DigiNotar CA hack raakt ons allemaal

Het is verbazingwekkend hoe mensen soms vertrouwen op papier. Ik heb zelf in het verleden de nodige security audits meegemaakt en ervaren hoe een papieren tijger dat kan zijn. Ik ben zelf architect geweest van het productieproces van de chipkaarten waarmee in Nederland ruim 5 miljoen betaalpassen mee waren uitgerust in de jaren 90. De audits van creditcard maatschappijen en TNO waren niet misselijk. Weinig werd geloofd en alles moest fysiek worden aangetoond. Latere audits in andere projecten zakte weg in papieren 'ISO' tijgers.
diginotar_hacked-180x90

Dit artikel is op 9 september 2011 ook gepubliceerd door Computable

Basis van beveiliging KPI sleutels

De basis achter het beveiligen van die chipkaarten en de PKI-sleutels er in was een ingewikkeld proces waarin sleutels werden verdeeld over verschillende mensen en een deel van die sleutels zelf ook weer versleuteld waren met zogenaamde Key-encryption Keys. De belangrijkste sleutels waren ook fysiek opgedeeld opgeslagen op draagbare media die in verschillende kluizen op verschillende locaties onder verantwoordelijkheid van verschillende personen werden opgeslagen (nee echt niet bij elkaar en zeker niet online leesbaar).

Praktisch onmogelijk om in zo’n situatie significante sleutels te bemachtigen zonder dat iemand het in de gaten heeft. En ja inderdaad erg lastig als we een nieuwe run in de productie moesten programmeren; want dat betekende fysiek transport van mensen via verschillende routes. En ja dat kost geld.

Bezuinigingen of onkunde?

Als processen te duur worden gaat een commercieel bedrijf bezuinigen. Een wijziging in de procedures wordt niet altijd meer uitgebreid overwogen en de managers die er over nadenken geven niet altijd het geld uit om een echte expert goede adviezen te laten schrijven. In dit geval leidde deze besparing (of was het onkunde) tot onbeveiligde servers, slordig systeembeheer en outdated software op de servers.

Rol van de Overheid

Maar net als het aanmaken van fysieke paspoorten en bankbiljetten is ondergebracht bij externe drukkerijen zou het uitgeven van PKI-certificaten op zich ook wel door een commercieel bedrijf kunnen gebeuren. Als burger zou ik echter verwachten dat de overheid hierin een grotere vinger in de pap heeft. Eigenlijk zou het ministerie van binnenlandse zaken de identiteiten van de burgers moeten bewaken (zowel fysieke documenten als digitale identiteit).

Einde van DigiNotar

DigiNotar (met Rabobank als aandeelhouder) hadden ons aller vertrouwen en dat hebben ze beschaamd. Een certificaat maken is technisch niet zo moeilijk. Het lastige is om het administratief organisatorisch en systeembeheer technisch (firewalls, systeemsoftware, wachtwoordenbeheer, virussoftware, etc) zo in te richten dat ons aller identiteit veilig is. Dat we er op kunnen vertrouwen dat een digitale handtekening (= elektronisch bewijs van wilsbeschikking, tijdstempel en identiteit) ook werkelijk de mijne is. DigiNotar heeft het verpest, de overheid heeft nieuwe certificaten maar het is mij niet duidelijk waar deze nu vandaan komen. Ze worden nu (sinds 4 september 2011) uitgegeven door Getronics Pink Roccade b.v. namens de Nederlandse Overheid. Is het nu wel in orde? Ik hoop het maar!

Twee maanden aan de gang

Bijzonder is in dit geval dat de hackers bijna twee maanden (6 juni – 30 augustus) hun gang konden gaan op de servers van DigiNotar en dat er een onbekend aantal certificaten is uitgegeven waaronder onder het domein google.com (volgens interim rapport van Fox-IT). Er is software op de machines van DigiNotar aangetroffen waarmee certificaten konden worden gegenereerd en er zijn een onbekend aantal PKI-certificaten gegenereerd.

Serieuze aanval met impact

Uit de gepubliceerde lijst van geraakte Certification Authirities (CA’s) blijkt wel dat we hier te maken hebben met een serieuze aanval. Met een certificaat van de Notariële Beroepsorganisatie bijvoorbeeld zetten notarissen hun elektronische handtekening onder belangrijke transacties die daarmee rechtsgeldig zijn.

Het vermoedelijke doel an de hackers is geweest om elektronische communicatie in Iran te kraken. Althans alle sporen leiden daar naartoe. Al met al een geslaagde hack poging met een internationale impact.

Overigens is deze aanval niet uniek. De Certification Athority (CA) Comodo is eerder dit jaar door vermoedelijk dezelfde hacker gekraakt.

Google mailboxen en applicaties gehackt

Een bekend effect is onder andere dat doordat het google.com domein is gehackt, de e-mail van gebruikers door de hackers kon worden gelezen. Daarnaast konden de hackers inloggen bij alle andere Google services via de computer van de betreffende gebruiker. Omdat de e-mail kon worden gelezen waren de hackers ook in staat om andere accounts het wachtwoord te resetten en zo ook daar door in te breken.

Storingen bij SSL van internetbankieren bij de Rabobank

Het internetbankieren lukte niet of het ging heel traag. Ook betalingen met iDeal en mobiel bankieren ondervonden hinder. Achteraf bleek dat dat een signaal had mogen zijn voor het hacken. Dit signaal is niet opgepakt of niet bij de juiste personen terecht gekomen (of is dat door de Rabobank, als belanghebbende, in de doofpot gestopt?).

Alle browsers geven nieuwe versies uit

Zo komen er nieuwe versies van de internetbrowsers van Mozilla, zoals Firefox. Mozilla heeft alle SSL-certificaten van DigiNotar ingetrokken. Wie met Firefox DigiD bezoekt, zal een waarschuwing krijgen dat de site niet te vertrouwen is. Ook Microsoft heeft een soortgelijke beslissing genomen voor hun serversystemen.

Impact op WordPress, Google, Notarissen,

Een indrukwekkende lijst van de domeinen die zijn geraakt:

  • addons.mozilla.org
  • android.com
  • aol.com
  • cia.gov
  • Comodo Root CA
  • CyberTrust Root CA
  • DigiCert Root CA
  • Equifax Root CA
  • facebook.com
  • GlobalSign Root CA
  • google.com
  • login.live.com
  • login.yahoo.com
  • logmein.com
  • microsoft.com
  • mozilla.org
  • secure.logmein.com
  • skype.com
  • Thawte Root CA
  • twitter.com
  • update.microsoft.com
  • VeriSign Root CA
  • windowsupdate.com
  • wordpress.com

Maar de rol van de gebruikers dan?

De bezoekers van websites zijn dus blijkbaar niet in staat om de echtheid van een certificaat te beoordelen. Er zijn maar weinig mensen in staat om te beoordelen of het door welke instantie dan ook uitgegeven PKI-certificaat waarmee een website wordt beveiligd ook werkelijk een valide certificaat is. Dat betekend dat eigenlijk iedereen de website van 3xkloppen uit zijn hoofd zou moeten kennen; het kunnen beoordelen van een digitale identiteit is immers een belangrijk onderdeel van onze digitale maatschappij.

Meer informatie:

  • zie Foc-IT rapport op de website van de rijksoverheid

Deel jouw gedachten

Er zijn nog geen opmerkingen