De afgelopen anderhalve week is er veel aan de hand rond beveiligingscertificaten van de overheid. Aanleiding daarvoor is de inbraak bij het Beverwijkse bedrijf DigiNotar. Dat gevolgen ernstig zijn is helder en blijkt al uit het feit dat de minister zelf drie persconferenties geeft. Gemeente.nu beantwoordt vijf belangrijke vragen.
1. Wat zijn nou die
certificaten en wat is er nou eigenlijk aan de hand?
Omdat al verkeer op internet
langs veel punten komt en op veel plaatsen af te luisteren is,
zijn gegevens die niet met iedereen gedeeld kunnen worden
beveiligd. Dat gebeurt door gebruik te maken van beveiligde
verbindingen. Hiervoor wordt versleuteling gebruikt. Het
mechanisme werkt zo dat de server die verbinding begint met
behulp van een certificaat. Dat is het beginpunt om de
versleuteling op te zetten. Dat mechanisme werkt nog altijd
onveranderd.
Certificaten worden ook voor
een tweede doel gebruikt. Het helpt met het vaststellen dat de
gegevens veilig op de juiste computer worden afgeleverd. Want
als informatie op veilige manier bij een verkeerde partij
uitkomt dan is er nog altijd een probleem met de
vertrouwelijkheid. Het certificaat wordt daarom ook ingezet om
de server het bewijs te laten leveren dat hij authentiek is.
Daarvoor wordt gebruik gemaakt van een vertrouwde derde partij
(technisch heet dat een Trusted Third Party). Onderwater voert
de webbrowser die controle uit. Is alles goed dan komt er een
geel slotje in beeld. De gebruiker of een systeem hoeft daar
niet over na te denken.
Zo’n vertrouwde partij was
DigiNotar. Zij gaven dit soort certificaten en bevestigden de
echtheid aan webbrowsers. Wat de man in Iran ontdekte is dat bij
een bezoek aan Google hij weliswaar een bevestiging kreeg van
DigiNotar dat het certificaat echt is, maar dat dit niet klopt.
Dit bedrijf is namelijk niet de leverancier voor Google van
beveiligingscertificaten en die situatie kan dus niet bestaan.
Het bedrijf is dus gehacked.
2. Wat heb ik daar al
decentrale overheid mee te maken?
Diginotar geeft twee soorten
certificaten uit. Private als onderdeel van het hele
waarmerksysteem op internet en ‘gekwalificeerde’ namens de Staat
der Nederlanden. Die laatste is voorzien van extra waarborgen en
haakt voor de rest aan op het internetsysteem. Een
overheidscertificaat heeft dus een meerwaarde. DigiNotar is een
belangrijke leverancier die over een mandaat beschikte om namens
de Staat der Nederlanden te tekenen. Dus met de hack kwam meteen
ook dat ter discussie staan.
Veel gemeenten en andere
overheden worden dus de dupe van deze kraak. Het zijn namelijk
de certificaten die zij gebruiken die ook onderwerp van
discussie worden. Dat ondermijnt dus het vertrouwen in de
communicatie tussen burger en overheid en tussen systemen. Juist
als de vertrouwde partij niet langer te vertrouwen is dan is er
geen waarmerker meer die met gezag de echtheid kan bewijzen. Dat
raakt dus de klanten van DigiNotar.
Dat er wantrouwen kwam, is
terecht. Een digitale inbraak is nooit volledig uit te sluiten.
Maar eigenlijk mag dat niet voorkomen. Het probleem is alleen
dat een inbraak op systemen van Diginotar nooit mag leiden tot
het aanmaken van nieuwe certificaten. De technische omgeving die
de certificaten uitgeeft hoort fysiek niet verbonden te zijn met
het gewone netwerk van het bedrijf. Dat er toch een certificaat
is uitgegeven kan onder normale omstandigheden technisch
eenvoudigweg niet. Procedureel hoort zoiets ook niet te kunnen.
3. Maar Logius beweerde dat er
geen reden tot zorg was voor PKI Overheid?
Dat statement was nergens op
gebaseerd. Omdat er technisch iets onmogelijks was en
procedureel ook iets gierend was misgegaan, hoort tot
bezorgdheid te leiden. De omgeving voor overheidscertificaten is
ook gescheiden en vindt in een kluis plaats. Maar juist de
indicatie dat technische omgevingen niet gescheiden lijken,
hoort tot twijfel te leiden. Zeker omdat gedurende de uren na
het ontdekken ook duidelijk werd dat het ging om meer dan één
certificaat. Dat wekt het vermoeden dat er geautomatiseerd is
gewerkt.
Het systeem staat of valt met
vertrouwen. Dat is niet iets dat Logius mag claimen, maar is
iets dat wordt geschonken. In dit geval als eerste door de
leveranciers van browsers, maar ook door de internetgemeenschap.
Een logische stap is juist bij zo’n systeem van het ergste
uitgaan tot het tegendeel bewezen is. Een statement als dat van
Logius werkt op heel korte termijn misschien, maar ondermijnt
structureel het vertrouwen. Vooral voor ambtenaren bij
decentrale overheden is dat lastig, want ook zij krijgen dan
tegenstrijdige signalen.
Uit onderzoek van Fox IT is
gebleken dat DigiNotar op cruciale onderdelen tekort is
geschoten. Er blijken fysieke verbindingen te zijn geweest
tussen het kantoornetwerk en verschillende omgevingen voor het
aanmaken van certificaten. De seperatie is doorbroken. Omdat ook
nog eens een enkele Windows-omgeving bestond, was het inbreken
voldoende om overal bij te kunnen. De hacker(s) is/zijn dan ook
op de PKI Overheid-omgeving geweest. Het wachtwoord voor de
beheerder was erg eenvoudig te kraken en waren ook nog eens de
hoogste rechten denkbaar op een systeem beschikbaar. Simpelweg
blijkt het dus helemaal foute boel te zijn geweest.
4. Wat moeten wij nu?
Als u certificaten van
Diginotar heeft dan moeten die worden vervangen als dat nog niet
gebeurd is. Dat gaat verder dan alleen de webserver, omdat ook
systemen onderling certificaten gebruiken. Let daarbij op dat
sommige computerprogramma’s ook bijhouden welke certificaten
andere systemen hebben als extra beveiligingslaag. In zulke
gevallen is vervangen niet voldoende, maar moet ook
programmatuur worden aangepast. De VNG heeft een helpdesk
ingericht die alle vragen zo snel mogelijk proberen te
beantwoorden. Bij twijfel is het advies dan ook om contact op te
nemen.
Het advies van Logius op 1
september 2011 om te kijken welke certificaten er zijn, waarvoor
ze gebruikt worden en wat uitval voor gevolgen heeft, is wel
logisch. Natuurlijk blijft dat rijkelijk laat, omdat dit soort
dingen eigenlijk in een beveiligingsplan thuis hoort. Maar dit
is de praktijk. Voor de toekomst is het verstandig toch na te
denken over een soort ‘plan B’. Denkbaar is bijvoorbeeld dat
over een tijd er bij een tweede leverancier een
reservecertificaat wordt aangevraagd om in noodgevallen snel in
te zetten. Wie slim is bedenkt daarbij ook dat certificaten een
uiterste houdbaarheidsdatum hebben. Dus is een verschillende
verloopdatum is handig, mocht er administratief een keer iets
over het hoofd worden gezien.
Verstandig is ook om open te
communiceren over wat er nu geregeld wordt. Vertrouwen komt te
voet en gaat te paard. Laat zien dat u de problematiek serieus
neemt. Ook bij raadsleden kunnen vragen spelen en heldere
communicatie voorkomt onnodige twijfel weg te nemen en
vertrouwen te wekken.
Omdat DigiD werkte met zo’n
certificaat is het niet meer volledig gegarandeerd dat er geen
misbruik van de inlog is geweest, is het verstandig burgers aan
te raden ook het wachtwoord te vervangen. Dat gebeurt dan onder
het motto ‘better safe than sorry’. Ga er ook niet vanuit dat
met het vervangen van het certificaat door DigiD alle problemen
voorbij zijn. Pas als heel DigiNotar niet meer operationeel is
en er geen meldingen van verstoringen zijn, weten we pas of het
goed is.
5. Waarom wordt Nederland zo
aangevallen?
Op basis van de feiten is
helder dat het lijkt dat de hack ging niet om Nederland, maar om
DigiNotar. Daar was een hack goed mogelijk, omdat zij de
gelegenheid boden. Gelet op het onderzoek van Fox IT, de
certificaten die vervalst zijn en andere informatie is duidelijk
dat de aanval gericht is op het kunnen controleren van
internetverbindingen binnen Iran. Dat de overheidscertificaten
worden getroffen is het gevolg van de zaken die DigiNotar heeft
nagelaten. Met een mooi woord is dit ‘collateral damage’ van de
kraak.
Het is goed te beseffen dat dit
voor ons wat ongemak geeft. Voor mensen in Iran is de hack veel
zorgelijker. Het afluisteren van communicatie tussen burgers en
andere partijen kan onder het huidige regime daadwerkelijk
gevaarlijk zijn. De knulligheid van de beveiliging zegt weinig
tot niets over de geavanceerdheid, waarmee misbruik van de
zwakheden lijkt te worden gemaakt. Misschien is het een goede
les om beveiliging serieus te nemen. Bij een hack wordt u niet
alleen zelf getroffen, maar kunt u onbedoeld ook anderen treffen.
G Laan says
In en in triest voor de irani?rs die hierdoor zijn opgepakt en nu gemarteld worden. Dit is binnen de wereld van ICT’ers een bekend risico van onveilige certificaten. Kennelijk vond Diginotar het dat risico waard. Nog triester Diginotar blijkt al twee jaar geleden gekraakt te zijn. Al twee jaar lang kan het iraanse regime hier dus misbruik van maken.
Ook in China is men zeer ge?ntresseerd in dit soort onveilige certificaten.
Kortom mensenlevens zijn op het spel gezet.
Paul van der Hart says
Overigens: wel heel pijnlijk is dat de VNG binnen de kortste keren een lijst publiek maakte (op de internets!) van alle gemeenten die zaken deden met DigiNotar. Handig voor wie wilde weten welke gemeenten nu kwetsbaar waren….
Zie: http://bit.ly/pFwmsb
Paul van der Hart says
Allereerst petje af voor Brenno, die een heel duidelijk en vooral begrijpelijk verhaal schrijft over wat er nu precies mis is, en bij wie.
En laat het duidelijk zijn: wat er mis is, is mis bij DigiNotar. Dit is nu eens ??n van die blunders die wel de IT van de overheid treffen, maar waar de overheid niet zelf schuldig aan is.
Dat laat echter onverminderd dat “de overheid” tot nog toe uitblinkt in communicatie die in ieder geval ??n ding duidelijk maakt: dat die overheid eigenlijk zelf helemaal niet snapt waar het nu eigenlijk om gaat.
Een goed voorbeeld hiervan is de Gemeente Zevenaar die trots aangaf: bij ons is alles goed, want wij doen geen zaken met DigiNotar. Alsof je op een eiland zit, alsof je met geen derde partijen te maken hebt! Wie via DigID inlogt bij Zevenaar heeft al te maken met DigiNotar, want de check op DigID loopt via certificarten van DigiNotar. De basisregistraties van Zevenaar staan in verbinding met landelijke systemen van ministeries en andere (quasi)overheidsinstanties: die gebruiken mogelijk ook certificaten van DigiNotar.
Wat pijnlijk duidelijk wordt, en gelukkig nu eindelijk eens in het groot, is dat bij veel overheden de kennis en ervaring ontbreekt om de moderne ICT nog te volgen. Laat staan te beheren.
Er zijn inmiddels kamervragen (van o.a. de SP) om maar weer eens een onderzoek te doen naar deze zoveelste oprisping van ’s overheids onkunde op IT gebied.
Maar begin eens met uitzoeken waarom het gros van de met name kleinere overheden het met zulke gebrekkige IT-ers moet doen. Of permanent gepiepeld worden door peperdure, en vaak al even incompetente externen.
Misschien dat we dan een keer verder komen.
Nogmaals, een verhelderend stuk van Brenno, en goed voor alle ge?nteresseerde ambtelijke IT-leken. Maar jammer dat het voor het gros van de IT-ers waarcshijnlijk ook voor het eerst is dat ze iets beginnen te snappen van de certificaten die ze nu al jarenlang trouw maar onwetend installeren.
Mark says
@Jan Kijlstra:
Ik denk dat een belangrijk probleem ook is dat veel mensen die wel degelijk verstand hiervan hebben enerzijds niet enorm communicatief vaardig zijn en daarmee de overheid niet bereiken en anderzijds over het algemeen als paranoia worden bestempeld door andere ICT’ers die ergens een klok hebben horen luiden.
Jammer dat op deze manier deze mensen toch weer gelijk blijken te krijgen.
de vries says
dat is ook mijn grootste bezwaar bij het registreren van vingerafdrukken.
De reden om identiteitsfraude te voorkomen, echter het namaken van een paspoort is nog steeds mogelijk, waarbij vingerafdrukken het vervalste paspoort nog legitiemer maken (conform overheid), waarbij de persoon waarvan misbruik gemaakt wordt nog meer de klos is…..
Altijd wat? says
Wat kan de overheid nu wel eens een keer goed doen?
Jan Kijlstra says
ICT en overheid, het wordt nooit wat.
Want hoeveel kennis en kwaliteit je als overheid ook in huis haalt, de beslissers zijn niet deskundig (aan het eind: politici), kijken teveel naar de kosten, en werken te veel op basis van compromissen.
Overigens dient een zo essentiele zaak als dit natuurlijk niet bij een commercieel bedrijf ondergebracht te worden, maar bij een onafhankelijke instelling. zoiets als de Nederlandse Bank, of zo. En die moet voldoende budget krijgen om de zaak goed te regelen.