Misdadige nalatigheid

Door toedoen van een Nederlands bedrijf lopen 300.000 Iraniërs nu gevaar: hun e-mails, hun surfgedrag, hun skypegesprekken, hun contacten zijn een maandlang afgeluisterd, waarschijnlijk door Iran zelf. Deze mensen dachten versleuteld met Skype, Google, Twitter of andere websites te communiceren, maar gaven ongemerkt al hun informatie door aan valse sites die zich tussen hen en hun werkelijke bestemming hadden gemanoeuvreerd. Een klassieke man-in-the-middle aanval.

De afluisteraars vermomden zich via certificaten als the real thing. Zulke certificaten worden door erkende autoriteiten opgesteld en dienen als bewijs van echtheid. Maar het Nederlandse DigiNotar deelde sinds begin juli honderden valse certificaten uit, aangemaakt door –vermoedelijk Iraanse – hackers. DigiNotar bemerkte de hack pas weken later, trok een serie valse certificaten in, maar waarschuwde niemand. Meer valse certificaten werden gevonden en weer ingetrokken.

Terwijl DigiNotar de zaak stilhield, gingen de hacks gewoon door. Op 4 augustus lukte het om een vals certificaat op grote schaal in Iran te verspreiden. In de weken erna vroegen 300.000 Iraanse computers bij DigiNotar na of dat wel een écht Google-certificaat was. ‘Ja hoor,’ antwoorden de computers van DigiNotar 300.000 keer. Waardoor die computers stuk voor stuk werden gecompromitteerd en wekenlang konden worden afgeluisterd.

DigiNotar viel door de mand, is nu extern doorgelicht en blijkt een onthutsende klungelaar. Simpele wachtwoorden, geen virusscanner, geen goede logs, geen updates, amper controles: een grabbelton van beginnersfouten.

Meest pijnlijk is dat DigiNotar niemand op de hoogte stelde van de hack en zelf bleef doorklungelen, met mogelijk zeer ernstige gevolgen voor de mensen achter die 300.000 Iraanse computers. Mensen die juist extra hun best deden om zichzelf te beschermen, door alleen versleutelde sites te gebruiken. Het is misdadige nalatigheid.

Ook Nederland is beschadigd. DigiNotar verzorgde veel certificaten voor de overheid: websites van ministeries, de Belastingdienst, 3500 gemeentelokketten. Duizenden certificaten moeten worden vervangen, wat vooral bij de gemeentes veel gedoe oplevert. En computers met oude certificaten zijn niet meer te vertrouwen.

De Belastingdienst trok gisteren de enige logische conclusie: we kunnen nu ook het DigiD – de elektronische identificatie van burgers – ‘even niet meer vertrouwen’. De gegevens van burgers die de afgelopen weken hun DigiD-hebben gebruikt, zijn mogelijk afgetapt; een vrijbrief voor identiteitsfraude. (Tip: verander over een paar dagen allemaal het wachtwoord voor je DigiD!)

Laten ons hier alsjeblieft van leren. Het is hoog tijd om serieus na te denken over databeveiliging, over verplichte melding van hacks en van datalekken; over veilige en beschermde communicatie.

Author: Spaink

beheerder / moderator

30 thoughts on “Misdadige nalatigheid”

  1. Goed en te weinig gehoord commentaar. Dat wij er digitale shit van hebben, valt in het niet bij de gevaren voor 300.000 Iraniërs. Zet de privacydiscussie maar weer eens in een ander perspectief…

    Groet,

    Ruud Ketelaar (tot 1994 medewerker Stichting Waakzaamheid Persoonsregistratie)

  2. Karin,

    Ik ben het absoluut met je eens dat het volstrekt ontoelaatbaar is hoe Diginotar hier mee om is gegaan.
    Maar je hebt het over ‘300.000 Iraanse computers’, zijn dit 300.000 verschillende computers of zijn het aanvragen *van* 300.000 computers?
    Dit verschil maakt het niet minder erg, maar feiten moet je wel duidelijk weergeven.

  3. Ken een Iraanse vluchteling die doodsbang is voor de Iraanse overheid. Hij heeft jonge, internettende dochters die veelvuldig informatie utiwisselen met vrienden en familie in hun vaderland…

    Goed Karin dat je dit zo onder de aandacht blijft brengen. En bedankt voor de tip.

  4. Dat de Nederlandse overheden de verplichte melding van hacks en datalekken niet in hun overeenkomst met Diginotar hebben opgenomen is minstens even klunzig als hoe het er bij dat bedrijf toeging.

  5. @ 8.

    “Links gelul”? Bij mij zit ie gewoon in het midden. Bij ‘Rechts’ in hun nek. (Als ik ook even mag kraaien.)

    En bedankt Karin voor die tip over het wijzigen van je DigID wachtwoord. Volgens de overheid (….) is het nu weer veilig (….) om DigID te gebruiken, maar ik heb besloten om het helemaal op te heffen. Dat lijkt me ook wel een goed signaal en bovendien gebruik ik het maar eens per jaar, dus ik maak de volgende keer wel even een nieue aan om die na gebruik ook weer meteen op te heffen….

  6. Aan de ene kant snap ik je reactie Karin….

    Aan de andere kant ook niet…. Ik ken ook een gast ( nou ja ik ken hem via via via ) en die is programeur en die kan gewoon meelezen met een willekeurige msn omdat zulke gasten toegang weten te krijgen tot de server……

    Dus ja op zich niets nieuws dit…. voor mij.,,…

  7. Ten tweede? ken ik een justitie figuur…. En die bespreekt nix via Facebook ( in ons kikkerlandje ) omdat ie die server ook niet vetrouwd….ivm criminele hackers….. Nou ja hij praat wel op facebook… in de trent van luchtige zaken als “moet mn band van mn fiets plakken” enzo….

  8. Gelukkig is het hele internet zo lek als een mandje. We zijn geobsedeerde angsthazen geworden. De privacy in je hoofd is de enige die redelijk beschermd is.

  9. Willem @ 13: Waarom niet? Er is kans dat gegevens over het DigiD – en ook: de verstrekte en opgevraagde gegevens – zijn onderschept. Daarnaast kan het sowieso nooit kwaad om je wachtword geregeld te wijzigen.

    Robelia @ 17: juist https is wel veilig, verkeer over htpps wordt versleuteld. Tenminste, wanneer DigiNotar niet valselijk certificaten uitdeelt…

  10. Een andere reden voor het falen is nog niet genoemd:
    de inteeld bij door de overheid gefinancieerde ‘bedrijven’: zo werd diginotar ‘gecontroleerd’ door PWC. Medewerkers van Diginotar zitten in de ‘Commissie Toezicht Onafhankelijkheid van PwC’ …

    De overheid is voor PWC een cashcow, net als voor Diginotar. Er is een heel scala aan ‘bedrijven’ dat elkaar certificaten en rapporten toestuurd die hun ‘betrouwbaarheid’ moeten bewijzen, zodat men allemaal bij de ministeries miljoenen kan binnenharken. Allemaal hebben ze dezelfde opdracht: vertellen hoe betrouwbaar de andere partij is zodat ze vervolgens geld kunnen loskrijgen bij naieve ambtenaartjes die kans zien om hun verantwoordelijkheid bij een ‘onafhankelijke partij’ te leggen.

    Stellen dat diginotar ‘extern is doorgelicht’ en dat feiten dan nu wel boven tafel komen is onzin. Fox-it is (net als PWC en Diginotar) voor >80% afhankelijk van de overheid, dus zo extern is dat niet…

  11. Beste Karin,

    Meestal ben ik het met je eens, maar in dit geval behandel je de helft van het verhaal. De ene helft, dat Diginotar betrouwbaar moet zijn is logisch.
    De andere helft is van het verhaal is, dat het systeem met certificaten niet betrouwbaar is. Dat systeem is in de jaren 90 opgezet en werkt goed met een betrouwbare server, die een paar betrouwbare certificaten uitgeeft. Onderhand hebben we meer dan 600 bedrijven, die meer dan 2.000.000 certificaten hebben uitgegeven. Een certificaat kost gemiddeld meer dan 10 euro.

    Omdat niemand meer kan overzien of alle certificaten betrouwbaar zijn, zullen er vroeger of later onbetrouwbare certificaten opduiken. Dat gebeurde o.m. Bij comodo http://www.networking4all.com/nl/helpdesk/tools/site+check/comodo en zal nog wel vaker voorkomen. Dan valt het nog mee, dat we hier met een kleine speler als Diginotar te maken hebben; als b.v. Verisign wordt gecompromitteerd valt het halve internet uit. En dat is dan niet in een weekje te repareren. En dat heeft tot resultaat, dat het systeem in zo’n geval onbetrouwbaar blijft doordraaien.

    Alternatieven zijn of lastig voor de gebruikers (die moeten dan bij elke secure site aangeven, of ze die willen vertrouwen) of de browser moet de secure verbinding initialiseren (zie black hat). De certificaat verstrekkers hebben een financieel belang om de situatie niet te veranderen.

    De andere kant van je verhaal is dus zorgelijker: wen er maar aan dat het internet niet echt betrouwbaar is.

    Henk2

  12. @ Spaink (15).

    https is ook al niet meer veilig.

    Op de HCC-dagen najaar vorig jaar, was een vooraanstaande securitypief, die een screenshot van een site liet zien, die keurig https had en ook nog een slotje – oid, ik ben geen kenner en geen gebruiker van internetbankieren, want daar ging het om – en dat was toch een nepsite.

    Wie die man was zou je, indien je geïnteresseerd bent, bij de HCC kunnen navragen.

    Nee, ook internet is niet meer wat het geweest is. :(

    Volgens mij(n tamelijk digilekeverstand) is ALLES wat met computers in netwerken te maken heeft, van huitenaf te corrumperen, als je maar weet welk bitje je als eerste moet omkeren. En dan heb ik het dus alleen nog maar over de technische corruptie….

    En ik ga nog een stap verder dan moos (16), die het al had over al die handen op één buik. Het zou mij niks verbazen als een bedrijf als Diginotar opgericht is om failliet te gaan. De totale afwezigheid van security binnen dat bedrijf heeft toch ook al aardig wat centjes uitgespaard….

    Mijn stelling is dat, met dank aan de overheid, die volhardt in een verbodsbeleid tav drugs, de criminelen steeds maar rijker worden. En die moeten met dat geld ergens heen.

    Zo was jaren geleden al bekend dat ze al aardig geïnfiltreerd hadden in de onroerendgoedmarkt. Dus waarom ook niet in van die leuke softwarebedrijven? Of beter nog: ze zelf oprichten. (Met medeneming van hun mentaliteit uiteraard.)

    Zeker als je de overheid, die nog steeds enorm achter loopt op digigebied en als halve leek beschouwd kan worden wat dat betreft – ja hoor, blijf maar Windows gebruiken – ook nog eens leuk allerlei subsiedies kan aftroggelen. Feest!

    Groet, J.

  13. Janus, https hacken kan uiteraard wel maar vergt vaak flink wat inspanning. Het probleem met deze valselijk uitgegeven certificaten is nu juist dat het *exact* op veilig verkeer lijkt (https) maar intussen alle informatie omleidt naar een valse site.

  14. Karin,

    Hoe dat precies met die certificaten werkt, weet ik dan weer niet, want daar ben ik niet digideskundig genoeg voor. Maar het zou dus kunnen dat dit hele gedoe al oud nieuws* is, alleen was/is het nu dus gekoppeld aan Diginotar en de overheid.

    * Want die HCC dagen waren al in 2009, geloof ik zelfs – waar blijft de tijd – en dan zouden al in 2009 dit soort trucs bekend zijn geweest. Ik weet alleen niet of die securitypief het toen ook over valse certificaten had of dat hij het over andersoortige hacks had.

    En dat hacken vaak flink wat inspanning vergt, dat geloof ik onmiddelijk, maar als daar voldoende tegenover staat…. En: het kán dus allemaal wel.

    Ik las gisteren dat er nu allerlei privégegevens van studenten ‘op straat’ lagen, om maar weer iets te noemen. Dat kan ook slordigheid zijn geweest, maar daar heb ik me maar niet in verdiept. Overheid…..

    Ik denk dat de echt goeie (criminele) hacks helemaal nooit bekend zullen worden. Die criminelen zullen daar in elk gaval niet mee te koop lopen. Kwajongenshackers doen dat om op te scheppen wel nogal eens en die worden dan ook gepakt. De echt gevaarlijke niet.

    En op de dag dat de benodigde security om internet te beveiligen meer kost, dan internet oplevert, dan is het finito, althans wat de risicodragende taken ervan betreft. Dat denk ik tenminste. Maar dat zal per taak worden afgewogen. En elke taak, die niet te beveiligen is, zal verdwijnen.

    Ik heb mijn DigID inmiddels opgeheven. Te meer, omdat het erg eenvoudig is om een nieuwe aan te maken. Wat ik per keer dat ik het nodig heb dus ga doen om het dan meteen daarna weer op te heffen.

    Groet, Janus.

  15. Janus, met een vals certificaat kan een namaak-website doen alsof-ie de website van het certificaat is, bv https://gmail.google.com. Maar in werkelijkheid beland je op een tussenwebsite, die al het verkeer onderschept en doorgeeft. Als hebruiker merk je niks – je ziet immers gmail.google.com, en alles lijkt te kloppen: de url, het slotje – maar daar ben je helemaal niet. Dat is wat certificaatvervalsing zo perfide maakt.

    Dat internet niet helemaal veilig is, geeft niks. Niemand shciet er iets mee op of berokkent veel schade als ze mijn website slopen. Maar waneer het om mail gaat, om overheidsverkeer, om geldverkeer – dan telt beveiliging wel. Je hoeft dus lang niet alles terdege te beveiligen, wél sites die gevoelige informatie doorgeven of beheren.

  16. Spaink @15: WW regelmatig veranderen is idd verstandig. Alleen zou ik dat op dit moment niet doen bij DigiD. Wie garandeert mij dat de SSL versleuteling van het http verkeer nu wel te vertrouwen is?

  17. Willem, je kunt het certificaat van de site gewoon even bestuderen. Is dat een heel recent certificaat en niet uitgegeven door DigiNotar, dan is de boel in orde.

  18. @ 21.

    Karin, bedankt voor je uitleg over die certificaten. Wat daar softwarematig dan weer onder zit, daar vraag ik maar niet naar, want dat gaat dan echt boven mijn pet. Ik hoop wel dat die Gmailsite, die je liet zien, de echte is en geen valse, want die gebruik ik ook….. :).

    Wat je tweede alinea betreft, daarover ben ik het helemaal met je eens. Maar de vraag blijft wel in hoeverre die risicodragende sites/functies van internet echt te beveiligen zijn. Maar daar zullen we op den duur wel achter komen, denk ik. Hoe dan ook, we zullen altijd een niet-risicodragend internet over houden en dat is ook heel veel waard.

    En @ 22 en 23 las ik laatst op de DigID site – toen ik mijn DigID ging opheffen – dat volgens hen alles weer veilig is. Maar ja, volgens hen…. Ik heb het toch maar opgeheven.

    Groet, J.

Leave a Reply

Your email address will not be published. Required fields are marked *

Hou me per e-mail op de hoogte van nieuwe reacties op dit artikel.
      (U kunt zich hier abonneren zonder zelf te hoeven reageren.)

This site uses Akismet to reduce spam. Learn how your comment data is processed.