Tech

Oud-werknemer Fox-IT kaartte e-mailprobleem Tweede Kamer aan

26 oktober 2017 11:57 Aangepast: 26 oktober 2017 16:37
Beeld © ANP

Het beveiligingsprobleem waarmee het mogelijk is om te namens Tweede Kamer-leden te mailen is aangekaart door een oud-medewerker van Fox-IT. De Kamer onderzoekt of het juridische stappen tegen hem gaat ondernemen.

Eerder deze week toonden journalisten van Follow The Money aan dat ze namens Mark Rutte of Geert Wilders konden mailen naar andere Tweede Kamerleden. Ze werden volgens Follow the Money getipt door een oud-werknemer van beveiligingsbedrijf Fox-IT, Maarten Boone, die meer dan acht jaar voor het bedrijf heeft gewerkt, maar vorige maand is vertrokken.

Boone, die twittert onder de naam @staatsgeheim, reageerde niet op vragen van RTL Nieuws. 

Zondebok

In de Tweede Kamer is een mail rondgestuurd waarin Kamervoorzitter Khadija Arib zegt het te betreuren dat een ex-medewerker van Fox-IT het probleem heeft aangekaart. Dat bevestigt een woordvoerder van de Kamer na een bericht van De Telegraaf. De overheid is een belangrijke klant van Fox-IT, en in de mail wordt geschreven dat Boone betrokken was bij de technische dienstverlening aan de Tweede Kamer.

Fox-IT wil niet op de zaak reageren.

Maarten Hijink, Tweede Kamerlid van de SP met ICT in zijn portefeuille, vindt het een slechte zaak dat Boone als 'zondebok' wordt afgeschilderd in de mail: "Iemand luidt de noodklok en daarvoor zouden we hem eigenlijk een bedankje moeten sturen."

Nog niet opgelost

Opvallend genoeg is het probleem met spoofing e-mails nog niet volledig verholpen. Uit een test van RTL Nieuws blijkt dat het nog steeds mogelijk is om als Mark Rutte naar Tweede Kamerleden te mailen. De e-maildienst van de Tweede Kamer mist nog steeds een configuratie waarmee deze zogeheten spoofing e-mails worden geblokkeerd.

"Dit probleem kan snel worden opgelost en dat had ook moeten gebeuren", zegt Hijink. Hij vraagt zich ook af waarom de problemen niet zijn verholpen als Fox-IT al langer van deze kwetsbaarheden wist. 

Door e-mail spoofing is het mogelijk om je voor te doen als iemand anders en bijvoorbeeld namens m.rutte@tweedekamer.nl te mailen. Antwoorden op deze mails kunnen hiermee echter niet worden gelezen: die belanden in de echte inbox van het betreffende Tweede Kamer-lid.

Extra maatregelen

De Tweede Kamer heeft één van de drie voor de overheid verplichte maatregelen genomen om e-mail spoofing tegen te gaan. Hierdoor blokkeren goed ingestelde e-maildiensten nu spoofing e-mails met een @tweedekamer.nl-adres, of sturen ze door naar de spam-box. Door de andere maatregelen te nemen gaat de Tweede Kamer ook zelf deze spoofing e-mails blokkeren.

Een woordvoerder van de Tweede Kamer laat weten dat de laatste beveiligingsmaatregelen 'zo snel mogelijk' worden genomen. Een tijdsindicatie wordt daarvoor niet gegeven. Eerder raadde de nonprofit Internet.nl, dat mensen en bedrijven adviseert over internetstandaarden, de Tweede Kamer al aan om extra beveiligingsmaatregelen te nemen om e-mail spoofing tegen te gaan.

Dit kun je doen tegen e-mail spoofing

E-mail is ontwikkeld zodat je vanaf elk e-mailadres een mail kunt sturen. Daarvoor hoef je geen toegang te hebben tot de mailserver. Je kunt het vergelijken met briefpost: daar kun je ook, als je wilt, een andere ontvanger of afzender op de envelop schrijven. 

Inmiddels zijn we tientallen jaren verder en zijn er technische oplossingen bedacht om dit zo goed mogelijk te voorkomen: SPF, DKIM en DMARC. 

  • SPF bekijkt of de verzender namens het e-mailadres een mail mag verzenden. De ontvangende partij controleert dit en bepaalt of de mail wordt geblokkeerd of wordt doorgelaten.
  • DKIM ondertekent je e-mails met een digitale handtekening waarmee de ontvanger weet dat de mail door de bijbehorende mailserver is verzonden.
  • DMARC bepaalt wat er gebeurt met mails die niet voldoen aan de SPF- en DKIM-voorwaarden.

Bij de meeste webhostingpartijen kun je deze opties toevoegen aan je webdomein. Op Internet.nl lees je meer over deze beveiligingstechnieken.

Video: Hoe ethische hackers de wereld beter willen maken:

Jonge ethische hackers speuren naar kwetsbaarheden op het internet om de lekken aan bedrijven en organisaties te melden. Op die manier willen ze hun steentje bijdragen om van het internet een veiligere plek te maken.
`