Gehackt door Iraniërs

Hoe konden Iraanse hackers bij een Nederlands bedrijf inbreken en zo Gmail afluisteren?

Tien vragen.

De internetwereld is zo verweven dat als de Iraanse overheid haar burgers wil bespioneren de Nederlandse belastingdienst problemen krijgt en minister Donner hier ’s nachts op tv verschijnt. Want Iraanse hackers pikten geheime codes van een bedrijf dat – toevallig – óók de beveiliging verzorgt van Nederlandse overheidswebsites. Het gehackte bedrijf, DigiNotar, maakt ‘beveiligingscertificaten’ die echtheid en betrouwbaarheid van websites garanderen.

Uit naam van DigiNotar hebben de hackers honderden certificaten geproduceerd, waarmee geprobeerd werd verkeer van en naar Google/websites (waaronder Gmail) te onderscheppen. Ook Skype, de CIA, de Israëlische geheime dienst Mossad en andere certificaatleveranciers blijken doelwit te zijn geweest. Van dit soort grote inbraken bij certificaatleveranciers hoor je zelden en beveiligingsexperts zijn in rep en roer.

1 Wat hebben DigiD en Nederlandse overheidssites met deze inbraak te maken?

Webbrowsers als Microsoft Internet Explorer, Mozilla Firefox en Google Chrome bevatten elk een lijst van alle certificaatleveranciers (vele tientallen) die automatisch worden vertrouwd. DigiNotar is nu van die lijsten geschrapt.

En dus krijgt iemand die probeert in te loggen op een website met een DigiNotar-certificaat een veiligheidswaarschuwing te zien (als de webbrowser tenminste up-to-date is). Een groot aantal Nederlandse overheidswebsites, waaronder alle sites die gebruik maken van het identificatieverificatiesysteem DigiD, hebben zo’n DigiNotar-certificaat.

Onderling communiceren veel overheidsinstanties ook via kanalen die zijn beveiligd met certificaten van DigiNotar. Dat ligt nu dus ook plat.

2Hoe is de hack ontdekt?

In juli kreeg een Iraanse internetter een waarschuwingsmelding toen hij op Gmail wilde inloggen. Hij meldde dit aan Google. In de melding stond dat er gebruik was gemaakt van een beveiligingscertificaat van DigiNotar.

Maar Google doet helemaal geen zaken met DigiNotar. Googles browser Chrome sloeg daarom automatisch alarm: dit certificaat was vals. Zo kwam de zaak aan het licht.

Deze internetter en andere Iraniërs die na hem hetzelfde probleem meldden, verdenken de Iraanse overheid ervan Gmailverkeer met behulp van het certificaat te hebben omgeleid en onderschept, of dat althans te hebben geprobeerd.

Dit weekend bleek dat er honderden valse certificaten zijn afgegeven. Dit doet vermoeden dat de Iraanse regering hiermee te maken heeft. Er zijn nepcertificaten gemaakt voor Google, Yahoo, Facebook en Twitter. Voor de geheime diensten CIA, MI6 en de Israëlischel Mossad. En voor de populaire Israëlische maildienst Walla. En voor het in Iran veelgebruikte chatprogramma Skype. En voor Tor, een programma waarmee veel Iraanse dissidenten de zware internetcensuur in het land kunnen omzeilen.

Maar of er daadwerkelijk gegevens zijn onderschept, zo ja hoeveel, bij wie, van wie en door wie precies: dat is nog steeds niet duidelijk.

3 Wat kan het motief van de hackers zijn?

Als inderdaad de Iraanse regering betrokken is, heeft die waarschijnlijk berichten van dissidenten en andere staatsvijanden willen afluisteren. Wraak zou daarbij een rol kunnen spelen: het Iraanse staatspersbureau meldde vorige maand dat de Mossad officieel verantwoordelijk wordt gehouden voor het Stuxnetvirus, dat eerder de Iraanse nucleaire installaties ontregelde. Het persbureau noemde dat „het begin van Tel Aviv’s cyberoorlog tegen Iran”.

Maar het is óók mogelijk dat de hackers niet in dienst van de overheid opereerden.

4Wat betekent dit allemaal voor Nederlandse DigiD gebruikers?

Wie de komende dagen zijn belastingaangifte digitaal wil wijzigen, zijn studieschuld bij DUO-IB-Groep wil bekijken, bij zijn gemeente een rijbewijs of paspoort wil verlengen of anderszins digitaal wil communiceren met een van de vele overheidsdiensten (zie de lijst op www.digid.nl), kan een waarschuwingsscherm krijgen, waarop staat dat er een beveiligingsrisico is.

Het advies van de overheid: log niet meer in op DigiD totdat het sein veilig wordt gegeven. Privacy-organisatie Bits of Freedom verwacht dat het nog weken kan duren voordat ook intern bij de overheid alles weer op orde is.

5Hebben DigiD en andere Nederlandse webdiensten dan helemaal geen schade opgelopen?

De Rijksoverheid zegt daarover twee dingen. Eén: dat valt niet uit te sluiten. Twee: voor zover bekend is de beveiliging van overheidssites niet daadwerkelijk in gevaar geweest. En daar is geen enkele aanwijzing voor.

6 En mijn Gmail- of Skype-account dan?

Hetzelfde verhaal. We weten niet wie de valse certificaten waarvoor heeft gebruikt, dus in theorie valt er niks uit te sluiten. Maar zolang je niet vanuit Iran hebt ingelogd, lijkt de kans dat je bent afgeluisterd heel klein.

7Hoe werkt zo’n beveiligingscertificaat en hoe herken ik het?

Een adres van een webpagina die beveiligd is met een certificaat begint met https in plaats van http. Onderin of bovenin het scherm verschijnt meestal een slotje. Het certificaat doet twee dingen. Het versleutelt de boodschap zodat de buurman en de postbode niet kunnen meelezen. Als je via een onbeveiligd draadloos netwerk verbinding maakt met bijvoorbeeld een bank, kan je niet worden afgeluisterd. Ook de provider die de internetaansluiting verzorgt, kan niet meekijken. En het certificaat garandeert dat je verbinding maakt met je bank en niet met een criminele club.

8 Heeft de minister adequaat gereageerd?

De valse certificaten zijn ongeveer twee maanden geleden aangemaakt vanuit Iran. Dar er zoveel onduidelijkheid is over wie ze daarna heeft gebruikt, en wat er mee is gebeurd, is deels te wijten aan DigiNotar zelf.

Het bedrijf (gevestigd in Beverwijk, sinds vorig jaar in Amerikaanse handen) heeft het lek in eerste instantie niet gemeld, iets waarvoor het volgens TU-Delft-hoogleraar Michel van Eeten, gespecialiseerd in internetcriminaliteit, voor de rechter kan worden gedaagd.

Na de melding van de Iraanse internetters aan Google heeft DigiNotar gezegd dat het om één ‘ontsnapt’ certificaat ging. Pas dit weekend werd duidelijk dat er nog honderden valse certificaten zijn aangemaakt. Het bedrijf kan geen overzicht leveren van het totaal aan certificaten dat op naam van DigiNotar is uitgegeven.

DigiNotar verklaarde bovendien dat de meeste certificaten, waaronder die voor de Nederlandse staat en DigiD, wel veilig waren omdat die, om het simpel te verwoorden, in een kluis lagen waar niet was ingebroken. Na extern onderzoek werd duidelijk dat ook in die kluis is ingebroken. Hoe precies, daarover verschijnt naar verwachting vandaag een extern rapport.

Al met al reden genoeg voor de overheid om de regie bij het bedrijf over te nemen en de certificaten van de getroffen sites bij een andere leverancier onder te brengen. En de andere leveranciers ook na te lopen.

9 Is de overheid niet juist laks? De SP spreekt over „weer een ICT-tragedie bij de overheid”.

Er is inderdaad een aantal kritische vragen te stellen. Zoals: waarom heeft GovCert, de overheidsinstantie die zich bezighoudt met digitale veiligheid, vorige week nog bij webbrowser Firefox gelobbyd om DigiNotar niet in de ban te doen? Dat gebeurde kort voordat uit extern onderzoek duidelijk werd dat ook certificaten waren gestolen uit de aparte ‘kluis’ met certificaten voor de Nederlandse staat. Waarom is het én makkelijker én (kennelijk) veiliger om in te loggen bij banken dan bij de overheid? Zij gebruiken geen DigiNotar-certificaten. En waarom deed de overheid eigenlijk zaken met een bedrijf waarvan al veel langer duidelijk was dat het de eigen beveiliging niet goed op orde had? Twee jaar geleden werd de website van het bedrijf al eens gekraakt. De digitale graffiti die de hackers toen achterlieten, werd niet door DigiNotar verwijderd. Dat komt onzorgvuldig over.

10 Incident? Of topje van een ijsberg?

Een lek als dit is slechts enkele malen eerder gerapporteerd. Aangezien steeds meer waardevolle informatie digitaal wordt verstuurd en een hack dus veel waardevols kan opleveren, lijkt dat een goed teken. Ook minister Donner spreekt van een incident.

Maar het aantal op tijd opgespoorde zwakheden in digitale beveiliging is mogelijk veel groter: juist uit veiligheidsoverwegingen melden bedrijven die liever niet.

Dan de controle. Opta, de instantie die namens het ministerie van Economische Zaken toezicht houdt op de certificaten in de overheidskluis, toetst alleen of deze zijn uitgegeven volgens de regels. We laten de webbrowsermakers de inschatting maken welke leveranciers in orde zijn en welke niet. Zij worden verder niet gecontroleerd.

Sommigen willen het daarom anders. Bits of Freedom bijvoorbeeld pleit voor een meer democratisch systeem, waarbij gebruikers de betrouwbaarheid van certificaten mede kunnen bepalen.

Is de beveiliging van mijn webbrowser en de programma’s die daarmee samenwerken up-to-date? Met een tool van de Amerikaanse universiteit Carnegie Mellon is dat te testen: cmu.edu/iso/patch-check