Uit het bijbehorende artikel van Brenno de Winter op Nu.nl:
“De inbraak bij Diginotar was mogelijk omdat het bedrijf met de software voor de website dertig updates achterliep. Ook blijkt dat nieuws over de hack pas naar buiten kwam, toen de hacker al ruim een maand niet meer actief was.”
(Source: nu.nl)
From ‘1.1 Background’:
“DigiNotar B.V. was a Certificate Authority that provided digital certificate services. The digital certificates were used to secure Internet traffic, to issue (qualified) electronic signatures and to provide data encryption. DigiNotar also issued government accredited PKIoverheid certificates. During the months of June and July of 2011, the security of DigiNotar was breached and rogue certificates were issued. One of these certificates, a rogue Google certificate, was abused on a large scale in August of 2011 targeting primarily Iranian Internet users. At the end of August the intrusion became public knowledge and set into motion a chain of events that eventually led to the removal of all the Certificate Authorities that were hosted by DigiNotar from trust lists and ultimately the bankruptcy of the company. On September 3 of 2011 the Dutch state publicly expressed the intention to take over the operational control of DigiNotar, including the responsibility for the commissioned investigation into the intrusion of DigiNotar’s network by Fox-IT. […] The interim report with the preliminary findings of Fox-IT was provided to DigiNotar and was published on September 5, 2011 by the Dutch state.”
(Source: security.nl)
Uit de Beschouwing:
“In onze samenleving, die in hoog tempo digitaliseert, neemt digitale veiligheid een steeds belangrijker postitie in. De overheid heeft een bijzondere verantwoordelijkheid bij het beveiligen van digitale gegevens die zij onder zich heeft. Waar burgers en bedrijven in onderling verkeer vrij zijn om te kiezen met wie zij hun gegevens wel en niet uitwisselen, geldt dat de overheid hen verplicht tot het beschikbaar stellen van gegevens. Dit betekent dat burgers en bedrijven er van op aan moeten kunnen dat de overheid alles in het werk stelt om deze gegevens zo goed mogelijk te beschermen tegen verlies en misbruik. Digitale certificaten zijn een belangrijk instrument in het bieden van deze bescherming. De inbraak bij DigiNotar en de nasleep daarvan wierpen vragen op over de mate waarin de betrouwbaarheid van het instrument digitale certificaten gewaarborgd wordt. Bovendien ontstond kort na het incident ophef over de algemene staat van de beveiliging van onder meer gemeentelijke websites en netwerken. Beide gebeurtenissen gaven de Onderzoeksraad aanleiding tot zorg over de mate waarin en de wijze waarop overheden invulling geven aan hun verantwoordelijkheid voor de digitale veiligheid van burgers en bedrijven. […] Het onderzoek van de Onderzoeksraad verkent enerzijds hoe overheidsorganisaties op bestuurlijk niveau digitale veiligheid borgen en wat hierbij de knelpunten zijn. Anderzijds richt het zich op de rol van de overheid als schepper van randvoorwaarden voor digitale veiligheid. Hier richt de aandacht van de Onderzoeksraad zich vooral op de betrouwbaarheid van digitale certificaten en de rol die de overheid daarin speelt.”
Uit de brief:
“Rode draad bij de verbeterpunten is dat digitale veiligheid onze blijvende aandacht moet hebben. Ontwikkelingen in ICT gaan snel. Wat tien jaar geleden state of art was, is nu hopeloos verouderd; wat toen ondenkbaar was, wordt nu algemeen gebruikt. De technische vooruitgang en voortdurende verandering van ICT is zo vanzelfsprekend dat we niet altijd voldoende stil staan bij de veranderingen die dat vraagt van onze organisaties en processen. Het DigiNotar incident heeft duidelijk gemaakt dat veranderingen in de rol van de overheid, met name op het gebied van normering en toezicht noodzakelijk zijn.”
(Source: norea.nl)
From the document:
“DigiNotar, a digital certificate authority (CA), recently suffered a cyber-attack which led to its bankruptcy. In the attack false certificates were created for hundreds of websites, including Google and Skype. Once the incident was made public, the Dutch government and browser vendors took steps to limit the impact of the attack. But Fox-IT suggests in their investigation report that the cyber-attack had already started in mid-June and that for almost two months false certificates were used to eavesdrop on email and web browsing in Iran. […] The Diginotar attack was an attack on the foundations of secure electronic communications (email, web browsing, web services). The above-mentioned issues should be addressed by industry and governments, to guarantee the security of service in the digital society.”
