De certificatenfabriek van Nederland is gekraakt. Dat heeft meer impact dan de pers ons verteld. Als je het forensisch rapport bekijkt dan schrik je behoorlijk. De basis regels van beveiliging zijn niet toegepast. Maar daarnaast hebben ook de gebruikers van beveiligde webdiensten het niet in de gaten gehad.
Het is verbazingwekkend hoe mensen soms vertrouwen op papier. Ik heb zelf in het verleden de nodige security audits meegemaakt en ervaren hoe een papieren tijger dat kan zijn. Ik ben zelf architect geweest van het productieproces van de chipkaarten waarmee in Nederland ruim vijf miljoen betaalpassen waren uitgerust in de jaren 90. De audits van creditcardmaatschappijen en TNO waren niet misselijk. Weinig werd geloofd en alles moest fysiek worden aangetoond. Latere audits in andere projecten zakten weg in papieren 'ISO' tijgers.
Basis van beveiliging
De basis achter het beveiligen van die chipkaarten en de pki-sleutels er in was een ingewikkeld proces waarin sleutels werden verdeeld over verschillende mensen en een deel van die sleutels zelf ook weer versleuteld waren met zogenaamde Key encryption Keys. De belangrijkste sleutels waren ook fysiek opgedeeld opgeslagen op draagbare media die in verschillende kluizen op verschillende locaties onder verantwoordelijkheid van verschillende personen werden opgeslagen (nee echt niet bij elkaar en zeker niet online leesbaar).
Praktisch onmogelijk om in zo'n situatie significante sleutels te bemachtigen zonder dat iemand het in de gaten heeft. En ja, inderdaad erg lastig als we een nieuwe run in de productie moesten programmeren; want dat betekende fysiek transport van mensen via verschillende routes. En ja, dat kost geld.
Als processen te duur worden gaat een commercieel bedrijf bezuinigen. Een wijziging in de procedures wordt niet altijd meer uitgebreid overwogen en de managers die er over nadenken geven niet altijd het geld uit om een echte expert goede adviezen te laten schrijven. In dit geval leidde deze besparing (of was het onkunde) tot onbeveiligde servers, slordig systeembeheer en outdated software op de servers.
Maar net als het aanmaken van fysieke paspoorten en bankbiljetten is ondergebracht bij externe drukkerijen zou het uitgeven van pki-certificaten op zich ook wel door een commercieel bedrijf kunnen gebeuren. Als burger zou ik echter verwachten dat de overheid hierin een grotere vinger in de pap heeft. Eigenlijk zou het ministerie van Binnenlandse Zaken de identiteiten van de burgers moeten bewaken (zowel fysieke documenten als digitale identiteit).
Einde van Diginotar
Diginotar (met Rabobank als aandeelhouder) had ons aller vertrouwen en dat hebben ze beschaamd. Een certificaat maken is technisch niet zo moeilijk. Het lastige is om het administratief organisatorisch en systeembeheer technisch (firewalls, systeemsoftware, wachtwoordenbeheer, virussoftware, et cetera) zo in te richten dat ons aller identiteit veilig is. Dat we er op kunnen vertrouwen dat een digitale handtekening (elektronisch bewijs van wilsbeschikking, tijdstempel en identiteit) ook werkelijk de mijne is. Diginotar heeft het verpest, de overheid heeft nieuwe certificaten maar het is mij niet duidelijk waar deze nu vandaan komen. Ze worden nu (sinds 4 september 2011) uitgegeven door Getronics Pink Roccade namens de Nederlandse Overheid. Is het nu wel in orde? Ik hoop het maar!
Bijzonder is in dit geval dat de hackers bijna twee maanden (6 juni – 30 augustus) hun gang konden gaan op de servers van Diginotar en dat er een onbekend aantal certificaten is uitgegeven waaronder onder het domein google.com (volgens interim rapport van Fox-IT). Er is software op de machines van Diginotar aangetroffen waarmee certificaten konden worden gegenereerd en er zijn een onbekend aantal pki-certificaten gegenereerd.
Serieuze aanval met impact
Uit de gepubliceerde lijst van geraakte Certification Authorities (CA's) blijkt wel dat we hier te maken hebben met een serieuze aanval. Met een certificaat van de Notariële Beroepsorganisatie bijvoorbeeld zetten notarissen hun elektronische handtekening onder belangrijke transacties die daarmee rechtsgeldig zijn.
Het vermoedelijke doel van de hackers is geweest om elektronische communicatie in Iran te kraken. Althans alle sporen leiden daar naartoe. Al met al een geslaagde hack poging met een internationale impact.
Overigens is deze aanval niet uniek. De Certification Athority (CA) Comodo is eerder dit jaar door vermoedelijk dezelfde hacker gekraakt.
Google, Rabobank…
Een bekend effect is onder andere dat doordat het google.com domein is gehackt, de e-mail van gebruikers door de hackers kon worden gelezen. Daarnaast konden de hackers inloggen bij alle andere Google-services via de computer van de betreffende gebruiker. Omdat de e-mail kon worden gelezen waren de hackers ook in staat om bij andere accounts het wachtwoord te resetten en zo ook daar door in te breken.
Het internetbankieren lukte niet of het ging heel traag. Ook betalingen met iDeal en mobiel bankieren ondervonden hinder. Achteraf bleek dat dit een signaal had mogen zijn voor het hacken. Dit signaal is niet opgepakt of niet bij de juiste personen terecht gekomen (of is dat door de Rabobank, als belanghebbende, in de doofpot gestopt?).
Zo komen er nieuwe versies van de internetbrowsers van Mozilla, zoals Firefox. Mozilla heeft alle SSL-certificaten van DigiNotar ingetrokken. Wie met Firefox DigiD bezoekt, zal een waarschuwing krijgen dat de site niet te vertrouwen is. Ook Microsoft heeft een soortgelijke beslissing genomen voor hun serversystemen.
Rol van de gebruikers?
De bezoekers van websites zijn dus blijkbaar niet in staat om de echtheid van een certificaat te beoordelen. Er zijn maar weinig mensen in staat om te beoordelen of het door welke instantie dan ook uitgegeven pki-certificaat waarmee een website wordt beveiligd ook werkelijk een valide certificaat is. Dit betekend dat eigenlijk iedereen de website van 3xkloppen uit zijn hoofd zou moeten kennen; het kunnen beoordelen van een digitale identiteit is immers een belangrijk onderdeel van onze digitale maatschappij.
Ik ben blij dat mij eigen huisdeur nog steeds met een fysieke sleutel wordt afgesloten.
Slachtoffers
Een indrukwekkende lijst van de domeinen die zijn geraakt:
addons.mozilla.org
android.com
aol.com
cia.gov
Comodo Root CA
CyberTrust Root CA
DigiCert Root CA
Equifax Root CA
facebook.com
GlobalSign Root CA
google.com
login.live.com
login.yahoo.com
logmein.com
microsoft.com
mozilla.org
secure.logmein.com
skype.com
Thawte Root CA
twitter.com
update.microsoft.com
VeriSign Root CA
windowsupdate.com
wordpress.com
‘Een bekend effect is onder andere dat doordat het google.com domein is gehackt, de e-mail van gebruikers door de hackers kon worden gelezen.’
Leg uit? Volgens mij is het google.com domein helemaal niet gehacked, en kan er zeker niet zomaar alle mail van alle gebruikers gelezen worden. Dat zou alleen kunnen wanneer een hacker je internet verkeer sniffen kan, en dmv een gehackte certificaat de versleutelde gegevens kan decrypten.
Of heb ik dat mis?
Je noemt nu Rabobank als aandeelhouder, ik zie dat hun Verisign-certificaat sinds 28-7 geldig is.
Op 16-7 waren er problemen met internetbankieren. Kan dit ook te maken hebben met de hack?
Dat de hacks van CA’s ons (bijna) allemaal raken is nog eens mooi in kaart gebracht op http://www.eff.org/observatory Maar het raakt ons niet allemaal ! Gebruikers van het FreeMove Quantum Exchange systeem [(zie bijvoorbeeld http://bit.ly/fqxch en http://bit.ly/fqxwuala voor korte presentaties) wat geen gebruik maakt van TTP maar van P2P-security en authenticatie worden niet geraakt door de hacks van CA’s !
Rabobank.nl internetbankieren had eerder dit jaar last van een denial of service-attack, waarbij de site overvoerd wordt met nutteloze informatie waardoor gewone gebruikers geen gebruik meer kunnen maken van de service. Dat is echt iets anders dan een hack-poging, waarbij kwaadwillenden zichzelf juist zo geruisloos mogelijk toegang willen verschaffen.
Een ddos attack vestigt de aandacht van een organisatie (én justitie/politie, mogelijk) sterk op het terrein van beveiliging, terwijl je als hacker juist baat hebt bij zo min mogelijk aandacht.
Het gelegde verband tussen de ddos op rabobank.nl en de hack van Diginotar komt op mij daarom zo op het eerste gezicht vergezocht en weinig logisch over.
Full disclosure: ik werk bij Rabobank (maar op een ander gebied) en ik spreek niet namens mijn werkgever.
@jandeman Volgens het recherche rapport van Fox-IT is juist de google route een belangrijk aspect in dit hele verhaal. Voor details verwijs ik ja naar het rapport dat je kunt vinden via onderstaande link
http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html
@gjwolfswinkel het zou mij niets verbazen als dit onderdeel van de attackstrategie is geweest. Oude oorlogsstrategie. Maak een aanval heel erg zichtbaar zodat alle soldaten zich daarop storten. Een paar sluipers kruipen vervolgens via zelfgegraven tunnels de vesting binnen 🙂
@Q P@P versus TTP zou een verbetering kunnen zijn. Alleen moet daarvoor wel al een (elektronische) vertrouwensrelatie bestaan. En daar ligt nu net de uitdaging waardoor TTP wel het licht heeft gezien. Alleen als je op een vertrouwensrelatie vertrouwd terwijl je niet weet hoe het werkt dan gaat het goed fout. Geloof jij een willekeurige bezoeker aan de voordeur als hij zegt dat hij voor je vrouw haar portemonnee komt ophalen? Nee? Waarom geloof je dan wel een TTP (lees certificaatuitgever) die je niet kent….. ofwel het is erg dun ijs.