Leugens en lamlendigheid in grootste beveiligingsschandaal

*****************************

Actuele aanvullingen

4 september 2011, 21.00 uur: Inmiddels is de lijst van ten onrechte uitgegeven certificaten gegroeid van 247 naar ruim 530. Tussen ondermeer sites met informatie voor Iraanse dissidenten zoals Azadegi.com bevinden zich ook Windows Update en Wordpress.com. Dit betekent dat de eigenaar eventueel op Windows zou kunnen inbreken om op pc's te komen en wellicht Wordpress updates kan sturen om op blogs in te breken. (Zie ook: Nu.nl)

11 september, 9.00 uur:
* Fox-IT kwam later dan beloofd met haar rapport uit. (Zie hiernaast), en er kwam een animatie. Diginotar hield zich niet aan afspraken en procedures, deed niet aan basale beveiliging zoals gebruik van virusscanners, maar draaide bovenal alles in een relatief eenvoudig toegankelijk Windows-systeem. Ook is verzwegen dat reeds op 28 juli bekend was dat er nepcertificaten waren aangemaakt, reden voor een onderzoek van het OM

* Symantec verklaarde dat haar dochters VeriSign, Thawte en GeoTrust niet gecompromitteerd zijn, ondanks het gebruik van DigiNotar certificaten en een blunder van de Vereniging Nederlandse Gemeenten.

* Belgen vreest voor een GlobalSign-hack maar is veel beter toegerust op problemen dan de Nederlandse overheid die

* De bewijzen tegen Iran zijn niet hard volgens Vrij Nederland maar Google kwam met tips voor Iraniërs om het aftappen te voorkomen.

* Browsers werden aangepast en ook Windows bracht updates uit om de valse DigiNotar-certificaten onschadelijk te maken. Uiteindelijk kwam zelfs Apple voor de Safaribrowser met een blokkering van DigiNotar, dat zich onaantastbaar voordeed.

* Netkwesties vroeg via een Wob-verzoek aan Opta om alsnog audit-rapporten van DigiNotar ter beschikking te stellen en alle correpondentie daarover met de diverse ministeries.

14 september 12.00 uur:

* Opta trekt vergunning DigiNotar in; einde oefening voor bedrijf.

***************************

Jongste nieuws in dit schandaal [4 september 11.00 uur]: er is ook ingebroken op de vermeend veilige verbindingen tussen surfers en websites van de CIA, Mossad, MI6, bij beveiligingsbedrijven als VeriSign, Thawte, DigiCert en Equifax en behalve bij Google ook Facebook, Yahoo en Skype.

Voor de Iraanse geheime dienst telt vooral het laatste: wat mailen dissidenten en wat posten ze op Facebook via 'beveiligde' verbindingen? Zo'n 15 miljoen facebookers mondiaal maken naar schatting gebruik van de optie voor SSL-beveiliging, vooral in landen met repressieve regimes. Ook Google, Yahoo en Skype bieden beveiligde verbindingen aan. Surfen naar sites van de genoemde Westerse geheime diensten zegt niet zoveel, maar kan naar 'aanvullend bewijs' zijn om opposanten te veroordelen. Dat verkeer van de geheime diensten zelf via deze lekken is weggevloeid, is niet zo waarschijnlijk. Hoe de beveiligingsbedrijven zijn geraakt blijkt komende dagen.

Voor de brenger van dit laatste nieuws, Gervase Markham van Firefox-maker Mozilla staat echter vast: DigiNotar heeft niet alleen gefaald, maar ook gelogen en bedrogen. De Nederlandse overheid heeft er een bedenkelijke rol in gespeeld.

Jip en Janneke

Je laat sleutels (bij)maken bij een betrouwbare ijzerwarenhandelaar die de mallen met adressen bewaart en verzekert dat die absoluut veilig zijn. Nu wordt er toch ingebroken bij die zaak en de mallen uit een kluis meegenomen om sleutels te kunnen namaken. De eigenaar houdt het eerst zo lang mogelijk stil, maar bij een inbraak elders komt het uit. Niets aan de hand, verzekert de eigenaar dan nog, want de mallen van uw sleutels lagen in een andere kluis. De gemeente die zelf zaken doet met deze man, en ook het gemeentehuis door hem laat beveiligen, verzekert dat ook. De controle-instantie steekt de kop ook maar in het zand. Het plaatselijke krantje schrijft er niets over want gelooft de gemeente altijd en begrijpt niet hoe het zit.

Zie hier het scenario in Jip en Janneke taal met de meest ernstig online inbraak ooit, afgelopen week in Nederland, een Europees landje dat met de vorming van internet de afgelopen 30 jaar zo belangrijk was. Leek de dubbele kraak van wachtwoorden bij World Online eind vorige eeuw, ook al omgeven door een web van leugens van toen Nina Brink cs., onverslaanbaar, het kon dus nog erger.

De sleutelmaker heet DigiNotar in Beverwijk. Dat geeft certificaten uit om te garanderen dat verbindingen met websites 'echt' zijn, 'bewijzen van echtheid' of PKI-certificaten (Public Key Infrastructure). Ze stutten de SSL of secure socket layer van browsers om veilig te surfen: de garantie dat de website die je op het scherm ziet ook werkelijk de echte website is en niet die van een ander noch dat een ander verkeer op de lijn kan aftappen.

Aanvankelijk zou de kluis PKIoverheid met de sleutels van ondermeer verbindingen Nederlandse overheid, zoals DigiD, door de inbrekers ongemoeid zijn gelaten. Althans, daar ging de overheid maar van uit, in plaats van het tegendeel te vermoeden. Onderzoek van Fox-IT, beveiligingsbedrijf in Delft en ook verlengstuk van de overheid in veiligheid, nam drie dagen van onderzoek om inderdaad naar boven te halen dat de krakers geen reden hadden om PKIoverheid te mijden. Waarom zouden ze ook, als je toch bezig bent? Iraanse dissidenten in Nederland kun je er wellicht mee compromitteren.

Onmiddellijk zijn maandag 29 augustus browsers aangepast, te beginnen Google Chrome waarin DigiNotar certificering niet langer werd erkend, gevolgd door Mozilla met Firefox, Opera en Microsoft met Internet Explorer. Gebruikers kregen waarschuwingen dat de verbindingen niet langer gegarandeerd veilig waren.

Certificaten konden immers nagemaakt zijn en dat is ook gebeurd in Iran om verkeer te kunnen aftappen. De logfiles van DigiNotar die ook toegankelijk waren, zijn aangepast om de valse aanmaak onzichtbaar te maken.

Inmiddels, zo werd bekend, waren honderdduizenden gebruikers van de Gmail dienst van Google in Iran blootgesteld aan inzage in hun berichtenverkeer, en daarmee ook degenen waarmee ze mailen, zoals wellicht dissidenten in het buitenland. Dat is vele malen erger dan de vraag of Nederland DigiD verkeer wellicht in de war gestuurd is. Iran kan wellicht ook geïnteresseerd zijn in verkeer van dissidenten hier zoals de belastingaangifte van Afshin Ellian met adresgegevens en telefoonnummer, maar daar is op eenvoudiger wijze aan te komen.

Een groep mensen in Nederland is zeer actief betrokken bij Iraans verzet, ook digitaal. Hun gebruik van Gmail met Iran, en Facebook, Yahoo Mail, Gmail en Skype in en vanuit Iran kan vergaande nare gevolgen hebben gehad in de vorm van arrestaties en verdwijningen van personen. De vraag is echter nog welke gevolgen het gebruik van deze diensten heeft gehad, als dat al te achterhalen is.

Donderslagen

Afgelopen donderdag werd bekend dat Google behalve haar eigen certificaat er nog eens 246 als onbetrouwbaar had gekwalificeerd. Dat is een enorm aantal, veel meer dan de 'enkele tientallen' die DigiNotar en eigenaar Vasco (grapje WebWereld-lezer: 'viasco') hadden genoemd.

Onder die bijna 250 valse certificaten waren er ook 12 van het Tor Project waarmee je anoniem kunt surfen. Niet het verkeer van tor zelf was daarmee te onderscheppen maar wel dat van personen die naar tor toe gingen om er wellicht gebruik van te maken. Hier kunnen Iraanse overheidshackers het op gemunt hebben.

Tor zegt er behoorlijk van te balen, temeer daar mogelijk al jaren geleden is ingebroken bij DigiNotar, blijkens een vermoeden van F-secure. Dit Finse beveiligingsbedrijf sneerde in dit bericht op 29 augustus:

DigiNotars verklaring over de inbreuk is nu uit. Het roept meer vragen op dan dat er antwoorden worden verschaft. DigiNotar was inderdaad gehackt, op de 19 juli 2011 reeds. De aanvallers waren in staat om een aantal frauduleuze certificaten aan te maken, waaronder mogelijk ook EVSSL certificaten . Maar terwijl Diginotar de andere gecompromitteerde certificaten had ingetrokken, miste ze die was afgegeven aan Google . Zou Diginotar niet kunnen vermoeden dat het een beetje raar is dat Google opeens zou haar SSL-certificaat wilde vernieuwen, en besloot om dat te doen met een middelgrote Nederlandse CA, 'of all places'? En toen was Diginotar de systemen na de fout controleerde, hoe was het in vredesnaam mogelijk dat ze het Iraanse misbruik over het hoofd zagen?"

Kortom, 'of alle places', dat zijn wij, een land dat een journalist (Brenno de Winter) vervolgt omdat hij in de praktijk lekken aantoonde in het OV-chipsyteem, dat zwijgt en jokt over de eigen beveiliging en die van de burgers, en daarmee ook de Wet bescherming persoonsgegevens overtreedt waarin de beveiligingsplicht van persoonsgegevens is voorgeschreven.

Voor 10 miljoen verkocht

DigiNotar werd in januari 2011 onderdeel van Vasco in de VS voor 10 miljoen dollar. Baas Tony de Bos van DigiNotar was 'thrilled' door de overname en sprak de verwachting uit dat de Nederlandse technologie dankzij Vasco wereldwijd furore kon gaan maken. DigiNotar werd dertien jaar geleden opgericht door notaris Dick Batenburg. De incidenten nu, en vooral het verzwijgen, zullen ertoe leiden dat Vasco de naam DigiNotar spoedig uit de markt zal halen. Vertrouwen verlies je doorgaans maar één keer, zeker in zo'n ernstige mate.

Op 30 augustus 2011 maakte Vasco bekend dat DigiNotar tenminste al op 19 juli op de hoogte was van inbraak in haar Certificate Authority (CA) systeem. Dat bracht Vasco pas aan het licht na een melding van Google op 29 augustus dat er een geslaagde man-in-the-middle (MITM) aanval op door SSL beveiligde verbindingen van Google was gedaan op gebruikers in Iran. De aanvaller gebruikte een vals SSL certificaat uitgegeven door DigiNotar.

Vasco gaat het om het geld, getuige de mededeling in het eerste bericht: "Het incident bij DigiNotar heeft geen gevolgen voor de kern van Vasco's authenticatietechnologie. De technologische infrastructuren van Vasco en DigiNotar zijn volledig gescheiden, wat betekent dat er geen risico bestaat voor besmetting van de sterke authenticatiezaken van Vasco.

Vasco verwacht dat de invloed van de schending van de SSL en EVSSL van DigiNotar minimaal zal zijn. In de eerste zes maanden van 2011 waren de inkomsten uit de SSL-en EVSSL business minder dan 100.000 euro....Vasco verwacht niet dat het DigiNotar veiligheidsincident een aanzienlijke invloed zal hebben op de toekomstige omzet of plannen van het bedrijf."

Met een korte mededeling biedt Vasco hulp aan de Nederlandse regering aan. DigiNotar zelf biedt geen nieuws meer van de bevindingen van Fox-IT, kennelijk in de wetenschap dat het over en sluiten is.

Die 10 miljoen euro is gelukkig binnen. Dat DigiNotar wellicht al jaren een onveilig bedrijf was, mag dan niet meer deren.

Kop in het zand

Zoals het een bedrieger betaamt, schrijft DigiNotar nog steeds op de website: "Dé onafhankelijke partij voor het identificeren van personen en organisaties op internet en veilig digitaal documenten uitwisselen, ondertekenen en bewaren. Zoals ook nu nog er een verwijzing staat met de kop PKIoverheid-certificaten van DigiNotar nog steeds vertrouwd van afgelopen woensdag. Die misleiding van de rijksoverheid luidde:

" Voor zover nu bekend zijn de DigiNotar beveiligingscertificaten van de PKIoverheid ("De Staat der Nederlanden") niet getroffen. Certificaten die door deze autoriteit zijn ondertekend, zijn op dit moment nog steeds te vertrouwen.

De grote browserleveranciers zoals Microsoft, Mozilla en Google hebben het vertrouwen opgezegd in de DigiNotar Root, maar niet in de PKIoverheid-certificaten die onder de Staat der Nederlanden Root door DigiNotar zijn uitgegeven.

Helaas heeft Mozilla abusievelijk alleen de Staat der Nederlanden Root CA vertrouwd en niet ook de Staat der Nederlanden Root CA - G2. Dit betekent dat bij het bezoeken van DigiD eenmalig inloggen op dit moment een waarschuwing wordt getoond in de laatste versie van Firefox (6.0.1). Dit is aan Mozilla gemeld en zij hebben aangegeven te werken aan een spoedige oplossing."

GovCert, beveiligingsclub van het ministerie van Justitie en Veiligheid, maakte zich 'partner in crime' met een mededeling dat de Nederlandse overheid gespaard was door de inbrekers bij DigiNotar:

"Diginotar geeft eigen certificaten uit en is daarnaast ook één van de leveranciers van certificaten van de Staat der Nederlanden. Gebleken is dat de fraude betrekking heeft op de eigen certificaten van DigiNotar, vooralsnog is er geen reden om aan te nemen dat de fraude impact heeft voor de websites van de Nederlandse overheid. De overheid maakt namelijk gebruik van Staat der Nederlanden certificaten (PKI- overheidcertificaten), welke in een gescheiden proces worden gemaakt."

Dan was er nog het bericht dinsdag 30 augustus 2011 Betrouwbaarheid PKIoverheid certificaten niet in het geding met een verwijzing naar een bericht van Logius, onderdeel van Binnenlandse Zaken: "Logius heeft geen enkele indicatie dat er onjuiste PKIoverheid-certificaten onder het Staat der Nederlanden stamcertificaat zijn uitgegeven, waaronder die van DigiD. Dit verloopt namelijk via een compleet gescheiden proces, dat losstaat van de uitgifte van de normale certificaten van DigiNotar.

PKIoverheid kent een zeer strenge identiteitscontrole van de aanvrager van een SSL certificaat. Een face-to-face controle is onderdeel van deze controle. Daarnaast is het uitgeven van zogenaamde wildcardcertificaten (*.domein.com) binnen PKIoverheid verboden.

Grote browsers zoals Internet Explorer en Firefox hebben maatregelen getroffen door per direct het DigiNotar Root CA niet meer te vertrouwen. De PKIoverheid-certificaten die DigiNotar onder de Staat der Nederlanden Root CA heeft uitgegeven blijven gewoon vertrouwd."

Nog op 19 augustus met de versteviging van de beveiliging van DigiD beweerde onze overheid: "Public Key Infrastructure voor de overheid, oftewel PKIoverheid, is de standaard voor het beveiligen van elektronische overheidsdiensten. Met behulp van PKIoverheid-certificaten is de informatie die personen en organisaties over het internet sturen op een hoog niveau van betrouwbaarheid beveiligd. Ook DigiD eenmalig inloggen is beveiligd door middel van een PKIoverheid-certificaat."

Nachtelijk handelen

Dan was er ineens een persconferentie in de nacht van 2 op 3 september even na één uur, toen de ernst van het incident werd ingezien. Tot dan had de algemene pers er ook weinig of niets van begrepen en het dus maar grotendeels verzwegen. Immers, de overheid had het nog gezegd: gaat u maar rustig slapen. De ellende trof immers slechts Iran. De misdaad die DigiNotar op z'n geweten heeft was geen reden voor een grote inval door het OM met draaiende camera's.

SP-kamerlid Sharon Gesthuizen bepleit nu een parlementaire enquete over digitale veiligheid in Nederland, vooral gezien de reactie van de overheid die de SP ver beneden peil vindt van wat je van de overheid mag verwachten.

De Nederlandse regering zegt wel het vertrouwen in alle certificaten van DigiNotar
op, neemt het beheer van systemen over en probeert te 'monitoren' of er ingebroken wordt in verbindingen. Uit het onderzoek blijkt niet dat na de inbraak op de systemen ook frauduleuze PKIOverheidscertificaten zijn aangemaakt, maar het valt zeker niet uit te sluiten omdat ook de logfiles van DigiNotar waaruit dit valt op te maken bewerkt zijn door krakers. "Op basis van kennis over de inbraak, en over het waarschijnlijke motief van de inbreker, is het vrijwel uit te sluiten dat in het voorgaande scenario uw gegevens in Nederland zijn afgeluisterd of gestolen."

De Nederlandse overheid trekt dus het Diginotar PKIoverheidscertificaat niet in, teneinde systemen en processen die afhankelijk zijn van de daaronder verstrekte certificaten niet 'onnodig' worden geraakt. Het gaat bijvoorbeeld om versleutelde gegevensuitwisseling tussen servers bij interne bedrijfsprocessen en verkeer tussen instanties onderling. Immers, het gaat hier meestal om versleuteling, en niet om het vaststellen van de identiteit van de andere partij.

Toezicht Opta

Wie houdt er toezicht op PKIoverheid en DigiNotar in dit geval? Dat ligt bij Opta. We stelden er, met behulp van lezers, vragen over. Immers, onder PKIoverheid worden mogelijk ook certificaten uitgegeven voor het aftappen. Daarvoor is het Agentschap Telecom echter verantwoordelijk.

Opta heet een TrustServiceStatusList met partijen die sleutels uitgeven. Opta praat in dit document over de Root Certificates van de erkende Trusted Third Party's (TTP's). DigiNotar is gehackt en 'untrusted' geworden. Daarnaast voert Opta op dit moment een taak uit voor het ministerie, namelijk het publiceren van de lijst van geregistreerde aanbieders van gekwalificeerde certificaten in de vorm van de zogenaamde TSL. In dit document is ook het toezicht vastgelegd.

Wat houdt het toezicht in de praktijk in, wat behelzen de Security Audits en zijn die beschikbaar? Opta: "Alle op dit moment bij Opta geregistreerde partijen waaronder DigiNotar worden minimaal één keer per jaar, en indien daar aanleiding voor is vaker ge-audit.

Deze audits worden uitgevoerd door auditors, BSI en PWC, die door de minister van EL&I [Economische Zaken] zijn aangesteld als certificerende instellingen. Aan de hand van deze audits controleren wij of de processen voor het uitgeven van gekwalificeerde certificaten voldoen aan de normen die zijn genoemd in de Telecomwet, het besluit elektronische handtekeningen en de bijbehorende regeling.

De audit-rapportages en/of andere informatie kunnen aanleiding zijn voor Opta om meer informatie op te vragen. Opta treedt handhavend op indien blijkt dat een geregistreerde partij niet voldoet aan wet- en regelgeving. Afhankelijk van de situatie kan dit bestaan uit een waarschuwing, een last onder dwangsom of het intrekken van de registratie.

Het intrekken van een registratie kan door OPTA worden ingezet wanneer vast is komen te staan dat niet is/wordt voldaan aan de in de wet- en regelgeving gestelde eisen.

De door Opta in het kader van de registratie- en/of toezichtstaak op TTP ontvangen informatie, waaronder audit-rapportages, zijn vertrouwelijk. Deze worden daarom niet verstrekt aan derden."

Dat is mooi gesproken, vertrouwelijk, maar het zou een zorgvuldige overheid passen om juist nu de audits van DigiNotar wel openbaar te maken. De nederlaag is geleden, alleen beseft de verliezer kennelijk de betekenis daarvan nog niet. Er zou geen parlementaire enquete of Wob-procedure voor nodig moeten zijn om het rapport te openbaren.

Maar Diginotar runt ook PKIoverheid zelf, dus kun je je afvragen of processen en systemen voldoende gescheiden zijn tussen deze partijen onderling?

Opta: "Voor Diginotar geldt dat is gebleken dat er een frauduleus SSL-certificaat is uitgegeven. Op (de uitgifte van) dergelijke certificaten wordt geen toezicht gehouden door Opta. Omdat Diginotar naast SSL-certificaten ook gekwalificeerde certificaten uitgeeft, staan zij voor die diensten onder toezicht van Opta...Het spreekt voor zich dat we de ontwikkelingen bij Diginotar nauwlettend volgen...."

De volgende stap voorstellen is dus geen rocket science: de overheid blijft om pragmatische reden nog even werken met DigiNotar maar zal er stoppen met PKIoverheid en de beveiliging in eigen hand moeten nemen. Het was verkeerd om onze veiligheid afhankelijk te maken van een particulier beveiligingsbedrijf. De politie wordt ook niet uitbesteed. De markt doet de rest met DigiNotar.

Overigens is uiteraard niet gezegd dat beveiliging in eigen hand van de overheid ineens heel veel beter zal worden. Maar er komt directe ministeriële verantwoordelijkheid, die overigens even onverwacht als adequaat begon in de nacht van 2 op 3 september 2011. Welkom in de 21e eeuw...