Tweet
De vuilbak in of niet ?
Pffff... ik, plak maar effe:
12-09-2011 Nucia Security Bulletin
Beste ..........,
Dit is de zevende editie van het Nucia Security Bulletin. Deze bulletins worden verstuurd wanneer er sprake is van een (acute) dreiging op het gebied van computerbeveiliging.
Je ontvangt deze e-mail omdat je staat ingeschreven bij Nucia. Indien je geen prijs stelt op deze bulletins, kun je onderaan dit bulletin lezen hoe je jezelf hiervoor uit kunt schrijven.
Waarschuwing: vervalse certificaten kunnen leiden tot misbruik van persoonlijke gegevens
Wat is er gebeurd?
Op 29 augustus jl. werd bekend dat Iran vervalste Nederlandse certificaten heeft gebruikt om communicatie met de website van Google's emaildienst (Gmail) te onderscheppen. Het bedrijf dat gebruikt is om dit certificaat uit te geven, DigiNotar, heeft dit certificaat vervolgens ingetrokken. In de dagen die daarop volgden bleek al heel snel dat de omvang van de kwestie veel groter bleek te zijn. Al in juli 2011 is ingebroken op de server van DigiNotar, en zijn er in totaal meer dan 500 valse certificaten aangemaakt.
Het gevaar van de situatie zit hem in het feit dat DigiNotar één van de bedrijven is, dat toegestaan is om basiscertificaten uit te geven uit naam van de Staat der Nederlanden (een zgn. Root CA). Hoewel aanvankelijk ontkend, is niet met zekerheid vast te stellen dat overheidscertificaten niet vervalst zijn door deze aanval. Gebleken is dat de bedrijfsvoering bij DigiNotar dusdanig te wensen overliet, dat besloten is om alle certificaten uitgegeven door DigiNotar ongeldig te verklaren.
Achtergrondinformatie m.b.t. certificaten
Om te begrijpen wat er is gebeurd, is het belangrijk eerst wat achtergrondinformatie te verschaffen hoe het certificaatgebaseerde systeem werkt.
Wanneer een gebruiker een website bezoekt die gebruikmaakt van een beveiligde verbinding (zichtbaar aan het slotje in de browser, zoals DigID of websites van banken), wisselen de computer en webserver gegevens versleuteld uit.
Een voorbeeld van het slotje in Internet Explorer 9
Dit proces wordt ondersteund door een digitaal certificaat. Dit certificaat geeft de gebruiker de bijna absolute zekerheid dat hij daadwerkelijk met de juiste website van doen heeft. Om dit systeem te laten functioneren is het zeer belangrijk dat de maker van dit certificaat door jouw computer wordt vertrouwd.
Een voorbeeld van uitgebreidere website-identificatie-informatie in Internet Explorer 9
Een voorbeeld:
Jij hebt een ontmoeting in de stad met Willem. Jij hebt Willem echter nog nooit ontmoet en weet niet zeker of je hem wel jouw vertrouwelijke gegevens kunt geven. Jij belt een goede vriend op die jij vertrouwt, Erik, en vraagt aan hem of hij een beschrijving kan geven van Willem, zodat jij weet dat je inderdaad met Willem van doen hebt. Erik vertelt jou dat het inderdaad Willem is en jij geeft Willem jouw persoonlijke gegevens.
In bovenstaand voorbeeld is Willem de website van de overheid en Erik het bedrijf DigiNotar. Gebleken is nu echter dat de bevestiging die Erik geeft over Willem, niet in orde is. Jij hebt namelijk niet gesproken met Erik, maar met Piet. Piet is een vriend van Willem die Erik heeft nagedaan en jou graag wil oplichten. Er is echter geen aanwijzing dat jij met Piet gesproken hebt en jij weet van niets.
Het grote gevaar in deze constructie is dat de partij die de absolute zekerheid moet verschaffen over de betrouwbaarheid van de website, zelf niet meer te vertrouwen is.
Wat zijn de gevolgen?
De gevolgen voor de thuisgebruikers kunnen groot zijn. Hackers kunnen, in theorie, websites van belangrijke instanties (zoals de belastingdienst, banken en credit cardmaatschappijen) namaken, en voorzien van een certificaat dat niet van echt te onderscheiden is. Wanneer een gebruiker vervolgens op deze websites zijn gegevens invoert, kunnen deze in handen komen van criminelen en misbruikt worden.
Wat moet ik doen?
Alle grote fabrikanten van webbrowser (Microsoft, Google, Mozilla e.a.) hebben updates uitgegeven. Wanneer je deze updates niet installeert zal je webbrowser GEEN waarschuwing tonen wanneer je een website bezoekt die gebruikmaakt van DigiNotar-certificaten, en loop je mogelijk gevaar.
Het is daarom zeer belangrijk om deze updates te installeren.
Het gaat om de volgende updates:
Voor Microsoft Windows XP, 2003, Vista, 7 en 2008 met Internet Explorer 6, 7, 8 of 9:
Update: KB2607712
De update zou automatisch met Windows Update geïnstalleerd moeten worden. Controleer dit door:
- Ga naar http://www.windowsupdate.com/ (XP) of rechtermuisknop "Computer" -> "Eigenschappen" -> "Windows Update" (Vista/7).
- Klik op "Updategeschiedenis weergeven" (XP) of "Geschiedenis van updates weergeven" (Vista/7).
- Kijk of de genoemde update in de lijst voorkomt.
Indien je twijfelt, bezoek dan deze pagina om de update handmatig te downloaden.
Voor Mozilla Firefox op alle Windows-besturingssystemen:
Minimaal versie: 6.0.2
De update zou automatisch door Firefox aangeboden moeten worden. Controleer dit door:
- Klik in de menubalk op "Help" (indien je geen menubalk ziet, druk eerst op het toetsenbord op "Alt").
- Klik op "Over Firefox".
Voor Google Chrome op alle Windows-besturingssystemen:
Minimaal versie: 13.0.782.220
De update zou automatisch door Chrome aangeboden moeten worden. Controleer dit door:
- Klik rechtsboven op het gereedschapsicoontje.
- Klik op "Over Google Chrome".
Voor Opera op alle Windows-besturingssystemen:
Opera behoeft geen aparte update: ingetrokken beveiligingscertificaten worden standaard al geblokkeerd. Meer informatie hierover is na te lezen op de site van Opera.
Met het installeren van deze updates herkent de computer de ingetrokken certificatenhiërarchie van DigiNotar, en zal het geen enkel certificaat van DigiNotar meer vertrouwen.
Wanneer nu een website bezocht wordt die gebruikmaakt van DigiNotar-certificaten, zal een duidelijke melding getoond worden en in sommige gevallen de toegang geheel worden ontzegd.
Ingetrokken certificaat in Internet Explorer 9
Ingetrokken certificaat in Mozilla Firefox
Loop ik nu nog gevaar?
Het antwoord op deze vraag is situatieafhankelijk.
Uiteraard heeft de overheid, toen de omvang van de situatie duidelijk werd, direct actie ondernomen en is zij op grote schaal begonnen met het vervangen van de certificaten. Dit betekent effectief dat zij de DigiNotar-certifcaten van hun website verwijderen, en vervangen door certificaten van bijvoorbeeld Getronics PinkRoccade. Hoewel de landelijke overheid veel vaart zet achter deze operatie, kan het heel goed voorkomen dat lokale overheden hier nog niet aan toe zijn gekomen. Op het moment van schrijven was dat bijvoorbeeld het geval bij de gemeentewebsites van Nijmegen, Valkenswaard, Groningen en Zoetermeer. Tevens betreft het niet alleen overheidswebsites die deze certificaten gebruiken. Ook webwinkels, advocatenkantoren en profielensites zouden hier gebruik van gemaakt kunnen hebben.
Het is daarom belangrijk om de eerdergenoemde updates te installeren, zodat jouw computer kan herkennen (en waarschuwen) wanneer deze certificaten worden aangetroffen.
Het kan echter zijn dat je deze updates niet kunt installeren.
Belangrijk is daarom om..
.. bij twijfel niet alleen te controleren OF een website is beveiligd met een certificaat, maar ook door WIE dit certificaat is uitgegeven.
Wanneer de uitgever van het certificaat DigiNotar betreft, dien je de verbinding NIET te vertrouwen, ongeacht een mogelijk gebrek aan waarschuwingen van je browser.
Instructie Internet Explorer 6/7:
Dubbelklik onderin de statusbalk op het gouden slotje
Kijk naar het vak "Verleend door:"
Instructie Internet Explorer 8/9:
Klik bovenin de balk op het gouden slotje, gevolgd door "Certificaten weergeven".
Kijk naar het vak "Verleend door:"
Intructie Mozilla Firefox:
Klik bovenin het scherm voor de adresbalk op de naam van de website die geverifieerd wordt, gevolgd door "Meer informatie".
Kijk naar “Geverifieerd door”:
Instructie Google Chrome:
Klik bovenin het scherm voor de adresbalk op de naam van de website die geverifieerd wordt. Bekijk de “is geverifieerd door”-regel.
Gebruikers van smartphones en tablets opgelet
Ook draagbare apparatuur met internettoegang, denk aan tablets, smartphones, etc., met mobiele besturingssystemen (iPhone OS, Android, Windows Mobile, Windows Phone) zijn kwetsbaar. Zij maken net als hun grotere varianten gebruikt van certificaten om de echtheid van websites te verifieren. De fabrikanten van deze apparatuur hebben echter tot op heden nauwelijks updates uitgegeven om het probleem te verhelpen.
Ons advies is dan ook om zeer waakzaam te zijn bij het gebruik van belangrijke websites op dergelijke apparaten.
De gevolgen voor bedrijven
Bedrijven die gebruikmaken van certificaten van DigiNotar wordt aangeraden deze zo snel mogelijk te vervangen. Hier kunnen extra kosten aan zijn verbonden.
Voor de consument blijft hierdoor de waarschuwing van kracht, daar certificaten van DigiNotar bij een diversiteit aan websites gebruikt zijn.
Vragen
Heb je vragen naar aanleiding van onze berichtgeving omtrent DigiNotar? Stel dan je vraag op het forum. Dat kan door hier te klikken.
Meer informatie
Deze nieuwsbrief is geschreven op een manier zodat hij begrijpelijk is voor een zo groot mogelijk publiek. Indien je diepgaandere technische informatie wilt hebben omtrent het systeem van certificaatauthoriteiten, zijn er de laatste dagen zeer veel informatiepagina’s online gekomen die het uitleggen. Bijvoorbeeld:
Gecertificeerd hacker - Doe het zelf DigiD
Overheid dwingt vertraagde Windows Update af bij Microsoft
Afmelden
Om je af te melden voor deze gratis dienst, klik hier en pas de opties naar wens aan.
Indien je jouw account wilt verwijderen dan is dit niet mogelijk. Voor uitleg en meer informatie klik hier.
Zoek je snel een antwoord? Kijk dan eens in onze chat. Klik hier.
12-09-2011 Nucia Security Bulletin
Beste ..........,
Dit is de zevende editie van het Nucia Security Bulletin. Deze bulletins worden verstuurd wanneer er sprake is van een (acute) dreiging op het gebied van computerbeveiliging.
Je ontvangt deze e-mail omdat je staat ingeschreven bij Nucia. Indien je geen prijs stelt op deze bulletins, kun je onderaan dit bulletin lezen hoe je jezelf hiervoor uit kunt schrijven.
Waarschuwing: vervalse certificaten kunnen leiden tot misbruik van persoonlijke gegevens
Wat is er gebeurd?
Op 29 augustus jl. werd bekend dat Iran vervalste Nederlandse certificaten heeft gebruikt om communicatie met de website van Google's emaildienst (Gmail) te onderscheppen. Het bedrijf dat gebruikt is om dit certificaat uit te geven, DigiNotar, heeft dit certificaat vervolgens ingetrokken. In de dagen die daarop volgden bleek al heel snel dat de omvang van de kwestie veel groter bleek te zijn. Al in juli 2011 is ingebroken op de server van DigiNotar, en zijn er in totaal meer dan 500 valse certificaten aangemaakt.
Het gevaar van de situatie zit hem in het feit dat DigiNotar één van de bedrijven is, dat toegestaan is om basiscertificaten uit te geven uit naam van de Staat der Nederlanden (een zgn. Root CA). Hoewel aanvankelijk ontkend, is niet met zekerheid vast te stellen dat overheidscertificaten niet vervalst zijn door deze aanval. Gebleken is dat de bedrijfsvoering bij DigiNotar dusdanig te wensen overliet, dat besloten is om alle certificaten uitgegeven door DigiNotar ongeldig te verklaren.
Achtergrondinformatie m.b.t. certificaten
Om te begrijpen wat er is gebeurd, is het belangrijk eerst wat achtergrondinformatie te verschaffen hoe het certificaatgebaseerde systeem werkt.
Wanneer een gebruiker een website bezoekt die gebruikmaakt van een beveiligde verbinding (zichtbaar aan het slotje in de browser, zoals DigID of websites van banken), wisselen de computer en webserver gegevens versleuteld uit.
Een voorbeeld van het slotje in Internet Explorer 9
Dit proces wordt ondersteund door een digitaal certificaat. Dit certificaat geeft de gebruiker de bijna absolute zekerheid dat hij daadwerkelijk met de juiste website van doen heeft. Om dit systeem te laten functioneren is het zeer belangrijk dat de maker van dit certificaat door jouw computer wordt vertrouwd.
Een voorbeeld van uitgebreidere website-identificatie-informatie in Internet Explorer 9
Een voorbeeld:
Jij hebt een ontmoeting in de stad met Willem. Jij hebt Willem echter nog nooit ontmoet en weet niet zeker of je hem wel jouw vertrouwelijke gegevens kunt geven. Jij belt een goede vriend op die jij vertrouwt, Erik, en vraagt aan hem of hij een beschrijving kan geven van Willem, zodat jij weet dat je inderdaad met Willem van doen hebt. Erik vertelt jou dat het inderdaad Willem is en jij geeft Willem jouw persoonlijke gegevens.
In bovenstaand voorbeeld is Willem de website van de overheid en Erik het bedrijf DigiNotar. Gebleken is nu echter dat de bevestiging die Erik geeft over Willem, niet in orde is. Jij hebt namelijk niet gesproken met Erik, maar met Piet. Piet is een vriend van Willem die Erik heeft nagedaan en jou graag wil oplichten. Er is echter geen aanwijzing dat jij met Piet gesproken hebt en jij weet van niets.
Het grote gevaar in deze constructie is dat de partij die de absolute zekerheid moet verschaffen over de betrouwbaarheid van de website, zelf niet meer te vertrouwen is.
Wat zijn de gevolgen?
De gevolgen voor de thuisgebruikers kunnen groot zijn. Hackers kunnen, in theorie, websites van belangrijke instanties (zoals de belastingdienst, banken en credit cardmaatschappijen) namaken, en voorzien van een certificaat dat niet van echt te onderscheiden is. Wanneer een gebruiker vervolgens op deze websites zijn gegevens invoert, kunnen deze in handen komen van criminelen en misbruikt worden.
Wat moet ik doen?
Alle grote fabrikanten van webbrowser (Microsoft, Google, Mozilla e.a.) hebben updates uitgegeven. Wanneer je deze updates niet installeert zal je webbrowser GEEN waarschuwing tonen wanneer je een website bezoekt die gebruikmaakt van DigiNotar-certificaten, en loop je mogelijk gevaar.
Het is daarom zeer belangrijk om deze updates te installeren.
Het gaat om de volgende updates:
Voor Microsoft Windows XP, 2003, Vista, 7 en 2008 met Internet Explorer 6, 7, 8 of 9:
Update: KB2607712
De update zou automatisch met Windows Update geïnstalleerd moeten worden. Controleer dit door:
- Ga naar http://www.windowsupdate.com/ (XP) of rechtermuisknop "Computer" -> "Eigenschappen" -> "Windows Update" (Vista/7).
- Klik op "Updategeschiedenis weergeven" (XP) of "Geschiedenis van updates weergeven" (Vista/7).
- Kijk of de genoemde update in de lijst voorkomt.
Indien je twijfelt, bezoek dan deze pagina om de update handmatig te downloaden.
Voor Mozilla Firefox op alle Windows-besturingssystemen:
Minimaal versie: 6.0.2
De update zou automatisch door Firefox aangeboden moeten worden. Controleer dit door:
- Klik in de menubalk op "Help" (indien je geen menubalk ziet, druk eerst op het toetsenbord op "Alt").
- Klik op "Over Firefox".
Voor Google Chrome op alle Windows-besturingssystemen:
Minimaal versie: 13.0.782.220
De update zou automatisch door Chrome aangeboden moeten worden. Controleer dit door:
- Klik rechtsboven op het gereedschapsicoontje.
- Klik op "Over Google Chrome".
Voor Opera op alle Windows-besturingssystemen:
Opera behoeft geen aparte update: ingetrokken beveiligingscertificaten worden standaard al geblokkeerd. Meer informatie hierover is na te lezen op de site van Opera.
Met het installeren van deze updates herkent de computer de ingetrokken certificatenhiërarchie van DigiNotar, en zal het geen enkel certificaat van DigiNotar meer vertrouwen.
Wanneer nu een website bezocht wordt die gebruikmaakt van DigiNotar-certificaten, zal een duidelijke melding getoond worden en in sommige gevallen de toegang geheel worden ontzegd.
Ingetrokken certificaat in Internet Explorer 9
Ingetrokken certificaat in Mozilla Firefox
Loop ik nu nog gevaar?
Het antwoord op deze vraag is situatieafhankelijk.
Uiteraard heeft de overheid, toen de omvang van de situatie duidelijk werd, direct actie ondernomen en is zij op grote schaal begonnen met het vervangen van de certificaten. Dit betekent effectief dat zij de DigiNotar-certifcaten van hun website verwijderen, en vervangen door certificaten van bijvoorbeeld Getronics PinkRoccade. Hoewel de landelijke overheid veel vaart zet achter deze operatie, kan het heel goed voorkomen dat lokale overheden hier nog niet aan toe zijn gekomen. Op het moment van schrijven was dat bijvoorbeeld het geval bij de gemeentewebsites van Nijmegen, Valkenswaard, Groningen en Zoetermeer. Tevens betreft het niet alleen overheidswebsites die deze certificaten gebruiken. Ook webwinkels, advocatenkantoren en profielensites zouden hier gebruik van gemaakt kunnen hebben.
Het is daarom belangrijk om de eerdergenoemde updates te installeren, zodat jouw computer kan herkennen (en waarschuwen) wanneer deze certificaten worden aangetroffen.
Het kan echter zijn dat je deze updates niet kunt installeren.
Belangrijk is daarom om..
.. bij twijfel niet alleen te controleren OF een website is beveiligd met een certificaat, maar ook door WIE dit certificaat is uitgegeven.
Wanneer de uitgever van het certificaat DigiNotar betreft, dien je de verbinding NIET te vertrouwen, ongeacht een mogelijk gebrek aan waarschuwingen van je browser.
Instructie Internet Explorer 6/7:
Dubbelklik onderin de statusbalk op het gouden slotje
Kijk naar het vak "Verleend door:"
Instructie Internet Explorer 8/9:
Klik bovenin de balk op het gouden slotje, gevolgd door "Certificaten weergeven".
Kijk naar het vak "Verleend door:"
Intructie Mozilla Firefox:
Klik bovenin het scherm voor de adresbalk op de naam van de website die geverifieerd wordt, gevolgd door "Meer informatie".
Kijk naar “Geverifieerd door”:
Instructie Google Chrome:
Klik bovenin het scherm voor de adresbalk op de naam van de website die geverifieerd wordt. Bekijk de “is geverifieerd door”-regel.
Gebruikers van smartphones en tablets opgelet
Ook draagbare apparatuur met internettoegang, denk aan tablets, smartphones, etc., met mobiele besturingssystemen (iPhone OS, Android, Windows Mobile, Windows Phone) zijn kwetsbaar. Zij maken net als hun grotere varianten gebruikt van certificaten om de echtheid van websites te verifieren. De fabrikanten van deze apparatuur hebben echter tot op heden nauwelijks updates uitgegeven om het probleem te verhelpen.
Ons advies is dan ook om zeer waakzaam te zijn bij het gebruik van belangrijke websites op dergelijke apparaten.
De gevolgen voor bedrijven
Bedrijven die gebruikmaken van certificaten van DigiNotar wordt aangeraden deze zo snel mogelijk te vervangen. Hier kunnen extra kosten aan zijn verbonden.
Voor de consument blijft hierdoor de waarschuwing van kracht, daar certificaten van DigiNotar bij een diversiteit aan websites gebruikt zijn.
Vragen
Heb je vragen naar aanleiding van onze berichtgeving omtrent DigiNotar? Stel dan je vraag op het forum. Dat kan door hier te klikken.
Meer informatie
Deze nieuwsbrief is geschreven op een manier zodat hij begrijpelijk is voor een zo groot mogelijk publiek. Indien je diepgaandere technische informatie wilt hebben omtrent het systeem van certificaatauthoriteiten, zijn er de laatste dagen zeer veel informatiepagina’s online gekomen die het uitleggen. Bijvoorbeeld:
Gecertificeerd hacker - Doe het zelf DigiD
Overheid dwingt vertraagde Windows Update af bij Microsoft
Afmelden
Om je af te melden voor deze gratis dienst, klik hier en pas de opties naar wens aan.
Indien je jouw account wilt verwijderen dan is dit niet mogelijk. Voor uitleg en meer informatie klik hier.
Zoek je snel een antwoord? Kijk dan eens in onze chat. Klik hier.
Comment