Op 29 augustus werd bekend dat aanvallers bij het Nederlandse bedrijf DigiNotar hadden ingebroken en verschillende frauduleuze certificaten hadden gegenereerd. Met één van deze certificaten werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Al snel werd duidelijk dat het om veel meer certificaten dan alleen het certificaat voor *.google.com ging, maar ook dat de PKI Overheid certificaten risico liepen. Diginotar geeft twee soorten certificaten uit, de Diginotar eigen merk certificaten en PKI Overheid certificaten, die voor DigiD.nl worden gebruikt.

SSL-certificaten vervullen twee functies. Ten eerste identificeren ze de website, zodat de gebruiker en browser weten dat ze ook echt op de website voor DigiD.nl of banksite zijn aanbeland. De tweede functie is het versleutelen van de verbinding tussen de gebruiker en de website. Daardoor kunnen inloggegevens op veilige wijze worden verstuurd, zodat de gebruiker weet dat zijn gegevens niet onderweg worden afgeluisterd.

SSL-certificaten zeggen dus niets over de veiligheid van de website zelf, maar gaan over de verbinding ernaar toe. Een website met SSL-certificaat kan nog steeds met cross-site scripting, SQL Injection of andere kwetsbaarheden te maken hebben. Om de frauduleus gegenereerde certificaten te kunnen gebruiken, moet een aanvaller controle over het verkeer van zijn slachtoffer hebben. Dit kan bijvoorbeeld bij een open draadloos netwerk of in een land waar de overheid de internetproviders opdraagt dit te doen.

Verbannen
Browserleveranciers besloten om eerst de eigen merk certificaten van DigiNotar te blokkeren, omdat er geen aanwijzingen zouden zijn dat de PKI Overheid certificaten ook gecompromitteerd waren. Na onderzoek bleek dit toch niet te kunnen worden uitgesloten, waarop het vertrouwen in DigiNotar door zowel de Nederlandse overheid als alle grote browserleveranciers voor beide certificaten werd opgezegd. Daardoor kunnen internetgebruikers bij het bezoeken van overheidswebsites tegen certificaat-waarschuwingen aanlopen.

Inmiddels blijkt dat er meer dan 500 frauduleuze certificaten zijn gegenereerd, voor allerlei populaire domeinen, zoals Skype, addons.mozilla.com, Tor Project en Microsoft.com. Ook de slechte communicatie van zowel DigiNotar als moederbedrijf VASCO, dat het Beverwijkse bedrijf begin dit jaar voor 10 miljoen euro kocht, houden de gemoederen bezig. De aanval vond rond 10 juli plaats en werd op 19 juli door DigiNotar opgemerkt. Toch werden betrokken bedrijven en browserleveranciers niet ingelicht en kwam de aanval pas 29 augustus aan het licht.

Vertrouwen
Pas na de ontdekking van een Iraanse internetgebruiker gaf het bedrijf toe dat het door een aanval was getroffen. Inmiddels is de overheid alle DigiNotar certificaten voor overheidssites aan het vervangen en is het bedrijf inmiddels ook uit de meeste browsers verbannen. Toch geeft het volgens vele experts aan dat één rotte appel het vertrouwen van het gehele SSL-systeem kan ondermijnen.

De ontwikkelingen rondom DigiNotar blijven in hoog tempo doorgaan. In dit dossier, zie gerelateerde artikelen rechts, zal Security.nl de laatste nieuwsfeiten, artikelen en aanvullende berichten vermelden.

Interessante links

• Fox-IT onderzoeksrapport: Operation Black Tulip
  
• Kamerbrief Digitale inbraak DigiNotar
  
• Lijst met namen van uitgegeven certificaten
  
• GovCERT Factsheet over DigiNotar-hack
  
• Comodo-hacker eist DigiNotar-hack op

• Persconferentie Donner over DigiNotar
  
• Persconferentie Donner over overheidswebsites