NL EN
  • Home»
  • Weblog »
  • The rise and fall of Diginotar: een overzicht

The rise and fall of Diginotar: een overzicht

Eind augustus werd bekend dat het Nederlandse DigiNotar, onderdeel van het Amerikaanse Vasco, actief op het gebied van "internet trust services" en uitgever van digitale certificaten voor betrouwbare gegevensuitwisseling,  al sinds juli wegens een hack honderden valse certificaten uitdeelt. De onbetrouwbaarheid van de certificaten heeft grote gevolgen: je bent er dan immers niet meer zeker van dat je communiceert met de partij met wie je denkt te communiceren. Zo meenden vele computers in Iran dat ze met Google communiceerden, terwijl dat niet zo was. Ook in Nederland wordt veel gewerkt met certificaten van DigiNotar, onder andere door de (semi)overheid.

Het bedrijf heeft nadat het de hack bemerkte - uit onderzoek van FOX-IT is gebleken dat zij hier al op 28 juli mee bekend was - niemand gewaarschuwd. Deze week kwam steeds meer informatie naar boven. Hieronder een update, voor een nog vollediger overzicht zie AutomatiseringGids.

Maandag 5 september: de overheid zegt het vertrouwen in DigiNotar op en ook de Belastingdienst geeft aan dat het beter is voorlopig niet met DigiD te werken. Uit door FOX-IT op verzoek van de overheid verricht onderzoek (in te zien via deze pagina van Webwereld) blijkt dat alle regels voor het uitgeven van overheidscertificaten met voeten werden getreden. Zo mogen de computers van PKI Overheid nooit verbonden worden met het netwerk van Diginotar. Maar de onderzoekers van FOX-IT troffen sporen aan dat er wel degelijk een verbinding met het Windows domein was geweest. Ook ontbrak de meest basale beveiliging voor de systemen; een virusscanner was niet aanwezig en wachtwoorden bleken met de standaard tool Cain and Able makkelijk te kraken. Daarbij ging het niet alleen om gebruikerswachtwoorden, maar ook om de toegang voor beheerders.

Dinsdag 6 september: ook de advocatuur zegt het vertrouwen in DigiNotar op. De Tweede Kamer geeft aan een debat over DigiNotar te willen houden.

Woensdag 7 september: Minister Donner meldt aan de Tweede Kamer dat de claim van de hacker die zegt verantwoordelijk te zijn voor de DigiNotar hack te onderzoeken. Ook wordt bekend dat het wifi netwerk van DigiNotar al jarenlang gewoon open stond. Verder legt een groot aantal gemeenten hun site of althans de communicatie via de site uit voorzorg stil.

Vooruitlopend op het debat in de Tweede Kamer stelt PvdA-kamerlid Martijn van Dam in Webwereld al dat hij het "ongehoord" en "schandelijk" vindt dat DigiNotar twee maanden lang de hack waarbij beveiligingscertificaten konden worden vervalst, heeft stilgehouden. "Mogelijk zijn de levens van Iraanse dissidenten erdoor in gevaar gekomen. Ik weet niet of het mogelijk is een strafrechtelijk onderzoek te doen, maar als dat kan pleit ik daar wel voor."  Van Dam roept dit niet zo maar. Hij heeft al in 2005 een motie ingediend om bedrijven te verplichten inbraken in computersystemen te melden, vergelijkbaar met het wetsvoorstel datalekken waar thans zoveel om te doen is. Deze motie is bij gebrek aan voldoende steun toen afgezwakt tot een motie tot onderzoek naar een dergelijke verplichting tot openbaarmaking.

Los van de mogelijkheden tot strafrechtelijk onderzoek en strafbaarstelling danwel specifieke andere wetgeving op dit gebied, waar thans voor wordt gepleit, ben ik ervan overtuigd, gezien de bevindingen in het rapport van FOX-IT, dat DigiNotar wel degelik aansprakelijk kan worden gehouden. DigiNotar, althans daar ziet het gebaseerd op de thans bekende feiten naar uit, zal niet of moeilijk kunnen aantonen dat zij niet onzorgvuldig heeft gehandeld. Dit is de toets waaraan de certificaatdienstverlener op grond van het bepaalde in artikel 6:196b BW moet voldoen, wil zij niet aansprakelijk gehouden kunnen worden voor de schade tengevolge van het vertrouwen van personen op de door die partij uitgegeven gekwalificeerde certificaten. Uit de thans beschikbare feiten is niet duidelijk of DigiNotar hier in alle opzichten onder valt, maar er zullen ongetwijfeld al claims in voorbereiding zijn waarin dit nader wordt onderzocht. Maar ook claims op grond van de gewone onrechtmatige daad dan wel wanprestatie zullen, ook al is de bewijspositie daarin voor de claimende partij primair lastiger, in dit specifieke geval zoals het er nu naar uitziet kans van slagen hebben. 

Maar voordat het een juridisch gevecht wordt - als DigiNotar dan nog bestaat - eerst maar eens het veiligheidslek boven zien te krijgen en te dichten...

 

BRON: AutomatiseringGids, DigiNotar, NOVA, WebWereld


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.