Monday, September 05, 2011

Government Takeover of Compromised Digital Infrastructure Provider

The latest twist in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of DigiNotar's certificate operations is amazing. The Associated Press reports:

DigiNotar acknowledged it had been hacked in July, though it didn't disclose it at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. It insisted as late as Tuesday that its certificates for government sites had not been compromised.

But Donner said a review by an external security company had found DigiNotar's government certificates were in fact compromised, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is now taking control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's operations. The government also is trying to shift over to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies that act as digital notaries, he said.


As you can see I highlighted two points.

Regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first, it took external analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true facts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. For me this is a step closer to requiring third party review of security posture, and by that I don't mean "are you vulnerable?" I mean instead "are you compromised?"

Regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second, I can't remember a time where a government assumed control of a private company in order to implement digital security measures. (Can anyone recall a similar event at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r time?) This could be a wake-up call to governments that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundations of digital security is a commercial arrangement whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall of any of 600 or more certificate authorities puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire system in danger.

4 comments:

Anonymous said...

I agree, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government involvement is interesting. It seems part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review was directed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dutch CERT - GovCERT, http://www.govcert.nl/english/organisation - and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government was a significant customer of DigiNotar.

Would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re be appropriate 3rd parties to handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CA incidents this year at comodo and start com? Who and why?

http://blog.gerv.net/2011/09/diginotar-compromise/

Anonymous said...

It seems quite unlikely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government takes over entire company operations. It could easily be a misunderstanding on AP's side or on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nameless official AP refers to.

DigiNotar's website does suggests that Govcert is working very closely with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company to investigate -- so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re seems at least be a possibility that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'operations' mentioned is limited to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response operations associated.

Mike said...

Even more now :( The MS claim is quite sensational
http://www.cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365register.co.uk/2011/09/07/diginotar_hacker_proof/

secwiz said...

A end-user trusts it's well-used and common systems (such as a browser). A user's trust into this technology continues into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of PKI, and in this realm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKI structure is built upon a set of CA's, where some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are private or commercial companies. In this DigiNotar-incident I think we clearly see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamental problem: Trust on top of capitalism.