- Door
- Arnout Veenman
- geplaatst op
- 4 september 2011 11:18 uur
Door de Diginotar-hack is een serieus veiligheidsrisico ontstaan, waar verschillende overheidswebsites zoals digid.nl ook door getroffen zijn. Hoe onveilig zijn overheidswebsites als gevolg dan de Diginotar-hack? Die vraag probeer ik in dit artikel te beantwoorden.
Autenciteit, vertrouwelijkheid en integriteit
De beveiliging die een met SSL-beveiligde verbinding en daarbij behorend certificaat wordt gecreëerd is drie ledig: authenticiteit van de wederpartij, of te wel zeker weten dat de website waar je contact mee maakt de juiste is en vertrouwelijkheid en integriteit van de gegevens die worden verzonden en niet door derden kunnen worden onderschept of gemanipuleerd.
Door de hack bij Diginotar waardoor de hackers in staat zijn geweest om zelf certificaten voor elke willekeurige domeinnaam uit te geven is in eerste instantie de authenticiteit van de website niet meer gegarandeerd. Als er geen garantie is dat de wederpartij is wie die zegt dat die is, dan is de vertrouwelijkheid ook niet te garanderen en de integriteit ook niet.
De hacker die als wederpartij functioneert kan namelijk vrij van de gegevens kennis nemen, waarmee de vertrouwelijkheid niet langer is gewaarborgd en de hacker kan ook tussen de website en de gebruiker in gaan zitten en de gegevens 0nderscheppen en manipuleren.
Man-in-the-middle-aanval
Het is dan ook mogelijk dat de aanvaller tussen de gebruiker en de bewuste website in gaat zitten en daarmee een zogenaamde man-in-the-middle-aanval (MITM-aanval) uitvoert. Dit is waarschijnlijk ook gebeurt bij de Iraniërs die gebruik maakten van Gmail.
Alle commotie die is ontstaan rondom de hack bij Diginotar is mijns inziens daarom ook niet meer dan terecht. Daar komt ook nog eens bij dat verschillende overheidswebsites met een certificaat van Diginotar zijn beveiligd en communicatie tussen de overheid en bedrijven met behulp van een Diginotar certificaat wordt beveiligd.
Hoe groot zijn de praktische problemen zijn door de Diginotar hack? Stel dat er een certificaat voor digid.nl is aangemaakt door de Diginotar hackers. Op het moment dat je nu naar digid.nl gaat en je wilt inloggen dan wordt de verbinding versleutelt met behulp van het SSL-certificaat dat van PKI Overheid Certificaat Autoriteit (CA) is. Naar verluidt is deze CA ook gehackt, dus het zou kunnen zijn dat de verbinding niet versleuteld wordt met een daadwerkelijk door Diginotar uitgegeven certificaat, maar door een vals certificaat dat door de hackers is aangemaakt.
Vals SSL-certificaat is niet genoeg
Dat dit het geval zou kunnen zijn is natuurlijk geen prettige gedachte, maar om dit mogelijk te maken moet er meer aan de hand zijn. Om succesvol een MITM-aanval uit te voeren, zal met behulp van de DNS of routing het dataverkeer via de aanvaller moeten verlopen.
Voor de eerste type aanval zou bijvoorbeeld door malware op de computer van de gebruiker, een DNS-response kunnen worden gespoofd, de router van de gebruiker worden gehackt of grootschaliger de DNS-server van de provider worden gehackt en in alle gevallen verwijzen naar het IP-adres van een machine van de aanvaller. Op deze manier is het mogelijk dat digid.nl bij bepaalde internetters is afgeluisterd, door de combinatie van het valse certificaat én een additionele hack.
Een andere mogelijkheid is dat de aanvaller op een of andere manier het dataverkeer naar digid.nl naar zichzelf om te leiden en het weer door te sturen naar digid.nl. Echter is zoiets met gebruikers die gebruik maken van een providers in Nederland en digid.nl dat bij een betrouwbare hoster in Nederland wordt gehost niet erg waarschijnlijk. Indien je vanuit het buitenland op digid.nl probeert in te loggen is de kans natuurlijk aanzienlijk groter dat dit gebeurt.
De Iraanse dissidenten lopen om deze reden wel een groot en reëel gevaar. Iran is door de controle die ze op het internet uitoefent praktisch en feitelijk in staat om alles te manipuleren wat er te manipuleren valt. Een DNS-response met een IP-adres van een staatsproxy en het versturen van het dataverkeer richting Gmail langs diezelfde staatsproxy is geen enkel probleem voor Iran. Iraanse dissidenten verkeren daarom in groot gevaar.
Kies altijd voor een beveiligde verbinding
Een belangrijke punt is ook dat Diginotar als CA enkel certificaten uitgeeft en niet in het bezit is van de zogenaamde “private key” van de partij die het certificaat gebruikt, waarmee de beveiligde verbinding wordt opgezet. Het enkel afluisteren van een beveiligde verbinding die met een valide SSL-certificaat wordt beveiligd kan daarom niet door de hacker worden ontsleuteld. Dit kan daarom alleen als de aanvaller tussen de verbinding tussen de gebruiker en de website in weet te zitten.
Kiezen voor een onbeveiligde verbinding is daarom niet aan te raden, want dan gelden bovenstaande risico’s maar zijn dan zelfs nog meer, want een aanvaller hoeft dan enkel het dataverkeer om te leiden en niet eens te beschikken over een vervalst SSL-certificaat. Het gebruik van een met SSL-beveiligde verbinding, zelfs als dat door Diginotar is uitgegeven, is daarom verstandiger dan een onbeveiligde verbinding.
Risico’s voor Iraniërs groter dan voor Nederlanders
Resumerend is het dus zo dat er een reëel veiligheidsrisico is voor overheidswebsites als digid.nl. Echter is er meer voor nodig dan alleen een vals SSL-certificaat om dat veiligheidsrisico ook daadwerkelijk door een aanvaller te kunnen uitbuiten.
Het risico voor dissidenten in Iran is door het veiligheidsrisico groot omdat de Iraanse overheid absolute controle over het internet heeft en actief speurt naar dissidenten. De kans dat het veiligheidsriscio voor een Nederlandse overheidswebsites zoals digid.nl kan worden uitgebuit lijkt minder groot, maar desalniettemin is voorzichtigheid geboden.