ha nog meer koppen die kunnen gaan rollen,
dan wordt het dus tijd voor een alternatief

Dat zijn dus geen incidenten maar serieuze problemen in certificaten land.. Ben toch wel benieuwd welke andere bedrijven dan Comodo en Diginotar dan nog meer gehacked zijn.

@1 Alternatief? Alles wat bedacht wordt, zal in de toekomst gehackt worden. Mensen die (digitaal) kwaad willen doen, zullen daar altijd in slagen. Veiligheid is een utopie, digitale veiligheid, net als veiligheid op straat, hangt af van of de gebruikers zich gedragen, en zolang er mensen zijn die belust zijn op macht en geld (lees: zolang er mensen zijn) zal met enige regelmaat dit soort zaken weer aan het licht komen.

"...bovendien dat hij toegang heeft tot nog vier bedrijven die certificaten uitgeven en dat hij nog steeds nieuwe valse certificaten kan aanmaken..."

En daar gaat het hele certificatensysteem...

Alexander Curly zong ooit "Dat waren wel die Hollanders
Die stijfkoppige Hollanders"...

"Maandag kwam ook aan het licht dat Microsoft de Nederlandse update van Windows niet automatisch zal installeren. Na de update vertrouwt Windows Diginotarcertificaten namelijk niet meer en nog niet alle websites zijn overgestapt op andere certificaten."

Kortom, het is niet veilig maar daar kom je dus niet achter met IE. Wie slim is gebruikt alleen Chrome of (een bijgewerkte) Firefox, dan weet je direct of een certificaat onveilig is.

Chrome is m'n laatste keuze want dat is 1 pot nat. Verbazingwekkend dat zulke bedrijven niet 24 uur p/dag het in en uitgaand verkeer monitoren. Schandalig.

@7 daar heb je weinig aan, dat had deze aanval niet voorkomen en mogelijk niet eens op gemerkt.

Als je hoort hoe de infrastructuur is opgebouwd, welke software werd gebruikt om het netwerk te beveiligen dan kun je concluderen dat het aanlegd is door een stel amateurs. één troost zo ziet het er bij 95% van de bedrijven/overheid uit dus ze zijn absoluut geen uitzondering, men onderschat IT-beveiliging !

@6 dat is geen oplossing, het pleiten voor een andere browser heeft niks met problematiek te maken, het geeft alleen aan dat je niet goed door hebt wat er daadwerkelijk is gebeurt ..... misschien komt dat nog wel !

Mwah...certificaten garanderen vertrouwen in de zin dat een bank het vertrouwen geeft goed op je centen te passen. Het is maar hoe je er mee omgaat he? :P

Certificaten worden gecreëerd door een CA (certificate authority), en is dit in ieder operating systeem te vinden. Indien een systeem waarop een CA staat geïnstalleerd crashed, is de CA simpelweg op een ander systeem te installeren door middel van een copy.
Deze copy, en de server waarop het is geïnstalleerd zijn dus goud waard en onderstrepen het bestaansrecht van het bedrijf.

Ergo: De man heeft zijn handen weten te leggen op de CA waardoor hij een onbeperkt aantal certificaten kan creëren die door elke browser in de wereld wordt geaccepteerd.

Het enige wat Diginotar nog kan doen is: iedereen voorzien van nieuwe certificaten, gecreëerd door een andere CA.

Wat mij eigenlijk het meeste irriteert is dat wij Nederlanders grote ellende veroorzaakt kunnen hebben. Iran zou in theorie mensen in het buitenland hebben kunnen traceren en daar gerichte acties tegen ondernomen kunnen hebben...

En dat door een slecht geleidt commercieel bedrijf dat onder Nederlands toezicht staat?

Diginotoir is de naam waarmee het bedrijf een doorstart tracht te maken.

Het gaat hem kennelijk om Srebrenica:
http://freze.it/1Ax

Hier zie je maar weer dat de Hollandse koopmansgeest toe kan leiden. Alles moet hier op een koopje. Zelfs het bijplaatsen van 3000 agenten moet nu worden opgelost met vrijwilligers. Het is gewoon ziekelijk. De veiligheid van belangrijke websites moet gegarandeerd worden door een of ander derderangs bedrijf terwijl er partijen genoeg zijn die veiligheid wel serieus nemen. Maar dat kost geld.
Zo moesten we ook zo nodig zelf een kaartsysteem bedenken voor het openbaar vervoer. Een gammel systeem dat lekt aan alle kanten en gebruiksonvriendelijk bovendien.
Nu leidt de genoemde koopmansgeest ongetwijfeld tot grote problemen voor dissidenten in Iran.

@14 Mee eens.
Ik denk dat als we ons land verder op een hoog niveau willen brengen we meer moeten kijken naar de Duitse degelijkheid cultuur. En meer moeten investeren in kenniseconomie ipv commerciele koopjesgeest.

"goedkoop is uiteindelijk duurkoop!"

Hier is de tekst van pastebin:

Hi again! I strike back again, huh?

I told all that I can do it again, I told all in interviews that I still have accesses in Comodo resellers, I told all I have access to most of CAs, you see that words now?

You know, I have access to 4 more so HIGH profile CAs, which I can issue certs from them too which I will, I won't name them, I also had access to StartCom CA, I hacked their server too with so sophisticated methods, he was lucky by being sitted in front of HSM for signing, I will name just one more which I still have access: GlobalSign, let me use these accesses and CAs, later I'll talk about them too..

I won't talk so many detail for now, just I wanted to let the world know that ANYTHING you do will have consequences, ANYTHING your country did in past, you have to pay for it...

I was sure if I issue those certificates for myself from a company, company will be closed and will not be able to issue certs anymore, Comodo was really really lucky!

I thought if I issue certs from Dutch Gov. CA, they'll lose a lot of money:
http://www.nasdaq.com/aspx/dynamic_charting.asp...

But I remembered something and I hacked DigiNotar without more thinking in anniversary of that mistake:
http://www.tepav.org.tr/en/kose-yazisi-tepav/s/...

When Dutch government, exchanged 8000 Muslim for 30 Dutch soldiers and Animal Serbian soldiers killed 8000 Muslims in same day, Dutch government have to pay for it, nothing is changed, just 16 years has been passed. Dutch government's 13 million dollars which paid for DigiNotar will have to go DIRECTLY into trash, it's what I can do from KMs away! It's enough for Dutch government for now, to understand that 1 Muslim soldier worth 10000 Dutch government.

I'll talk technical details of hack later, I don't have time now... How I got access to 6 layer network behind internet servers of DigiNotar, how I found passwords, how I got SYSTEM privilage in fully patched and up-to-date system, how I bypassed their nCipher NetHSM, their hardware keys, their RSA certificate manager, their 6th layer internal "CERT NETWORK" which have no ANY connection to internet, how I got full remote desktop connection when there was firewalls that blocked all ports except 80 and 443 and doesn't allow Reverse or direct VNC connections, more and more and more...

After I explain, you'll understand how sophisticated attack it was, It will be a good hacking course for hackers like Anonymous and Lulzsec :) There was so many 0-day bugs, methods and skill shows...

Have you ever heard of XUDA programming language which RSA Certificate manager uses it? NO! I heard of it in RSA Certificate Manager and I learned programming in it in same night, it is so unusual like greater than sign in all programming languages is "<" but in XUDA it is "{"

Anyway... I'll talk about DigiNotar later! For now keep thinking about what Dutch government did in 16 years ago in same day of my hack, I'll talk later and I'll introduce to you MOST sophisticated hack of the year which will come more, you have to also wait for other CA's certificates to be used by me, then I'll talk about them too.

Interviews will be done via email ichsun [at] ymail.com

By the way, ask DigiNotar about this username/password combination:

Username: PRODUCTION\Administrator (domain administrator of certificate network)
Password: Pr0d@dm1n

It's not all about passwords or cracking them,
1) you can't have remote desktop connection in a really closed and protected network by firewalls which doesn't allow Reverse VNC, VNC, remote desktop, etc. by packet detection.
2) you can't even dump hashes of domain if you don't have admin privilege to crack them
3) you can't access 6th layer network which have no ANY connection to internet from internet


Yeah!

Bye for now

Dat krijg je ervan als het westen met vuur gaat spelen. Dit is een antwoord op de cyberaanval van een aantal westerse landen incl. Israël op haar nucleaire installaties.

Dus ff je https verkeer bekijken als er veel requst van af 1 IP of setje IP komen kun je er van uit gaan dat je certificaat is na gemaakt.
Probleem is dat deze persoon gewoon op het netwerk van deze prutsers kon komen een desktop sessie of commandline kon starten en ff een cerificaat kon aanmaken door slecht wachtwoorden en beveiliging.
Verder ziet het er naar uit dat ze daar Windows machinens gebruiken en niet volgens NSA of CIS gehard zijn.
Verder is de firewall dus ook niet goed op gezet want dan krijg je geen toegang op een andere poort dan allen bijv poort 443.

Geachte heer Donner, het is tegenwoordig zo moeilijk om oprecht je werk te doen als programmeur. Als je vandaag de dag je vinger legt op fouten in computer systemen, wordt je dat als programmeur kwalijk genomen door de gevestigde orde, die het verdomd om plaats te maken, voor de nieuwe generatie die wel verstand heeft van de mogelijkheden die computers bieden. het wordt tijd dat u nu eerst eens kijkt naar de huidige figuren die een onterechte plaats hebben weten te bemachtigen in de top van die organisaties (vaak als oud ambtenaar). Ik vraag mij al jaren af hoe het mogelijk is dat onze regering zich afhankelijk opstelt door gebruik te maken van particuliere bedrijven, die een overheidstaak beheren.
Het wordt tijd dat u nu gepaste maatregelen gaat treffen door deze taken naar u toe te trekken en daar de verantwoording voor gaat nemen. Zie oa. de problemen bij het UWV die al jaren voortduren.
Er is kennis genoeg in Nederland maar het wordt tijd dat u door de zure appel heen bijt en gebruik gaat maken van die kennis.

@18; heb je de tekst in @16 wel gelezen? De hacker geeft aan dat de key generator geen enkele verbinding met internet had... en firewalls? Leuk maar als je een admin hebt die op 1 windows PC een telnet sessie maakt naar die key generator of een systeem daarvoor (handig voor beheer!) en die sessie open laat staan terwijl hij admin is op de Windows PC en ondertussen lekker op internet zoekt naar de laatste CD van celine dion... tja... dan kun je duizend firewalls hebben... en bovendien 0-day exploits... daar helpt geen lieve moer tegen. Dus dat Diginotar klaarblijkelijk op cruciale plaatsen geen AV had is niet eens relevant... gezien de 0-day exploits.

Anyway; er is geen reden aan te nemen dat deze hacker geen andere CA's gecompromitteerd heeft... erg zorgwekkend.

Is deze industrie (CA = Certificate Authority) ziek?

Kijk eens naar: http://www.youtube.com/watch?v=Z7Wl2FW2TcA

Terug naar pen en papier
Digitaal is niet 100% te beveiligen en de gevolgen zijn erg groot als het fout gaat.

Voor mij de kern van de zaak: vertrouwen kun je niet kopen, vertrouwen moet je winnen. Je kunt beveiliging laten herbeveiligen enz. maar uiteindelijk gaat het om vertrouwen toch?

Als ik de tekst van die hackert lees, kom ik tot de conclusie dat de DigiNotar hack feitelijk een vergelding voor Srebrenica...

Leuk bedacht, maar wat hebben de Google, CIA en Mossad websites daar dan mee te maken? Vrij weinig, lijkt mij... Als Iran er idd achter zit, is dit een wel een goed bedachte "smoes"... houdt de gemoederen vast ook wel weer even bezig.. dat dan weer wel.

Vreemd dat dit nog nergens in het nieuws is opgedoken; altijd handig om mee trollen... al was het alleen maar om het politieke debat weer een nieuwe slinger te geven... je zou toch kamervragen verwachten..

Is er trouwens iemand die de tekst van @16 kan samenvatten en het liefst in iets minder hackertaal kan omzetten. Ik haal er iets uit alsof deze hacker de Nederlandse overheid wil straffen voor Szebrenica, maar dat las ik verder in geen enkele artikel, dat het doelbewust tegen NL gericht was.

@24, ik had jouw bericht nog niet gelezen, spreekt beetje zelfde idee uit...

"De VNG adviseert de gemeenten nadrukkelijk om het zekere voor het onzekere te nemen en automatische updates van Microsoft uit te zetten."

Nou DAT is een goed advies zeg! Dat vergeten ze natuurlijk later weer aan te zetten met alle gevolgen van dien..

...en de regering maar volhouden dat alles van de burger digitaal bewaard moet worden want dat is veiliger (lees goedkoper...).....jahoor, moet er nu zoiets als 1 van de vele voorbeelden gebeuren om een paar ogen open te laten gaan?

Nou waar blijft Rutte met zijn statement??? hierover?? Het kabinet blijft erg stil.. schande vind ik. Hun moeten hier direct op inspelen het gaat wel om privacy van ons allen! Gelukkig log ik bijna nooit in op digid.

Geweldig, hij beweert in te kunnen breken op een systeem dat geen verbinding met Internet heeft.
Als dat waar is, zou je de conclusie kunnen trekken dat de hacker rechtstreeks toegang tot die machine heeft (gehad), al dan niet persoonlijk.
Heeft al iemand alle (ook tijdelijke, ook voormalige) werknemers van Diginotar al aan een stevig (antecedenten) onderzoek en verhoor onderworpen ?

@30. Spijker op de kop. Naar mijn mening ook gewoon een inside job.

Er begon bij mij al een lampje te branden toen hij het had over VNC :P ...Het is gewoon een noob die de data heeft gekocht.