Ophef Diginotar: overdreven of niet?

De kwestie van de gecompromitteerde DigiNotar-certificaten heeft in de afgelopen week geleid tot een golf van publicaties. Hoewel de daadwerkelijke impact van deze gebeurtenis naar het zich laat aanzien heeft beperkt tot Iran en Iraanse burgers wordt er veel geschreven en gezegd over het geschonden vertrouwen in het internet.

Reacties
Er zijn overtrokken reacties zoals de suggestie van Minister Donner om misschien maar weer te gaan bankieren met papieren overschrijvingen. Ook zijn er deskundigen die de gelegenheid aangrijpen om te beweren dat er iets structureel mis is met het internet. In een artikel op Computerworld wordt gesteld dat alles te kraken is. Dat is op zich een open deur. Maar daarbij wordt ook de suggestie gewekt dat de persoonlijke gegevens van alle Nederlanders met een paar muisklikken door hackers kunnen worden opgehaald. Dat roept dan de vraag op waarom de Iraanse hackers zoveel moeite hebben gedaan om via de onhandige DigiNotar omweg te werken, met een grote kans op ontdekking.

Consequenties
Het is interessant om uit te vinden wie feitelijk achter de inbraak zitten. Er zijn tenslotte strafrechtelijke consequenties. Het is dan ook vreemd dat het OM wel heeft aangekondigd DigiNotar te gaan onderzoeken maar niet rept over de opsporing van de hackers. Mocht blijken dat de Iraanse overheid betrokken is, reiken de consequenties uiteraard nog veel verder.

Niet structureel
Van structurele technische problemen is gelukkig geen sprake. Met SSL-certificaten wordt het internetverkeer al zo’n vijftien jaar beschermd. Het gegeven dat kwaadwillende mogendheden verkeer in hun land waarover ze controle uitoefenen kunnen afluisteren, is al tijdenlang bekend. Voor Nederlandse burgers zijn er in elk geval nauwelijks gevolgen. Om echt gegevens van Nederlandse gebruikers te pakken te krijgen hadden de Iraanse hackers ook nog andere systemen zoals DNS of routers moeten compromitteren, of hadden ze Nederlandse gebruikers met links in spamberichten moeten verleiden om naar valse sites te gaan. Het rapport ‘Operation black tulip’, waarin Fox-IT DigiNotar analyseert, laat overtuigend zien dat er geen aanwijzingen zijn dat Nederlandse burgers terecht zijn gekomen op valse DigiD- of overheidssites.

Gevoel van zekerheid geraakt
De paniek die naar aanleiding van deze affaire is ontstaan over de veiligheid van het internet valt dus niet te verklaren uit de technische feiten alleen. Maar het kraken van DigiNotar en het falen van toezicht en controle raakt wel degelijk ons gevoel van zekerheid. Het internet functioneert door het naleven van een paar belangrijke onderlinge afspraken. Daar hoort bij dat de partijen die aan de basis staan van internetfuncties hun zaken goed regelen. Certificaten worden uitgegeven door RA’s (Registration Authorities) en CA’s (Certificate Authorities) die de identiteit van bedrijven horen te controleren, en er voor horen te zorgen dat uitsluitend certificaten worden gemaakt die zijn te herleiden naar de eigenaar van het domein. Dat uitgerekend zo’n RA/CA de veiligheid heeft verslonsd, is dan ook erg kwalijk. Het eerder genoemde Fox-IT rapport laat een aantal ernstige en elementaire fouten zien in de beveiliging bij DigiNotar. De eerste hack vond al op 17 juni 2011 plaats maar werd pas in juli ontdekt. Alle servers van DigiNotar zijn lid van hetzelfde domein zodat met één gebruikersnaam en wachtwoordcombinatie op alle machines kon worden ingelogd. Het Fox-IT-rapport spreekt niet over firewall-rules of het beheer van het IDS (Intrusion detection system), maar het is onbegrijpelijk hoe de DigiNotar-installatie het mogelijk maakte om vanaf een willekeurig IP-adres in te kunnen loggen op productieservers. Verder waren de machines niet up-to-date en was er geen virusscanner geïnstalleerd. De malware die de hacker installeerde was met een up-to-date virusscanner zeker gedetecteerd geweest, zo melden F-secure en Fox-IT . Al met al leidt dit tot de schokkende constatering dat een firma die als primaire service het verifiëren van identiteit en uitgeven van SSL-certificaten heeft, de paar servers waarop hun core business draaide niet had voorzien van de meest elementaire veiligheidsmaatregelen.

De zorgelijke conclusie is dan ook dat het beveiligingsbeheer bij een bedrijf dat een kerntaak heeft voor het internet kan falen zonder dat dit wordt opgemerkt. CA’s worden jaarlijks ge-audit, en het feit dat de genoemde security flaws niet zijn gezien, roept vragen op over de kwaliteit van de jaarlijkse CA audit die PWC uitvoerde bij DigiNotar. En uiteraard over de kwaliteit en aandacht van het DigiNotar management voor security. En ook over de criteria die de overheid hanteert bij het aanbesteden van dit soort diensten.

Meer eenduidigheid en transparantie
Het is de hoogste tijd dat er meer eenduidigheid en transparantie komt in de classificatie van diensten op het internet en de wijze waarop beschikbaarheid, veiligheid en continuïteit moeten worden beschermd. Bij systemen als de CA-functie bij DigiNotar hoort een heldere, voor iedereen zichtbare en eenduidige set van management security controls. Een auditor moet deze periodiek controleren. Waarbij het niet meer mogelijk mag zijn dat het ontbreken van een simpele virusscanner of firewall-rule niet wordt opgemerkt.

De DHPA deelnemers hebben onlangs de rijen gesloten als het gaat om verbetering van die transparantie. De DHPA heeft aangekondigd een eigen keurmerk uit te brengen, met management controls op het gebied van veiligheid, beschikbaarheid, continuïteit en ondersteuning. Deze controls gelden in de breedte en worden door alle deelnemers aan het keurmerk nageleefd. Met die gestandaardiseerde aanpak hoopt de DHPA een bijdrage te leveren aan de verbetering van kwaliteit en veiligheid. Dat zal de kans verkleinen dat belangrijke systemen zoals DigiNotar CA onbeschermd zullen blijven.

Foto: geert@cheeseworks.nl


Michiel Steltman is directeur van DHPA en als adviseur werkzaam binnen de cloud- en hostingsector.

Over Michiel Steltman