23 oktober 2017·

5 MIN

Mailen uit naam van Mark Rutte? Geen probleem

4 Connecties

De e-mailbeveiliging op het Binnenhof is lek. Door het verkeerd instellen van een server kan eenieder zich probleemloos voordoen als een Nederlands politicus. Hoewel het lek al minstens een jaar bekend is en binnen enkele minuten valt te dichten, is dit nog altijd niet gebeurd. Follow the Money wist uit naam van onder andere Halbe Zijlstra, Geert Wilders en Alexander Pechtold diverse mails rond te sturen in politiek Den Haag.

Vrijwel iedere internetgebruiker is er mee bekend: je ontvangt een mailtje van een bekende, waarin zij of hij Viagra-pillen aan je probeert te slijten. Of je wordt in brak Engels uitgenodigd om op een link te klikken. Dit fenomeen staat bekend als e-mail spoofing. De techniek, die het doet lijken alsof een mail is verzonden door een ander adres, wordt gretig toegepast door cybercriminelen om spamfilters te omzeilen.

Doordat de beveiliging van e-mailservers steeds beter wordt, kan dit trucje gelukkig eenvoudig worden tegengegaan. Een goed ingestelde server kan controleren of de afzender in de kop ook wel de daadwerkelijke afzender is, en of deze afzender ook echt de bevoegdheid heeft om bijvoorbeeld een mailtje afkomstig van het e-maildomein ‘@tweedekamer.nl’ te versturen.

Niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor

Dit gaat echter niet vanzelf: het betreffende e-maildomein moet wel goed ingesteld zijn. Er hoeft maar één onderdeeltje te ontbreken, en de controle op inkomende mail zal niet werken.

Uit een steekproef die Binnenlands Bestuur vorig jaar ondernam, bleek dit laatste bij veel Nederlandse gemeenten niet het geval: van de 50 geteste gemeenten waren er slechts drie — Den Haag, Den Bosch en Woerden — die alles goed hadden ingesteld. Bij de andere 47 konden oplichters zich dus relatief eenvoudig voordoen als gemeenteambtenaren.

Ook bij de Tweede Kamer

Maar niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor. Ook de mailservers van de Tweede Kamer zijn onvoldoende beveiligd. Follow the Money nam de proef op de som en stelde diverse mails op uit naam van bekende politici. Deze werden vervolgens in samenwerking met hacker Maarten Boone, die ons wees op dit veiligheidslek, rondgestuurd.

Bewerking van beeld via Networking4All (https://blog.networking4all.com/)

‘Het grootste probleem bij de Tweede Kamer is het ontbreken van Sender Policy Framework,’ vertelt Boone. ‘Dit is een beveiligingsextensie voor e-maildomeinen. Het werkt door middel van een lijst met e-mailservers die gemachtigd zijn om namens dat domein, in dit geval @tweedekamer.nl, mails te versturen. Omdat deze lijst er niet is, kunnen wij nu vanaf elke e-mailserver, waar ook ter wereld, mails versturen die afkomstig lijken te zijn van @tweedekamer.nl.’

Is dit een probleem waar wij wakker van moeten liggen? Zeker weten, zegt Boone: ‘Als jij een kamerlid bent en Mark Rutte stuurt jou een mailtje met een linkje erin, waarom zou je er dan niet op klikken? Het komt van de minister-president.’

Los van criminelen die hier gebruik van kunnen maken, wijst Boone ook op het politieke aspect: ‘Dit zou ook door buitenlandse inlichtingendiensten misbruikt kunnen worden om kamerleden, in goed vertrouwen over de afkomst van het mailtje, op malafide linkjes te laten klikken. Zo kan de dienst zich toegang te verschaffen tot politiek interessante personen om te bespioneren.’

Dit is wel een heel slechte fake-mail. Algemeen bekend, zeker bij @GroenLiesbeth, dat ik op facebook alleen anti-Erdogan paginas like. pic.twitter.com/aCy5HWThZ1
— Zihni (@ZihniOzdil) 23 oktober 2017

Kamervragen

Voormalig PvdA-kamerlid en hacktivist Astrid Oosenbrug is niet verbaasd. Zij stelde tijdens haar periode als kamerlid meermaals Kamervragen over dit onderwerp. Oosenbrug maakt zich zorgen over de laconieke houding in Den Haag: ‘Telefoonnummers kun je ook spoofen, dit werkt hetzelfde als bij e-mail. Je verstuurt een bericht alsof het van bijvoorbeeld Halbe Zijlstra zijn nummer afkomt, en stuurt dat naar bijvoorbeeld minister Plasterk. Daar zijn zowel schriftelijke als mondelinge vragen over gesteld, maar volgens het kabinet was het niet echt een probleem.’

‘Toch heeft Plasterk aan de levende lijve ondervonden hoe lastig het kan zijn als iemand anders dan de minister zelf zijn telefoonnummer weet te blokkeren. Dit is bijvoorbeeld RTL- journaliste Hella Hueck zonder al teveel problemen gelukt. Stel je dus voor: bij een minister werkt de telefoon in een keer niet meer. Toen er vanuit de Kamer vragen over gesteld werden over het gebruik van bijvoorbeeld een cryptofoon, was het antwoord van de minister dat dat onhandig was met bijvoorbeeld WhatsApp. Terwijl ik juist denk: een minister is er toch bij gebaat dat zijn account niet zomaar gekaapt kan worden,’ aldus Oosenbrug.

Best tof van de @MinPres die centen voor de onderzoeksjournalistiek, maar zo gaat dat natuurlijk niet pic.twitter.com/MJJvHFDNPr
— Eric Smit (@EricChrSmit) 23 oktober 2017

Oosenbrug denkt dat er onder politici een gebrek aan besef heerst: ‘Hetzelfde zag je bij Henk Kamp die zijn privémail, een Gmail-account, gebruikte voor zijn politieke zaken. Toen hier vragen over kwamen, had hij een houding van: “dat maak ik zelf wel uit”. Dat vind ik vrij arrogant: je bent minister, je gaat om met gevoelige informatie. Je hebt dus een verantwoordelijkheid om daar zo goed mogelijk mee om te gaan. Maar die laksheid, niet te geloven.’

Ook Boone ergert zich aan de gemakzucht: ‘Het is simpel: fiets je in het donker? Doe dan je licht aan. Op een bouwplaats draag je een helm, en als je onderdeel uitmaakt van de regering, dan zorg je dat je communicatie vertrouwelijk verloopt. En nee, dit is niet altijd gebruiksvriendelijk. Maar wen er maar aan, je bent een land aan het besturen.’

‘Politici gebruiken gewoon hun iPhone, openbare gratis wifi, makkelijk te raden wachtwoorden, en ga zo maar door,’ vervolgt Boone. ‘Dan kun je wel 75 miljoen extra geld vrijmaken voor cybersecurity, maar zonder het besef dat je ook de basis op orde moet hebben is de vraag in hoeverre extra geld helpt. Zolang de politiek niet beseft dat je hier hele linke dingen mee kunt doen, hebben ze zoiets van “het zal wel”. De standaardreactie is óf de schouders ophalen, óf kwaad worden op degene die het lek aantoont’, constateert Oosenbrug.

Maarten Hijink (SP)

Dat dit gebeurt, laat zien dat het systeem van de Tweede Kamer niet op orde is

Oosenbrug verwacht dan ook wel gemopper richting Follow the Money: ‘Journalist Teun van der Keuken kreeg ook de wind van voren toen hij het adres van minister Plasterk had achterhaald en zichzelf hierop had ingeschreven. Je moet boos worden op het systeem dat niet werkt, niet op degene die laten zien waar het misgaat.’ Boone wijst er wel op dat er sinds vorig jaar een overheidsbrede standaard is voor het beveiligen van verbindingen. ‘Maar ja, dan moet je er wel wat mee doen.’

Tweede Kamerlid Maarten Hijink van de SP laat Follow the Money weten de situatie onwenselijk te vinden: ‘Dit mag in een professionele organisatie niet gebeuren. Spoofen is vrij eenvoudig te voorkomen. Het systeem moet altijd controleren of een @tweedekamer-mail ook daadwerkelijk vanuit de server van de Tweede Kamer is verstuurd. Anders is het namelijk spam en mag het niet afgeleverd worden.’

‘Dat dit wel gebeurt, laat zien dat het systeem van de Tweede Kamer niet op orde is. In dit geval had deze fake mail tot vervelende toestanden kunnen leiden: “Mark Rutte” die een beoogd minister mailt dat de baan naar een ander gaat of een phishing-mail van “Geert Wilders” met een linkje om geld te doneren voor een niet-bestaand asiel voor poezen. Dat is vervelend, maar als kwaadwillende mensen de mailadressen van Tweede Kamerleden kunnen inzetten voor criminele handelingen, wordt het ook gevaarlijk.’

Lees hier alle emails die we hebben verstuurd:

Auteur: Dieuwertje Kuijpers

Geopolitiek junkie. Statistiek-pieler. Niet geïnteresseerd in politieke poppetjes, wel in mechanismes die deze voortbrengen.

Gevolgd door 1044 leden Je volgt deze auteur

30 Bijdragen

Diny Pubben 9

23 oktober 2017 23:02

Geweldig FTM, dit lees en zie ik graag. Mailen uit naam van de Tweede Kamer. Dat op Twitter en Facebook verspreiden. Wat een pret. Nu nog alle BSN gegevens van al onze politici op straat.

j.a. karman 5

Diny Pubben 26 oktober 2017 16:32

Nogal voor de hand liggend.
Iedereen kan beweren dat hij welke persoon dan ook is. Dat is iets van alle tijden.

Het is aan degeen die iets met die bewering krijgt de overweging om te controleren of die bewering g klopt.

In de basis van IAM een onderdeel van cybersecurity.
- Identificatie: de bewering
-Autenticatie: de controle op de bewering. Dat kan met
+ iets dat je weet (password)
+ iets dat je bezit (card sleutel)
+ iets dat je bent (vinger portret dna)

Ernest Jacobs 6

Bewerkt 24 oktober 2017 0:25

We leerden vroeger in het leger al over spoofing met radio’s. Alles opnemen en dan knippen plakken om verwarring te zaaien. Naïef om te denken dat het met internet comms anders gaat. Reken maar dat in Beijing, Moskou en Washington servers mee staan te draaien die alles opslurpen en geen mails verzenden zoals ftm dat wel doet. Die informatie zal ongetwijfeld gebruikt worden wanneer het hen uitkomt.

Leuk digitaal, maar de waterschappen en andere structuren van wezenlijk belang moeten echt van het net af. En meer cash betalen. Zodat die infra behouden blijft.

Peter Zwitser 9

24 oktober 2017 0:35

En juist vandaag geeft Plasterk zichzelf een compliment over ict.
https://www.security.nl/posting/536535/
Prima artikel. Jullie hebben vast heel veel lol gehad bij het bedenken van die mails.
Mag ik hopen dat bij de ontvangers op een of andere manier de webcam is aangezet, zodat we de reacties nog krijgen te zien?

Frans van Woerkom

24 oktober 2017 2:01

Eventuele sender-policy werkt alleen als afzender- en ontvanger-domein gelijk zijn. Je kunt van elke computer in de wereld mail met als afzender @tweedekamer.nl naar het secretariaat van de PvdA of naar ftm sturen. De instelling van de server van tweedekamer.nl kan daar niets aan doen.

Peter Zwitser 9

Frans van Woerkom Bewerkt 24 oktober 2017 3:45

Dat klopt niet. 'n Simpele zoekactie op Google had dat duidelijk kunnen maken. Dit is juist bedoeld voor ontvangende mailservers om te controleren of de verzendende server de echte afzender is.
Zie bijvoorbeeld
https://www.sendforensics.com/articles/sender-policy-framework-spf-records-and-deliverability/ (Engelstalig)
of (uitgebreider):
https://en.wikipedia.org/wiki/Sender_Policy_Framework
of (in het Nederlands, maar wat technisch):
https://www.hostnet.nl/helpdesk/domeinnamen/hoe-werkt-spf-sender-policy-framework
Het artikel is dus correct.

Frans van Woerkom

Peter Zwitser 25 oktober 2017 0:01

Omdat de meeste particulieren en kleine ondernemers en instellingen hun mail versturen via de smtp-server van hun internet provider, gebruikmakend van hun eigen mailadres@willekeurigemailservice.tld of hun eigen domein, gehost door een derde bij een vierde partij, zullen die mails dus geweigerd worden door de streng ingestelde overheids mailservers. Dus zullen politici eigen mailservers gebruiken om bereikbaar te zijn voor hun kiezers. Ik begrijp de terughoudendheid van de systeembeheerders daar.

Peter Zwitser 9

Frans van Woerkom Bewerkt 25 oktober 2017 2:36

Nee. Het gaat hierbij niet om het ontvangen van mail. Het gaat hierbij om het verzenden van mail door de Tweede Kamer (of de Belastingdienst, of ...).
De mailserver van de Tweede Kamer moet zo worden ingesteld, dat de ontvanger van de mail kan controleren of die daadwerkelijk vanaf de mailserver van de Tweede Kamer wordt verzonden.
Als ik een mail aan de Tweede Kamer stuur, kan die worden geweigerd of in de spambox komen of worden gelezen of wat dan ook. Maar dat staat helemaal los van de mails die VANAF de mailserver van de Tweede Kamer worden verzonden.
De verzender moet die controle mogelijk maken.
En vervolgens moet de mailserver van de ontvanger die controle uitvoeren. Maar daar kan de Tweede Kamer verder niets aan doen. Als Ziggo te beroerd is om die controle uit te voeren, houdt het op.
Maar nu is het zo, dat Ziggo (of wie dan ook), als ze het willen controleren, dat niet kan doen. Omdat in de DNS-records van de Tweede Kamer gewoon de gegevens ontbreken die nodig zijn voor een controle.

Aanvuling: ik heb nog even gezocht naar een iets duidelijker uitleg. En gevonden, hoop ik:
https://www.internedservices.nl/faq/spf-records-waarom-en-wat-is-het/
SPF gaat echt alleen om het controleren van de echtheid van de afzender. In bovenstaande uitleg staat ook niets over het ontvangen van mail, dat is een heel andere tak van sport.
(Overigens ben ik ook verre van een expert op dit gebied, want het is nooit mijn werk geweest. Ik heb er alleen zijdelings mee te maken gehad.)

Frans van Woerkom

Peter Zwitser 26 oktober 2017 0:23

OK, dank, ik heb mij op het verkeerde been laten zetten door plaatjes waar ongure types dingen die op mails lijken naar de mailserver van de Tweede Kamer sturen en door opmerkingen als "Dit zou ook door buitenlandse inlichtingendiensten misbruikt kunnen worden om kamerleden, in goed vertrouwen over de afkomst van het mailtje, op malafide linkjes te laten klikken".

Maarten Boerma 2

Peter Zwitser 28 oktober 2017 10:48

Het heeft niks te maken met de instelling van de emailserver. Het gaat om een juist ingestelde DNS record van het domein tweedekamer.nl en van de ontvangende mailserver die moet controleren van welke mailserver e-mails morgen worden verzonden. Die ontvangende mailserver, bijvoorbeeld Gmail, kan slecht of te vrijblijvend ingesteld staan en dus niet controleren of het SPF record in op de DNS server. Daar kan de beheerder van de server van de Tweede Kamer dan niks aan doen. Het begint bij het SPF record, maar daar moet dan wel op gecontroleerd worden door de ontvanger.

Peter Zwitser 9

Maarten Boerma 28 oktober 2017 12:07

Ja, dat weet ik. Ik laat de term DNS ook ergens vallen. Maar als je ook nog moet gaan vertellen, wat 'n DNS-record is, wordt het helemaal ingewikkeld. Dus vat ik het simpel samen tot 'de mailserver instellen'.

Maarten Boerma 2

Peter Zwitser 28 oktober 2017 12:16

Maar de tekst van dit artikel klopt dus gewoon niet. Er worden, door het simpel te houden, onjuiste dingen geschreven of dingen door elkaar gehaald. Ik ben bijvoorbeeld geen financieel expert maar ik verwacht van de journalist dat hij/zij me dingen juist uitlegt. Hoe ingewikkeld is het nou om te vertellen dat het internet een groot telefoonboek heeft waarin via namen wordt verwezen naar nummers. En dat dit DNS heet. En dat je in dat telefoonboek ook kan vertellen dat als vanaf die naam iets verstuurd wordt het alleen maar vanaf een bepaalde naam + nummer kan worden gedaan. Maar dat sommige emailservers daar niet op controleren. Lijkt me niet al te ingewikkeld.

6 Uitklappen

Niek Jansen 9

Bewerkt 24 oktober 2017 10:46

Fantastisch werk van ftm. Kunnen jullie deze mail ook versturen van Henk Kamp aan Rutte?
" Zoals afgesproken met Monsanto heb ik de toestemming voor de z.g 'kankerverwekkende' (ha,ha) onkruidverdelger Round-Up voor een periode van 10 jaar verlengd. Ik geef een toast in 'De Witte', kom je ook ! ."

Peter Zwitser 9

Niek Jansen 24 oktober 2017 12:07

Maar die mail ís toch verzonden?

Niek Jansen 9

Peter Zwitser 24 oktober 2017 12:32

Ha,ha, olijke Peter en waar heb je dan gezien dat die mail verzonden is? Of is die mail via via in jouw mailbox terecht gekomen?

Chris Eikelboom 4

Bewerkt 24 oktober 2017 3:49

Ben ook benieuwd of er ook inderdaad pogingen zijn gedaan om dit te misbruiken. Ontvangers zouden dit eenvoudig kunnen controleren? Vreemde bijlagen/links in oude mailtjes.

Michiel WERKMAN 8

24 oktober 2017 7:26

Dit is lachwekkend ver voorbij. Wat een blamage.

Ed Raket 6

24 oktober 2017 8:52

Heel goede actie hoe jullie dit beveiligingslek zichtbaar maken.
En die nepmails zijn zo geinig. Blij dat ik eens kan lachen om een een ftm artikel.

Eric Smit 11

Ed Raket 24 oktober 2017 22:26

We gaan ervoor zorgen dat je dat vaker kunt doen!

J 22 1

24 oktober 2017 10:42

Mooi onderzoek. Hoe meer lekken hoe beter. Zo krijgen de Nederlanders snel te weten wat er wordt bekokstoofd in Den Haag.

Smith & Jones 1

24 oktober 2017 10:53

Briljant

[Verwijderd]

Bewerkt 24 oktober 2017 11:10

Ik denk dat ze pas geïnteresseerd raken als er echt iets gigantisch fout loopt.
Ik vond de opmerking van Poetin wel grappig op de vraag hoe hij zijn ministerie beveiligd had tegen dit soort dingen. Die zei: "Ik heb 273 typemachines gekocht".

Peter Zwitser 9

[Verwijderd] 24 oktober 2017 12:04

Ja, dat was grappig. Toch heeft de man wel 'n punt. De enige échte beveiliging is inderdaad zoiets.
Toen ik nog bij mensen thuis computerproblemen oploste - of dat probeerde, ahum - heb ik me altijd verbaasd over waarom bijvoorbeeld vrijwel iedereen wifi wilde hebben. Ook mensen die maar 'n heel korte kabel nodig hadden en 'n computer die je nog niet met 'n kameel kon verplaatsen. Terwijl 'n kabel alleen maar voordelen heeft (sneller, veiliger, minder storingsgevoelig, enz.)
Op een of andere manier dringt kennelijk niet door, hoe listig al die klakkeloze 'vooruitgang' is, als je er niet kritisch naar kijkt. Ik vrees dat dat bij politici, en zelfs bij veel ICT-mensen, hetzelfde is. Mij overkomt dat niet, zoiets.
Toen computers pas op grote schaal in gebruik kwamen, werden er nauwelijks back-ups gemaakt. Dat ging inderdaad pas gebeuren als er bij iemand of iets iets gigantisch fout was gelopen. Nu is het weer precies hetzelfde. Inmiddels kun je vanaf mobiel 'n back-up elders maken. (Of dat verstandig is vanwege privacy en zo, is 'n andere vraag.) Toch zijn er tig mensen die hun unieke foto's in 'n mobieltje hebben zitten, zonder enige back-up. Mobieltje weg, alle adressen ook weg.
'n Week geleden las ik over 'n seksspeeltje: 'n op afstand via internet te bedienen vibrator (ik verzin het niet). Zonder enige beveiliging, iedereen met basale computerkennis kon de bediening overnemen. Maar minder grappig: zo'n apparaat kan ook worden gebruikt om je hele computer e.d. over te nemen en te gebruiken voor een DDOS-aanval.
Op een of andere manier wil het maar niet doordringen dat internet in principe gewoon niet veilig is. Misschien zijn mensen gewoon niet in staat om abstracte gevaren goed in te schatten?
Vroeger of later gaat het - vrees ik - met het hele internet 'n keer 'gigantisch fout'. Of de chaos die dan uitbreekt nog te herstellen is, ik houd m'n hart vast.

Ernest Jacobs 6

Peter Zwitser 24 oktober 2017 13:58

Eens, vandaar mijn opmerking over waterschappen en cash.

Ferdi Scholten 5

24 oktober 2017 11:59

Niet onverwacht gezien de belabberde ICT reputatie van onze overheid. Maar inderdaad, met een paar minuutjes werk is dit probleem heel eenvoudig op te lossen. Dat dit blijkbaar niet gebeurt wijst op de enorme onverschilligheid en/of onkunde die er heerst bij de huidige regering m.b.t. digitale veiligheid.
En dan wel wetten aannemen die de digitale bescherming van burgers en bedrijven in Nederland met voeten treedt. Ze weten echt niet wat ze aan het doen zijn daar.
Wie weet hoe lang dit al misbruikt wordt? FTM is vast niet de eerste en enige die dit weet. Er zijn vele bots actief op internet die alle bestaande domeinen afstropen op zoek naar mailservers die te misbruiken zijn.

Maar goed, nu dit publiek bekend is zal er "hopelijk" actie ondernomen worden. Blijkbaar heeft iemand zich al als Rutte voorgedaan en een mailtje naar Trump gestuurd :-D

Marla Singer 7

Ferdi Scholten 24 oktober 2017 18:39

Het is inderdaad super knullig en had niet mogen gebeuren. Maar hoeveel bedrijven secu instellingen in Nederland zitten met exact dezelfde situatie? Dan zijn zelfs de meest kundige technische die menselijke fouten kunnen maken die zoiets als dit ook overkomt.

In ziekenhuizen hebben ze fouten terug weten te brengen door het gebruik van lijstjes die afgevinkt moeten worden. Dat mechanisme kan bij IT beveiliging ook gebruikt worden en daar zou bij de scholing van ITers meegenomen dienen te worden. (Wettelijk regelen is onzin want dit is schier onmogelijk om te controleren en zal alleen opvallen als het goed mis gaat.)

Lex 33

24 oktober 2017 13:58

Met de DMARC authenticatie techniek kunnen domein eigenaren een DMARC record publiceren waarna zij inzicht krijgen in wie er namens hun naam e-mail verstuurd. Maak gebruik van DMARC om je domein te beschermen tegen misbruik zoals phishing en spoofing.

Meer uitleg:
https://www.dmarcanalyzer.com/nl/dmarc-2/

roel van de wiel 1

Bewerkt 25 oktober 2017 3:04

Raar, zit in de IT en dit is zo standaard als het maar zijn kan. Dit is duidelijk een symptoom van een organisatie die niet in control is. Security officer wordt of niet serieus genomen of is incapabel, afwezig of overleden.

R. Eman 8

24 oktober 2017 19:17

Grappig artikel als het niet om een echt serieuze zaak zou gaan.
Als digibeet rijst nu ook bij mij de vraag dat als blijkt dat men mails namens iemand kan versturen of het ook niet mogelijk is om mails 'namens' een ander te onderscheppen?

Techgiganten delen plots hun data

Wie stopt de algoritmes?

FTM Audio - Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding

Wat het betekent als jouw bank straks je gegevens moet delen

Amsterdamse “dotcom-beloftes” bouwden imperium op manipulatie en misleiding

Waarom ‘Bye bye Facebook’ niet genoeg is

Hoe de digitale halsband van Magister de privacy van schoolkinderen nekt

Het 'onafhankelijk' onderzoek over de Haagse veiligheidslobby rammelt aan alle kanten

‘Jonge internetondernemers’ spelen met vuur en grootschalige fraude

Een spelletje Monopoly met onze privacy

Relaties

Organisaties

Ook bij de Tweede Kamer

Kamervragen

Gerelateerde artikelen

Meer lezen over dit onderwerp?

Volg dit dossier en krijg een seintje als er een nieuw artikel verschijnt

30 Bijdragen