Alles is kraakbaar

Veel internetbanken en webwinkels gebruiken verouderde software.

Een Nederlander vond een lek in de beveiliging van hun transacties via internet.

Alles is kraakbaar Dus ook uw banktransacties op internet Metal Safe beveiliging
Alles is kraakbaar Dus ook uw banktransacties op internet Metal Safe beveiliging Jupiterimages

U bankiert op internet? U shopt vanaf uw pc? U verstuurt vertrouwelijke e-mails? En u denkt dat zulke handelingen veilig verlopen?

Dat is meestal ook zo.

Maar om het zo te houden, moeten internetbeheerders vooral luisteren naar cryptograaf Marc Stevens, promovendus aan het Centrum Wiskunde & Informatica (CWI) in Amsterdam, en zijn collega’s. Zij hebben software waarmee ze in principe de ‘grootste internetkraak’ van de laatste jaren zouden kunnen zetten. Vorige week demonstreerde Stevens de werking ervan op een congres voor cryptografen en hackers in Berlijn, zonder cruciale details prijs te geven.

Kijk in gedachten even mee. Interessant zijn de beveiligde verbindingen (het webadres begint dan met https) naar sites van banken en winkels. Bij een bezoek verschijnt op het scherm een slotje: dat icoontje garandeert de betrouwbaarheid van de site en de bijbehorende internetverbinding. Het vertelt dat uw internetbrowser het veiligheidscertificaat van de betreffende site heeft goedgekeurd. Als u er op klikt, kunt u zien welke Certification Authority (CA, de hoogste beveiligingsinstanties van internet) dat certificaat verleende, en hoe lang de veiligheidsgarantie geldig is.

Hier komen Stevens en zijn collega’s uit Eindhoven, Lausanne en Californië in beeld. Zij kunnen zo’n CA-certificaat namaken, compleet met de unieke digitale handtekening van een van de Certification Authorities. Die wisten ze aan een wereldwijd opererende CA te ontfutselen, dankzij een al langer bekende zwakte in de zogeheten MD5-hashfunctie (MD5-software kan voor elk computerbestand een ‘hash’ berekenen: een digitale vingerafdruk bestaande uit 32 karakters, waarmee je een bestand verzegelt).

Een expert die hard werkt en alle toegankelijke literatuur kent, kan het hem in één tot drie maanden nadoen, schat Stevens. En zoiets wordt gevaarlijk als zo’n vals CA-certificaat aan bijvoorbeeld een vervalste site voor internetbankieren komt te hangen.

Eerder liet Dan Kaminsky, een onafhankelijke Amerikaanse beveiligingsexpert, al zien hoe gebruikers ongemerkt naar een vervalste site kunnen worden gevoerd. Dankzij het valse CA-certificaat kunnen ze daar nu verder om de tuin worden geleid, en nietsvermoedend transacties uitvoeren. Vervalsers kunnen intussen die transacties – bedragen, rekeningnummers – naar wens aanpassen.

In theorie.

Want Stevens en zijn collega’s hebben uit voorzorg de valse certificaten meteen laten verlopen: ze zijn, of liever waren, alleen geldig in augustus 2004. De groep heeft bovendien de CA’s verwittigd, en de grote internetbrowsers. Stevens: „We zien dit als een waarschuwing aan internetpartijen: gebruik voor beveiligingsdoeleinden niet langer MD5-software.”

Het was al slecht nieuws toen de Chinese cryptografe Xiaoyun Wang in 2004 liet zien dat twee verschillende documenten toch dezelfde MD5-hashwaarde konden opleveren. Het betekende dat MD5 de betrouwbaarheid van bestanden niet voor 100 procent kon garanderen. Maar omdat Wang geen methode had om de hashwaarde van een willekeurig document te dupliceren, leek haar vondst in de praktijk vrij ongevaarlijk. Tot Stevens, toen nog masterstudent in Eindhoven, twee jaar geleden liet zien dat MD5 óók voor twee willekeurige internetbestanden dezelfde hashwaarde kan uitrekenen.

Samen met collega’s uit Californië vlooide Stevens de structuur van veiligheidscertificaten uit: het serienummer, de volgorde en de lengte van alle coderingsinformatie ervan, enzovoort. Het leverde een vals certificaat op, waarmee certificaten voor willekeurig websites gemaakt kunnen worden.

Stevens wil niet speculeren over de reden waarom MD5 nog steeds gebruikt wordt, maar heeft de indruk dat de bezwaren van cryptografen en wiskundigen een beetje snel als ‘puur theoretisch’ zijn weggewuifd. Stevens: „Tussen die eerste theoretische aanwijzingen uit 2004 en dit praktijkvoorbeeld zit maar vier jaar. Dat lijkt me een belangrijke les.”