„Als een particuliere oplossing onvoldoende zekerheid biedt, moeten we in overweging nemen of we voor overheidssites een eigen beveiligingssysteem bouwen” aldus de Nederlandse minister van Binnenlandse Zaken, Piet Hein Donner.
Nederland heeft historisch een grote traditie van uitbesteding van overheidsopdrachten aan privébedrijven. Het drukken van geld - guldens én euro’s - zit bij de Koninklijke Joh. Enschedé. Fraudegevoelige identiteitspapieren, ook de nieuwe digitale biometrische paspoorten met vingerafdrukken in de chip werden uitbesteed aan het Franse bedrijf Sagem Identification.
Digitaal notariaat
Om digitaal verkeer te beveiligen was de Nederlandse Rijksoverheid in zee gegaan met DigiNotar: ‘Internet Trust Provider. Dé onafhankelijke partij voor het identificeren van personen en organisaties op internet en veilig digitaal documenten uitwisselen, ondertekenen en bewaren. Expertise in o.a. online identiteiten, veilig documenten uitwisselen, privacy services, elektronisch factureren, mobiele pki, (EV)SSL, pseudonimisatie, digitale kluis, authenticatie, elektronische handtekening’.
Sinds 2011 is DigiNotar onderdeel van VASCO Data Security International Inc dat zichzelf omschrijft als ‘een wereldleider’.
Gekraakt
De voorbije week was in Nederland bijzonder hectisch op digitaal vlak. Nadat half juli duidelijk werd dat Iraanse hackers DigiNotar hadden gekraakt, bleek de betrouwbaarheid van ‘DigiD’ voor overheidswebsites (belastingen, identiteitsbewijzen, gezondheidszorg, enz.) niet langer gegarandeerd. Om digitaal veilig met de Rijksoverheid te communiceren leverde DigiNotar een ssl-certificaat - Secure Sockets Layer - dat zorgt voor de encryptie van bijvoorbeeld creditcard gegevens of persoonlijke informatie. Zo’n certificaat bevat gegevens over de houder, het domein, de naam van de uitgever, het bron certificaat en het land van uitgave en is dus altijd na te trekken, tenzij vervalst.
Half augustus bleek het probleem bij DigiNotar nog steeds niet opgelost en dreigden Mozilla Firefox, Google en Microsoft geen ssl certificaten van DigiNotar meer te accepteren. Hierdoor zouden de Nederlandse overheidsdiensten onbereikbaar worden.
Nepcertificaten
Dit werd alsnog afgewend met veel loven en prijzen, maar eind augustus werd duidelijk dat minstens 200 nepcertificaten door de Iraanse hackers werden afgeleverd en dat de server van DigiNotar zelf volstrekt onveilig was.
‘Op belangrijke computers zaten geen virusscanners, software was niet bijgewerkt en wachtwoorden waren gemakkelijk te achterhalen. Een ongelofelijke situatie,’ aldus NOS-journalist Jeroen Wollaars, die het rapport kon inzien.
Ook de Nationale Ombudsman Alex Brenninkmeijer was niet te spreken over DigiD en de manier waarop de overheid hierover communiceert. Het ministerie van Binnenlandse Zaken bleef namelijk volhouden dat het systeem niet was gekraakt en dat er maar enkele tientallen gevallen van vermoedelijke fraude bekend zijn.
Failliet van de digitale overheid
‘Burgers die slachtoffer zijn van fraude werden niet goed geholpen. De overheid is traag en heeft te weinig oog voor de problemen van de burger. Mensen worden van het kastje naar de muur gestuurd. Omdat zoveel overheidsdiensten gebruik maken van DigiD, is onduidelijk wie verantwoordelijk is. Als de overheid een bank was, zou die failliet zijn, ‘ aldus Alex Brenninkmeijer.
DigiNotar bleef volhouden dat ze pas zes weken geleden gemerkt hadden dat hun computersystemen gehackt waren. Vorige week deden ze hiervan aangifte. Dan pas erkende het bedrijf dat hun certificaten niet langer betrouwbaar waren. Overheidssites (die andere certificaten krijgen) liepen volgens de digitale sleutelmaker geen gevaar.
De Nederlandse overheid diende het bedrijf Fox-IT in te huren om de zaak te onderzoeken. Fox-IT is een belangrijke internationale handelaar in spyware. Recent scoorde Fox-IT uitstekend in de Arabische wereld waar ze hun know how kwijt konden aan geheime diensten op zoek naar inzicht in het internet-, telefoon- en twitterverkeer van dissidenten.
De bal was echter aan het rollen en vrijdagmiddag volgde na kamervragen een crisisberaad op het hoogste niveau. ‘s Nachts werd nog bekendgemaakt dat het vertrouwen in DigiNotar opgezegd werd en het beheer overgenomen werd door het Rijk.
Jager wordt prooi
Er was een tijd - nog niet zo heel lang geleden - dat al dan niet vermeende boeven, dissidenten en BV’s die over de tongen gingen door politie en justitie werden geschaduwd, getapt, gelokt en geflikt. Overheidsdiensten waren balorige onderdanen altijd een stap voor en konden hun privacy lichten in het belang van de staatsveiligheid, openbare orde en wat al niet meer.
Sinds het wereldwijde web zijn de rollen definitief omgekeerd.
Aanvankelijk amuseerden hackers zich als hobbyisten: digitale graffiti spuiters die een virus door computerbestanden smeerden. Vervelend, puberaal en een bron van inkomsten voor virusscanners en softwarebeveiligers.
Intussen zijn de mogelijkheden van en op het web met aangepaste hard- en software dermate gegroeid dat ook hier het creatieve ondernemerschap welig bloeit. Met in het zog niet minder creatieve criminele ondernemers.
Online banking en keyloggers
Wereldwijd verzamelen dit soort hackers virusbesmette computers om hun dynamisch netwerk draaiende te houden waarop zij hun bedrijven en activiteiten de wereld rond laten flitsen.
Online banking biedt ongekende mogelijkheden, zeker voor dit soort boeven. Ze gebruiken ‘keyloggers’ om alle bewegingen op je computer te registreren, alle websites, paswoorden, aankopen, bankverrichtingen naar hun eigen databanken door te sturen om tot bruikbare gegevens te verwerken.
Wanneer ze gedetecteerd worden verhuizen ze in seconden hun criminele handel over de aardbol om uit de handen van de nationale autoriteiten te blijven.
Intussen is hun digitaal machtsverlangen zo gegroeid dat beveiligingssystemen van gebouwen, elektriciteitscentrales, wapensystemen en certificeringsbedrijven gekraakt worden.
Cyberwar
Cyberspace betekent ook cyberwar. Digitale salvo’s werden reeds uitgewisseld tussen Israel en Iran. Niet alleen de Chinese overheid hackt de eigen internetbevolking en bedrijfsgeheimen van buitenlandse firma’s. De VS volgen nauwlettend het complete financiële verkeer in de EU. Binnen de EU eist de bewaringsrichtlijn de opslag van het complete digitale dataverkeer van 6 tot 24 maanden. Dit alles uiteraard in de strijd tegen drugs en terrorisme.
Intussen specialiseren criminele hackers zich zorgvuldig verder in datamining en phishing, bij voorkeur vanuit ‘failed states’ al dan niet in samenwerking met de plaatselijke overheid zoals in de vroegere Sovjetunie.
Knelpuntberoep
Rijksoverheden én de burgers die ze moeten beschermen worden nu geschaduwd, getapt, gelokt en geflikt.
Maar ook nu dient zich een lucratieve markt aan voor talentrijke stropers en digitale patsers. Overheden en bedrijven zitten vreselijk verlegen om enthousiaste en creatieve digitale boswachters, een nieuw knelpuntberoep.
Niet alleen in Nederland.
Jan Van Duppen
(De auteur is huisarts in Rotterdam en voormalig parlementslid voor SP.A.)
www.janvanduppen.be
@Allen: reageren op deze bijdrage impliceert dat u instemt met de regels voor deelname aan onze discussieforums; lees ze dus - mod
06/09/2011 om 13:50
Hopelijk leest minister “Quick” dit ook.
Wedden dat hij binnen een fractie van een seconde de wereld kond doet van een alomvattende oplossing via twitter.
Bij Googel, Face Book en Twitter krijgen de knapste hackers hoge (lees dikbetaalde) directieposten aangeboden met bijhorende faciliteiten.(lees superbonussen en premies)
Alle geheime diensten, en ook commerciële bedrijven, maken dankbaar en veelvoudig gebruik van “privacy” gegevens die deze “vakmannen” te voorschijn kunnen toveren.
Nationale overheden beuken elkaars firewalls te pletter dat het een lieve lust is, en roepen het dan uit dat “de anderen eerst begonnen zijn”…..
“Gevoelige gegevens” kan men maar beter niet toevertrouwen aan electronische communicatie technologie.
Er ligt altijd wel ergens een “drughacker” op de loer.
De “war on IT” woedt in alle hevigheid, en is niet meer te stoppen.
Tegen de stroom in, begon ik alvast mijn dagelijkse uitgaven terug met (echt) geld te betalen, ipv mijn “geheime code” aan een het internet toe te vertrouwen.
Baat het niet, dan schaadt het niet.
06/09/2011 om 15:04
EUROPOL en INTERPOL hebben de bevoegdheid nog niet om aan cyberopsporing te doen.
Ze wachten op groen licht vanuit de EU en UN.
Men heeft het nooit over cyberopsporing, alleen over veiligheid.
95 percent van de cybercriminaliteitsklachten met betrekking tot het buitenland wordt geseponeerd omdat het niet georganiseerd is.
Omdat politiekers trage slakken zijn en ook omdat de burgers niet in BULK mailen naar beleidsverantwoordelijken om te lobbyen.
En omdat de media er ook te traag op reageerd en dit publiekelijk maakt.
Heel goede experts en speurders zijn er bij EUROPOL en INTERPOL. DIe zijn zeer, zeer goed maar je moet ze die bevoegdheid geven om het te MOGEN doen.
Financieel mechanimse? 1 percent op de teruggevonden gestolen cyberbedragen voor de IT-speurders, providers, mailservers en gerecht en je kan de bal aan het rollen brengen. Iedereen wilt betaald worden.
Een internationaal gerechtshof in den Haag organiseren voor cybercriminaliteit.
Een cybercriminaliteitsplan opstellen met een delaytime van 2 dagen.
Gearchiveerde chatberichten opvragen bij de providers en mailservers met de transmissiegegevens en je hebt die cybercriminelen.
Zo moeilijk is het niet om ze op te sporen want ze blijven geconnecteerd op het internet omdat ze eraan verslaafd zijn.
De sporen die ze achter laten zijn enorm.
Het basismechanisme is eenvoudig maar je moet het grensoverschrijdend organiseren, niet allen in België, de Benelux of de EU.
In werkelijkheid mailt en communiceren de ECOPS niet met de burger en de ECOPS van andere landen, EUROPOL en INTERPOL.
En ze nemen weinig initiatieven om aanbevelingen te doen en om het verder internationaal te organiseren.
Ze doen zelf geen voorstellen en men luistert ook niet naar hen of naar de burger. Er is weinig communicatie.
Belachelijk want iedereen heeft een website. Communiceer dan via de website van andere diensten.
Omdat de juridische lijnen niet open zijn.
Omdat die politiekers niet in gang schieten. Ze zijn te TRAAG. De burgers reageren in massa ook te TRAAG. En dat weten die cybercriminelen. Daar spelen ze net op.
Cybercriminelen werken aan de snelheid van het licht.
Weg met de trage Kafka.
Initiatief nemen telf, blablabla op tv en politieke discussies zijn tijdsverspilling.
06/09/2011 om 17:38
Moderne technieken, moderne problemen.
Wat duidelijk is dat de overheden meer met macht begaan zijn dan met kennis van zaken. Outsourcing van taken is inzicht geven in interne kennis. Zie eens welk een waaier van studiebureau’s grof geld verdient aan allerhande studies en taken voor de overheid. Waarom zijn er dan zoveel ambtenaren nodig? Als ze iets moeten doen wordt het uitbesteed. Het wordt tijd dat men het hele overheidsapparaat eens grondig herstructureerd en aan de kandidaat politicus een minimale opleiding oplegt voor die taken waarvoor zij het volk willen vertegenwoordigen.
06/09/2011 om 20:22
Beveiliging is in eerste instantie een kwestie van risico analyse. Als een risico “aanvaardbaar” moet gemaakt worden kan dat op verschillende manieren. Je kan allerlei maatregelen treffen (of laten treffen als je outsourcing gebruikt) of je kan je verzekeren tegen de gevolgen van een risico dat gerealiseerd wordt.
Ik ben echt benieuwd hoe goed de verzekering van DigiNotar is, of hoe goed hun contracten met o.a. de Nederlandse overheid opgesteld zijn (m.a.w.: wat gaat het hen kosten en kunnen ze dit überhaupt overleven?
Ik ben alleszins blij verrast dat dit op de site van De Redactie een plaatsje krijgt. Een paar jaar terug toen Sony “gratis” rootkits bij zijn muziek CDs meegaf (maar het wel vergat te vermelden) moest je in Europa bij gespecialiseerde pers zijn om te weten dat er iets crimineels was gebeurd bij een door velen gerespecteerde firma.
De reactie van Wilfried lijkt me jammer genoeg alleen een verplaatsing van het probleem. Criminelen volgen het geld, of dat nu electronisch is of niet. Dat is trouwens ook de beste manier om de cybercriminelen aan te pakken: volg het geld en zorg dat het niet bij de crimineel geraakt. Helaas moet je daarvoor nauw kunnen samenwerken met banken en moet het bankgeheim grotendeels sneuvelen. Cybercriminelen leven dus bij de gratie van diegenen die het bankgeheim (ten minste zoals het nu bestaat) in stand houden. Voor de enthousiastelingen: geldstromen aanpakken is minder efficient tegen hacking om politieke redenen. electronische veiligheid zal de komende jaren dus nog niet aan belang inboeten.
06/09/2011 om 22:00
Ik heb het vandaag ook nog voorgehad: Een niet nader genoemde maatschappij, voor wie veiligheid (van haar klanten) op het internet zeer belangrijk is, gaf op een beveiligde ‘https’-pagina (secure internet, gecodeerde pagina), een link (naar een andere pagina in hetzelfde/haar domein), met meer informatie (voor haar klanten!) over hoe haar klanten zich het best zouden beveiligen op het internet, maar elke klant die op die link klikt, wordt doodleuk verwezen naar een gewone, niet-beveiligde (!) ‘http’-pagina! En iedereen die dan op de kabel meeleest, kan dan zien waarin die klant geïnteresseerd is! En zulks gebeurt dan op een webpagina waarop men klanten de raad geeft over hoe ze hun internetverkeer met de betreffende firma beter kunnen beveiligen! Maar verdorie, ze volgen hierbij zelf de meest elementaire regels van beveiliging niet (klant vanuit een beveiligde https pagina doorverwijzen naar een niet-beveiligde http pagina!).
En zo’n zaken, naast zovele andere zaken, zijn schering en inslag op het wereldwijde internet. Breek me dus de bek niet open.
En zelfs de meest elementaire zaken worden niet standaard voorzien! Want waarom bieden internet-providers niet standaard beveiligde e-mail aan??? En waarom wordt er niet meer gebruik gemaakt van proxy-servers en van beveiligde en gecodeerde verbindingen (met https pagina’s)??? Zucht, de reden is simpel: elementaire internet-veiligheid is niet commerciëel genoeg! (Meer informatie op de betreffende pagina in mijn blog).
08/09/2011 om 12:34
Geef meer supertechnologische middelen en geld aan de staatsveiligheid om ons te beschermen.
Werk samen op wereldniveau !
Biedt een job aan de professionele hackers en betaal ze goed !
Het is eigenlijk nu al te laat, maar het zal onze economie en handel ontwrichten !
08/09/2011 om 18:27
@Daniel De Caluwé: ik heb dat niet goed begrepen, waarom mag je vanaf een https pagina niet doorverwezen worden naar een http pagina? Ook is het mij niet duidelijk wie je bedoelt met “iedereen die dan op de kabel meeleest”. Tot slot: toont het artikel niet net aan dat zelfs SSL (TLS) geen foolproof methode is om zaken te beschermen?
@Decleyn W.: Technologie alleen zal ons niet redden denk ik, de mens erachter is minstens even belangrijk. Informatie en bewustwording zijn dus noodzakelijk, vandaar dat ik ook blij was dat er op een niet-technisch forum over internet-veiligheid geschreven wordt (alhoewel de terminologie-vloedgolf in het stuk waarschijnlijk wel een paar mensen zal afgeschrikt hebben).
10/09/2011 om 12:03
@Kris,
1. Doorverwijzen vanuit een https-pagina naar een http-pagina van dezelfde website : Het kan natuurlijk wel, maar het is meestal geen goede praktijk, immers, als de website bijvoorbeeld die van een bank is, dan wil je als klant via een gecodeerde verbinding (https) met die bank communiceren, en dan is het erg vervelend dat, wanneer je meer informatie vraagt over bepaalde onderwerpen (binnen dezelfde website van die bank!), dat die informatie dan plots gegeven wordt met behulp van gewone, niet gecodeerde http-pagina’s, en dat vanuit dezelfde website! Over de internet-verbinding wordt dan plots ook informatie (afkomstig van dezelfde website van die bank!) gegeven die niet gecodeerd is, en dat is op dát moment NIET wat de klant wenst, immers, de andere pagina’s waarin je geïnteresseerd bent (bij die bank op dezelfde website), kunnen ook interessante informatie aan hackers/criminelen geven; het blijft dus wel gevoelige informatie!!!
Maar, toegegeven, aangezien de internet-verbinding eerst moet opgezet worden, zal een hacker allicht ook wel weten met welk internet-domein (bijvoorbeeld de website van een bank), je verbonden bent, en kun je theoretisch stellen dat je dan niet gevoelige informatie sowieso met gewone http kunt verzorgen, maar toch vind ik het geen goede praktijk, immers, zo weet de hacker in welke pagina’s (van die website) je geïnteresseerd bent. En in ‘t geval van een bank, bijvoorbeeld, vind ik het alvast beter om dan alles met gecodeerde https te doen!
Nog beter zou zijn: De klant via een proxyserver én https verbinden met de website van die bank, immers, dan weet de hacker niet met welke website de klant/zijn slachtoffer verbonden is! (Met alleen https, weet de hacker wel met welke website de klant/zijn slachtoffer verbonden is, zo denk ik, immers, men moet minstens eerst al een verbinding opzetten, en de adressen in de pakketjes informatie die je met die bank uitwisselt zijn allicht niet gecodeerd?).
2. SSL (of TLS) is beter dan niets, en was dit geen kwestie van valse certificaten? En ondertussen zijn de bewuste valse certificaten ook al door firefox in linux geweerd. Maar natuurlijk moet men er alles aan doen om dit nog te verbeteren!
10/09/2011 om 15:50
@Daniel:
1.OK, het is dus eerder een politieke beslissing.Voor jou moeten bepaalde bedrijven (in casu banken) gewoonweg alles over SSL sturen en vanuit de implementatie beslist men (waarschijnlijk om performance redenen) dat niet-persoonsgebonden (en dus niet gevoelige) informatie beter over gewoon HTTP kan. Jouw redenering baseert zich op je vrees voor potentieel afluisteren van al je internet verkeer, is dat correct?
2. Inderdaad. Ik heb ook niets tegen SSL op zich (in eender welke implementatie) maar certificaten en het beheer daarvan maken er wel een essentieel onderdeel van uit. Trouwens, als een commerciële CA het zich kan permitteren om fouten te maken en dat een maand lang te onderschatten dan is dat niet alleen een probleem voor hun gebruik in SSL.
Ik blijf dan ook nieuwsgierig naar het lot van DigiNotar. Iets of wat certificaat kost al gauw een pak geld, als dan blijkt dat het product dat geld niet waard was zullen er wel heel wat klanten met schadeclaims zijn. Hier ben ik trouwens niet helemaal akkoord met de auteur, ook een overheidsbedrijf zal niet happig zijn om zijn fouten toe te geven, wat dan resulteert in dezelfde situatie. Privé of publiek maakt op dat vlak dus geen verschil.
03/10/2011 om 10:33
@Kris,
Betreft uw vraag onder 1. : ‘Jouw redenering baseert zich op je vrees voor potentieel afluisteren van al je internet verkeer, is dat correct?’
Mijn antwoord: Ja, je hebt me goed begrepen! En, inderdaad, het is eerder een ‘politieke beslissing’, want bij websites met gevoelige informatie, zoals die van banken, vind ik het, inderdaad, beter om alles via https te doen. (Want zogenaamde ‘niet-persoonsgebonden’ informatie, kan een eventuele hacker, ook informatie geven over zijn slachtoffer, meerbepaald waarin zijn of haar slachtoffer in geïnteresseerd is…)
Groeten,
Ir. Daniel De Caluwé