De hack bij DigiNotar was een uitgave van valse SSL-certificaten voor websites wereldwijd, veroorzaakt door een man-in-the-middle-aanval bij het Nederlandse bedrijf DigiNotar. In juli 2011 werden meer dan 500 valse certificaten verspreid, met voornamelijk Iraanse internetgebruikers als doel. Nederlandse overheidswebsites en overige websites wereldwijd werden ook tijdelijk als onveilig verklaard.
Met de valse certificaten zou een legitieme website nagemaakt kunnen worden en niet van echt te onderscheiden zijn. Als verkeer naar de valse site geleid wordt, kon de informatie beschikbaar komen aan de maker van de valse site. Valse certificaten zijn door de hacker gemaakt voor bekende sociale netwerkdiensten als Gmail, Twitter, Facebook en de geheime diensten CIA, MI6 en Mossad. Door de hack is het vertrouwen in alle door DigiNotar uitgegeven digitale certificaten ingetrokken en kwamen ook andere diensten, zoals DigiD, Belastingdienst en de RDW in de problemen. De hack werd online opgeëist door een 21-jarige Iraanse man, die verklaarde te handelen uit sympathie voor Iran en kritiek leverde op Nederland. Als gevolg van de hack werd internetgebruikers geadviseerd enkele dagen geen online overheidsdiensten te gebruiken. Na het ongeldig verklaren van de certificaten en de verbanning van DigiNotar door PKIoverheid en de OPTA, werd het bedrijf op 20 september failliet verklaard.
De hack
DigiNotar, een bedrijf dat voor de beveiliging van overheidswebsites zorgt, kreeg in juli 2011 te maken met een hack. Hierdoor kreeg een externe partij de mogelijkheid valse SSL-certificaten uit te geven. Het gevolg was dat er meer dan 500 valse certificaten werden uitgegeven.[1]Google-certificaten werden daardoor niet aan Google, maar aan een derde partij uitgegeven.[2] Websites die in de internetbrowser ogenschijnlijk als 'veilig' waren aangegeven, konden daardoor onveilig zijn. Het gevaar daarvan was dat informatie afgetapt kon worden.[3] Uit een later uitgevoerd rapport van Fox-IT bleek dat de informatie van 300.000 unieke IP-adressen met een Google-account zouden zijn geraadpleegd. De meerderheid van deze adressen was afkomstig uit Iran.[1] De inbraak leidde bijna tot een complete uitval van computers bij de Nederlandse overheid. Het risico ontstond dat een groot deel van met DigiNotar-certificaten beveiligd berichtenverkeer met en tussen overheden zou uitvallen. De overheid diende een verzoek in bij Microsoft om een update van Nederlandse Windows-systemen een week uit te stellen.[4] DigiNotar wist vanaf 19 juli van de hack af, maar hield dit intern en deed ook geen aangifte over deze zaak.[5]
Uit een lijst van NOS bleek dat behalve DigiNotar ook andere grote websites het risico liepen afgeluisterd te zijn door hackers. Er waren valse certificaten uitgegeven voor onder andere Gmail, Yahoo, Hotmail, Windows Live Messenger, Twitter, Facebook en Skype. Ook veelgebruikte Iraanse websites stonden in deze lijst. Daarnaast verschenen er ook certificaten voor de Israëlische Mossad, de Amerikaanse CIA en het Britse MI6. Opvallend was dat er drie Iraanse websites op de lijst stonden, met drie uitspraken in de url: Janam Fadaye Rahbar ('ik offer mezelf op voor de Grote Leider'), Ramz Shekane Bozorg ('De Grote Codekraker') en Sahebe Donyaye Digital ('De Eigenaar van de Digitale Wereld').[6] Ook termen als 'landverrader' en 'slaaf van Israël' werden teruggevonden.[7]
Openbaarheid
In juli gaf internetbrowser Google Chrome aan dat bij het inloggen van een Iraanse internetgebruiker in e-maildienst Gmail een vals certificaat van DigiNotar werd gebruikt. Later maakten ook Iraanse internetgebruikers melding van deze valse certificaten.[8] Op 28 augustus werd op een Google-ondersteuningsite door een persoon melding gedaan van een ongeldig certificaat, die wederom verscheen na een poging in te loggen op Gmail.
Op maandag 29 augustus werd informatie op Pastebin gepubliceerd over onderschepte SSL-certificaten waarmee een man-in-the-middle-aanval op de Iraanse bevolking kon worden uitgevoerd. Deze certificaten zouden afkomstig zijn van DigiNotar.[9] Een dag later (op dinsdag) stelden D66 en GroenLinks vragen over de kwestie aan de ministers van Binnenlandse en Buitenlandse zaken. Op woensdag werden door de PVV kamervragen gesteld of overheidswebsites nog wel te vertrouwen waren. Diezelfde dag bracht DigiNotar een persbericht uit, waarin ze stelden dat er niets mis was met de certificaten van de overheid. Op vrijdag 2 september kwam DigiNotar echter terug op die uitspraken en meldde dat een hack op de overheid een mogelijkheid was.[8] Op diezelfde avond werd er op het ministerie van Binnenlandse Zaken crisisoverleg over de certificaten gepleegd. In de daaropvolgende nacht verklaarde minister Piet Hein Donner van Binnenlandse Zaken en Koninkrijksrelaties tijdens een speciaal ingelaste persconferentie dat er geen vertrouwen meer was in het bedrijf en dat er maatregelen getroffen zouden worden qua betrouwbaarheid van de overheidswebsites.[10]
Dader
Inmenging van de Iraanse overheid werd onderzocht, waarop DigiNotar in de problemen zou kunnen komen: het niet melden van de hack zou Iraanse dissidenten in levensgevaar kunnen brengen.[5] Op het internet werd de actie echter opgeëist door één hacker, die naar zichzelf refereerde als 'Comodohacker'. Deze naam is afgeleid van een eerdere hack die deze persoon vermoedelijk uitvoerde op Comodo, een computersoftwarebedrijf. Deze vergelijkbare actie met certificaten uit maart 2011 trof onder andere Google, Yahoo, Microsoft. Opvallend was dat bij die hack de boodschap Janam Fadaye Rahbar verscheen, net zoals bij de DigiNotar-hack.[6] De hacker verklaarde zelf dat hij een 21-jarige Iraniër was.[2] De man had in de dagen na de openbaring contact met de NOS en Nieuwsuur, waarin hij zichzelf 'Sun Ich' noemde en zei dat hij de hack alleen had uitgevoerd. Wel had hij de veiligheidscertificaten doorgespeeld aan "bepaalde mensen in Iran". De man noemde zichzelf een aanhanger van de Iraanse president Mahmoud Ahmadinejad en vertelde dat DigiNotar "iets had wat hij nodig had".[11] Op 5 september verklaarde de hacker al op de website Pastebin dat hij de hack bij DigiNotar uitvoerde als straf op de Nederlandse acties tijdens de Val van Srebrenica in 1995. In het interview met de NOS voegde hij Geert Wilders daar ook als reden bij, die als criticus van de islam "vernietigd moest worden". De hacker stelde tevens dat hij toegang heeft tot nog vier certificaatautoriteiten, waaronder GlobalSign.[1]
Gevolgen
Direct na het bekend worden van de hack zegden de internetbrowsers Mozilla Firefox en Google Chrome het vertrouwen op in de DigiNotar-certificaten.[12] Mozilla kondigde op 6 september een nieuwe versie aan die de valse certificaten tegen moest houden.[13] Het IT-veiligheidsbedrijf Fox-IT, dat normaliter samen met de KLPD onderzoek uitvoert op hackers, stelde een onderzoeksrapport samen dat op 5 september werd uitgebracht. Het rapport, genaamd 'Operation Black Tulip', leverde kritiek op DigiNotar: het noemde de bestaande netwerkconfiguratie "onvoldoende" en de software "ouderwets".[14]
Door de hack zegde de overheid het vertrouwen op in PKI-overheidscertificaten, die werden gebruikt als bescherming van overheidsgegevens. Geadviseerd werd om tijdelijk overheidswebsites als DigiD en online diensten als de Belastingdienst niet te gebruiken.[12] Er werd door de overheid in die periode overgeschakeld naar overige certificerende instanties. Op 5 september werd DigiD weer 'veilig' verklaard.[15] De politieke oppositie in Nederland reageerde publiekelijk op de gebeurtenissen. De SP vroeg een parlementair onderzoek aan naar digitale veiligheid. De PvdA bekritiseerde het beleid van Donner; kamerlid Pierre Heijnen stelde dat het leek dat Donner "de ICT niet helemaal serieus nam".[16] SP-Kamerlid Sharon Gesthuizen noemde de veiligheid "zo lek als een mandje".[17]
Betrokkenheid Iran
De vele aanwezige Iraanse IP-adressen en de zelfverklaarde nationaliteit van de hacker leidden tot vragen over eventuele connecties met de Iraanse overheid, die actief zoekt naar binnenlandse dissidenten. In Nederland leidde dit tot juridisch onderzoek over het vervolgen van DigiNotar voor het in gevaar brengen van Iraanse dissidenten, aangezien gevoelige informatie nu beschikbaar kan zijn.[5] Het internetgedrag van 300.000 Iraniërs werd beschikbaar voor de hackers.[18] Het onderzoeksrapport van Fox-IT gaf Iraniërs het advies hun wachtwoord voor online diensten te veranderen.[15]
Einde DigiNotar
Op 14 september verklaarde de Onafhankelijke Post en Telecommunicatie Autoriteit alle certificaten van DigiNotar ongeldig. Daarnaast mocht het geen nieuwe certificaten meer verstrekken.[19] Op 20 september werd DigiNotar door de rechtbank in Haarlem failliet verklaard. Ongeveer vijftig mensen verloren hun baan.[3] Daarop verstuurde minister Donner samen met minister Ivo Opstelten van Veiligheid en Justitie een brief naar de Tweede Kamer, waarin hij stelde dat "de digitale inbraak bij DigiNotar (...) de kwetsbaarheid van betrouwbare digitale informatievoorziening duidelijk gemaakt [heeft]." De brief bevatte een plan om een toekomstige hack te voorkomen, gebaseerd op drie punten: weerbaarheid tegen inbreuken vergroten (bijvoorbeeld door meerdere certificaten te vergroten); vorm geven aan een meldplicht voor ICT-incidenten; en de ervaringen met DigiNotar internationaal uit te dragen, zodat gewerkt kan worden aan structurele verbeteringen op mondiaal niveau.[20]
Onderzoek
De Onderzoeksraad voor Veiligheid deed een onderzoek naar aanleiding van het hacken van DigiNotar. Het onderzoek richtte zich op de wijze waarop overheden de digitale veiligheid beheersen en concludeerde in juni 2012 dat de digitale veiligheid van de overheid sterk moet verbeteren.[21] Minister Donner had de raad om het onderzoek gevraagd.[22]
ITsec rapport voor de OPTA
Beveiligingsbedrijf ITsec had in opdracht van Diginotar na de ontdekking van de hack een rapport geschreven over de hack. Dit rapport is door Diginotar voorafgaand aan het faillissement aan OPTA verstrekt. De OPTA weigerde in eerste instantie op verzoek van een journalist dit rapport openbaar te maken. Gebruikmakend van rechten op grond van de Wet Openbaarheid Bestuur of WOB-procedure probeerde de journalist bij het college van de OPTA dit rapport alsnog openbaar te krijgen. Tijdens de behandeling van het WOB-verzoek op 22 juni 2012 verzocht de curator van DigiNotar tevergeefs om de beslissing van de OPTA in stand te houden omdat hij vreesde dat publicatie ervan zou leiden tot extra schadeclaims bij het failliete bedrijf.[23] Het college verklaarde op 7 november 2012 het bezwaar van de journalist gegrond.[24] Vervolgens werd het rapport onder de naam Research report ITsec Security Services BV about security incident 2011 Document nummer SS-REL-NOTAR-1102-10.TN01 door de OPTA op verzoek verstrekt.[25]