Op 2 september jl. hebben de ministers na crisisberaad besloten om het vertrouwen in DigiNotar op te zeggen en alle certificaten van overheids websites in eigen beheer over te nemen. De dag voorafgaand aan deze beslissing werd bekend dat het bedrijf DigiNotar door Iraanse cybercriminelen was gehackt. Daardoor kon de overheid de beveiliging van alle overheidssites niet meer garanderen.

DigiNotar, het bedrijf dat met beveiligingscertificaten verantwoordelijk was voor de veiligheid van verschillende overheidssites, bleek na onderzoek zelf volstrekt onveilig. Fox-IT, het bedrijf dat onderzoek heeft gedaan naar de gang van zaken rond de valse certificaten uit naam van DigiNotar, heeft het hele onderzoeksrapport gepubliceerd.

Vanwege de korte periode waarin het rapport moest worden gemaakt, is Fox-IT niet overal op ingegaan, maar de conclusies van dit bedrijf zijn helder.

  • software was niet bijgewerkt
  • wachtwoorden simpel te achterhalen
  • geen virusscanners geïnstalleerd
  • onbekend hoeveel valse certificaten zijn uitgegeven

Na een harde conclusie dat een vals DigiNotar-certificaat voor Google zeker 300.000 keer is gebruikt vanuit Iran, adviseert Fox-IT Iraniërs hun wachtwoorden te veranderen. De uitgave van valse certificaten zijn niet te achterhalen omdat deze niet in logs zijn vastgelegd.

Afgelopen weekend is een begin gemaakt met het vervangen van onveilige certificaten. Op www.rijksoverheid.nl is een dossier ingericht waar alle publieksinformatie te vinden is over deze internetbeveiligingskwestie. Het ministerie van Binnenlandse Zaken meldt dat het Openbaar Ministerie een feitenonderzoek gaat doen naar de DigiNotar-affaire.

Een reeds voorgenomen actualisering van Microsoft voor Nederlandse internetgebruikers wordt op verzoek van de Nederlandse overheid daarom “beheersd” ingevoerd. Organisaties en bedrijven krijgen daardoor meer tijd om de certificaten te vervangen, zodat geplande software update op een ander tijdstip kan plaatsvinden.

(Bron: MINDEF,NRC,Telegraaf,NHD)