Het onderzoek naar de vergaande cyberinbraak bij DigiNotar is uitgevoerd door cybercrimespecialist Fox-IT. Dat ict-bedrijf is ingeschakeld toen de hack eind augustus aan het licht kwam. Een frauduleus certificaat voor Google bleek toen actief misbruikt te zijn om het Gmail-verkeer van mensen in Iran af te tappen. Afgelopen zaterdag is een constatering uit het onderzoek al naar buiten gekomen: heel DigiNotar is gepwnd.

Verder blijken ook geheime diensten van de Verenigde Staten, Groot-Brittannië en Israël doelwit te zijn geweest. Voor de domeinen van de CIA, MI6 en de Mossad zijn ook frauduleuze beveiligingscertificaten aangemaakt. Zondagavond is daar nog bovenop gekomen dat de Iraanse cyberinbrekers een certificaat voor Windows Update hebben uitgegeven. Daarmee is in theorie spyware te installeren op Windows-pc's.

Uitstel publicatie

Het rapport over de inbraak, die eigenlijk begin juli al plaatsvond maar toen is stilgehouden, zou eigenlijk afgelopen vrijdag al uitkomen. Maar ceo Ronald Prins van Fox-IT liet vrijdagmiddag ineens weten via Twitter dat het een dag was uitgesteld. Dat uitstel blijkt te zijn opgerekt tot voorbij het weekend. Prins heeft Webwereld laten weten dat de Tweede Kamer het rapport maandag krijgt.

Het ministerie van Binnenlandse Zaken (BZK) heeft plots vrijdagnacht een persconferentie belegd waarin het vertrouwen in de certificaten van DigiNotar geheel is opgezegd. Daarbij gaat het dus niet alleen over de gecompromitteerde commerciële certificaten, zoals die voor Google en vele andere websites. De ban van de Nederlandse overheid treft ook juist de overheidscertificaten.

Voorbarige geruststelling

De afgelopen week hebben betrokken partijen juist volgehouden dat het overheidsdeel van DigiNotars activiteiten op “volledig gescheiden systemen" draait en dat de hackers daar niet zijn binnengekomen. Dit terwijl het onderzoek nog liep én al was gebleken dat DigiNotar zelf de omvang van de kraak niet goed doorhad.

De certificaatverstrekker heeft de inbraak op 19 juli ontdekt en toen maatregelen getroffen. Het heeft een audit gedaan en het heeft certificaten die zijn aangemaakt door de inbrekers ingetrokken. Eind augustus is DigiNotar door ict-beveiligingsorgaan GovCERT gewezen op het frauduleuze Google-certificaat, formeel ondertekend door DigiNotar. De eigen analyse en aanpak van de inbraak bleken dus onder de maat.

Escalatie van affaire

In de afgelopen week zijn meerdere extra ontdekkingen gedaan in deze affaire. Zo bleek de website van het bedrijf al sinds 2009 gehackt, waarvan tot afgelopen week de gevolgen nog zichtbaar waren. Verder bleek dat de certificaatfraudeurs meer van die digitale beveiligingszegels hebben aangemaakt. Ook weet DigiNotar zelf niet hoeveel frauduleueze certificaten er nog rondwaren.

Verder heeft overheidsorgaan GovCERT op basis van DigiNotars eigen inschattingen browsermaker Mozilla ervan weerhouden een volledige ban in Firefox in te stellen. Die browser krijgt alsnog een compleet verbod op DigiNotar-certificaten. Tot eind afgelopen week zijn er nog 247 certificaten door Google op de zwarte lijst gezet voor Chrome.

Politieke ophef

Dit alles had donderdag al geleid tot Kamervragen, gesteld door de PVV. Die gingen met name over de impact van de cyberinbraak op Nederlandse overheidsdiensten. Die vragen zijn effectief beantwoord met de vrijdagnacht aangekondigde stappen.

Daarbij trekt het ministerie van BZK het operationele beheer weg bij DigiNotar, stapt het over op certificaten van andere verstrekkers, en gaat het tijdens de gefaseerde overgang monitoren op oneigenlijk gebruik van DigiNotar-certificaten voor overheidssites. Een in praktische zin nog openstaande vraag van de PVV over onderzoek naar de betrokkenheid van Iran wordt volgens PowNews ook bevestigend beantwoord.

De SP heeft van het weekend laten weten een parlementair onderzoek te eisen. De ict-beveiliging van en door de overheid moet scherp doorgelicht worden. De DigiNotar-affaire is de druppel die de emmer doet overlopen, aldus de SP. De partij verwijst daarbij ook naar eerdere missers met de OV-chipkaart en DigiD, dat overigens DigiNotar-certificatie gebruikt.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.