Het slot op de browser kraakt

Een Nederlands bedrijf dat overheidssites beveiligde, liet de deur openstaan voor Iraanse hackers. Die vervalsten de digitale certificaten voor bijvoorbeeld de site van de Belastingdienst. Hoe kon dat gebeuren?

De internetwereld is zo verweven dat als de Iraanse overheid haar burgers wil bespioneren de Nederlandse Belastingdienst problemen krijgt en minister Donner ’s nachts op tv verschijnt. Want Iraanse hackers braken in bij een bedrijf dat – toevallig – óók de beveiliging verzorgt van Nederlandse overheidswebsites.

Het gehackte bedrijf, DigiNotar, maakt ‘beveiligingscertificaten’ die de echtheid en betrouwbaarheid van websites garanderen. Maar dit slot op de browser kraakt: uit naam van DigiNotar hebben de hackers honderden certificaten geproduceerd, waarmee geprobeerd werd Iraans webverkeer van en naar Google-websites (waaronder Gmail) te onderscheppen. Ook Skype, Hotmail, de CIA, de Israëlische geheime dienst Mossad waren doelwit.

Afgelopen weekend besloot minister Donner om de beveiliging van Nederlandse overheidssites als DigiD en Belastingdienst.nl te veranderen. Daardoor zijn de diensten enkele dagen of weken niet goed bruikbaar. De overheid heeft geen reservesysteem en kan tot de reparatie achter de rug is, niet instaan voor de digitale veiligheid van mensen die inloggen.

1Wat is dat, een digitaal certificaat?

Webdiensten als Gmail, maar ook sites als DigiD of de belastingdienst gebruiken digitale certificaten om de authenticiteit van bezoeker en website te garanderen en de verbinding vertrouwelijk te houden. Zodra beide partijen kunnen bewijzen wie ze zijn kan er een veilige, versleutelde verbinding opgezet worden zodat anderen niet kunnen meeluisteren. Een beveiligde verbinding is te herkennen aan het https-teken, linksboven in de adresbalk. Letterlijk het slot op de browser. Als het werkt, tenminste.

2Waar komen de valse certificaten vandaan?

In juli wisten hackers, vermoedelijk uit Iran, met een computerinbraak toegang te krijgen tot de software die certificaten produceert bij DigiNotar. Zo produceerden ze op afstand nepcertificaten voor ruim 200 domeinnamen. Er zijn circa 650 instanties die certificaten uitgeven. DigiNotar is een kleine speler, eigendom van een groot Amerikaans bedrijf, Vasco. Eerder dit jaar was Iran al betrokken bij een inbraak bij een andere certificatenleverancier, Comodo.

3Wat zijn de risico’s van deze inbraak voor Nederland?

Het is erg onwaarschijnlijk dat certificaten voor Nederlandse overheidsdiensten gehackt zijn, maar het zou kunnen. Een nepcertificaat opent de mogelijkheid voor een zogeheten man-in-the-middle aanval: beide partijen denken elkaar te kunnen vertrouwen, maar een derde luistert mee of leidt het verkeer naar een andere website. In een land als Iran heeft de overheid alle netwerken in handen en kan men zichzelf zo eenvoudig tussen Google en de bezoeker plaatsen.

4Wat kan het motief van de hackers zijn geweest?

Als de Iraanse regering erbij betrokken is, heeft die waarschijnlijk berichten van dissidenten en andere staatsvijanden willen afluisteren. Wraak zou daarbij een rol kunnen spelen: het Iraanse staatspersbureau meldde vorige maand dat de Mossad officieel verantwoordelijk wordt gehouden voor het Stuxnetvirus, dat eerder de Iraanse nucleaire installaties ontregelde. Het persbureau noemde dat „het begin van Tel Aviv’s cyberoorlog tegen Iran”. Maar het is óók mogelijk dat de hackers niet in dienst van de overheid opereerden.

Er zijn nepcertificaten gemaakt voor Google, Yahoo, Facebook en Twitter. Voor de geheime diensten CIA, MI6 en de Israëlischel Mossad. En voor de populaire Israëlische maildienst Walla. En voor het in Iran veelgebruikte chatprogramma Skype. En voor Tor, een programma waarmee veel Iraanse dissidenten de zware internetcensuur in het land kunnen omzeilen. Of er daadwerkelijk gegevens zijn onderschept is niet duidelijk.

5Is dit opnieuw een ICT-tragedie bij de overheid?

Het is onduidelijk waarom de overheid zaken deed met een bedrijf waarvan al veel langer duidelijk was dat de eigen beveiliging niet goed op orde had. Twee jaar geleden werd de website van het bedrijf al eens gekraakt.

De digitale graffiti die de hackers toen achterlieten, werd niet door DigiNotar verwijderd – een veeg teken. Je zou je ook kunnen afvragen waarom GovCert, de overheidsinstantie die zich bezighoudt met digitale veiligheid, vorige week nog heeft gelobbyd bij webbrowser Firefox om DigiNotar niet in de ban te doen. Dat gebeurde kort voordat uit extern onderzoek duidelijk werd dat ook certificaten waren gestolen uit de aparte ‘kluis’ met certificaten voor de Nederlandse staat.

DigiNotar speelde geen open kaart en probeerde verontruste vragen te sussen met de mededeling dat de zaak onder controle was. Het bedrijf stelde zich weinig coöperatief op. Daarom heeft de overheid inmiddels zelf de operationele zaken overgenomen. Het verzwijgen van de computerinbraak zou aanleiding kunnen zijn voor een rechtszaak en is in ieder geval aanleiding om opnieuw te pleiten voor een meldplicht van datalekken.

De overheid koos met DigiNotar voor een lokale partner en niet voor de allergrootste Amerikaanse certificatenleveranciers, zoals veel banken doen. Die certificaatautoriteiten, zoals Verisign, worden beter gecontroleerd. Er was geen reservesysteem voor de certificaten. Dat is bij essentiële webdiensten als DigiD en Belastingdienst wel nodig.

6Is het systeem van digitale certificaten lek?

Soms – niet in dit geval – worden bewust frauduleuze certificaten verkocht. Er zit veel kaf onder het koren. Ook grote beveiligingsbedrijven zijn echter niet veilig: eerder dit jaar werd bijvoorbeeld RSA op spectaculaire wijze gehackt.

Michel van Eeten, cybercrime-expert en hoogleraar Organisatie en management: „Certificaatautoriteiten hebben vaak niet meer te verliezen dan hun reputatie. Er is een economische impuls om zoveel mogelijk certificaten verkopen maar er is niet altijd voldoende vooronderzoek of de klant wel echt is wie ie zegt te zijn.”

De makke van het systeem van certificaatuitgiftes is dat elke ‘autoriteit’ voor elk webdomein een certificaat kan afgeven. Het systeem is zo sterk als de zwakste schakel. Er gaan pleidooien op om de reikwijdte van de certificaten te beperken. Zodat niet iedereen zich voor google.com kan uitgeven.

Er is gebrek aan controle op de controleurs: volgens IT-specialist Paul van Brouwershaven hoeven de certificaatleveranciers zich alleen aan hun eigen procedures te houden. Er is wel een brancheorganisatie die de uitgevers van certificaten controleert. Daar maken alleen de grotere partijen gebruik van.