CIA, Mossad, providers doelwit hack
Door verslaggever Jeroen Wollaars met medewerking van Nieuwsuur-redacteur Roozbeh Kaboly
Onder de websites die na de hack bij het Nederlandse bedrijf Diginotar waarschijnlijk zijn afgeluisterd door Iraanse hackers, bevinden zich alle grote aanbieders van e-maildiensten en sociale netwerken. Ook geheime diensten en Iraanse oppositiesites staan op de lijst van vijftig domeinen die in het bezit is van de NOS. De lijst lijkt ook een boodschap van de hackers te bevatten.
Vorige week werd bekend dat in elk geval de e-maildienst GMail van Google was getroffen door de hack en mogelijk wekenlang is afgeluisterd. Naar nu blijkt zijn ook valse certificaten uitgegeven voor Yahoo, Hotmail, Microsoft Messenger, Twitter, Facebook en Skype.
Dissidenten
Vooral Yahoo en Gmail worden veel door Iraanse dissidenten gebruikt om via internet te communiceren. Op de lijst komt verder de site balatarin.com voor. Dat is een veelbezochte site en nieuwsbron voor Iraniërs in en buiten Iran. Daarop delen Iraniërs die tegen het regime zijn interessante websites met elkaar.
Geheime diensten
Opvallend is verder dat ook voor websites van een aantal internationale geheime diensten valse certificaten zijn gemaakt. Het gaat onder meer om de Israëlische Mossad, de Amerikaanse CIA en MI6 in het Verenigd Koninkrijk. Ook de Iraanse versie van de website van het ministerie van Buitenlandse Zaken van Israel staat op de lijst.
Iraanse internetbezoekers zouden via die vervalste certificaten kunnen worden omgeleid naar nepversies van die sites en gevoelige informatie zou zo bij de Iraanse overheid terecht kunnen komen. Al is de kans niet heel groot dat geheime diensten openbare websites voor gevoelige operaties gebruiken.
Aangepaste software
Daarnaast maakten de hackers certificaten aan voor de software-update-functie van Microsoft, wat er op wijst dat ze mogelijk ook aangepaste programmatuur verspreid hebben om afluisteren nog makkelijker te maken.
Boodschap van de hackers
Opvallend is verder dat het lijkt alsof de hackers een afzender hebben achtergelaten. Er staan drie domeinen op de lijst in het Perzisch, de Iraanse taal: JanamFadayeRahbar.com, RamzShekaneBozorg.com en SahebeDonyayeDigital.com
Janam Fadaye Rahbar verwijst naar een gevleugelde uitspraak van de Revolutionaire Garde van Iran die de Islamitische Staat moet beschermen. Het is gebruikelijk dat die term wordt achtergelaten wanneer zij websites hacken. Het betekent 'ik offer mezelf op voor de Grote Leider'. De term dook ook op bij een vergelijkbare hack bij het certificatenbedrijf Comodo eerder dit jaar.
Ramz Shekane Bozorg betekent 'De Grote Codekraker' en Sahebe Donyaye Digital betekent 'De Eigenaar van de Digitale Wereld'. De berichten wekken de indruk dat de Revolutionaire Garde van Iran achter de kraak zit, maar zeker is dat niet. De laatste twee termen worden niet gebruikt door de Iraanse overheid en doen wat minder professioneel aan.
Complete lijst
CN=*.10million.org CN=*.JanamFadayeRahbar.com CN=*.RamzShekaneBozorg.com CN=*.SahebeDonyayeDigital.com CN=*.android.com CN=*.aol.com CN=*.azadegi.com CN=*.balatarin.com CN=*.comodo.com CN=*.digicert.com CN=*.globalsign.com CN=*.google.com CN=*.microsoft.com CN=*.mossad.gov.il CN=*.mozilla.org CN=*.skype.com CN=*.startssl.com CN=*.thawte.com CN=*.torproject.org CN=*.walla.co.il CN=*.windowsupdate.com CN=*.wordpress.com CN=Comodo Root CA CN=CyberTrust Root CA CN=DigiCert Root CA CN=Equifax Root CA CN=GlobalSign Root CA CN=Thawte Root CA CN=VeriSign Root CA CN=addons.mozilla.org CN=azadegi.com CN=friends.walla.co.il CN=login.live.com CN=login.yahoo.com CN=my.screenname.aol.com CN=secure.logmein.com CN=twitter.com CN=wordpress.com CN=www.10million.org CN=www.Equifax.com CN=www.balatarin.com CN=www.cia.gov CN=www.cybertrust.com CN=www.facebook.com CN=www.globalsign.com CN=www.google.com CN=www.hamdami.com CN=www.mossad.gov.il CN=www.sis.gov.uk CN=www.update.microsoft.com