image

Deel e-maildomeinen vitale sector onvoldoende beschermd tegen spoofing

donderdag 7 oktober 2021, 09:37 door Redactie, 13 reacties

De vitale sector maakt niet altijd gebruik van standaarden voor e-mailbeveiliging, waardoor bijvoorbeeld spoofing mogelijk is, zo stellen Zembla en de Internet Cleanup Foundation op basis van onderzoek onder honderd bedrijven en organisaties. Het gaat dan om de standaarden SPF, DKIM en DMARC die niet zijn geïmplementeerd of onvoldoende strikt zijn geconfigureerd.

DMARC staat voor Domain Message Authentication Reporting & Conformance (DMARC). Via DMARC kunnen organisaties beleid instellen hoe e-mailproviders moeten omgaan met e-mails waarvan niet kan worden vastgesteld dat ze van het betreffende afzenderdomein afkomstig zijn. Het Sender Policy Framework (SPF) controleert of een verzendende mailserver die e-mail namens een domein wil versturen, ook daadwerkelijk gerechtigd is om dit te mogen doen.

Met DKIM kan de domeinnaamhouders aangeven met welke sleutel e-mailberichten moeten zijn gesigneerd. Verzendende mailservers ondertekenen alle uitgaande e-mail namens deze domeinnaam met deze sleutel. Ontvangende mailservers kunnen met behulp van DKIM controleren of de e-mail door een geautoriseerde partij is verzonden. Via de standaarden kan e-mailspoofing, waarbij een aanvaller zich in een e-mail voordoet als een ander door het afzendadres te vervalsen, worden voorkomen.

Van de honderd onderzochte organisaties hadden er 57 DMARC, DKIM en SPF ten tijde van het onderzoek de screening geïmplementeerd en strikt geconfigureerd. Bij de overige 43 bedrijven ontbrak minstens één van de drie veiligheidsstandaarden, of stond deze onvoldoende strikt geconfigureerd. Het gaat onder andere om de kerncentrale van Borssele, de KLM, hoogspanningsbeheerder TenneT en elektriciteitsproducent Vattenfall.

Van de 43 bedrijven en organisaties die niet alle veiligheidsstandaarden toepasten of strikt hadden geconfigureerd zeggen er 34 hun e-mailbeveiliging verder te zullen aanscherpen. In juli bleek dat een kwart van de Nederlandse ziekenhuizen en GGD's geen gebruikmaakt van de eerder genoemde beveiligingsstandaarden en ook de overheid heeft dit nog niet overal op orde.

Reacties (13)
07-10-2021, 10:14 door Anoniem
Het nut is dan ook twijfelachtig. Het voorkomt nog steeds geen spoofing, het maakt het iets moeilijker.
Email is nou eenmaal by design niet betrouwbaar. En dus niet geschikt voor iets wat in enige vorm vertrouwelijk is. Zelf als zou je alles 'strict' configureren... dan is er wel ergens een brakke exchange server die de boel potentieel verziekt.

Zie het als een briefkaart: alles wat je niet per briefkaart zou versturen, moet je ook niet per mail versturen. Als je een briefkaartje krijgt met 'kun je ff 5 ton overmaken', dan doe je dat ook niet (hoop ik...)
07-10-2021, 10:23 door Anoniem
Dus al die mailtjes van kerncentrale Borssele voor goedkope kernenergie zijn nep en ik had er niet op moeten reageren? Balen.
07-10-2021, 11:02 door Anoniem
Ok maar het blijft natuurlijk een papieren beveiliging. Voor dat die standaarden enig effect hebben moet er eerst ook
afgedwongen worden dat ze aan de ontvangende kant verwerkt worden, zolang dat niet zo is kan er gewoon nog
gespoofed worden. Je kunt dan hooguit de schuld bij de ontvanger gaan leggen, "had ie zijn mail maar beter moeten
regelen".

Is trouwens wel interessant om te zien wat bijvoorbeeld een bank zou doen als je in een gespoofed mailtje getrapt
bent wat niet voldoet aan de DMARC policy. Gaan ze dan nog "vergoeden" of is het "verwijtbaar gedrag", ook al
heeft je mailprovider het niet gemeld omdat ie daar niet op checked?

(om het nog maar niet te hebben dat deze standaards alleen beschermen tegen "spoofen van het maildomein" en NIET
tegen "spoofen van mail van de organisatie". en dat is toch meestal heel wat belangrijker!)
07-10-2021, 12:17 door Anoniem
Van de Zembla website:
https://www.bnnvara.nl/zembla/artikelen/groot-deel-vitale-sector-kwetsbaar-voor-cybercriminelen
"Opvallend is verder dat de Veiligheidsregio’s slecht scoren, terwijl de Veiligheidsregio Noord- en Oost-Gelderland vorig jaar nog getroffen werd door een ransomware-aanval. Van de 25 Veiligheidsregio’s hadden er 13 hun e-mail onvoldoende tegen phishing beveiligd, terwijl zij als overheidsorganisatie hiertoe wel verplicht zijn.(..)"
“Ook wij hebben in de praktijk er wel eens mee te maken dat er op een verkeerde link wordt geklikt of dat er een besmet bestand wordt geopend”, vertelt hoogspanningsbeheerder TenneT, die eveneens de mail onvoldoende beveiligd heeft.(..)"
Dat wordt dan misschien het onderwerp van de volgende Zembla uitzending van donderdag 15 oktober, want vanavond eerst:
https://www.bnnvara.nl/zembla/artikelen/gehackt-en-gegijzeld
8 oktober 2021 20:30 NPO2
"Zembla onderzoekt: is Nederland goed beschermd tegen ransomware-aanvallen?"
07-10-2021, 12:38 door Anoniem
Zembla "Gehackt en gegijzeld"

uitzending van donderdag 7 oktober om 20.25 uur, BNNVARA op NPO2

https://www.npostart.nl/zembla/07-10-2021/BV_101405031

Een aanzienlijk deel van de vitale bedrijven en organisaties in Nederland, waaronder Veiligheidsregio's [1] en de kerncentrale Borssele, beschermt zijn e-mail onvoldoende tegen cybercriminaliteit. Uit onderzoek van Zembla en de Internet Cleanup Foundation blijkt dat 43 van de 100 onderzochte bedrijven en organisaties de e-mailsystemen niet optimaal hebben beveiligd tegen phishing, spoofing en ransomware.

https://www.bnnvara.nl/zembla/artikelen/groot-deel-vitale-sector-kwetsbaar-voor-cybercriminelen

Tot de 100 zogenoemde vitale bedrijven en overheidsorganisaties die Zembla en de ICF onderzochten behoren banken, energieproducenten, drinkwaterbedrijven, exploitanten van nucleaire installaties, ministeries en vervoersbedrijven.


Zie het Volkskrant artikel en de 'Evaluatie aanval gijzelsoftware bij VNOG' van het Instituut Fysieke Veiligheid

[1] https://www.security.nl/posting/716315/Gelderse+Veiligheidsregio+overgestapt+van+WhatsApp+naar+Signal
07-10-2021, 13:16 door Anoniem
Tja, weet niet. Ik had laatst nog mail van een Nigeraanse bank over een erfenis van een oom van me, dik bedrag om van te rentenieren. Moest even een 5% aan administratieve kosten over te maken en dan komt het mijn rekening toe. Nigeria is echt mijn geluks land, pas geleden ook nog een loterij gewonnen daar, en een heuse prins die me mailde die mijn hulp nodig had. Ik kan je niet vertellen hoe vereerd ik me voelde.
07-10-2021, 13:33 door waterlelie
DMARC staat voor Domain Message Authentication Reporting & Conformance (DMARC). Via DMARC kunnen organisaties beleid instellen hoe e-mailproviders moeten omgaan met e-mails waarvan niet kan worden vastgesteld dat ze van het betreffende afzenderdomein afkomstig zijn. Het Sender Policy Framework (SPF) controleert of een verzendende mailserver die e-mail namens een domein wil versturen, ook daadwerkelijk gerechtigd is om dit te mogen doen.

Met DKIM kan de domeinnaamhouders aangeven met welke sleutel e-mailberichten moeten zijn gesigneerd. Verzendende mailservers ondertekenen alle uitgaande e-mail namens deze domeinnaam met deze sleutel. Ontvangende mailservers kunnen met behulp van DKIM controleren of de e-mail door een geautoriseerde partij is verzonden. Via de standaarden kan e-mailspoofing, waarbij een aanvaller zich in een e-mail voordoet als een ander door het afzendadres te vervalsen, worden voorkomen.

Allemaal nutteloos zolang er geen zichtbare alarm voor de ontvanger afgaat, als die zijn mailbox opent. Je kunt er een heel verhaal van maken, maar je moet je gewoon in de huid van de gemiddelde ontvanger verplaatsen. Jarenlang is er gesteggeld over het nut van certificeren van websites, en nu weigert je browser websites die geen geldig certificaat hebben.

Maak wetgeving, die bedrijven verplichten tot certificatie van e-mails die van hun mailservers of servers van externe bedrijven die dat voor hen doen afkomstig zijn.
07-10-2021, 13:54 door Briolet
Door Anoniem: Het nut is dan ook twijfelachtig. Het voorkomt nog steeds geen spoofing, het maakt het iets moeilijker.

Iets als DMARC voorkomt zeker spoofing. De ontvangende mailserver heeft dan een duidelijk opdracht om dergelijke mail in het geheel niet af te leveren. Mits de policy op 'reject' staat. Bij teveel ondernenmingen staat die nog steeds op 'none', als ze het al gebruiken.
07-10-2021, 15:10 door Anoniem
Door Briolet:
Door Anoniem: Het nut is dan ook twijfelachtig. Het voorkomt nog steeds geen spoofing, het maakt het iets moeilijker.

Iets als DMARC voorkomt zeker spoofing. De ontvangende mailserver heeft dan een duidelijk opdracht om dergelijke mail in het geheel niet af te leveren. Mits de policy op 'reject' staat. Bij teveel ondernenmingen staat die nog steeds op 'none', als ze het al gebruiken.

Ja maar je hebt er in de praktijk niks aan omdat je nog steeds mail "van een organisatie" kunt spoofen.
Als ik jou mail stuur vanaf een adres @abnbanknederland.nl helemaal in de huisstijl van de ABN en met alles correct
op DMARC, SPF en DKIM gebied en doend alsof dit van de ABN bank komt ga je dat dan ontdekken als "spoofed"?
En tante truus, gaat die dat ontdekken?

Wat er ontbreekt, dat is al vaker aan de orde geweest hier, is een protocol/registratie van acceptabele maildomeinen
per organisatie. Zodat je mail programma een waarschuwing kan geven "dit zegt wel van ABN te zijn maar dat is niet zo".
Zonder dat heeft het weinig zin om je @abn.nl domein te gaan beschermen, want dat gebruikt men dan gewoon niet.
07-10-2021, 15:30 door Anoniem
Door Briolet:
Door Anoniem: Het nut is dan ook twijfelachtig. Het voorkomt nog steeds geen spoofing, het maakt het iets moeilijker.

Iets als DMARC voorkomt zeker spoofing. De ontvangende mailserver heeft dan een duidelijk opdracht om dergelijke mail in het geheel niet af te leveren. Mits de policy op 'reject' staat. Bij teveel ondernenmingen staat die nog steeds op 'none', als ze het al gebruiken.

Maar hoeveel van de ontvangende mail-servers kijken überhaupt naar de DMARC settings? Want het moet daar ook nog eens goed geconfigureerd staan. Pas als er aan de ontvangende kant ook goed mee omgegaan wordt heeft het zin.
07-10-2021, 16:35 door Briolet - Bijgewerkt: 07-10-2021, 16:44
Door Anoniem: Ja maar je hebt er in de praktijk niks aan omdat je nog steeds mail "van een organisatie" kunt spoofen.
Als ik jou mail stuur vanaf een adres @abnbanknederland.nl helemaal in de huisstijl van de ABN en met alles correct
op DMARC, SPF en DKIM gebied

Als jij een andere afzender gebruikt, is dat geen spoofen meer. Bij spoofen ga je juist een origineel adres imiteren.

In mijn geval gaat zo'n mail met 'gelijkende afzender" altijd rechtstreeks naar de map "onbekende afzenders", omdat het een afzender is die niet in mijn adresboek staat.

Maar hoeveel van de ontvangende mail-servers kijken überhaupt naar de DMARC settings? Want het moet daar ook nog eens goed geconfigureerd staan.
Dat weet ik inderdaad niet. Ik ga ervan uit dat de grote partijen zoals Gmail dit wel goed doen omdat zij voortrekker zijn in het toepassen van iets als dmarc.

Op onze server komt mail met falende dmarc of hard-falende spf, niet binnen.
Soft-fail spf moet ik tot mijn spijt wel doorlaten, want te veel bedrijven sturen hun mail foutief de deur uit met een spf soft-fail tot gevolg.
08-10-2021, 09:28 door Anoniem
Uit de schriftelijke reactie van de directie van de kerncentrale in Borssele aan aan Zembla:

Directie: "Wij beseffen dat er mogelijk onrustgevoelens kunnen ontstaan als er vragen hangen over onze cyberveiligheid. Er waren bij ons eerder pogingen tot ransomware, maar die leidden niet tot incidenten. Maar de beveiliging van email wordt aangescherpt."


Telefonische vraag van Zembla, in reactie op het ontvangen schrijven:

Zembla: "Waarom voldoet u als kerncentrale niet aan de hoogste beveiligingsstandaarden?"

Woordvoerster: "Dat weet ik echt niet, want dat is helemaal mijn expertise ook niet."

[...]

Elger Jonker, onderzoeker digitale veiligheid:

Jonker: "Het is zorgelijk. Het is beneden het niveau wat ik zou verwachten."


Zembla: "Je verwacht dit van de bakker om de hoek? Dat 'ie z'n mail niet goed beveiligd heeft."

Jonker: "De bakker om de hoek heeft nog wel eens een betere e-mail inrichting dan zo'n bedrijf."
08-10-2021, 10:59 door Anoniem
Deze problematiek komt niet uit de lucht vallen. De berichtgeving die hieraan vooraf ging:

Securitybedrijven luiden noodklok over ransomware-incidenten in Nederland
woensdag 4 augustus 2021, 09:29 door Redactie

https://www.security.nl/posting/715255/Securitybedrijven+luiden+noodklok+over+ransomware-incidenten+in+Nederland
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.