijft in eerste instantie publiekelijk gesloten.

Govcert
Govcert.nl, de organisatie die overheidsinstanties ondersteunt op gebied van computerveiligheid in Nederland, wordt op de hoogte gesteld van de situatie door het duitse collegabedrijf CERT-BUND. Govcert stelt DigiNotar hiervan op de hoogte.

DigiNotar erkent inbraak in hun systemen
Na de bekendmaking van het valse SSL Certificaat trekt DigiNotar het SSL Certificaat voor *.google.com in. DigiNotar geeft toe een inbraak te hebben gehad in hun systemen. Door middel van onder andere een externe audit hebben zij destijds alle gevonden frauduleuze SSL Certificaten ingetrokken. Hierbij is helaas het SSL Certificaat voor *.google.com “over het hoofd gezien”. DigiNotar geeft zelf SSL Certificaten uit en SSL Certificaten van de PKIoverheid. Men laat weten dat de PKIoverheid certificaten geen gevaar hebben gelopen omdat deze volledig los van elkaar staan. Het Moederbedrijf VASCO geeft aan dat het voor hun bedrijf weinig impact heeft. Er wordt niet gesproken over de mogelijke gevolgen van het uitgeven van het valse SSL Certificaat.

30 augustus 2011

Gmail-gebruikers afgeluisterd
Het wordt bekend dat Gmail-gebruikers zijn afgeluisterd door de Iraanse regering met het valse SSL Certificaat van DigiNotar. Er wordt nogmaals een onderzoek gestart bij DigiNotar door het beveilingsbedrijf Fox-IT. DigiNotar meldt via een persbericht over het beveiligingsincident.

DigiNotar vaker gehackt
Er blijkt dat de portal van het Nederlandse DigiNotar de afgelopen jaren al vaker is gehackt. De oudste nog steeds zichtbare hack dateert al uit 2009. Het is echter niet duidelijk of deze eerdere inbraken verband hebben met de recente hack.

Fabrikanten verwijderen CA in hun browsers
Inmiddels hebben zowel Microsoft, Mozilla en Chrome aangegeven dat ze DigiNotar uit de browsers zullen verwijderen. DigiNotar geeft veel SSL Certificaten uit aan overheidsinstanties, waaronder ook het SSL Certificaat voor DigiD.nl. Bij de laatste testversie van Firefox zou het SSL Certificaat van DigiD al niet meer werken. Hierbij worden zowel DigiNotar als het PKIoverheid certificaat van DigiNotar niet meer vertrouwd.

Logius geeft aan dat PKIoverheid certificaten vertrouwd blijven
Overheidsorganisatie Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties geeft aan dat de PKIoverheid certificaten van DigiNotar nog steeds te vertrouwen zijn. Er zijn namelijk geen aanwijzingen dat er onjuiste PKIoverheid certificaten van DigiNotar zijn uitgegeven, waaronder die van DigiD. Dit verloopt namelijk via een compleet gescheiden proces, dat geheel los staat van de uitgifte van de normale SSL Certificaten van DigiNotar. Het verwijderen van DigiNotar uit Firefox en Internet Explorer zou geen gevolgen hebben voor de PKIoverheid certificaten die het bedrijf onder de Staat der Nederlanden Root CA heeft uitgegeven. Logius geeft aan dat deze SSL Certificaten gewoon vertrouwd blijven.

31 augustus 2011

Update Chrome
Google heeft een nieuwe versie van Chrome gelanceeerd (13.0.782.218), waarbij de Nederlandse Certificate Authority DigiNotar uit de browser is verwijderd. Dit lijkt nu echter geen gevolgen voor DigiD.nl te hebben. De Nederlandse overheid heeft namenlijk na onderhandelen met de browserfabrikanten enkel de CA DigiNotar laten verwijderen en niet de PKIoverheid certificaten van DigiNotar. Dit terwijl het nog niet zeker was of de hacker(s) ook toegang hadden tot de uitgifte van PKIoverheid certificaten.

Totaal al 247 frauduleuze SSL Certificaten in omloop
Uit een analyse van de laatste Chrome versie blijkt dat maar liefst 247 frauduleuze SSL Certificaten zijn aangemaakt. Dit in tegenstelling tot eerdere berichten van DigiNotar, waar het aangaf dat het “slechts” om tientallen SSL Certificaten zou gaan.

Onderzoek Fox-IT
De conclusies van het onderzoek van het beveiligingsbedrijf Fox-IT zal DigiNotar zo spoedig mogelijk openbaar maken.

1 september 2011

Advies; DigiNotar volledig verbannnen
De Nederlandse senior virusonderzoeker Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab geeft aan dat de Nederlandse overheid het voorbeeld moet volgen van Microsoft, Mozilla en Google door DigiNotar volledig uit de de PKI-keten te verbannen. Beveiligingsexperts noemden de situatie de hele week al "heel erg zorgelijk".

Meerdere grote sites getroffen
Volgens berichten zouden naast Google, ook yahoo.com, mozilla.org, wordpress.org, torproject.org en het Iraanse blogplatform Baladin zijn getroffen, net als addons.mozzila.org en Windows update. Het is tevens officieel bevestigd dat het Tor Project een doelwit was. Het Tor Project is het niet eens met het compromis welke Mozilla en de Nederlandse overheid sloten.

Logius verstuurd email i.v.m. inventarisatie overheden
Er wordt door de overheidsinstantie Logius een e-mail verstuurd waarin het overheden vraagt om de gevolgen van het uitvallen van PKIoverheids certificaten van DigiNotar te benoemen. Volgens de e-mail zijn er geen daadwerkelijke aanwijzingen dat de DigiNotar beveiligingscertificaten van PKIoverheid certificaten getroffen zijn. Er wordt echter al wel een inventarisatie gehouden voor wat de gevolgen zouden zijn als de PKIoverheid certificaten van DigiNotar niet meer zijn te vertrouwen zouden zijn.

2 september 2011

Alsnog de PKIoverheid certificaten van DigiNotar volledig intrekken
Er wordt algemeen gepraat over het voorbereiden van een update van de browserleveranciers om alsnog de DigiNotar's PKIoverheid CA in te trekken, mede afhankelijk van het onderzoek dat nu wordt uitgevoerd. Hierdoor zullen veel Nederlandse overheidssites en diensten worden getroffen.

NOS Journaal
De overheid begint de ernst van de situatie in te zien en het onderwerp komt aan bod in het NOS Journaal.

Kamervragen
Er worden door de PVV bij de de ministers van Veiligheid en Justitie, Defensie, Buitenlandse Zaken, Binnenlandse Zaken en Koninkrijksrelaties Kamervragen gesteld over "de blunder bij DigiNotar".

Strafbaar wegens nalatigheid
Er wordt onderzocht of DigiNotar mogelijk strafbaar is wegens nalatigheid.

3 september 2011

Vertrouwen DigiNotar door overheid opgezegd
Minister Donner laat weten dat de betrouwbaardheid van honderden overheidsites momenteel niet te garanderen is en dat het vertrouwen in DigiNotar is opgezegd. De PVV wil weten wat voor gevolgen dit heeft voor het gebruik van DigiD en andere elektronische dienstverlening.

Onderzoek Fox-IT, beveilging slecht op orde
Het onderzoek van Fox-IT toont aan dat DigiNotar veel steken heeft laten vallen en zijn beveiliging totaal niet op orde had. De bewering van DigiNotar dat er twee gescheiden systemen waren voor de uitgifte van eigen SSL Certificaten en de PKIoverheid certificaten is niet juist. Deze waren op hetzelfde netwerk aangesloten. Hierdoor kan dan ook niet uitgesloten worden dat ook de PKIoverheid certificaten van DigiNotar gecompromitteerd zijn. Als oplossing is er besloten om zo snel mogelijk op andere PKI certificatenleveranciers over te stappen.

Nieuwe versie Mozilla Firefox
Mozilla gaat nu ook de PKIoverheid certificaten van DigiNotar uit Firefox verwijderen, wat voor problemen bij het bezoeken een groot aantal overheidssites, waaronder DigiD.nl geeft. Mozilla geeft aan ook geen enkel vertrouwen meer te hebben dat DigiNotar het probleem onder controle heeft.

Nieuwe versie Google Chrome
Ook Google heeft een nieuwe versie van Chrome (13.0.782.220) uitgebracht, waarin ook de PKIoverheid SSL Certificaten die DigiNotar heeft uitgegeven niet meer worden vertrouwd.

Gevolgen afluisteren voor 300.000 Iraniërs
De NOS gaf al eerder aan dat de aanval het werk van Iraanse hackers was. Verder onderzoek gaf aan dat de vervalste certificaten mogelijk ernstige gevolgen hebben voor 300.000 mensen in Iran, aangezien hun internetverkeer is afgeluisterd.

4 september 2011

Update Microsoft
Microsoft besluit ook om DigiNotar PKIoverheid SSL Certificaten uit de browser te halen als vertrouwde CA.

Melding VNO-NCW: "DigiNotar niet te vertrouwen"
VNO-NCW, de grootste ondernemingsorganisatie van Nederland waarschuwt alle bedrijven om hun beveilingscertificaten van DigiNotar te vervangen door andere dienstverleners. Ook Govcert, het Cyber Security en Incident Response Team van de Nederlandse overheid,  ondersteund dit advies.

Overheid waarschuwt voor belastingaangifte
De overheid waarschuwt gebruikers inmiddels om geen digitaal belastingaangifte te doen zolang ze een browserwaarschuwing krijgen. De overheid gaat hierbij voorbij aan het feit dat een SSL Certificaat foutmelding in de internet browser geen garantie geeft aangezien de hackers juist doen voorkomen alsof hun certificaat correct is. Een browserupdate geeft pas uitsluitsel.

Verband met eerder inbraken andere CA's
Door berichten die achtergelaten zijn door de hacker(s) lijkt er een sterk verband te zijn tussen de inbraak van de Comodo resellers eerder dit jaar en de inbraak bij Diginotar.

5 september 2011

Microsoft: "Windows Update geen gevaar"
Microsoft geeft aan dat de bij DigiNotar uitgegeven SSL Certificaten voor *.microsoft.com en *.windowsupdate.com geen gevaar vormen voor de veiligheid van Windows-gebruikers.

VASCO doet afstand van DigiNotar
In een verklaring van VASCO aan haar investeerders laat deze weten volledig afstand te nemen van DigiNotar.

Advies Mozilla aan Iraniërs: "Update wachtwoorden"
Mozilla adviseert Iraniërs naast het updaten van de browsers tevens hun wachtwoorden te veranderen.

Kamerbrief Digitale inbraak DigiNotar
Via een brief informeert de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Veiligheid en Justitie de Tweede Kamer over de digitale inbraak bij DigiNotar en over het rapport dat Fox-IT daarover schreef.

6 september 2011

21 jarige student claimt hacks
Een 21-jarige Iraanse student die eerder SSL-uitgever Comodo hackte, zegt ook achter de aanval op het Nederlandse DigiNotar te zitten. Op de website Pastebin.com zegt hij verantwoordelijkheid te zijn voor zowel de hack op DigiNotar, Startcom en Comodo. De hacker, die zichzelf bekend maakt onder de naam ComodoHacker stelde in zijn betoog dat hij nog steeds toegang had tot vier andere belangrijke Certificaat Autorities. Hierdoor zou de Iraanse hacker, naar eigen zeggen, nog steeds vervalste certificaten kunnen genereren.

Windows update uitgesteld
Op verzoek van de Nederlandse overheid zal Microsoft de update om DigiNotar volledig uit Internet Explorer te verwijderen, enkel in Nederland, met één week uitstellen. Deze update wordt wereldwijd verspreid. Dit om de overheid meer tijd te geven om hun SSL Certificaten te vervangen. De update is via deze link handmatig te updaten.

7 september 2011

Ook andere CA's gehackt?
De Iraanse hacker die naar eigen zeggen zowel Comodo als DigiNotar hackte, zegt alleen te hebben gewerkt. Tevens vermeld hij in zijn verklaring dat hij toegang zou hebben tot de Certificate Autority GlobalSign. GlobalSign heeft deze dreiging zeer serieus genomen en is een intern onderzoek begonnen. Hierbij heeft men besloten tijdens het onderzoek uit voorzorg geen SSL Certificaten meer te ondertekenen. Het besluit later die dag samen te werken met Fox-IT, daar deze ervaring heeft met de DigiNotar-hack.

Gemeenten
Diverse gemeenten halen hun website offline of vragen gebruikers om niet in te loggen.

OPTA
Telecomwaakhond OPTA onderzoekt of het bedrijf DigiNotar juist heeft gehandeld bij de uitgifte van gekwalificeerde certificaten. 

8 september 2011

Adobe accepteert nog DigiNotar SSL Certificaten
Webwereld weet te melden dat Adobe de inbraak bij DigiNotar onderzoekt waardoor frauduleuze certificaten zijn uitgegeven. Het bedrijf voert nu in tegenstelling tot Microsoft, Mozilla en Google geen ban door omdat Adobe tot op heden geen bewijs heeft dat er er frauduleuze DigiNotar Certificaten zijn gebruikt in combinatie met Adobe-producten.

Mogelijke problemen gemeenten bij installatie Microsoft patch
Gemeenten kunnen mogelijk problemen krijgen met hun DigiNotar certificaten bij de installatie van de Microsoft patch van dinsdag 13 september. Het is mogelijk dat werkprocessen binnen gemeenten, en met ketenpartners, deels niet meer geautomatiseerd kunnen plaatsvinden.

9 september 2011

Google waarschuwt Iraanse slachtoffers
Iraanse internetters die zijn afgeluisterd door bij DigiNotar verkregen SSL Certificaten worden door Google persoonlijk gewaarschuwd. Zo krijgen Iraniërs die op Gmail inloggen bijvoorbeeld het verzoek hun wachtwoord te wijzigen.

DigiNotar alsnog uit Adobe verwijderd
Waar Adobe gisteren nog geen maatregelen trof, doet dat het vandaag wel. Adobe gaat vanaf vandaag de SSL Certificaten van DigiNotar uit haar eigen producten verwijderen.

Apple nog zonder DigiNotar patch
Apple is het enige bedrijf dat nog geen patch heeft voor OS X, iOS of Safari om DigiNotar certificaten te blokkeren. Voor Microsoft, Mozilla, Chrome en Opera is inmiddels wel een patch ontwikkeld.

11 september 2011

Mobiele telefoons nog steeds kwetsbaar
Gebruikers van mobiele apparatuur zoals smartphones en tablets moeten oppassen voor het gebruik van websites welke beveiligd zijn met SSL Certificaten van DigiNotar. Hiervoor moeten patches worden ontwikkeld. Tot die tijd zullen de DigiNotar certificaten gewoon ondersteund worden.

12 september 2011

Black-out dreigde voor overheid
Het heeft weinig gescheeld of een groot deel van de overheidsdiensten zou zijn uitgevallen door middel van een black-out. Dat blijkt uit onderzoek van het NRC Handelsblad. "De Belastingdienst zou geen geld hebben kunnen ontvangen, WW en kinderbijslag zouden niet zijn uitgekeerd."

13 september 2011

Update Microsoft
Aan het eind van de middag brengt Microsoft een update uit in Nederland. Door deze update worden alle DigiNotar certificaten geblokkeerd. Op websites die na vanmiddag nog wel over DigiNotar certificaten beschikken, verschijnt een waarschuwing.

14 september 2011

Honderden sites overheid nog steeds in bezit DigiNotar certificaat
Enkele weken na de bekendmaking van de hack zijn er nog altijd ruim 300 websites van de overheid die gebruik maken van DigiNotar certificaten.

OPTA verklaart certificaten DigiNotar als niet betrouwbaar
Toezichthouder OPTA laat in een verklaring weten dat het niet langer de certificaten van DigiNotar vertrouwt en dat de CA haar klanten hiervan op de hoogte moet stellen. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft inmiddels het operationele beheer van de systemen voor certificering overgenomen van DigiNotar.

19 september 2011

DigiNotar over op Comodo certificaten
Nu de certificaten van DigiNotar niet meer worden uitgegeven heeft DigiNotar ervoor gekozen over te stappen op Comodo. Vreemde keuze, aangezien de certificaten van Comodo eerder dit jaar ook al gehackt zijn.

20 september 2011

Update Microsoft pakte verkeerd uit
Bij de update van Microsoft voor Windows systemen is een blunder gemaakt. Het heeft de DigiNotar-update opnieuw moeten uitgeven. De vorige week uitgegeven update bevatte niet de certificaten die ook daadwerkelijk in Iran voor het afluisteren zijn gebruikt.

DigiNotar failliet verklaard
De rechtbank in Haarlem heeft DigiNotar failliet verklaard. Er is een curator aangesteld om alles af te handelen.

woensdag 7 september 2011
Follow Networking4all on Twitter
Twitter Hyves Facebook Google Buzz MySpace LinkedIn Bookmark and Share