Het Openbaar Ministerie begint een onderzoek naar DigiNotar. Daarbij kijkt het of de certificaatverstrekker formeel aangesproken kan worden of zelfs aansprakelijk valt te stellen. Deze kritische blik volgt op het feit dat het bedrijf de cyberinbraak lang stil heeft gehouden en heeft gebagatelliseerd. Het volgt op politieke geluiden dat DigiNotar aansprakelijk gesteld moet worden en strafrechtelijk vervolgd. Het bedrijf heeft niet alleen de overheid benadeeld (die nu op grote schaal in hoog tempo certificaten moet vervangen), maar heeft ook dissidenten in Iran in gevaar gebracht.

Een onderzoek van FoxIT stelt dat de cyberinbraak niet alleen begin juni al is gepleegd, maar dat DigiNotar het toen ook heeft ontdekt. Vervolgens zijn in juli de eerste frauduleuze certificaten aangemaakt, voor onder andere Google.com. Dat certificaat is eind juli voor het eerst actief gebruikt om beveiligd Gmail-verkeer vanuit Iran af te tappen.

Uiteindelijk is dit misbruik eind augustus gemeld aan GovCERT in Nederland door het Duitse CERT-BUND. Het IT-beveiligingsorgaan van de Nederlandse overheid heeft toen DigiNotar ingelicht. Dat bedrijf had in juli een eigen onderzoek ingesteld en daarna maatregelen genomen. Maar het heeft de hele zaak stilgehouden; betrokken sites, browsermakers, GovCERT en de Nederlandse overheid wisten nog van niets.

Het uitgevoerde forensische onderzoek door de Nederlandse IT-securityspecialist Fox-IT was vernietigend (zie rapport). De DigiNotar-systemen voor het verstrekken van certificaten voor overheidssites en -diensten waren ook gehackt. Uit het rapport blijkt nu dat die systemen niet ‘volledig gescheiden’ waren, wat DigiNotar vorige week nog wel beweerde. De fysiek wel apart staande machines zijn namelijk gekoppeld geweest aan het reguliere netwerk van het bedrijf, ontdekte Fox-IT. Bovendien bestaat dat netwerk uit één enkel Windows-domein. Daardoor waren alle computers in dat domein toegankelijk vanaf elke werkplek-pc, waarop accounts ook nog eens zwakke wachtwoorden hadden. Die waren makkelijk te kraken met een brute force-aanval, schrijft Fox-IT in het rapport, wat formeel nog een interim-verslag is. De meest kritieke servers waren dan ook flink besmet met malware. Die besmetting liep uiteen van speciaal maatwerk tot de standaard-hacktool Cain & Abel. Die kwaadaardige software wordt normaliter wel gedetecteerd door antivirussoftware, schrijft Fox-IT. Alleen had DigiNotar die niet draaien op de kritieke machines.

Er was wel een inbraakdetectiesysteem in gebruik, maar dat is niet aangeslagen op de cyberinbraak. Het is Fox-IT op dit moment niet duidelijk waarom die ‘intrusion prevention’ zelfs niet een deel van de externe aanval heeft afgeslagen. Het ontbreekt namelijk ook aan centrale logging voor het netwerk. De inbraak is gepleegd via de externe webservers van DigiNotar, die verouderde en ongepatchte software draaiden. Vorige week is al gebleken dat de website DigiNotar.nl in 2009 meermaals is gehackt. Die zogeheten ‘defacements’ zijn sindsdien niet opgeruimd. Dat is pas vorige week gebeurd toen de hele affaire aan het licht kwam.

Ook administratief ging het nodige verkeerd. Dat blijkt uit het feit dat tussen de overheidscertificaten twee series van certificaten zitten waarvan niet duidelijk is wie ze heeft aangevraagd en waarvoor ze worden gebruikt.

De hackers hebben ook scripts achtergelaten waardoor ze zelf de administratie voor certificaten konden doen. Het is duidelijk dat er misbruik heeft plaatsgevonden en dat in Iran gebruik is gemaakt van het domein van Google. Volgens de onderzoekers wist Diginotar al op 28 juli dat er verkeer kwam uit Iran en dat Google werd misbruikt. Maar zelfs toen greep het bedrijf niet in. Trend Micro heeft ondertussen ontdekt dat er 40 Iraanse netwerken werden afgeluisterd.

Het bedrijf Fox IT heeft dat misbruik in de volgende video weergegeven. Het bedrijf beschuldigt niet de Iraanse regering van de hack, maar wijst er wel op dat de hack is gericht op het afluisteren van het Iraanse volk.

Alle certificaten van Diginotar moeten worden uitgefaseerd. Uit de brief van Donner aan de Kamer blijkt verder dat de update van Windows die Microsoft in de planning heeft staan, waardoor de certificaten van Diginotar niet meer zullen werken, op verzoek van de overheid wordt vertraagd. ‘Een van de directe gevolgen is dat de geplande softwareupdate van Microsoft voor Nederland op expliciet verzoek van de Nederlandse overheid beheerst wordt ingevoerd. Dat geeft organisaties en bedrijven meer tijd om certificaten te vervangen’, staat in de brief te lezen. De geplande softwareupdate zal op een ander moment worden uitgevoerd.