Digitale boswachters, het nieuwe knelpuntberoep
06 / 09 / 2011

?Als een particuliere oplossing onvoldoende zekerheid biedt, moeten we in overweging nemen of we voor overheidssites een eigen beveiligingssysteem bouwen? aldus de Nederlandse minister van Binnenlandse Zaken, Piet Hein Donner.

Nederland heeft historisch een grote traditie van uitbesteding van overheidsopdrachten aan priv?bedrijven. Het drukken van geld – guldens ?n euro?s – zit bij de Koninklijke Joh. Ensched?. Fraudegevoelige identiteitspapieren, ook de nieuwe digitale biometrische paspoorten met vingerafdrukken in de chip werden uitbesteed aan het Franse bedrijf Sagem Identification.

Digitaal notariaat
Om digitaal verkeer te beveiligen was de Nederlandse Rijksoverheid in zee gegaan met DigiNotar: ?Internet Trust Provider. D? onafhankelijke partij voor het identificeren van personen en organisaties op internet en veilig digitaal documenten uitwisselen, ondertekenen en bewaren. Expertise in o.a. online identiteiten, veilig documenten uitwisselen, privacy services, elektronisch factureren, mobiele pki, (EV)SSL, pseudonimisatie, digitale kluis, authenticatie, elektronische handtekening?.
Sinds 2011 is DigiNotar onderdeel van VASCO Data Security International Inc dat zichzelf omschrijft als ?een wereldleider?.

Gekraakt
De voorbije week was in Nederland bijzonder hectisch op digitaal vlak. Nadat half juli duidelijk werd dat Iraanse hackers DigiNotar hadden gekraakt, bleek de betrouwbaarheid van ?DigiD? voor overheidswebsites (belastingen, identiteitsbewijzen, gezondheidszorg, enz.) niet langer gegarandeerd. Om digitaal veilig met de Rijksoverheid te communiceren leverde DigiNotar een ssl-certificaat – Secure Sockets Layer – dat zorgt voor de encryptie van bijvoorbeeld creditcard gegevens of persoonlijke informatie. Zo?n certificaat bevat gegevens over de houder, het domein, de naam van de uitgever, het bron certificaat en het land van uitgave en is dus altijd na te trekken, tenzij vervalst.
Half augustus bleek het probleem bij DigiNotar nog steeds niet opgelost en dreigden Mozilla Firefox, Google en Microsoft geen ssl certificaten van DigiNotar meer te accepteren. Hierdoor zouden de Nederlandse overheidsdiensten onbereikbaar worden.

Nepcertificaten
Dit werd alsnog afgewend met veel loven en prijzen, maar eind augustus werd duidelijk dat minstens 200 nepcertificaten door de Iraanse hackers werden afgeleverd en dat de server van DigiNotar zelf volstrekt onveilig was.
?Op belangrijke computers zaten geen virusscanners, software was niet bijgewerkt en wachtwoorden waren gemakkelijk te achterhalen. Een ongelofelijke situatie,? aldus NOS-journalist Jeroen Wollaars, die het rapport kon inzien.
Ook de Nationale Ombudsman Alex Brenninkmeijer was niet te spreken over DigiD en de manier waarop de overheid hierover communiceert. Het ministerie van Binnenlandse Zaken bleef namelijk volhouden dat het systeem niet was gekraakt en dat er maar enkele tientallen gevallen van vermoedelijke fraude bekend zijn.

Failliet van de digitale overheid
?Burgers die slachtoffer zijn van fraude werden niet goed geholpen. De overheid is traag en heeft te weinig oog voor de problemen van de burger. Mensen worden van het kastje naar de muur gestuurd. Omdat zoveel overheidsdiensten gebruik maken van DigiD, is onduidelijk wie verantwoordelijk is. Als de overheid een bank was, zou die failliet zijn, ? aldus Alex Brenninkmeijer.
DigiNotar bleef volhouden dat ze pas zes weken geleden gemerkt hadden dat hun computersystemen gehackt waren. Vorige week deden ze hiervan aangifte. Dan pas erkende het bedrijf dat hun certificaten niet langer betrouwbaar waren. Overheidssites (die andere certificaten krijgen) liepen volgens de digitale sleutelmaker geen gevaar.
De Nederlandse overheid diende het bedrijf Fox-IT in te huren om de zaak te onderzoeken. Fox-IT is een belangrijke internationale handelaar in spyware. Recent scoorde Fox-IT uitstekend in de Arabische wereld waar ze hun know how kwijt konden aan geheime diensten op zoek naar inzicht in het internet-, telefoon- en twitterverkeer van dissidenten.
De bal was echter aan het rollen en vrijdagmiddag volgde na kamervragen een crisisberaad op het hoogste niveau. ?s Nachts werd nog bekendgemaakt dat het vertrouwen in DigiNotar opgezegd werd en het beheer overgenomen werd door het Rijk.

Jager wordt prooi
Er was een tijd – nog niet zo heel lang geleden – dat al dan niet vermeende boeven, dissidenten en BV?s die over de tongen gingen door politie en justitie werden geschaduwd, getapt, gelokt en geflikt. Overheidsdiensten waren balorige onderdanen altijd een stap voor en konden hun privacy lichten in het belang van de staatsveiligheid, openbare orde en wat al niet meer.
Sinds het wereldwijde web zijn de rollen definitief omgekeerd.
Aanvankelijk amuseerden hackers zich als hobbyisten: digitale graffiti spuiters die een virus door computerbestanden smeerden. Vervelend, puberaal en een bron van inkomsten voor virusscanners en softwarebeveiligers.
Intussen zijn de mogelijkheden van en op het web met aangepaste hard- en software dermate gegroeid dat ook hier het creatieve ondernemerschap welig bloeit. Met in het zog niet minder creatieve criminele ondernemers.

Online banking en keyloggers
Wereldwijd verzamelen dit soort hackers virusbesmette computers om hun dynamisch netwerk draaiende te houden waarop zij hun bedrijven en activiteiten de wereld rond laten flitsen.
Online banking biedt ongekende mogelijkheden, zeker voor dit soort boeven. Ze gebruiken ?keyloggers? om alle bewegingen op je computer te registreren, alle websites, paswoorden, aankopen, bankverrichtingen naar hun eigen databanken door te sturen om tot bruikbare gegevens te verwerken.
Wanneer ze gedetecteerd worden verhuizen ze in seconden hun criminele handel over de aardbol om uit de handen van de nationale autoriteiten te blijven.
Intussen is hun digitaal machtsverlangen zo gegroeid dat beveiligingssystemen van gebouwen, elektriciteitscentrales, wapensystemen en certificeringsbedrijven gekraakt worden.

Cyberwar
Cyberspace betekent ook cyberwar. Digitale salvo?s werden reeds uitgewisseld tussen Israel en Iran. Niet alleen de Chinese overheid hackt de eigen internetbevolking en bedrijfsgeheimen van buitenlandse firma?s. De VS volgen nauwlettend het complete financi?le verkeer in de EU. Binnen de EU eist de bewaringsrichtlijn de opslag van het complete digitale dataverkeer van 6 tot 24 maanden. Dit alles uiteraard in de strijd tegen drugs en terrorisme.
Intussen specialiseren criminele hackers zich zorgvuldig verder in datamining en phishing, bij voorkeur vanuit ?failed states? al dan niet in samenwerking met de plaatselijke overheid zoals in de vroegere Sovjetunie.

Knelpuntberoep
Rijksoverheden ?n de burgers die ze moeten beschermen worden nu geschaduwd, getapt, gelokt en geflikt.
Maar ook nu dient zich een lucratieve markt aan voor talentrijke stropers en digitale patsers. Overheden en bedrijven zitten vreselijk verlegen om enthousiaste en creatieve digitale boswachters, een nieuw knelpuntberoep.
Niet alleen in Nederland.