Certificatencrisis in vijf vragen

7

De afgelopen anderhalve week is er veel aan de hand rond beveiligingscertificaten van de overheid. Aanleiding daarvoor is de inbraak bij het Beverwijkse bedrijf DigiNotar. Dat gevolgen ernstig zijn is helder en blijkt al uit het feit dat de minister zelf drie persconferenties geeft. Gemeente.nu beantwoordt vijf belangrijke vragen.

1. Wat zijn nou die

certificaten en wat is er nou eigenlijk aan de hand?

Omdat al verkeer op internet

langs veel punten komt en op veel plaatsen af te luisteren is,

zijn gegevens die niet met iedereen gedeeld kunnen worden

beveiligd. Dat gebeurt door gebruik te maken van beveiligde

verbindingen. Hiervoor wordt versleuteling gebruikt. Het

mechanisme werkt zo dat de server die verbinding begint met

behulp van een certificaat. Dat is het beginpunt om de

versleuteling op te zetten. Dat mechanisme werkt nog altijd

onveranderd.

Certificaten worden ook voor

een tweede doel gebruikt. Het helpt met het vaststellen dat de

gegevens veilig op de juiste computer worden afgeleverd. Want

als informatie op veilige manier bij een verkeerde partij

uitkomt dan is er nog altijd een probleem met de

vertrouwelijkheid. Het certificaat wordt daarom ook ingezet om

de server het bewijs te laten leveren dat hij authentiek is.

Daarvoor wordt gebruik gemaakt van een vertrouwde derde partij

(technisch heet dat een Trusted Third Party). Onderwater voert

de webbrowser die controle uit. Is alles goed dan komt er een

geel slotje in beeld. De gebruiker of een systeem hoeft daar

niet over na te denken.

Zo’n vertrouwde partij was

DigiNotar. Zij gaven dit soort certificaten en bevestigden de

echtheid aan webbrowsers. Wat de man in Iran ontdekte is dat bij

een bezoek aan Google hij weliswaar een bevestiging kreeg van

DigiNotar dat het certificaat echt is, maar dat dit niet klopt.

Dit bedrijf is namelijk niet de leverancier voor Google van

beveiligingscertificaten en die situatie kan dus niet bestaan.

Het bedrijf is dus gehacked.

2. Wat heb ik daar al

decentrale overheid mee te maken?

Diginotar geeft twee soorten

certificaten uit. Private als onderdeel van het hele

waarmerksysteem op internet en ‘gekwalificeerde’ namens de Staat

der Nederlanden. Die laatste is voorzien van extra waarborgen en

haakt voor de rest aan op het internetsysteem. Een

overheidscertificaat heeft dus een meerwaarde. DigiNotar is een

belangrijke leverancier die over een mandaat beschikte om namens

de Staat der Nederlanden te tekenen. Dus met de hack kwam meteen

ook dat ter discussie staan.

Veel gemeenten en andere

overheden worden dus de dupe van deze kraak. Het zijn namelijk

de certificaten die zij gebruiken die ook onderwerp van

discussie worden. Dat ondermijnt dus het vertrouwen in de

communicatie tussen burger en overheid en tussen systemen. Juist

als de vertrouwde partij niet langer te vertrouwen is dan is er

geen waarmerker meer die met gezag de echtheid kan bewijzen. Dat

raakt dus de klanten van DigiNotar.

Dat er wantrouwen kwam, is

terecht. Een digitale inbraak is nooit volledig uit te sluiten.

Maar eigenlijk mag dat niet voorkomen. Het probleem is alleen

dat een inbraak op systemen van Diginotar nooit mag leiden tot

het aanmaken van nieuwe certificaten. De technische omgeving die

de certificaten uitgeeft hoort fysiek niet verbonden te zijn met

het gewone netwerk van het bedrijf. Dat er toch een certificaat

is uitgegeven kan onder normale omstandigheden technisch

eenvoudigweg niet. Procedureel hoort zoiets ook niet te kunnen.

3. Maar Logius beweerde dat er

geen reden tot zorg was voor PKI Overheid?

Dat statement was nergens op

gebaseerd. Omdat er technisch iets onmogelijks was en

procedureel ook iets gierend was misgegaan, hoort tot

bezorgdheid te leiden. De omgeving voor overheidscertificaten is

ook gescheiden en vindt in een kluis plaats. Maar juist de

indicatie dat technische omgevingen niet gescheiden lijken,

hoort tot twijfel te leiden. Zeker omdat gedurende de uren na

het ontdekken ook duidelijk werd dat het ging om meer dan één

certificaat. Dat wekt het vermoeden dat er geautomatiseerd is

gewerkt.

Het systeem staat of valt met

vertrouwen. Dat is niet iets dat Logius mag claimen, maar is

iets dat wordt geschonken. In dit geval als eerste door de

leveranciers van browsers, maar ook door de internetgemeenschap.

Een logische stap is juist bij zo’n systeem van het ergste

uitgaan tot het tegendeel bewezen is. Een statement als dat van

Logius werkt op heel korte termijn misschien, maar ondermijnt

structureel het vertrouwen. Vooral voor ambtenaren bij

decentrale overheden is dat lastig, want ook zij krijgen dan

tegenstrijdige signalen.

Uit onderzoek van Fox IT is

gebleken dat DigiNotar op cruciale onderdelen tekort is

geschoten. Er blijken fysieke verbindingen te zijn geweest

tussen het kantoornetwerk en verschillende omgevingen voor het

aanmaken van certificaten. De seperatie is doorbroken. Omdat ook

nog eens een enkele Windows-omgeving bestond, was het inbreken

voldoende om overal bij te kunnen. De hacker(s) is/zijn dan ook

op de PKI Overheid-omgeving geweest. Het wachtwoord voor de

beheerder was erg eenvoudig te kraken en waren ook nog eens de

hoogste rechten denkbaar op een systeem beschikbaar. Simpelweg

blijkt het dus helemaal foute boel te zijn geweest.

4. Wat moeten wij nu?

Als u certificaten van

Diginotar heeft dan moeten die worden vervangen als dat nog niet

gebeurd is. Dat gaat verder dan alleen de webserver, omdat ook

systemen onderling certificaten gebruiken. Let daarbij op dat

sommige computerprogramma’s ook bijhouden welke certificaten

andere systemen hebben als extra beveiligingslaag. In zulke

gevallen is vervangen niet voldoende, maar moet ook

programmatuur worden aangepast. De VNG heeft een helpdesk

ingericht die alle vragen zo snel mogelijk proberen te

beantwoorden. Bij twijfel is het advies dan ook om contact op te

nemen.

Het advies van Logius op 1

september 2011 om te kijken welke certificaten er zijn, waarvoor

ze gebruikt worden en wat uitval voor gevolgen heeft, is wel

logisch. Natuurlijk blijft dat rijkelijk laat, omdat dit soort

dingen eigenlijk in een beveiligingsplan thuis hoort. Maar dit

is de praktijk. Voor de toekomst is het verstandig toch na te

denken over een soort ‘plan B’. Denkbaar is bijvoorbeeld dat

over een tijd er bij een tweede leverancier een

reservecertificaat wordt aangevraagd om in noodgevallen snel in

te zetten. Wie slim is bedenkt daarbij ook dat certificaten een

uiterste houdbaarheidsdatum hebben. Dus is een verschillende

verloopdatum is handig, mocht er administratief een keer iets

over het hoofd worden gezien.

Verstandig is ook om open te

communiceren over wat er nu geregeld wordt. Vertrouwen komt te

voet en gaat te paard. Laat zien dat u de problematiek serieus

neemt. Ook bij raadsleden kunnen vragen spelen en heldere

communicatie voorkomt onnodige twijfel weg te nemen en

vertrouwen te wekken.

Omdat DigiD werkte met zo’n

certificaat is het niet meer volledig gegarandeerd dat er geen

misbruik van de inlog is geweest, is het verstandig burgers aan

te raden ook het wachtwoord te vervangen. Dat gebeurt dan onder

het motto ‘better safe than sorry’.  Ga er ook niet vanuit dat

met het vervangen van het certificaat door DigiD alle problemen

voorbij zijn. Pas als heel DigiNotar niet meer operationeel is

en er geen meldingen van verstoringen zijn, weten we pas of het

goed is.

5. Waarom wordt Nederland zo

aangevallen?

Op basis van de feiten is

helder dat het lijkt dat de hack ging niet om Nederland, maar om

DigiNotar. Daar was een hack goed mogelijk, omdat zij de

gelegenheid boden. Gelet op het onderzoek van Fox IT, de

certificaten die vervalst zijn en andere informatie is duidelijk

dat de aanval gericht is op het kunnen controleren van

internetverbindingen binnen Iran. Dat de overheidscertificaten

worden getroffen is het gevolg van de zaken die DigiNotar heeft

nagelaten. Met een mooi woord is dit ‘collateral damage’ van de

kraak.


Het is goed te beseffen dat dit

voor ons wat ongemak geeft. Voor mensen in Iran is de hack veel

zorgelijker. Het afluisteren van communicatie tussen burgers en

andere partijen kan onder het huidige regime daadwerkelijk

gevaarlijk zijn. De knulligheid van de beveiliging zegt weinig

tot niets over de geavanceerdheid, waarmee misbruik van de

zwakheden lijkt te worden gemaakt. Misschien is het een goede

les om beveiliging serieus te nemen. Bij een hack wordt u niet

alleen zelf getroffen, maar kunt u onbedoeld ook anderen treffen.

Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

Over Auteur

7 reacties

  1. Jan Kijlstra op

    ICT en overheid, het wordt nooit wat.
    Want hoeveel kennis en kwaliteit je als overheid ook in huis haalt, de beslissers zijn niet deskundig (aan het eind: politici), kijken teveel naar de kosten, en werken te veel op basis van compromissen.
    Overigens dient een zo essentiele zaak als dit natuurlijk niet bij een commercieel bedrijf ondergebracht te worden, maar bij een onafhankelijke instelling. zoiets als de Nederlandse Bank, of zo. En die moet voldoende budget krijgen om de zaak goed te regelen.

  2. dat is ook mijn grootste bezwaar bij het registreren van vingerafdrukken.

    De reden om identiteitsfraude te voorkomen, echter het namaken van een paspoort is nog steeds mogelijk, waarbij vingerafdrukken het vervalste paspoort nog legitiemer maken (conform overheid), waarbij de persoon waarvan misbruik gemaakt wordt nog meer de klos is…..

  3. @Jan Kijlstra:
    Ik denk dat een belangrijk probleem ook is dat veel mensen die wel degelijk verstand hiervan hebben enerzijds niet enorm communicatief vaardig zijn en daarmee de overheid niet bereiken en anderzijds over het algemeen als paranoia worden bestempeld door andere ICT’ers die ergens een klok hebben horen luiden.
    Jammer dat op deze manier deze mensen toch weer gelijk blijken te krijgen.

  4. Paul van der Hart op

    Allereerst petje af voor Brenno, die een heel duidelijk en vooral begrijpelijk verhaal schrijft over wat er nu precies mis is, en bij wie.

    En laat het duidelijk zijn: wat er mis is, is mis bij DigiNotar. Dit is nu eens ??n van die blunders die wel de IT van de overheid treffen, maar waar de overheid niet zelf schuldig aan is.

    Dat laat echter onverminderd dat “de overheid” tot nog toe uitblinkt in communicatie die in ieder geval ??n ding duidelijk maakt: dat die overheid eigenlijk zelf helemaal niet snapt waar het nu eigenlijk om gaat.

    Een goed voorbeeld hiervan is de Gemeente Zevenaar die trots aangaf: bij ons is alles goed, want wij doen geen zaken met DigiNotar. Alsof je op een eiland zit, alsof je met geen derde partijen te maken hebt! Wie via DigID inlogt bij Zevenaar heeft al te maken met DigiNotar, want de check op DigID loopt via certificarten van DigiNotar. De basisregistraties van Zevenaar staan in verbinding met landelijke systemen van ministeries en andere (quasi)overheidsinstanties: die gebruiken mogelijk ook certificaten van DigiNotar.

    Wat pijnlijk duidelijk wordt, en gelukkig nu eindelijk eens in het groot, is dat bij veel overheden de kennis en ervaring ontbreekt om de moderne ICT nog te volgen. Laat staan te beheren.

    Er zijn inmiddels kamervragen (van o.a. de SP) om maar weer eens een onderzoek te doen naar deze zoveelste oprisping van ’s overheids onkunde op IT gebied.

    Maar begin eens met uitzoeken waarom het gros van de met name kleinere overheden het met zulke gebrekkige IT-ers moet doen. Of permanent gepiepeld worden door peperdure, en vaak al even incompetente externen.

    Misschien dat we dan een keer verder komen.

    Nogmaals, een verhelderend stuk van Brenno, en goed voor alle ge?nteresseerde ambtelijke IT-leken. Maar jammer dat het voor het gros van de IT-ers waarcshijnlijk ook voor het eerst is dat ze iets beginnen te snappen van de certificaten die ze nu al jarenlang trouw maar onwetend installeren.

  5. Paul van der Hart op

    Overigens: wel heel pijnlijk is dat de VNG binnen de kortste keren een lijst publiek maakte (op de internets!) van alle gemeenten die zaken deden met DigiNotar. Handig voor wie wilde weten welke gemeenten nu kwetsbaar waren….

    Zie: http://bit.ly/pFwmsb

  6. In en in triest voor de irani?rs die hierdoor zijn opgepakt en nu gemarteld worden. Dit is binnen de wereld van ICT’ers een bekend risico van onveilige certificaten. Kennelijk vond Diginotar het dat risico waard. Nog triester Diginotar blijkt al twee jaar geleden gekraakt te zijn. Al twee jaar lang kan het iraanse regime hier dus misbruik van maken.
    Ook in China is men zeer ge?ntresseerd in dit soort onveilige certificaten.
    Kortom mensenlevens zijn op het spel gezet.

Reageer