[Veiligheid] “E-mail is één groot gapend gat”

ansichtkaartcreditcard_web

Foto: Maurits Reijnoudt

Deze week sprak ik met beveiligingsexpert Hugo Leisink. Hij studeerde informatica aan de TU Delft en specialiseerde zich in cryptografie. Nu werkt hij in de vervoer- en transportsector. Ons gesprek ging over de veiligheid van e-mail. Conclusie: e-mail is één groot gapend gat.

Hieronder lees je het volledige transcript van het interview met Hugo.

Hugo Leisink Foto: Hugo Leisink

Hugo Leisink Foto: Hugo Leisink

Wat voor achtergrond heb je?

“Ik heb informatica gestudeerd aan de TU Delft en ben afgestudeerd op het onderwerp cryptografie. Ik heb uitgezocht voor de Nederlandse Politie of het PKI een goed certificatensysteem zou zijn om alle communicatie onderling en met het OM en dergelijken te beveiligen.”

Volgens jou zijn er veiligheidsproblemen die nooit helemaal opgelost zullen worden. Wat voor problemen zijn dat en waarom zijn ze onoplosbaar?

“Ik zie tegenwoordig in allerlei projecten dat mensen beveiliging niet helemaal snappen. Ze kijken vaak naar de techniek, naar firewalls en certificaten. In de praktijk werkt beveiliging niet zo. Er worden geen goede risicoanalyses gemaakt. Dat er geen waterflesjes naar binnen mogen in een vliegtuig, dat er een paspoort bestaat met biometrische gegevens erin, dat er een ov-chipkaart bestaat: het zijn stuk voor stuk geen oplossingen voor de problemen die eraan vooraf gingen.

Laten we eens naar de ov-chipkaart kijken, een beveiligingssysteem. Het enige bestaansrecht van de ov-chipkaart is dat er een probleem was met de verdeling van het geld dat de strippenkaart vroeger kostte. In tabakswinkeltjes en supermarkten, overal kon je de strippenkaart vroeger kopen. Eens in de zoveel tijd kwam het geld op een grote hoop te liggen en moest het verdeeld worden over de vervoersmaatschappijen. Niemand wist hoe het geld eerlijk verdeeld kon worden. Dus kwam er de strippenkaart waarmee je precies kon zien wie welk geld kreeg.
Een rare oplossing voor dit probleem, want vervoersmaatschappijen worden gesubsidieerd door de overheid omdat ze niet rendabel zijn.
Een ander argument om de ov-chipkaart in te voeren is het tegengaan van zwartrijden. Daarvoor kan je ook gewoon de strippenkaart beter beveiligen met oplossingen die veel minder kosten dan zo’n draconisch systeem als de ov-chipkaart.

Op deze manier kijken naar een probleem, gaat voorbij aan de ware aard van het probleem. Mensen die zich bezig houden met de ontwikkeling van dit soort dingen, denken al gauw aan technische snufjes, pasjes, chipjes. Die zijn omslachtig en kosten veel geld.”

Als je op deze manier naar e-mail kijkt, wat denk je daar dan van?

“E-mail werkt volgens een oud, antiek protocol. Ik kan deze denkwijze lastig op e-mail loslaten. E-mail is nooit bedoeld om te beveiligen maar is ontworpen als open communicatiesysteem.”

Dat snap ik, maar er zitten toch wel gaten in die je wilt dichten?

“Nou, er zitten niet zozeer gaten in. Het is gewoon één groot gapend gat. Ik denk dat één van de belangrijkste misverstanden in e-mail is, dat je denkt dat een e-mailadres van jou is. Iedereen kan namelijk namens iedereen een e-mail sturen. Ik vul gewoon een willekeurig adres in, zonder dat er een controlesysteem is dat controleert of er wel met dit e-mailadres mag worden gecommuniceerd. Als je een Gmail of Hotmail-account hebt, merk je daar weinig van als je je browser gebruikt om in te loggen.
E-mail is nooit bedoeld om te controleren. De ontwerpers van het ARPA-net hebben nooit een wereldwijd netwerk in gedachten gehad dat door miljarden mensen gebruikt zou gaan worden. Daarom is het zo naïef opgezet.”

In de Netiquette Guidelines staat: zet niets in e-mail wat je ook niet op een ansichtkaart zou zetten. Klopt deze analogie nog steeds?

“Nee, als je in het achterhoofd houdt hoe er nu omgegaan wordt met ansichtkaarten. Vroeger keek het personeel van PTT nog letterlijk naar de adressen die op de kaart stonden. Ongetwijfeld werd er ook weleens een blik geworpen op de inhoud van de ansichtkaart. Tegenwoordig is het voor de sortering niet meer nodig om het adres te laten lezen door een persoon. De kaart wordt dus door veel minder mensen gelezen.
E-mail lijkt daar nog steeds op en is wat dat betreft nog steeds onveilig. Het belangrijkste daarin is, dat je geen idee hebt wie er mee kan lezen. Ik kan wel ongeveer nagaan welk pad een mailtje bewandelt, maar ik verwacht niet dat er iemand bij mijn provider mijn mailtje gaat lezen. Echter: het belangrijkste is dat ik géén zekerheid heb dat dit niet gebeurt.”

Maar is het dus nog even onveilig als vroeger?

“Nou ja, even onveilig als het nu is om gevoelige informatie op een ansichtkaart te zetten. De kans is heel groot dat mijn ansichtkaart ongelezen aankomt. Maar ik weet het niet zeker. De kans is heel groot dat mijn e-mail ongelezen aankomt, maar ik weet het niet zeker.”

Als de informatie die je verstuurt met e-mail in de ogen van iemand anders waardevol is en je verstuurt de inhoud onversleuteld, dan is dat systeem dus zo lek als een mandje en iedereen kan meelezen als-ie wil?

“Dat is absoluut mogelijk.”

ansichtkaartsleutel_web

“Verstuur absoluut geen vertrouwelijke informatie via e-mail.” Foto: Maurits Reijnoudt

Welke stappen in het proces kun je onderscheiden en dus ook beveiligen?

“Het SMTP-protocol vereist dat een mailtje is opgesteld met headers, een lijstje met servers die het mailtje passeert onderweg naar de ontvanger, de afzender, het tijdstip van verzenden, enzovoorts. Daaronder staat de inhoud. Een PGP-applicatie versleutelt alleen de inhoud. De headers worden dus onversleuteld verstuurd. Deze zijn dus altijd zichtbaar omdat het SMTP-protocol zonder die metadata niet zou werken.

Of iemand kan meelezen met de inhoud heb je dus zelf in de hand. De rest van het mailtje is zichtbaar zodra je het de deur uit doet. Ik kan wel zien of de communicatie tussen de mailservers ook versleuteld is, waardoor je niet in het midden kunt afluisteren wat er wordt gecommuniceerd tussen de servers, maar wat er na het versturen naar mijn eigen server gebeurt, daar heb ik geen grip op. Het is het meest realistisch om er van uit te gaan dat jouw mail niet versleuteld wordt verstuurd.

Maar versleutelde communicatie tussen mailservers biedt, als je veiligheidsdiensten in je achterhoofd houdt, een schijnveiligheid. De AIVD kan namelijk gewoon toegang vragen tot een server en op die manier alle mailtjes lezen. Het is dus niet reëel om te zeggen dat versleutelde communicatie tussen servers de ultieme oplossing is.”

Welke belangen spelen er in de beveiliging van e-mail?

“Technisch is het mogelijk om e-mail tot op zekere hoogte te beveiligen. In onze conversatie over dit interview hebben we de inhoud versleuteld. Echter, zoals jij ook weet, is de werking van PGP niet makkelijk uit te leggen aan de gemiddelde Nederlander. Dat maakt het heel onwaarschijnlijk dat een groot publiek zijn e-mail versleuteld gaat versturen.
Daar komt bij dat niemand de dreiging ziet. Weinig mensen snappen hoe beveiliging werkt. Bijna niemand ziet de trend in privacyschending. Wie weet wat grote bedrijven doen met hun data?

Om een antwoord op de vraag te geven: er spelen geen belangen in beveiliging. Het wordt niet doelbewust zwak gehouden. Zwakker dan het nu is, kan je het bijna niet krijgen.”

Wat zou je mensen adviseren aangaande hun e-mailgebruik?

“Veel mensen zeggen altijd: “Ik heb niets te verbergen. Ik stuur namelijk alleen maar onschuldige mailtjes over verjaardagsfeestjes en een borrel bij de buren.” Ik zou zeggen: houd het daar dan ook bij. Verstuur absoluut geen privé-informatie via e-mail. Stuur geen creditcard-gegevens via e-mail als het hotel dat je wilt boeken daarom vraagt. Dat is echt ontzettend stom. Je weet niet of het onderschept wordt en je weet ook niet waar het dan is misgegaan en wie het heeft onderschept, op het moment dat er op jouw naam schulden worden gemaakt.
Wat je niet op een ansichtkaart zet, moet je ook niet mailen, tenzij je PGP gaat gebruiken.”

Toch wordt binnen bedrijven e-mail veel gebruikt. Wat vind jij daarvan?

“Ik kijk er al niet meer van op als ik zie wat mensen per e-mail sturen. Dat gaat van vertrouwde stukken als offertes, tot aan persoonsgegevens. Gevoelige informatie. Alles wordt per e-mail verstuurd. Dat vind ik heel dom, maar het is moeilijk te verkopen dat het onverstandig is. Het gaat namelijk heel vaak goed.
Maar als het fout gaat, heb je er geen zekerheid van dat dat via dat mailtje is gegaan dat jij onversleuteld verstuurde. Je weet niet wie je mail heeft onderschept en al helemaal niet óf dat is gebeurd.

Omdat iedereen nu mailt op zijn telefoon is het heel makkelijk om door middel van die telefoon in te breken op iemands inbox. Je kan niet zeggen: “Ik heb niets te verbergen.” Je weet namelijk niet waar een ander naar op zoek is en welke waarde er dus in jouw inbox zit.”

6 Thoughts on “[Veiligheid] “E-mail is één groot gapend gat”

  1. Maar wat is een goed alternatief voor e-mail? Zeker als het gaat om contact met bedrijven en registraties op websites.

  2. Wat me verbaasd is dat Hugo PGP suggereert, dat is gesloten software, het kan niet bekeken worden of er achterdeuren in zitten, die bepaalde geheime diensten er graag in willen hebben, ze proberen niet voor niets de randomgenerators te verzwakken.
    GPG is een fractie veiliger omdat het tenminste nog open source is en experts door de code kunnen neuzen. Of dat ook werkelijk gebeurt is natuurlijk wel de vraag.

    • Hoi Caro,

      De eerste versies van PGP waren open source. Daarna heeft het bedrijf PGP een aantal closed source varianten uitgebracht. Maar ondertussen werd door GNU een open tegenhanger geschreven die hetzelfde protocol hanteert. GnuPG, of GPG in de volksmond. Deze open versie is inmiddels de standaard geworden. Als je op dit moment zegt dat je ‘PGP’ moet gebruiken, wordt daarmee doorgaans bedoeld dat je software die de ‘PGP-standaard’ hanteert moet gebruiken, niet de PGP software.

      Verder is GnuPG een van de beter doorgelichte stukken software die ik ken.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

De volgende HTML-tags en -attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation