PARAMARIBO, 23 december 2020 – De afgelopen maand heb ik een aantal artikelen geschreven over de status en kwaliteit van de digitale voorzieningen in Suriname.
In de eerste reeks artikelen heb ik aangetoond hoe zwak onze Nationale Assemblée online functioneert en hoe eenvoudig het is om de volledige ICT-infrastructuur van het parlement binnen te dringen.
Binnen 24 uur drong ik digitaal ons parlement binnen
Het daaropvolgende artikel ging over de onzekere toekomst van onze olie-inkomsten die momenteel via een malafide “online evenement” in de uitverkoop wordt gegooid.
De website die dit alles organiseert heeft – volgens de beruchte Panama Papers – sterke banden met onder andere een failliet bedrijf in de Verenigde Arabische Emiraten, een veroordeelde agent in Amerika en een geheime locatie in India.
onze digitale toekomst
– een omvallend dominospel –
Niet alleen de vooruitzichten voor onze olie-inkomsten zijn op online gebied uiterst somber, ook de algehele digitale toekomst van ons land is zeer zorgwekkend.
In de krochten van het internet – maar ook gewoon op de meer legale delen hiervan – woekeren vele gevaren die de toekomst van Suriname in gevaar kunnen brengen.
De echte gevaren zitten niet in Brazilianen de illegaal onze grens over steken of virussen die onze gezondheidszorg belemmeren, maar zijn steeds meer digitaal.
Een goed georganiseerde criminele organisatie kan digitaal binnen 24 uur de volledige controle over ons parlement overnemen.
Elektriciteitsnetwerken kunnen worden verstoord, de watertoevoer kan eenvoudig worden afgeknepen en alle kwetsbare systemen in onze ziekenhuizen kunnen met een druk op de knop gesaboteerd worden.
De reden van onze digitale kwetsbaarheid?
Een totaal gebrek aan kennis, bewustzijn en ethiek op het gebied van online veiligheid.
Alhoewel Suriname niet tot de meest digitaal ontwikkelde landen ter wereld behoort, is er ook in onze samenleving geen bedrijf of instantie te vinden zonder internetaansluiting, computernetwerk of digitaal systeem dat bepaalde processen aanstuurt.
Onze digitale landsgrenzen liggen volledig open
Wie de controle over die systemen heeft, heeft de controle over onze maatschappij en daarvoor hoe je absoluut geen whizzkid te zijn.
Sterker nog, wie interesse heeft in de zwakte van onze digitale systemen kan daar gewoon een gratis en legale zoekmachine voor gebruiken – Shodan ( https://www.shodan.io/ ).
onze digitale toekomst
– kwetsbare computers –
Deze online dienst monitort de hele dag alle bekende systemen die op het internet zijn aangesloten en waarschuwt als er veiligheidsrisico’s zijn aangetroffen.
Wie zoekt op “Suriname” krijgt direct een overzicht van meer dan 10.000 computers in ons land die dusdanig kwetsbaar zijn dat ze een serieus risico vormen.
Een gratis zoekmachine trof 10.000 zwakke systemen aan
De meeste onbeveiligde systemen staan – hoe kan het ook anders – in Paramaribo, maar ook in Nickerie / Lelydorp en Botopasi staan systemen die zonder al te veel moeite overgenomen kunnen worden.
Het overgrote deel (bijna 90%) van de slecht beveiligde systemen zijn aangesloten op een netwerk dat door Telesur wordt geleverd, maar ook partijen als Digicel en Caribbean Communication Services komen met honderden kwetsbare netwerken naar boven.
onze digitale toekomst
– kwestbare steden –
Om het niet al te technisch te maken, zal ik een aantal in het oog springende partijen beschrijven die hun beveiliging dusdanig slecht op orde hebben dat je zonder al te veel moeite misbruik kan maken van de diensten die zij aanbieden.
Het is nadrukkelijk niet zo dat alle deuren van deze instanties wagenwijd openstaan en je gewoon door kan lopen, maar het is absoluut wel zo dat ze serieuze problemen hebben als het aankomt op digitale veiligheid.
Nationale instanties zijn digitaal volledig lek
Wie de moeite neemt en er belang bij heeft, zou binnen een week absoluut bij enkele van deze partijen kunnen binnendringen om de macht over te nemen.
In het overzicht van onveilige computersystemen worden niet alleen kleine partijen vermeld, maar ook organisaties die van nationaal belang zijn.
onze digitale toekomst
– kleinere instanties –
onze digitale toekomst
– nationale instellingen –
Hier meldt Shodan maar liefst 6 (zeer) belangrijke kwetsbaarheden in de digitale systemen.
Meest in het oog springend is het feit dat de e-mailserver (de computer die alle in- en uitgaande e-mails in goede banen leidt) slecht beveiligd is en bovendien gebruik maakt van een zeer ouderwetse methode om alle communicatie te regelen.
Sommige systemen zijn al 10 jaar niet bijgewerkt waardoor kwaadwillenden zonder al te veel problemen kunnen meelezen met het interne e-mailverkeer en zelfs e-mails kunnen versturen uit naam van EBS (denk aan facturen, contracten, etc…).
Onze nationale trots heeft een onbeveiligde server in North Bergen staan, een stad in Amerika.
De grootste kwetsbaarheid is dat men op diverse manieren de site kan “binnenkomen” en dat de webserver waarschijnlijk is vergeten door de eigenaren; er is al jaren niet naar omgekeken.
Maar een website die nooit meer wordt bijgewerkt, kan toch onderdeel zijn van het reguliere netwerk van Staatsolie. Op het moment dat je dus via deze oude, vergeten en slecht beveiligde site op de computer kan rondkijken, is de kans groot dat je via-via dichterbij de echte systemen van Staatsolie kan komen.
Of onze overheid van het bestaan van deze website af weet, is de vraag want hij is drie jaar geleden voor het laatst bijgewerkt.
Los van het feit dat dit slordig oogt, zijn er van één en dezelfde website meerdere versies op meerdere onbeveiligde systemen in omloop.
Door de websites onderling te vergelijken, komen er al snel kwetsbaarheden naar boven die actief misbruikt kunnen worden door eventuele kwaadwillenden.
onze digitale toekomst
– de overheid –
Net als bij E.B.S. meldt de zoekmachine Shodan dat de website van onze ambassade in Amerika minimaal 6 potentiele kwetsbaarheden kent.
Ze varieren van “tien jaar oude software” tot “zeer gevoelig voor digitaal misbruik” en hebben allemaal gemeen dat de ambassade een easy target is voor cybercriminelen.
Je hoeft niet veel moeite te doen om hun systemen binnen te dringen en daarmee bijvoorbeeld de politieke verhoudingen tussen Suriname en Amerika te beïnvloeden.
Ook dit is geen kleine speler, het is namelijk onze nationale bank die al het (inter-)nationale financiele verkeer moet reguleren.
Een betrouwbare online dienstverlening is daarbij van essentieel belang en dat is exact waar de CBvS hard in faalt.
Het lijkt bijna niet voor te stellen, maar de website van onze nationale bank ligt bijna letterlijk open voor misbruik.
Zo draait de site op een onbeveiligde server, heeft die webserver zeker 15 zeer kwetsbare veiligheidsrisico’s en tot overmaat van ramp blijkt de broncode geschreven te zijn door een persoon die in 2009 voor het laatst iets met computers heeft gedaan.
Dat laatste kan met zekerheid gesteld worden door in de “broncode” van de website te kijken; alle websites hebben codes die zorgen dat iets er mooi uit ziet, goed werkt of simpelweg doet wat het moet doen.
onze digitale toekomst
– de centrale bank –
Hier is niets geheimzinnigs of illegaals aan; met een druk op de knop kan de code van elke site gewoon ingelezen worden (dit moet ook wel, anders kan de code niet uitgevoerd worden en zal de site niet werken).
Tussen de regels door kan je in de broncode van de Centrale Bank van Suriname lezen dat deze voor 25 USD is aangekocht bij ene “Webtako” die de code voor site verhandelt op het platform Codecanyon ( https://codecanyon.net ).
Op zichzelf is met dit online platform voor websites niets mis; als je als programmeur snel iets nodig hebt maar geen geld of kennis, dan kan je daar kant en klare oplossingen aanschaffen voor een paar USD.
De belangrijkste broncode is aangekocht voor 25 USD
Codecanyon was ooit populair hiervoor, maar staat inmiddels bekend als “het Lokale Suffertje” of op zijn Surinaams de digitale versie van “Via2000”.
Er iets niets mis met dit soort gratis huis aan huis kranten die vooral leven van goedkope advertenties en het is altijd leuk om ze door te bladeren bij de kapper.
Het is anders wanneer het om de nationale site van de centrale bank gaat; die ga je niet voor een paar USD samen laten stellen, laat staan dat je die door iets als Via2000 laat ontwikkelen.
onze digitale toekomst
– amateuristische broncode –
Behalve het feit dat er in de broncode de naam van de verkoper vermeld staat, hebben de mensen bij CBvS niet eens de moeite genomen om de code op te schonen.
Zo staan er verwijzingen in naar onzin teksten (teksten die je normaliter alleen plaatst om iets te testen, maar absoluut niet als de site “live” staat) en staat hun webserver vol met plaatjes die je niet op je server wil hebben (laat staan op de computer van je nationale bank).
De ontelbare kwetsbaarheden, de slordigheden van de code en de goedkope manier waarop deze is aangekocht, duiden er op dat je ook bij onze nationale bank digitaal gezien zonder al te veel moeite kan binnendringen.
Dit is mijn laatste bijdragen van het jaar over “de digitale Staat Suriname” en het geeft mij zeer weinig vertrouwen voor wat 2021 ons te bieden heeft.
Mijn vrees wordt ondertekend door het feit dat ook nu weer alle partijen zijn ingelicht, maar niemand heeft gereageerd en de gemelde kwetsbaarheden dus nog steeds aanwezig zijn.
Ook de bevindingen waarmee ik binnen één dag alle systemen van ons Nationaal Parlement binnenkwam en een malafide site over onze olie-inkomsten heb ontdekt zijn tot op de dag van vandaag onbeantwoord gebleven.
Kees Christoffel Donk
– eerstejaars student online veiligheid
Is Suriname zich bewust van haar digitale kwestbaarheid?
Bron : Suriname Nieuws
Wat vindt u van dit artikel?
Wilt u reageren op de vraag?
Lees verder in de gratis app!