De hack bij het Nederlandse beveiligingsbedrijf DigiNotar is grootschaliger en geavanceerder dan gedacht. Dat blijkt uit navraag van Webwereld bij Vasco, de Amerikaanse beursgenoteerde eigenaar van het Beverwijkse DigiNotar.

Tientallen valse certificaten

In juli zijn - vermoedelijk - Iraanse hackers diep in het netwerk en de Certificate Authority (CA) infrastructuur van DigiNotar doorgedrongen. Daarbij zijn "tientallen" frauduleuze certificaten aangemaakt, bevestigt Jan Valcke, operationeel directeur van Vasco tegenover Webwereld.

De meeste van die valse certificaten zijn op 19 juli, kort na ontdekking van de hack, ingetrokken. Maar daarbij is er minstens één, mogelijk meerdere, over het hoofd gezien, ook door de externe auditor, die Vasco niet bij naam wil noemen.

Fouten gemaakt

"Er zijn hierbij door zowel DigiNotar als de externe audit fouten gemaakt," erkent Valcke. In het persverklaring stelde het concern dinsdag alle relevante regels en procedures te hebben gevolgd.

Een vals certificaat voor het gehele google-domein, werd pas afgelopen maandag ontdekt. Het werd gebruikt om Google en Gmail-accounts van Iraanse burgers te kapen om hen zo te kunnen bespioneren.

Meer slippertjes

Door het falen van DigiNotar en de gebrekkige externe controle kan Vasco kan “niet garanderen" dat er naast het frauduleuze Google-certificaat niet nog andere valse certificaten in omloop zijn. Valcke: “Als er ééntje tussendoor kan glippen, kan er ook een tweede of derde tussendoor glippen."

Het bedrijf benadrukt wel dat er slechts vanuit één subroot (de zogenaamde Public 2025 Root) voor een aantal domeinen 'ten onrechte' certificaten in omloop zijn gekomen. “Andere Roots zijn onaangetast gebleven", aldus het concern stellig. Maar die conclusie is voorbarig, omdat het externe onderzoek naar de cyberaanval, uitgevoerd door Fox-IT, nog zeker tot eind deze week loopt.

Lobby bij browsermakers

Desondanks lobbyt het concern nu zodat niet al zijn root certificaten, inclusief de PKI-versie voor overheidsdiensten, door browsermakers in de ban wordt gedaan. Deze overheidstak is voor DigiNotar veel belangrijker: het is een van de zes aangewezen uitgevers van certificaten afkomstig uit de root “Staat der Nederlanden".

Microsoft heeft echter al aangegeven voorlopig geen enkel certificaat van DigiNotar meer te vertrouwen, van welke root dan ook. Mozilla deed in eerste instantie hetzelfde voor Firefox, maar beperkte later de ban, zodat er geen waarschuwing meer wordt gegeven bij sites met PKI Overheid, zoals DigiD. Google is momenteel nog in overleg. De verwachting is dat de browserleveranciers binnen enkele dagen een patch met de wijziging zullen uitbrengen.

Bedrijven gratis naar PKI Overheid

Als tegemoetkoming kunnen gedupeerde klanten die gebruik maken van de commerciële root certificaten van DigiNotar kosteloos overschakelen naar een PKI Overheid certificaat die DigiNotar uitgeeft. Ze moeten daarvoor wel aan strengere regels voldoen. Het wachten is echter op een extern onderzoek om vast te stellen dat deze subroot voor overheden ook echt niet is gecompromitteerd.

Zowel het ministerie van BZK als overheidsbeveiliger Govcert zijn positief hierover. Govcert schrijft naar aanleiding van de kwestie: “Voor zover nu bekend zijn de beveiligingscertificaten van de PKIoverheid (“De Staat der Nederlanden") niet getroffen. Certificaten die door deze autoriteit zijn ondertekend, beschouwen wij op dit moment als nog steeds te vertrouwen."

Oude Microsoft webserver

Vasco doet ook nog onderzoek naar de verschillende defacements op de portalpagina's van DigiNotar. Dat lek wordt 'momenteel gefixed', zegt Valcke.

Uit onderzoek van Webwereld blijkt dat DigiNotar.nl draait op IIS 6.0, een sterk verouderde versie van Microsoft's webserver. Volgens Valcke is er mogelijk een verband tussen de defacements, die stammen uit 2009, en de recente geavanceerde cyberaanval op de CA core.

Maarten Bremer, directeur van SSL-certificatenaanbieder Xolphin, vindt de gang van zaken en de verklaring van Vasco merkwaardig.

“Vasco geeft aan op 19 juli een hack gedetecteerd te hebben, terwijl het certificaat al op 10 juli uitgegeven lijkt te zijn. Het is vreemd dat er wel certificaten zijn ingetrokken, maar dat het bij DigiNotar blijkbaar niet duidelijk was wat er exact is uitgegeven. Het verbaast mij dat men zo snel aangeeft dat de overheids CA niet gecompromitteerd is, terwijl men nog niet lijkt te weten wat er gebeurd is," zegt Bremer in gesprek met Webwereld.

Onder de maat

Kortom, na de pijnlijke hack is de ook de respons van DigiNotar onder de maat, vindt Bremer. Dat er daarnaast jarenlang defacements op gehackte pagina's van de site stonden is koren op de molen.

Daarnaast is Bremer “verbaasd" over het standpunt van het ministerie van BZK. "De uitleg die BZK geeft dat de hoofdsleutel bij hun in de kluis ligt, is in principe correct, maar de sleutel van een subroot hiervan, benodigd om de certificaten daadwerkelijk uit te geven is natuurlijk wel bij DigiNotar in bezit, anders kunnen zij hun werk niet doen."

Status PKIOverheid onzeker

"Het zou goed mogelijk zijn geweest dat de hacker onder het PKIOverheid root certificaten heeft uitgegeven, je hebt daar die hoofdsleutel absoluut niet voor nodig, die mag er zelfs niet eens voor gebruikt worden," vertelt Bremer.

DigiNotar zelf stelt dat de hackers alleen toegang hebben gehad tot één subroot voor commerciële SSL-certificaten. Maar dat moet het onderzoek van Fox-IT eerst nog maar eens uitwijzen, vindt Bremer.

Fox-IT directeur Ronald Prins bevestigt dat er momenteel forensisch onderzoek wordt gedaan naar de cyberaanval. Een eerste rapport zal naar verwachting eind deze week klaar zijn. DigiNotar belooft dat dit ook openbaar zal worden gemaakt.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.