Beveiliging webmail Nederlandse providers deugt niet

Bij Chello, Orange (het voormalige Wanadoo), Planet Internet, Tiscali, Tele2 (voorheen Versatel / Zonnet) en 12Move is het mogelijk om de e-mailinstellingen van abonnees aan te passen zonder dat zij dit merken.

Om misbruik te maken van deze lekken, moet een kwaadwillende een mailtje met code sturen naar zijn gewenste slachtoffer. Als het slachtoffer dit bericht in zijn webmail opent, worden zijn e-mailinstellingen gewijzigd. Daardoor is het bijvoorbeeld mogelijk om een kopie van elk ontvangen bericht door te sturen naar een opgegeven adres.

Outlook Web Access

Dat blijkt uit onderzoek dat e-mailbeveiligingsexpert Martijn Brinkers van Izecom op verzoek van Webwereld heeft gedaan naar de beveiliging van de webmail van deze providers. Brinkers constateerde ook problemen bij Het Net en Xs4all. Bij deze providers is het met behulp van een geprepareerd mailtje mogelijk om tijdelijk ‘in te breken’ op de webmail van een abonnee. Het is echter niet mogelijk om de e-mailinstellingen van het slachtoffer te wijzigen.

“De problemen bij Het Net en Xs4all zijn aanmerkelijk minder ernstig dan de problemen die ik bij de andere isp’s heb gevonden, aangezien je bij de andere providers aanpassingen kunt doen die een blijvend karakter hebben”, stelt Brinkers.

Desondanks zijn de veiligheidsproblemen van Het Net pikant omdat de provider gebruikmaakt van Outlook Web Access (OWA) van Microsoft. Microsoft is inmiddels op de hoogte van het lek in OWA, dat ook populair is bij bedrijven. Het Exchange-team van Microsoft heeft beloofd met een oplossing te komen.

Exploits

Webwereld heeft de onderzochte internetaanbieders de afgelopen weken ingelicht over de veiligheidsproblemen. Zonder uitzondering beloven zij om de problemen te verhelpen. Dat is overigens gemakkelijker gezegd dan gedaan.

De providers namen wel maatregelen, maar volgens Brinkers lossen de ‘oplossingen’ het probleem in veel gevallen niet op. Integendeel. Op het moment van schrijven was het bij 12Move, Tiscali, Orange, Tele2 en Chello nog steeds mogelijk om iemands mail stiekem naar een ander adres door te laten sturen.

Om misbruik te maken van de veiligheidslekken is het bij deze providers voldoende om een gebruiker zover te krijgen dat hij een geprepareerd mailbericht in zijn webmail opent. Bij Tele2 en Orange bevat het mailtje een <IMG>-tag, die ervoor zorgt dat het forward-adres wordt aangepast. De exploits bij 12Move, Tiscali en Chello werken met javascript.

Wachtwoord

Orange heeft de mogelijkheid om het forward-adres aan te passen van het instellingenscherm in de webmail verwijderd. Desondanks is het probleem niet verholpen, constateert Brinkers.

“De enige manier om nu zelf de forward-instellingen in je webmail aan te passen, is door gebruik te maken van het mailtje waarmee ik het lek in de Orange-webmail heb aangetoond”, aldus Brinkers. “Orange heeft wel de user interface aangepast, maar niet het daadwerkelijke probleem aangepakt.”

Marjolein Bijsterveld van Orange zegt dat de provider nog kijkt naar structurele maatregelen. “Daarbij is een optie dat we naar het wachtwoord gaan vragen als onze abonnees hun forward-instellingen willen wijzigen.”

Volgens Brinkers ligt die oplossing inderdaad voor de hand. “Het is eigenlijk te gek dat ze dat niet al hadden gedaan. Bij Hotmail, Yahoo, Gmail et cetera moet je altijd je wachtwoord opnieuw invullen als je een belangrijke aanpassing wil doen. Dat is niet voor niets.”

Vakantie

Planet heeft wel met enig succes maatregelen genomen. “We hebben de functionaliteiten om mail automatisch te laten doorsturen en om mail automatisch te laten beantwoorden, uitgezet”, aldus Eke Wolters van Planet. “Als je op vakantie bent en je wilt deze zaken toch aanpassen, dan moet je even een mail naar de helpdesk sturen of bellen.”

Brinkers bevestigt dat het bestaande forward-adres niet meer kan worden aangepast. Wel is het nog altijd mogelijk om scripts te activeren in de webmail van Planet. “Daardoor kun je tijdelijk ‘inbreken’ in iemands e-mail.”

Bij Het Net waren de problemen op het moment van schrijven nog niet opgelost. Dat hoeft niet te verbazen: de provider wacht hoogstwaarschijnlijk op de patches van Microsoft.

De ontwikkelaars van Squirrelmail, het webmailsysteem dat Xs4all gebruikt, hebben dit weekeinde diverse patches uitgebracht waarmee alle door Brinkers gesignaleerde veiligheidsproblemen worden opgelost.

Niet genoeg budget

Het is niet voor het eerst dat Brinkers veiligheidsproblemen bij Nederlandse internetaanbieders ontdekt. In 2005 en 2004 deed de e-mailbeveiligingsexpert ook al onderzoek naar de webmail van Nederlandse providers. Destijds bleken er eveneens de nodige lekken in de webmailsystemen te zitten.

Brinkers denkt dat internetaanbieders te weinig tijd en geld steken in de beveiliging van hun webmail. “Ik denk dat de meeste providers het aanbieden van e-mail niet zien als belangrijks. Er is dan waarschijnlijk ook niet genoeg budget om de juiste mensen in dienst te nemen.”

“De grote uitzondering vind ik Xs4all. Toen Xs4all op de hoogte was van het probleem kreeg ik onmiddellijk een e-mail van Cor Bosman van Xs4all waarin hij aangaf dat hij een aantal patches had aangebracht. Hij vroeg om mijn input betreffende een IE-bug workaround. Cor is duidelijk iemand met kennis van zaken en kan goed inschatten wat de impact is van bepaalde problemen.”