Het Diginotar-schandaal samengevat
De Nederlandse overheidssites zijn indirect slachtoffer geworden van cyberspionage in Iran. Het liep fout toen het certificatenbedrijf Diginotar werd gehackt. Een overzicht.
Het beveiligingsschandaal is bijna sterk genoeg om er een film van te maken. Kop-van-jut is Diginotar, een Nederlands bedrijf dat beveiligingscertificaten verkoopt. Sinds begin dit jaar is het bedrijf in handen van Vasco Data Security International.
Diginotar heeft naar eigen zeggen op 19 juli gemerkt (maar pas op 30 augustus in het openbaar gemeld) dat het ergens in de maanden daarvoor was gehackt. Door die hack kunnen onbekenden valse veiligheidscertificaten genereren.
Alles wees er vorige week op dat onbekenden uit Iran zo"n certificaat hebben gegenereerd voor onder meer .google.com. Maar dat is slechts het topje van de ijsberg.
Data onderscheppen
Een certificaat wordt onder meer gebruikt om er zeker van te zijn dat de communicatie tussen webdiensten en hun gebruikers beveiligd is. Met een vals certificaat kun je in principe de verzonden gegevens onderscheppen, terwijl de gebruiker daar geen waarschuwing van krijgt.
Om echt gegevens te onderscheppen is er volgens beveiligingsbedrijf F-Secure echter veel meer nodig, bijvoorbeeld toegang op land- of providerniveau.
Volgens F-Secure is de aanval het werk van Iraanse hackers. Dat doet vermoeden dat de Iraanse overheid met dergelijke certificaten ongemerkt het internetverkeer van mensen in Iran wil onderscheppen. Maar dit is nog niet bewezen.
Concreet betekent dit dat iemand met dergelijke netwerktoegang en het certificaat voor .google.com al het verkeer naar Google-diensten vanuit het land ongemerkt kan onderscheppen. Het gaat onder meer om Gmail en Google Docs.
Zo’n aanpak wordt een man-in-the-middle-aanval genoemd. Iemand die tussen gebruiker en website zit, kan de verzonden gegevens inkijken.
Honderden certificaten
Helaas blijft het niet beperkt tot Google. In de afgelopen dagen maakten externe partijen, zoals de ontwikkelaar van Tor (een netwerk om anoniem te surfen) bekend dat er 531 certificaten zijn nagemaakt. Onder meer voor sites van Skype, Mozilla, Logmein, Twitter, Windows Update, Yahoo, Wordpress en Facebook.
Daarnaast zijn de certificaten voor andere certificatenuitgevers zoals Verisign en die voor de publieke websites van inlichtingendiensten zoals de CIA en de Mossad nagemaakt. Opvallendst en mogelijk het meest gevoelig voor misbruik zijn de certificaten voor *.*.com en *.*.org. In principe kun je hiermee elk .com of .org-domein als veilig verklaren terwijl het internetverkeer toch wordt afgeluisterd.
Zeker spionage
Of de actie werd opgezet door de Iraanse overheid is op dit moment niet bewezen. Wel zegt beveiliger Trend Micro bewijs te hebben dat er valselijk aangemaakte certificaten werden gebruikt om Iranezen te bespioneren.
In een blogbericht zegt het bedrijf dat het netwerkverkeer heeft vergeleken dat naar validation.diginotar.nl ging. Die link controleert de geldigheid van dergelijke SSL-certificaten. Normaal zou dit bijna uitsluitend uit Nederlands verkeer moeten bestaan. Maar het beveiligingsbedrijf merkt op dat maar liefst een derde afkomstig is uit Iran.
Dat wijst er volgens Trend Micro op dat de certificaten wel degelijk werden misbruikt om Iraanse internetgebruikers te bespioneren. Bovendien zakte het Iraanse verkeer naar de Diginotar-servers volledig in op het moment dat Diginotar de hack bekendmaakte, op 30 augustus.
Nederlandse overheidssites
Diginotar levert echter ook certificaten voor Nederlandse overheidssites, specifiek websites die het DigiD-systeem gebruiken. Dat is de online identificatie die onder meer voor de Belastingdienst wordt gebruikt.
Na het bekend worden van de hack trokken alle browsermakers de certificaten die afkomstig zijn van Diginotar in, met uitzondering van die voor DigiD. De Nederlandse overheid zegt tegen de website Tweakers dat de overheidscertificaten losstaan van de certificaten die het bedrijf zelf uitreikt.
Die bewering werd als twijfelachtig onthaald en afgelopen weekend ook onderuitgehaald. Fox-IT, een onafhankelijk beveiligingsbedrijf dat de kraak bij Diginotar onderzoekt, stelt in zijn rapport dat het systeem dat de beveiligingscertificaten voor onder meer DigiD genereert is gekraakt.
In een vraag-en-antwoordpagina zegt de Nederlandse overheid intussen zelf dat het systeem dat certificaten voor de overheid maakt is gekraakt, waardoor de betrouwbaarheid onzeker is.
Een week nadat het nieuws onthuld werd, maakte de Nederlandse overheid bekend dat zij het vertrouwen in Diginotar opzegt, en dat dus ook de certificaten voor overheidssites niet langer gelden.
Het blijft echter een zeer genuanceerd verhaal, want de overheid gebruikt ook andere certificatenleveranciers. Die laatste zijn niet getroffen, en de sites die deze certificaten gebruiken zijn veilig en zullen dus geen foutmelding geven.
Wat betekent dit voor gebruikers?
In werkelijkheid is de kans op incidenten klein. Maar omdat de veiligheid niet kan worden gegarandeerd moeten zowel de overheid, webbrowserbouwers, webmasters als gebruikers hun voorzorgsmaatregelen nemen.
De meeste browsers hebben de certificaten van Diginotar intussen ongeldig verklaard. Dat betekent dat je, als je browser up-to-date is, een waarschuwing zult krijgen dat het gebruikte certificaat ongeldig is. In dit geval verlaat je het best de site in kwestie, omdat de beveiliging van de verzonden gegevens niet gegarandeerd kan worden.