Furor Teutonicus blog | over | volg | teuto | lyme | archief | doneer | todo
🕰️
  ⬩  
✍️ Evert Mouw
  ⬩  
⏱️ 2 min

De dokter gebruikt E-Zorg email van KPN, maar is dat veilig?

Veel zorginstellingen en huisartsen gebruiken voor email de diensten van E-Zorg zodat hun mail goed beveiligd is. Volgens E-Zorg zelf gaat het om meer dan 80% van de huisartsen en om vrijwel alle apotheken. Hoe degelijk is dat nou echt? Hieronder volgt een mini-analyse die geen goede eerste indruk geeft.

e-zorg-veilig

Eerst kijken we snel even welke binnenkomende mailservers ze gebruiken. Gebruiken ze grote systemen van anderen, zoals veel academische ziekenhuizen de mail door Microsoft laten spamfilteren? E-Zorg lijkt eigen mailservers te gebruiken, dus dat ziet er goed uit.

$ dig +noall +answer -t mx ezorg.nl
ezorg.nl. 300 IN MX 10 mailfilters.ezorg.nl.
ezorg.nl. 300 IN MX 20 mailfilter01.ezorg.nl.
ezorg.nl. 300 IN MX 30 mailfilter02.ezorg.nl.
ezorg.nl. 300 IN MX 40 mailfilter03.ezorg.nl.

Hoewel ze vier mailservers gebruiken (dat is goed) zitten ze alle vier op hetzelfde netwerk: 37.9.218.[11 t/m 14]. Oftewel, alle servers staan waarschijnlijk in hetzelfde datacentrum. Als dat wegvalt, dan krijgt de dokter geen mail meer binnen. Als mijn gegronde vermoeden klopt, dan is dat niet best. Het niet geografisch spreiden van servers (geo-redundantie) voor grote systemen is op z’n minst nalatig.

$ host -4 mailfilters.ezorg.nl | sort
mailfilters.ezorg.nl has address 37.9.218.11
mailfilters.ezorg.nl has address 37.9.218.12
mailfilters.ezorg.nl has address 37.9.218.13
mailfilters.ezorg.nl has address 37.9.218.14

Een telnet sessie naar poort 25 laat meteen zien welke mailserver software gebruikt wordt: Halon. Handig als je als hacker wat gerichter wilt aanvallen. Het is geen ramp, ik adverteer ook dat ik Postfix gebruik plus mijn voornaam, maar er zit een verschil tussen een persoonlijk mailservertje en een extra beveiligd mailsysteem voor grootschalig medisch gebruik dat je ook als zodanig adverteert.

$ telnet mailfilters.ezorg.nl 25
Trying 37.9.218.11...
Connected to mailfilters.ezorg.nl.
Escape character is '^]'.
220 halonfilter01.ezorg.nl ESMTP

Toch even kijken waar ze zitten. Amsterdam. Verrek, ze hebben het type mailsoftware zelfs in hun openbare DNS gezet. Kijk zelf maar: https://whatismyipaddress.com/ip/37.9.218.11

e-zorg-ip

Het eindoordeel na zo’n minimale analyse kan nog niet al te hard zijn. Daarvoor is meer informatie nodig. Toch is de eerste indruk niet goed. Voor een middelgrote dienst zou het gebrek aan geo-redundantie raar zijn. Voor een extra beveiligde dienst is het adverteren van de software in de DNS erg ongebruikelijk. E-Zorg is overigens van KPN.

Hieronder nog twee screenshots. Klik erop voor een grotere versie. Er is ook een kort twitterdraadje.

Screenshot van de E-Zorg website. Ze zijn trots op hun populariteit, betrouwbaarheid en veiligheid.
Een screenshot van mijn terminal waarop ik de simpele tests deed.

Deze blogpost werd in december 2022 overgezet van WordPress naar een methode gebaseerd op Markdown; het is mogelijk dat hierbij fouten of wijzigingen zijn ontstaan t.o.v. de originele blogpost.