Wikileaks bouwt DigiNotar-alternatief
Gepubliceerd: Dinsdag 25 oktober 2011
Auteur: Bas Bareman
Wikileaks stapt af van certificaten, omdat die "onbetrouwbaar" zijn. Het komt met een eigen, veilig systeem voor klokkenluiders. "Geen enkele https-verbinding is nog te vertrouwen."
Wikileaks-woordvoerder Julian Assange kondigde het systeem maandagmiddag aan op een persconferentie in Londen. Het moet dienst doen als vervanging voor het huidige certificatiesysteem voor internetbeveiliging, wat volgens hem onveilig is.
Alternatief systeem
Assange meldt dat steeds meer inlichtingendiensten infiltreren bij autoriteiten die beveiligingscertificaten tekenen. Klokkenluiders lopen hierdoor volgens hem gevaar wanneer zij op websites als Wikileaks anoniem tips willen versturen. Wikileaks biedt daarom binnenkort een alternatief voor het certificatiesysteem. De details van het systeem worden op 28 november bekend gemaakt.
"Dit beveiligingsprobleem (infiltratie) treft alle online webgebaseerde transacties van informatie", meldt Assange, "Online bankieren en https-verbindingen zijn allerminst veilig. Dit wisten we al sinds 2010, maar het probleem is zo ernstig geworden dat we er geen vertrouwen meer in hebben."
Diginotar schoolvoorbeeld
Volgens Assange is Diginotar hiervan een schoolvoorbeeld. "Iraanse inlichtingendiensten braken in op het systeem en tekenden valse beveilingscertificaten. Hierdoor werd alle informatie op Facebook en Gmail onderschept via man-in-the-middle-aanvallen." Via dergelijke aanvallen kunnen hackers alle informatie tussen een gebruiker en een webdienst onderscheppen.
Assange stelt dat niet alleen de penetratie van inlichtingendiensten in certificatiesystemen het probleem is. Een aantal certificatie-autoriteiten is volgens hem volledig in handen van overheden of overheidsinstanties. "De certificatie-autoriteiten zijn ingebed in wettelijke en politieke kaders. Inmening van de politiek bij dergelijke autoriteiten zijn een groot risico voor Wikileaks en zijn bronnen."
Wikileaksvarianten
Assange wijst vervolgens op een aantal onveilige Wikileaks-varianten. De Amerikaanse krant The Wall Street Journal zette begin mei een database op genaamd 'Safehouse'. Klokkenluiders konden via Safehouse anoniem tips insturen. Experts verguisden het systeem vanwege de slechte beveiliging.
Assange: "Ook Al Jazeera kwam met een soortgelijk meldingssysteem. Ze hebben het systeem inmiddels offline gehaald omdat de beveiliging niet te vertrouwen is."
Einde Wikileaks?
Assange meldde eerder op de persconferentie dat Wikileaks gedwongen was te stoppen met zijn dienst vanwege de financiële blokkades door grote creditcardmaatschappijen.
De klokkenluiderssite start met de laatste geldreserves een offensief om te voorkomen dat donaties aan Wikileaks nog langer worden geblokkeerd door de creditcard-maatschappijen. .
