Het onderzoek door Fox-IT wijst uit dat alle acht certificaatservers van DigiNotar in handen waren van de cyberinbreker. “De logbestanden waren over het algemeen opgeslagen op dezelfde servers die waren gecompromitteerd", schrijft het securitybedrijf in zijn eindrapport.

Sporen gewist

Niet alleen zijn die logbestanden daardoor niet goed te vertrouwen, Fox-IT heeft ook concreet bewijs gevonden dat de logs zijn vervalst. Het gebrek aan meer aanwijzingen van ongeautoriseerde toegang kan volgens het securitybedrijf dus niet gebruikt worden om de conclusie te trekken dat er geen ongeautoriseerde handelingen zijn gepleegd.

Fox-IT heeft in zijn forensisch onderzoek ook op meerdere DigiNotar-certificaatservers serienummers ontdekt van certificaten die niet stroken met de officiële bestanden van het gehackte bedrijf. Onder de betreffende servers ook de Qualified-CA server die werd gebruikt om certificaten voor de Nederlandse overheid aan te maken. Daarnaast diende die computer voor de aanmaak van - veel strikter gereguleerde - qualified certificaten, waarmee digitale handtekeningen zijn aan te maken.

Deze bevinding is ook al gemeld in het interim rapport van september vorig jaar. Het inmiddels allang failliete DigiNotar heeft dat toen nog tegengesproken. De gehackte firma noemde het interim rapport van Fox-IT “twijfelachtig", maar wist die aantijging niet met feiten te onderbouwen.

Meer valse certificaten

De ontdekking van de serienummers geeft volgens Fox-IT aan dat de DigiNotar-servers mogelijk zijn gebruikt om meer oneigenlijke certificaten aan te maken. Die aanvullende valse certificaten zouden tot op heden nog onbekend zijn, aldus het definitieve rapport van augustus dit jaar dat nu is geopenbaard.

De DigiNotar-hack is bij toeval ontdekt, in augustus vorig jaar, toen een Iraanse Gmail-gebruiker een vreemde melding kreeg in zijn webbrowser Chrome. Google heeft die eigen software voorzien van aanvullende certificaatcontrole, wat het valse certificaat blootlegde. Het gebruik van een vals certificaat maakt het mogelijk beveiligd netwerkverkeer om te leiden en af te tappen. Dit is volgens het eindrapport gebeurd voor zo'n 300.000 gebruikers, die “zich nagenoeg exclusief bevonden in de Islamitische Republiek Iran".

'Geen andere inzichten'

“Het eindrapport bevat geen andere inzichten of conclusies ten opzichte van het interim rapport, dat u op 5 september 2011 is aangeboden", schrijft minister Liesbeth Spies aan de Tweede Kamer. Zij stuurt het definitieve rapport aan de Kamer, omdat haar voorganger dit eerder al heeft toegezegd.

Voormalig BZK-bewindsman Piet Hein Donner heeft bij het uitbreken van de DigiNotar-crisis vergaande noodmaatregelen genomen, aangekondigd op een nachtelijke persconferentie. Daarbij heeft hij het aanvankelijke rapport van Fox-IT nog enige tijd onder de pet gehouden.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.