Uit onderzoek van ict-beveiligingsbedrijf Fox-IT is gebleken dat ook de PKI Overheid-certificaten van het Beverwijkse authenticatiebedrijf Diginotar niet meer betrouwbaar zijn. Gebruikers van overheidssites zijn er daardoor niet zeker meer van dat ze daadwerkelijk de site van hun keuze bezoeken en niet op een nepsite terecht komen. Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties heeft ingegrepen. Overheidswebsites, zoals van DigiD, RDW en de Belastingdienst, gaan zo snel mogelijk over op andere beveiligingscertificaten. Het operationeel beheer van alle certificaten wordt van Diginotar overgenomen.
De minister heeft ook overleg gevoerd met werkgeversorganisatie VNO-NCW omdat de problemen met de certificaten ook bedrijven kunnen raken die er gebruik van maken. Donner zei in de nacht van 2 op 3 september 2011 tijdens een in aller ijl belegde persconferentie dat hij wil voorkomen dat het beeld ontstaat dat alle overheidswebsites onbetrouwbaar zijn. Van hoeveel sites de beveiliging in het geding is, is nog niet duidelijk.
Eerder werd bekend dat de Diginotar-certificaten van eigen merk door een elektronische inbraak niet meer veilig zijn. Zo werd een vervalst SSL-certificaat afkomstig van Diginotar misbruikt voor aanvallen op gebruikers van Google. Nu zijn daar dus de pki-certificaten voor de overheid bijgekomen. Naar verluidt hebben Iraanse hackers ingebroken bij de Nederlandse pki-dienstverlener, sinds kort in handen van het Amerikaanse Vasco.
Nepsite
De rijksoverheid maakt op diverse websites meldingen dat gebruikers beveiligingswaarschuwingen kunnen krijgen omdat hun internetbrowser het beveiligingscertificaat van Diginotar niet meer vertrouwt. Beveiligingscertificaten beveiligen de verbinding tussen de internetbrowser en de betreffende site. Ook geeft zo'n certificaat zekerheid dat een gebruiker de echte website bezoekt en niet een nepsite.
De DigiD-organisatie laat weten dat de helpdesk als gevolg van de beveiligingsproblemen gedurende het weekeinde geopend. Logius, het servicehuis voor de infrastructuur van de rijksoverheid, heeft een telefoonlijn (0900 – 555 4555) geopend en een servicepagina over hoe certificaten te vervangen zijn door drie andere certificaatleveranciers van PKI Overheid services/SSL-certificaten (ESG, QuoVadis, Getronics).
Diginotar heeft gebruikers anderhalf maand geleden kunnen waarschuwen, maar heeft dat niet gedaan. Nu de beerput open is gegaan en de overheid Diginotar eruit heeft gegooid, zullen vele bedrijven wel volgen, want het belangrijkste asset van Dignotar is naar de Filistijnen.
Ik verwacht dat moederconcern Vasco het huidige management van Diginotar zal gaan vervangen, net als de verouderde infrastructuur en een nieuwe naam voor de dochter gaat verzinnen.
Is het een verrassing dat Diginotar is overtreden? Niet echt – De waarschuwingen waren er enkele maanden geleden, toen een vergelijkbaar bedrijf, Comodo, ook werd geschonden aanwezig. Maar gezien de onverschilligheid en onwetendheid van vele verantwoordelijke voor de beveiliging van hun IT-infrastructuur ontstaat de neiging om een mentaliteit te creeëren in de sector van Nederland als: “het kan en zal mij niet overkomen”.
In feite behoren Nederlandse organisaties tot de weinige in Europa die niet aan het proberen zijn om deze risico’s aan te pakken. Ik heb zowel de overheids-en commerciële sectoren in Nederland gewaarschuwd. De waarschuwing hield in, dat zij zich beter moesten voorbereiden bij soort gelijke evenementen. De meeste personen die de verantwoordelijkheid hebben voor de beveiliging hebben hier echter geen aandacht voor.
Je zet ook niet al je geld op één renpaard. De inbraak bij Diginotar moeten wij allen zien als een waarschuwing. Het kan ons allen gebeuren. Organisaties die niet zijn voorbereid op soortgelijke evenementen lopen het risico gedwongen uit het bedrijfsleven te moeten stappen als zo’n inbraak bij hen gebeurd. Iedereen zou een saneringsplan moeten hebben in het geval van een SSL-compromis.
Het is hoog tijd dat de Nederlandse IT-sector wakker wordt en de risico’s erkent. Het is een groot probleem van business continuïteit, die ingezien en begrepen moet worden.
En denk niet dat je niet gehacked kan worden,… dat ben je al!
De vraag is waarom Donner zolang gewacht heeft met het bekendmaken hiervan. De indruk wordt gewekt dat de bekendmaking niet kon wachten en per se in de nacht van 2 op 3 september publiekelijk gemaakt moest worden. En dit terwijl al vanaf half juli Diginotar met vervalste certificaten te kampen heeft.
Wellicht zijn er honderden vervalste certificaten gemaakt. Een kwart van deze vervalste certificaten zou zijn uitgegeven nadat Diginotar de hack medio juli had ontdekt.
Govcert.nl stelt daarom voor:
– “Websites gaan op zo kort mogelijke termijn over op andere PKI-certificatenleveranciers.
– We kiezen voor een beheerst overgangsscenario waarbij het operationeel beheer van alle certificaten van Diginotar wordt overgenomen.
– Door operationeel beheer over te nemen kunnen we aansluitend monitoren of oneigenlijk gebruik plaatsvindt tijdens de overgangsfase.”
Het VNO meldt vandaag op hun website: “Bedrijven die gebruik maken van certificaten van DigiNotar, om hun communicatie op internet te beveiligen, moeten snel overstappen op andere dienstverleners van beveiligingscertificaten”.
Einde DigNotar
Wat mij het meest verbaasd is de stilte die Diginotar hanteert. Of ze zijn erg naief, of ze dachten dat het wel zou overwaaien.
Je kon al snel stellen dat dit tot grote ophef zou leiden. In hun geval hadden ze van ieder certificaat de aanvrager extra moeten checken.
Zo vreemd is het niet om een hervalidatie van de aanvrager te doen.
Het kost wel tijd en dus ook geld, maar dat was beter geweest dan wat er nu gebeurt is.
Wat dit vooral aangetoond heeft is dat bestuurstechnisch dit langer heeft geduurd dan strikt noodzakelijk. Al voordat men merkt dat men gehacked is moet er al een noodplan zijn horende bij een risico inventarisatie. Worst case scenario is dan de stekker eruit.
Wat dat betreft hoort iedere organisatie die persoonsgegegevens beheerd een security audit afgenomen te worden. In gevallen van overheden moeten de resultaten dan ook op te vragen te zijn via WoB. Niet dat dit ineens alle problemen oplost maar het is dan beter dan het gestuntel wat we tot nu toe hebben gezien.
Tja, het zoveelste voorbeeld waaruit blijkt dat we hier te maken hebben met een overheid die IT nog steeds niet als core business ziet. Hoeveel van dit soort gevallen moeten er nog voorbij komen totdat men inziet dat het zo niet langer kan? Dit is een situatie die niet is te vergelijken met het dagelijks bestuur. Dit is een noodsituatie, waar een totaal ander proces voor nodig is. Overheid, wen er maar aan, en buig je over de implementatie van een proces dat sneller is te activeren, dan de bestuurlijke rompslomp die tot nu toe wordt bedreven. Dit is de 21e eeuw…zijn jullie er klaar voor? De hackers in ieder geval wel….
Uiteindelijk kun je alleen maar respect hebben voor de mensen achter Firefox, die hun nek hebben uitgestoken en de rootcertificaten van Diginotar uit hun browser hebben verwijderd. De andere browser makers (zoals bijv Microsoft, Google) hebben wel gezegd dat ze dat zouden doen, maar gewacht tot een ander het deed. Uiteindelijk heeft Firefox haar verantwoordelijkheid genomen en de nek uit gestoken waardoor de bal vorige week begon te rollen. Schande aan Diginotar, schande aan de overheid, maar bovenal hulde voor Firefox!
Naast de binnenlandse gevolgen zijn de internationale gevolgen eigenlijk veel dramatischer. Het is game-over voor DigiNotar. Mozilla en Google hebben verklaard dat Firefox en Chrome nooit meer certificaten van DigiNotar zullen vertrouwen (waaronder dus PKIoverheid).
Er wordt gesproken over ‘substandard practices’ en Directeur Firefox Engineering Johnathan Nightingale heeft het over ‘a litany of failures that put entire internet populations at risk’.
Dat wordt opdoeken.
Wat zit er een spanning en sensatie negatief waarde oordeel wel.
Is deze koppenmaker van Privé overgenomen?