Hoe kwetsbaar zijn we online?

Het internet heeft ons kwetsbaar gemaakt. Mal- en ransomware, hackers, cyberspionnen en zwarte markten bedreigen de online én fysieke wereld. Parallel daaraan groeit de cybersecurity-industrie, waar overheid en bedrijfsleven een vruchtbare kruisbestuiving aangaan. FTM verkent dit nieuwe speelveld. Wat zijn de spelregels? Waar liggen de grenzen? Wie bedreigen ons? Wie beschermen ons? En wat verdienen ze eraan?

24 Artikelen
7 augustus 2018 · clock 4 MIN

Techgiganten delen plots hun data
Column · 16 mei 2018 · clock 3 MIN

Wie stopt de algoritmes?
Podcast · 26 april 2018 · clock 40 MIN

FTM Audio - Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding
Opinie · 23 april 2018 · clock 8 MIN

Wat het betekent als jouw bank straks je gegevens moet delen
21 april 2018 · clock 10 MIN

Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding
Column · 17 april 2018 · clock 3 MIN

Waarom ‘Bye bye Facebook’ niet genoeg is
17 maart 2018 · clock 9 MIN

Hoe de digitale halsband van Magister de privacy van schoolkinderen nekt
15 maart 2018 · clock 6 MIN

Het 'onafhankelijk' onderzoek over de Haagse veiligheidslobby rammelt aan alle kanten
24 februari 2018 · clock 7 MIN

‘Jonge internetondernemers’ spelen met vuur en grootschalige fraude
25 januari 2018 · clock 12 MIN

Een spelletje Monopoly met onze privacy
Bekijk dossier
·clock 4 MIN

Mailen uit naam van Mark Rutte? Geen probleem

Dieuwertje Kuijpers
4 Connecties

Onderwerpen

e-mail phishing SPF

Organisaties

Tweede Kamer
30 Bijdragen

De e-mailbeveiliging op het Binnenhof is lek. Door het verkeerd instellen van een server kan eenieder zich probleemloos voordoen als een Nederlands politicus. Hoewel het lek al minstens een jaar bekend is en binnen enkele minuten valt te dichten, is dit nog altijd niet gebeurd. Follow the Money wist uit naam van onder andere Halbe Zijlstra, Geert Wilders en Alexander Pechtold diverse mails rond te sturen in politiek Den Haag.

Vrijwel iedere internetgebruiker is er mee bekend: je ontvangt een mailtje van een bekende, waarin zij of hij Viagra-pillen aan je probeert te slijten. Of je wordt in brak Engels uitgenodigd om op een link te klikken. Dit fenomeen staat bekend als e-mail spoofing. De techniek, die het doet lijken alsof een mail is verzonden door een ander adres, wordt gretig toegepast door cybercriminelen om spamfilters te omzeilen.

Doordat de beveiliging van e-mailservers steeds beter wordt, kan dit trucje gelukkig eenvoudig worden tegengegaan. Een goed ingestelde server kan controleren of de afzender in de kop ook wel de daadwerkelijke afzender is, en of deze afzender ook echt de bevoegdheid heeft om bijvoorbeeld een mailtje afkomstig van het e-maildomein ‘@tweedekamer.nl’ te versturen.

Niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor

Dit gaat echter niet vanzelf: het betreffende e-maildomein moet wel goed ingesteld zijn. Er hoeft maar één onderdeeltje te ontbreken, en de controle op inkomende mail zal niet werken.

Uit een steekproef die Binnenlands Bestuur vorig jaar ondernam, bleek dit laatste bij veel Nederlandse gemeenten niet het geval: van de 50 geteste gemeenten waren er slechts drie — Den Haag, Den Bosch en Woerden — die alles goed hadden ingesteld. Bij de andere 47 konden oplichters zich dus relatief eenvoudig voordoen als gemeenteambtenaren.

Ook bij de Tweede Kamer

Maar niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor. Ook de mailservers van de Tweede Kamer zijn onvoldoende beveiligd. Follow the Money nam de proef op de som en stelde diverse mails op uit naam van bekende politici. Deze werden vervolgens in samenwerking met hacker Maarten Boone, die ons wees op dit veiligheidslek, rondgestuurd.


Bewerking van beeld via Networking4All (https://blog.networking4all.com/)

‘Het grootste probleem bij de Tweede Kamer is het ontbreken van Sender Policy Framework,’ vertelt Boone. ‘Dit is een beveiligingsextensie voor e-maildomeinen. Het werkt door middel van een lijst met e-mailservers die gemachtigd zijn om namens dat domein, in dit geval @tweedekamer.nl, mails te versturen. Omdat deze lijst er niet is, kunnen wij nu vanaf elke e-mailserver, waar ook ter wereld, mails versturen die afkomstig lijken te zijn van @tweedekamer.nl.’

Is dit een probleem waar wij wakker van moeten liggen? Zeker weten, zegt Boone: ‘Als jij een kamerlid bent en Mark Rutte stuurt jou een mailtje met een linkje erin, waarom zou je er dan niet op klikken? Het komt van de minister-president.’

Los van criminelen die hier gebruik van kunnen maken, wijst Boone ook op het politieke aspect: ‘Dit zou ook door buitenlandse inlichtingendiensten misbruikt kunnen worden om kamerleden, in goed vertrouwen over de afkomst van het mailtje, op malafide linkjes te laten klikken. Zo kan de dienst zich toegang te verschaffen tot politiek interessante personen om te bespioneren.’

Kamervragen

Voormalig PvdA-kamerlid en hacktivist Astrid Oosenbrug is niet verbaasd. Zij stelde tijdens haar periode als kamerlid meermaals Kamervragen over dit onderwerp. Oosenbrug maakt zich zorgen over de laconieke houding in Den Haag: ‘Telefoonnummers kun je ook spoofen, dit werkt hetzelfde als bij e-mail. Je verstuurt een bericht alsof het van bijvoorbeeld Halbe Zijlstra zijn nummer afkomt, en stuurt dat naar bijvoorbeeld minister Plasterk. Daar zijn zowel schriftelijke als mondelinge vragen over gesteld, maar volgens het kabinet was het niet echt een probleem.’

‘Toch heeft Plasterk aan de levende lijve ondervonden hoe lastig het kan zijn als iemand anders dan de minister zelf zijn telefoonnummer weet te blokkeren. Dit is bijvoorbeeld RTL- journaliste Hella Hueck zonder al teveel problemen gelukt. Stel je dus voor: bij een minister werkt de telefoon in een keer niet meer. Toen er vanuit de Kamer vragen over gesteld werden over het gebruik van bijvoorbeeld een cryptofoon, was het antwoord van de minister dat dat onhandig was met bijvoorbeeld WhatsApp. Terwijl ik juist denk: een minister is er toch bij gebaat dat zijn account niet zomaar gekaapt kan worden,’ aldus Oosenbrug.

Oosenbrug denkt dat er onder politici een gebrek aan besef heerst: ‘Hetzelfde zag je bij Henk Kamp die zijn privémail, een Gmail-account, gebruikte voor zijn politieke zaken. Toen hier vragen over kwamen, had hij een houding van: “dat maak ik zelf wel uit”. Dat vind ik vrij arrogant: je bent minister, je gaat om met gevoelige informatie. Je hebt dus een verantwoordelijkheid om daar zo goed mogelijk mee om te gaan. Maar die laksheid, niet te geloven.’

Ook Boone ergert zich aan de gemakzucht: ‘Het is simpel: fiets je in het donker? Doe dan je licht aan. Op een bouwplaats draag je een helm, en als je onderdeel uitmaakt van de regering, dan zorg je dat je communicatie vertrouwelijk verloopt. En nee, dit is niet altijd gebruiksvriendelijk. Maar wen er maar aan, je bent een land aan het besturen.’

‘Politici gebruiken gewoon hun iPhone, openbare gratis wifi, makkelijk te raden wachtwoorden, en ga zo maar door,’ vervolgt Boone. ‘Dan kun je wel 75 miljoen extra geld vrijmaken voor cybersecurity, maar zonder het besef dat je ook de basis op orde moet hebben is de vraag in hoeverre extra geld helpt. Zolang de politiek niet beseft dat je hier hele linke dingen mee kunt doen, hebben ze zoiets van “het zal wel”. De standaardreactie is óf de schouders ophalen, óf kwaad worden op degene die het lek aantoont’, constateert Oosenbrug.


Maarten Hijink (SP)

"Dat dit gebeurt, laat zien dat het systeem van de Tweede Kamer niet op orde is"

Oosenbrug verwacht dan ook wel gemopper richting Follow the Money: ‘Journalist Teun van der Keuken kreeg ook de wind van voren toen hij het adres van minister Plasterk had achterhaald en zichzelf hierop had ingeschreven. Je moet boos worden op het systeem dat niet werkt, niet op degene die laten zien waar het misgaat.’ Boone wijst er wel op dat er sinds vorig jaar een overheidsbrede standaard is voor het beveiligen van verbindingen. ‘Maar ja, dan moet je er wel wat mee doen.’

Tweede Kamerlid Maarten Hijink van de SP laat Follow the Money weten de situatie onwenselijk te vinden: ‘Dit mag in een professionele organisatie niet gebeuren. Spoofen is vrij eenvoudig te voorkomen. Het systeem moet altijd controleren of een @tweedekamer-mail ook daadwerkelijk vanuit de server van de Tweede Kamer is verstuurd. Anders is het namelijk spam en mag het niet afgeleverd worden.’

‘Dat dit wel gebeurt, laat zien dat het systeem van de Tweede Kamer niet op orde is. In dit geval had deze fake mail tot vervelende toestanden kunnen leiden: “Mark Rutte” die een beoogd minister mailt dat de baan naar een ander gaat of een phishing-mail van “Geert Wilders” met een linkje om geld te doneren voor een niet-bestaand asiel voor poezen. Dat is vervelend, maar als kwaadwillende mensen de mailadressen van Tweede Kamerleden kunnen inzetten voor criminele handelingen, wordt het ook gevaarlijk.’

Lees hier alle emails die we hebben verstuurd:

Gerelateerde artikelen

Dieuwertje Kuijpers
Dieuwertje Kuijpers
Geopolitiek junkie. Statistiek-pieler. Niet geïnteresseerd in politieke poppetjes, wel in mechanismes die deze voortbrengen.
Gevolgd door 1170 leden

Meer lezen over dit onderwerp?

Volg dit dossier en krijg een seintje als er een nieuw artikel verschijnt

Hoe kwetsbaar zijn we online?

30 Bijdragen

Diny Pubben

Geweldig FTM, dit lees en zie ik graag. Mailen uit naam van de Tweede Kamer. Dat op Twitter en Facebook verspreiden. Wat een pret. Nu nog alle BSN gegevens van al onze politici op straat.

j.a. karman 5

Diny Pubben
Nogal voor de hand liggend.
Iedereen kan beweren dat hij welke persoon dan ook is. Dat is iets van alle tijden.

Het is aan degeen die iets met die bewering krijgt de overweging om te controleren of die bewering g klopt.

In de basis van IAM een onderdeel van cybersecurity.
- Identificatie: de bewering
-Autenticatie: de controle op de bewering. Dat kan met
+ iets dat je weet (password)
+ iets dat je bezit (card sleutel)
+ iets dat je bent (vinger portret dna)

Ernest Jacobs 6

We leerden vroeger in het leger al over spoofing met radio’s. Alles opnemen en dan knippen plakken om verwarring te zaaien. Naïef om te denken dat het met internet comms anders gaat. Reken maar dat in Beijing, Moskou en Washington servers mee staan te draaien die alles opslurpen en geen mails verzenden zoals ftm dat wel doet. Die informatie zal ongetwijfeld gebruikt worden wanneer het hen uitkomt.

Leuk digitaal, maar de waterschappen en andere structuren van wezenlijk belang moeten echt van het net af. En meer cash betalen. Zodat die infra behouden blijft.

Peter Zwitser 9

En juist vandaag geeft Plasterk zichzelf een compliment over ict.
https://www.security.nl/posting/536535/
Prima artikel. Jullie hebben vast heel veel lol gehad bij het bedenken van die mails.
Mag ik hopen dat bij de ontvangers op een of andere manier de webcam is aangezet, zodat we de reacties nog krijgen te zien?

Frans van Woerkom

Eventuele sender-policy werkt alleen als afzender- en ontvanger-domein gelijk zijn. Je kunt van elke computer in de wereld mail met als afzender @tweedekamer.nl naar het secretariaat van de PvdA of naar ftm sturen. De instelling van de server van tweedekamer.nl kan daar niets aan doen.

Niek Jansen 9

Fantastisch werk van ftm. Kunnen jullie deze mail ook versturen van Henk Kamp aan Rutte?
" Zoals afgesproken met Monsanto heb ik de toestemming voor de z.g 'kankerverwekkende' (ha,ha) onkruidverdelger Round-Up voor een periode van 10 jaar verlengd. Ik geef een toast in 'De Witte', kom je ook ! ."

Peter Zwitser 9

Niek Jansen
Maar die mail ís toch verzonden?

Niek Jansen 9

Peter Zwitser
Ha,ha, olijke Peter en waar heb je dan gezien dat die mail verzonden is? Of is die mail via via in jouw mailbox terecht gekomen?

Chris Eikelboom 4

Ben ook benieuwd of er ook inderdaad pogingen zijn gedaan om dit te misbruiken. Ontvangers zouden dit eenvoudig kunnen controleren? Vreemde bijlagen/links in oude mailtjes.

Michiel WERKMAN 8

Dit is lachwekkend ver voorbij. Wat een blamage.

Ed Raket 6

Heel goede actie hoe jullie dit beveiligingslek zichtbaar maken.
En die nepmails zijn zo geinig. Blij dat ik eens kan lachen om een een ftm artikel.

Eric Smit 10

Ed Raket
We gaan ervoor zorgen dat je dat vaker kunt doen!

J 22 1

Mooi onderzoek. Hoe meer lekken hoe beter. Zo krijgen de Nederlanders snel te weten wat er wordt bekokstoofd in Den Haag.

Smith & Jones 1

Briljant

Verwijderd 36314 2

Ik denk dat ze pas geïnteresseerd raken als er echt iets gigantisch fout loopt.
Ik vond de opmerking van Poetin wel grappig op de vraag hoe hij zijn ministerie beveiligd had tegen dit soort dingen. Die zei: "Ik heb 273 typemachines gekocht".

Peter Zwitser 9

Verwijderd 36314
Ja, dat was grappig. Toch heeft de man wel 'n punt. De enige échte beveiliging is inderdaad zoiets.
Toen ik nog bij mensen thuis computerproblemen oploste - of dat probeerde, ahum - heb ik me altijd verbaasd over waarom bijvoorbeeld vrijwel iedereen wifi wilde hebben. Ook mensen die maar 'n heel korte kabel nodig hadden en 'n computer die je nog niet met 'n kameel kon verplaatsen. Terwijl 'n kabel alleen maar voordelen heeft (sneller, veiliger, minder storingsgevoelig, enz.)
Op een of andere manier dringt kennelijk niet door, hoe listig al die klakkeloze 'vooruitgang' is, als je er niet kritisch naar kijkt. Ik vrees dat dat bij politici, en zelfs bij veel ICT-mensen, hetzelfde is. Mij overkomt dat niet, zoiets.
Toen computers pas op grote schaal in gebruik kwamen, werden er nauwelijks back-ups gemaakt. Dat ging inderdaad pas gebeuren als er bij iemand of iets iets gigantisch fout was gelopen. Nu is het weer precies hetzelfde. Inmiddels kun je vanaf mobiel 'n back-up elders maken. (Of dat verstandig is vanwege privacy en zo, is 'n andere vraag.) Toch zijn er tig mensen die hun unieke foto's in 'n mobieltje hebben zitten, zonder enige back-up. Mobieltje weg, alle adressen ook weg.
'n Week geleden las ik over 'n seksspeeltje: 'n op afstand via internet te bedienen vibrator (ik verzin het niet). Zonder enige beveiliging, iedereen met basale computerkennis kon de bediening overnemen. Maar minder grappig: zo'n apparaat kan ook worden gebruikt om je hele computer e.d. over te nemen en te gebruiken voor een DDOS-aanval.
Op een of andere manier wil het maar niet doordringen dat internet in principe gewoon niet veilig is. Misschien zijn mensen gewoon niet in staat om abstracte gevaren goed in te schatten?
Vroeger of later gaat het - vrees ik - met het hele internet 'n keer 'gigantisch fout'. Of de chaos die dan uitbreekt nog te herstellen is, ik houd m'n hart vast.

Ernest Jacobs 6

Peter Zwitser
Eens, vandaar mijn opmerking over waterschappen en cash.

Ferdi Scholten 5

Niet onverwacht gezien de belabberde ICT reputatie van onze overheid. Maar inderdaad, met een paar minuutjes werk is dit probleem heel eenvoudig op te lossen. Dat dit blijkbaar niet gebeurt wijst op de enorme onverschilligheid en/of onkunde die er heerst bij de huidige regering m.b.t. digitale veiligheid.
En dan wel wetten aannemen die de digitale bescherming van burgers en bedrijven in Nederland met voeten treedt. Ze weten echt niet wat ze aan het doen zijn daar.
Wie weet hoe lang dit al misbruikt wordt? FTM is vast niet de eerste en enige die dit weet. Er zijn vele bots actief op internet die alle bestaande domeinen afstropen op zoek naar mailservers die te misbruiken zijn.

Maar goed, nu dit publiek bekend is zal er "hopelijk" actie ondernomen worden. Blijkbaar heeft iemand zich al als Rutte voorgedaan en een mailtje naar Trump gestuurd :-D

Marla Singer 7

Ferdi Scholten
Het is inderdaad super knullig en had niet mogen gebeuren. Maar hoeveel bedrijven secu instellingen in Nederland zitten met exact dezelfde situatie? Dan zijn zelfs de meest kundige technische die menselijke fouten kunnen maken die zoiets als dit ook overkomt.

In ziekenhuizen hebben ze fouten terug weten te brengen door het gebruik van lijstjes die afgevinkt moeten worden. Dat mechanisme kan bij IT beveiliging ook gebruikt worden en daar zou bij de scholing van ITers meegenomen dienen te worden. (Wettelijk regelen is onzin want dit is schier onmogelijk om te controleren en zal alleen opvallen als het goed mis gaat.)

Lex 33

Met de DMARC authenticatie techniek kunnen domein eigenaren een DMARC record publiceren waarna zij inzicht krijgen in wie er namens hun naam e-mail verstuurd. Maak gebruik van DMARC om je domein te beschermen tegen misbruik zoals phishing en spoofing.

Meer uitleg:
https://www.dmarcanalyzer.com/nl/dmarc-2/

roel van de wiel 1

Raar, zit in de IT en dit is zo standaard als het maar zijn kan. Dit is duidelijk een symptoom van een organisatie die niet in control is. Security officer wordt of niet serieus genomen of is incapabel, afwezig of overleden.

R. Eman 7

Grappig artikel als het niet om een echt serieuze zaak zou gaan.
Als digibeet rijst nu ook bij mij de vraag dat als blijkt dat men mails namens iemand kan versturen of het ook niet mogelijk is om mails 'namens' een ander te onderscheppen?

Theo Benschop 5

Een zeer leeswaardig, professioneel volg de centjes artikel, met een uitstekende bijdrage van Networking4All, dat in staat is om de digitale nulletjes en eentjes voor iedere Dummy van een digibeet in het te regeren land inzichtelijk te maken.

Het is uiteraard een structureel teken aan de wand van de zichzelf met parlementaire enquêtes controlerende Tweede Kamer als een volksvertegenwoordiger in zijn of haar hoedanigheid van onderdeel van de wetgevende macht bij het pareren van “een heel slechte fake-mail” van mening is dat hij of zij “het volk” vertegenwoordigt door op Facebook whatsoever what te”liken” of te “unliken”.

Het is uiteraard een structureel teken aan de wand als uitgerekend een minister die deel uitnaakt van de uitvoerende macht die in de commissie Stiekem over allerhande stiekeme dingen gaat die niemand mag weten met een laissez-faire “dat maak ik zelf wel uit” politiek het goede voorbeeld geeft.

Geheel in tegenstelling hiermee is het uiteraard in het algemeen belang van het te regeren soevereine Nationale Vaderland van het Westerse hoge lonen land tot het einde der tijden van groot belang dat de uitvoerende macht de noodzaak en wenselijkheid ervan inziet om een te regeren bewoner van het land niet met het strooien met centjes van een ander de pas af te snijden!