
Het internet heeft ons kwetsbaar gemaakt. Mal- en ransomware, hackers, cyberspionnen en zwarte markten bedreigen de online én fysieke wereld. Parallel daaraan groeit de cybersecurity-industrie, waar overheid en bedrijfsleven een vruchtbare kruisbestuiving aangaan. FTM verkent dit nieuwe speelveld. Wat zijn de spelregels? Waar liggen de grenzen? Wie bedreigen ons? Wie beschermen ons? En wat verdienen ze eraan?
Techgiganten delen plots hun data
Wie stopt de algoritmes?
FTM Audio - Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding
Wat het betekent als jouw bank straks je gegevens moet delen
Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding
Waarom ‘Bye bye Facebook’ niet genoeg is
Hoe de digitale halsband van Magister de privacy van schoolkinderen nekt
Het 'onafhankelijk' onderzoek over de Haagse veiligheidslobby rammelt aan alle kanten
‘Jonge internetondernemers’ spelen met vuur en grootschalige fraude
Een spelletje Monopoly met onze privacy
Mailen uit naam van Mark Rutte? Geen probleem
De e-mailbeveiliging op het Binnenhof is lek. Door het verkeerd instellen van een server kan eenieder zich probleemloos voordoen als een Nederlands politicus. Hoewel het lek al minstens een jaar bekend is en binnen enkele minuten valt te dichten, is dit nog altijd niet gebeurd. Follow the Money wist uit naam van onder andere Halbe Zijlstra, Geert Wilders en Alexander Pechtold diverse mails rond te sturen in politiek Den Haag.
Vrijwel iedere internetgebruiker is er mee bekend: je ontvangt een mailtje van een bekende, waarin zij of hij Viagra-pillen aan je probeert te slijten. Of je wordt in brak Engels uitgenodigd om op een link te klikken. Dit fenomeen staat bekend als e-mail spoofing. De techniek, die het doet lijken alsof een mail is verzonden door een ander adres, wordt gretig toegepast door cybercriminelen om spamfilters te omzeilen.
Doordat de beveiliging van e-mailservers steeds beter wordt, kan dit trucje gelukkig eenvoudig worden tegengegaan. Een goed ingestelde server kan controleren of de afzender in de kop ook wel de daadwerkelijke afzender is, en of deze afzender ook echt de bevoegdheid heeft om bijvoorbeeld een mailtje afkomstig van het e-maildomein ‘@tweedekamer.nl’ te versturen.
Niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor
Dit gaat echter niet vanzelf: het betreffende e-maildomein moet wel goed ingesteld zijn. Er hoeft maar één onderdeeltje te ontbreken, en de controle op inkomende mail zal niet werken.
Uit een steekproef die Binnenlands Bestuur vorig jaar ondernam, bleek dit laatste bij veel Nederlandse gemeenten niet het geval: van de 50 geteste gemeenten waren er slechts drie — Den Haag, Den Bosch en Woerden — die alles goed hadden ingesteld. Bij de andere 47 konden oplichters zich dus relatief eenvoudig voordoen als gemeenteambtenaren.
Ook bij de Tweede Kamer
Maar niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor. Ook de mailservers van de Tweede Kamer zijn onvoldoende beveiligd. Follow the Money nam de proef op de som en stelde diverse mails op uit naam van bekende politici. Deze werden vervolgens in samenwerking met hacker Maarten Boone, die ons wees op dit veiligheidslek, rondgestuurd.

‘Het grootste probleem bij de Tweede Kamer is het ontbreken van Sender Policy Framework,’ vertelt Boone. ‘Dit is een beveiligingsextensie voor e-maildomeinen. Het werkt door middel van een lijst met e-mailservers die gemachtigd zijn om namens dat domein, in dit geval @tweedekamer.nl, mails te versturen. Omdat deze lijst er niet is, kunnen wij nu vanaf elke e-mailserver, waar ook ter wereld, mails versturen die afkomstig lijken te zijn van @tweedekamer.nl.’
Is dit een probleem waar wij wakker van moeten liggen? Zeker weten, zegt Boone: ‘Als jij een kamerlid bent en Mark Rutte stuurt jou een mailtje met een linkje erin, waarom zou je er dan niet op klikken? Het komt van de minister-president.’
Los van criminelen die hier gebruik van kunnen maken, wijst Boone ook op het politieke aspect: ‘Dit zou ook door buitenlandse inlichtingendiensten misbruikt kunnen worden om kamerleden, in goed vertrouwen over de afkomst van het mailtje, op malafide linkjes te laten klikken. Zo kan de dienst zich toegang te verschaffen tot politiek interessante personen om te bespioneren.’
Dit is wel een heel slechte fake-mail. Algemeen bekend, zeker bij @GroenLiesbeth, dat ik op facebook alleen anti-Erdogan paginas like. pic.twitter.com/aCy5HWThZ1
— Zihni (@ZihniOzdil) 23 oktober 2017
Kamervragen
Voormalig PvdA-kamerlid en hacktivist Astrid Oosenbrug is niet verbaasd. Zij stelde tijdens haar periode als kamerlid meermaals Kamervragen over dit onderwerp. Oosenbrug maakt zich zorgen over de laconieke houding in Den Haag: ‘Telefoonnummers kun je ook spoofen, dit werkt hetzelfde als bij e-mail. Je verstuurt een bericht alsof het van bijvoorbeeld Halbe Zijlstra zijn nummer afkomt, en stuurt dat naar bijvoorbeeld minister Plasterk. Daar zijn zowel schriftelijke als mondelinge vragen over gesteld, maar volgens het kabinet was het niet echt een probleem.’
‘Toch heeft Plasterk aan de levende lijve ondervonden hoe lastig het kan zijn als iemand anders dan de minister zelf zijn telefoonnummer weet te blokkeren. Dit is bijvoorbeeld RTL- journaliste Hella Hueck zonder al teveel problemen gelukt. Stel je dus voor: bij een minister werkt de telefoon in een keer niet meer. Toen er vanuit de Kamer vragen over gesteld werden over het gebruik van bijvoorbeeld een cryptofoon, was het antwoord van de minister dat dat onhandig was met bijvoorbeeld WhatsApp. Terwijl ik juist denk: een minister is er toch bij gebaat dat zijn account niet zomaar gekaapt kan worden,’ aldus Oosenbrug.
Best tof van de @MinPres die centen voor de onderzoeksjournalistiek, maar zo gaat dat natuurlijk niet pic.twitter.com/MJJvHFDNPr
— Eric Smit (@EricChrSmit) 23 oktober 2017
Oosenbrug denkt dat er onder politici een gebrek aan besef heerst: ‘Hetzelfde zag je bij Henk Kamp die zijn privémail, een Gmail-account, gebruikte voor zijn politieke zaken. Toen hier vragen over kwamen, had hij een houding van: “dat maak ik zelf wel uit”. Dat vind ik vrij arrogant: je bent minister, je gaat om met gevoelige informatie. Je hebt dus een verantwoordelijkheid om daar zo goed mogelijk mee om te gaan. Maar die laksheid, niet te geloven.’
Ook Boone ergert zich aan de gemakzucht: ‘Het is simpel: fiets je in het donker? Doe dan je licht aan. Op een bouwplaats draag je een helm, en als je onderdeel uitmaakt van de regering, dan zorg je dat je communicatie vertrouwelijk verloopt. En nee, dit is niet altijd gebruiksvriendelijk. Maar wen er maar aan, je bent een land aan het besturen.’
‘Politici gebruiken gewoon hun iPhone, openbare gratis wifi, makkelijk te raden wachtwoorden, en ga zo maar door,’ vervolgt Boone. ‘Dan kun je wel 75 miljoen extra geld vrijmaken voor cybersecurity, maar zonder het besef dat je ook de basis op orde moet hebben is de vraag in hoeverre extra geld helpt. Zolang de politiek niet beseft dat je hier hele linke dingen mee kunt doen, hebben ze zoiets van “het zal wel”. De standaardreactie is óf de schouders ophalen, óf kwaad worden op degene die het lek aantoont’, constateert Oosenbrug.
Oosenbrug verwacht dan ook wel gemopper richting Follow the Money: ‘Journalist Teun van der Keuken kreeg ook de wind van voren toen hij het adres van minister Plasterk had achterhaald en zichzelf hierop had ingeschreven. Je moet boos worden op het systeem dat niet werkt, niet op degene die laten zien waar het misgaat.’ Boone wijst er wel op dat er sinds vorig jaar een overheidsbrede standaard is voor het beveiligen van verbindingen. ‘Maar ja, dan moet je er wel wat mee doen.’
Tweede Kamerlid Maarten Hijink van de SP laat Follow the Money weten de situatie onwenselijk te vinden: ‘Dit mag in een professionele organisatie niet gebeuren. Spoofen is vrij eenvoudig te voorkomen. Het systeem moet altijd controleren of een @tweedekamer-mail ook daadwerkelijk vanuit de server van de Tweede Kamer is verstuurd. Anders is het namelijk spam en mag het niet afgeleverd worden.’
‘Dat dit wel gebeurt, laat zien dat het systeem van de Tweede Kamer niet op orde is. In dit geval had deze fake mail tot vervelende toestanden kunnen leiden: “Mark Rutte” die een beoogd minister mailt dat de baan naar een ander gaat of een phishing-mail van “Geert Wilders” met een linkje om geld te doneren voor een niet-bestaand asiel voor poezen. Dat is vervelend, maar als kwaadwillende mensen de mailadressen van Tweede Kamerleden kunnen inzetten voor criminele handelingen, wordt het ook gevaarlijk.’
Lees hier alle emails die we hebben verstuurd:
30 Bijdragen
Diny Pubben 9
j.a. karman 5
Diny PubbenIedereen kan beweren dat hij welke persoon dan ook is. Dat is iets van alle tijden.
Het is aan degeen die iets met die bewering krijgt de overweging om te controleren of die bewering g klopt.
In de basis van IAM een onderdeel van cybersecurity.
- Identificatie: de bewering
-Autenticatie: de controle op de bewering. Dat kan met
+ iets dat je weet (password)
+ iets dat je bezit (card sleutel)
+ iets dat je bent (vinger portret dna)
Ernest Jacobs 6
Leuk digitaal, maar de waterschappen en andere structuren van wezenlijk belang moeten echt van het net af. En meer cash betalen. Zodat die infra behouden blijft.
Peter Zwitser 9
https://www.security.nl/posting/536535/
Prima artikel. Jullie hebben vast heel veel lol gehad bij het bedenken van die mails.
Mag ik hopen dat bij de ontvangers op een of andere manier de webcam is aangezet, zodat we de reacties nog krijgen te zien?
Frans van Woerkom
Peter Zwitser 9
Frans van WoerkomZie bijvoorbeeld
https://www.sendforensics.com/articles/sender-policy-framework-spf-records-and-deliverability/ (Engelstalig)
of (uitgebreider):
https://en.wikipedia.org/wiki/Sender_Policy_Framework
of (in het Nederlands, maar wat technisch):
https://www.hostnet.nl/helpdesk/domeinnamen/hoe-werkt-spf-sender-policy-framework
Het artikel is dus correct.
Frans van Woerkom
Peter ZwitserPeter Zwitser 9
Frans van WoerkomDe mailserver van de Tweede Kamer moet zo worden ingesteld, dat de ontvanger van de mail kan controleren of die daadwerkelijk vanaf de mailserver van de Tweede Kamer wordt verzonden.
Als ik een mail aan de Tweede Kamer stuur, kan die worden geweigerd of in de spambox komen of worden gelezen of wat dan ook. Maar dat staat helemaal los van de mails die VANAF de mailserver van de Tweede Kamer worden verzonden.
De verzender moet die controle mogelijk maken.
En vervolgens moet de mailserver van de ontvanger die controle uitvoeren. Maar daar kan de Tweede Kamer verder niets aan doen. Als Ziggo te beroerd is om die controle uit te voeren, houdt het op.
Maar nu is het zo, dat Ziggo (of wie dan ook), als ze het willen controleren, dat niet kan doen. Omdat in de DNS-records van de Tweede Kamer gewoon de gegevens ontbreken die nodig zijn voor een controle.
Aanvuling: ik heb nog even gezocht naar een iets duidelijker uitleg. En gevonden, hoop ik:
https://www.internedservices.nl/faq/spf-records-waarom-en-wat-is-het/
SPF gaat echt alleen om het controleren van de echtheid van de afzender. In bovenstaande uitleg staat ook niets over het ontvangen van mail, dat is een heel andere tak van sport.
(Overigens ben ik ook verre van een expert op dit gebied, want het is nooit mijn werk geweest. Ik heb er alleen zijdelings mee te maken gehad.)
Frans van Woerkom
Peter ZwitserMaarten Boerma 2
Peter ZwitserPeter Zwitser 9
Maarten BoermaMaarten Boerma 2
Peter ZwitserNiek Jansen 9
" Zoals afgesproken met Monsanto heb ik de toestemming voor de z.g 'kankerverwekkende' (ha,ha) onkruidverdelger Round-Up voor een periode van 10 jaar verlengd. Ik geef een toast in 'De Witte', kom je ook ! ."
Peter Zwitser 9
Niek JansenNiek Jansen 9
Peter ZwitserChris Eikelboom 4
Michiel WERKMAN 8
Ed Raket 6
En die nepmails zijn zo geinig. Blij dat ik eens kan lachen om een een ftm artikel.
Eric Smit 11
Ed RaketJ 22 1
Smith & Jones 1
[Verwijderd]
Ik vond de opmerking van Poetin wel grappig op de vraag hoe hij zijn ministerie beveiligd had tegen dit soort dingen. Die zei: "Ik heb 273 typemachines gekocht".
Peter Zwitser 9
[Verwijderd]Toen ik nog bij mensen thuis computerproblemen oploste - of dat probeerde, ahum - heb ik me altijd verbaasd over waarom bijvoorbeeld vrijwel iedereen wifi wilde hebben. Ook mensen die maar 'n heel korte kabel nodig hadden en 'n computer die je nog niet met 'n kameel kon verplaatsen. Terwijl 'n kabel alleen maar voordelen heeft (sneller, veiliger, minder storingsgevoelig, enz.)
Op een of andere manier dringt kennelijk niet door, hoe listig al die klakkeloze 'vooruitgang' is, als je er niet kritisch naar kijkt. Ik vrees dat dat bij politici, en zelfs bij veel ICT-mensen, hetzelfde is. Mij overkomt dat niet, zoiets.
Toen computers pas op grote schaal in gebruik kwamen, werden er nauwelijks back-ups gemaakt. Dat ging inderdaad pas gebeuren als er bij iemand of iets iets gigantisch fout was gelopen. Nu is het weer precies hetzelfde. Inmiddels kun je vanaf mobiel 'n back-up elders maken. (Of dat verstandig is vanwege privacy en zo, is 'n andere vraag.) Toch zijn er tig mensen die hun unieke foto's in 'n mobieltje hebben zitten, zonder enige back-up. Mobieltje weg, alle adressen ook weg.
'n Week geleden las ik over 'n seksspeeltje: 'n op afstand via internet te bedienen vibrator (ik verzin het niet). Zonder enige beveiliging, iedereen met basale computerkennis kon de bediening overnemen. Maar minder grappig: zo'n apparaat kan ook worden gebruikt om je hele computer e.d. over te nemen en te gebruiken voor een DDOS-aanval.
Op een of andere manier wil het maar niet doordringen dat internet in principe gewoon niet veilig is. Misschien zijn mensen gewoon niet in staat om abstracte gevaren goed in te schatten?
Vroeger of later gaat het - vrees ik - met het hele internet 'n keer 'gigantisch fout'. Of de chaos die dan uitbreekt nog te herstellen is, ik houd m'n hart vast.
Ernest Jacobs 6
Peter ZwitserFerdi Scholten 5
En dan wel wetten aannemen die de digitale bescherming van burgers en bedrijven in Nederland met voeten treedt. Ze weten echt niet wat ze aan het doen zijn daar.
Wie weet hoe lang dit al misbruikt wordt? FTM is vast niet de eerste en enige die dit weet. Er zijn vele bots actief op internet die alle bestaande domeinen afstropen op zoek naar mailservers die te misbruiken zijn.
Maar goed, nu dit publiek bekend is zal er "hopelijk" actie ondernomen worden. Blijkbaar heeft iemand zich al als Rutte voorgedaan en een mailtje naar Trump gestuurd :-D
Marla Singer 7
Ferdi ScholtenIn ziekenhuizen hebben ze fouten terug weten te brengen door het gebruik van lijstjes die afgevinkt moeten worden. Dat mechanisme kan bij IT beveiliging ook gebruikt worden en daar zou bij de scholing van ITers meegenomen dienen te worden. (Wettelijk regelen is onzin want dit is schier onmogelijk om te controleren en zal alleen opvallen als het goed mis gaat.)
Lex 33
Meer uitleg:
https://www.dmarcanalyzer.com/nl/dmarc-2/
roel van de wiel 1
R. Eman 8
Als digibeet rijst nu ook bij mij de vraag dat als blijkt dat men mails namens iemand kan versturen of het ook niet mogelijk is om mails 'namens' een ander te onderscheppen?