DEN HAAG – Het Beverwijkse bedrijf Diginotar wist al op 28 juli dat mensen in Iran daadwerkelijk werden misleid. Ook blijkt de beveiliging op cruciale punten afwezig te zijn geweest, waardoor misbruik kinderlijk eenvoudig was.

Dat blijkt uit het onderzoek dat is gehouden door Fox IT naar aanleiding van de hacks bij Diginotar, een dochter van beveiligingsbedrijf Vasco Data Security.

Een overheidsbron heeft NU.nl en Webwereld dit onderzoek laten inzien.

De Nederlandse instantie die gaat over ICT-veiligheid bij de overheid hoorde pas vorige week maandag van Duitse collega's van problemen met certificaten van Diginotar.

Een Iraniër had dit gemeld op een forum van Google. DigiNotar zelf wist in juni al van een digitale inbraak bij het bedrijf en stelde een maand later onderzoek in. Maandag deed het bedrijf pas aangifte van de digitale inbraak.

Uit het onderzoek blijkt nu dat op 28 juli al duidelijk was dat er daadwerkelijk ook misbruik van nepcertificaten werd gemaakt en dat dit verkeer ook grotendeels uit Iran kwam.

Van het misbruik is door de onderzoekers een animatie gemaakt.

Regels

Het beeld dat Fox IT schetst is ontluisterend voor een bedrijf dat beveiligingscertificaten verkoopt. Zo blijkt tegen de regels in, de technische omgeving voor het aanmaken van deze digitale identiteitsbewijs gewoon vanaf de werkplek benaderbaar te zijn geweest.

Daarbij was het systeem ingericht dat iemand die op de werkplek bij Windows was aangemeld ook bij de beveiligde omgeving kon komen.

Daarbij hebben de onderzoekers ook bewijzen aangetroffen dat de omgeving van overheidscertificaten met het netwerk van het bedrijf verbonden was. Dat zou helemaal niet mogen, omdat deze systemen in een afgesloten kluis staan. Het zou technisch onmogelijk moeten zijn hier via een netwerk bij te kunnen komen.

Onveilig

Maar ook met de beveiliging blijkt van alles mis te zijn. Zo ontbrak het aan anti-virusbescherming voor het Windows besturingssysteem.

Ook detectiemogelijkheden om de inbraak te ontdekken blijken niet te hebben gefunctioneerd. Verder blijkt het opslaan van bewerkingen in een logboek onvoldoende te zijn geregeld.

Verder heeft het bedrijf ook in de administratie steken laten vallen. Zo stellen de onderzoekers vast dat er overheidscertificaten zijn aangemaakt, waarbij niet meer te achterhalen is hoe dat heeft kunnen gebeuren. Juist die vastlegging is cruciaal voor de rol van een digitale notaris.

Daarnaast blijken ook andere beveiligingspraktijken slecht te zijn. Wachtwoorden van systeembeheerders waren zo slecht gekozen dat deze geautomatiseerd zijn gekraakt. Dat maakt niet alleen de inbraak mogelijk, maar door de toegang tot het certificaatsysteem konden de Iraniërs ook meteen kwaadaardige handelingen uitvoeren.

Sleutels

Oud-Diginotar-medewerker Remko de Graaf meldt in RTL Nieuws dat het bedrijf tegen de regels in kopieën van sleutels bewaarde in een losse database.

Als dat verhaal klopt dan hebben medewerkers of hackers ook de mogelijkheid gehad om misbruik van verbindingen te maken of ten onrechte digitale handtekeningen te zetten.

Gemakzucht

De oorzaak zou niet kwaadaardig zijn, maar juist met gemakzucht te maken hebben. Door de opslag van sleutels is het eenvoudig om op een later moment een eventuele fout te herstellen.

Dezelfde sfeer ademt het rapport uit: een bedrijf waar medewerkers vooral technische obstakels maximaal uit de weg ruimen om simpel te werken.

De onderzoekers gaan niet zover om de overheid van Iran te beschuldigen. Wel stellen ze dat de aanval is gericht op het afluisteren van het Iraanse volk.

Lees alles over de hack bij Diginotar