2min

De problemen voor DigiNotar zijn waarschijnlijk nog groter dan verwacht. Vorige week berichtte Techzine al uitgebreid over DigiNotar, een Amerikaans bedrijf dat in Nederland gevestigd is. Naar verluid zouden er 247 nepcertificaten in omloop zijn, maar het blijken er nog veel meer te zijn. Ook het certificaat van Windows Update blijkt te zijn vervalst.

Afgelopen juli wisten hackers in te breken in de Certificate Authority (CA) infrastructuur van DigiNotar. Hierdoor waren zij in staat honderden valse beveiligingscertificaten uit te geven. De Iraanse overheid maakte gebruik van zo’n nepcertificaat om alle e-mailberichten van haar inwoners te monitoren. Naast Google bleken eveneens nepcertificaten voor Yahoo, Facebook, Mozilla en het het Tor-netwerk in omloop te zijn.

Nu blijken er ook nepcerticiaten voor Microsoft te zijn uitgegeven. Het gaat daarbij om certificaten voor de website van Microsoft, Windows Live en Windows Update. Dat betekent slecht nieuws voor iedere computergebruiker met het besturingssysteem van Microsoft. "Op het moment dat je die certificaten kunt misbruiken dan staat de weg open om kwaadaardige software te installeren op bijvoorbeeld patch Tuesday", zegt beveiligingsexpert Hans van de Looy van Madison Gurkha. "Het wordt een stuk makkelijker om miljoenen PC’s te besmetten met software. Omdat het van Microsoft zelf af lijkt te komen hoef je geen gebruik te maken van kwetsbaarheden in standaard programmatuur."

Het is dus mogelijk dat je malware en andere kwaadaardige software installeert als je een Windows update installeert. Maar zover is het gelukkig nog inet. Meerdere bronnen melden tegenover NU.nl dat er momenteel geen aanwijzingen zijn dat hackers misbruik maken van deze mogelijkheid, wat betekent dat er nog geen nepsoftware of malware in omloop is.

De lijst van nepcertificaten dat is uitgegeven door DigiNotar is inmiddels stevig opgelopen. Vorige week waren dat er nog ‘slechts’ 247, inmiddels staat de teller op 531 valse certificaten.

Marietje Schaake, Europarlementariër voor D66 die zich inzet voor internetvrijheid, wil dat de Europese Commissie actie onderneemt. "De overheid heeft de verantwoordelijkheid om ervoor te zorgen dat kritieke infrastructuur zoals het internet veilig en vertrouwd kan worden gebruikt. Die verantwoordelijkheid geldt in Nederland, in Europa, maar ook zeker in de rest van de wereld", vertelt Schaake.

De Nederlandse overheid kondigde afgelopen weekend tijdens een persconferentie aan niet langer vertrouwen te hebben in de beveiligingscertificaten van DigiNotar. Ondanks dat de hack op een andere certificate authority werd uitgevoerd dan waar de Nederlandse overheid gebruik van maakt, zet ze wel vraagtekens bij de beveiliging van DigiNotar.

Opvallend is dat DigiNotar niet onmiddellijk aangifte deed van inbraak. Pas vorige week nam het beveiligingsbedrijf contact op met het Openbaar Ministerie (OM), dat daarop een onderzoek instelde. Volgens NU.nl doet DigiNotar vandaag alsnog aangifte.