Diginotar heeft google.com uitgegeven

Anoniem: 55140 schreef op zaterdag 03 september 2011 @ 02:19:
[...]

DNSSEC zal de situatie niet beter maken. Dat brengt weer compleet andere risico's met zich mee.

Thralas schreef op zaterdag 03 september 2011 @ 02:28:
[...]


Comodo is too big to fail. DigiNotar niet.

[ Voor 27% gewijzigd door CyBeR op 03-09-2011 03:04 ]

CyBeR schreef op zaterdag 03 september 2011 @ 03:02:
[...]


DNSSEC geeft je een redelijke manier om te stellen: "deze DNS-informatie komt bij de originele bron vandaan". Daarna kun je die gebruiken om te stellen: "deze CA('s) gebruiken wij om certificaten te ondertekenen"

Anoniem: 55140 schreef op zaterdag 03 september 2011 @ 03:13:
[...]


SSL And The Future Of Authenticity
Lees die blog post maar eens, heeft een hele sectie over DNSSEC en waarom het geen goed idee is.

[ Voor 7% gewijzigd door CyBeR op 03-09-2011 03:24 ]

CyBeR schreef op zaterdag 03 september 2011 @ 03:02:
Niet persee. Als de private key van de root van Comodo uitlekt kunnen ze groter zijn dan de maan, die CA gaat eruit. Idem Verisign en Thawte (beide nog groter.)

__fred__ schreef op zaterdag 03 september 2011 @ 09:11:
[...]

Het zijn dezelfde ca's die dezelfde certificaten voor dnssec uitgeven.

[ Voor 10% gewijzigd door CyBeR op 03-09-2011 09:32 ]

Thralas schreef op zaterdag 03 september 2011 @ 02:28:
[...]


Comodo is too big to fail. DigiNotar niet.

CyBeR schreef op zaterdag 03 september 2011 @ 03:22:

Dat is iets anders dan ik bedoel.

Ik vind het systeem van CA's die identiteiten verifieren enzo op zich prima, het enige probleem is dat DigiNotar een certificaat voor google.com kan genereren wat mijn brower vervolgens prima vindt, terwijl Google eigenlijk zaken doet met Thawte. Met andere woorden: een certificaat voor google.com gegenereerd door DigiNotar is per definitie ongeldig.

Het huidige CA-model heeft daar geen enkele voorziening voor. En die voorziening is ook niet echt te maken omdat de enige bron van technische adresinformatie DNS is, en DNS ook eigenlijk zo onveilig is als de pest.

DNSSEC poogt dat laatste op te lossen; met DNSSEC kan een gebruiker van een domein controleren of de DNS-responses kloppen met wat de houder van een domein ingesteld heeft. Op zo'n moment kun je dus een extra controle in je SSL proces aanbrengen: klopt het certificaat met de gegeven url (doen we nu al), klopt de certificate chain (doen we nu al), en mag de CA van die chain wel certificaten ondertekenen voor dit domein?.

Het stuk waar je naar linkt gaat over het vervangen van het CA-systeem door DNSSEC. Dat lijkt me inderdaad geen goed idee en is niet wat ik voorstel. Het moet ook alleen een extra controle zijn waar de certificaten gecontroleerd worden aan de hand van DNS, zoals bij SSL het geval is; in het geval van bijvoorbeeld S/MIME certs werkt het bijvoorbeeld niet op die manier.

Anoniem: 26306 schreef op zaterdag 03 september 2011 @ 09:55:
[...]

Akkoord, echter vangt dit nog niet af dat toevalligerwijs de juiste CA kan worden gehackt en dat ook dat dus geen garanties geeft. Een combinatie van EV en DNSSEC zou dan nog steeds kunnen falen.

CyBeR schreef op zaterdag 03 september 2011 @ 10:06:

Je zou eventueel ook een specifieke fingerprint erin kwijt kunnen: "dit is het certificaat dat je gepresenteerd zou moeten worden".

Punt is: op dit moment bestaat heel een dergelijk mechanisme gewoon niet. Dit probleem zouden we niet gehad hebben als dat er wel was.

Equator schreef op zaterdag 03 september 2011 @ 09:21:
[...]
En hoe zit dat dan met Verisign. Die is nog een stukje groter in mijn beleving.
Maar daar werd tot 2x toe met succes een certificaat aangevraagd (Code signing) op naam de "Microsoft Corporation" door een bedrijf die helemaal niets met Microsoft te maken had.
...
Initieel dacht ik "Dit had prima met Diginotar ook gekund. Maar nee, we trashen de gehele Diginotar Root CA. Persoonlijk vind ik dat overdone. Een ferme waarschuwing, en klaar".

CyBeR schreef op zaterdag 03 september 2011 @ 10:06:
[...]


Je zou eventueel ook een specifieke fingerprint erin kwijt kunnen: "dit is het certificaat dat je gepresenteerd zou moeten worden".

Punt is: op dit moment bestaat heel een dergelijk mechanisme gewoon niet. Dit probleem zouden we niet gehad hebben als dat er wel was.

Vinnienerd schreef op zaterdag 03 september 2011 @ 15:55:
[...]
Het zou in ieder geval helpen als je een waarschuwing krijgt wanneer het certificaat van een website opeens een andere issuer heeft. Dan kun je als website wel netjes een recenter certificaat of een certificaat met sterkere versleuteling aanbrengen, maar gaan er toch alarmbellen rinkelen als de issuer opeens Comodo is geworden terwijl je eerst VeriSign had oid.

[ Voor 9% gewijzigd door Tourniquet op 03-09-2011 16:08 ]

Gomez12 schreef op zaterdag 03 september 2011 @ 16:32:
Wat ik me net even zit af te vragen : Zijn er ook vanuit Diginotar / NL overheid al publiekelijke instructies vrijgegeven hoe je de certificaten blokkeert in oudere browsers?

Want bijv bedrijven zijn notoire achterlopers qua browserupdates. Het is heel leuk dat de nieuwste FF/IE het blockt, maar daar schiet je weinig mee op als je als bedrijf 3 versies achterloopt.

En dan zit je dus even te kijken op de diginotar site zelf en dan zie je dus dat die mensen nog niet eens na vermelden dat de pki certificaten van diginotar ook niet meer 100% vertrouwd worden. Lekkere club is dat...

Vinnienerd schreef op zaterdag 03 september 2011 @ 17:50:
[...]
Je kan toch via een GPOtje de desbetreffende (root) CA's toch blokkeren?

Gomez12 schreef op zaterdag 03 september 2011 @ 16:32:
Wat ik me net even zit af te vragen : Zijn er ook vanuit Diginotar / NL overheid al publiekelijke instructies vrijgegeven hoe je de certificaten blokkeert in oudere browsers?

Want bijv bedrijven zijn notoire achterlopers qua browserupdates. Het is heel leuk dat de nieuwste FF/IE het blockt, maar daar schiet je weinig mee op als je als bedrijf 3 versies achterloopt.

CyBeR schreef op zaterdag 03 september 2011 @ 20:38:
[...]


Dat lijkt me heel sterk het probleem van de niet-updatende bedrijven. Moeten ze maar updaten.

Er zijn gangbare manieren om met het probleem vertrouwensbreuk in CA's om te gaan, namelijk het revoken van de certificaten. Als beheerders ervoor zorgen dat die manieren niet werken én vervolgens ook hun software niet up-to-date houden is dat hun eigen verantwoordelijkheid.

Gomez12 schreef op zaterdag 03 september 2011 @ 17:52:
[...]

FF die behoorlijk via GPO's werkt?

Tourniquet schreef op zaterdag 03 september 2011 @ 16:05:
Iraanse (en Turkse) hackers hebben in 2009 al wat berichtjes achtergelaten op een DigiNotar portal, heeft F-Secure ontdekt.

[afbeelding]

RaZ schreef op zaterdag 03 september 2011 @ 20:51:
[...]

Aan de ene kant kan ik hier helemaal in mee gaan. Aan de andere zeg ik ook wel, nee.

Er zijn zat mensen die prive dingen doen op de computers die ze op hun werk ter beschikking hebben. Even een mailtje via Gmail cq. Hotmail. Noem maar op. Ligt die verantwoordelijk dan direct bij de werkgever? Ik vind van niet.

Bedrijven waar webapps (intranet) enkel draaien in IE6 zullen gewoon niet zo snel updaten. De vraag is dan of ze voor hun werk uberhaupt met https werken, en dan vind ik niet dat de werkgever schuld heeft omdat iemand uit gemakzucht spullen van de werkgever voor prive doeleinden gebruikt.

Ik denk dat je de situatie ietswat te zwart/wit ziet eerlijk gezegd.

Edgarz schreef op zaterdag 03 september 2011 @ 20:52:
[...]
dan vrees ik met grote vrees dat beveiligingsmaatregelen eigenlijk jaren achterlopen op de hackers.

En dat is een verontrustende gedachte...

RaZ schreef op zaterdag 03 september 2011 @ 20:51:
[...]

Aan de ene kant kan ik hier helemaal in mee gaan. Aan de andere zeg ik ook wel, nee.

Er zijn zat mensen die prive dingen doen op de computers die ze op hun werk ter beschikking hebben. Even een mailtje via Gmail cq. Hotmail. Noem maar op. Ligt die verantwoordelijk dan direct bij de werkgever? Ik vind van niet.

[ Voor 6% gewijzigd door CyBeR op 03-09-2011 22:08 ]

CyBeR schreef op zaterdag 03 september 2011 @ 22:02:
[...]
Ik betwijfel ten zeerste of die mensen dergelijke prive-zaken op hun werk doen. Ik open op kantoor al niet eens de ING en dan ben ik notabene zélf de beheerder.

De verantwoordelijkheid voor veilige privécommunicatie ligt altijd bij jou zelf.

Edgarz schreef op zaterdag 03 september 2011 @ 20:52:
[...]


Dit is heftige shit... Als ik lees dat deze berichten in 2009 al achtergelaten zijn en dat andere internationale organisaties al vanaf 2006 gehackt zijn (McAfee bericht juli 2011) dan vrees ik met grote vrees dat beveiligingsmaatregelen eigenlijk jaren achterlopen op de hackers. En dat is een verontrustende gedachte...

quote: http://nos.nl/artikel/269...stsites-doelwit-hack.html

CIA, Mossad, providers, protestsites doelwit hack


Grote sites doelwit Iraanse hackers

Toegevoegd: zondag 4 sep 2011, 16:50
Door verslaggever Jeroen Wollaars met medewerking van Nieuwsuur-redacteur Roozbeh Kaboly

Onder de websites die na de hack bij het Nederlandse bedrijf Diginotar waarschijnlijk zijn afgeluisterd door Iraanse hackers, bevinden zich alle grote aanbieders van e-maildiensten en sociale netwerken. Ook geheime diensten en Iraanse oppositiesites staan op de lijst van vijftig domeinen die in het bezit is van de NOS. De lijst lijkt ook een boodschap van de hackers te bevatten.

Vorige week werd bekend dat in elk geval de e-maildienst GMail van Google was getroffen door de hack en mogelijk wekenlang is afgeluisterd. Naar nu blijkt zijn ook valse certificaten uitgegeven voor Yahoo, Hotmail, Microsoft Messenger, Twitter, Facebook en Skype.

Dissidenten
Vooral Yahoo wordt veel door Iraanse dissidenten gebruikt om via internet te kunnen communiceren. Op de lijst komt verder de site balatarin.com voor. Dat is een veelgebruikte site van de oppositie die is opgezet door Iraniërs die in Amerika wonen om interessante websites met elkaar te delen. Hetzelfde geldt voor de site azadegi.com (dat Vrijheid betekent).

Geheime diensten
Opvallend is verder dat ook voor websites van een aantal internationale geheime diensten valse certificaten zijn gemaakt. Het gaat onder meer om de Israëlische Mossad, de Amerikaanse CIA en MI6 in het Verenigd Koninkrijk. Ook de Iraanse versie van de website van het ministerie van Buitenlandse Zaken van Israel staat op de lijst.

Iraanse internetbezoekers zouden via die vervalste certificaten kunnen worden omgeleid naar nepversies van die sites en gevoelige informatie zou zo bij de Iraanse overheid terecht kunnen komen. Al is de kans niet heel groot dat geheime diensten openbare websites voor gevoelige operaties gebruiken.

Aangepaste software
Daarnaast maakten de hackers certificaten aan voor de software-update-functie van Microsoft, wat er op wijst dat ze mogelijk ook aangepaste programmatuur verspreid hebben om afluisteren nog makkelijker te maken.

Boodschap van de hackers
Opvallend is verder dat het lijkt alsof de hackers een afzender hebben achtergelaten. Er staan drie domeinen op de lijst in het Perzisch, de Iraanse taal: JanamFadayeRahbar.com, RamzShekaneBozorg.com en SahebeDonyayeDigital.com

Janam Fadaye Rahbar verwijst naar een gevleugelde uitspraak van de Revolutionaire Garde van Iran die de Islamitische Staat moet beschermen. Het is gebruikelijk dat die term wordt achtergelaten wanneer zij websites hacken. Het betekent 'ik offer mezelf op voor de Grote Leider'. De term dook ook op bij een vergelijkbare hack bij het certificatenbedrijf Comodo eerder dit jaar.

Ramz Shekane Bozorg betekent 'De Grote Codekraker' en Sahebe Donyaye Digital betekent 'De Eigenaar van de Digitale Wereld'. De berichten wekken de indruk dat de Revolutionaire Garde van Iran achter de kraak zit, maar zeker is dat niet. De laatste twee termen worden niet gebruikt door de Iraanse overheid en doen wat minder professioneel aan.

Complete lijst
CN=*.10million.org
CN=*.JanamFadayeRahbar.com
CN=*.RamzShekaneBozorg.com
CN=*.SahebeDonyayeDigital.com
CN=*.android.com
CN=*.aol.com
CN=*.azadegi.com
CN=*.balatarin.com
CN=*.comodo.com
CN=*.digicert.com
CN=*.globalsign.com
CN=*.google.com
CN=*.microsoft.com
CN=*.mossad.gov.il
CN=*.mozilla.org
CN=*.skype.com
CN=*.startssl.com
CN=*.thawte.com
CN=*.torproject.org
CN=*.walla.co.il
CN=*.windowsupdate.com
CN=*.wordpress.com
CN=Comodo Root CA
CN=CyberTrust Root CA
CN=DigiCert Root CA
CN=Equifax Root CA
CN=GlobalSign Root CA
CN=Thawte Root CA
CN=VeriSign Root CA
CN=addons.mozilla.org
CN=azadegi.com
CN=friends.walla.co.il
CN=login.live.com
CN=login.yahoo.com
CN=my.screenname.aol.com
CN=secure.logmein.com
CN=twitter.com
CN=wordpress.com
CN=www.10million.org
CN=www.Equifax.com
CN=www.balatarin.com
CN=www.cia.gov
CN=www.cybertrust.com
CN=www.facebook.com
CN=www.globalsign.com
CN=www.google.com
CN=www.hamdami.com
CN=www.mossad.gov.il
CN=www.sis.gov.uk
CN=www.update.microsoft.com

Actueel
> PKIoverheid certificaten van DigiNotar nog steeds vertrouwd
Lees hier het nieuwsbericht van Logius.
> Informatie voor gebruikers van DigiNotar certificaten
Op Internet zijn berichten verschenen over DigiNotar-certificaten die niet meer vertrouwd worden door verschillende browsers (Microsoft Internet Explo...
> Betrouwbaarheid PKIoverheid certificaten niet in het geding
Lees hier het nieuwsbericht van Logius.

[ Voor 18% gewijzigd door Fish op 04-09-2011 18:27 ]

Op dit certificaat is de CPS van Getronics PinkRoccade van toepassing, welke kan worden geraadpleegd op: https://www.pki.getronicspinkroccade.nl/pkioverheid/cps

[ Voor 77% gewijzigd door Fish op 04-09-2011 21:18 ]

Anoniem: 353137 schreef op zondag 04 september 2011 @ 21:11:
Heeft DigiD nieuwe certificaten van Getronics??

[ Voor 34% gewijzigd door T-8one op 04-09-2011 21:19 ]

Anoniem: 353137 schreef op zondag 04 september 2011 @ 21:11:
Heeft DigiD nieuwe certificaten van Getronics??

$ openssl s_client -connect as.digid.nl:443 | openssl x509 -issuer
depth=3 /C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA
[..]
issuer= /C=NL/O=Getronics PinkRoccade Nederland B.V./CN=Getronics PinkRoccade PKIoverheid CA - Overheid en Bedrijven

notBefore=Sep  4 00:00:00 2011 GMT
notAfter=Dec 31 23:59:59 2011 GMT

[ Voor 15% gewijzigd door CyBeR op 04-09-2011 21:23 ]

CyBeR schreef op zondag 04 september 2011 @ 21:20:
[...]


Yup:

$ openssl s_client -connect as.digid.nl:443 | openssl x509 -issuer
depth=3 /C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA
[..]
issuer= /C=NL/O=Getronics PinkRoccade Nederland B.V./CN=Getronics PinkRoccade PKIoverheid CA - Overheid en Bedrijven

Gek genoeg een tijdelijke voor vier maanden, die expiret op 1 januari 2012:

notBefore=Sep  4 00:00:00 2011 GMT
notAfter=Dec 31 23:59:59 2011 GMT

CyBeR schreef op zondag 04 september 2011 @ 21:20:
[...]


Yup:

$ openssl s_client -connect as.digid.nl:443 | openssl x509 -issuer
depth=3 /C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA
[..]
issuer= /C=NL/O=Getronics PinkRoccade Nederland B.V./CN=Getronics PinkRoccade PKIoverheid CA - Overheid en Bedrijven

Gek genoeg een tijdelijke voor drie maanden, die expiret op 1 januari 2012:

notBefore=Sep  4 00:00:00 2011 GMT
notAfter=Dec 31 23:59:59 2011 GMT

Anoniem: 353137 schreef op zondag 04 september 2011 @ 21:27:
[...]


is die betrouwbaar dan?

[ Voor 17% gewijzigd door Gomez12 op 04-09-2011 21:30 ]

Anoniem: 353137 schreef op zondag 04 september 2011 @ 21:27:
[...]


is die betrouwbaar dan?

Anoniem: 353137 schreef op zondag 04 september 2011 @ 21:27:
[...]
is die betrouwbaar dan?

leuk_he schreef op zondag 04 september 2011 @ 21:33:
[...]
Het gaat enkel om het certificaat he? Niet de site van de overheid is gehacked, maar de certificaat uitgever.

T-8one schreef op zondag 04 september 2011 @ 21:35:
Ik lees trouwens overal dat de Iraanse overheid erachter zou zitten en de gestolen certificaten wil gebruiken/gebruikt. Waar is dit op gebaseerd?

CyBeR schreef op zondag 04 september 2011 @ 21:20:
[...]


Yup:

$ openssl s_client -connect as.digid.nl:443 | openssl x509 -issuer
depth=3 /C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA
[..]
issuer= /C=NL/O=Getronics PinkRoccade Nederland B.V./CN=Getronics PinkRoccade PKIoverheid CA - Overheid en Bedrijven

Gek genoeg een tijdelijke voor vier maanden, die expiret op 1 januari 2012:

notBefore=Sep  4 00:00:00 2011 GMT
notAfter=Dec 31 23:59:59 2011 GMT

frapex schreef op zondag 04 september 2011 @ 21:43:
[...]

Vanaf 1 januari 2012 zijn G2 certificaten vereist. De G2 certificaten worden al langer uitgegeven, tegelijk met G1 certificaten. Dit in verband met een tijdelijke overgangsfase. as.digid.nl gebruikt nog de G1 certificaten.

__fred__ schreef op maandag 05 september 2011 @ 12:45:
[...]


Ah, heerlijk toch. We gaan gewoon lekker door met de huidige certificaten, niets aan de hand.

[ Voor 3% gewijzigd door Rukapul op 05-09-2011 13:13 ]

DDX schreef op maandag 05 september 2011 @ 20:04:
Nos journaal weer lekkere onzin, digid is weer veilig...
Nee het is pas veilig als browsers zoals firefox en internetexplorer alle diginotar certificaten blokkeren.
(of als mensen zelf kijken of het een diginotar certificaat is als ze een site bezoeken, maar dat doet de gemiddelde consument echt niet)

Het bedrijf Diginotar, dat verantwoordelijk was voor de beveiliging van Nederlandse overheidssites, is zelf volstrekt onveilig. Dat blijkt uit een onderzoeksrapport dat de NOS heeft ingezien.

Zo stonden er op de computers van het bedrijf geen anti-virusprogramma's en draaide een belangrijke server zonder de juiste updates aan een besturingssysteem.

Verschillende systemen van het bedrijf zouden los van elkaar moeten werken, maar het was voor de hackers mogelijk van de ene computer naar de andere te komen. Verder gebruikten de medewerkers wachtwoorden die eenvoudig te achterhalen waren.

[ Voor 11% gewijzigd door Tourniquet op 05-09-2011 20:59 ]

DDX schreef op maandag 05 september 2011 @ 20:04:
Nee het is pas veilig als browsers zoals firefox en internetexplorer alle diginotar certificaten blokkeren.

[ Voor 9% gewijzigd door CyBeR op 05-09-2011 21:17 ]

Tourniquet schreef op maandag 05 september 2011 @ 20:53:
Ronald Prins van Fox-IT vanavond om 22u bij Nieuwsuur. Ben benieuwd!

Tevens: http://nos.nl/artikel/270...-zo-lek-als-een-zeef.html


[...]



edit: Uitgebreide achtergrondinfo op Webwereld: http://webwereld.nl/nieuw...et-eens-virusscanner.html
Ben benieuwd of het rapport van Fox-IT nog openbaar wordt gemaakt.

Rukapul schreef op maandag 05 september 2011 @ 21:22:
[...]

Dat wordt smullen.

Het valt me nog mee dat de private key nog niet gelekt is

[ Voor 92% gewijzigd door Volture op 05-09-2011 22:07 ]

Gomez12 schreef op maandag 05 september 2011 @ 21:44:
[...]

Even wachten nog, ik gok dat er nog wat meer lijken uit diverse kasten gaan komen.

Na 19 juli was er toch ook al een audit gedaan (alhoewel die enkel het google certificaat en nog 300 andere miste maar dat is toch niet zo erg).
Welk bedrijf heeft die audit dan gedaan? Want die heeft wmb ook wat uit te leggen.

Tourniquet schreef op maandag 05 september 2011 @ 21:52:
[...]
Die eerste audit was door PWC gedaan gefactureerd.

DDX schreef op maandag 05 september 2011 @ 21:38:
Iemand enig idee waarom mozilla en microsoft dit keer zo lang wachten met een update ?
Toch niet omdat de nederlandse overheid dit weer heel lief gevraagd heeft mag ik hopen ?

CyBeR schreef op maandag 05 september 2011 @ 22:12:
Die laatste madam stelde wel een belangrijke vraag: waarom deed praktisch (zover ik kan beoordelen) de complete overheid zaken met DigiNotar en niet met een van de andere drie commerciele CSP's?

[ Voor 3% gewijzigd door matthijsln op 05-09-2011 22:50 ]

begintmeta schreef op maandag 05 september 2011 @ 22:53:
Zou dit geen excuus kunen zijn om Iran aan te vallen eigenlijk? Aanval op NAVO-bondgenoot...

DDX schreef op maandag 05 september 2011 @ 22:04:
[...]
Volgens journaal is er dus idd afspraak gemaakt met microsoft....

Puch-Maxi schreef op maandag 05 september 2011 @ 23:17:
[...]
Het lijkt er wel op ja, nieuws: Overheid dwingt bij Microsoft vertraagde Windows Update af

HarmoniousVibe schreef op dinsdag 06 september 2011 @ 00:43:
Of er moet zijn geknoeid met de infrastructuur (dus dat er iemand "op de lijn" zit af te luisteren), en de enige die dat kan is de eigenaar van de infrastructuur, i.e. de Iraanse overheid. Voor zover ik kan zien is dit dus veruit de meest logische verklaring.

Er zijn wel uit schimmigere redenaties oorlogen voortgekomen...

Ik denk overigens niet dat't zo'n vaart zal lopen

[ Voor 61% gewijzigd door begintmeta op 06-09-2011 01:09 ]

matthijsln schreef op dinsdag 06 september 2011 @ 01:00:
[...]


Uiteraard, maar zo'n redenatie alleen is geen bewijs

HarmoniousVibe schreef op dinsdag 06 september 2011 @ 00:43:
Of er moet zijn geknoeid met de infrastructuur (dus dat er iemand "op de lijn" zit af te luisteren), en de enige die dat kan is de eigenaar van de infrastructuur, i.e. de Iraanse overheid. Voor zover ik kan zien is dit dus veruit de meest logische verklaring.

leuk_he schreef op dinsdag 06 september 2011 @ 10:44:
[...]


Je hoeft alleen maar de dns te rerouten hoor. Zo high tech is dat niet. Sterker nog, er is een gat bekend (dat kamninsy dns gat) dat zonder dnssec niet 100% te dichten is. En ik kan zo nog een paar gaten noemen die je verkeer kunnen omleiden. Dan zou je dus het onderzoek moeten horen wat er bij de inraanse ISP is gebeurd. Nou, daar zul je niks van horen.

Het kan uiteraard de overheid zijn, maar het kunnen uiteraard ook wat slimme iraanse studenten zijn die de zelfde ideeen hebben als de Iraanse overheid.

[ Voor 18% gewijzigd door HarmoniousVibe op 06-09-2011 13:16 ]

DDX schreef op dinsdag 06 september 2011 @ 19:05:
Ziet er naar uit dat firefox 6.0.2 ook uitgesteld wordt op verzoek nl overheid ?
Kan er alleen niets over vinden, behalve dat op ftp de 6.0.2 versie al staat, maar de update check nog netjes meld dat 6.0.1 up2date is.

Why was this advisory revised September 6, 2011?
Microsoft revised this advisory to announce the release of an update that addresses this issue. The update adds five DigiNotar root certificates to the Microsoft Untrusted Certificate Store. Typically no action is required of customers to install this update, because the majority of customers have automatic updating enabled and this update will be downloaded and installed automatically. For customers who do not have automatic updating enabled, see Microsoft Knowledge Base Article 2607712 for information on how to manually apply the update.

At the explicit request of the Dutch government, the release of this update on Windows Update will be delayed for the Netherlands.

This update will become available to the Netherlands on Windows Update and on all Automatic Update channels at a later date. Customers who want to manually install this update should click the appropriate platform download in the "Download information" section. On the next page, users will be able to select the language to install and can continue with the download and the installation.

[ Voor 45% gewijzigd door DDX op 06-09-2011 22:14 ]

begintmeta schreef op maandag 05 september 2011 @ 22:53:
Zou dit geen excuus kunen zijn om Iran aan te vallen eigenlijk? Aanval op NAVO-bondgenoot...

Batiatus schreef op maandag 12 september 2011 @ 14:24:
Even een snelle vraag. Hoe is die ene burger in Iran er achter gekomen dat het Certificaat vals was? Kwam dat omdat het nogal raar was dat er een Nederlandse CA het certificaat voor o.a. Gmail uitgaf?

Batiatus schreef op maandag 12 september 2011 @ 14:24:
Even een snelle vraag. Hoe is die ene burger in Iran er achter gekomen dat het Certificaat vals was? Kwam dat omdat het nogal raar was dat er een Nederlandse CA het certificaat voor o.a. Gmail uitgaf?

Gomez12 schreef op maandag 12 september 2011 @ 14:43:
[...]

Sowieso is Iran al een apart land (inet-technisch gezien) vanwege the great firewall en de controle die ze fysiek over hun burgers willen hebben.

Ik kan me dan ook best voorstellen dat een IT'er bij bijv een ambassade ietwat achterdochtiger is en bijv handmatig certificaten vergelijkt, bij verandering even navragen bij een collega in NL en het balletje gaat rollen.

Als je erop let dan is het natuurlijk apart als er in 1 land een certificaatverandering is die over de rest van de wereld niet geldt...

susscorfa schreef op donderdag 15 september 2011 @ 17:52:
Ik was zojuist bezig met het doen van belasting aangifte, het lijkt er op dat je het aangifte programma download over een onbeveiligde verbinding ( http://belastingdienst.nl/download/2749.html http://download.belasting...linux/ib2010_linux.tar.gz ).

Ook zie ik nergens hashes vermeld staan die ik zou kunnen gebruiken om de echtheid van het programma te controleren.

Dit zou denk ik oa je belasting aangifte naar naar ook een andere server kunnen sturen.

YouKnow schreef op dinsdag 20 september 2011 @ 12:42:
En het onvermijdelijke is nu gebeurd: Diginotar is failliet verklaard.

http://nos.nl/artikel/274...r-failliet-verklaard.html

Rukapul schreef op dinsdag 20 september 2011 @ 12:55:
De echte vraag is natuurlijk hoeveel bedrijfsmiddelen het moederbedrijf (Vasco) nog uit de toko heeft getrokken de afgelopen maanden.

Voor dit soort vertrouwensdiensten is het eigenlijk vreemd dat organisatievormen met beperkte aansprakelijkheid (BV/NV) zijn toegestaan in plaats van hoofdelijke aansprakelijkheid of eventueel het aanhouden van een wettelijke verplichte (grote) buffer/borg.