image

Special: DigiNotar-hack was amateuristisch

maandag 26 september 2011, 12:30 door Redactie, 8 reacties

De aanval op DigiNotar was 'amateuristisch', toch is het een signaal voor bedrijven om hun beveiliging te verbeteren. Dat zegt Peter Rietveld in een interview met Security.nl. Rietveld spreekt tijdens de Infosecurity Beurs, die op 2 en 3 november in de Utrechtse jaarbeurs plaatsvindt. Ook Security.nl zal aanwezig zijn en de komende weken een aantal van de experts interviewen die tijdens het evenement een lezing zullen geven. Op donderdag 3 november staat onze eigen huiscolumnist Peter Rietveld gepland, met een lezing over de ontdekking van Public Key Infrastructure (PKI).

PKI is namelijk één van de meest voor hand liggende aanvalsdoelen van staatshackers. "Ga maar eens achter BGP aan, dat is een stuk moeilijker. Dan heb je gewoon veel minder kans en je kunt veel minder gericht te werk gaan", merkt de identity-expert op. Rietveld had onlangs een gesprek met een PKI-goeroe en stelde die de vraag wat hij had gedaan als hij root was geweest. "Daar kwamen dingen uit die we nog niet gaan publiceren, maar je kunt veel erger uithalen. Ze zijn niet uitgezocht of gerapporteerd, maar als je root bent kun je nog veel meer uithalen dan er bij DigiNotar is gebeurd."

Afluisteren
Volgens Rietveld is de aanval op DigiNotar onderdeel van een patroon dat in Syrië, Iran en andere dictatoriale regimes plaatsvindt. De leiders daar beschouwen het internet van hun eigen gebruikers, zoals Gmail, als onderdeel van de eigen binnenlandse aangelegenheden. "Het is dus puur territoriumgedrag. Zolang die territoria niet duidelijk zijn of daar andere visies op zijn, dan krijg je dit soort incidenten. De Iraanse overheid wil zijn eigen mensen afluisteren. Als ze dat willen, doen ze dat."

Achtergrondruis
De impact voor Nederlandse gebruikers van de DigiNotar-hack en steeds actiever wordende staatshackers, is dat de achtergrondruis die internet altijd al had, gevaarlijker is geworden. In het verleden waren het 'stoute jongetjes' die systemen hackten, daar kwamen de 'Russische crimineeltjes' met hun nep-virusscanners bij. "Nu loop je het risico om vermalen te worden tussen een land en zijn eigen burgers waar je niets mee te maken hebt." Het gevolg van deze aanvallen is dat bedrijven hun basisniveau van beveiliging, wat meestal nog gebaseerd is op drive-by aanvallen en niet op gerichte aanvallen, moeten aanscherpen.

De kans om slachtoffer van een spear phishing-aanval te worden neemt volgens Rietveld bij bepaalde bedrijven gewoon toe. "Sommige bedrijven en ministeries moeten echt gaan nadenken of ze hun beveiligingsstrategie niet moeten gaan aanpassen, want nu zijn ze gewapend tegen drive-by aanvallen. Als je boven de toevallige langskomende aanvaller wil zitten qua beveiligingsniveau, dan komt er een hoop werkgelegenheid bij. "

Amateuristisch
De aanval van de Comodohacker op DigiNotar noemt Rietveld vrij amateuristisch. Bedrijven die zeggen dat ze niets tegen gerichte aanvallen en staatshackers kunnen doen, maken zich er volgens hem dan ook wel heel gemakkelijk vanaf. "Elke aanvaller tegenhouden zal misschien niet lukken, maar je kunt het ze wel verdomd moeilijk maken", merkt Rietveld op. "Als je van tevoren zegt dat er niets aan is te doen, is dat te vergelijken met het zeggen dat we moeten stoppen met het blazen in het verkeer, omdat mensen nog steeds met alcohol op rijden." De eerste stap die bedrijven zouden moeten nemen is het investeren in kennis. "Snappen wat er gebeurt." Bedrijven moeten dan ook vakinhoudelijke kennis opdoen.

De afhandeling van de DigiNotar zaak noemt Rietveld goed. "Het drong wat langzaam door, maar toen de wagen eenmaal op gang kwam ging het best goed." In de aanvallen ziet de expert niet het failliet van SSL. "De cryptografie is gewoon sterk, als je het maar goed toepast. Het is misgegaan bij de bovenbouw, die toch altijd al zwak was." Bedrijven en instellingen zouden PKI dan ook onder handen moeten nemen.

Instorten
In 2003 stortte PKI volgens Rietveld in, maar bleef het systeem gewoon achter en wordt nog altijd gebruikt. Behalve het EV-certificaat en Multi-domain zijn er sinds 2002 ook geen nieuwe ontwikkelingen bijgekomen, zo merkt hij op. "Dat zijn producten van de broodjeswinkel. De bovenbouw is alleen maar verder achteruitgegaan, verwaarloosd en er is sprake van achterstallig onderhoud. Er moet dus onderhoud plaatsvinden."

De essentie van het probleem is of er een beter alternatief voorhanden is. "Vast wel, maar het implementeren wordt het moeilijkste. Maar de cryptografie die kan gewoon blijven. Ze moeten de bovenbouw vervangen." De EU zou voor onderzoek 'een potje met geld' hebben. Het is dus wachten op een bedrijf of instelling die de uitdaging wil oppakken, laat de expert weten.

Creativiteit
Digitale burgerrechtenbeweging Bits of Freedom riep op dat de Nederlandse overheid een voortrekkersrol zou moeten spelen. Iets waar ook Rietveld zich in kan vinden. Het zou dan om een samenspel tussen een onderwijsinstelling, overheidsinstantie en bedrijf kunnen gaan. "Dan pak je een Belgisch bedrijf en Nederlandse onderwijsinstelling. Zo moeilijk is het niet. Het is vooral een gebrek aan creativiteit."

Rietveld prijst vooral de cryptografische kennis bij onze Zuiderburen, die met de Universiteit van Leuven een instelling van wereldfaam hebben. "Dan zie je dat daar meer kennis is dan hier. België is heel vlakbij en we kunnen ze best verstaan, zeker in Leuven. Dat kunnen Nederland en België prima oplossen." Het gaat volgens Rietveld dan ook vooral om het mobiliseren van de krachten die er zijn in plaats van te blijven praten over mogelijke oplossingen.

Morgen het tweede deel van het interview met Peter Rietveld (nu online)

Wil je meer informatie over het programma of je gratis aanmelden voor de Infosecurity beurs, ga dan naar Infosecurity.nl

Reacties (8)
26-09-2011, 13:26 door fd0
over afluisteren gesproken... vlak onze eigen regeringen van de laatste tijd niet uit
26-09-2011, 14:16 door Anoniem
Nóg mazzel dat Leuven zo'n beetje op de taalgrens ligt, want anders was het argument "we verstaan ze" niet opgegaan...
26-09-2011, 15:32 door Overcome
Uit de tekst kan ik niet halen waarom PKI in 2003 instortte. Kan iemand een uitleg op die stelling geven? Ook het onderhoud dat plaats zou moeten vinden zie ik graag verder uitgediept. Wat is dat onderhoud dan precies (afgezien van "het vervangen van de bovenlaag", want dat is geen onderhoud, dat is een nieuw idee verzinnen en implementeren).
26-09-2011, 16:11 door Anoniem
Peter Rietveld stelt dat er sinds 2002 voor PKI geen nieuwe ontwikkelingen zijn bijgekomen anders dan EV (en dat is slechts marketing in feite) en multi-domain.

Dhr Rietveld zou toch beter moeten weten als vermeend specialist.
Naast langere sleutels en andere algoritmen voor de sleutels, zijn er ook door Nederlandse bedrijven nieuwe innovatieve technieken, met PKI als basis, ontwikkeld welke de certificaten hel zo veel makkelijker maken om te beheren en uit te rollen.
26-09-2011, 16:58 door Anoniem
Ik vind de ratio tussen Peter Rietveld's statements en onderbouwing van die statements niet echt in verhouding. Ik krijg de indruk dat het een persoon is met een sterke mening over allerlei zaken, maar zonder concrete antwoorden.
27-09-2011, 10:42 door Anoniem
De meeste proof of concpet zijn vaak simpel, maar je moet er wel op komen,
Ik wil wel aangeven 99% van de hacks simpel zijn en interessant doen over high tech hacks kunnen we allemaal. Tijd dat Peter gaat pentesten dan weet hij hoe slecht het staat met security in Nederland.
27-09-2011, 13:02 door Skizmo
Als de hack amateuristish was, dan was het gehackte bedrijf dat ook.
03-10-2011, 21:12 door Anoniem
Ik zou wel wat meer onderbouwing willen zien. Roepen kunnen we allemaal. Dat de hack niet niet moeilijk was is niet zo verbazend, dat is in 9 van de 10 gevallen als je de juiste tools hebt. Het Fox-IT rapport laat zien dat het bedrijf zwak geleid werd, dus mogelijkheden genoeg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.