export digitaal paspoort gelogd? - Privacy en beveiliging

vrijdag 5 juli 2013 10:56

Acties:

Lucht-v/w-aardig

Topicstarter

Hoi!

dit is niet helemaal mijn expertise dus ik wilde de vraag graag hier droppen.
Ik ben bij een vriend van me, die heeft een bedrijfje waarvoor hij met andere bedrijven zaken doet via internet. Hij logt in via een digitaal paspoort (certificaat van ABZ).

Het lijkt er nu op dat iemand anders in staat is om in te loggen op de externe systemen, er worden namelijk mutaties in systemen doorgevoerd zonder dat mijn vriend hier kennis van heeft. Mogelijk dat die andere (onbekende) persoon het digitaal paspoort heeft geëxporteerd van de computer van mijn vriend. (Dit is mogelijk want er is nog wel eens iemand op deze computer bezig geweest).

Mijn vraag: is er een mogelijkheid om ergens (in een eventlog ofzo?) te achterhalen of en wanneer dit zou kunnen hebben plaatsgevonden? (export van het digitaal paspoort dus?)

Alvast thanks voor het meedenken.

iets met foto's...

vrijdag 5 juli 2013 11:05

Acties:

iisschots

Wat ik iig zou den is het certificaat laten intrekken door de verstrekker en een nieuwe aanvragen.Dan kan hij niet meer misbruikt worden.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

vrijdag 5 juli 2013 11:14

Acties:

Gulf_5

Lucht-v/w-aardig

Topicstarter

Nou ja, dat op zich is inderdaad een mogelijkheid, het vervelende is alleen dat we alleen maar het vermoeden hebben... bij de betreffende instanties waar wordt ingelogd, kan je ook terecht met een gebruikersnaam/wachtwoord. Die hebben we al gereset. Voordat we het certificaat laten intrekken willen we eigenlijk eerst achterhalen of hij ooit van deze computer is vervreemd... (als dat kan natuurlijk) omdat het intrekken en opnieuw verstrekken weer een sloot geld kost...

iets met foto's...

vrijdag 5 juli 2013 11:15

Acties:

P_de_B

Het exporteren van het certificaat is inderdaad wel mogelijk, misschien kun je bij de betreffende instantie opvragen vanaf welk IP-adres er met een certificaat is ingelogd?

Oops! Google Chrome could not find www.rijks%20museum.nl

vrijdag 5 juli 2013 11:17

Acties:

Gulf_5

Lucht-v/w-aardig

Topicstarter

Dat het te exporteren is, weet ik. De vraag is eigenlijk of dit ook ergens gelogd is... en of ik dat dus kan traceren.
(ter info: Windows 7 Pro, IE10)
Ze zijn bij de betreffende organisatie as we speak aan het zoeken of ze een IP adres kunnen vinden, maar de persoon die ik sprak wist niet zeker of hij dat kon zien... (?)

iets met foto's...

vrijdag 5 juli 2013 12:58

Acties:

Jester-NL

... pakt een botte bijl

Met P_de_B.
Ik weet (uit een ver verleden) hoe vreselijk eenvoudig het exporteren en delen van het digitale paspoort is.
Ik heb indertijd nooit de logboeken doorgespit om te zien of daar een vermelding van wordt gemaakt.
Hoe dan ook.. de partij die het certificaat accepteert zou moeten kunnen zien vanaf welk(e) IP-adres(sen) de verbinding(en) tot stand komen. Uiteindelijk is dat het idee achter zo'n certificaat

Eventueel zou je heet certificaat zelf kunnen revoken op de site, en een nieuwe ophalen. Daarmee creeer je een nieuw certificaat, waarmee je het origineel (en de kopieen) ongeldig verklaart. (Althans, zo werkte dat 11 jaar terug

)

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 5 juli 2013 13:19

Acties:

mrsar

waar een sar is,is een wodka

eens met iedereen hierboven.

Als je helemaal zeker wil zijn : revoken en nieuwe aanvragen. pc formatteren en opnieuw installeren (mocht er een keylogger ofzo op zitten)

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1

vrijdag 5 juli 2013 13:23

Acties:

begintmeta

Moderator General Chat

Gulf_5, waarom niet wat laagdrempeliger revoken? Wat betreft het loggen: ik zou het gewoon uitproberen en kijken wat/of iets gelogd wordt. Ik weet niet wat Windows hier standaard doet (maar het zou me niet verbazen als het gelogd wordt)

mrsar schreef op vrijdag 05 juli 2013 @ 13:19:
Als je helemaal zeker wil zijn : revoken en nieuwe aanvragen. pc formatteren en opnieuw installeren (mocht er een keylogger ofzo op zitten)

Dan ben je nog niet 'helemaal zeker' natuurlijk (hardware vervangen/nakijken zou daar op zijn minst nog bij horen). Een smartcard nemen kan eventueel in het vervolg ook het een en ander wat minder waarschijnlijk maken. Is ook niet duur of lastig.

[ Voor 58% gewijzigd door begintmeta op 05-07-2013 13:39 ]

vrijdag 5 juli 2013 19:44

Acties:

Thralas

Geen antwoord op je vraag, maar wel een tip: koop een PKCS#11-compatible token of smartcard en reader (Feitian ePass is al voor twee tientjes te krijgen) en gooi het certificaat daarop. Weet je ook zeker dat niemand 'm meer kan ontvreemden.

vrijdag 5 juli 2013 23:04

Acties:

Gulf_5

Lucht-v/w-aardig

Topicstarter

Bedankt allemaal voor de tips

Ik heb het advies van het intrekken en nieuwe aanvragen opgevolgd.
Het systeem formatten in verband met een keylogger was een idee dat niet erg gewaardeerd werd, dus ik heb een paar antispyware en antivirus tooltjes erover heen laten gaan. McAfee, SecurityEssentials en SuperAntiSpyware. Tot slot nog even AVG gedownload en die nog even laten gaan...systeem lijkt verder gewoon clean te zijn... Had ik ook verwacht want als er gebeurd is wat we vermoeden, is er gewoon iemand die fysiek achter de computer heeft gezeten, er met de gegevens vandoor gegaan... (we weten dan ook wie... alleen zochten we eigenlijk naar bewijs

vandaar die logfile die we zochten...)

nogmaals thanks

iets met foto's...

donderdag 11 juli 2013 08:59

Acties:

sanfranjake

Computers can do that?

Nog even ter aanvulling:
Windows logt event 1007 in het logboek "Microsoft > Windows > CertificateServicesClient-Lifecycle-User" als er een certificaat geexporteerd wordt. Jammer dat ik dit topic nu pas zie.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters