De cyberinbraak bij het Beverwijkse DigiNotar krijgt steeds grotere dimensies, nu blijkt dat de hackers valse beveligingscertificaten hebben getekend voor de sites van de Amerikaanse, Britse en Israëlische inlichtingendiensten.

De hackers hebben in totaal ten minste 247 valse certificaten aangemaakt. Het was al bevestigd dat één daarvan voor het Google-domein was, zodat het Iraanse regime bijna twee maanden Google- en Gmailaccounts van burgers heeft kunnen aftappen.

Geheime diensten en CA's

Maar de lijst met valse certificaten gaat veel breder en dieper dan tot nog toe gedacht. Ergens in juli hebben de hackers via de Certification Authority (CA) infrastructuur van DigiNotar werkende certificaten ondertekend voor www.CIA.gov, *.mossad.gov.il, en www.sis.gov.uk, de site van de Britse inlichtingendienst MI6.

Bovendien zijn een aantal valse certificaten aangemaakt voor andere grote CA's, zoals VeriSign en Twawte, in een poging ook hun autoriteit te kunnen misbruiken.

Het is nog onbekend of de hackers er ook in zijn geslaagd om deze explosieve certificaten succesvol in te zetten voor cyberspionage.

De lijst met doelwitdomeinen werd zaterdag gepubliceerd door Gervase Markham, programmeur bij Mozilla. Betrouwbare bronnen bevestigen Webwereld dat dit inderdaad de domeinen zijn waarvoor valse DigiNotar-certificaten zijn ondertekend. Ook Adam Langley, security-engineer van Chrome bij Google, laat Webwereld weten dat het klopt, ook hij heeft dezelfde lijst.

Sexy en gênant

Chris Soghoian, die onderzoek doet naar cybersecurity en privacy aan de Indiana University, vindt de lijst met domeinen “intrigerend". Maar hij prikt resoluut het beeld door dat Teheran hierdoor de netwerken van de CIA, Mossad en MI6 zou hebben kunnen penetreren.

“De valse certificaten voor domeinen van deze geheime diensten vind ik nog het minst alarmerend. Dat de Iraanse overheid certificaten bemachtigd voor de sites van CIA, Mossad en MI6 is sexy, maar eigenlijk alleen heel gênant."

Het zou wel goed kunnen leiden tot nader onderzoek in de VS, Engeland en Israël, denkt Soghoian. “Niemand wil natuurlijk gesnapt worden met z'n broek naar beneden, dus dat is aanleiding voor vragen, vooral vanuit de media en de politiek. Maar er staat echt geen gevoelige of geheime informatie op deze domeinen. Dat staat op aparte, afgesloten netwerken."

Burgers online bespioneerd

Daarmee wil Soghoian de impact van de DigiNotar-hack zeker niet bagatelliseren. “Dat er ook valse certificaten voor een aantal grote CA's bij staan, is namelijk wel alarmerend. Maar het meest zorgwekkend zijn toch de certificaten voor sites als Facebook en Google. Maar ook bijvoorbeeld Walla, een van de grootste webmaildiensten in Israël." Hiermee konden de hackers, en by proxy waarschijnlijk het Iraanse regime, de accounts en digitale communicatie van miljoenen mensen aftappen.

Soghoian volgt de kwestie op de voet en vindt het onbegrijpelijk dat DigiNotar geen volledige lijst met valse certificaten heeft vrijgegeven.

“Comodo bijvoorbeeld gaf meteen openheid van zaken nadat ze waren gehackt. DigiNotar heeft het voor iedereen verzwegen. De browsermakers hebben daardoor niet alleen geen vertrouwen meer in de certificaten van DigiNotar, maar ook totaal geen vertrouwen meer in het bedrijf zelf. Dát is de reden dat ze DigiNotar nu hebben doodverklaard."

Nederlandse sites onbereikbaar

Google heeft inmiddels een update doorgevoerd zodat Chrome geen enkel DigiNotar certificaat, ook niet van PKIoverheid, meer vertrouwt. Mozilla en Microsoft zullen naar verwachting snel volgen. “We zijn bezig om alle DigiNotar CA's naar de Untrusted Root Store over te zetten, zodat elke site die DigiNotar CA certificaten gebruikt wordt geblokkeerd", tweette het Microsoft Security Response team zondagnacht Nederlandse tijd.

Ondertussen heeft Paul van Brouwershaven van Networking4all een lijst gemaakt met Nederlandse sites die nog gebruik maken van DigiNotar. Al die sites zullen binnen enkele dagen onbereikbaar zijn als ze niet halsoverkop overstappen op een andere CA.

Govcert heeft vertrouwen verkwanseld

Deze sites hadden meer tijd gehad als Govcert en Logius geen sussende en onjuiste informatie zouden hebben verspreid, constateert Chris Soghoian: “Govcert vroeg de browsers om de PKIoverheid CA's te blijven vertrouwen, maar is daarbij afgegaan op onjuiste en onvolledige informatie van DigiNotar!"

Ook de reactie van de overheid classificeert Soghoian als 'too little, too late'. “De Nederlandse overheid en Govcert hebben door traag en fout handelen het vertrouwen van de browsermakers voor lange tijd verspeeld. Want vertrouwen komt te voet en gaat te paard. Ik mag hopen dat dit een enorme wake up call is voor de Nederlandse overheid. Het is tijd voor een grote schoonmaak."

Stekker uit DigiNotar

En DigiNotar zelf? Soghoian: “Als ze niet zelf failliet gaan, dan zou de rechter een faillissement moeten afdwingen. Dit bedrijf mag nooit meer één certificaat ondertekenen. Niet vanwege hun brakke security, maar vanwege hun roekeloze respons. Ze hebben daarmee onnodig andere mensen op het internet in gevaar gebracht."

De resultaten van het forensische onderzoek van Fox-IT naar de spectaculaire cyberinbraak bij DigiNotar worden naar verwachting maandag naar de Tweede Kamer gestuurd.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.