In reactie op het nieuws dat via PKI Overheid leverancier Diginotar op onjuiste wijze digitale website certificaten zijn gesigneerd, adviseerde Minister Donner vrijdag al het Beverwijkse bedrijf (onder deel van Vasco) voorlopig te mijden. Door velen (en zeker de overheidsorganisaties die veelal op Diginotar vertrouwden) is het weekend en de maandag gebruikt om certificaten te vervangen of de impact op de eigen organisatie vast te stellen. Veel certificaten zijn inmiddels vervangen al is het typerend dat de beveiligde site van notaris.nl (de notarissen waren betrokken bij de oprichting van Diginotar) ook maandagmiddag nog foutmeldingen gaf.

Inmiddels heeft verder onderzoek uitgewezen dat Diginotar uiterst slordig met de interne IT-beveiliging is omgesprongen. Zo bleek software niet van updates te zijn voorzien, waren de wachtwoorden eenvoudig te raden en waren belangrijke systemen niet van antivirus software gezien. Doordat het bedrijf ook geen goede loggingmaatregelen had toegepast, blijkt het achteraf ook moeilijk om de daadwerkelijke omvang van het misbruik vast te stellen. Diginotar heeft inmiddels aangegeven slachtoffer te zijn van kwaadwillende hackers, en gaat volledig voorbij aan het feit dat de hackers voor hun doel hoogstwaarschijnlijk gewoon op zoek zijn gegaan naar de slechtst beveiligde certificaten leverancier.

Even iets rechtzetten
Ondanks wat vele media afgelopen week melden: overheidswebsites zoals Digid zijn en waren niet gekraakt. Ook de digitale certificaten van bedrijven die klant waren bij Diginotar zijn niet gekraakt. Het is het signeerproces dat misbruikt kon worden, waardoor hackers hun eigen certificaten konden laten ondertekenen door een bedrijf dat door geheel het internet werd vertrouwd.

Certificaten worden bijna altijd aangemaakt op de server waar ze gebruikt gaan worden. Hierbij worden er altijd twee certificaten aangemaakt die onlosmakelijk met elkaar zijn verbonden: een publiek en een prive certificaat. Het prive certificaat van bijv. digid.nl verlaat de server niet. Het publieke certificaat wel. Dit certificaat wordt met een verzoek tot ondertekening aangeboden bij een Certificate Service Provider (of CSP). Diginotar is/was een CSP.

De hackers hebben na de kraak eigen certificaten gegenereerd en deze uit naam van Diginotar ondertekend. Er is op dat moment een tweede set certificaten die garant staan voor de veiligheid van de verbinding met een website. Iedereen vertrouwt deze certificaten omdat ze Diginotar (en PWC, de partij die de beveiliging van Diginotar controleert en certificeert) vertrouwen.

Het hele internet was even minder veilig
Doordat we allemaal op vele CSP's vertrouwen en dat vertrouwen automatisch betekent dat we van al deze CSP's alle gesigneerde certificaten als veilig beschouwen, heeft het hele internet last van een kraak als bij Diginotar. De hackers hadden certificaten van onze banken, van creditcard maatschappijen of van bedrijven als Paypal uit kunnen geven. Op dat moment was het voor een normale gebruiker onmogelijk geweest om met zekerheid vast te stellen of hij bij zijn echte bank een transactie aan het uitvoeren was, of dat hij een hacker aan zijn digitale codes aan het helpen was. De impact van de kraak rijkt dus verder dan Diginotar of de klanten van Diginotar. Het treft ons allemaal.

Met de neus op de feiten
Met de kraak is de internetsamenleving dit jaar al twee keer pijnlijk met de neus op de feiten gedrukt. Begin dit jaar bleek Comodo een aantal verkeerde certificaten te hebben uitgegeven. Bij Diginotar zijn meerdere CA's volledig gecompromiteerd. Diginotar hield de inbraak daarbij ook nog een bewust meer dan een maand onder de pet, waardoor alle internetgebruikers onterecht een gevoel van veiligheid ervaarden als ze een groene balk of een mooi slotje op hun "veilige" website zagen. Maar hoe weten we eigenlijk dat er op dit moment niemand al onterecht toegang tot één van de vele andere wereldwijd vertrouwde CA's heeft? Aan het werkelijke antwoord op deze vraag zijn we vermoedelijk met elkaar nog niet toe, aangezien er geen echt goed alternatief voor het huidige SSL systeem is.

Wat kunnen we wel doen
We kunnen minder CA’s vertrouwen. De lijst met CA’s die wij met z’n allen vertrouwen is redelijk uit de klauwen gegroeid. Het staat bedrijven en individuen vrij om de door browsers meegeleverde lijst kritisch te bekijken. Wil je de Hongkong Post vertrouwen? Of Deutsche Telecom, Chunghwa Telecom of Turktrust? In maart 2010 schreef Classity al de blog "is een trusted root CA te vertrouwen". Dit artikel is nogsteeds actueel. Verder kunnen technieken als DNSsec helpen om de echtheid van verbindingen of verbindingscertificaten beter te waarborgen. Maar dergelijke nieuwe technieken staan nog redelijk in hun kinderschoenen en zijn afhankelijk van de ondersteuning vanuit de programmatuur op de clients. Firefox heeft een plugin voor een verbindingscontrole op basis van DNSSEC (https://addons.mozilla.org/en-US/firefox/addon/dnssec-validator/ of http://convergence.io/). Er is ook een draft van de Internet Engineering Task Force voor het in DNS onderbrengen van certificaten (https://tools.ietf.org/html/rfc2538). Maar ook dit soort ideeën hebben haken en ogen en moeten nog verder uitgewerkt en getest worden. Kortom: voorlopig vertrouwen we met z’n allen nog blind op een hoop partijen waarvan we geen idee hebben of ze hun werk goed doen.

En hoe moet het nu met Diginotar
Of Diginotar kopje onder gaat is natuurlijk volledig afhankelijk van de bereidheid van grote klanten zoals NOvA, de notarissen en de overheid om het bedrijf te blijven vertrouwen en steunen. Het zou ongepast zijn om voor deze klanten te spreken. Daarnaast zijn de zakken van moederbedrijf ongetwijfeld diep genoeg om een tijdje zonder winst te overleven. Als Vasco de dienstverlening als strategisch beschouwt zouden ze het kunnen herlabellen en de kennis binnen het bedrijf opnieuw in kunnen zetten. Dit bedrijf zal op dat moment hopelijk enorm gemotiveerd te zijn om naar de buitenwereld te bewijzen dat de dure lessen er voor hebben gezorgd dat het ook de best beveiligde CSP kan zijn.

Maar verdienen ze het om te overleven? Iedereen kan een keer gehackt worden. Gelet op de grote hoeveelheid beveiligingsfouten in software die wij gebruiken is dat bijna geen schande meer, mits je hierover op een goede en eerlijke manier richting je klanten communiceert. Maar als we het auditrapport van Fox-IT lezen kun je eigenlijk wel stellen dat ze een beetje om deze hack hebben gevraagd en daarnaast zeer slordig met de opvolging zijn omgegaan. Dit is gedrag dat zeer ongepast is voor een bedrijf dat leeft van het vertrouwen dat in ze wordt gesteld.

Het gedrag is wel verklaarbaar. Als je de regeltjes niet zo nauw neemt kun je natuurlijk veel efficiënter beheren, sneller schakelen en dus goedkoper zijn dan je concurrent. Beveiliging kost nu eenmaal tijd en geld. Het zou een zeer goed signaal naar de markt zijn als de klanten dit bedrijf laten vallen en in zee gaan met bedrijven die zich altijd wel netjes aan de regels hebben gehouden. CEO’s zijn zich er dan in een keer van bewust dat slechte beveiliging het einde van het bedrijf kan betekenen. En dat besef zal de beveiliging van CSP’s op de lange termijn zeer ten goede komen.