AMSTERDAM – Door een hack bij Diginotar zijn overheidwebsites mogelijk onveilig geweest. Twee experts leggen uit hoe het precies zit en waarschuwen: "Controleer de recente communicatie met de overheid."

Diginotar en vergelijkbare bedrijven geven certificaten uit waarmee de betrouwbaarheid van websites gegarandeerd moet worden. Na een hack werden valse certificaten uitgegeven waardoor privacygevoelige informatie afgetapt kan zijn.

De Nederlandse overheid maakte ook gebruikt van Diginotarcertificaten en is inmiddels overgestapt op andere certificaten of doet dit in de nabije toekomst. Het OM en OPTA doen onderzoek naar de zaak.

Ot van Daalen, directeur van digitale burgerrechtenbeweging Bits of Freedom (BoF) en ICT- en internetexpert Danny Mekic leggen tegenover NU.nl uit wat de hack nu precies in houdt, wat de functie van certificaten is en wat de gevolgen zijn.

Wat doen bedrijven als Diginotar?

Van Daalen: “Deze bedrijven geven een soort websitegarantie: een certificaat waarmee een website kan aantonen dat deze echt is en afkomstig is van een betrouwbare partij. De afkomst wordt gegarandeerd.”

Hoe garandeert een certificaat de veiligheid van een website?

Mekic: “Een certificaat garandeert niet de veiligheid, maar dat de pagina die in de browser weergegeven wordt de échte website is en dat deze pagina gecontroleerd afkomstig is van het bedrijf dat op het certificaat genoemd wordt. Browsers kunnen dan aangeven dat de website veilig is.”

“Zo weet je dat de digitale belastingaangifte daadwerkelijk naar de Belastingdienst gaat en de informatie niet bij een onbekende en potentieel onbetrouwbare partij terecht komt.”

Van Daalen: “Het systeem werkt zo dat bedrijven als Diginotar alleen certificaten mogen afgeven aan de eigenaars van een website. Dus alleen Google mag certificaten krijgen voor Google.com en niemand anders.”

Hoe kunnen er dan toch valse certificaten uitgegeven worden?

Van Daalen: “Er is bij Diginotar ingebroken en de inbrekers hebben zichzelf allemaal certificaten gegeven die voor andermans websites waren, zoals voor Google en Skype. De inbreker kan vervolgens jouw internetverkeer onderscheppen en met het certificaat van Google je een andere website voorschotelen en het verkeer daarop afluisteren.”

“Het doorsturen naar een andere website is mogelijk op een open wifi-netwerk in bijvoorbeeld cafés of in Iran waar de regering toegang heeft tot al het internetverkeer.”

Mekic: “De valse website kan eruit zien als de echte website en vervolgens kan de hacker inlognamen, wachtwoorden en andere vertrouwelijke gegevens buitmaken terwijl de browser blijft bevestigen dat er sprake is van een beveiligde verbinding.”

Had dit voorkomen kunnen worden en hoe?

Van Daalen: “Diginotar had de basale beveiliging niet op orde, waardoor de inbrekers ongestoord hun werk konden doen. Bovendien heeft het bedrijf de inbraak geheim gehouden waardoor alle valse certificaten wekenlang gebruikt zijn zonder dat iemand het wist. Dat had sowieso niet mogen gebeuren.”

“Het fundamentele probleem is echter dat er honderden bedrijven zijn die op basis van vertrouwen dit soort certificaten mogen uitgeven. Het is naïef te denken dat die allemaal voldoende beveiligd zijn.”

Wat zijn de gevolgen voor Diginotar?

Mekic: “Het is duidelijk dat het bedrijf steken heeft laten vallen en waarschijnlijk - maar alleen een rechter kan daarover oordelen - dat het wanprestaties heeft gepleegd jegens haar klanten. Naast het financiële verlies dat hier uit voort kan vloeien door schadeclaims, is het waarschijnlijk dat een aantal klantrelaties afscheid wenst te nemen van het bedrijf.”

Waarom werkt bijvoorbeeld de overheid met certificaten als dit niet 100 procent veilig is?

Mekic: “Het probleem is dat een goed alternatief voor deze wijze van beveiliging van internetcommunicatie niet voor handen is. Te verwachten valt dat het onderzoek hiernaar in de toekomst een snellere vaart zal nemen.”

Moeten mensen in Nederland zich zorgen maken?

Van Daalen: “Er is hard bewijs dat mensen in Iran weken zijn afgetapt. Wij moeten ons sowieso zorgen maken over hun lot. Voor Nederlanders is er een theoretische mogelijkheid dat het internetverkeer op overheidssites zoals DigiD is afgeluisterd of gemanipuleerd.”

“Inmiddels stapt de overheid over op andere certificaten. Het is verstandig om, als je de afgelopen weken vertrouwelijke gegevens naar de overheid hebt gestuurd, dit te controleren. Bijvoorbeeld goed in de gaten houden of je een correcte belastingaanslag hebt gekregen als je belastingaangifte hebt gedaan. Maar dat is sowieso verstandig.”

Lees alles over Diginotar in het nieuwsdossier