'Iraanse regering tapte Gmail af'

AMSTERDAM – De Iraanse regering zou het verkeer van Gmail hebben afgetapt door tussen de maildienst van Google en de gebruiker te gaan zitten.

Om dit te bereiken werd de Nederlandse leverancier van waarmerken Diginotar misbruikt.

Iedereen die internet in Iran gebruikt, werd door de regering omgeleid naar een andere locatie. Dat fungeerde als ‘man in the middle’, een tussenstation, waar het verkeer van en naar Gmail langs kwam.

Hierdoor werd de Iraanse regering in staat gesteld om al het verkeer af te tappen.

Nederlandse beveiliging

Gmail werkt via versleutelde verbindingen, waarbij ook de echtheid wordt gecontroleerd. Dit gaat aan de hand van certificaten, waarbij autoriteiten de echtheid verifiëren. Webbrowsers controleren dit zonder dat de gebruiker dit doorgaans merkt.

Bij de omweg in Iran werd verwezen naar het Nederlandse Diginotar. Dit bedrijf waarmerkt certificaten op internet. In dit geval gaven zij ogenschijnlijk een certificaat uit dat maandagavond op internet is onthuld als onjuist en dat bij de aanval werd gebruikt.

Uit technische informatie blijkt dat het certificaat inmiddels door Diginotar is ingetrokken. Hierdoor is het misbruik van de waarmerking niet meer mogelijk en zullen webbrowsers in Iran de Google site niet langer als de correcte aanwijzen.

Chrome

De Chrome-browser is ongevoelig voor aanvallen als deze, omdat Chrome afdwingt de echtheid van het certificaat bij Google te controleren. Microsoft Internet Explorer, Apple’s SAFAri en Mozilla’ Firefox doen dat niet en waren daardoor wel gevoelig voor de aanval. Buiten Iran was overigens niets te merken van de aanval.

Op een forum van Google wordt volop gediscussieerd over het probleem. Een woordvoerder van Diginotar reageerde nog niet op een verzoek om commentaar.

DigiD

Het bedrijf Diginotar is weliswaar in Nederland gevestigd, maar in handen van het Amerikaanse Vasco. Het speelt een centrale rol bij veel overheidscertificaten. Niet alleen voor de elektronische communicatie met de Belastingdienst, maar zij waarmerken ook het certificaat voor DigiD. Dit certificaat wordt door alle gebruikers van die dienst benut.

In een reactie zegt Frank Wassenaar van het Ministerie van Binnenlandse Zaken zich geen zorgen te maken over de gevolgen voor DigiD. "Wij hebben geen enkele twijfel aan de beveiliging van DigiD naar aanleiding van dit nieuws", zegt hij tegenover NU.nl.

Gescheiden traject

Hij benadrukt dat certificaten voor de Staat der Nederlanden via een gescheiden traject los van de andere certificaten worden gemaakt. "De hoofdsleutel ligt dan ook bij DigiD in de kluis en niet bij Diginotar."

Wassenaar erkent nog niet op de hoogte te zijn wat er precies is misgegaan bij Diginotar, maar verwacht dat de onderneming het ministerie snel op de hoogte brengt.

Lees meer over:
Tip de redactie