Het is oorlog maar niemand die het ziet
Page 4
Erik de Jong, de GOVCERT-medewerker die de contacten met grote partijen onderhoudt, weet ook niet wat hij allemaal mag zeggen over DigiNotar. Wat hij wel weet: als Google en Microsoft ineens hun vertrouwen in het bedrijf opzeggen en alle certificaten intrekken, is de schade niet te overzien. Het is volstrekt onduidelijk welke Nederlandse organisaties allemaal vertrouwen op DigiNotar. Gelukkig heeft De Jong goede contacten opgebouwd bij Microsoft en Mozilla. Dagelijks belt hij met ze. Wacht nog heel even, vraagt hij ze telkens. Trek DigiNotar niet in één keer in, smeekt hij. De Jong: ‘We weten nog niet wat de gevolgen voor ons land zullen zijn.’
En dat is een understatement. Ambtenaren op allerlei niveaus ontbeert het aan kennis. Zo krijgt Erik de Jong de vraag wie de eigenaar van Firefox is. Firefox is een opensourceproject: het heeft geen eigenaar. Erik Akerboom, de nationale terrorismecoördinator en tevens co-voorzitter van de Cyber Security Raad, weet niet wat digitale certificaten zijn.
Ook zorgt de digitale crisis voor een botsing van culturen: bij de overheid beslist de hoogste in rang. Maar bij organisaties met technisch experts, zoals ook bij GOVCERT, is dat omgekeerd: daar vertrouwt de baas op de specialist die weet hoe het zit.
*
Op woensdag, twee dagen na de eerste melding, is nog steeds niet bekend wie de kluis van DigiNotar is binnengekomen. Aart Jochem slaapt nauwelijks. Weer is hij vroeg in Den Haag. En opnieuw belt hij om negen uur met Tony de Bos en Ronald Prins in Beverwijk. Daar is ook FOX-IT-onderzoeker Frank Groenewegen. De hackexpert met krullenbos en stevige donkere bril is tot na middernacht gebleven en vanochtend met zijn zwarte Seat Altea over de A22 naar Beverwijk gereden. Hij plaatst sensoren om al het internetverkeer te bekijken en probeert een indruk te krijgen van het netwerk. Hij heeft ook de futuristische kluis op de eerste verdieping van het pand gezien.
Dan wijst een collega hem op een netwerkkabel die dwars door het pand heen gaat. Het is zo’n grijze internetkabel die ook het modem met de computer verbindt. Hij ligt op de grond, keurig afgedekt met een plintje. Niemand heeft hem eerder gezien. Als Groenewegen op de kabel af loopt, ziet hij dat hij aan de ene kant in een computer in de kluis zit. Aan de andere kant leidt de kabel naar een werkstation met de naam DIGIWS146.
Dit werkstation heeft een speciale functie: het bevindt zich precies op de grens van het kantoornetwerk en het veilige netwerk in de kluis. Deze computer regelt de uitgifte van certificaten door een versleuteld verzoek te doen aan het veilige netwerk. Daarna gaat een medewerker de kluis in om het certificaat te controleren en te tekenen en stuurt die terug naar dit werkstation. Voor de veiligheid is er alleen eenrichtingsverkeer: een directe verbinding van de kluis naar DIGIWS146, niet andersom. Een firewall zorgt daarvoor.
Maar toch ziet Groenewegen nu een extra grijze kabel rechtstreeks van DIGIWS146 naar de kluis gaan. Een tweebaansweg dus. Iemand die op deze computer weet te komen kan, hop, via dit draadje op de grond het veilige netwerk in de kluis op. De firewall houdt dat niet meer tegen. En in die kluis staat de computer die de certificaten uitgeeft en van een stempel voorziet. Die ene extra kabel maakt alle veiligheidsmaatregelen overbodig. Een indringer die van buitenaf werkstation DIGIWS146 weet binnen te komen, kan zo via de netwerkkabel de kluis in en weer terug. Ontsteld kijkt Groenewegen ernaar.
Als hij medewerkers vraagt hoe dit mogelijk is, zeggen ze dat ze de fysieke kluisprocedure te tijdrovend vinden. Het kost hun elke keer tien à vijftien minuten om naar binnen en weer naar buiten te gaan. Bovendien is het ‘ijskoud’ in de kluis, klagen ze. Daarom hebben ze het zichzelf wat makkelijker gemaakt: een kabel getrokken en werkstation DIGIWS146 zo ingericht dat ze rechtstreeks vanaf dat station het veilige netwerk op kunnen en certificaten kunnen ‘tekenen’. De smartcard die nodig is om in de kluis te tekenen, laten ze daar standaard in de uitgiftecomputer zitten.
De vondst van de extra kabel zet alles op z’n kop. Het maakt een digitale inbraak bij DigiNotar waarschijnlijker. Het is ook slecht nieuws voor Tony de Bos: hij moet geweten hebben van het omzeilen van veiligheidsprocedures. Uit oude mails zou later blijken dat er binnen het bedrijf uitvoerig gesproken is over werkstation DIGIWS146. Dat heeft gevolgen voor de verkoop van DigiNotar. Later zal de rechter oordelen dat door het geknoei met de netwerkkabel de garantiestelling van de verkoop vervalt. De Bos zal zijn miljoenen niet meer krijgen en hij moet kopende partij Vasco het reeds ontvangen deel ook nog terugbetalen.
De Bos zal de klap amper te boven komen. Mensen zien een man die nog altijd worstelt met de ondergang van zijn bedrijf. Op vragen wil hij niet antwoorden vanwege een ‘geheimhoudingsverklaring’. Het enige dat hij erover wil zeggen is dat de gebeurtenissen ‘zijn weerslag’ hebben gehad. De Bos: ‘Tot op de dag van vandaag beïnvloedt dit mijn handelen.’
Zestig kilometer verderop krijgt ook Aart Jochem een slecht bericht. Hij heeft specialisten van Douane, Rotterdamse haven en Belastingdienst bij elkaar geroepen om de rol van DigiNotar duidelijk te krijgen. Daar hoort hij dat DigiNotar veel belangrijker is dan iedereen dacht. Bedrijven gebruiken de certificaten om hun belastingaangifte te ondertekenen. Ze kunnen geen btw afdragen als die aangifte niet verwerkt wordt. De overheid kan zonder de certificaten ambtenaren niet betalen. De financiële huishouding van de Rijksoverheid zal een puinhoop worden.
Zonder de certificaten loopt ook de haven vast. Een vrachtwagen die een container met mango’s komt ophalen kan niet verder als de Douane de registratie niet kan verwerken. De Douane gebruikt daarvoor certificaten van DigiNotar. Die container blijft staan en de mango’s rotten weg.
Dat beeld blijft Aart Jochem bij. Rottende mango’s in een container. Mijn god, heel Nederland is afhankelijk van die certificaten uit Beverwijk, denkt hij. Als Microsoft of Google nu besluit om die in te trekken dan kunnen computers in Nederland niet meer met elkaar communiceren. Dan kunnen bedrijven geen aangifte doen, burgers niet meer pinnen, vrachtwagens geen goederen meer lossen. Dan valt alles stil. Dat zou een nationale ramp zijn.
En toch gaat Aart Jochem naar de ouderavond van zijn zoon. Collega Erik de Jong en hij wisselen elkaar af zodat ze af en toe rust krijgen. Als geintje hebben ze afgesproken dat de persoon die rond middernacht nog aan het werk is een haiku maakt voor de ochtendploeg. Het moet voor wat luchtigheid zorgen. Maar op dit moment is die ver te zoeken. Wezenloos zit Aart Jochem tussen de andere ouders.
*
Twee dagen later kijkt Aart Jochem recht in het gefronste gelaat van de minister van Binnenlandse Zaken, Piet Hein Donner. Het is vrijdag 2 september 2011, tien uur ’s avonds. In de toren van het ministerie van Veiligheid en Justitie naast Den Haag CS brandt nog op enkele etages licht. Zojuist is Donner in allerijl opgetrommeld om naar het Nationaal Crisiscentrum te komen. Zijn chauffeur heeft hem afgezet. Buiten is het broeierig warm.
Aart Jochem zit tegenover hem in de ruimte naast de crisisvergaderzaal, waar tientallen ambtenaren zich over persberichten en documenten buigen. Hij moet Donner in tien minuten vertellen wat hij weet. En zo helder mogelijk. De stijve jurist Donner staat niet bekend om zijn kennis over dit deel van zijn portefeuille.
De vondst van de netwerkkabel heeft de zaak in een stroomversnelling gebracht. Er zijn sporen gevonden van een inbreker op de webservers van DigiNotar. Daar draaide software op die een half jaar lang niet was geüpdatet. Vandaar is de inbreker naar het kantoornetwerk gegaan en via werkstation DIGIWS146 kon hij, waarschijnlijk tot zijn eigen verbazing, zo de kluis in. Op 10 juli heeft de inbreker een eerste certificaat weten na te maken. Daarna zouden er nog 530 volgen. En niet van de minste: Amazon, Microsoft, Google, de website van de Britse geheime dienst MI5, de CIA, allerlei Nederlandse organisaties en de Israëlische geheime dienst Mossad. Met de groeten uit Beverwijk.
Heel DigiNotar is geraakt. En de aanvaller heeft ook toegang tot computers die certificaten uitgeven voor de Nederlandse overheid: van het ministerie van Veiligheid en Justitie, de Nederlandse Orde van Advocaten, Renault, de TU Delft. Het internetverkeer van en naar overheidswebsites is niet meer te vertrouwen maar ook communicatie tussen Nederlandse overheidsdiensten niet.
Die gedachte zorgt voor paniek
bij ambtenaren. Voor hen is dit een ongrijpbare crisis. Directeur-generaal Jaap Uijlenbroek van Binnenlandse Zaken en Aart Jochem nemen het initiatief. Zij behoren tot de weinigen die de gevolgen overzien. Na overleg met de landsadvocaat besluit Uijlenbroek op vrijdag de regie over te nemen van GOVCERT. De adviseurs van weleer mogen niets meer.
Voor Erik de Jong is dat een klap. De hele week heeft hij met Microsoft, Google en Mozilla gesproken. De grote Amerikaanse bedrijven verzocht hij nog even te wachten met het intrekken van de certificaten. Permanent was op hij op de hoogte van de verslechterende situatie bij DigiNotar. Maar juist nu, nu duidelijk is welke ramp zich aftekent, mag hij niets meer. De landsadvocaat verbiedt GOVCERT zelfs nog met iemand te praten.
Een laatste keer belt De Jong met Mozilla. Hij zegt dat hij niets meer mag zeggen. En vervolgens met Microsoft. Daar zijn de zorgen het grootst. De geloofwaardigheid van het Amerikaanse bedrijf staat op het spel. Al dagen vragen klanten en gebruikers zich af waarom Microsoft de certificaten van DigiNotar niet intrekt. Het is duidelijk dat het een chaos is bij het Nederlandse bedrijf. De Jong weet dat dit gesprek cruciaal is. In weerwil van het gebod van de landsadvocaat speelt hij open kaart: hij vertelt hoe ernstig de situatie is, wat de Nederlandse overheid wil gaan doen en wat het intrekken van de certificaten zal betekenen. Heel Nederland valt stil. Een totale black-out. Alsjeblieft, vraagt hij, wacht nog even. Een laatste moreel appèl, meer kan hij niet doen.
Om half vier belt Aart Jochem naar Erik Akerboom, de belangrijkste veiligheidsambtenaar van Nederland. FOX-IT heeft in Delft een eerste rapport gepresenteerd over de situatie bij DigiNotar. Alarmerender kon het niet zijn: DigiNotar is zo lek als een mandje.
Akerboom activeert meteen het crisisplan. Voor het eerst wordt het Nationaal Crisiscentrum, opgericht in 2004, actief bij een digitaal noodgeval. Om vijf uur stapt Aart Jochem uit de tram bij de Schedeldoekshaven voor een crisisvergadering bij Binnenlandse Zaken. Daar hoort hij wat het plan is: de Nederlandse overheid zal het beheer van DigiNotar overnemen en de certificaten gaan vervangen zodat er geen systemen uitvallen. In de tussentijd zullen internetgebruikers de waarschuwing krijgen dat websites die beveiligd zijn met certificaten van DigiNotar niet langer te vertrouwen zijn.
Daarna legt Aart Jochem de ambtenaren urenlang uit wat een digitaal certificaat is en waarom het falen van DigiNotar erg is en catastrofaal kan zijn. Directeur-generaal Uijlenbroek belt verschillende keren met Vasco, de eigenaar van DigiNotar. Hij probeert het bedrijf ervan te overtuigen de controle ‘vrijwillig’ uit handen te geven. Gebeurt dat niet en de overheid komt tot stilstand door de puinhoop bij DigiNotar, dan zal de rekening voor Vasco zijn, dreigt hij. Uiteindelijk, rond middernacht, stemmen de Amerikanen in.
Aart Jochem zit tegenover minister Donner en zijn collega-minister Ivo Opstelten. Hij moet hen in tien minuten bijpraten over de werking van certificaten, aansluitend zal Donner een persconferentie geven. Hij denkt na, kijkt Donner aan. Er staan geen huizen in brand, er is geen tunnel ingestort, er zijn geen lijken. Toch moet hij duidelijk krijgen waarom DigiNotar het ingrijpen van de overheid vereist.
Hij begint zijn uitleg aan de twee bewindspersonen met de metafoor van een fysiek paspoort. Wereldwijd, vertelt hij, is afgesproken dat het betrouwbaar is. Er zitten echtheidskenmerken in om vervalsing te voorkomen. Stel je voor, gaat hij verder, dat nu blijkt dat een vertrouwde uitgever van paspoorten door een hack niet van echt te onderscheiden paspoorten uit kan geven, zodat geen enkel paspoort van die uitgever nog te vertrouwen is. Dat is er nu aan de hand. Alleen dan voor systemen en websites: je weet niet meer of je de echte website te pakken hebt. En of een elektronische handtekening onder een document nog echt is. Donner luistert aandachtig.
Een paar uur later, midden in de nacht, kijkt Jochem gespannen toe hoe Donner aan zijn persconferentie begint. Hij leest van papier voor. Dat de overheid het beheer van DigiNotar overneemt omdat niet langer te garanderen is dat cruciale overheidscertificaten veilig zijn. Dan komen de vragen en kan Donner niet terugvallen op het papier. Als NOS-verslaggever Jeroen Wollaars blijft aandringen wat de gevolgen van de hack zijn, maakt Donner een vergelijking. ‘Het is een systeem waardoor je zeker weet dat de brievenbus die je gebruikt op het internet, ook daadwerkelijk de brievenbus is van de instantie die je zoekt.’ En omdat de overheid op dat moment niet in kan staan voor de betrouwbaarheid ervan, adviseert Donner overheidswebsites even niet te gebruiken.
Hij heeft het begrepen, denkt Aart Jochem tevreden. Daarna zakt hij moe weg in een taxi die hem naar Alphen aan den Rijn brengt.
*
Uitgerekend de zestiger Donner, een minister met een ietwat oubollig imago, wordt het gezicht van de eerste digitale crisis. Met succes is door Donner het beeld neergezet dat de overheid DigiNotar overneemt en in control is. Achter de schermen heerst nog steeds paniek: de Nederlandse Staat verzoekt Microsoft officieel om te wachten met het intrekken van DigiNotar-certificaten. Het Amerikaanse bedrijf neemt een uitzonderlijk besluit: Microsoft zal een update uitvoeren maar Nederlandse computers overslaan. Nederland krijgt anderhalve week de tijd om de certificaten te vervangen.
Op het nippertje is een black-out voorkomen. De gevolgen dreunen lang na. DigiNotar heeft de fragiliteit van het wereldwijde netwerk laten zien: als er één zwakke schakel is, is het hele netwerk kwetsbaar. Het maakt niet uit waar die zwakke schakel zich bevindt: in Beverwijk, Beijing of Buenos Aires. Door DigiNotar begrijp ik ineens een stuk meer van de complexiteit van het verkeersnetwerk. Dat het onmogelijk is om overzicht te hebben. Dat de overheid hopeloos achterloopt in kennis en begrip van dit netwerk. En hoe kwetsbaar de gebruikers zijn.
In de jaren daarna bouwen Google, Microsoft en Mozilla extra zekerheden in. Ze maken zichzelf minder afhankelijk van partijen als DigiNotar die namens hen certificaten uitgeven. Google en Microsoft worden daardoor nog machtiger. In Nederland wordt GOVCERT omgevormd tot het Nationaal Cyber Security Center (NCSC). Ook wil de overheid een overzicht hebben van cruciale plekken op het verkeersnetwerk, oftewel een inventarisatie van de vitale infrastructuur.
Het mandaat van het NCSC verandert nauwelijks: de organisatie heeft nog steeds slechts een adviserende functie. Als een scheidsrechter die kan fluiten maar geen gele of rode kaarten heeft. De Onderzoeksraad voor Veiligheid komt een jaar na DigiNotar met een typisch overheidsadvies: bestuurders moeten op cursus. Ze dienen meer te begrijpen van de digitale wereld.
Maar één vraag blijft al die tijd onbeantwoord: wie brak er bij DigiNotar in en waarom? In de jaren erna komen alleen halve antwoorden en mogelijke scenario’s naar buiten. Nooit wordt het hele verhaal verteld.
*
In het netwerk van DigiNotar zit de eerste aanwijzing. Als een internetgebruiker naar een ‘veilige’ website gaat — te zien aan het slotje in de adresbalk — dan gebruikt hij of zij een zogeheten SSL-certificaat. Dat certificaat zorgt ervoor dat de verbinding tussen gebruiker en website veilig is. Inmiddels hebben bijna alle websites zo’n SSL-certificaat maar in 2011 is dat nog voorbehouden aan bedrijven die vooroplopen of waarvoor het écht nodig is, zoals de Belastingdienst, banken en ook Google.
Als een internetgebruiker naar een site gaat met SSL-verbinding, zoals Google, dan checkt de internetbrowser razendsnel bij de uitgever van het certificaat of dat certificaat nog in gebruik is. Een zogeheten OCSP-responder doet dit. Die geeft een signaal terug: het certificaat is oké, teruggetrokken of ongeldig.
Onderzoekers van FOX-IT weten dat er een vals Google-certificaat was. En in de OCSP-responder kunnen ze zien welke internetgebruikers zo’n check hebben gedaan voor dat nagemaakte Google-certificaat. Het blijkt in één maand tijd om 300.000 ip-adressen te gaan. Als de onderzoekers vervolgens ontdekken waar die ip-adressen vandaan komen, schrikken ze: bijna allemaal uit Iran.
Iran heeft in 2011 te kampen met een ongekend aantal demonstraties. De Arabische Lente die door omringende landen trekt, zorgt ook in het islamitische land voor onrust. De machthebbers reageren daarop met extreem geweld, internetcensuur en het blokkeren van westerse diensten als Twitter, Facebook en Gmail — alles in een poging de opstand in de k
iem te smoren. Er vallen tientallen doden.
De Nederlandse onderzoekers zien nu dat iemand een vals Google-certificaat heeft gemaakt en dat 300.000 Iraniërs, die dachten naar Google te gaan, op een vervalste Google-site terechtkwamen. Het betekent dat hun gebruikersnamen, e-mails, locaties en documenten in te zien waren door anderen. Dat onder die 300.000 Iraniërs mensen zijn die kritisch zijn op het regime is hoogstwaarschijnlijk. Ze vertrouwden op veilige communicatie via Gmail maar liepen onmiddellijk gevaar — allemaal door dat extra kabeltje in Beverwijk.
Voor het specialistische en in 2007 opgerichte Team High Tech Crime van de Nederlandse politie is DigiNotar de eerste grote spionagezaak. Kopieën van de computerservers van het bedrijf gaan in politiebusjes naar het hoofdkantoor in Driebergen voor onderzoek.
Uitzoeken wie de dader is, is complex. Het is ook saai; urenlang kijken naar logs: cijfertjes die zijn opgeslagen op een computer en iets vertellen over wie allemaal een verbinding met DigiNotar hebben gemaakt. Daarin is het zoeken naar opmerkelijkheden. In feite is de aanpak niet anders dan bij een fysieke inbraak: ook dan zoeken rechercheurs naar sporen.
De leden van het Team High Tech Crime weten dat de aanvaller is binnengekomen via de website van DigiNotar. Daarop draaide verouderde software. De onderzoekers pluizen de bestanden van de webserver na om sporen van de aanvaller te vinden. Uiteindelijk vinden ze drie verdachte adressen: één uit Iran, één uit Engeland en de derde uit Rusland. En dat is een probleem: in geen van die landen kan Nederland zelf onderzoek doen. Het internet houdt zich dan niet aan landsgrenzen; de politie moet dat wel doen. Opsporingsdiensten mogen niet in buitenlandse datacentra gaan neuzen, het enige wat ze kunnen doen is een rechtshulpverzoek sturen met de vraag om een kopie van de computerserver. Met Iran heeft Nederland geen rechtshulpverdrag, met Engeland en Rusland wel.