Uitlegparty: DigiNotar-debacle (update)

Uitlegparty: DigiNotar-debacle (update)

05-09-2011 13:15 Laatste update: 28-04-2018 21:48

De Iraanse hack van het Nederlandse DigiNotar leidde tot valse beveiligingscertificaten van tal van sites. Wat zijn de gevolgen? 



Het Nederlandse DigiNotar is een Certificaatautoriteit (CA). Zo'n bedrijf verleent digitale certificaten aan anderen. De certificaten bewijzen dat de site-eigenaar echt is wie hij beweert. Oftewel: dat je zeker weet dat je op een bepaalde site bent, en niet op een nepsite die is opgezet om je gegevens te stelen. Wordt er een vals certificaat uitgegeven, dan merk je misschien niet dat iemand je online communicatie afluistert.

Er zijn meerdere bedrijven die net als DigiNotar tegen betaling certificaten uitgeven. Wereldwijd zijn er zeker 500 CA's. Het Beverwijkse Diginotar, in januari overgenomen door het Amerikaanse Vasco, verzorgt via PKIoverheid ook de beveiligingscertificaten voor de Nederlandse overheid, zoals die van DigiD en de Rijksdienst voor het Wegverkeer.

Valse certificaten na hack

Half juni hebben hackers bij DigiNotar toegeslagen waarna ze vervalste certificaten voor tal van sites, waaronder Google.com, hebben uitgegeven. De aanvallers hebben ze kunnen gebruiken om Iraanse internetters om te leiden naar bijvoorbeeld een nepsite van Gmail, waarna ze mogelijk inloggegevens of communicatie hebben kunnen onderscheppen. Er volgde vorige week pas actie, nadat een Iranese dissident de hack had opgemerkt.

Daarna werd duidelijk dat er voor veel meer sites vervalste certificaten zijn uitgegeven via DigiNotar. Afgelopen weekend verstuurde de Nederlandse overheid een lijst van 531 sites waarvoor dat ook geldt.

Afluisteren

Onder de sites zijn alle bekende e-maildiensten, zoals Hotmail, Gmail en Yahoo Mail, populaire communicatiediensten als Messenger en Skype en de grootste sociale media als Facebook en Twitter. Maar op de lijst staan ook allerlei sites van inlichtingendiensten, zoals de Israëlische Mossad, de Amerikaanse CIA en de Britse MI6, alsmede sites van de Iraanse oppositie. Iraanse dissidenten die tegen het huidige regime zijn gebruiken al dit soort sites ook om te communiceren.

Iraanse internetters zijn via de vervalste certificaten om te leiden naar nepversies van sites, die voor hen niet altijd als zodanig zichtbaar zijn. Op die manier is mogelijk gevoelige informatie bij de Iraanse overheid terechtgekomen. De hackers hebben Perzische teksten die verwijzen naar het regime achtergelaten. Het is niet bewezen dat de Iraanse regering daadwerkelijk achter de hack zit, maar security-experts vinden dat wel het meest aannemelijk.

Ook Diginotar zelf denkt dat de hack politiek gemotiveerd was. Het bedrijf raadt Iraanse internetters aan hun browsers te updaten of de valse certificaten te blokkeren.

Gevolgen

Het pijnlijkste gevolg kan zijn dat Iraanse tegenstanders van het regime in de problemen komen vanwege onderschepte informatie. Europarlementariers verwijten Iran al jaren schending van de mensenrechten, ook in de beperking van de internetvrijheid. In dit geval is het een EU-bedrijf geweest die indirect heeft meegewerkt aan de repressie.

Ook voor allerlei Nederlandse overheidsdiensten, van online gemeentenloketten tot de digitale belastingaangifte, kunnen er gevolgen zijn. Die diensten zijn mogelijk niet veilig genoeg meer, of ze zijn tijdelijk uit de lucht. Minister Donner (Binnenlandse Zaken) heeft dit weekend zijn vertrouwen in Diginotar opgezegd. De Nederlandse overheid brengt zijn digitale certificaten voortaan onder bij andere bedrijven, waaronder Getronics PinkRoccade en Verisign.

Gemeenten moeten hun 3500 beveiligingscertificaten zelf vervangen. Ondernemers kunnen overigens nog wel zelf of via hun tussenpersoon belastingaangifte blijven doen. Het systeem zou volgens de Belastingdienst maandag 'voldoende aanvullende waarborgen voor een veilige aangifte' kennen. Over andere sectoren vindt volgens de regering nog 'een intensieve analyse plaats door overheid en betrokken bedrijfsleven'.

Stil gehouden

Voor DigiNotar zelf kan dit wel eens het einde betekenen. De eerste hack ontdekte het bedrijf eind juli, maar DigiNotar informeerde gedupeerden pas toen alles eind augustus via een Iraanse dissident naar buiten kwam. Diginotar was bovendien al eerder gehackt, zo blijkt uit een audit door F-Secure, die daarvan sporen vond.

De kans is groot dat DigiNotar na dit incident volledig zal worden buitengesloten en uit alle browsers zal worden verwijderd. Het Beverwijkse bedrijf deed nog niet eens aangifte. Er gaan in de Tweede Kamer al jaren stemmen op om het nalaten van aangifte in dit soort gevallen strafbaar te maken. Curieus: dezelfde minister Donner voerde een motie van de Kamer uit 2005 om precies dit strafbaar te stellen niet uit. Alle blunders lijkt DigiNotar niet meer te boven te komen: het imago is waarschijnlijk te zeer geschonden.

Gevolgen zijn er ook voor andere CA's. De 500 vergelijkbare bedrijven als DigiNotar moeten hun beveiliging opschroeven. Ook moeten CA's zich nu realiseren dat ze zo snel mogelijk na een hack dit bekend moeten maken. DigiNotar is het slechtst mogelijke voorbeeld. Het lijkt onwaarschijnlijk dat alleen Diginotar is gehackt, maar andere hackgevallen bij CA's zijn nog niet bekend.

Browsers en cyberoorlog

Reguliere browsers zullen in nieuwe updates valse DigiNotar-certificaten blokkeren. Bij mobiele browsers gaat dat een stuk langzamer, omdat gebruikers de software van hun telefoon minder vaak updaten dan bijvoorbeeld browsers als Chrome en Firefox tegenwoordig doen. Probleem is dat ook Android.com een van de domeinen op de lijst met vervalste certificaten is. Apple heeft ook nog niets bekendgemaakt over intrekken van de CA's van Diginotar en PKIoverheid.

Dit incident toont ook de zwaktes van het systeem van certificaten aan. Er zou meer toezicht op CA's moeten komen. Ook zou de macht van elke CA zijn in te perken. Waarom zou een klein Nederlands bedrijf een certificaat van het complete Google-domein mogen uitgeven? Waarom niet bijvoorbeeld alleen voor .nl-domeinen? Maar ook met dat soort maatregelen blijven, zoals technici al uitleggen, de fundamentele problemen bestaan. De certificaten vormen een statisch en hierarchisch systeem van vertrouwen, met alle risico's van dien.

Roel Schouwenberg van antivirusbedrijf Kaspersky denkt dat de Diginotar-hack uiteindelijk meer internationale gevolgen kan hebben dan Stuxnet, het opzienbarende wormvirus dat vorig jaar Iraanse kerncentrales platlegde. Schouwenberg: 'Dit zet eindelijk de cyberoorlog bij bijna alle Westerse overheden bovenaan de politieke agenda.' Dat zal tijd worden.

Update 21.00: Securitybedrijf Fox-IT heeft op verzoek van de rijksoverheid onderzoek gedaan naar DigiNotar. Wat blijkt? Allerlei beveiligingsmaatregelen bij het bedrijf ontbraken. Zo gebruikte DigiNotar niet eens een virusscanner. Ook was inloggen op de werkplek voldoende om toegang tot de systemen van de certificaten te krijgen.

Antivirusbedrijf Trend Micro ontdekte bovendien dat 40 Iraanse netwerken werden afgeluisterd. Als gevolg van de perikelen wordt Microsofts maandelijkse Patch Tuesday, met beveiligingsupdates, in Nederland vertraagd uitgevoerd. Allerlei online overheidsdiensten werken immers nog met de DigiNotar-certificaten. Fox-IT laat onderstaand filmpje zien waar de hack is misbruikt: vooral in Iran.