Ook het certificaat voor Windows Update blijkt nu te zijn vervalst, waardoor Iran in theorie aangepaste versies van het besturingssysteem kon verspreiden.

Dat blijkt uit een aangepaste lijst van nepcertificaten die inmiddels aan browserleveranciers is verspreid. Daaruit blijkt dat de basis is gelegd om de infrastructuur voor het automatisch bijwerken van Windows te ondermijnen binnen Iran.

Ook voor domeinen van Iraanse en Israëlische blogs en andere mensenrechtenwebsites is een valse identiteit aangemaakt. Eerder werd al duidelijk dat naast Google identiteiten voor domeinen van Yahoo, Facebook, Mozilla en de anonimiseringssoftware Tor zijn nagemaakt.

Opvallend is dat ook Microsoft tussen de nepcertificaten zit. Daarbij gaat het om certificaten voor de website van Microsoft, de communicatiediensten bij Windows Live en Windows Update. Vooral dat laatste is nieuw.

Eerder was alleen bekend dat specifieke programmatuur, die in ieder geval bij dissidenten populair is, aandacht kreeg. Nu gaat het mogelijk ook om software die door bijna iedere burger wordt gebruikt.

Dit zorgt, volgens beveiligingsexpert Hans van de Looy van Madison Gurkha, voor meer mogelijkheden om spionageprogrammatuur te installeren. “Op het moment dat je die certificaten kunt misbruiken dan staat de weg open om kwaadaardige software te installeren op bijvoorbeeld patch Tuesday (de maandelijkse verbetercyclus van het bedrijf – redactie)”, vertelt hij tegenover NU.nl.

“Het wordt een stuk makkelijker om miljoenen PC’s te besmetten met software. Omdat het van Microsoft zelf af lijkt te komen hoef je geen gebruik te maken van kwetsbaarheden in standaard programmatuur.”

Hij ziet dit dan ook als een loper om volledige toegang tot het besturingssysteem te krijgen. Verspreiding van kwaadaardige programmatuur is ook nog eens makkelijker. Gebruikers halen namelijk zelf de programmatuur binnen.

“Het wordt eenvoudiger om burgers in de gaten te houden”, vertelt hij. Communicatie is eenvoudig af te luisteren en het is veel eenvoudiger te zien wat voor software aanwezig is. Overigens is er nog wel een aanvullende stap nodig om echt controle te krijgen. Ook Microsoft maakt gebruikt van een digitale handtekening voor de software die het bedrijf verspreidt.

Deze gebruikt dezelfde technologie als het certificatenmechanisme dat voor websites wordt gebruikt. Daardoor opent de aanval de deur om eigen updates te verspreiden, waarbij de gebruiker niet merkt dat er kwaadaardige software wordt geleverd.

Meerdere bronnen melden NU.nl dat de indicaties zijn dat er momenteel geen misbruik is gemaakt van de domeinen. Dat betekent ook dat – voor zover bekend – er ook nog geen nepprogrammatuur is verspreid.

Op basis van wat nu bekend is, wil Van de Looy nog niet zover gaan hard de Iraanse overheid als schuldige aan te wijzen. “Maar het zou me niet verbazen als dat wel zo blijkt te zijn.”

Toch benadrukt hij dat veel wel in die richting wijst: “Het zijn hele specifieke organisaties waarvoor dit soort certificaten zijn aangemaakt. Als het een los zooitje hackers is dan is het een vreemde actie.”

Voor Marietje Schaake, Europarlementariër voor D66, is de situatie compleet onaanvaardbaar. Zij zet zich in voor internetvrijheid en wil dat de Europese Commissie in actie komt.

“In Iran, maar ook in Syrië, Libië en China gebruiken overheden de grofste middelen om in e-mail, mobiele telefonie en sociale media van mensen in te breken”, vertelt ze NU.nl. “Dit past in een patroon van systematische schendingen van mensenrechten. Het is onacceptabel dat in de EU gevestigde bedrijven repressieve overheden helpen, al dan niet bewust.”

“De overheid heeft de verantwoordelijkheid om ervoor te zorgen dat kritieke infrastructuur zoals het internet veilig en vertrouwd kan worden gebruikt. Die verantwoordelijkheid geldt in Nederland, in Europa, maar ook zeker in de rest van de wereld”, legt ze uit.

En ze wil dat de Europese Commissie meer energie gaat steken in bescherming. “Studenten, journalisten en mensenrechtenverdedigers kijken naar Europa voor steun in de bescherming van hun rechten. Het is heel erg dat door foute certificering mensen misleid zijn door de Iraanse overheid. Daar mogen EU-bedrijven niet aan meewerken.”

Onduidelijk is waarom Diginotar, een onderdeel van beveiligingsbedrijf Vasco Data Security, niet eerder heeft aangegeven dat zij honderden certificaten ongeldig hebben moeten verklaren. De eerste hacks blijken namelijk al op 19 juli ontdekt te zijn. Ook de gedupeerde bedrijven zijn door de organisatie niet geïnformeerd totdat het nieuws naar buiten kwam via een Iraanse dissident.

Ook deed het bedrijf geen aangifte van de inbraak, maar belde het deze week met het Openbaar Ministerie dat daarop direct een onderzoek gelastte. Het bedrijf doet naar verluidt maandag aangifte. Diverse advocaten wijzen erop dat het niet melden strafbaar kan zijn als blijkt dat als gevolg van de hack mensen iets overkomt.