Sinds wanneer houdt de OPTA toezicht op CA's, en wat heeft de telecomwet er mee van doen ?

Thuiswinkel.org heeft makkelijk praten met een voorzichtige aanval dat het ergens de schijn van heeft dat een andere organisatie niet genoeg zijn best zou hebben gedaan.
Hoeveel vertrouwen heeft men daar eigenlijk in andere CA's en waarom dan wel? Ze hebben met deze stellingname namelijk geen poot om op te staan wat betreft dat vertrouwen.
Niet dat ze dat nodig hebben, genoeg thuiswinkel deelnemers die zelf hun beveiliging niet op orde hebben en brakke webwinkels hanteren waarbij met een SSL-certificaat en een logo van mcafee beweert wordt dat je er veilig kan winkelen....
Hoeveel toezicht hebben ze vanuit thuiswinkel.org eigenlijk op hun deelnemers wat betreft veiligheid?!?!?!!!!!!! Geen, ze controleren hooguit een vinkje dat de deelnemer er wat aan lijkt te doen.

Thuiswinkel.org piept omdat ze die certificaten gebruiken als risicobeperking voor hun eigen waarborg. Maar is dat ook uit veiligheid? Het heeft er de schijn van dat ze bij thuiswinkel.org maling hebben aan veiligheid van klanten en klantgegevens. Waarom? Dit is hoe ze bij Thuiswinkel.org omgaan met je persoonsgegevens:


Met andere woorden: zolang u maar SSL-gebruikt tijdens het winkelen/afrekenen is het wel voldoende en voor de rest stuurt u ze maar onbeveiligd rond. Over het bewaren en toegang tot de van de gegevens hebben we het maar even niet.

Thuiswinkel moet niet zo hoog van de toren blazen !

Er zijn een groot aantal webwinkels met het thuiswinkel logo zo lek als een mandje.
Ook doen veel webwinkels met ditzelfde logo niet aan salting en worden cc & bankgegevens plain-text opgeslagen.

Veiligheid en privacy staat er dan op hun site ! LOL

misschien maar eens op pastebin gooien ?!

Thuiswinkel.org verwijt de ketel dat hij zwart ziet. Hun "garanties" zeggen niets, en toezicht bestaat duidelijk ook niet.

Voorbeeld: ga naar https://www.vliegwinkel.nl/ en merk op dat je wordt doorgestuurd naar http://www.vliegwinkel.nl. Merk ook op dat rechtsonderin een icoontje te vinden is van "Thuiswinkel waarborg" en dat dit verwijst naar https://beheer.thuiswinkel.org/waarborg/index.asp?bedrijfid=6e21f5dc62713689871903d48a0cbade.

Klik rechtsboven http://www.vliegwinkel.nl/ op login. Als je al een account hebt, en daar je e-mail adres en password invult, worden je gegevens plain-text verzonden (http), inclusief jouw wachtwoord.

Als je nog geen account hebt en je klikt op aanmelden, dan verschijnt er via http een scherm waarop je veel persoonlijke gegevens moet invullen. Ook die worden plain text verzonden.

In de eerder genoemde https://beheer.thuiswinkel.org/waarborg/index.asp?bedrijfid=6e21f5dc62713689871903d48a0cbade lees ik onder meer:Zie ook de eerdere discussie hier: http://www.security.nl/artikel/36753/vliegwinkel.nl_onbeveiligd%3F.html

Aanvulling 2011-10-04 13:44: http://www.thuiswinkel.org/cms/showpage.aspx?id=3195:

Kenmerk van hedendaagse veiligheid: als er iets publiekelijk is misgegaan dan gaan de managers en woordvoerders graag met het vingertje wijzen en proberen ze hun eigen straatje schoon te vegen door af te leiden van de onderliggende problemen: er is geen adequaat toezicht of controle en de personen die daarvoor moeten zorgen hebben geen zin of geen verstand van de zaken waar ze mee bezig horen te zijn. Bij Thuiswinkel.org spelen ze dat spelletje heel goed, bij CA's gaat het zo, bij webwinkels niet anders en accountancy organisaties wil ik het al niet eens meer over hebben. Ze halen allemaal heel graag heel veel geld op en doen zo min mogelijk. Je kan achteraf toch makkelijk wijzen en vegen zonder dat het gevolgen heeft.

Lange tenen hierboven.

Thuiswinkel heeft natuurlijk gewoon gelijk dat het toezicht faalt. De grond van het probleem is het de andere kant opkijken cultuur. De controle is een hoofdzakelijk papieren procedure. Borgen noemt men dat. Het middel is verworden tot een doel.

Wat ontbreekt is een verplichte daadwerkelijke controle, dat wil zeggen controle van de systemen zelf. Dus naast de duur betaalde papieren jongens in pakken zijn echte controleurs nodig die de systemen zelf onderwerpen aan een grondig onderzoek.

Overigens is de grootste faal bij DigiNotar zelf dat er geen strakke procedure gevolgd werd na het ontdekken van de inbraak.

"Thuiswinkel heeft natuurlijk gewoon gelijk dat het toezicht faalt."

Maar klopt de kritiek inhoudelijk, afgezien van wat we van thuiswinkel vinden ? Heeft de OPTA tot nog toe een toezichthoudende taak op CA's, en heeft de telecommunicatie wet ook maar iets met CA's van doen ? Bestaan er wettelijke voorschriften waaraan CA's moeten voldoen ?

Waarschijnlijk hebben ze wel een contractuele verplichting om periodiek een audit uit te laten voeren, maar dat heeft niets te maken met de OPTA en de telecommunicatiewet.

Wat een enorme spuit-11ers zeg. Hoe vaak is wel niet geïtereerd over het falen bij DigiNotar.

Fijn, dek jezelf nog maar even wat verder in.

Nee, geen lange tenen. Niemand schrijft nl dat de bewering niet klopt. Maar de manier van handelen van de jongens van thuiswinkel.org schiet bij personen die zich echt bezig houden met veiligheid behoorlijk in het verkeerde keelgat.
Bij thuiswinkel hebben ze niet door hoe het systeem in elkaar zit en wie welke verantwoordelijkheid heeft. Verantwoordelijkheid die ze zelf ook niet nemen. Thuiswinkel.org is zowel naar aanbieders van veiligheid als hun deelnemers te goed van vertrouwen (lees: we controleren zelf niets en weten niet eens wat we hoe moeten controleren) en zit net zo in zee met andere CA's zonder te weten of die wel te vertrouwen zijn. Zolang iemand wat aanbied zal het wel goed zijn lijkt het motto. En daar baseren ze dan zelf hun waarborg op.....

Je hebt het onderzoeksrapport hoop ik gelezen? Het was er al mis voor ze een indringer kregen.

Jammer, jammer, jammer - veel wol ...
Ja, Diginotar heeft gefaald. Ze hebben best practices nagelaten, zodat certificaatjes tegen weinig geld (en dus ook waarde) konden worden aangeboden. Dat is primair fout. Dat je daarna een inbraak en fraude niet meldt, is een doodzonde, voor Diginotar in dit geval de doodsteek. Als je overigens geen veiligheidsmaatregelen treft, weet je ook niet dat er ingebroken wordt ... :)
Daarnaast heeft de Opta wel degelijk wat te maken met CA's. Diginotar heeft PKI-Overheid verkocht, waarbij de overheid garant staat voor de "trust". De overheid dient dit dan ook te controleren, en ja, dit is inderdaad meer dan het kijken naar een procedure op papier. Overigens is hier de auditor ook wel wat te verwijten, het is niet alleen maar "dienst nach vorschrift", dus dat worden in ieder geval wat minder pegels voor die uurtjes schrijvers ...
Wat kunnen we hiervan leren:
1. iedereen schreeuwt over beveiliging - security - het is echter identity access management (ben je diegene wie je zegt te zijn)
2. de hele ophef en dreigende uitval wil niet zeggen dat men de security of identity access management niet goed heeft geregeld, maar zijn bedrijfscontinuïteit niet op orde heeft.
Als die certificaatjes zo belangrijk zijn, dan weten we dus precies waar ze geïnstalleerd zijn en wat er gedaan moet worden als de betrouwbaarheid niet meer is wat deze moet zijn.
Laat dat nu eens ergens uit een evaluatie komen. Om in oud Hollandse spreekwoorden te blijven:"wie de bal kaatst ..."
En gezien de reacties boven geldt dat niet alleen voor thuiswinkel.org