‘Windows-gebruikers liepen geen gevaar na DigiNotar-lek’ - PvdA: stel stilhouden inbraak strafbaar

Sites die gebruik maken van versleuteling door middel van een Diginotar-certificaat zullen, net als in de andere grote browsers als Chrome en Internet Explorer, na een volgende update een waarschuwing krijgen bij gebruik in Firefox.

Volgens Microsoft liepen gebruikers van Windows geen gevaar met het gebruik van microsoft.com en windowsupdate.com. Het bedrijf geeft wel toe dat de twee domeinen versleuteld werden met gehackte DigiNotar-certificaten. Dit meldt de softwaregigant op de eigen website.

Microsoft zegt op meerdere manieren de veiligheid te controleren bij het uitgeven van een Windows Update, waardoor gebruikers geen gevaar hebben gelopen. Het domein windowsupdate is inmiddels niet meer in gebruik. Evenzogoed onderzoekt het bedrijf nog wat de gevolgen zijn van het gebruik van de gehackte certificaten van het Beverwijkse bedrijf DigiNotar voor microsoft.com.

Vorige week bleek dat certificaten van DigiNotar, bedoeld om gegevens te versleutelen en zo te beveiligen, in juli werden vervalst. Iraanse hackers zetten ze vervolgens in om Iraans Gmail-verkeer af te tappen. Door honderden certificaten van DigiNotar te vervalsen kon het internetverkeer van Iraniërs worden ingezien. Naast de domeinen van Microsoft zijn meerdere websites van de Nederlandse overheid onbetrouwbaar. Hoe en waarom de certificaten precies zijn vervalst, en door wie, is nog niet duidelijk.

Het kantoor van DigiNotar in Beverwijk. Foto NRC / Ruud BoonHet kantoor van DigiNotar in Beverwijk. Foto NRC / Ruud Boon

PvdA wil dat stilhouden van digitale inbraak strafbaar wordt

DigiNotar hield de hack twee maanden lang stil, tot Google aan de bel trok. Een Iraanse Gmailgebruiker kreeg een waarschuwingsmelding waarin stond dat gebruik was gemaakt van een beveiligingscertificaat van DigiNotar. Google’s browser Chrome sloeg automatisch alarm, want Google doet helemaal geen zaken met DigiNotar.

Tweede Kamerlid Martijn van Dam (PvdA) wil nu, zo meldt Webwereld.nl, dat dergelijk stilhouden van digitale inbraken strafbaar wordt gesteld. Van Dam noemt het “schandelijk” dat DigiNotar de hack van beveiligingscertificaten zo lang stilhield.

Van Dam wil een vervolg op het komende onderzoeksrapport van beveiligingsbedrijf Fox-It, dat naar alle waarschijnlijkheid vandaag nog wordt gepubliceerd. De PvdA’er zegt bovendien dat er gedacht moet worden aan “strafrechtelijke vervolging van personen in bepaalde omstandigheden.” Dat gaat verder dan de motie uit 2005, waarin Van Dam en SP-Kamerlid Arda Gerkens bedrijven wilden verplichten tot melding van inbraken in computersystemen. De Kamerleden dachten toen aan bestuursrechterlijke sancties als boetes, maar de motie haalde de Tweede Kamer niet. Minister Donner vond toen dat de branche wel tot zelfregulering in staat zou zijn. maar de zaak rond DigiNotar is volgens Van Dam reden genoeg om opnieuw te pleiten voor verplichting tot openbaarmaking.

In nrc.next zei TU-Delft-hoogleraar Michel van Eeten vanmorgen, gespecialiseerd in internetcriminaliteit, dat DigiNotar voor het verzwijgen van het lek voor de rechter kan worden gedaagd.

Afgelopen weekend uitte Kamerlid Pierre Heijnen, partijgenoot van Van Dam, al kritiek op de werkwijze bij het ministerie van Binnenlandse Zaken in de kwestie. Heijnen vindt dat de afhankelijkheid van de overheid bij het bedrijfsleven bij webbeveiliging veel te groot is. Heijnen dringt aan op de komst van een aparte bewindsman die zich exclusief met ICT-zaken bezighoudt.

Vertrouwen van burger in overheid wankelt

Na de kritiek vanuit verschillende oppositiepartijen rijst de vraag: is de overheid wel in control als het gaat om de betrouwbaarheid en veiligheid van haar belangrijkste communicatiekanaal met de burger? Die vraag is te destilleren uit de politieke en maatschappelijke kritiek die volgen na het uitkomen van het DigiNotar-lek, zo schrijven NRC-redacteuren Annemarie Kas en Kees Versteegh vandaag in NRC Handelsblad. Minister Donner voerde die vraag impliciet zelf afgelopen vrijdagnacht al op, bij zijn ongebruikelijke, nachtelijke persconferentie over de zaak.

Donner zei daar dat de overheid het vertrouwen opzegde in de certificaten van DigiNotar, en dat burgers de getroffen websites beter niet kunnen gebruiken, tot het ministerie is overgeschakeld op nieuwe certificaten van andere aanbieders.

Eerder was het Donner al duidelijk dat DigiNotar te lang had gewacht met het naar buiten brengen van de inbraak, half juli. Daarna bagatelliseerde het bedrijf uit Beverwijk ook nog eens de gevolgen van die inbraak, waardoor de dienst die over de veiligheid van overheidswebsites gaat (Govcert) vorige week nog een geruststellend persbericht uitbracht.

Donner noemde de zaak ‘een incident’, en niet het topje van de ijsberg. Het gaat volgens hem om een “eenmalige inbraak” bij DigiNotar, waarvan de gevolgen de afgelopen dagen in kaart zijn gebracht. Binnenkort zullen ook andere bedrijven die beveiligingscertificaten aan de overheid leveren (voor zover bekend vier á vijf) onder de loep worden genomen, zei de minister.

Lees het hele artikel over het politieke debat rond online-veiligheid in NRC Handelsblad of in de digitale editie.