Het opvallendste nieuws volgens Olaf Kolkman

In de Nederlandse context zeg ik bewust 'hinder' omdat de kans dat de frauduleuze certificaten in Nederland zijn gebruikt wat mij betreft bijzonder klein is. Om van een frauduleus certificaat de dupe te worden moet er aan drie voorwaarden worden voldaan.

1. Je browser moet het DigiNotarcertificaat vertrouwen en niet (kunnen) controleren of certificaten geblokkeerd zijn.De hygiënische gebruikers onder ons hebben, of krijgen binnenkort, de software-updates voor hun kiezen die de Diginotarcertificaten verwijderen. Ondersteuning voor geblokkeerde certificaten is een ander verhaal, in OS X moet je dat bijvoorbeeld zelf aanzetten, Google daarvoor maar eens op OCSP.
2. De hacker moet een frauduleus certificaat hebben aangemaakt voor de service die je wilt bereiken.Men weet met zekerheid dat er 344 certificaten zijn vervalst waarvoor de naam van de service bekend is (zie het Fox-IT rapport (PDF)). Daar staan vervalste certificaten van Google, Twitter en Facebook tussen. Wat niet met zekerheid is te zeggen, is wat het totale aantal vervalste certificaten is.
3. De hacker moet het verkeer naar de site omleiden naar een machine onder zijn controle. Daarvoor moet hij controle hebben over de DNS van de gebruiker of controle hebben over de routering van het IP-verkeer. Beide zijn niet onmogelijk.Heb je, bijvoorbeeld als overheid, het monopolie op communicatiediensten dan is het omleiden van verkeer een fluitje van een cent. In het Fox-IT rapport zie je dan ook dat er in Iran heel veel verkeer wordt omgeleid. Elk rood punt in Figuur 1 van het rapport staat voor iemand die beschermd is door de controle op teruggetrokken certificaten (in Nederland ziet u ook nogal wat rode punten staan maar die doen niets af aan mijn stelling over de gemiddelde Nederlandse burger, lees daarvoor het rapport).

De kans dat aan die drie voorwaarden voor een gemiddelde Nederlandse burger wordt voldaan lijkt me geweldig klein. Kleiner dan de kans dat een virus een malware programma heeft geinstalleerd dat je passwords verzamelt.

Het grootste veiligheidsprobleem is, dunkt me, dat er in de komende weken veel gebruikers van Nederlandse diensten een pop-upwindow voor hun kiezen krijgen dat hen, in een onbegrijpelijk soort Nederlands, vraagt of ze wel door willen gaan met het gebruiken van de dienst. Het wegklikken van die pop-ups is iets waar heel veel mensen weer aan gewend gaan raken. Je zult zien, over een paar weken halen we de 1-2-3-kloppen campagne weer van stal om die schade te herstellen. En voor de mensen die de pop-ups wel begrijpen is het hinderlijk dat ze hun werk niet kunnen doen.

Maar goed, dit schandaal brengt ons in ieder geval weer aan het denken over vertrouwen op het internet.

Het bouwen van waterdichte systemen op de schaal van het internet lijkt me bijkans onmogelijk, in de eerste plaats omdat mijn vertrouwen het uwe niet is. In de tweede plaats omdat het internet niet een monolitisch systeem is maar een systeem dat bestaat bij de gratie van de onafhankelijkheid en creativiteit van miljoenen actoren die we allemaal in een zekere mate moeten vertrouwen. Maar toch... we gebruiken dat internet elke dag omdat het profijt dat we er met zijn allen van hebben opweegt tegen de financiële en emotionele gevolgen van het af en toe in ons hemd gezet worden.

Dat wil niet zeggen dat je niet van alles moet doen om het vertrouwen in het systeem te verbeteren.

Er bestaan daarbij geen 'magic bullets' maar ik zet op dit moment in op "DNS-based Authentication of Named Entities" (DANE, zie http://tools.ietf.org/html/draft-ietf-dane-use-cases). Die oplossing voorkomt dat het voldoende is dat een aangeboden certifcaat door één van de pak 'm beet 200 van mijn browsers beste vrienden wordt goedbevonden. De eigenaar van de website waar je naartoe surft kan namelijk aangeven welke van die 200 vrienden ook zijn vriend is. De systemen waarin die relaties worden onderhouden zijn onafhankelijk van elkaar en daardoor wordt fraude behoorlijk veel moeilijker, zeker als er voor de certificatenkant van de zaak van zogenaamde Extended Validation gebruik wordt gemaakt. Omdat voor het gebruik van DANEtechnologie DNSSEC een randvoorwaarde is waar slechts deels aan is voldaan en omdat DANE zelf ook nog wat werk nodig heeft zullen we een oplossing op korte termijn (1 of 2 jaar) niet hoeven te verwachten.

Tot die tijd, en lang daarna, is het leven op het internet net zoals het leven in stad, dorp en buitengebied: er zijn boeven op ons geld uit. Dat is geen reden om achter de geraniums te blijven zitten.