Hack bij DigiNotar
De tekst kan daardoor snel veranderen of inmiddels verouderd zijn.
Iedereen kan bijdragen om de inhoud te verbeteren!
De hack bij DigiNotar was een uitgave van valse SSL-certificaten voor websites wereldwijd, veroorzaakt door een man-in-the-middle-aanval bij het Nederlandse bedrijf DigiNotar. In juli 2011 werden meer den 500 valse certificaten verspreid, met voornamelijk Iraanse internetgebruikers als doel. Nederlandse overheidswebsites en overige websites wereldwijd werden ook tijdelijk als onveilig verklaard.
Door de hack kon informatie van overheidswebsites als DigiD, maar ook Gmail, Twitter, Facebook en de geheime diensten CIA, MI6 en Mossad potentieel beschikbaar worden. De hack werd online opgeëist door een 21-jarige Iraanse man, die handelde uit sympathie voor Iran en kritiek leverde op Nederland. Als gevolg van de hack werden internetgebruikers geadviseerd enkele dagen geen online overheidsdiensten te gebruiken. Na het ongeldig verklaren van de certificaten en de verbanning van DigiNotar door de overheid en de OPTA, werd het bedrijf op 20 september failliet verklaard.
De hack
DigiNotar, een bedrijf dat voor de beveiliging van overheidswebsites zorgt, kreeg in juli 2011 te maken met een hack. Hierdoor kreeg een externe partij de mogelijkheid om valse SSL-certficaten uit te geven. Het gevolg was dat er meer dan 500 valse certificaten werden uitgegeven.[1] Google-certificaten werden daardoor niet aan Google, maar aan een derde partij uitgegeven.[2] Websites die in de internetbrowser ogenschijnlijk als 'veilig' waren aangegeven, konden daardoor onveilig zijn. Het gevaar daarvan was dat informatie afgetapt kon worden.[3] Uit een later uitgevoerd rapport van Fox-IT bleek dat de informatie van 300.000 unieke IP-adressen met een Google-account zouden zijn geraadpleegd. De meerderheid van deze adressen waren afkomstig uit Iran.[1] De inbraak leidde bijna tot een complete uitval van computers bij het Rijk. Een groot deel van de overheidsdiensten viel uit en de overheid diende een verzoek in bij Microsoft om een update van Nederlandse Windows-systemen een week uit te stellen.[4] DigiNotar wist vanaf 19 juli van de hack af, maar hield dit intern en deed ook geen aangifte over deze zaak.[5]
Uit een lijst van NOS bleek dat behalve DigiNotar ook andere grote websites het risico liepen afgeluisterd te zijn door hackers. Er waren valse certificaten uitgegeven voor onder andere Gmail, Yahoo, Hotmail, Windows Live Messenger, Twitter, Facebook en Skype. Ook veelgebruikte Iraanse websites stonden in deze lijst. Daarnaast verschenen er ook certificaten voor de Israëlische Mossad, de Amerikaanse CIA en het Britse MI6. Opvallend was dat er drie Iraanse websites op de lijst stonden, met drie uitspraken in de url: Janam Fadaye Rahbar ('ik offer mezelf op voor de Grote Leider'), Ramz Shekane Bozorg ('De Grote Codekraker') en Sahebe Donyaye Digital ('De Eigenaar van de Digitale Wereld').[6] Ook termen als 'landverrader' en 'slaaf van Israël' werden teruggevonden.[7]
Openbaarheid
In juli merkte internetbrowser Google Chrome op dat bij het inloggen van een Iraanse internetgebruiker in e-maildienst Gmail, een vals certificaat van DigiNotar werd gebruikt. Later maakten ook Iraanse internetgebruikers melding van deze valse certificaten.[8] Op 28 augustus werd op een Google-ondersteuningsite door een persoon melding gedaan van een ongeldig certificaat, die wederom verscheen na een poging in te loggen op Gmail. Op maandag 29 augustus werd informatie op Pastebin gepubliceerd over onderschepte SSL-certificaten waarmee een man-in-the-middle-aanval op de Iraanse bevolking kon worden uitgevoerd. Deze certificaten zouden afkomstig zijn van DigiNotar.[9] Een dag later (op dinsdag) stelden D66 en GroenLinks vragen over de kwestie aan de ministers van Binnenlandse en Buitenlandse zaken. Op woensdag werd door de PVV kamervragen gesteld of overheidswebsites nog wel te vertrouwen waren. Diezelfde dag bracht DigiNotar een persbericht uit, waarin ze stelden dat er niets mis was met de certificaten van de overheid. Op vrijdag 2 september kwam DigiNotar echter terug op die uitspraken en meldden dat een hack op de overheid een mogelijkheid was.[8] Op diezelfde avond werd er op het ministerie van Binnenlandse Zaken crisisoverleg over de certificaten gepleegd. In de daaropvolgende nacht verklaarde minister Piet Hein Donner van Binnenlandse Zaken en Koninkrijksrelaties tijdens een speciaal ingelaste persconferentie dat er gen vertrouwen meer was in het bedrijf en dat er maatregelen getroffen zouden worden qua betrouwbaarheid van de overheidswebsites.[10]
Dader
Inmenging van de Iraanse overheid werd onderzocht, waarop DigiNotar in de problemen zou kunnen komen: het niet melden van de hack zou Iraanse dissidenten in levensgevaar kunnen brengen.[5] Op het internet werd de actie echter opgeëist door één hacker, die naar zichzelf refereerde als 'Comodohacker'. Deze naam is afgeleid van een eerdere hack die deze persoon vermoedelijk uitvoerde op Comodo, een computersoftwarebedrijf. Deze vergelijkbare actie met certificaten uit maart 2011 trof onder andere Google, Yahoo, Microsoft. Opvallend was dat bij die hack de boodschap Janam Fadaye Rahbar verscheen, net zoals bij de DigiNotar-hack.[6] De hacker verklaarde zelf dat hij een 21-jarige Iraniër was.[2] De man had in de dagen na de openbaring contact met de NOS en Nieuwsuur, waarin hij zichzelf 'Sun Ich' noemde en de hack alleen had uitgevoerd. Wel had hij de veiligheidscertificaten doorgespeeld aan "bepaalde mensen in Iran". De man noemde zichzelf een aanhanger van de Iraanse president Mahmoud Ahmadinejad en vertelde dat DigiNotar "iets had wat hij nodig had". [11] Op 5 september verklaarde de hacker al op de website Pastebin dat hij de hack bij DigiNotar uitvoerde als straf op de Nederlandse acties tijdens de val van Srebrenica in 1995. In het interview met de NOS voegde hij Geert Wilders daar ook als reden bij, die als criticus van de Islam "vernietigd moest worden". De hacker stelde tevens dat hij toegang heeft tot nog vier certificaatautoriteiten, waaronder GlobalSign.[1]
Gevolgen
Direct na het bekend worden van de hack zegden de internetbrowsers Mozilla Firefox en Google Chrome het vertouwen op in de DigiNotar-certificaten.[12] Mozilla Firefox kondigde op 6 september een nieuwe versie aan die de valse certificaten tegen moest houden.[13] Het IT-veiligheidsbedrijf Fox-IT, dat normaliter samen met de KLPD onderzoek uitvoert op hackers, stelde een onderzoeksrapport samen dat op 5 september werd uitgebracht. Het rapport, genaamd 'Operation Black Tulip', leverde kritiek op DigiNotar: het noemde de bestaande netwerkconfiguratie "onvoldoende" en de software "ouderwets".[14]
Door de hack zegde de overheid het vertrouwen op in PKI-overheidscertificaten, die werden gebruikt als bescherming van overheidsgegevens. Geadviseerd werd om tijdelijk overheidswebsites als DigiD en online diensten als de Belastingdienst niet te gebruiken.[12] Er werd door de overheid in die periode overgeschakeld naar overige certificerende instanties. Op 5 september werd DigiD weer 'veilig' verklaard.[15] De politieke oppositie in Nederland reageerde publiekelijk op de gebeurtenissen. De SP vroeg een parlementair onderzoek aan naar digitale veiligheid. De PvdA bekritiseerde het beleid van Donner; kamerlid Pierre Heijnen stelde dat het leek dat Donner "de ICT niet helemaal serieus nam".[16] SP-Kamerlid Sharon Gesthuizen noemde de veiligheid "zo lek als een mandje".[17]
Iran
De vele aanwezige Iraanse IP-adressen en de zelfverklaarde nationaliteit van de hacker leidde tot vragen over eventuele connecties met de Iraanse overheid, die actief zoekt naar binnenlandse dissidenten. In Nederland leidde dit tot juridisch onderzoek over het vervolgen van DigiNotar voor het in gevaar brengen van Iraanse dissidenten, aangezien gevoelige informatie nu beschikbaar kan zijn.[5] Het internetgedrag van 300.000 Iraniërs werd beschikbaar voor de hackers.[18] Het onderzoeksrapport van Fox-IT gaf Iraniërs het advies hun paswoord voor online diensten te veranderen.[15]
DigiNotar
Op 14 september verklaarde de Onafhankelijke Post en Telecommunicatie Autoriteit alle certificaten van DigiNotar ongeldig. Daarnaast mocht het geen nieuwe certificaten meer verstrekken.[19] Op 20 september werd DigiNotar door de rechtbank in Haarlem falliet verklaard. Ongeveer vijftig mensen verloren hun baan.[3] Daarop verstuurde minister Donner samen met minister Ivo Opstelten van Veiligheid en Justitie een brief naar de Tweede Kamer, waarin hij stelde dat "de digitale inbraak bij DigiNotar (...) de kwetsbaarheid van betrouwbare digitale informatievoorziening duidelijk gemaakt [heeft]." De brief bevatte een plan om een toekomstig hack te voorkomen, gebaseerd op drie punten: weerbaarheid tegen inbreuken vergroten (bijvoorbeeld door meerdere certificaten te vergroten); vorm geven aan een meldplicht voor ICT-incidenten; en de ervaringen met DigiNotar internationaal uit te dragen, zodat gewerkt kan worden aan structurele verbeteringen op mondiaal niveau.[20]
Externe links
- NOS-artikel met de complete lijst van afgeluisterde websites
- Het Fox-IT onderzoeksrapport 'Operation Black Tulip'
- ↑ a b c (en) Comodo Hacker Claims Credit for DigiNotar Attack. Geraadpleegd op 21 september 2011.
- ↑ a b (en) Fraudulent Google certificate points to Internet attack. Geraadpleegd op 21 september 2011.
- ↑ a b (nl) Diginotar failliet verklaard. Geraadpleegd op 21 september 2011.
- ↑ (nl) Onderzoek NRC: platgaan computers Rijk nét afgewend. Geraadpleegd op 21 september 2011.
- ↑ a b c (nl) Diginotar deed geen aangifte hack. Geraadpleegd op 21 september 2011.
- ↑ a b (nl) CIA, Mossad, providers doelwit hack. Geraadpleegd op 21 september 2011.
- ↑ (nl) Iraanse hackers Diginotar lieten meer boodschappen achter. Geraadpleegd op 21 september 2011.
- ↑ a b Doelwit van de hackers: Google, Twitter, CIA... nrc.next 5 september 2011
- ↑ (nl) 'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen'. Geraadpleegd op 21 september 2011.
- ↑ (nl) Donner: enkele overheidssites niet meer te vertrouwen. Geraadpleegd op 21 september 2011.
- ↑ (nl) Iraanse hacker: ik deed het in m'n eentje. Geraadpleegd op 21 september 2011.
- ↑ a b (en) Browsers zeggen definitief vertrouwen in Diginotar op. Geraadpleegd op 21 september 2011.
- ↑ (en) Fraudulent *.google.com Certificate. Geraadpleegd op 21 september 2011.
- ↑ (nl) Lees ‘Operation Black Tulip’, het rapport over DigiNotar van Fox-IT. Geraadpleegd op 21 september 2011.
- ↑ a b (nl) ‘DigiD weer veilig te gebruiken’. Geraadpleegd op 21 september 2011.
- ↑ (nl) ‘Inloggegevens mogelijk in verkeerde handen’ – PvdA: webbeveiliging in eigen beheer. Geraadpleegd op 21 september 2011.
- ↑ (nl) ‘Veiligheid ICT van de staat regelmatig in geding’. Geraadpleegd op 21 september 2011.
- ↑ (nl) Iraniërs bespioneerd na hack in Nederland. Geraadpleegd op 21 september 2011.
- ↑ (nl) OPTA verklaart gekwalificeerde certificaten DigiNotar ongeldig. Geraadpleegd op 21 september 2011.
- ↑ (nl) Donner en Opstelten verantwoorden zich voor DigiNotar. Geraadpleegd op 21 september 2011.
