De aanval op DigiNotar was 'amateuristisch', toch is het een signaal voor bedrijven om hun beveiliging te verbeteren. Dat zegt Peter Rietveld in een interview met Security.nl. Rietveld spreekt tijdens de Infosecurity Beurs, die op 2 en 3 november in de Utrechtse jaarbeurs plaatsvindt. Ook Security.nl zal aanwezig zijn en de komende weken een aantal van de experts interviewen die tijdens het evenement een lezing zullen geven. Op donderdag 3 november staat onze eigen huiscolumnist Peter Rietveld gepland, met een lezing over de ontdekking van Public Key Infrastructure (PKI).

PKI is namelijk één van de meest voor hand liggende aanvalsdoelen van staatshackers. "Ga maar eens achter BGP aan, dat is een stuk moeilijker. Dan heb je gewoon veel minder kans en je kunt veel minder gericht te werk gaan", merkt de identity-expert op. Rietveld had onlangs een gesprek met een PKI-goeroe en stelde die de vraag wat hij had gedaan als hij root was geweest. "Daar kwamen dingen uit die we nog niet gaan publiceren, maar je kunt veel erger uithalen. Ze zijn niet uitgezocht of gerapporteerd, maar als je root bent kun je nog veel meer uithalen dan er bij DigiNotar is gebeurd."

Afluisteren
Volgens Rietveld is de aanval op DigiNotar onderdeel van een patroon dat in Syrië, Iran en andere dictatoriale regimes plaatsvindt. De leiders daar beschouwen het internet van hun eigen gebruikers, zoals Gmail, als onderdeel van de eigen binnenlandse aangelegenheden. "Het is dus puur territoriumgedrag. Zolang die territoria niet duidelijk zijn of daar andere visies op zijn, dan krijg je dit soort incidenten. De Iraanse overheid wil zijn eigen mensen afluisteren. Als ze dat willen, doen ze dat."

Achtergrondruis
De impact voor Nederlandse gebruikers van de DigiNotar-hack en steeds actiever wordende staatshackers, is dat de achtergrondruis die internet altijd al had, gevaarlijker is geworden. In het verleden waren het 'stoute jongetjes' die systemen hackten, daar kwamen de 'Russische crimineeltjes' met hun nep-virusscanners bij. "Nu loop je het risico om vermalen te worden tussen een land en zijn eigen burgers waar je niets mee te maken hebt." Het gevolg van deze aanvallen is dat bedrijven hun basisniveau van beveiliging, wat meestal nog gebaseerd is op drive-by aanvallen en niet op gerichte aanvallen, moeten aanscherpen.

De kans om slachtoffer van een spear phishing-aanval te worden neemt volgens Rietveld bij bepaalde bedrijven gewoon toe. "Sommige bedrijven en ministeries moeten echt gaan nadenken of ze hun beveiligingsstrategie niet moeten gaan aanpassen, want nu zijn ze gewapend tegen drive-by aanvallen. Als je boven de toevallige langskomende aanvaller wil zitten qua beveiligingsniveau, dan komt er een hoop werkgelegenheid bij. "

Amateuristisch
De aanval van de Comodohacker op DigiNotar noemt Rietveld vrij amateuristisch. Bedrijven die zeggen dat ze niets tegen gerichte aanvallen en staatshackers kunnen doen, maken zich er volgens hem dan ook wel heel gemakkelijk vanaf. "Elke aanvaller tegenhouden zal misschien niet lukken, maar je kunt het ze wel verdomd moeilijk maken", merkt Rietveld op. "Als je van tevoren zegt dat er niets aan is te doen, is dat te vergelijken met het zeggen dat we moeten stoppen met het blazen in het verkeer, omdat mensen nog steeds met alcohol op rijden." De eerste stap die bedrijven zouden moeten nemen is het investeren in kennis. "Snappen wat er gebeurt." Bedrijven moeten dan ook vakinhoudelijke kennis opdoen.

De afhandeling van de DigiNotar zaak noemt Rietveld goed. "Het drong wat langzaam door, maar toen de wagen eenmaal op gang kwam ging het best goed." In de aanvallen ziet de expert niet het failliet van SSL. "De cryptografie is gewoon sterk, als je het maar goed toepast. Het is misgegaan bij de bovenbouw, die toch altijd al zwak was." Bedrijven en instellingen zouden PKI dan ook onder handen moeten nemen.

Instorten
In 2003 stortte PKI volgens Rietveld in, maar bleef het systeem gewoon achter en wordt nog altijd gebruikt. Behalve het EV-certificaat en Multi-domain zijn er sinds 2002 ook geen nieuwe ontwikkelingen bijgekomen, zo merkt hij op. "Dat zijn producten van de broodjeswinkel. De bovenbouw is alleen maar verder achteruitgegaan, verwaarloosd en er is sprake van achterstallig onderhoud. Er moet dus onderhoud plaatsvinden."

De essentie van het probleem is of er een beter alternatief voorhanden is. "Vast wel, maar het implementeren wordt het moeilijkste. Maar de cryptografie die kan gewoon blijven. Ze moeten de bovenbouw vervangen." De EU zou voor onderzoek 'een potje met geld' hebben. Het is dus wachten op een bedrijf of instelling die de uitdaging wil oppakken, laat de expert weten.

Creativiteit
Digitale burgerrechtenbeweging Bits of Freedom riep op dat de Nederlandse overheid een voortrekkersrol zou moeten spelen. Iets waar ook Rietveld zich in kan vinden. Het zou dan om een samenspel tussen een onderwijsinstelling, overheidsinstantie en bedrijf kunnen gaan. "Dan pak je een Belgisch bedrijf en Nederlandse onderwijsinstelling. Zo moeilijk is het niet. Het is vooral een gebrek aan creativiteit."

Rietveld prijst vooral de cryptografische kennis bij onze Zuiderburen, die met de Universiteit van Leuven een instelling van wereldfaam hebben. "Dan zie je dat daar meer kennis is dan hier. België is heel vlakbij en we kunnen ze best verstaan, zeker in Leuven. Dat kunnen Nederland en België prima oplossen." Het gaat volgens Rietveld dan ook vooral om het mobiliseren van de krachten die er zijn in plaats van te blijven praten over mogelijke oplossingen.

Morgen het tweede deel van het interview met Peter Rietveld (nu online)

Wil je meer informatie over het programma of je gratis aanmelden voor de Infosecurity beurs, ga dan naar Infosecurity.nl