Diginotar het bedrijf achter DigiD is gehackt. Via de site van de NOS een aantal antwoorden op veelgestelde vragen. Bottomline... voorlopig moet je websites die met DigiD worden beveiligd vermijden! Mijn persoonlijke vraag... hoe is dit mogelijk dat het meest beveiligde systeem (nota bene van de overheid) gekraakt wordt! Dit mag gewoon niet kunnen. Geeft wel te denken...
Hier de antwoorden op een aantal veelgestelde vragen:
Wat is het probleem nu precies?
Er is ingebroken bij een bedrijf dat de 'bewijzen van echtheid' van belangrijke websites uitgeeft, de zogenoemde PKI-certificaten. Telkens als je een (belangrijke) site zoals DigiD bezoekt, controleert de browser automatisch of de site 'echt' is. Dit is sinds de inbraak niet zeker meer.
Is het mogelijk dat je DigiD-wachtwoord nu al in handen is van anderen? (@janwillemjanse/@WendyAntalle)
Het is niet gegarandeerd dat dit niet zo is. Over de kans dat dit ook daadwerkelijk zo is, wordt door experts verschillend gedacht. De informatie die met hulp van DigiD verzonden is, zou in theorie ergens anders terechtgekomen kunnen zijn en (in theorie) zelfs opgeslagen kunnen zijn.
Welke risico's heb ik nou daadwerkelijk gelopen door al die tijd gewoon Belastingdienst.nl en zo te gebruiken? (@tomklaver)
Tot nu toe is alles nog theorie. Er zijn geen bewijzen voor misbruik. In de zogenoemde logfiles van DigiD zijn geen sporen van ongewenst verkeer gevonden. Het kan ook zijn dat die logfiles door derden zijn bewerkt. Ook dat is in theorie mogelijk.
Moet ik mijn wachtwoord van DigiD veranderen? (@EtienneHsum)
Minister Donner heeft daarover verder niets gezegd. Om online je wachtwoord te veranderen moet je met je oude wachtwoord inloggen. Het is verstandiger de komende dagen DigiD helemaal niet te gebruiken.
Wat hebben die Iraniërs nou precies gedaan bij de hack? Het rootcertificate van Diginotar te pakken gekregen? (@ruudgreven)
Op 19 juli is er ingebroken op het netwerk van Diginotar. Waarschijnlijk is de sleutel (root key) van buitenaf te benaderen geweest. De experts die de NOS gesproken heeft, vinden dit op z'n minst opmerkelijk. Waarschijnlijk heeft de hack (inbraak) vanuit Iran plaats gevonden.
Volgens mij was Diginotar gewoon een normale CA die ook voor webwinkels e.d. certificaten ondertekende. Ik kan helaas zo snel niet even een lijst vinden (naja, EFF's SSL observatory maar die is niet online te doorzoeken)
Maar daar gaat het niet om. Diginotar werd vertrouwd door je browser. Als iemand een certificaat voor phphulp.nl tekent met Diginotars private sleutel, dan wordt dat certificaat vertrouwt door je browser en krijg je een mooi groen slotje te zien, ook al weet Bas niet eens van het bestaan van dat certificaat af. Het zijn niet websites die onveilig zijn geworden, het zijn de verbindingen met websites die onveilig zijn zolang Diginotars certificaten worden vertrouwt. En nog niet eens zozeer de verbindingen; die blijven wel versleuteld. Maar een certificaat van Diginotar is geen garantie dat je daadwerkelijk met een server praat die is die hij beweert dat hij is.
Wat een overdreven gedoe allemaal weer! Alle mogelijk onveilige certificaten zijn ingetrokken. Browserfabrikanten hebben adequaat gereageerd door in eerste instantie specifieke subroot certificaten als onveilig te bestempelen, later nog rigoureuzer (door alle certificaten van Diginotar als onveilig te bestempelen). De overheid heeft adequaat gereageerd door het werk van Diginotar over te nemen. Certificaten van Diginotar zijn ook niet per definitie onveilig. Het is alleen niet meer te garanderen dat een Diginotar certificaat veilig is. Overheidswebsites zijn bijna allemaal gewoon te gebruiken. Veel maken er ook gebruik van Verisign als CA. Mogelijk onveilige certificaten worden netjes door de browser geweigerd. Alle bekende browsers markeren Diginotar certificaten namelijk als niet vertrouwd. Mijn afstudeerproject ging overigens over veilige communicatie tussen overheid en bedrijven. Wat ik daar uit heb geleerd is dat het imago van de overheid op het gebied van ICT en veiligheid onterecht is. Nederland loopt wereldwijd voorop in het standaardiseren en het creëren van een efficiënte digitale overheid. In tegenstelling tot wat velen denken doet de overheid ook een serieuze poging open-source oplossingen aan te bieden voor communicatie met de overheid. Zo hebben ze een eigen open-source Gateway ontwikkeld om bedrijven gratis en veilig met de overheid te laten communiceren (dit project is nu gestopt omdat er nieuwe alternatieven zijn). Maar nee, de overheid maakt nog steeds geen gebruik van dat 'geweldige' Open Office, dus de overheid doet niets aan open-source.
Waar ik me aan erger is dat zoveel mensen meteen hun oordeel klaar hebben. Ze weten niet eens wat een CA is, sleutels hebben veel mensen ook nog niet over gehoord. Maar de overheid is nu opeens niet meer te vertrouwen (er was ook al eens een USB stickje kwijt geraakt, tjonge!). Iemand wel eens gehoord van NUP, Digikoppeling, koppelvlakstandaarden, EBMS, Diginetwerk, Digipoort? Nee dat dacht ik al.
Wat ik verder nog kwijt wil is dat het hacken van een certificaat slechts het eerste stap is in een proces om gegevens buit te maken. Er zijn in de logfiles van overheidswebsites geen opmerkelijkheden gevonden. De kans dat de Iraniërs deze ook gehackt hebben om verdachte activiteiten uit het logboek te houden lijkt mij erg onwaarschijnlijk. Verder moet een gebruiker nog worden verleid om niet rechtstreeks met de overheid te praten maar via een malifide site (bijvoorbeeld door via een virus je hosts bestand aan te passen). Doet me een beetje denken aan de Air Crash Investigation serie op TV. Een ramp is altijd te wijten aan een samenspel van een opstapeling aan fouten.
En Ozzie, 100% veilige systemen bestaan niet. Ik weet niet waarom je het probleem zo graag wil uitsmeren over alle overheidswebsites en DigiD (wat heeft DigiD hier nu mee te maken???) maar zolang je in je browser een mooi groen balkje krijgt is er niks aan de hand.
"En Ozzie, 100% veilige systemen bestaan niet. Ik weet niet waarom je het probleem zo graag wil uitsmeren over alle overheidswebsites en DigiD (wat heeft DigiD hier nu mee te maken???) maar zolang je in je browser een mooi groen balkje krijgt is er niks aan de hand."
Waar leid je dit nou weer uit af? Van overheidsinstanties mag je verwachten dat ze 100% veilig zijn omdat ze veel gevoelige informatie bevatten. Daarnaast smeer ik helemaal niks uit. Blijkbaar gaat er iets niet goed met DigiD zoals overal in het nieuws te lezen en te horen is. Ik vind het niet prettig dat je mij woorden in de mond legt.
Van overheidsinstanties mag je verwachten dat ze 100% veilig zijn omdat ze veel gevoelige informatie bevatten.
Verwacht gerust het onmogelijke. Van een vliegtuig mag je ook verwachten dat die niet crasht. Gebeurt ook.
Ozzie PHP op 03/09/2011 22:56:48
Daarnaast smeer ik helemaal niks uit.
Je hebt gelijk, mijn fout. Ik las je bericht alsof je alle overheidssites niet wilde gebruiken, maar nu ik het nogmaals lees zie ik dat je wat genuanceerder was.
Ozzie PHP op 03/09/2011 22:56:48
Blijkbaar gaat er iets niet goed met DigiD zoals overal in het nieuws te lezen en te horen is.
Het is theoretisch gezien niet uit te sluiten dat certificaten van de subgroep PKIOverheid onterecht zijn vrijgegeven. Er is geen enkele aanwezig echter dat dat wel gebeurd is. In logboeken is ook niks vreemd geconstateerd. Het staat wel vast dat certificaten van Diginotar zelf onterecht zijn vrijgegeven. Zie de maatregelen als preventieve maatregelen om je veiligheid te garanderen. Verder vind ik dat de overheid adequaat reageert door in nog geen dag tijd te beslissen dat de samenwerking met Diginotar opgeheven wordt. Maar daar hoor je niemand over.
P.S. Voor de mogelijke aluhoedjes onder ons: ik werk niet bij de overheid ;).
