5 beveiligingsflaters van DigiNotar - update

door

afkeuren

door

De Vijf - Het Nederlandse DigiNotar gaat flink de fout in. De verstrekker van beveiligingscertificaten voor overheidsdiensten, waaronder DigiD, is gehackt en stapelt vervolgens flater op flater.

Update:
Vrijdagnacht heeft minister Donner van Binnenlandse Zaken (BZK) bekend gemaakt dat de Nederlandse overheid afstapt van alle DigiNotar-certificaten. Overheidssites lopen mogelijk toch risico, wat de afgelopen week stelselmatig is ontkend door de betrokken partijen.

Gepwnd

De eerste flater - al hadden ze eerder ook al eens geblunderd - is dat DigiNotar is gehackt. Dat Nederlandse bedrijf is een zogeheten Certificate Authority (CA) en verstrekt digitale certificaten voor beveiligd dataverkeer. Een beveiligingsbedrijf dat wordt gepwnd, eigenlijk als middel en niet eens als doel. Net zoals encryptieleverancier RSA. Net zoals een reseller van certificaatautoriteit Comodo. DigiNotar is dus niet de eerste en is flink gepwnd.

Nog onbekende inbrekers zijn er op of vóór 10 juli binnengekomen. Die datum is gebaseerd op het tijdstempel van het uitgegeven frauduleuze Gmail-certificaat, waardoor heel DigiNotar-gate aan het licht is gekomen. Het bedrijf zelf heeft de inbraak pas op 19 juli ontdekt en heeft dat toen stil gehouden, ze hebben zelfs geen aangifte gedaan. De hackers hebben dus zeker een week naar hartelust eigen certificaten aan kunnen maken.

Dat zijn beveiligingskeurmerken die formeel ondertekend zijn door DigiNotar en dus als valide worden geaccepteerd. Bijvoorbeeld door browsers die vanuit een land als Iran een beveiligde verbinding via https maken met Gmail. Alleen bleek dat dus in veel gevallen niet Gmail te zijn, maar overheidsservers die het beveiligd lijkende verkeer aftappen.

Oh, en het certificaat was niet specifiek voor Google's webmaildienst, maar voor het hele domein. Dus kon het ook worden misbruikt voor andere diensten van die internetreus. Denk aan Docs, Blogger, of het kleine sociale netwerk Google+, en chatdienst GTalk, dat ook werkt ín Gmail.

Eentje gemist

Na DigiNotars ontdekking op 19 juli van de inbraak heeft het natuurlijk maatregelen genomen. Zoals het laten uitvoeren van een audit en het intrekken van valse certificaten. Overigens zonder daar ruchtbaarheid aan te geven. Alleen blijken die maatregelen niet veel voor te stellen en heeft de audit ook wat laten liggen.

Zoals dus het certificaat voor Gmail. Waar overheidsorgaan Govcert het bedrijf op heeft moeten wijzen. Dit ondanks DigiNotars eigen verklaring dat het na de ontdekking in juli “alle regels en procedures heeft nageleefd". En ondanks dat uit "een externe audit" is gebleken dat alle frauduleuze certificaten waren ingetrokken. Niet dus.

Daar is Diginotar dus op gewezen door Govcert, dat in de regel met informatievoorziening komt (niet te verwarren met adviezen) als er cyberkwaad is geschied. Dat heeft vervolgens algemene maatregelen aangedragen waarvan het zelf al aanneemt dat Govcert-deelnemers die al hebben genomen. Het beveiligingsorgaan heeft zijn werk nu goed gedaan. Tenminste, in eerste instantie.

Onwetend

Er is dus bij de eigen controle én de externe audit een certificaat gemist. Oeps. In ieder geval eentje: die voor Google. Oh, en mogelijk nog “een aantal", laat DigiNotar-moederbedrijf Vasco na enige tijd stilte weten. Hoezo 'een aantal'? Nou, het is niet helemaal bekend hoeveel certificaten de cyberinbrekers hebben aangemaakt in en met de systemen van DigiNotar. Zijn de logbestanden daarin niet duidelijk, of zijn die ook gesaboteerd, of is er iets anders mis mee? Wie het weet, mag het DigiNotar vertellen.

Er zijn hoe dan ook vele certificaten vervalst, die ook nog in omloop waren na de intrekactie van juli. Uit analyse van de broncode (Chromium) van Google's webbrowser Chrome blijkt namelijk dat er op 31 augustus nog certificaten van DigiNotar op de zwarte lijst zijn gezet. Certificaten voor onder meer de addon-site van Firefox-maker Mozilla, anonimiseringsdienst Tor Project, webmailaanbieder Yahoo, en blogdienst WordPress.

Google blokkeert in zijn browser in totaal nu 247 DigiNotar-certificaten. De browsermaker neemt namelijk net als Microsoft en Mozilla eigen maatregelen door bepaalde certificaten te blokkeren. Dit in afwachting van onderzoek en eventuele intrekking door de officiële verstrekker.

Maar Mozilla heeft op de valreep afgezien van een algehele DigiNotar-blokkade. Waarom? Omdat de Nederlandse overheid, dus niet DigiNotar of moederbedrijf Vasco, daarop heeft aangedrongen. De open source-stichting die Firefox maakt, is te verstaan gegeven dat de certificaten van DigiNotar in orde zijn.

Alleen hoe kan dat, door wie dan ook, met zekerheid gezegd worden voordat het onderzoek is afgerond?

Blind vertrouwen

Nou, DigiNotar zelf weet te zeggen dat alles ok is: 'negeer browserwaarschuwingen over onveilige certificaten'. Die zijn “in 99,9% van de gevallen onjuist, het certificaat kan wel worden vertrouwd." Een boude stelling waar onder meer Neerlands hacker van het eerste uur Rop Gongrijp zich over verbaast. Vervolgens verwijst DigiNotar naar de FAQ waar het uitlegt hoe eindgebruikers hun browser kunnen instellen om DigiNotar-certificaten toch te vertrouwen.

Ook DigiD-certificaatbeheerder Logius sust de ophef. “Er is geen enkele indicatie" dat er frauduleuze certificaten voor overheidsdiensten, zoals DigiD, zijn uitgegeven, weet de overheidsorganisatie te melden vóórdat Fox-IT het onderzoek naar deze cyberinbraak heeft uitgevoerd.

Logius baseert deze geruststelling op de procedures zoals die er nu zijn en de scheiding van processen voor gewone en voor overheidscertificaten. Dat is een redenering die DigiNotar ook aanhangt en waar Govcert op vertrouwt: “vooralsnog is er geen reden om aan te nemen dat de fraude impact heeft voor de websites van de Nederlandse overheid".

Uiteenlopende beveiligingsexperts en zelfs de Hobby Computer Club weten beter. De Nederlandse oer-club voor computeraars spreekt de officiële geluiden tegen in een breed uitgestuurd persbericht. “DigiNotar heeft IT-beveiligingsbedrijf Fox-IT benaderd om onderzoek te doen naar de risico's. HCC raadt iedereen aan sites met waarschuwingen niet te bezoeken in ieder geval totdat de resultaten van dit onderzoek bekend zijn."

Alleen lijkt een organisatie als Govcert dat laatste in de wind te slaan. Die overheidsinstantie heeft met succes bij Mozilla gelobbyd voor DigiNotar. De Firefox-maker is benaderd om de geplande algehele blokkade van DigiNotar-certificaten, die al was doorgevoerd in de zogeheten 'nightly build' van Firefox, af te zwakken. Mozilla heeft daar gehoor aan gegeven; het is immers de Nederlandse overheid die zegt dat het wel veilig is.

Sinds 2009 gehackt

Vertrouwen is natuurlijk wel waar het om gaat bij certificaten. Daarom heeft Mozilla het officiële beveiligingsorgaan Govcert geloofd, dat op zijn beurt vertrouwt op Logius en DigiNotar. Laatstgenoemde handelt volgens het oorspronkelijke eigen logo ook in 'internet trust services'. Waarbij het intern ook vertrouwen heeft in de eigen beveiliging van de certificaatsystemen en in bijvoorbeeld de integriteit van de eigen website.

Oeps, die website is gehackt. Al in 2009, door verschillende hackers, die claimen Turks en Iraans te zijn. Zij zijn binnengedrongen op DigiNotar.nl, wat draait op de oude Microsoft-webserver IIS 6.0. Onduidelijk is hoe diep de hackers zijn doorgedrongen. In ieder geval hebben de daders via geïnjecteerde tekstbestanden hun boodschappen achtergelaten, die tot midden deze week nog gewoon online stonden.

Opvallend is dat deze website-inbraak tot het uitbreken van DigiNotar-gate niet is aangepakt. Het lijkt aannemelijk dat het tot deze week zelfs niet is opgemerkt. Want een website-defacement jarenlang live laten staan, is niet zo goed voor het vertrouwen. Het is onwaarschijnlijk dat er een verband is met de certificaatinbraak van juli. Dat hoopt de ontdekker van deze antieke maar onlangs nog live staande webkraak tenminste, hoofdonderzoeker Mikko Hypponen van beveiligingsbedrijf F-Secure.

Helaas, die hoop moeten we ondermijnen. Operationeel directeur Jan Valcke van DigiNotar-moederbedrijf Vasco vertelt Webwereld dat er mogelijk wel een verband is. Op zich verstandig: niets uitsluiten, niet zomaar aannemen dat iets veilig is, ook niet als het onwaarschijnlijk lijkt. Zeker niet voordat er een gedegen, grondig onderzoek is geweest. Als je in dit soort situaties aanneemt dat het wel ok is, waar hebben we dan eigenlijk certificaten en CA's als DigiNotar en Comodo voor nodig?

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.