Ot van Daalen

30 augustus 2011 11:39
Door Ot van Daalen

Online privacy
Open Internet
Privé-communicatie
Tappen

DigiD en alle andere overheidssites niet meer veilig?

Pune mana pe Vasilica sa castigi masina mica

De komende dagen zullen in een klap een hele hoop websites onveilig worden verklaard. Ondertussen zijn in Iran de levens van dissidenten in gevaar gebracht. Waardoor? Door een Nederlands bedrijf.

Als jij Google bezoekt, ga je er vanuit dat de informatie echt van Google komt. Maar hoe weet je dat nou zeker? Iemand die toegang heeft tot de verbinding tussen jou en Google  kan je een andere website tonen, of de Google website doorgeven en precies bijhouden wat jij op die website doet.

Daarom is het ook mogelijk beveiligde verbindingen op te zetten met een website. Als je een beveiligde site bezoekt, zoals Gmail, dan kan je dat in de browser zien. Er staat ‘https’ in plaats van ‘http’ in de adresbalk, en de linkerkant van de balk heeft soms een andere kleur (blauw in dit geval):

Als je een beveiligde verbinding opzet, dan ga je ervan uit dat de website inderdaad komt van Google. Ook wordt de verbinding tussen jou en Google versleuteld, zodat niemand de berichten kan lezen. En met een beveiligde verbinding wordt voorkomen dat iemand de gegevens onderweg kan wijzigen.

Google kan zo een beveiligde verbinding opzetten met een zgn. ‘certificaat’ – een soort zegel, dat alleen mag worden uitgegeven door bepaalde instanties. Om te voorkomen dat willekeurige partijen het certificaat van Google in handen krijgen, is afgesproken dat zo’n uitgever moet controleren of de aanvrager (Google Inc.) van een certificaat ook écht de eigenaar van de domeinnaam (google.com) is. Pas als een uitgever daar 100% zeker van is, kan hij een officieel certificaat voor die domeinnaam uitgeven.

Het Nederlandse bedrijf DigiNotar is zo een uitgever. En wat blijkt: in Iran is een vals certificaat voor google.com gebruikt. Dat certificaat is door DigiNotar uitgegeven. En dat certificaat is mogelijk gebruikt door de Iraanse overheid om Gmail-gebruikers te bespioneren.

De vraag is: hoe kon dit gebeuren? Er zijn twee opties: DigiNotar heeft niet gecontroleerd of de aanvrager van het google.com domein ook Google was. Of er is ingebroken in de systemen van DigiNotar, en de inbrekers konden naar wens nieuwe certificaten maken en uitgeven aan zichzelf.

Dat is een groot probleem. Niet alleen voor Iraanse Gmail gebruikers, maar ook voor jou. Want DigiNotar beheert ook de certificaten voor overheidssites, zoals DigiD. Kunnen we die nu ook niet meer vertrouwen? Zijn onze gegevens met DigiD onderschept? Het is belangrijk dat precies wordt uitgezocht wat hier is gebeurd.

Internet Explorer en Firefox en Chrome werken ondertussen direct aan  nieuwe versies van hun browsers, zodat certificaten van DigiNotar niet meer worden vertrouwd. Wat betekent dat? Dat je een foutmelding krijgt als je websites met een DigiNotar certificaat bezoekt (en, afhankelijk van hoe streng de browser is, kan dat bijvoorbeeld ook de website van DigiD zijn):

Dit fiasco laat zien dat we beter moeten gaan nadenken over de beveiliging van websites op internet. We vertrouwen honderden certificaat-uitgevers op internet om te zorgen dat ons verkeer beveiligd is. Maar de vraag is of ze dat vertrouwen wel waard zijn. Want inmiddels lijkt de website van DigiNotar gehackt:

24 reacties

laat een bericht achter

Anonymous zegt:

Hoe de overheid met het Digid debacle omgaat toont aan dat men het alleen doet om burgers zoet te houden.
Kijk de voordeur zit op slot (niemand ziet dat het slot niet deugt en dat de zijdeur wijd open staat merkt toch ook niemand?). Op een kennisniveau van wat moet je nu met al die miljarden bitjes en bytjes, je gaat toch ook geen zandkorrels uit iemands tuin stelen, en wat dan noch?

Boeftijger zegt:

Digid geeft nu bij mij “Getronics PinkRoccade Nederland B.V.” als certificeerder aan.

En: certificaat uitgegeven op 4-9-2011

Leo zegt:

Sorry dat ik als digibeet de meeste reacties met allerlei technische info niet begrijp. Ik ben namelijk erg gehecht aan mijn privacy en door ervaring achterdochtig geworden voor IT-projecten van de overheid, vandaar dat ik tegen de centrale opslag van vingerafdrukken ben, net zoals het EPD en de opslag van de OV-chipkaart-gegevens. Gevolg is dat ik nog steeds op papier mijn belastingaangifte doe en geen gebruik maak van DigiD of internetbankieren.
Uit alle commotie over die certificaten zie ik alleen maar een bevestiging van de terechtheid van mijn wantrouwen en blijf ik liever zo lang mogelijk de kat uit de boom kijken in de hoop dat dan de systemen beter beveiligd zullen worden.

Roan Kattouw zegt:

@Co: Google hoeft dat certificaat ook helemaal niet te accepteren. Het enige dat de Iraniërs hebben hoeven doen is alle verkeer bestemd voor google.com naar hun afluisterserver te sturen. Deze afluisterserver legitimeert zich met een geldig certificaat voor google.com (weliswaar uitgegeven door een CA die Google niet gebruikt, maar dat weet jouw browser niet, die vertrouwt Diginotar gewoon), ontvangt jouw data, en sluist deze dan door naar de echte Google website via een tweede beveiligde verbinding. Vanuit Google gezien is deze tweede verbinding gewoon kosher: het gebruikt het juiste certificaat en alles. Zij kunnen niet zien dat de data aan de overkant decrypted, afgeluisterd, en weer re-encrypted wordt voordat het naar de echte gebruiker gaat.

Co Stuifbergen zegt:

Ik begrijp dat Diginotar nalatig is geweest, maar wat ik niet begrijp:
Als Google beweert dat Diginotar geen certificaten voor Google.com af MAG geven, hoe kan dan dat deze certificaten door Google geaccepteerd zijn?
http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html

Volgens de wikipedia kiest namelijk de server (in dit geval Google) welk bedrijf het certificaat uitgeven mag.
http://en.wikipedia.org/wiki/Transport_Layer_Security#Description

Rijk zegt:

@Andreas: ahem, het summon van open source is misschien wel kernel.org… en die zijn er dus net achter gekomen dat ze gehackt zijn. De communicatie, en de herstelsystemen, zijn bij hen veel beter. Maar het de deur uitgooien van MS en overstappen op OS maakt je niet gegarandeerd veilig. Niemand zal de kernel.org-beheerders nu gaan beschuldigen van “schokkende incompententie”, maar ook hier is sprake van een serieuze inbraak. Het is erg gemakkelijk om altijd maar de overheid en mensen die daar voor werken voor incompetent uit te maken, maar niemand is perfect.

@Rick: “Staat der Nederlanden Root CA” is geen subroot.

Andreas zegt:

@Greenhost: ik deel je verontrusting, maar vrees dat het niet veel uitmaakt of of een CA expliciet van een land is of dat het een bedrijf is dat collaboreert. Het vertrouwen moet liefst gebaseerd zijn op goedkeuring van meerdere CAs of andere entiteiten, zodat het robuust is; daarnaast zou DNSSEC helpen.

Greenhost zegt:

Het is verontrustend dat Nederland samen met Taiwan en Japan als enige landen zelf SSL-certificaten ondertekend. De staat der Nederlanden kan gemakkelijk zelf uitgegeven certificaten gebruiken om haar burgers te bespioneren. Het is niet bekend of dit gebeurt, maar een regelmatig bezoek aan bof.nl leert dat de Staat der Nederlanden niet de meeste ideale partij is om dit soort zaken aan over te laten.

Uitgebreide uitleg en argumentatie in een blog bericht op onze site: https://greenhost.nl/blog/2011/08/ssl-door-de-staat-der-nederlanden/

Rick zegt:

Ik vind het verwonderlijk dat de Nederlands overheid nu aan Mozilla heeft gevraagd om een uitzondering voor de subroot CA “Staat der Nederlanden” toe te voegen.

Ik weet er het fijne niet van, maar als het certificaat voor google.com dmv een hack is uitgegeven hoe weten we dan zeker dat DigiD certificaten wel veilig zijn?

Als DigiNotar blijkbaar niet meer te vertrouwen is waarom is een subroot van de Nederlandse overheid dan _wel_ te vertrouwen terwijl deze gewoon door DigiNotar beheerd wordt?

Ik zou juist zeggen dat certificaten van een overheid dan juist _niet_ meer te vertrouwen zijn, spioneren op een overheid lijkt me interessanter dan een gemiddelde webshop.

http://tweakers.net/nieuws/76475/firefox-vertrouwt-digid-toch-na-verzoek-nederlandse-overheid.html
http://tweakers.net/nieuws/76484/overheid-vertrouwt-blunderende-ssl-autoriteit.html

Eelco zegt:

Doet Bits of Freedom ook nog iets in de verwijtende sfeer richting DigiNotar, nu dit bedrijf een extreme inbreuk of de vrijheid van Iraniërs heeft veroorzaakt?

PW zegt:

Vreemd. Er worden vragen gesteld bij de betrouwbaarheid van de certificatenboeren (terecht), maar niemand die zich afvraagd of de browserboeren eigenlijk wel betrouwbaar zijn. Die kunnen eenzijdig “besluiten” om een complete keten van vertrouwen de nek om te draaien op basis van…ja, wat eigenlijk? Geruchten? Een goeie gok? Beetje pressie en/of wat geld van buitenaf, misschien? Wie zal het zeggen…

Vertrouwen is een groot goed, en dat zou er moeten zijn voor alle componenten in de keten…inclusief de software zelf dus.

Clarabella zegt:

@Bijna: Diginotar is waarschijnlijk druk bezig de fout te herstellen en contact te hebben met klanten. Hun site is wellicht niet bedoeld voor actuele nieuwsitems, ik ken genoeg bedrijven die vooral statische informatie op hun site zetten.

Wat betreft Digid: Zelfs zonder certificaat vertrouw ik het voor geen cent. Ik heb eens gevraagd aan Digid waarom we op de hoofdsite (site van Digid zelf) niet konden instellen dat we ons daar willen authenticeren via sms, maar bij sites die gebruik maken van Digid wel. Antwoord: inloggen moet laagdrempelig gehouden worden omdat iedereen er gebruik van moet kunnen maken.
En dat is nou net de moeilijkheid. Hoe maak je het veilig genoeg maar wel eenvoudig zodat zelfs je oma het begrijpt?
De gebruikersnaam en het wachtwoord kunnen trouwens belachelijk simpel gehouden worden, daar kan geen certificaat tegenop. Volgens mij is het vrij simpel om Digid gebruikersnamen en wachtwoorden te krijgen. Niet door de site van Digid te hacken, maar wat dacht je van hyves? Ik geloof zo dat een helehoop mensen dezelfde gebruikersnaam+wachtwoord combi hebben voor hyves als voor digid.

Tegenwoordig wordt veel zomaar gehackt, er lijkt geen beveiligen meer aan. De “beveiligers” zijn gewoon altijd te laat. Ze moeten zelf gaan proberen hun sites te hacken om zo de lekken te ontdekken, dat is proactief. Anders zijn ze alleen reactief.

Andreas zegt:

@Rijk: ik zou niet zo snel zeggen dat het kul is. Er is geen oorzakelijk relatie tussen open source en veiligheid, uiteraard, maar als de code transparant is wordt deze door veel meer mensen bestudeerd en kunnen lekken sneller gedicht worden. In de praktijk lijkt het toch alsof een Windows systeem moeilijker te beveiligen is dan een Unix systemen (beiden kunnen uiteraard even gemakkelijk ONveilig gemaakt worden). Alles wijst erop dat de private key voor het root certificaat simpelweg gestolen is, en dat hun website al meerdere malen ge-defaced is; dit duidt op een schokkende incompetentie van Diginotar.

Henk zegt:

Maar wat als het certificaat voor DigiD vervalst zou zijn, dan liggen al onze gegevens op straat. Sterker nog, dan staat de deur open voor identify theft …

Bijna zegt:

Wat slecht dat er op de site van Diginotar zelf niets te vinden is hierover. Die spelen gewoon mooi weer.

Johan zegt:

“De vraag is: hoe kon dit gebeuren? Er zijn twee opties: Diginotar heeft niet gecontroleerd of de aanvrager van het google.com domein ook Google was. Of er is ingebroken in de systemen van Diginotar, en de inbrekers konden naar wens nieuwe certificaten maken en uitgeven aan zichzelf.”

Het begint behoorlijk op inbraak te lijken… https://www.f-secure.com/weblog/archives/00002228.html

Rijk zegt:

De mensen achter DigiD weten blijkbaar [1] nog niet dat Firefox van plan is ook het certificaat voor DigiD te blokkeren [2].

[1] http://www.logius.nl/actueel/item/titel/betrouwbaarheid-pkioverheid-certificaten-niet-in-geding/
[2] https://bugzilla.mozilla.org/show_bug.cgi?id=682956#c14

Rijk zegt:

@Erwin: kul. Er zijn genoeg gaten gevonden in open source-systemen, als beheerders niet op tijd bijwerken naar de nieuwste versie maakt het niks meer uit wat je gebruikt. Ook tegen ‘social engineering’ en slappe beveiligingsprocedures helpt open source niet.

Rijk zegt:

@Ben: met de autoriteit van het root certificaat ‘Staat der Nederlanden Root CA’ creëren de mensen van Diginotar ook certificaten met het tussen-certificaat ‘DigiNotar PKIoverheid CA’, voor overheidsinstanties zoals DigiD. Als het probleem een inbraak in de systemen van Diginotar is, ligt daar dan ook een theoretisch probleem voor Nederlanders die vanuit Teheran hun belastingaangifte doen.

Erwin zegt:

Misschien gaat er een lichtje branden als wederom blijkt dat er sprake is va MS software !!! Was DigiNotar, niet bezig met Microsoft software maar met Open Source was dit waarschijnlijk niet gebeurd. Tijd om die lui eens een boete op te leggen voor hun hackbaarheid !!!

Ben zegt:

Wacht even, het certificaat dat Digid meestuurt komt van Diginotar onder de “Staat der Nederlanden CA”, die ik nog wel vertrouw :)

Ben zegt:

Hmm. Ik heb volgens de handleiding van Firefox (mijn vertrouwen in) het certificaat van Diginotar verwijderd, maar als ik daarna naar een beveiligde DigiD-pagina ga, krijg ik geen waarschuwing. Kijk ik nog een keer in de lijst van certificaten, staat Diginotar er gewoon weer tussen… Begrijp ik het verkeerd?

fcanedo zegt:

Disclaimer: ik ben een kniesoor.

Het probleem dat derden zich, middels een DigiNotar cert, kunnen voordoen als een willekeurige andere site is niet specifiek voor houders van “goede” DigiNotar certs, zoals de overheid. Immers, google.com had geen DigiNotar cert. Dit probleem speelt dus voor alle websites en cert uitgevers ongeacht of er een zakelijk relatie is tussen de website en uitgever.

Wat wel een specifiek probleem voor DigiNotar klanten is, is dat hun certs nu in één klap ongeldig worden verklaard.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

De volgende HTML-tags en -attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

WORD DONATEUR

Zoek in blog

MEEST GELEZEN

  1. Drie redenen waarom overname WhatsApp slecht nieuws is
    20 februari 2014 / 17:13
  2. Hoe kies ik de beste chat-app?
    28 februari 2014 / 17:12
  3. Drie vragen over Big Data, privacy en de ING
    10 maart 2014 / 13:40
  4. Maandag D-Day voor netneutraliteit
    21 februari 2014 / 17:02
  5. Thanks for all the fish
    21 februari 2014 / 13:37