SMS politici gekraakt

powned_sms

Vorige week bleken de voicemails van ministers makkelijk af te luisteren, via een lek in het systeem van Vodafone. Voicemail-berichten van Mark Rutte en Uri Rosenthal lagen op straat. Maar hun sms’jes blijken evenmin veilig te zijn. Crimesite en Pownews laten vandaag zien hoe simpel het is om politici nep-berichten te sturen, die zogenaamd afkomstig zijn van collega’s. Frivole berichten, het is tenslotte 1 april. Maar het veiligheidslek is bloedserieus. Niet alleen politici zijn potentiële slachtoffers, elke Nederlander moet zijn sms wantrouwen.

Door Vincent Verweij

D’66 voorman Alexander Pechtold ontving gisteravond tijdens het Libië-debat een vreemd berichtje van zijn collega Boris van der Ham: ‘Kan ik een stropdas van je lenen?’. Kamerlid Frans Timmermans (PvdA) ontving een sms van Ferry Mingelen: “Er zit roos op je schouder”. En zo stuurden we nog een stuk of 10 berichtjes. De slachtoffers: Minister Rosenthal (VVD), Harry van Bommel (SP), Marianne Thieme (PvdD), Hero Brinkman (PVV) en Atzo Nicolai (VVD). Allemaal waren ze verbaasd, sommigen geamuseerd, sommigen geirriteerd over de berichten van hun collega’s. Na afloop van het debat ontstond grote consternatie toen ze hoorden dat niet hun collega, maar Rutger Castricum van Pownews ze verstuurde. Pechtold en Van Bommel twitterden meteen dat ze te pakken waren genomen door Powned.

Geen 1-april grap

Het zijn natuurlijk flauwe grappen, maar het stelt wel een ernstig probleem aan de kaak te stellen. SMS ligt namelijk open en bloot voor allerlei vormen van identiteitsfraude. En dat is buitengewoon serieus. Terroristen zouden het kunnen gebruiken om chaos en paniek te veroorzaken in het kabinet. Fraudeurs zouden het kunnen misbruiken u en mij geld afhandig te maken. Of een stalker kan er vervelende dingen mee doen. Voorbeelden te over. Dat de overheid anno 2011 op topniveau gebruik maakt van een 25 jaar oud protocol, dat niet aan de huidige veiligheidsstandaarden voldoet, is op zijn zachtst gezegd merkwaardig.

SMS_webHoe het werkt

Het draait allemaal om het versturen van sms-berichtjes via internet, waarbij de afzender vervalst kan worden. Verschillende bedrijven bieden premium SMS diensten aan, waarmee dit kan. Wij gebruikten Mollie, een bedrijf dat normaal gesproken ingezet wordt om voetbaluitslagen of nieuwsberichten per sms te versturen.  Maar ze bieden ook de mogelijkheid om een willekeurig nummer als verzender en een willekeurige ontvanger in te vullen.

Pownews beschikt over een uitgebreide lijst mobiele nummers van politici en kon daardoor onderlinge nep-berichten versturen. Bij de ontvanger komt het bericht binnen als een levensecht SMSje, dat niet te onderscheiden is van een echt bericht van die afzender. Met naam en toenaam, zoals die persoon in het adressenboekje van de ontvanger is opgeslagen.

Het is simpelweg een kwestie van intikken van alle gegevens op een webpagina en op de ‘send’ knop klikken. Voor onze berichtjes betaalden we  6 cent per stuk, omdat we het via een professionele gateway deden. Maar er zijn ook verschillende aaanbieders op internet waarmee elke consument dit kan. Ze hebben namen als Anoniemsmsje, Smsgrapje en SMSNEP. Voor 1,30 eur kun je daar een dergelijke sms’jes versturen. Commercieel wordt het lek dus al uitgebuit.

Oplossing

Het onderliggende probleem is dat telecommaatschappijen zoals Vodafone, KPN en T-mobile toestaan dat commerciele bedrijven hun gateway mogen gebruiken voor dergelijke diensten waarbij de afzender vervalst kan worden. Om het probleem op te lossen, zouden de telecom-operators dergelijke vormen van sender spoofing in hun voorwaarden kunnen verbieden. Het zou ook geen kwaad kunnen de telecom wetgeving op dit punt aan te scherpen, maar dat is weer een taak van de politici die we gisteren gespoofd hebben.

Vanavond legt Crimesite bij Pownews uit hoe de valse SMS verstuurd kan worden en horen we de reacties van de kamerleden op deze nieuwe episode in telecom-gate

Pownews begint om 22:45u, Ned3. Dus direct na X-Factor, zappen naar Nederland 3.

Rutger Castricum vertelt hier alvast wat we gaan zien vanavond:

UPDATE: hier de beelden van Pownews, het item begint op 9’15

Get Adobe Flash Player
Als het niet mogelijk is Flash te installeren kunt u de video bekijken via deze link.