image

Column: De onderste steen

maandag 5 september 2011, 13:03 door Peter Rietveld, 15 reacties

Het is volop crisis in beveiligingsland. Vorige week bleek dat Diginotar een wildcard certificaat verstrekt heeft voor google.com. Hiermee begluurde de Iraanse overheid haar eigen burgers bij het gebruik van Gmail. Begluren klinkt schokkend en dat is het ook, maar zelfs in de virtuele wereld is Iran voor velen een ver-van-mijn-bedshow. De reacties waren sussend en er werd per ommegaande van staatswege verklaard dat de schade voor de Nederlandse overheid, als grootafnemer van Diginotar, nihil was. Raakt dit alles ook de Nederlandse burger? Jazeker, want "ook de veiligheid van DigiD was niet in gevaar geweest." Maar, zoals blijkbaar de standaardprocedure is bij crises, was hier sprake van wensdenken. De feiten over Diginotar lagen niet op tafel maar werden op voorhand ontkend. En dat terwijl het verband tussen eventuele feiten en kwetsbaarheid van bijvoorbeeld de Nederlandse overheid in de zogenaamd geruststellende verklaring voor iedereen impliciet was toegegeven. "Waar rook is, is vuur, maar er is geen rook, dus is er ook geen vuur." Van uur tot uur komen nog nieuwe feiten op tafel en zeker is, dat de schade voor de Nederlandse overheid en voor bedrijven aanzienlijk is. DigiD is op dit moment niet beschikbaar. Ook bij mijn werkgever moesten we snel een ander certificaat inzetten. Er is inmiddels een hele hoop rook.

Nu is het onderwerp certificaten voor de meeste mensen tamelijk schimmig. Ook onder beveiligingsmensen is PKI traditioneel een weinig bekende materie. Logisch ook, na een forse hype tussen 1997 en 2002 was er geen droog brood meer in te verdienen, dus de meeste beveiligingsspecialisten komen niet veel verder dan wat theorie uit de CISSP-boeken en soms wat ervaringen met certificate hell. Bovendien gaat de meeste literatuur in op de cryptografische theorie, de asymmetrische cryptografie van PKI, en niet op de I, de infrastructuur. Hoe het echt werkt, weet dus bijna niemand.

Maar niet weten is niet meer acceptabel. Daarom hier een hele korte inleiding op de I van PKI. De infrastructuur is een hiërarchie, vergelijkbaar met een LDAP directory zoals AD. De top van de directory is de root, en de root is de basis van het vertrouwen van alles wat eronder zit. Netzomin als de hele wereld in één directory past, is er één PKI. Om te zorgen dat er tussen de verschillende hiërarchieën gecommuniceerd kan worden, zijn de PKI’s onderling verweven, door zogeheten cross-signing. Samen vormen deze PKI’s een wereldomspannend ‘web of trust’.

Diginotar is een van de zogeheten RootCA’s. De RootCA garandeert met haar digitale handtekening de echtheid van PKI-certificaten waarmee servers, applicaties en mensen hun echtheid in het digitale domein kunnen bewijzen. Om het leven voor de internettende mens overzichtelijk te maken, worden certificaten van de belangrijkste RootCA's op voorhand geïnstalleerd op de computer, via Windows of via een browser. Anders zouden we als gebruiker continu certificaten moeten beoordelen en zelf installeren. Het vertrouwen dat het web of trust biedt, is dus niet als tussen mensen een bewuste keuze, maar een van buiten opgelegd geheel. Het is verplicht vertrouwen, voor onze eigen bestwil. Wij zijn blijkbaar niet slim genoeg om zelf te bepalen wie we betrouwbaar vinden. En, laten we wel wezen, het doorgronden van de wereld van de PKI's zal inderdaad de meeste mensen echt boven de pet gaan.

De betrouwbaarheid van de RootCA wordt vooral bewaakt door strenge regels en scherpe auditoren. De RootCA staat immers aan de wortel van zo’n beetje iedere beveiliging op internet. Als je gaat telebankieren, dan wordt de echtheid van de server bevestigd door een servercertificaat, wiens betrouwbaarheid door een RootCA wordt gegarandeerd. Het gaat echter veel verder: het feit dat je op de juiste URL uitkomt is afhankelijk van DNS, het vertalen van de domeinnaam naar het echte IP adres van de server. Ook de betrouwbaarheid van DNS wordt op de schouders van PKI gebouwd, primair maar niet alleen via DNSSec. Oftewel, de veiligheid van DNS is rechtstreeks afhankelijk van PKI.

Als je updates of drivers installeert op je computer, zijn deze ook ‘digitaal ondertekend’. De ‘handtekening’ waar je computer naar zoekt, is ook een PKI-certificaat. Als een nep-update voorzien is van de juiste digitale handtekening, dan zal je computer het gewoon installeren. Je telefoon ook. Het roemruchte Stuxnetvirus maakte hier gebruik van. Oftewel: de veiligheid van je computer is rechtstreeks afhankelijk van PKI. Zo zijn er nog meer. Met aanvallen op RootCA’s – en Diginotar was niet de eerste – wordt de kern van alle beveiligde zaken op internet bedreigd.

Nu zou je zeggen dat dit alleen voer voor specialisten is. Helaas, dat is het niet meer. Omdat het door de staat en auditoren opgelegde vertrouwen niet werkt. De burger kan niet meer blind vertrouwen, en zal zelf de diepte van PKI en beveiligingstechnologie in moeten of de systemen als DigiD, telebankieren en wat dies meer zij niet meer gebruiken. En, helaas, dat punt ligt al enige jaren achter ons.

Hopelijk maakt bovenstaand een beetje duidelijk hoe belangrijk een goede afhandeling van deze affaire is en hoe ernstig het probleem is – voor iedereen, niet alleen de übergebruikers. De reacties in de sector zijn niet voor niets zo onverbiddelijk. Microsoft spreekt ronduit van een frauduleus certificaat en alle browserleveranciers nemen maatregelen tegen alle certificaten van Diginotar door het verwijderen van de RootCA uit de browser of het OS. Dit leidt tot waarschuwingen op het scherm aan iedere gebruiker; DigiD wordt voortaan als onbetrouwbaar aangemerkt en iedere gebruiker zal dat zien. Hier hielpen de vragen van Logius en GovCert niets aan.

Diginotar is begin dit jaar overgenomen door het Amerikaanse Vasco . Het staat centraal in veel beveiliging om ons heen, met name van rijkswege, in het toch al omstreden DigiD. We zijn met zijn allen dus een hele grote klant. Dat BiZa initieel meldde dat de beveiliging van DigiD en de PKI-overheidscertificaten door deze affaire niet geraakt is, zal in zekere zin nog steeds kloppen, zelfs na de bevindingen van de forensisch onderzoekers van Fox-IT, maar dat is op de hele affaire maar een detail. Laten we even verder uitzoomen, de dingen van iets meer afstand bekijken. En opnieuw wordt het kernprobleem alleen maar zichtbaarder. Vasco heeft niet alleen DigiNotar gekocht, maar ook Alfa & Ariss, de makers van de applicatie onder DigiD. Hiermee heeft het Amerikaanse bedrijf een zeer belangrijke positie in de digitale veiligheid in ons land verworven. Deze wordt verlengd door de vertraging in de oplevering van de opvolger van DigiD door een andere leverancier.

Diginotar zit ook als kennisleverancier in het voortraject van de Europese pendant van DigiD, SSEDIC. Dit geeft mij wel een heel ongemakkelijk gevoel. Minister Donner doet dan ook het enig juiste door Diginotar aan de dijk te zetten. Nu nog de vertraging met DigiD 4.0 oplossen, s’il vous plaît. Het uiteindelijke probleem is dat de overheid onvoldoende kennis en capaciteit heeft, zodanig dat zelfs het onderzoek naar Diginotar gedaan moet worden door een externe partij. Waar zijn de cybercops?

Nu er sprake blijkt van een hack moet de conclusie zijn dat er blijkbaar te veel vertrouwen is gesteld in de strenge procedures, het toeziend oog, en het eigen oplossend vermogen van de leverancier. Het lijkt mij zonneklaar dat er te weinig gedaan is aan beveiliging. Een webserver hacken is nog wel te doen, maar een goed beveiligd netwerk is hele andere koek. Zouden ze wel gekeken hebben in wat de SIEM liet zien? Dit is overduidelijk een organisatie die niet weet wat een heel goed beveiligd netwerk is. Dat is een kritieke fout.

Helaas is dit niet verbazend: in de hele PKI-wereld ligt de nadruk op de juiste procedure en de toetsing ervan. Dan gaat de aandacht vanzelf minder naar technische middelen die afwijkingen van de procedures uitsluiten dan wel signaleren. Ik ben dan ook heel benieuwd wat het rapport van Fox-IT zal melden.

Een RootCA staat onder een streng audit toezicht conform ETSI 101 456 en dat heeft blijkbaar gefaald. De betrouwbaarheid van de RootCA wordt primair gegarandeerd door de audit; in dit geval PriceWaterhouseCoopers en deze firma van faam heeft hier gefaald met haar goedkeuring tot 2013. Ik ben benieuwd wat de afdeling communicatie van PWC hierover te melden heeft, op dit moment hebben ze nog geen bericht. Dat is fout op fout.

Voor zover nu bekend heeft Vasco dus niet alleen de netwerkbeveiliging niet op orde, maar heeft het bedrijf ook de boel onder de pet willen houden. De eigen veiligheid ging blijkbaar voor op die van haar klanten, inclusief de Nederlandse overheid die pas op de 29e, toen het nieuws al zeker twee dagen op straat lag, op de hoogte werd gesteld. Diginotar dacht dat ze de problemen in de hand konden houden. Dat is drie keer fout.

Op 19 juli werd de hack ontdekt, die op dat moment zeker al een week aan de gang was. Diginotar veronderstelde zelf de schade te kunnen inschatten en bovendien in stilte te kunnen oplossen, iets wat overduidelijk mislukt is. De schade blijkt elke dag nog groter te zijn. We zouden er echter niets van gehoord hebben, als één van de certificaten niet zes weken later door een oplettende gebruiker in Iran opgemerkt was. Dit nieuws werd snel opgepikt door de Rijkshackers van Govcert, en pas toen werden de beveiligers van de bedreigde systemen op de hoogte gesteld. Diginotar dacht dat het allemaal wel meeviel. Vier keer fout.

In totaal zijn er enkele honderden certificaten door de hackers aangemaakt, naar verluidt. De meeste daarvan waren slechts enkele weken geldig en zouden dus inmiddels ongevaarlijk moeten zijn. Diginotar stelt dan ook dat het maar om enkele tientallen certificaten gaat. Die zouden via het revocation mechanisme inmiddels ingetrokken zijn. Maar het blijkt dat Diginotar ook een beveiligingsfunctie van PKI niet gebruikte, de zogeheten PathLenConstraint, zodat aanvallers ook nieuwe certificaten kunnen uitgeven op naam van Diginotar. Het aantal is dus niet 247, maar in theorie oneindig. Dat blijkt ook, nu er weer meer opduiken. En dat maakt vijf kritieke fouten.

De aanval kwam bovendien niet uit het niets. Sinds 2010 wordt de wereldwijde PKI onder vuur genomen, het meest door het Zeus 2 botnet. Collega RootCA Comodo werd bovendien eerder dit jaar slachtoffer van een soortgelijke aanval. En Comodo gaf het goede voorbeeld door onmiddellijk publiek te gaan en alle certificaten in te trekken. Diginotar was dus gewaarschuwd en had extra alert moeten zijn. Zes, dus. Het niet leren van het goede voorbeeld van Comodo maakt zeven. Zeven kritieke fouten.

Als klap op de vuurpijl biedt Vasco haar expertise als ‘leading supplier’ aan om samen met de Nederlandse overheid de problemen op te lossen. Doorgaande arrogantie. En dat maakt acht.

Acht dodelijke fouten. En er zullen er meer zijn. Er is meer dan rook: er is een uitslaande brand. En het is geen incidentele brand: de veiligheid van het hele PKI gebeuren is van meet af aan betwijfeld. In 2000 schreef Crypto-goeroe Bruce Schneier een overzicht dat nog staat als een huis. De enige reden dat we met z’n allen met PKI doorgingen was het gebrek aan een alternatief. Het is een veenbrand die nu uitslaat.

Inmiddels heeft dit onderwerp het achtuurjournaal gehaald. Ook hebben we voor het digitale domein ongebruikelijk goede Kamervragen gezien. Er wordt geroepen om een parlementaire enquête. En terecht. De onderste steen moet namelijk boven. Om veel meer redenen dan de veiligheid van je belastingaangifte en de websites van de Nederlandse overheid:

In het belang van de organisaties, zowel binnen als buiten de overheid die financiële schade hebben opgelopen en deze willen verhalen. Dit kan dus óók over gevolgschade gaan. De wetgeving is helaas een beetje wazig.

  • In het belang van de naam van de IT-sector in het algemeen en IT Security in het bijzonder: we bouwen vrijwel geen enkel systeem zonder PKI. Ik denk dat genoeg beheerders zich niet realiseren dat proxies zelden de CRL’s van certificaten uitlezen, en dat een boel organisaties nog een hele tijd kwetsbaar zullen zijn. We blijken als sector niet te kunnen doorgronden wat we inzetten in een kritieke rol. Dat blijkt wel uit de ridicule adviezen die we soms geven, zoals om de veiligheidswaarschuwingen van de browser maar te negeren of dat we bij Mozilla klagen over het intrekken van de RootCA.

  • In het belang van PKI, het enige wereldomspannende beveiligingsmiddel. Als deze vertrouwenscrisis niet grondig bezworen wordt, herhaling niet wordt uitgesloten en het vertrouwen niet wordt hersteld, dan is de hele interneteconomie in levensgevaar. En we hebben al een economische crisis. Het ergste is dat er geen alternatief is.

  • In het belang van de gevestigde naam in de audit: het falen van PWC raakt alle andere klanten van PWC die een PWC-kwaliteitsstempel voeren. En indirect het hele model van security by audit; PWC heeft conform de standaardnormen gewerkt van de NOREA en de ETSI.

  • In het belang van de veiligheid van ons land en haar inwoners, omdat Vasco’s beveiligingsproducten zo centraal staan in zo veel overheidssystemen en het bedrijf getoond heeft verkeerde prioriteiten te stellen.

  • In het belang van de geloofwaardigheid van de overheid als kundige beschermer van de burger in het digitale domein. Niet voor wat de burger zelf kiest, maar voor wat de overheid creëert en verplicht stelt in een grootschalig programma. Dat programma heet ‘Andere Overheid’ en na meer dan 8 jaar is dit het treurige resultaat.

  • In het aanzien van Nederland in de internationale context, omdat het toch al fragiele weefsel van PKI dat wereldwijd dezelfde rol heeft een zware klap oploopt. Zo zijn dankzij het optreden van Diginotar niet alleen de Iraanse dissidenten, maar ook de CIA, MI6, de Mossad en het Tor project in gevaar gebracht. En als overtreffende trap, met het nepcertificaat voor Microsoft Update, is iedere Windowsgebruiker wereldwijd in gevaar.

  • In het belang van de internationale veiligheid. Alle sporen wijzen naar Iran, dat de kritieke infrastructuur van Nederland heeft aangevallen, en al eerder andere NAVO-landen aanviel. De andere RootCA die is aangevallen, Comodo, is een Amerikaans bedrijf. De VS stelt dat een dergelijke cyberaanval op kritieke infrastructuur een casus belli is, oftewel een oorlogshandeling. Na Libië, Iran?

Voor als je het nog niet begrepen hebt wat de onderste steen is: dit is cyberwar.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns


Meer columns van Peter Rietveld.
Reacties (15)
05-09-2011, 13:41 door [Account Verwijderd]
[Verwijderd]
05-09-2011, 13:52 door Anoniem
Prima verhaal ,alleen bij "De VS stelt dat een dergelijke cyberaanval op kritieke infrastructuur een casus belli is, oftewel een oorlogshandeling. Na Libië, Iran?" een kanttekening: Stuxnet was in mijn ogen ook casus belli, maar dan gericht op Iran. Er is eigenlijk al jaren reeds een cyberwar gaande waar de grote klappers zoals comodo, stuxnet en nu diginotar de koppen halen?
05-09-2011, 14:15 door Anoniem
Word! Goed heldere uiteenzetting van een verhaal waarvan het eind nog onbekend zal blijken.
05-09-2011, 15:27 door Anoniem
En fout nummer negen van VASCO: Nieuwbericht van VASCO website dd 5 september als reactie. Leuk strekking dat ze niet worden getroffen, zowel financiel alsmede hun producten. Hoe bedoel je verantwoordelijkheid?

VASCO DigiNotar Statement

Dear VASCO Stakeholder,

In January, 2011, VASCO acquired the Dutch PKI company and Certification Authority DigiNotar B.V.
On July 19th, 2011, DigiNotar detected an intrusion into its Certificate Authority (CA) infrastructure, which resulted in the fraudulent issuance of public key certificate requests for a number of domains, including Google.com.

Please understand that the above mentioned security incident does not have any effect on VASCO’s core DIGIPASS, VACMAN and IDENTIKEY authentication business.
The technological infrastructures of VASCO and DigiNotar are completely separated, meaning that there is no risk for infection of VASCO’s strong authentication business.

The integration of DigiNotar technology into VASCO’s products was planned for 2012. This means that all VASCO products in the market today are 100% DigiNotar-free.
Your authentication project is safe with VASCO.

VASCO does not expect that the DigiNotar security incident will have a significant impact on the company’s future revenue or business plans. In fact, DigiNotar’s expected revenue for the year 2011 was approximately 2% of VASCO’s guided revenue for the year 2011 as communicated on July 26, 2011.

Yours truly,

T. Kendall Hunt
VASCO Data Security
Chairman & CEO
05-09-2011, 16:13 door Anoniem
Toch even ter nuancering, van dit stuk:
- De inschatting van de risico's aan de kant van de Overheid was Nihil. (Dit klopt natuurlijk niet, anders hadden ze niet meteen Fox IT ingehuurd)
- Als de overheid DigiNotar meteen had overgenomen terwijl er inderdaad niets mis was met hun PKI O deel, dan hadden de rechtzaken om de oren gevlogen en had de overheid het ook niet goed gedaan.
- Er is op deze fora een dubieuze tendens te horen dat de overheid alles op het gebied van IT fout doet, daarom huren we dus een externe partij in (Fox IT).
- We roepen om Cybercops, maar aan de andere kant lopen alle burgers in Nederland hand in hand voor een kleinere overheid. Kies maar mensen, omdat we politiek gewenst, geen budget krijgen om goed personeel in dienst te nemen doen we moeilijke en pijnlijke aanbestedingen waar logischerwijs de goedkoopste bieder uitkomt.... en dan gebeurt dit. Dus beste mensen, een goede adequate overheid? Trek de knip!
- De rol van de overheid is anders dan die van het bedrijfsleven. Waar een bedrijf probleemloos kan besluiten iets niet meer te doen, heeft de overheid rekening te houden met 100den belangen en zijn beslissingen niet eenvoudig te nemen.

M.a.w. Overheidsbashing, is wel makkelijk als je zelf aan de kant staat.
05-09-2011, 16:22 door RickDeckardt
+1
05-09-2011, 17:02 door Anoniem
Ik ga langs de lijn staan kijken.
Spannende wedstrijd!
USA/UK/-- versus Iran.

Ahum; Wie waren zo trots op het creeren van Stuxnet?
Deze klap komt toch wel harder aan denk ik zo.
Benieuwd naar 9/11

Verder; ik volg het advies van Donner dan maar.
De komende 12 maand minstens, alles via papier.
05-09-2011, 18:13 door Anoniem
Ik heb van Minister Hillen nog niks gehoord dat er wat gaat gebeuren. Idioot ook dat defensie afhankelijk is van FOX IT.
We weten wat ons te doen staat: onder het mom van duurzame democratisering gaan we de oppositie trainen hoe ze het land kunnen overnemen. Ook maken we gelijk afspraken over olie. Dat we voortaan olie inkopen van democratische landen is tenslotte een basisprincipe en ook het meest duurzaamst. Nou waar wachten we op BV-Nederland?
05-09-2011, 18:45 door Anoniem
@Anoniem, 16:13 uur
Helemaal eens met de punten die jij benoemd.

Verder nog dit:
Ik heb bij één van de grotere overheidsorganisaties rondgelopen en daar was het als het om IT en security ging, behoorlijk goed op orde. In fora zie je vaak reacties van: "je kan toch even...". Uit die reacties kan je al opmaken dat de schrijver geen besef heeft van de complexiteit van zo'n omgeving.

Waar nog wel een verbeterpunt voor de overheid ligt, is het verder uit elkaar trekken van operationeel belang en security belang. Nu wil security nog wel eens op de tweede plaats komen omdat er grote en direct zichtbare projecten stappen moeten maken en waarbij security de planning in de weg zit.
05-09-2011, 19:20 door Anoniem
Overheidsbashing? Ha, je wil niet weten hoeveel adviezen ik heb gegeven welke kostenloos konden worden doorgevoerd. Maar door de spagettie van procedures bij de overheden (oa gemeente Amsterdam) lukt het ze niet om een simpele wijziging door te voeren.
05-09-2011, 20:01 door _Peterr
Goed stuk weer van Rietveld.
05-09-2011, 23:46 door Anoniem
Wow, Peter je bent wéér in topvorm. Buitengewoon. Ik snap wat je zegt, zit zelfs ademloos te lezen en dat terwijl ik geen beveiligingsspecialist ben - alles behalve. Heerlijk recalcitrant en kritisch ben je op je best.
Waar blijft dat boek Peter?
06-09-2011, 10:13 door Jan-Hein
Waar komt het misverstand vandaan dat er geen alternatief is voor PKI?
Het ontwerp van de LidoKey infrastructuur is al jaren bekend.
Een infrastructuur zonder single point of failure, maar daarom commercieel ook minder interessant.
Het biedt in elk geval aan iedere gebruiker (ook de overheid) de optie om zich volledig onafhankelijk te maken van derden bij het onderhoud van de infra.
06-09-2011, 13:50 door Anoniem
De betrouwbaarheid van de RootCA wordt vooral bewaakt door strenge regels en scherpe auditoren

In theorie, is dat juist.

Helaas is het niet echt zo, en klooien die Certificaat bedrijven maar een eind aan. Vasco, Diginotar, Verisign, etc... allemaal gewaarschuwd over de tekortkomingen in hun beveiliging de afgelopen jaren. Allemaal reageerden ze met iets van "we doen het volgens de regels!", en lieten het daar bij.
Diginotar wist in 2006 al dat er fouten zaten in bijv hun https://service.diginotar.nl/common.asp, maar hun eigen 'officieel geCertificeerde security specialisten' vonden dat zij onfeilbaar waren, dus dulden geen commentaar.

Zie:
http://www.qcic.nl/11tests.html
07-09-2011, 22:43 door Anoniem
Door Anoniem: Ik heb van Minister Hillen nog niks gehoord dat er wat gaat gebeuren. Idioot ook dat defensie afhankelijk is van FOX IT.
We weten wat ons te doen staat: onder het mom van duurzame democratisering gaan we de oppositie trainen hoe ze het land kunnen overnemen. Ook maken we gelijk afspraken over olie. Dat we voortaan olie inkopen van democratische landen is tenslotte een basisprincipe en ook het meest duurzaamst. Nou waar wachten we op BV-Nederland?
Waar komt deze link met Defensie nou weer vandaan? Defensie is toch die organisatie die we alleen maar leger en leger moeten maken? Volgens mij komt dit bij GovCert vandaan, dat is Binnenlandse Zaken.

Waar deze anonieme bron de wijsheid vandaan haalt dat Defensie FOX IT nodig heeft? Geen flauw idee. FOX IT is ingehuurd door het Nationaal Crisis Centrum. Waarom sturen we niet overheidsmensen? Dat noemen ze partijdigheid. Immers PKI Overheid is een normenset van de Overheid, dus als deze overheid de toepassing (door het o zo bejubelde bedrijfsleven) van zijn eigen normenset zou onderzoeken dan zou het nog meer verdacht zijn, dan een gewoon vooringenomen overheidsonderzoek. De keuze voor FOX IT is goed omdat FOX IT een onafhankelijke (voor hoeveel % van de omzet ze afhankelijk zijn van de overheid, geen flauw idee) organisatie is, met technischie van een caliber die de overheid niet wil betalen.

Een voorspelling: GovCert en DefCert gaan elkaar in de toekomst de tent uitvechten over operaties op het digitale slagveld. Wie heeft de langste en de grootste...... Dames en Heren, u mag inzetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.