Daadkracht overheid in beveiligingsschandaal certificaten
Ondermeer het grote vertrouwen van de overheid in DigiNotar, met de kop in het zand na een ernstige hack, zet Nederland wereldwijd voor aap met ondermeer de Mossad, CIA, MI6, Facebook, Google en Yahoo en bovenal Iraanse dissidenten als slachtoffers.
De cyberinbraak bij het Beverwijkse DigiNotar krijgt steeds grotere dimensies, nu blijkt dat de hackers valse beveligingscertificaten hebben getekend voor de sites van de Amerikaanse, Britse en Israëlische inlichtingendiensten. Iraanse hackers hebben valse DigiNotar-certificaten aangemaakt voor domeinen van de geheime diensten, maar ook van cruciale Certification Authorities (CA’s) als VeriSign en Thawte.
Voor Gervase Markham van Firefox-maker Mozilla staat echter vast: DigiNotar heeft niet alleen gefaald, maar ook gelogen en bedrogen. De Nederlandse overheid heeft er een bedenkelijke rol in gespeeld. In Jip en Janneke taal komt het hier op neer volgens Netkwesties: Je laat sleutels (bij)maken bij een betrouwbare ijzerwarenhandelaar die de mallen met adressen bewaart en verzekert dat die absoluut veilig zijn. Nu wordt er toch ingebroken bij die zaak en de mallen uit een kluis meegenomen om sleutels te kunnen namaken. De eigenaar houdt het eerst zo lang mogelijk stil, maar bij een inbraak elders komt het uit. Niets aan de hand, verzekert de eigenaar dan nog, want de mallen van uw sleutels lagen in een andere kluis. De gemeente die zelf zaken doet met deze man, en ook het gemeentehuis door hem laat beveiligen, verzekert dat ook. De controle-instantie steekt de kop ook maar in het zand. Het plaatselijke krantje schrijft er niets over want gelooft de gemeente altijd en begrijpt niet hoe het zit.
Het aantal frauduleus gegenereerde SSL-certificaten bij het Nederlandse DigiNotar bedraagt meer dan vijfhonderd, zo blijkt uit een lijst die Tor-ontwikkelaar en beveiligingsonderzoeker Jacob Appelbaum heeft geopenbaard. Hij prijst de overheid omdat het zo goed bovenop de zaak zit, iets wat DigiNotar al in juli had moeten doen.
Zondagavond is ook bekend geworden dat de Iraanse cyberinbrekers een certificaat voor Windows Update hebben uitgegeven. Daarmee is in theorie spyware te installeren op Windows-pc’s. De Tweede Kamer krijgt vandaag alsnog het onderzoeksrapport over DigiNotar. Het rapport over de inbraak, die eigenlijk begin juli al plaatsvond maar toen is stilgehouden, zou eigenlijk afgelopen vrijdag al uitkomen.
Ondertussen zit de overheid niet stil. Het is niet onmogelijk dat hackers de inloggegevens van Nederlanders bij DigiD hebben buitgemaakt, schreef het ministerie van Binnenlandse Zaken afgelopen weekend. Het systeem waarmee ssl-certificaten voor onder meer DigiD, de Rijksdienst voor het Wegverkeer en de Belastingdienst worden gemaakt, blijkt te zijn gekraakt door hackers. In de vroege uren van zaterdagochtend maakte Minister Donner bekend over te willen stappen op een andere oplossing voor de beveiliging van websites. De beslissing om geleidelijk over te stappen op andere overheidscertificaten betekent dat de webbrowser de bereikbaarheid van de overheid bepaalt. De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies was helaas niet waterdicht: browsers gaven op dat moment nog geen foutmelding, terwijl het gebruikte certificaat nog van DigiNotar was. Bovendien werken sommige mensen met een browser die niet up-to-date is, die zal dus helemaal geen melding geven.
Getronics PinkRoccade certificeert momenteel de DigiD verbindingen. Omdat de overstap gemiddeld enkele dagen kan duren en het in totaal honderden overheidssites betreft, zal dit tijd kosten. Probleem daarbij is volgens Donner dat het nog niet duidelijk is welke overheidswebsites allemaal getroffen worden. Hoe lang de overgang gaat duren is daarom niet duidelijk.