Er loopt geen feitenonderzoek meer bij het Openbaar Ministerie naar aanleiding van de digitale inbraak bij Diginotar. Het OM stelde zo'n onderzoek vorig jaar september in om te bepalen of Diginotar aansprakelijk kon worden gesteld voor nalatigheid. Volgens een woordvoerder heeft het onderzoek niets opgeleverd en zijn er geen verdachten opgespoord en aangehouden. Het wachten is nu nog op een rapport van Vasco, de moedermaatschappij van het failliet verklaarde Diginotar.
Het OM startte een feitenonderzoek naar aanleiding van een rapport van Fox-IT waaruit bleek dat de netwerkinrichting en de beveiligingsprocedures van Diginotar niet toereikend waren om een succesvolle hack tegen te houden. Het rapport was vernietigend over de situatie van het Beverwijkse authenticatiebedrijf: verouderde software, gebrek aan redundantie, makkelijk te achterhalen wachtwoorden en het ontbreken van voldoende anti-virussoftware.
Volgens een zegsman van het OM is het feitenonderzoek ergens begin dit jaar min of meer doodgebloed. Meer achtergrondinformatie kan hij niet geven omdat het strafrechtdossier niet openbaar is. Daardoor blijft het onduidelijk of het feitenonderzoek wel grondig is uitgevoerd. Topman Jan Valcke van Vasco, de moedermaatschappij van het failliet gegane Diginotar, verklaarde eerder in een Computable-interview bijvoorbeeld dat het bedrijf nooit iets van het OM heeft gehoord.
Rapporten
Diginotar kwam in de zomer van 2011 in moeilijkheden nadat er digitale beveiligingscertificaten waren gehackt. Nadat de toenmalige minister Donner van Binnenlandse Zaken en Koninkrijksrelaties het vertrouwen in de onderneming opzegde, was het einde verhaal. Het bedrijf werd op 20 september 2011 failliet verklaard. De Diginotar-hack heeft een stroom van publicaties opgeleverd. Recent kwam er nog het eindrapport 'Black Tulip' vrij van Fox-IT over de digitale inbraak bij Diginotar en het frauduleus aanmaken van valse certificaten.
Het wachten is nu nog op de bevindingen van een onderzoek dat Vasco in september 2011 heeft laten instellen naar de gang van zaken rondom Diginotar. Het bedrijf was niet onder de indruk van de bevindingen uit het onderzoek van Fox-IT en nam Hoffmann Bedrijfsrecherche uit Almere in de arm. Die moet Vasco inzicht geven in waar het fout ging met de begin 2011 overgenomen, toenmalige dochtermaatschappij. Het eindrapport zal ook moeten uitwijzen of Vasco de grootaandeelhouders van Diginotar nog om schadeloosstelling gaat vragen.
Het rapport zou in september 2012 uitkomen, maar is uitgesteld. Een woordvoerder van Vasco laat weten dat het om de laatste loodjes gaat, maar hij kon niet aangeven of het rapport nog voor het einde van 2012 verschijnt of toch in 2013.
“Meer achtergrondinformatie kan hij niet geven omdat het strafrechtdossier niet openbaar is.”
Omdat er hier sprake is van overheid-certificaten, kan men hier m.i. hier beroep doen op de wet openbaarheid bestuur om te eisen dat het feitenonderzoek publiek wordt.
“Het rapport was vernietigend over de situatie van het Beverwijkse authenticatiebedrijf: verouderde software, gebrek aan redundantie, makkelijk te achterhalen wachtwoorden en het ontbreken van voldoende anti-virussoftware.”
En dan te bedenken dat Digitar gewoon gekozen is omdat die ergens bovenaan in het alfabet stond. Dit voorspelt weinig goed voor de overige certificaatbewaak-bedrijven.
“Alle CA-servers (CA = Certificate Authority) maakten deel uit van één Windows-domein waardoor ze allemaal toegankelijk waren met één verkregen gebruikersnaam/wachtwoord-combinatie.”
Volgens mij is dat gewoon gebruikelijk (in de praktijk).
“Het digitale forensisch onderzoeksbureau uit Delft vond tijdens zijn recherche dat op de bedrijfskritische servers van Diginotar malware stond die normaliter door anti-virussoftware opgemerkt en opgevangen had moeten worden.”
Een server die afhankelijk is van anti-virussoftware is m.i. per definitie al niet veilig. Natuurlijk, als je dan toch een OS neemt die gevoelig is voor malware, dan moet je natuurlijk wel een beschikbare malwarescanner installeren en up-to-date houden. Maar toch… Kiezen voor een systeem die in zijn basis al niet of nauwelijks gevoelig is voor malware, is m.i. 100x verstandiger.
“Volgens een woordvoerder heeft het onderzoek niets opgeleverd en zijn er geen verdachten opgespoord en aangehouden.”
Apart, gezien de fouten die feitelijk geconstateerd zijn. Mensen hebben fouten gemaakt inzake de beveiliging. Is dat niet vervolgbaar?
@M:
Omdat er hier sprake is van overheid-certificaten, kan men hier m.i. hier beroep doen op de wet openbaarheid bestuur om te eisen dat het feitenonderzoek publiek wordt.
Niet juist, alleen de Niet-PKI-Overheid gerelateerde CA’s van Diginotar waren gehacked, niet de PKI-Overheid CA’s.
Volgens mij is dat gewoon gebruikelijk (in de praktijk).
Je kan ook Standalone CA’s op Windows opzetten, dan moet je alleen voor elke CA eigen wachtwoorden bijhouden en dat is lastig.
Kiezen voor een systeem die in zijn basis al niet of nauwelijks gevoelig is voor malware, is m.i. 100x verstandiger.
Geef eens een voorbeeld van zo’n systeem ?
Apart, gezien de fouten die feitelijk geconstateerd zijn. Mensen hebben fouten gemaakt inzake de beveiliging. Is dat niet vervolgbaar?
Nee, fouten maken is niet strafbaar, als er geen wet voor is.
Diginotar is een voorbeeld van een bedrijf dat A) certificeringen had B) Audits erop uit liet voeren… maar vreselijk gehackt is.
Wat kun je hieruit concluderen? Dat certificeringen en audits dus geen zekerheid bieden dat een bedrijf zich netjes aan de handelingen houdt van een certificering en het enkel gebruikt in een commercieel belang.
Bedrijven die echt integraal goed bezig zijn worden van dit soort zaken de dupe omdat ook de waarde van een audit en certificering verwaterd en de adoptie en vertrouwen van “cloud” en internet schaadt.
Ik vind dat de schade die geleden is door bad practice van Diginotar strafbaar is, ik denk dat dit wel een zaak is aangezien grove schuld wellicht aangetoond kan worden. Nu wordt er geen voorbeeld gesteld en wordt zeer laakbaar gedrag niet gestraft.
Ook is er inhoudelijk niets te vinden van de rol die PWC hierin heeft gespeeld (heeft de audit uitgevoerd). In mijn ogen klinkt het als een doofpot affaire. Slechte zaak.
Er wordt geen recht gedaan. Als iemand meer achtergrond links heeft, ik lees ze graag.
Het is niet zo heel erg vreemd dat een onderzoek waarbij de overheid als partij bij betrokken is, dood bloed. Er staan nog vele vragen open maar de meest eenvoudige vragen zullen nu helaas niet meer worden beantwoord, daar de hoofdrolspelers met ‘stille trom’ naar elders zijn vertrokken.
Klassiek hier is in elk geval te zien dat de meest basale principes van IT klaarblijkelijk niet zijn gevolgd en onderhouden. We zien dit wel vaker bij organisaties met alle gevolgen van dien.
Overigens is Diginotar niet het eerste voorbeeld wat er gebeurd wanneer er ‘professionals’ aan de knoppen zitten zonder goede kennis van zaken. We hebben dit zien gebeuren bij de KPN vs de hacker, bij Vodafone die door brand werd getroffen, en uiteraard Ab Klink met het grote EPD debacle.
We zullen door de grotere toename van verregaande sanering van IT, IT staf en het zzp-schap nog meer grootschalige incidenten gaan zien in de toekomst. Dat is een garantie.
In elk geval zien we hier dat er geen al te hoge prioriteit werd gehangen aan het onderzoek en dat is denk ik nog het meest schadelijke. Klaarblijkelijk zit de overheid, die toch slachtoffer was?!? niet zo heel erg op de uitkomsten van een dergelijk onderzoek te wachten.