Nou, dat gaat dus niet gebeuren, ik lees zojuist in http://www.nu.nl/binnenland/2607814/openbaar-ministerie-onderzoekt-diginotarzaak-.html dat Donner aan Microsoft heeft gevraagd om de certificate update voor XP en W2k3 uit te stellen!?!?

Waar bemoeit die man zich mee? Was de blunder om Mozilla te smeken nog niet groot genoeg of zo? Als zo'n update ergens problemen oplevert moet je dat op de betreffende plek uitstellen, niet voor alle Windows gebruikers! Onbegrijpelijk en onvergeeflijk. Zodra de vervalste certificaten en private keys gaan zwerven zullen cybercriminelen deze gebruiken en zullen gewone gebruikers hier de dupe van worden.

Er moeten in de 2e Kamer geen vragen worden gesteld over Iran, maar over het feit dat er geen goede incident response plannen klaarliggen voor dit soort scenario's!

"Ik pleit er dan ook voor dat de overheid ASAP alle intermediate DigiNotar certificaten intrekt."

Moet men niet eerst uitzoeken wat men dan wel moet doen, of moet men overhaast naar de eerste de beste concurrent stappen om daar hetzelfde mee te maken ? Het lijkt mij wel zo handig om een eventuele migratie goed voor te bereiden.

Ik lees op veel plaatsen dat gebruikers van Vista, W7 en W2k8 automatisch veilig zouden zijn.

Echter in http://blogs.technet.com/b/srd/archive/2011/09/04/protecting-yourself-from-attacks-that-leverage-fraudulent-diginotar-digital-certificates.aspx lees ik onder meer:Het is ongebruikelijk om tijdens het surfen naar https sites een onbekend root certificaat tegen te komen, dus ligt het m.i. niet voor de hand dat het bovenstaande daadwerkelijk zal gebeuren in de praktijk! Misschien dat Microsoft hoopt dat XP en W2k3 gebruikers sneller zullen overstappen door dit "voordeel" te noemen?

Is het verwijderen van DigiNotar root certs de hele oplossing?

Naast bovengenoemd probleem heeft het verwijderen van DigiNotar root certificaten uit webbrowsers maar deels zin. Immers er zijn intermediate DigiNotar certificaten die door andere roots ("Staat der Nederlanden Root CA" en "Staat der Nederlanden Root CA - G2") en wellicht nog andere (sub-) roots worden vertrouwd (o.a. Entrust, maar die heeft DigiNotar sub-certs gerevoked).

Code-aanpassing nodig in webbrowsers

Vandaar dat je in https://bugzilla.mozilla.org/show_bug.cgi?id=682927#c58 een voorstel ziet om recente DigiNotar certificaten als revoked te beschouwen indien de Issuer Name "CN=DigiNotar" bevat (met dank aan GertvDijk die me met http://tweakers.net/reacties.dsp?Action=Posting&ParentID=4951454 weer op dit spoor bracht).

In de "attachment" waar die Mozilla post naar wijst (https://bug682927.bugzilla.mozilla.org/attachment.cgi?id=556791) is te zien (als je C kent) dat de laatste versie van Firefox alle DigiNotar certificaten zal blokkeren tenzij, "By request of the Dutch government", het root certificaat "Staat der Nederlanden Root CA" is. Wat de "Dutch Government" vergeten is (sssst! niet aan Donner vertellen!), is om Mozilla hetzelfde te vragen voor "Staat der Nederlanden Root CA - G2".

Daarom krijg ik met Firefox geen foutmelding als ik https://formulieren.provinciegroningen.nl/ open en wel als ik https://oto.cbs.nl/ open vanwege een G2 root (MSIE8/XP klaagt bij geen van beide websites).

Stand van zaken

Op dit moment zijn de laatste versies van Firefox wat minder onveilig dan MSIE (alle versies) omdat in Firefox de DigiNotar root certificaten gegarandeerd zijn verwijderd. De onveiligheid zit hem erin dat Firefox nog wel DigiNotar intermediate certificaten vertrouwt die afhangen van het "Staat der Nederlanden Root CA" root certificate. Voor zover bekend heeft de DigiNotarHacker geen certificaten voor die root aangemaakt, maar helemaal zeker weten we dat niet; als ik het Fox-It rapport goed begrijp is er sprake van (ten minste?) 2 certificaten waar we de inhoud niet kennen.

Conclusie

Die Microsoft update moet er ASAP komen, ook voor Vista/W7/W2k8 gebruikers. Daarbij gaat het niet alleen om het verwijderen van DigiNotar root certificaten, maar ook code aanpassingen vergelijkbaar met Firefox. Van Firefox is ook een update nodig om geen enkel DigiNotar certificaat meer te accepteren. Van andere webbrowsers ken ik de status niet.

Aanvulling 02:44 voor perfectionisten: als je met een hexeditor in Firefox's xul.dll zoekt naar "CN=Staat der Nederlanden Root CA" (zonder de aanhalingstekens) en dit wijzigt in bijv. "CN=St@@t der Nederlanden Root CA" zal geen enkel DigiNotar certificaat meer worden geaccepteerd.

Vanuit het gevoel ben ik het volledig eens met de bewering dat het belachelijk is dat de overheid deze onveilige situatie in overleg met MS in stand houd.

Helaas is de praktijk natuurlijk weerbarstiger, de schaalgrootte van dit project is enorm te noemen. Er zijn zo verschrikkelijk veel (semi-)overheidssystemen afhankelijk van de certificaten van diginotar dat dit niet in een weekje is om te zetten.

De overheid (en ook MS, Mozilla, Google, etc...) hebben allemaal aangegeven dat Diginotar exit is, de overheid staat nu voor de taak om al haar systemen te voorzien van nieuwe certificaten en is daar al druk mee doende. Hierbij nemen zij ook in overweging dat de hack niet primair gericht geweest is op Nederlandse gebruikers. Dus nederlandse gebruikers kunnen met grote zekerheid hun zaakjes veilig blijven regelen, en m2m systemen kunnen voorlopig met grote zekerheid ook hun functies blijven vervullen.

grote zekerheid heb ik expres gekozen om aan te geven dat het niet absoluut is :-(

Dergelijke "BELACHELIJK" reacties lees ik natuurlijk veel vaker op het net, en waar ze in essentie waar zijn wordt er slechts zelden rekening mee gehouden dat er ook nog een uitvoerende bewerking plaats dient te vinden. Ook hier loopt een mix van zolderkamerbeheerders en beheerders in grote omgevingen, de laatste groep zal sneller geneigd zijn om de impact van aanpassingen op productieomgevingen mee te wegen in zijn of haar uitlatingen. de show must go on nietwaar...

Oftewel, omdat onze regering erop gokt dat geen van de vervalste certificaten (voor zover tot nu toe bekend, zie https://blog.torproject.org/files/rogue-certs-2011-09-04.csv), zullen worden ingezet tegen eindgebruikers, moeten die eindgebruikers maar aan extra risico's worden blootgesteld? N.b. we hebben het hier o.a. over skype, twitter, yahoo, microsoft, google, wordpress, facebook, live.com, android, mozilla, tor etc. en, voor zover ik weet, ook over het digitaal ondertekenen van software (denk vooral aan microsoft.com). Reken maar dat in cybercrimekringen gezocht wordt naar deze spullen. Hoe goed zijn de PC's van onze DigiNotarHacker beveiligd?

En dat doet onze overheid omdat ze haar eigen zaken niet op orde heeft. Hoe is het mogelijk dat de economie in elkaar kan donderen door 1 update van Microsoft? Precies zoals SirDice zegt in https://secure.security.nl/artikel/38375/1/Microsoft_vertraagt_update_op_verzoek_overheid.html, draaien die clubs dan geen WSUS? Ze zouden ook automatische updates tijdelijk uit kunnen zetten en noodzakelijke security updates (overigens pas volgende week dinsdag) handmatig kunnen aanbrengen. Een andere oplossing was geweest om met minder strenge controles tijdelijke certificaten met een extra korte looptijd uit te geven. De verbindingen zijn nu sowieso niet meer veilig, hoeveel erger zou dit zijn?

Los van het feit dat ik geen zolderkamerbeheerder ben vind ik dat onze overheid:

(a) Een verkeerde risicoanalyse maakt als het om haar burgers gaat;

(b) Niet de autoriteit heeft of zou moeten hebben om dit soort verzoeken door Mozilla en/of Microsoft gehonoreerd te zien worden; ik ben net zo goed klant. En bovendien is het voor overheden veel eenvoudiger om updates tegen te houden dan het voor de doorsnee internetter is om updates handmatig te installeren;

(c) Ze hebben ruim de tijd gehad (de alarmbellen gingen meer dan 1 week geleden af, zie https://secure.security.nl/artikel/38285/1/Iran_Google_MITM_Diginotar_cert%3F.html), maar ze hebben eerst een week achterover zitten leunen. Waarom niet meteen uitgaan van een worst case scenario en daar voorbereidingen voor treffen? Wat is er gebeurd met de basisprincipes van beveiliging, zit dat soort kennis soms alleen nog bij "zolderkamerbeheerders"?

(d) En, last but not least, schept dit een precedent voor volgende incidenten (mogelijk op grotere schaal).

Zie het meteen als een mooie rampenoefening. Hoe afhankelijk zijn we ondertussen van het Internet, en liggen de juiste incident response plannen op de plank?

Bitwiper, ik heb jou niet aangeduid al zolderkamerbeheerder, tenminste niet bedoeld. dat voorop gesteld.
Zolderkamerbeheerders hebben overigens vaak erg veel technische kennis maar wat ik vaak mis is een begrip van productieomgevingen en afhankelijkheden daarin. de overheid kun je niet even rebooten :-)

Een leuke rampenoefening, klopt helemaal. het is bijna ongelofelijk om te zien op hoeveel verschillende niveaus er gefaald word hier. Te beginnen bij Diginotar, vervolgens de hoogaangeschreven autitoren van PWC, Govcert etc.

Typisch nederlands noem ik het maar, op papier ziet het er allemaal geweldig uit, in de praktijk is die hele kenniseconomie hier maar een wassen neus.

Je hebt gelijk dat de overheid haar burgers een verhoogd risico laat lopen, maar geknutsel met hier en daar even snel een certificaatje aanvragen en op je site plakken zitten we ook niet op te wachten. het verhaal speel al vanaf half juli, dan kunnen die 2 weekjes onderzoek en planning er ook nog wel even bij lijkt mij.

@Bitwiper;
Als lurker wordt ik, ik denk net zoals velen met mij, door jullie inzet gewaarschuwd. Dat scheelt. Dank daarvoor.
Ik denk dan ook niet dat ik de enige ben die gisteravond handmatig de update van MS heb opgehaald.

Wel begrijp ik dat MS en overheid hebben ingeschat dat er een laag nivo van gevaar is voor Nederlandse gebruikers. Maar in absolute zin heb je gewoon gelijk.

Maar ik lees bij jullie ook vaak dat absolute-/100% veiligheid niet bestaat; Dat er in software zoveel is om rekening mee te houden; Dat een hack vrijwel altijd mogelijk is als het belang maar groot genoeg e.d.
Dat houdt mi dan in dat het niet onlogisch is naar het ingeschatte nivo van bedreiging te handelen.

Dat een bedrijf als Diginotar zo verwijtbaar nalatig is geweest als uit publikatie's naar voren komt, dat is pas ernstig!
Die "deskundigen" dienen wat mij betreft gekwalifiseerd te worden. Of werken daar soms die zg. zolderkamerbeheerders? :-))

Even nog een vraag aan jullie; Hoe belangrijk is het voor eindgebruikers nu -om naar aanleiding van deze gebeurtenissen- hun wachtwoorden te wijzigen en wat is het geschikte moment nu?


MvG.
Zolderkamerbeheerder.

Als je vermoedens hebt dat een wachtwoord "afgekeken" kan zijn is het altijd een goed idee om zo'n wachtwoord te wijzigen. Ik heb geen aanwijzingen gezien dat er in Nederland en/of tussen NL en bijv. de USA MITM aanvallen zouden hebben plaatsgevonden, maar voor jouw situatie kan ik dat natuurlijk niet met zekerheid beoordelen.

Persoonlijk ben ik geen fan van het regelmatig wijzigen van wachtwoorden, ik hou meer van degelijke wachtwoorden die lastiger te onthouden zijn (immers een aanvaller die jouw wachtwoord in bezit krijgt gaat heus niet een maand wachten voordat hij daar wat mee doet). Voorwaarde is dat je zo'n wachtwoord wel onmiddellijk moet wijzigen zodra je vermoedt (of aanwijzingen hebt) dat deze gecompromitteerd kan zijn.

Daarnaast is het erg belangrijk om voor elke site/applicatie waar je op inlogt onderling flink verschillende wachtwoorden te gebruiken, zodat de schade bij een compromise tot 1 account beperkt blijft.

@PeterV en Bitwiper;

Helder; bedankt.

"Zolderkamerbeheerder"
(zal ik hierna niet meer gebruiken-))