Wat leren we van de DigiNotar-inbraak?

Geschreven door Redactie OGD
4 min leestijd
7-sep-2011 8:00:36

Opinie - Hugo Leisink is beveiligingsexpert bij OGD. Hij heeft een passie voor ‘alles wat met ict-beveiliging’ te maken heeft en is ervan overtuigd dat we bewuster met onze ict-beveiliging moeten omgaan. In deze blog geeft hij zijn eigen mening over de DigiNotar-inbraak en schetst hij de gevolgen.

Het nieuws staat de afgelopen dagen in het teken van de computerinbraak bij DigiNotar. De Iraanse inbrekers hebben met de inbraak valse certificaten aangemaakt. Inmiddels loopt de berichtgeving aardig op stoom en weten we dat er ‘iets aan de hand is met beveiliging op internet’. Maar er is nog erg veel onduidelijkheid over de situatie. En de belangrijkste vraag is nog niet beantwoord: welke impact heeft dit beveiligingslek voor mensen in Nederland?

Het is niet vreemd dat het grotere plaatje nog ontbreekt. De situatie is bijzonder complex en de techniek speelt een belangrijke rol. Toch ga ik hier proberen een uitleg te geven. Uiteindelijk hebben we het namelijk over een veilige communicatie tussen burgers en de Nederlandse overheid. Dat is voor iedereen belangrijk, ook voor niet-techneuten.

Waarom certificaten en hoe werken ze?

‘Certificaten’ is op dit moment één van de meest genoemde woorden op internet. Maar de techniek en werkwijze zijn bij het grote publiek niet bekend. Om je een volledig beeld te geven, beschrijf ik eerst wat certificaten zijn en waarom ze belangrijk zijn voor de internetgebruiker.

Om veilig gebruik te kunnen maken van websites, wordt gebruik gemaakt van zogeheten SSL-certificaten. Met behulp van zo’n certificaat kan een webbrowser een veilige verbinding opzetten naar een website. Dat certificaat biedt vervolgens de volgende garanties:

  1. Het garandeert dat je de werkelijke website bezoekt (en niet fake-versie die op de oorspronkelijke website lijkt).
  2. En het certificaat zorgt ervoor dat je verbinding naar de website niet afgeluisterd kan worden.

Natuurlijk zijn deze garanties erg belangrijk als jij persoonlijke gegevens naar de website gaat versturen, zoals bij DigiD en internetbankieren gebeurt.

Een SSL-certificaat wordt uitgegeven door een Certificate Authority (CA). Er zijn meedere CA’s in de wereld. Grote bekende zijn VeriSign en GeoTrust. DigiNotar is een relatief kleine CA. Webbrowsers hebben kennis van de officiële CA’s. Daarom herkent de browser een certificaat dat niet afkomstig is vanuit een CA. In zo’n geval zal een browser een waarschuwing geven.

Wat veel mensen echter niet volledig beseffen, is dat de juistheid van de uitgifteprocedure voor certificaten van een CA van groot belang is voor de veiligheid die met die certificaten geboden wordt. Dit besef begint nu heel snel door te dringen.

Met dank aan onze Duitse buren

Wat is er nu precies gebeurd bij de inbraak bij DigiNotar? Hackers uit Iran hebben op of voor 10 juli dit jaar weten in te breken bij DigiNotar. Zij hebben bij die inbraak honderden certificaten aangemaakt. Certificaten op naam van Google, Microsoft, Windows Update, Facebook, Twitter, Yahoo, Skype en Mozilla zijn een aantal voorbeelden. Op 19 juli heeft DigiNotar de inbraak ontdekt en de door de inbrekers aangemaakte certificaten ingetrokken. Maar ze hebben een certificaat op naam van Google over het hoofd gezien. De tweede grote fout door DigiNotar is het stilhouden van de inbraak.

Op 28 augustus meldt een Iranees op het Google forum dat zijn Google Chrome browser een beveiligingswaarschuwing geeft bij bezoek aan Google Mail. De browser van Google heeft extra beveiling ingebouwd en daarom gaf Google Chrome een foutmelding. De Nederlandse instantie die over ICT-veiligheid bij de overheid gaat, is door Duitse collega’s gewezen op de mogelijke problemen bij DigiNotar. Vanaf toen is het balletje gaan rollen.

Wie vervangt DigiNotar?

De Nederlandse overheid heeft in 2002 zelf een CA opgezet met de naam 'Staat der Nederlanden Root CA'. De daadwerkelijke uitgifte van certificaten hebben zij belegd bij een aantal partijen. Deze partijen fungeren als Certificate Service Provider (CSP) en beschikken zelf ook over een CA die hiërarchisch gezien onder de 'Staat der Nederlanden Root CA' valt. Deze CSP’s zijn onder andere CIBG, Ministerie van Defensie, Trustlink BV, Digidentity BV en tot voor kort ook DigiNotar.

Inmiddels zegt de Nederlandse overheid haar vertrouwen op in DigiNotar en vervallen alle huidige certificaten voor overheidswebsites. De certificaten moeten nu opnieuw aangevraagd worden bij één van de andere CSP’s. Naast de rol als CSP voor de Nederlandse overheid, gaf DigiNotar ook zelfstandig certificaten voor bedrijven en individuen uit. Ook die komen natuurlijk te vervallen.

Maar lopen Nederlanders nu gevaar op internet?

Nee, niet direct. Naast een vervalst certificaat zal een aanvaller er ook voor moeten zorgen dat hij het verkeer tussen een webbrowser en een website kan onderscheppen. Hij zal op de een of andere manier toegang moeten krijgen tot de netwerken waar dat verkeer overheen gaat of het verkeer naar zijn eigen computer moeten kunnen omleiden. En dat is geen gemakkelijke opgave.

Er zijn geen aanwijzingen gevonden dat zoiets in Nederland gebeurd is. Inmiddels is gebleken dat de Iraanse aanvallers het niet op Nederland voorzien hadden. DigiNotar was gewoon een CA met een zeer slechte beveiliging en dus een makkelijk slachtoffer om te misbruiken.

Mensen in Iran hadden wel wat te vrezen. Het internetverkeer is daar wel onderschept. De valse certificaten vanuit DigiNotar zijn gebruikt om dat versleutelde internetverkeer af te luisteren. De Iranese burgers hadden dat niet door.

Kritisch blijven kijken naar beveiliging

Hoewel de meesten van ons geen invloed of zicht hebben op hoe de beveiliging op het internet geregeld is, vertrouwen we allemaal blind op het juiste kleurtje van de URL balk of de aanwezigheid van een slotje. Met de hele DigiNotar-inbraak wordt goed duidelijk dat partijen, zoals de overheid of banken, zelf niet de volledige grip hebben op de beveiliging van hun internetdiensten. We nemen een bank als voorbeeld.

Bij internetbankieren spelen de volgende partijen in de keten allemaal een rol:

  • De maker van je webbrowser
  • De uitgever van de certificaten waar uw bank gebruik van maakt
  • De beheerders van DNS-servers
  • Je eigen internetprovider

Een flink aantal partijen dus. Daar werken allemaal mensen die u niet kent en voeren handelingen uit waar u geen kijk op heeft. En op zich is dat geen probleem. De hele wereld werkt op basis van vertrouwen en dat is prima: verreweg de meeste mensen hebben goede bedoelingen. Maar wat als het mis gaat? Wat als, zelfs met de beste bedoelingen, verwachtingen niet waargemaakt worden? Wat dan?

Hopelijk schudt de DigiNotar-inbraak organisaties en mensen wakker en leren we ervan. Dat we kritisch leren kijken naar onze eigen beveiliging en de gevolgen van slechte beveiliging. Laten we ons vooral niet aan de dezelfde steen als DigiNotar stoten. Maar iets in mij zegt dat het waarschijnlijk bij hopen zal blijven. Immers, beveiliging kost tijd en geld. En daarbij, beveiligingsproblemen is iets dat alleen anderen overkomt, nietwaar?

Ontvang email updates