Deze nieuwe kritische blik op het gehackte bedrijf, dat de cyberinbraak lang stil heeft gehouden en heeft gebagatelliseerd, is formeel een 'feitenonderzoek'. Dit volgt op politieke geluiden dat DigiNotar aansprakelijk gesteld moet worden en ook strafrechtelijk vervolgd. Het bedrijf heeft enerzijds de overheid benadeeld, die nu op grote schaal in hoog tempo certificaten moet vervangen, en anderzijds heeft het dissidenten in Iran in gevaar gebracht.

In juni al gezien

Het blijkt nu dat de cyberinbraak niet alleen begin juni al is gepleegd, maar dat DigiNotar het toen ook al heeft gedetecteerd. Vervolgens zijn er in juli de eerste frauduleuze certificaten aangemaakt, voor onder Google.com inclusief subdomein daarvan (zoals mail.google.com). Dat certificaat is eind juli voor het eerst actief gebruikt om beveiligd Gmail-verkeer vanuit Iran af te tappen.

Uiteindelijk is dit misbruik eind augustus gemeld aan GovCERT in Nederland, door hun Duitse collega's (CERT-BUND) die het hadden opgemerkt. Het ict-beveiligingsorgaan van de Nederlandse overheid heeft toen DigiNotar ingelicht. Dat bedrijf had in juli een eigen onderzoek ingesteld en daarna maatregelen genomen. Maar het heeft de hele zaak stilgehouden; betrokken sites, browsermakers, GovCERT en de Nederlandse overheid wisten nog van niets.

Vernietigend rapport

Het vorige week uitgevoerde forensische onderzoek door de Nederlandse ict-securityspecialist Fox-IT heeft een vernietigend rapport (PDF) opgeleverd. De publicatie van dat verslag is tot twee maal toe uitgesteld en uiteindelijk gisteravond laat nog vrijgegeven. De Tweede Kamer heeft het toegezonden gekregen.

Op zaterdag heeft de Rijksoverheid al een schokkende ontdekking uit dat rapport gelekt. De DigiNotar-systemen voor het verstrekken van certificaten voor overheidssites en -diensten waren ook gehackt. Uit het rapport blijkt nu dat die systemen niet “volledig gescheiden" waren, wat DigiNotar vorige week nog wel beweerde. De fysiek wel apart staande machines zijn namelijk gekoppeld geweest aan het reguliere netwerk van het bedrijf, ontdekte Fox-IT.

Basisfails

Bovendien bestaat dat netwerk uit één enkel Windows-domein. Daardoor waren alle computers in dat domein toegankelijk vanaf elke werkplek-pc, waarop accounts ook nog eens zwakke wachtwoorden hadden. Die waren makkelijk te kraken met een brute force-aanval, schrijft Fox-IT in het rapport, wat formeel nog een interim-verslag is.

De meest kritieke servers waren dan ook flink besmet met malware. Die besmetting liep uiteen van speciaal maatwerk tot de standaard-hacktool Cain & Abel. Die kwaadaardige software wordt normaliter wel gedetecteerd door antivirussoftware, schrijft Fox-IT. Alleen had DigiNotar geen visusscanners draaien op de kritieke machines.

Via antieke webservers

Er was wel een inbraakdetectiesysteem in gebruik, maar dat is niet aangeslagen op de cyberinbraak. Het is Fox-IT op dit moment niet duidelijk waarom die 'intrusion prevention' zelfs niet een deel van de externe aanval heeft afgeslagen. Het ontbreekt namelijk ook aan centrale logging voor het netwerk.

De inbraak is gepleegd via de externe webservers van DigiNotar, die verouderde en ongepatchte software draaiden. Vorige week is al gebleken dat de website DigiNotar.nl in 2009 meermaals is gehackt. Die zogeheten 'defacements' zijn sindsdien niet opgeruimd. Dat is pas vorige week gebeurd toen de hele affaire aan het licht kwam en vervolgens steeds verder escaleerde.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.