Certificatencrisis in vijf vragen
07-09 2011 | 01:44 | Door: Brenno de WinterDe afgelopen anderhalve week is er veel aan de hand rond beveiligingscertificaten van de overheid. Aanleiding daarvoor is de inbraak bij het Beverwijkse bedrijf DigiNotar. Dat gevolgen ernstig zijn is helder en blijkt al uit het feit dat de minister zelf drie persconferenties geeft. Gemeente.nu beantwoordt vijf belangrijke vragen.
1. Wat zijn nou die certificaten en wat is er nou eigenlijk aan de hand?
Omdat al verkeer op internet langs veel punten komt en op veel plaatsen af te luisteren is, zijn gegevens die niet met iedereen gedeeld kunnen worden beveiligd. Dat gebeurt door gebruik te maken van beveiligde verbindingen. Hiervoor wordt versleuteling gebruikt. Het mechanisme werkt zo dat de server die verbinding begint met behulp van een certificaat. Dat is het beginpunt om de versleuteling op te zetten. Dat mechanisme werkt nog altijd onveranderd.
Certificaten worden ook voor een tweede doel gebruikt. Het helpt met het vaststellen dat de gegevens veilig op de juiste computer worden afgeleverd. Want als informatie op veilige manier bij een verkeerde partij uitkomt dan is er nog altijd een probleem met de vertrouwelijkheid. Het certificaat wordt daarom ook ingezet om de server het bewijs te laten leveren dat hij authentiek is. Daarvoor wordt gebruik gemaakt van een vertrouwde derde partij (technisch heet dat een Trusted Third Party). Onderwater voert de webbrowser die controle uit. Is alles goed dan komt er een geel slotje in beeld. De gebruiker of een systeem hoeft daar niet over na te denken.
Zo’n vertrouwde partij was DigiNotar. Zij gaven dit soort certificaten en bevestigden de echtheid aan webbrowsers. Wat de man in Iran ontdekte is dat bij een bezoek aan Google hij weliswaar een bevestiging kreeg van DigiNotar dat het certificaat echt is, maar dat dit niet klopt. Dit bedrijf is namelijk niet de leverancier voor Google van beveiligingscertificaten en die situatie kan dus niet bestaan. Het bedrijf is dus gehacked.
2. Wat heb ik daar al decentrale overheid mee te maken?
Diginotar geeft twee soorten certificaten uit. Private als onderdeel van het hele waarmerksysteem op internet en ‘gekwalificeerde’ namens de Staat der Nederlanden. Die laatste is voorzien van extra waarborgen en haakt voor de rest aan op het internetsysteem. Een overheidscertificaat heeft dus een meerwaarde. DigiNotar is een belangrijke leverancier die over een mandaat beschikte om namens de Staat der Nederlanden te tekenen. Dus met de hack kwam meteen ook dat ter discussie staan.
Veel gemeenten en andere
overheden worden dus de dupe van deze kraak. Het zijn namelijk
de certificaten die zij gebruiken die ook onderwerp van
discussie worden. Dat ondermijnt dus het vertrouwen in de
communicatie tussen burger en overheid en tussen systemen. Juist
als de vertrouwde partij niet langer te vertrouwen is dan is er
geen waarmerker meer die met gezag de echtheid kan bewijzen. Dat
raakt dus de klanten van DigiNotar.
Dat er wantrouwen kwam, is terecht. Een digitale inbraak is nooit volledig uit te sluiten. Maar eigenlijk mag dat niet voorkomen. Het probleem is alleen dat een inbraak op systemen van Diginotar nooit mag leiden tot het aanmaken van nieuwe certificaten. De technische omgeving die de certificaten uitgeeft hoort fysiek niet verbonden te zijn met het gewone netwerk van het bedrijf. Dat er toch een certificaat is uitgegeven kan onder normale omstandigheden technisch eenvoudigweg niet. Procedureel hoort zoiets ook niet te kunnen.
3. Maar Logius beweerde dat er geen reden tot zorg was voor PKI Overheid?
Dat statement was nergens op gebaseerd. Omdat er technisch iets onmogelijks was en procedureel ook iets gierend was misgegaan, hoort tot bezorgdheid te leiden. De omgeving voor overheidscertificaten is ook gescheiden en vindt in een kluis plaats. Maar juist de indicatie dat technische omgevingen niet gescheiden lijken, hoort tot twijfel te leiden. Zeker omdat gedurende de uren na het ontdekken ook duidelijk werd dat het ging om meer dan één certificaat. Dat wekt het vermoeden dat er geautomatiseerd is gewerkt.
Het systeem staat of valt met vertrouwen. Dat is niet iets dat Logius mag claimen, maar is iets dat wordt geschonken. In dit geval als eerste door de leveranciers van browsers, maar ook door de internetgemeenschap. Een logische stap is juist bij zo’n systeem van het ergste uitgaan tot het tegendeel bewezen is. Een statement als dat van Logius werkt op heel korte termijn misschien, maar ondermijnt structureel het vertrouwen. Vooral voor ambtenaren bij decentrale overheden is dat lastig, want ook zij krijgen dan tegenstrijdige signalen.
Uit onderzoek van Fox IT is gebleken dat DigiNotar op cruciale onderdelen tekort is geschoten. Er blijken fysieke verbindingen te zijn geweest tussen het kantoornetwerk en verschillende omgevingen voor het aanmaken van certificaten. De seperatie is doorbroken. Omdat ook nog eens een enkele Windows-omgeving bestond, was het inbreken voldoende om overal bij te kunnen. De hacker(s) is/zijn dan ook op de PKI Overheid-omgeving geweest. Het wachtwoord voor de beheerder was erg eenvoudig te kraken en waren ook nog eens de hoogste rechten denkbaar op een systeem beschikbaar. Simpelweg blijkt het dus helemaal foute boel te zijn geweest.
4. Wat moeten wij nu?
Als u certificaten van Diginotar heeft dan moeten die worden vervangen als dat nog niet gebeurd is. Dat gaat verder dan alleen de webserver, omdat ook systemen onderling certificaten gebruiken. Let daarbij op dat sommige computerprogramma’s ook bijhouden welke certificaten andere systemen hebben als extra beveiligingslaag. In zulke gevallen is vervangen niet voldoende, maar moet ook programmatuur worden aangepast. De VNG heeft een helpdesk ingericht die alle vragen zo snel mogelijk proberen te beantwoorden. Bij twijfel is het advies dan ook om contact op te nemen.
Het advies van Logius op 1 september 2011 om te kijken welke certificaten er zijn, waarvoor ze gebruikt worden en wat uitval voor gevolgen heeft, is wel logisch. Natuurlijk blijft dat rijkelijk laat, omdat dit soort dingen eigenlijk in een beveiligingsplan thuis hoort. Maar dit is de praktijk. Voor de toekomst is het verstandig toch na te denken over een soort ‘plan B’. Denkbaar is bijvoorbeeld dat over een tijd er bij een tweede leverancier een reservecertificaat wordt aangevraagd om in noodgevallen snel in te zetten. Wie slim is bedenkt daarbij ook dat certificaten een uiterste houdbaarheidsdatum hebben. Dus is een verschillende verloopdatum is handig, mocht er administratief een keer iets over het hoofd worden gezien.
Verstandig is ook om open te communiceren over wat er nu geregeld wordt. Vertrouwen komt te voet en gaat te paard. Laat zien dat u de problematiek serieus neemt. Ook bij raadsleden kunnen vragen spelen en heldere communicatie voorkomt onnodige twijfel weg te nemen en vertrouwen te wekken.
Omdat DigiD werkte met zo’n certificaat is het niet meer volledig gegarandeerd dat er geen misbruik van de inlog is geweest, is het verstandig burgers aan te raden ook het wachtwoord te vervangen. Dat gebeurt dan onder het motto ‘better safe than sorry’. Ga er ook niet vanuit dat met het vervangen van het certificaat door DigiD alle problemen voorbij zijn. Pas als heel DigiNotar niet meer operationeel is en er geen meldingen van verstoringen zijn, weten we pas of het goed is.
5. Waarom wordt Nederland zo aangevallen?
Op basis van de feiten is helder dat het lijkt dat de hack ging niet om Nederland, maar om DigiNotar. Daar was een hack goed mogelijk, omdat zij de gelegenheid boden. Gelet op het onderzoek van Fox IT, de certificaten die vervalst zijn en andere informatie is duidelijk dat de aanval gericht is op het kunnen controleren van internetverbindingen binnen Iran. Dat de overheidscertificaten worden getroffen is het gevolg van de zaken die DigiNotar heeft nagelaten. Met een mooi woord is dit ‘collateral damage’ van de kraak.
Het is goed te beseffen dat dit voor ons wat ongemak geeft. Voor mensen in Iran is de hack veel zorgelijker. Het afluisteren van communicatie tussen burgers en andere partijen kan onder het huidige regime daadwerkelijk gevaarlijk zijn. De knulligheid van de beveiliging zegt weinig tot niets over de geavanceerdheid, waarmee misbruik van de zwakheden lijkt te worden gemaakt. Misschien is het een goede les om beveiliging serieus te nemen. Bij een hack wordt u niet alleen zelf getroffen, maar kunt u onbedoeld ook anderen treffen.
Reacties (7)
G Laan | 08-09-2011 | 10:04
In en in triest voor de iraniërs die hierdoor zijn opgepakt en nu gemarteld worden. Dit is binnen de wereld van ICT'ers een bekend risico van onveilige certificaten. Kennelijk vond Diginotar het dat risico waard. Nog triester Diginotar blijkt al twee jaar geleden gekraakt te zijn. Al twee jaar lang kan het iraanse regime hier dus misbruik van maken.
Ik heb een klacht over deze reactie »Ook in China is men zeer geïntresseerd in dit soort onveilige certificaten.
Kortom mensenlevens zijn op het spel gezet.
Paul van der Hart | 07-09-2011 | 17:51
Overigens: wel heel pijnlijk is dat de VNG binnen de kortste keren een lijst publiek maakte (op de internets!) van alle gemeenten die zaken deden met DigiNotar. Handig voor wie wilde weten welke gemeenten nu kwetsbaar waren....
Ik heb een klacht over deze reactie »Zie: http://bit.ly/pFwmsb
Paul van der Hart | 07-09-2011 | 17:46
Allereerst petje af voor Brenno, die een heel duidelijk en vooral begrijpelijk verhaal schrijft over wat er nu precies mis is, en bij wie.
Ik heb een klacht over deze reactie »En laat het duidelijk zijn: wat er mis is, is mis bij DigiNotar. Dit is nu eens één van die blunders die wel de IT van de overheid treffen, maar waar de overheid niet zelf schuldig aan is.
Dat laat echter onverminderd dat "de overheid" tot nog toe uitblinkt in communicatie die in ieder geval één ding duidelijk maakt: dat die overheid eigenlijk zelf helemaal niet snapt waar het nu eigenlijk om gaat.
Een goed voorbeeld hiervan is de Gemeente Zevenaar die trots aangaf: bij ons is alles goed, want wij doen geen zaken met DigiNotar. Alsof je op een eiland zit, alsof je met geen derde partijen te maken hebt! Wie via DigID inlogt bij Zevenaar heeft al te maken met DigiNotar, want de check op DigID loopt via certificarten van DigiNotar. De basisregistraties van Zevenaar staan in verbinding met landelijke systemen van ministeries en andere (quasi)overheidsinstanties: die gebruiken mogelijk ook certificaten van DigiNotar.
Wat pijnlijk duidelijk wordt, en gelukkig nu eindelijk eens in het groot, is dat bij veel overheden de kennis en ervaring ontbreekt om de moderne ICT nog te volgen. Laat staan te beheren.
Er zijn inmiddels kamervragen (van o.a. de SP) om maar weer eens een onderzoek te doen naar deze zoveelste oprisping van 's overheids onkunde op IT gebied.
Maar begin eens met uitzoeken waarom het gros van de met name kleinere overheden het met zulke gebrekkige IT-ers moet doen. Of permanent gepiepeld worden door peperdure, en vaak al even incompetente externen.
Misschien dat we dan een keer verder komen.
Nogmaals, een verhelderend stuk van Brenno, en goed voor alle geïnteresseerde ambtelijke IT-leken. Maar jammer dat het voor het gros van de IT-ers waarcshijnlijk ook voor het eerst is dat ze iets beginnen te snappen van de certificaten die ze nu al jarenlang trouw maar onwetend installeren.
Mark | 07-09-2011 | 16:28
@Jan Kijlstra:
Ik heb een klacht over deze reactie »Ik denk dat een belangrijk probleem ook is dat veel mensen die wel degelijk verstand hiervan hebben enerzijds niet enorm communicatief vaardig zijn en daarmee de overheid niet bereiken en anderzijds over het algemeen als paranoia worden bestempeld door andere ICT'ers die ergens een klok hebben horen luiden.
Jammer dat op deze manier deze mensen toch weer gelijk blijken te krijgen.
de vries | 07-09-2011 | 14:17
dat is ook mijn grootste bezwaar bij het registreren van vingerafdrukken.
Ik heb een klacht over deze reactie »De reden om identiteitsfraude te voorkomen, echter het namaken van een paspoort is nog steeds mogelijk, waarbij vingerafdrukken het vervalste paspoort nog legitiemer maken (conform overheid), waarbij de persoon waarvan misbruik gemaakt wordt nog meer de klos is.....
Altijd wat? | 07-09-2011 | 14:17
Wat kan de overheid nu wel eens een keer goed doen?
Ik heb een klacht over deze reactie »Jan Kijlstra | 07-09-2011 | 14:13
ICT en overheid, het wordt nooit wat.
Ik heb een klacht over deze reactie »Want hoeveel kennis en kwaliteit je als overheid ook in huis haalt, de beslissers zijn niet deskundig (aan het eind: politici), kijken teveel naar de kosten, en werken te veel op basis van compromissen.
Overigens dient een zo essentiele zaak als dit natuurlijk niet bij een commercieel bedrijf ondergebracht te worden, maar bij een onafhankelijke instelling. zoiets als de Nederlandse Bank, of zo. En die moet voldoende budget krijgen om de zaak goed te regelen.