PARAMARIBO, 5 januari 2021 – Onlangs presenteerde minister Dr. Riad Nurmohamed van Openbare Werken vol trots zijn nieuwe speeltje;
Een website waarop ambtenaren van zijn ministerie fraude kunnen melden.
De pers was massaal uitgelopen want het kleine zaaltje voor deze persconferentie zat bomvol met 15 tot 20 genodigden.
De nieuwe site is extreem onveilig
Zelf was ik – vanwege mijn studie en het feit dat ik niet uitgenodigd was – niet bij de presentatie aanwezig en dus moest ik het doen met de summiere informatie die via onze lokale kranten is verspreid.
Wat mij als eerste opviel was echter niet de tekst van de berichtgeving hierover, maar een foto die boven elk bericht stond afgedrukt.
de onveilige overheid
– minister riad nurmohamed –
Achter het riant trotse hoofd van onze Riad prijkte namelijk een afbeelding van de bewuste site waar linksboven met grote letters NOT SECURE stond te lezen.
Voor mensen die de Engelse taal niet machtig zijn; dit betekent dat de nieuwe website van het ministerie niet veilig is.
Een browser (de software waarmee je een website bekijkt op uw telefoon of computer) toont deze melding alleen als er expliciet iets goed mis is met de site, want het is een serieuze melding die op geen enkele manier in beeld zou mogen komen.
Blijkbaar heeft niemand van de ruim 15 journalisten – noch de minister zelf – deze melding gezien of hier vragen over gesteld, want er werd enkel hossana gepredikt over dit nieuwe initiatief om corruptie op het ministerie te beteugelen.
Vanwege mijn interesse in de online veiligheid van onze digitale overheid ben ik wat verder in de materie gekropen en ook de bevindingen van mijn vierde onderzoek zijn zeer zorgwekkend;
Alle websites van onze overheid zijn namelijk totaal onveilig en zouden per direct niet meer gebruikt moeten worden.
Laat ik eerst beschrijven wat de minister in al zijn onkunde probeerde te promoten. Volgens hem is er recentelijk een initiatief op zijn ministerie ontplooid waarmee ambtenaren fraude, corruptie en andere misstanden digitaal kunnen doorgeven.
De site zou per direct verboden moeten worden
Vooropgesteld; ik ben hier persoonlijk - mits goed uitgevoerd - een groot voorstander van.
Echter is de uitvoering van dit concept niet alleen zeer amateuristisch uitgevoerd, maar vooral extreem onveilig en bijna lachwekkend ondeskundig.
Wie de website ( http://publicworks.gov.sr/ ) van het ministerie bezoekt, krijgt (overigens na lang zoeken, want het is allemaal goed verborgen en zeer onduidelijk) drie opties te zien om misstanden aan de kaak te stellen;
Het trots gepresenteerde nieuwe speeltje van Riad is letterlijk een amateuristisch lachertje, als het niet in en in triest zou zijn.
Wat blijkt? Het ministerie heeft helemaal niet een "volledig in eigen beheer geautomatiseerd meldpunt voor fraude ontwikkeld" maar simpelweg een gratis formulier via Google in elkaar geklikt.
de onveilige overheid
– gratis onveilig formulier –
Voor wie het niet weet; Google is niet alleen bekend van de zoekmachine op internet, maar biedt ook veel andere gratis (vaak handige) hulpmiddelen.
Eén daarvan is het zogeheten Google Forms en daarmee kan je zonder enige ervaring en geld een formulier maken die bepaalde vragen stelt aan de gebruiker.
Deze vragen kunnen vervolgens worden beantwoord en de uitslag hiervan komt binnen op een gratis en openbaar e-mailadres ( @gmail.com ).
Deze gratis dienst is zeer laagdrempelig omdat het absoluut geen kennis vereist.
Hierdoor is het dus vooral populair bij studenten en vriendengroepen die binnen 1 of 2 minuten een simpel formuliertje nodig hebben.
Echt reden om trots op dit formulier te zijn heeft de minister dus absoluut niet, hij zou zich er eerder voor moeten schamen dat hij hiervoor een officiële persconferentie belegt.
Wat veel erger is, is dat de gebruikte methode 100% onveilig is en absoluut niet door de overheid gebruikt zou mogen worden.
Het is namelijk zo dat Google deze dienst gratis ter beschikking stelt, op één voorwaarde;
Alle informatie die via het formulier is verzonden, wordt volledig eigendom van Google en is ook door Google inzichtelijk.
Wie de bovenstaande strikte gebruikersvoorwaarden nog niet helemaal kan plaatsen;
Als ik via dit formulier anoniem doorgeef dat er op mijn ministerie fraude wordt gepleegd door een bepaalde manager, dan wordt dit direct doorgeseind aan Google.
Hiermee zijn niet alleen de naam van die manager bij hun bekend, maar dus ook van mij persoonlijk – de klokkenluider zelf...
Natuurlijk gaat niemand dit formulier gebruiken, het is totaal bizar dat ons nationale ministerie dit soort frauduleuze handelingen – met potentieel zeer gevoelige informatie – zonder medeweten direct openbaart aan een Amerikaans commercieel bedrijf.
Het is daarom ook onbegrijpelijk dat minister Nurmohamed hiermee akkoord is gegaan, het brengt de carrière en misschien zelfs veiligheid van klokkenluiders op zijn departement in gevaar die immer met naam en toenaam in een centrale database bij Google terechtkomen.
Nu optie één (het digitale formulier) vanwege het gebrek aan privacy en de absolute onveiligheid is afgevallen, kijken we naar optie twee;
Het papieren formulier.
Wie het digitale formulier niet wil gebruiken, kan volgens de website van hetzelfde ministerie namelijk ook een alternatief formulier gebruiken.
Vol verwachting klopte mijn hart en hoopte ik op een goed beveiligd en secuur samengesteld digitaal formulier, maar al snel barstte ik in tranen uit toen bleek dat men een papieren formulier bedoelde die ik via de site moest downloaden, uitprinten, ondertekenen en op de post moet doen.
Jawel, het volledig geautomatiseerde online fraudeformulier blijkt in de praktijk een Microsoft Word document te zijn dat je moet printen en daarna moet posten.
Nog erger – het anoniem melden van misstanden kan alleen als je een kopie van je ID-kaart bijvoegt, samen met je familienaam, woonadres en telefoonnummer...
...het zou wederom lachwekkend zijn, als ook hier niet sprake zou zijn van een kapitale blunder.
Wat blijkt? Het net geintroduceerde, nieuwe initiatief om online fraude te melden is al maanden oud en zelfs samengesteld met een illegale versie van Microsoft Office.
Wat de minister namelijk is vergeten, is dat elk Word-document bepaalde meta-data heeft – dit zijn gegevens die (onzichtbaar) worden gekoppeld aan een digitaal bestand die echter wel uit te lezen zijn.
Deze meta-data bevat onder andere de naam van de auteur, de datum waarop het document is aangemaakt en de registratiesleutel waarmee het softwarepakket is aangekocht.
Wie een willekeurig document upload naar de gratis dienst van GroupDocs ( https://products.groupdocs.app/ ) krijgt deze verborgen, extra informatie direct te zien.
de onveilige overheid
– verborgen informatie –
Wie de gegevens aandachtig uitleest, ziet onder andere deze informatie naar boven komen;
Met andere woorden – het "nieuwe digitale formulier" is gemaakt door ene Natasha Sandy op 29 juli 2020 met een ADEK-account op een Hewlett Packard / HP computer van het ministerie van Openbare Werken.
Het gaat hier dus niet om een nieuw formulier, maar een document dat al maanden oud is en notabene is samengesteld met een illegaal gebruikt account.
Een ADEK-account is namelijk educatief / universitair en mag op geen enkele manier gebruikt worden voor commerciële of overheidsdoeleinden;
Daar zijn andere licenties voor nodig en dus is de minister hiermee in directe overtreding van de voorwaarden zoals gesteld door Microsoft (het bedrijf dat deze educatieve contracten tegen gereduceerde prijs ter beschikking stelt aan studenten).
Nu ook het papieren formulier afvalt als anonieme, legale en betrouwbare optie rest ons slecht de derde mogelijkheid;
We gaan fraude melden via de site van het ministerie zelf.
Hiermee kom ik weer terug bij de opening van het artikel, want de website is totaal onveilig en zou eigenlijk direct offline gehaald moeten worden.
Zonder al te technisch te worden, zal ik proberen uit te leggen wat er mis is met zowel de site als het fraudeformulier dat hierop te vinden is.
Bij een beveiligde website wordt alle communicatie namelijk versleuteld, dit houdt in dat het niet leesbaar is voor derden en alleen inzichtelijk is voor de ontvanger.
Als ik meld dat "mijn manager Rakesh P. totaal corrupt is" dan wordt dit achter de schermen van de website verzonden als bijvoorbeeld "$AJASFHJ1 !@093290019 FAJ$!_? FHA".
De gevoelige informatie ligt letterlijk op straat
Oftewel; mijn zeer gevoelige melding is niet meer leesbaar als ik op "verzenden" druk en wordt pas weer leesbaar als de eigenaar van de website het bericht heeft ontvangen.
Bij het ministerie is echter geen sprake van versleuteling en daarom meldt de browser ook pontificaal achter de schouder van de minister dat zijn site absoluut onveilig is om te gebruiken.
Als ik via hun formulier zou melden dat ik iets van fraude af weet, is deze melding – inclusief mijn naam, e-mailadres en telefoonnummer – voor iedereen leesbaar.
Dit geldt zelfs voor mensen die helemaal geen toegang tot deze informatie zouden mogen hebben... zoals de manager in kwestie.
Een corrupte manager kan namelijk zeer eenvoudig al het verkeer op deze website afluisteren en ziet dus precies wie de klokkenluiders onder zijn personeel zijn.
Om mijn stelling te bewijzen, heb ik dan ook het volgende getest;
Ik heb aan een bevriende ambtenaar gevraagd om een test melding te verzenden van (zogenaamde) fraude, waarbij ik vanaf een totaal andere locatie zijn bericht heb onderschept en ingezien.
De enige voorwaarde hierbij is dat we beiden op hetzelfde WiFi-netwerk waren aangesloten, maar in de pratijk is dat eerder regel dan uitzondering.
Iedereen op het netwerk kan de e-mails lezen
Denk aan het netwerk bij hem op de werkvloer (het ministerie), bij hem thuis, bij de Centrale Markt, bij één van de vele gratis WiFi-punten in onze stad, etc…
De kans dat zowel de melder van de fraude als de fraudeur zelf op hetzelfde netwerk zitten is dus erg groot en daarmee is de beveiliging van dit derde formulier volledig afwezig.
Mijn kennis heeft op mijn verzoek een onzinnige "fraude melding" gedaan en hierbij aangegeven dat onlangs is uitgelekt dat "Santokhi de president van Suriname is".
Een seconde nadat hij op "verzend" heeft gedrukt, heb ik met gratis software zijn bericht onderschept en kunnen inzien.
Hij zat in het ministerie op zijn werkplek en ik stond met een laptop bij de hoofdingang van het gebouw. Samen zaten we dus op hetzelfde netwerk en vervolgens bleek alle informatie voor elke willekeurige voorbijganger letterlijk op straat te liggen.
Deze werkmethode noemt men ook wel een "man in the middle attack" omdat je als derde persoon tussen de bezoeker van de website en de eigenaar van de website gaat inzitten.
Alle gegevens die de bezoeker via de onveilige site opstuurt, worden zo door "de man in het midden" onderschept, opgeslagen en uitgelezen.
de onveilige overheid
– het gelekte e-mailtje –
De afbeelding is wellicht wat klein en technisch van aard, maar laat verder niets aan de verbeelding over.
Via de gratis software Fiddler ( https://www.telerik.com/fiddler/ ) kan iedereen een onbeveiligde website afluisteren en real-time monitoren welk verkeer er heen en weer wordt gestuurd.
Links in de afbeelding zie je alle bestanden die worden ingeladen voordat het online formulier gereed is.
Daarnaast is het onderschepte bericht met alle details te zien zoals die door mijn kennis is verzonden (in het lichtblauwe gedeelte).
En tenslotte valt rechts in de schermfoto de website en het originele formulier te zien dat door het ministerie wordt aangeboden om anoniem fraude te melden.
Wie fraude op dit ministerie wil melden, moet dit dus absoluut niet via de vol trots en bravoure aangeprezen website doen.
Het gebruik hiervan is zeer gevaarlijk, omdat het via een onbeveiligde website gaat die voor iedereen inzichtelijk is en dus direct uw identiteit en veiligheid in gevaar brengt.
Niemand heeft op mijn bevindingen gereageerd
Ruim een week geleden heb ik het ministerie (en de minister via zijn bijzonder amateuristische publiekelijke e-mailadres riadnur@hotmail.com ) op de hoogte gesteld van mijn bevindingen, maar tot op de dag van publicatie hiervan heb ik geen antwoord mogen ontvangen.
Het is naar mijn mening een gotspe dat onze "directeur ingenieur doctorandus meester" Riad Nurmohamed geen kwaliteit- en privacycontrole uitvoert op zijn eigen ministerie en zijn ambtenaren zo openlijk in gevaar brengt.
Overigens geldt deze ernstige kwetsbaarheid voor alle ministeries die onder onze regering vallen aangezien zij gebruik maken van dezelfde zeer amateuristische en absoluut onveilige website.
Kees Christoffel Donk
– eerstejaars student online veiligheid
Bron : eigen onderzoek
Moet de regering haar website beter beveiligen?
Wilt u reageren op de vraag?
Lees verder in de gratis app!