Karin Spaink maakt zich boos over het nalatige gedrag van DigiNotar. Voor de Nederlander is het vervelend, maar voor Iraniërs ronduit gevaarlijk. Deze column verscheen ook in Het Parool.
Door toedoen van een Nederlands bedrijf lopen 300.000 Iraniërs nu gevaar: hun e-mails, hun surfgedrag, hun skypegesprekken, hun contacten zijn een maandlang afgeluisterd, waarschijnlijk door Iran zelf. Deze mensen dachten versleuteld met Skype, Google, Twitter of andere websites te communiceren, maar gaven ongemerkt al hun informatie door aan valse sites die zich tussen hen en hun werkelijke bestemming hadden gemanoeuvreerd. Een klassieke man-in-the-middleaanval.
De afluisteraars vermomden zich via certificaten als the real thing. Zulke certificaten worden door erkende autoriteiten opgesteld en dienen als bewijs van echtheid. Maar het Nederlandse DigiNotar deelde sinds begin juli honderden valse certificaten uit, aangemaakt door –vermoedelijk Iraanse – hackers. DigiNotar bemerkte de hack pas weken later, trok een serie valse certificaten in, maar waarschuwde niemand. Meer valse certificaten werden gevonden en weer ingetrokken.
Terwijl DigiNotar de zaak stilhield, gingen de hacks gewoon door. Op 4 augustus lukte het om een vals certificaat op grote schaal in Iran te verspreiden. In de weken erna vroegen 300.000 Iraanse computers bij DigiNotar na of dat wel een écht Google-certificaat was. ‘Ja hoor,’ antwoorden de computers van DigiNotar 300.000 keer. Waardoor die computers stuk voor stuk werden gecompromitteerd en wekenlang konden worden afgeluisterd.
DigiNotar viel door de mand, is nu extern doorgelicht en blijkt een onthutsende klungelaar. Simpele wachtwoorden, geen virusscanner, geen goede logs, geen updates, amper controles: een grabbelton van beginnersfouten.
Meest pijnlijk is dat DigiNotar niemand op de hoogte stelde van de hack en zelf bleef doorklungelen, met mogelijk zeer ernstige gevolgen voor de mensen achter die 300.000 Iraanse computers. Mensen die juist extra hun best deden om zichzelf te beschermen, door alleen versleutelde sites te gebruiken. Het is misdadige nalatigheid.
Ook Nederland is beschadigd. DigiNotar verzorgde veel certificaten voor de overheid: websites van ministeries, de Belastingdienst, 3500 gemeentelokketten. Duizenden certificaten moeten worden vervangen, wat vooral bij de gemeentes veel gedoe oplevert. En computers met oude certificaten zijn niet meer te vertrouwen.
De Belastingdienst trok gisteren de enige logische conclusie: we kunnen nu ook het DigiD – de elektronische identificatie van burgers – ‘even niet meer vertrouwen’. De gegevens van burgers die de afgelopen weken hun DigiD-hebben gebruikt, zijn mogelijk afgetapt; een vrijbrief voor identiteitsfraude. (Tip: verander over een paar dagen allemaal het wachtwoord voor je DigiD!)
Laten ons hier alsjeblieft van leren. Het is hoog tijd om serieus na te denken over databeveiliging, over verplichte melding van hacks en van datalekken; over veilige en beschermde communicatie.
Reacties (7)
Ik heb bij diginotar ondertussen hetzelfde gevoel als bij de ‘militaire machthebbers’ in Myanmar/Birma. Ik wil namen en rugnummers. Wie waren dat? Wie was verantwoordelijk?
Heeft iemand de baas van diginotar al gesproken, geprobeerd voord e microfoon te krijgen? Al is het alleen maar voor wederhoor.
Dat viel mij ook op, tot nu toe lees je overal alleen de bedrijfsnaam en in de nederlandse schop-omhoog-wat-niet-werktcultuur zou het zomaar kunnen gebeuren dat 1 of meer van de verantwoordelijken leuke baantjes als hoge ambtenaar of erger bij de overheid kunnen krijgen.
Enige achtergrond:
http://webwereld.nl/achtergrond/107841/de-opkomst-en-ondergang-van-diginotar.html
Nog iets anders wat door mijn hoofd speelt: die overname van Diginotar door Vasco, had dat niet al tot gevolg dat alle versleutelde data door de VS kan worden opgevraagd en ingezien op basis van de Patriot Act? http://www.webanalyticsworld.net/2011/09/data-protection-and-the-patriot-act.html
Hele interessante vraag.
Legt eigenlijk meteen de vraag of de certificaten niet de kern van de strijd zijn. Certificaten bepalen voor een groot deel het vertrouwen van wie met wie praat en of je bereidt bent informatie te sturen.
Certificaatbedrijven als doel van de stille oorlog.
Interessant, we gaan er meer van zien en horen.
@redactie : ideetje om https te gaan gebruiken?
Inca: goeie vraag… Daar had ik niet eerder over nagedacht. En ik moet je het antwoord schuldg blijven.
Hoezo een maand?
Jarenlang, konden velen ongelegitimeerd hen gang gaan.
Niet alleen al vanaf maart dit jaar; maar zelfs, vanaf 2009.
Tenminste ,datgene dan wat nu onomstotelijk al bewezen is,maar niet naar gehandeld (nu nog niet!) Dus langer kan ook.
En de gevolgen; zijn niet te overzien;en kunnen decennia na dato;NOG,
op grond van die jarenlange rondsnuffelingen ,in : vertrouwelijke” persoonlijke gegevens,(en opslag daarvan) misgebruikt worden.
dat is helaas niet meer in ons hand.
Overheid en digibnotar aansprakelijkheid, ook voor de niet, zichtbare gevolgen en schade;in binnen en buitenland. En IDD, maak ik me momenteel het meest zorgen over de iranese burgers en bloggers.
Maar elk moment kan ieder de klos zijn…voor tal van misdaden/kwaadwil;
Eindeloos, uit geput kan en zal blijven worden.
Het is maar net wie, het waarom op welk gebied treft.
Het idee; dat b.v diginotar mijn belasting, personalia, etc;
zou kunnen inzien/toegang toe geven;al of niet,bewust.
Vind ik niet prettig.net zo min als dat,Iran dat nu in handen zou hebben.
Of enig ander onbevoegde/taloze…met ieder eigen belangen/doelen …daarmee.
En ondertussen ons wijs moeten maken het zo veilig is; dt is het niet en nooit!..wat niet wegneemt we die risicoos; incalculeren en zoveel als mogelijk minimaliseren.
I.P.V maximaliseren en negeren;NOG een week, mogen we; op een bewezen onveilige manier ..doorgaan; en vooral bedrijven geen andere keus,hebben../alternatief;want de economie moet door…
\En, zolang het nog niet overgeheveld is naar een ander (veilig?)veiligheids protocollen in acht,nemend bedrijf…WE het daar maar mee moeten doen?
Al is dat voor anderen nog erger. Zonder keus.
Ik begrijp niet, men hoog van de toren blaast, dooor de domme actie van Domscheit, en wat hij effe, op het net, ramde. En wat nu bekend is…
omtrent, al onze ggevens via ; diginotar overheden ,bsn, personalia, etc
WEGGEWUIFD is, zonder stil te staan wat de gevolgen kunnen zijn;en in toekomst te voorkomen/minimaliseren.
Het kan er nog wel bij; van de ene verbazing in de ander…
Nu ja wie weet;komt nu alsnog het ” verdwenen” pdf bestandje van wapenvergunning tristan…ook nog boven water; Je weet in holland nooit hoe men, met een koe, een varken vangt
Voor het in de doofpot gedempt is.