Het is wachten op een grote hackaanval

05-03-2019

Internet is onveilig. Certificeringsprotocollen bestaan op basis van 'vertrouwen', maar zouden op waarheid moeten worden gecontroleerd. Anders liggen hacks zoals bij Diginotar nog steeds op de loer. Of erger. De Nederlandse cybersecurity-wetenschapper Volkan Kaya heeft een oplossing. Hij wil de pki-infrastructuur veranderen. 'De x.509-standaard is zwak.' 

Volkan Kaya is eigenlijk staatsgevaarlijk: de cybersecurity-expert kent de zwaktes van internet. Vooral in certificering liggen grote veiligheidsproblemen. Kaya, decennia werkzaam in de bancaire wereld en onlangs afgestudeerd op de Cyber Security Academy (een samenwerking tussen Universiteit Leiden en de TU Delft), kan gemakkelijk hele stukken van internet platleggen. De oorzaak: een slechte pki, wat staat voor public key infrastructure. 'De pki is een ecosysteem dat de identiteit van een gebruiker verifieert. Binnen encryptie heb je zo'n 'sleutel' nodig, zodat de computers die met elkaar praten, elkaar vertrouwen. En daar ligt het probleem: kun je internet laten draaien op vertrouwen?'

Het antwoord daarop is al jaren duidelijk: nee.

In Nederland kwam de kwetsbaarheid pijnlijk aan het licht door de Diginotar-affaire. De hack bij Diginotar in de zomer van 2011 was een uitgave van valse ssl-certificaten voor websites wereldwijd, veroorzaakt door een man-in-the-middle-aanval bij het Nederlandse bedrijf Diginotar. Meer dan vijfhonderd valse certificaten werden verspreid, met voornamelijk Iraanse internetgebruikers als doel. Nederlandse overheidswebsites, die gebruikmaakten van certificaten van Diginotar, en overige websites wereldwijd werden tijdelijk als onveilig verklaard. Met de valse certificaten kon een versleuteld berichtwisseling onderschept worden tussen de bezoeker van een website en de server van de website. Bezoekers van de website hebben geen middelen om dit soort aanvallen te herkennen. Uitgewisselde berichten kunnen makkelijk ontsleuteld worden en de informatie komt beschikbaar voor de aanvaller. Valse certificaten zijn door de hacker gemaakt voor bekende sociale netwerkdiensten als Gmail, Twitter, Facebook en de geheime diensten CIA, MI6 en Mossad. Door de hack is het vertrouwen in alle door Diginotar uitgegeven digitale certificaten ingetrokken en kwamen ook andere diensten, zoals DigiD en de RDW in de problemen. De hack werd online opgeëist door een 21-jarige Iraanse man, die handelde uit sympathie voor Iran en kritiek leverde op Nederland. Als gevolg van de hack werd internetgebruikers geadviseerd enkele dagen geen gebruik te maken van online-overheidsdiensten. 

'Het is dus al gebeurd, het gebeurt nu en als we het niet aanpassen gebeurt het ook in de toekomst', waarschuwt Kaya. Dagelijks gebruiken we de pki. Zo zijn betalingssystemen afhankelijk van identificatie van de terminals. En de digitale overheden kunnen niet zonder pki. 'Als een gebouw een slechte fundering heeft, kun je het gebouw niet versterken met een verflaag. We moeten de pki voor internet opnieuw bouwen met onze kennis van nu.'

Meer informatie