Nederlandse providers hebben beveiliging webmail niet op orde

Dat blijkt uit onderzoek dat beveiligingsexpert Martijn Brinkers van Izecom voor Webwereld heeft gedaan. Webwereld heeft de betreffende providers vorige week op de hoogte gesteld van de beveiligingslekken.

De problemen deden zich voor bij zeker dertien Nederlandse mailaanbieders. Het gaat daarbij om Chello, Planet Internet, Versatel/Zonnet, XS4ALL, Tiscali, Wanadoo, @Home, Ilse Mail, Lycos, 12Move, RaketNet, Superweb en Freemail.

De getroffen providers hebben inmiddels (provisorische) maatregelen getroffen om de lekken te dichten. Voor DIS Europe is het veiligheidslek zelfs reden om de gebruikers van Superweb versneld over te zetten naar een nieuw e-mailplatform. “We hopen de migratie binnen enkele dagen te hebben afgerond”, aldus Harry Dijkstra van DIS Europe.

Bij de meeste providers zetten de aanpassingen geen zoden aan de dijk, stelt Brinkers. Alleen XS4ALL heeft alle lekken goed gedicht. Ook Ilse, RaketNet en Superweb hebben substantiële maatregelen genomen, zij het dat nog niet alle problemen zijn verholpen. De veranderingen die de andere internetaanbieders hebben doorgevoerd, zijn eenvoudig te omzeilen.

De details van de beveiligingsproblemen verschillen van provider tot provider. Uiteindelijk was het bij alle genoemde internetaanbieders mogelijk om e-mails van abonnees te lezen en de instellingen van de betreffende gebruikers aan te passen. Bij Lycos kan een kwaadwillende daardoor bijvoorbeeld de spam- en virusfilters van een slachtoffer uitzetten.

Extern script

Om misbruik te maken van de veiligheidslekken was het bij de meeste providers voldoende om een gebruiker zover te krijgen dat hij een geprepareerd mailbericht in zijn webmail opent.

Bij Chello, Planet Internet, 12Move, RaketNet en Freemail wordt er vervolgens een extern script geladen dat de instellingen van de gebruiker zo wijzigt dat een kopie van elk binnenkomend mailtje wordt doorgestuurd naar een opgegeven adres. Bij Ilse was het mogelijk om op vergelijkbare wijze een kopie van elk verzonden bericht naar een opgegeven adres te sturen.

Bij Freemail en Wanadoo werd alleen de huidige inbox gekopieerd. Bij Chello, Planet, 12Move, Ilse en RaketNet was het effect blijvend. Door de veranderde instellingen wordt in het vervolg van elk mailtje een kopie doorgestuurd, ook als het slachtoffer nooit meer gebruikmaakt van webmail.

Bij de andere providers was het niet nodig om een extern script te laden. Zo was bij Tiscali bijvoorbeeld het opnemen van een speciale <IMG>-tag in het mailbericht voldoende om een kopie van elk binnengekomen bericht te laten doorsturen.

Bij XS4ALL was het moeilijker dan bij andere providers om de mail van een gebruiker te kunnen lezen. Het slachtoffer moest in dit geval niet alleen een geprepareerd mailtje in zijn webmail openen, maar ook op een link het mailbericht klikken. Slaagde een aanvaller erin om een gebruiker zover te krijgen, dan was het mogelijk om de in de inbox aanwezige e-mail door te sturen naar een opgegeven adres.

Up-to-date

Bij Versatel/Zonnet en XS4ALL werden de problemen veroorzaakt doordat de providers hun webmailsoftware (respectievelijk Horde en Squirrelmail) niet up-to-date hadden gehouden.

“Wij installeren niet automatisch iedere keer de laatste versie van Squirrelmail”, stelt Judith van Erve van XS4ALL. “Nieuwe versies brengen vaak ook nieuwe problemen met zich mee, en als het niet nodig is om deze te installeren, dan doen we dat liever niet.”

“Wel proberen we natuurlijk eventuele security patches te installeren. We hebben nu echter één patch gemist. Die is nu uiteraard direct geïnstalleerd. We hebben gelukkig geen indicatie dat er misbruik van het lek is gemaakt.”

Volgens Brinkers is het niet de eerste keer dat XS4ALL laks is met het installeren van nieuwe security patches. “In oktober vorig jaar had ik ook al eens een lek gevonden bij XS4ALL. Omdat ik er vanuit ging dat XS4ALL alles netjes bijhield, dacht ik dat het een onbekend probleem was. Dat bleek niet het geval te zijn. Het was een probleem dat Squirrelmail al had opgelost.”

Brinkers prijst wel de snelheid waarmee XS4ALL reageert op meldingen over beveiligingsproblemen. “Ik kreeg onmiddellijk een e-mail van XS4ALL waarin ze aangaven dat ze de problemen hadden opgelost.”

Gebruiksgemak

Sommige providers wijzen erop dat het extra beveiligen van hun webmail ten koste kan gaan van de gebruikersvriendelijkheid. Brinkers pleit ervoor om gebruikers nogmaals hun wachtwoord te laten invullen als ze de instellingen van hun webmail willen aanpassen. Daarmee zouden veel problemen kunnen worden voorkomen.

“Het nadeel van deze optie is dat webmailgebruikers zich meerdere malen moeten authenticeren tijdens het gebruik van de dienst”, meent Wander Bruijel van Tiscali. “Dit komt het gebruiksgemak niet ten goede.” Overigens overweegt Tiscali wel een extra wachtwoordbeveiliging.

Volgens Michiel Houben van Ilse is het ‘onmogelijk om bij mail over het web garanties af te geven’. “We streven wel naar absolute veiligheid. Ik baal er daarom ook enorm van dat we geen waterdichte beveiliging hebben kunnen bieden.”

Slordig

Uit een onderzoek dat Brinkers in het najaar van 2004 uitvoerde naar de beveiliging van de webmail van een groot aantal Nederlandse providers bleek ook al dat veel aanbieders hun zaakjes niet goed op orde hebben.

Destijds was het eveneens mogelijk om bij zeker tien Nederlandse internetaanbieders andermans mail te lezen. Ook behoorde het in sommige gevallen tot de mogelijkheden om het wachtwoord van een webmailgebruiker te achterhalen. In drie gevallen kon een kwaadwillende de e-mail van een webmailgebruiker compleet overnemen en de oorspronkelijke gebruiker buitensluiten.

Dat veel internetaanbieders hun webmail nog steeds niet op orde hebben, noemt Brinkers ‘heel erg slordig’. “Het toont duidelijk aan dat veiligheid bij de meeste providers geen prioriteit is. Op zichzelf is dat hun eigen verantwoordelijkheid, maar maak dat dan wel duidelijk aan je klanten.”

“Met andere woorden: als providers geen gebruikmaken van extra beveiligingsmaatregelen, moeten ze aangeven dat er geen privacygevoelige informatie via het e-mailsysteem van de provider moet worden verstuurd. De zaak Tonino heeft laten zien wat er kan gebeuren als iemand dat wel doet.”

Officier van Justitie Joost Tonino legde in oktober vorig jaar zijn functie neer nadat een hacker de hand had weten te leggen op persoonlijke e-mails van Tonino. Het weblog Neukia.nl publiceerde deze berichten.