Overheidsites gedupeerd na aftappen Gmail

AMSTERDAM – Het tappen van Gmail door de Iraanse overheid via een Nederlands bedrijf blijkt een hack met verstrekkende gevolgen voor Nederlandse domeinen. Inmiddels is een eerste onderzoek afgerond en zit ook de AIVD op de zaak.

Maandagavond werd bekend dat het de Iraanse regering gelukt is om een computer tussen Iraanse bezoekers van Gmail en de webmail dienst te plaatsen. Hierdoor was het mogelijk al het verkeer af te tappen.

Om de beveiliging van webbrowsers te omzeilen werd gebruikgemaakt van het in Nederland gevestigde bedrijf Diginotar dat websites kan waarmerken als authentiek. Hierdoor werden gebruikers doorgestuurd naar een andere website en konden bijvoorbeeld inloggegevens achterhaald worden.

Inmiddels is duidelijk dat er in ieder geval een hack heeft plaatsgevonden bij Diginotar, waarbij de indruk wordt gewekt dat het om Iraanse hackers gaat. Het probleem speelt al jaren.

Wantrouwen

Als gevolg van het incident hebben de makers van webbrowers Microsoft, Google en Mozilla besloten certificaten van Diginotar niet meer te vertrouwen en zullen deze ook na een updates van de browsers niet meer als echt accepteren.

Hierdoor zullen gebruikers foutmeldingen krijgen als ze naar beveiligde sites gaan, die door het bedrijf worden gewaarmerkt. Het mechanisme van drie keer kloppen, zoals dat door het bankwezen is geïntroduceerd om beveiliging goed te krijgen, klopt niet meer.

Diginotar geeft certificaten uit voor veel Nederlandse websites, waaronder ook DigiD, overheidssites via PKI Overheid, de Belastingdienst, de Rijksdienst voor het Wegverkeer en veel Nederlandse websites. Zij zijn gedupeerd door het incident. Ooit wees de Nederlandse overheid het bedrijf aan als de veilige partij om te gebruiken.

Onderzoek

Inmiddels heeft Govcert, dat de overheid van beveiligingsadviezen voorziet, een eerste onderzoek afgerond. Daaruit is niet gebleken dat de beveiligingscertificaten van de Nederlandse overheid zijn getroffen.

“We hebben geen reden om te geloven dat certificaten van PKI Overheid ook zijn betrokken”, meldt Jean Fransman van het Ministerie van Veiligheid en Justitie aan NU.nl. “Gebleken is dat de fraude betrekking heeft voor certificaten die niet voor de overheid, maar voor bedrijven zijn uitgegeven.”

Probleem

Wel erkent het ministerie dat er nu een probleem speelt, omdat sommige webbrowsers ook overheidssites niet meer vertrouwen. “We zoeken naar een oplossing voor die problemen”, zegt Fransman. Hij stelt ook dat er waakzaamheid noodzakelijk blijft. “Mochten er wel dingen blijken te zijn misgegaan met overheidscertificaten dan ondernemen we meteen actie.”

Desgevraagd bevestigt ook de AIVD bezig te zijn met de zaak. Een zegsvrouw vertelt NU.nl dat daarbij alleen wordt gekeken naar de overheidscertificaten. De dienst is verantwoordelijk voor zaken die de nationale veiligheid raken.

Onderzoek

Voor de D66-fractie in de Tweede Kamer is de affaire aanleiding om een onderzoek te vragen. “Wij vinden dit zeer zorgelijk en willen het naadje van de kous weten. De privacybeveiliging van belangrijke, digitale overheidsdiensten als Digi-D moet waterdicht zijn”, zegt parlementariër Kees Verhoeven tegenover NU.nl. Hij komt later vandaag met Kamervragen.

“Er is nu alle reden tot gerede twijfel, laat het ministerie in een onderzoek maar aantonen dat onze twijfel niet terecht is.”

Ook GroenLinks roept in de Tweede Kamer én in het Europarlement om onderzoek naar de situatie. Kamerlid Arjan El Fassed: “Beveiligde verbindingen op internet zijn waardeloos als overheden ze kunnen misbruiken voor spionage. Ik wil dat de minister deze zaak uitzoekt en Iran hierop aanspreek."

Lees meer over:
Tip de redactie