Hacks will happen, but the damage can be less (DigiNotar)

Below a blog post in Dutch on the DigiNotar certificate authority hack, and two lessons we can learn from this. The bottom line of the post is that DigiNotar wasn’t the first and won’t be the last certificate authority to be hacked. Although I support that the PKI system needs to be changed, this will take a long time. In the mean time, since hacks are IMHO unavoidable, we should make sure we do better damage control. Lesson 1 is make sure there is a very serious obligation for Certificate Authorities to report hacks e.g., prison). Lesson 2 is that companies should make sure they can switch to new certificates more quickly (so that the now untrusted certificates can be revoked immediately without loss of business continuity, contrary to what is happening now).

Hacks zijn niet te voorkomen, drama’s wel (DigiNotar)

De media staan bol van de cyberaanval van Iraanse hackers op de Nederlandse digitale certificaten leverancier DigiNotar en de verstrekkende gevolgen daarvan. Elektronische dienstverlening wordt lamgelegd of loopt tenminste een gevoelige deuk op als het gaat om het vertrouwen. DigiNotar is niet de eerste en ongetwijfeld ook niet de laatste digitale certificaten leverancier die gehacked wordt. Het DigiNotar drama heeft ons wel twee zaken geleerd om de schade te beperken: zorg ervoor dat dit soort hacks meteen gemeld worden en zorg dat bedrijven/overheid snel kan overstappen op alternatieve certificaten.

Dagelijks is het in juli gehackte bedrijf DigiNotar in het nieuws. Hackers hebben digitale certificaten aangemaakt waardoor ze zich kunnen voordoen als bijvoorbeeld Google’s emaildienst gmail, of DigiD (zie Fox-IT rapport van 5 september 2011). Met grote gevolgen voor privacy en vertrouwen, we weten namelijk niet met welke website we communiceren. DigiNotar, dat beveiligingscertificaten uitgeeft, krijgt veel kritiek over het te laat melden van de cyberinbraak. Nu, zo’n zes weken na dato, worden alle certificaten afkomstig van het bedrijf ongeldig gemaakt. Het probleem is dat daardoor ook bonafide gebruikers van die certificaten, zoals DigiD, problemen hebben om hun dienstverlening te continueren. De hack zorgt dus niet alleen voor veiligheidsproblemen (bv afluisteren internet verkeer), maar ook voor business continuity problemen.

DigiNotar was een geaudit en gecertificeerde leverancier van digitale certificaten (zie bijvoorbeeld dit PWC certificaat van 1 november 2010), en stond als betrouwbaar bekend. DigiNotar is gehacked ondanks deze certificering en audits, en uit het Fox-IT rapport is gebleken kwam dit omdat er het nodige mis met de beveiliging bij DigiNotar (en niet bijvoorbeeld omkoping of ‘pech’). Het is niet de eerste keer dat een certificaten leverancier gehacked is, eerder dit jaar gebeurde dit al bij Comodo. Het heeft er ook alle schijn van dat het om dezelfde hacker gaat. Er zijn meer dan 500 leveranciers van digitale certificaten, en het is een kwestie van tijd voordat dit weer gebeurt. Er is en zal de komende tijd nog veel gesproken worden over waarom de hack bij DigiNotar gelukt is, en mogelijk worden andere certificaten leveranciers voorzichtiger. Dit verandert echter niks aan het feit dat 100% veiligheid in de digitale wereld onmogelijk is, dat geldt ook voor de certificaat leveranciers en dat dit zeker geldt voor 500+ leveranciers. Ik sluit mij aan bij velen die oproepen voor een nieuw systeem voor certificaten, zie bijvoorbeeld Moxie Marlinspike, maar ben tegelijk sceptisch of dit snel genoeg en echt structureel voor een oplossing zorgt.

We kunnen echter wel twee lessen leren uit het DigiNotar drama die helpen de schade te beperken na een hack bij een certificaten
leverancier. Les één is een serieuze meldplicht voor certificaat leveranciers. We moeten de regels zo aanpassen dat een
certificaat leverancier meteen bekend maakt als ze gehacked zijn. Er kunnen dan meteen maatregelen genomen kunnen worden (lees: de certificaten van die leverancier niet meer vertrouwen). Een meldplicht is echter gemakkelijker gezegd dan gedaan. Het bekend raken van een hack leidt tot grote reputatieschade en kan makkelijk tot faillissement van de leverancier leiden. Een simpele meldplicht zal dus niet werken. Het alternatief van niet melden moet ‘erger’ gemaakt worden dan deze schade. Dit kan door, zoals ook door PvdA tweede kamerlid Martijn van Dam wordt gepropageerd, door strafrechtelijk vervolging. Probleem hierbij is wel dat er certificaat aanbieders zijn over de hele wereld. Nederlandse wetgeving alleen heeft zo een vrij beperkte invloed, op zijn minst moet dit Europees.

De tweede les is gaat meer over business continuity. Gebruikers van certificaten moeten per direct over kunnen schakelen op een andere leverancier. Dit zodat de niet meer vertrouwde certificaten per direct ook niet meer gebruikt hoeven te worden, zonder de continuïteit van de dienstverlening in gevaar te brengen. Na het bekend worden van de DigiNotar hack zijn de PKI Overheid certificaten nog een tijd lang gewoon gebruikt, en minister Donner heeft zelfs Microsoft zover gekregen een update uit te stellen die gebruikers zou vertellen dat deze certificaten niet meer vertrouwd zijn. Dit omdat de Nederlandse overheid en anderen blijkbaar niet in staat zijn snel over te schakelen op andere certificaten. Dit is een kwalijke zaak. Naast technische maatregelen is de doorlooptijd van het registratieproces onderdeel van het probleem. Immers moet de certificaataanbieder verifiëren dat de aanvrager is wie die zegt dat hij is, vaak door een face-2-face controle. Bijvoorbeeld door voor kritische diensten alvast een certificaat van een ander certificaat aanbieder aan te vragen kan deze doorlooptijd vermeden worden.

Inmiddels gaan er ook stemmen op voor een grotere taak van de overheid in deze. Dat is een les die mijn inziens niet getrokken kan worden uit dit drama. Wat er door de overheid en wat er door het bedrijfsleven gedaan moet en kan worden is een genuanceerde afweging, en veiligheidsincidenten zijn en blijven er ook bij de overheid zelf.

Een les die we ook niet kunnen trekken is dat e-dienstverlening niet veilig genoeg kan. De risico afwegingen en maatregelen vereisen wel meer aandacht van zowel politiek als hogere managementlagen van het bedrijfsleven. De positieve kant van deze DigiNotar inbraak, maar ook bijvoorbeeld de recente inbraak bij Sony playstation network, is dat ze zo publiek zijn dat die aandacht er ook eindelijk komt.

2 Responses to Hacks will happen, but the damage can be less (DigiNotar)

  1. […] parties. This is a hot subject in the Netherlands, also because of the recent security incidents (DigiNotar). Hein Aanstoot, director at SIVI, argued very well that the insurance sector increasingly needs a […]

  2. […] the weaknesses of our current systems for website certificates (e.g. here and in 2000). As the Diginator hack showed, any of the many Certificate Authorities that exist can be the weakest link and cause trust […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s