Netherlands Cyber Defence Initiative

09/05/11

De Onderste steen

Het is volop crisis in beveiligingsland. Vorige week bleek dat Diginotar een wildcard certificaat verstrekt heeft voor google.com. Hiermee begluurde de Iraanse overheid haar eigen burgers bij het gebruik van Gmail. Begluren klinkt schokkend en dat is het ook, maar zelfs in de virtuele wereld is Iran voor velen een ver-van-mijn-bedshow. De reacties waren sussend en er werd per ommegaande van staatswege verklaard dat de schade voor de Nederlandse overheid, als grootafnemer van Diginotar, nihil was. Raakt dit alles ook de Nederlandse burger? Jazeker, want "ook de veiligheid van DigiD was niet in gevaar geweest." Maar, zoals blijkbaar de standaardprocedure is bij crises, was hier sprake van wensdenken. De feiten over Diginotar lagen niet op tafel maar werden op voorhand ontkend. En dat terwijl het verband tussen eventuele feiten en kwetsbaarheid van bijvoorbeeld de Nederlandse overheid in de zogenaamd geruststellende verklaring voor iedereen impliciet was toegegeven. "Waar rook is, is vuur, maar er is geen rook, dus is er ook geen vuur." Van uur tot uur komen nog nieuwe feiten op tafel en zeker is, dat de schade voor de Nederlandse overheid en voor bedrijven aanzienlijk is. DigiD is op dit moment niet beschikbaar. Ook bij mijn werkgever moesten we snel een ander certificaat inzetten. Er is inmiddels een hele hoop rook.

Nu is het onderwerp certificaten voor de meeste mensen tamelijk schimmig. Ook onder beveiligingsmensen is PKI traditioneel een weinig bekende materie. Logisch ook, na een forse hype tussen 1997 en 2002 was er geen droog brood meer in te verdienen, dus de meeste beveiligingsspecialisten komen niet veel verder dan wat theorie uit de CISSP-boeken en soms wat ervaringen met certificate hell. Bovendien gaat de meeste literatuur in op de cryptografische theorie, de asymmetrische cryptografie van PKI, en niet op de I, de infrastructuur. Hoe het echt werkt, weet dus bijna niemand.

Maar niet weten is niet meer acceptabel. Daarom hier een hele korte inleiding op de I van PKI. De infrastructuur is een hiërarchie, vergelijkbaar met een LDAP directory zoals AD. De top van de directory is de root, en de root is de basis van het vertrouwen van alles wat eronder zit. Netzomin als de hele wereld in één directory past, is er één PKI. Om te zorgen dat er tussen de verschillende hiërarchieën gecommuniceerd kan worden, zijn de PKI’s onderling verweven, door zogeheten cross-signing. Samen vormen deze PKI’s een wereldomspannend ‘web of trust’.

Diginotar is een van de zogeheten RootCA’s. De RootCA garandeert met haar digitale handtekening de echtheid van PKI-certificaten waarmee servers, applicaties en mensen hun echtheid in het digitale domein kunnen bewijzen. Om het leven voor de internettende mens overzichtelijk te maken, worden certificaten van de belangrijkste RootCA's op voorhand geïnstalleerd op de computer, via Windows of via een browser. Anders zouden we als gebruiker continu certificaten moeten beoordelen en zelf installeren. Het vertrouwen dat het web of trust biedt, is dus niet als tussen mensen een bewuste keuze, maar een van buiten opgelegd geheel. Het is verplicht vertrouwen, voor onze eigen bestwil. Wij zijn blijkbaar niet slim genoeg om zelf te bepalen wie we betrouwbaar vinden. En, laten we wel wezen, het doorgronden van de wereld van de PKI's zal inderdaad de meeste mensen echt boven de pet gaan.

De betrouwbaarheid van de RootCA wordt vooral bewaakt door strenge regels en scherpe auditoren. De RootCA staat immers aan de wortel van zo’n beetje iedere beveiliging op internet. Als je gaat telebankieren, dan wordt de echtheid van de server bevestigd door een servercertificaat, wiens betrouwbaarheid door een RootCA wordt gegarandeerd. Het gaat echter veel verder: het feit dat je op de juiste URL uitkomt is afhankelijk van DNS, het vertalen van de domeinnaam naar het echte IP adres van de server. Ook de betrouwbaarheid van DNS wordt op de schouders van PKI gebouwd, primair maar niet alleen via DNSSec. Oftewel, de veiligheid van DNS is rechtstreeks afhankelijk van PKI.

Als je updates of drivers installeert op je computer, zijn deze ook ‘digitaal ondertekend’. De ‘handtekening’ waar je computer naar zoekt, is ook een PKI-certificaat. Als een nep-update voorzien is van de juiste digitale handtekening, dan zal je computer het gewoon installeren. Je telefoon ook. Het roemruchte Stuxnetvirus maakte hier gebruik van. Oftewel: de veiligheid van je computer is rechtstreeks afhankelijk van PKI. Zo zijn er nog meer. Met aanvallen op RootCA’s – en Diginotar was niet de eerste – wordt de kern van alle beveiligde zaken op internet bedreigd.

Nu zou je zeggen dat dit alleen voer voor specialisten is. Helaas, dat is het niet meer. Omdat het door de staat en auditoren opgelegde vertrouwen niet werkt. De burger kan niet meer blind vertrouwen, en zal zelf de diepte van PKI en beveiligingstechnologie in moeten of de systemen als DigiD, telebankieren en wat dies meer zij niet meer gebruiken. En, helaas, dat punt ligt al enige jaren achter ons.

Hopelijk maakt bovenstaand een beetje duidelijk hoe belangrijk een goede afhandeling van deze affaire is en hoe ernstig het probleem is – voor iedereen, niet alleen de übergebruikers. De reacties in de sector zijn niet voor niets zo onverbiddelijk. Microsoft spreekt ronduit van een frauduleus certificaat en alle browserleveranciers nemen maatregelen tegen alle certificaten van Diginotar door het verwijderen van de RootCA uit de browser of het OS. Dit leidt tot waarschuwingen op het scherm aan iedere gebruiker; DigiD wordt voortaan als onbetrouwbaar aangemerkt en iedere gebruiker zal dat zien. Hier hielpen de vragen van Logius en GovCert niets aan.

Diginotar is begin dit jaar overgenomen door het Amerikaanse Vasco . Het staat centraal in veel beveiliging om ons heen, met name van rijkswege, in het toch al omstreden DigiD. We zijn met zijn allen dus een hele grote klant. Dat BiZa initieel meldde dat de beveiliging van DigiD en de PKI-overheidscertificaten door deze affaire niet geraakt is, zal in zekere zin nog steeds kloppen, zelfs na de bevindingen van de forensisch onderzoekers van Fox-IT, maar dat is op de hele affaire maar een detail. Laten we even verder uitzoomen, de dingen van iets meer afstand bekijken. En opnieuw wordt het kernprobleem alleen maar zichtbaarder. Vasco heeft niet alleen DigiNotar gekocht, maar ook Alfa & Ariss, de makers van de applicatie onder DigiD. Hiermee heeft het Amerikaanse bedrijf een zeer belangrijke positie in de digitale veiligheid in ons land verworven. Deze wordt verlengd door de vertraging in de oplevering van de opvolger van DigiD door een andere leverancier.

Diginotar zit ook als kennisleverancier in het voortraject van de Europese pendant van DigiD, SSEDIC. Dit geeft mij wel een heel ongemakkelijk gevoel. Minister Donner doet dan ook het enig juiste door Diginotar aan de dijk te zetten. Nu nog de vertraging met DigiD 4.0 oplossen, s’il vous plaît. Het uiteindelijke probleem is dat de overheid onvoldoende kennis en capaciteit heeft, zodanig dat zelfs het onderzoek naar Diginotar gedaan moet worden door een externe partij. Waar zijn de cybercops?

Nu er sprake blijkt van een hack moet de conclusie zijn dat er blijkbaar te veel vertrouwen is gesteld in de strenge procedures, het toeziend oog, en het eigen oplossend vermogen van de leverancier. Het lijkt mij zonneklaar dat er te weinig gedaan is aan beveiliging. Een webserver hacken is nog wel te doen, maar een goed beveiligd netwerk is hele andere koek. Zouden ze wel gekeken hebben in wat de SIEM liet zien? Dit is overduidelijk een organisatie die niet weet wat een heel goed beveiligd netwerk is. Dat is een kritieke fout.

Helaas is dit niet verbazend: in de hele PKI-wereld ligt de nadruk op de juiste procedure en de toetsing ervan. Dan gaat de aandacht vanzelf minder naar technische middelen die afwijkingen van de procedures uitsluiten dan wel signaleren. Ik ben dan ook heel benieuwd wat het rapport van Fox-IT zal melden.

Een RootCA staat onder een streng audit toezicht conform ETSI 101 456 en dat heeft blijkbaar gefaald. De betrouwbaarheid van de RootCA wordt primair gegarandeerd door de audit; in dit geval PriceWaterhouseCoopers en deze firma van faam heeft hier gefaald met haar goedkeuring tot 2013. Ik ben benieuwd wat de afdeling communicatie van PWC hierover te melden heeft, op dit moment hebben ze nog geen bericht. Dat is fout op fout.

Voor zover nu bekend heeft Vasco dus niet alleen de netwerkbeveiliging niet op orde, maar heeft het bedrijf ook de boel onder de pet willen houden. De eigen veiligheid ging blijkbaar voor op die van haar klanten, inclusief de Nederlandse overheid die pas op de 29e, toen het nieuws al zeker twee dagen op straat lag, op de hoogte werd gesteld. Diginotar dacht dat ze de problemen in de hand konden houden. Dat is drie keer fout.

Op 19 juli werd de hack ontdekt, die op dat moment zeker al een week aan de gang was. Diginotar veronderstelde zelf de schade te kunnen inschatten en bovendien in stilte te kunnen oplossen, iets wat overduidelijk mislukt is. De schade blijkt elke dag nog groter te zijn. We zouden er echter niets van gehoord hebben, als één van de certificaten niet zes weken later door een oplettende gebruiker in Iran opgemerkt was. Dit nieuws werd snel opgepikt door de Rijkshackers van Govcert, en pas toen werden de beveiligers van de bedreigde systemen op de hoogte gesteld. Diginotar dacht dat het allemaal wel meeviel. Vier keer fout.

In totaal zijn er enkele honderden certificaten door de hackers aangemaakt, naar verluidt. De meeste daarvan waren slechts enkele weken geldig en zouden dus inmiddels ongevaarlijk moeten zijn. Diginotar stelt dan ook dat het maar om enkele tientallen certificaten gaat. Die zouden via het revocation mechanisme inmiddels ingetrokken zijn. Maar het blijkt dat Diginotar ook een beveiligingsfunctie van PKI niet gebruikte, de zogeheten PathLenConstraint, zodat aanvallers ook nieuwe certificaten kunnen uitgeven op naam van Diginotar. Het aantal is dus niet 247, maar in theorie oneindig. Dat blijkt ook, nu er weer meer opduiken. En dat maakt vijf kritieke fouten.

De aanval kwam bovendien niet uit het niets. Sinds 2010 wordt de wereldwijde PKI onder vuur genomen, het meest door het Zeus 2 botnet. Collega RootCA Comodo werd bovendien eerder dit jaar slachtoffer van een soortgelijke aanval. En Comodo gaf het goede voorbeeld door onmiddellijk publiek te gaan en alle certificaten in te trekken. Diginotar was dus gewaarschuwd en had extra alert moeten zijn. Zes, dus. Het niet leren van het goede voorbeeld van Comodo maakt zeven. Zeven kritieke fouten.

Als klap op de vuurpijl biedt Vasco haar expertise als ‘leading supplier’ aan om samen met de Nederlandse overheid de problemen op te lossen. Doorgaande arrogantie. En dat maakt acht.

Acht dodelijke fouten. En er zullen er meer zijn. Er is meer dan rook: er is een uitslaande brand. En het is geen incidentele brand: de veiligheid van het hele PKI gebeuren is van meet af aan betwijfeld. In 2000 schreef Crypto-goeroe Bruce Schneier een overzicht dat nog staat als een huis. De enige reden dat we met z’n allen met PKI doorgingen was het gebrek aan een alternatief. Het is een veenbrand die nu uitslaat.

Inmiddels heeft dit onderwerp het achtuurjournaal gehaald. Ook hebben we voor het digitale domein ongebruikelijk goede Kamervragen gezien. Er wordt geroepen om een parlementaire enquête. En terecht. De onderste steen moet namelijk boven. Om veel meer redenen dan de veiligheid van je belastingaangifte en de websites van de Nederlandse overheid:

In het belang van de organisaties, zowel binnen als buiten de overheid die financiële schade hebben opgelopen en deze willen verhalen. Dit kan dus óók over gevolgschade gaan. De wetgeving is helaas een beetje wazig.

  • In het belang van de naam van de IT-sector in het algemeen en IT Security in het bijzonder: we bouwen vrijwel geen enkel systeem zonder PKI. Ik denk dat genoeg beheerders zich niet realiseren dat proxies zelden de CRL’s van certificaten uitlezen, en dat een boel organisaties nog een hele tijd kwetsbaar zullen zijn. We blijken als sector niet te kunnen doorgronden wat we inzetten in een kritieke rol. Dat blijkt wel uit de ridicule adviezen die we soms geven, zoals om de veiligheidswaarschuwingen van de browser maar te negeren of dat we bij Mozilla klagen over het intrekken van de RootCA.

  • In het belang van PKI, het enige wereldomspannende beveiligingsmiddel. Als deze vertrouwenscrisis niet grondig bezworen wordt, herhaling niet wordt uitgesloten en het vertrouwen niet wordt hersteld, dan is de hele interneteconomie in levensgevaar. En we hebben al een economische crisis. Het ergste is dat er geen alternatief is.

  • In het belang van de gevestigde naam in de audit: het falen van PWC raakt alle andere klanten van PWC die een PWC-kwaliteitsstempel voeren. En indirect het hele model van security by audit; PWC heeft conform de standaardnormen gewerkt van de NOREA en de ETSI.

  • In het belang van de veiligheid van ons land en haar inwoners, omdat Vasco’s beveiligingsproducten zo centraal staan in zo veel overheidssystemen en het bedrijf getoond heeft verkeerde prioriteiten te stellen.

  • In het belang van de geloofwaardigheid van de overheid als kundige beschermer van de burger in het digitale domein. Niet voor wat de burger zelf kiest, maar voor wat de overheid creëert en verplicht stelt in een grootschalig programma. Dat programma heet ‘Andere Overheid’ en na meer dan 8 jaar is dit het treurige resultaat.

  • In het aanzien van Nederland in de internationale context, omdat het toch al fragiele weefsel van PKI dat wereldwijd dezelfde rol heeft een zware klap oploopt. Zo zijn dankzij het optreden van Diginotar niet alleen de Iraanse dissidenten, maar ook de CIA, MI6, de Mossad en het Tor project in gevaar gebracht. En als overtreffende trap, met het nepcertificaat voor Microsoft Update, is iedere Windowsgebruiker wereldwijd in gevaar.

  • In het belang van de internationale veiligheid. Alle sporen wijzen naar Iran, dat de kritieke infrastructuur van Nederland heeft aangevallen, en al eerder andere NAVO-landen aanviel. De andere RootCA die is aangevallen, Comodo, is een Amerikaans bedrijf. De VS stelt dat een dergelijke cyberaanval op kritieke infrastructuur een casus belli is, oftewel een oorlogshandeling. Na Libië, Iran?

    Voor als je het nog niet begrepen hebt wat de onderste steen is: dit is cyberwar.