PARAMARIBO, 18 juli 2022 – De fraudezaak en een zogenaamde declaratie van onze First Lady hebben afgelopen week één zaak duidelijk gemaakt; de controlemechanismen en beveiliging van onze hoogste organen zijn zo lek als een mandje.
In een ander artikel heb ik al uiteen gezet hoe eenvoudig het is om een (digitale) reçu meerdere malen in te dienen en zo heel eenvoudig geld te ontvangen.
Het ministerie van Financiën blijkt reeds ingediende reçu's wel ergens bij te houden, maar vervolgens niet te controleren of deze al eerder is uitbetaald.
Het gevolg?
Als je een oude reçu hebt en deze via de e-mail naar de minister van Financiën laat sturen, dan krijg je deze zonder enige vorm van controle gewoon uitbetaald.
Black hat, white hat – die hoed past ons niet allemaal
In de digitale beveiligingswereld waarin ik momenteel een studie volg (2e jaars student IT security) heb je twee soorten "onderzoekers" of "hackers".
Om het eenvoudig te maken heeft men er ooit een term voor bedacht;
Een black hat probeert systemen binnen te dringen en heeft vervolgens kwaad in de zin.
Een white hat daarentegen probeert exact diezelfde systemen op dezelfde wijze binnen te dringen, maar doet dat om misstanden aan te geven en de eigenaren op de hoogte te stellen.
Aangezien ik een eerlijke student ben en absoluut geen slechte intenties heb, zie ik mezelf als white hat onderzoeker.
Daarom heb ik in mijn eerdere onderzoek wel gekeken hoe eenvoudig je een fake reçu kan indienen, maar ik heb deze nooit daadwerkelijk ingediend.
Toch wil ik met een minder gevoelig voorbeeld wel aantonen hoe simpel je de "digitale beveiliging van onze overheid" kan omzeilen.
In plaats van een reçu maak ik presidentieel papier na
Dat doe ik dus niet met financieel gewin, maar simpelweg door in te haken op een ander onderwerp dat eerder deze week veel consternatie opwekte;
Een officieel ogende brief van de president waarin hij vroeg om ruim 35.000,– USD aan reiskostenvergoeding voor zijn vrouw, de First Lady.
Op social media werd gemeld dat de brief wel echt moest zijn, omdat hij zo echt leek... dat is natuurlijk een eenvoudige conclusie.
Maar wat heb je eigenlijk nodig om een "echt lijkende" brief te maken? Heel ingewikkeld is dat niet, zeker nu alles digitaal wordt verzonden en je dus eenvoudig creatief kan knippen en plakken met "veiligheidskenmerken".
Laten we als voorbeeld een brief van de president nemen waarin hij DNA-lid Bee bedankt voor de heerlijke roti's die hij heeft ontvangen.
Het onderwerp is natuurlijk "fake", maar daardoor ook onschuldig om na te maken.
Wat heb je behalve dit onderwerp vervolgens nog meer nodig om een "echte" brief na te bootsen?
Heel lastig is het niet om deze zaken bij elkaar te sprokkelen, want het blijkt dat onze overheid zeer slordig en zelfs kinderlijk naïef omgaat als het om dit soort zaken gaat.
Een eenvoudige zoekopdracht gaf mij binnen twee minuten alle benodigde elementen, in zeer hoge kwaliteit aanwezig en eenvoudig te downloaden.
Ik zal niet uitleggen hoe je aan de "digitale originelen" kan komen, maar ze hieronder wel tonen.
Dat is verder niet gevaarlijk, dom of een overtreding;
Ze worden immers zelfs op de officiële websites van onze overheid gratis ter inzage aangeboden.
Hieronder zal ik de vier losse items tonen die vervolgens tezamen de officiële brief van de president zullen gaan vormen.
Het originele logo
– vals briefpapier president –
Bovenaan elk bericht van de president prijkt vol trots ons bekende logo / embleem. Dat bestand kan je gewoon downloaden in elk gewenst formaat.
Een mooi stempel
– vals briefpapier president –
Een brief zonder stempel is geen brief. Bij echt papier is het lastiger om zo'n stempel na te maken (maar niet heel complex) en digitaal is het een fluitje van een cent; opzoeken, kopiëren en plakken maar.
Paraaf ter goedkeuring
– vals briefpapier president –
Elk document dat namens de president wordt ondertekend, krijgt een paraaf ter goedkeuring van een externe medewerker. Lastig om aan te komen? Welnee, gewoon even zoeken op internet en je hebt keuze zat hieruit.
Santokhi zijn handtekening
– vals briefpapier president –
Tenslotte het meest "lastige", namelijk de officiele handtekening van Santokhi in dusdanig goede kwaliteit dat hij niet van echt te onderscheiden valt. Dat is niet moeilijk, want je kan de echte gewoon aantreffen op meer dan honderd digitale documenten van de online overheid.
Nu we alle grafische bestanden hebben verzameld, moet er nog een brief worden geschreven namens de president.
Zoals gezegd;
Een white hat hacker gaat zo'n voorbeeld niet maken met geldelijk gewin en dus houden we de tekst luchtig en vooral smakelijk.
Geachte heer Bee,
Volgaarne, en met het diepste respect voor zowel uw ambt als positie, wil ik u bij deze nogmaals bedanken voor de heerlijke roti’s die mij gisteren zijn toegekomen.
Ook Mellis’ heeft smakelijk gegeten van de extra gevulde bara en heeft, op de haar typerende eigenzinnige wijze, meer dan oprechte interesse in de receptuur die men voor de chutney dezes heeft samengesteld.
Ik begrijp dat u uit hoofde van enig concurrentiebeding wellicht niet alle tippen dan wel sluiers kunt opheffen, maar toch verblijven wij beide in hoogste verwachting van de exacte bereidingswijze.
Met anekdotische groet en doorvoering van alle plichtplegingen verblijf ik,
Chandrikapersad Santokhi
president republiek suriname
Hoe de opmaak van zo'n brief er uit moet zien, valt ook eenvoudig via internet te raadplegen; alles vanuit de overheid ligt open en bloot.
In de tekstverwerker van Word heb ik vervolgens bovenstaande tekst en afbeeldingen samengevoegd tot onderstaand resultaat...
bedankt voor de roti's!
– vals briefpapier president –
...ziet u het verschil met een echte brief?
Tip : door er op te klikken, kunt u deze vergroten om nog beter te onderzoeken of het "echt" lijkt.
Opmerking van de redactie :
In een ander artikel – dat vandaag in deze app verschijnt – toont Donk aan hoe makkelijk je oude reçu's kunt hergebruiken en indienen zonder dat het ministerie van Financiën dit controleert.
Suriname Nieuws
gratis app
Bron : Kees Christoffel Donk / 2e jaars student IT security
Moet de regering meer aandacht besteden aan beveiliging en fraude?
Wilt u reageren op de vraag?
Lees verder in de gratis app!