De brief die zelf naar huis schrijft
Herbert Blankesteijn
Ooit willen weten of uw mail wel gelezen werd door de geadresseerde? Benieuwd geweest of uw mail werd geforward naar een derde, en met welk commentaar? Dat kan. Uw mail kan zelf contact opnemen en hierover verslag uitbrengen. De keerzijde is uiteraard, dat ook de mail die u ontvangt met zijn afzender kan communiceren.
Dit is mogelijk doordat moderne mailprogramma's opgemaakte e-mail kunnen versturen. Hiervoor wordt de opmaaktaal Html gebruikt, die ook in zwang is voor de opmaak van webpagina's. Net als webpagina's kan zulke mail miniprogramma's bevatten in de taal JavaScript. En dat is hier de zwakke plek. Met behulp van JavaScript kan een mail zelfs een virus bevatten, dat in actie komt zodra de tekst van het mailtje wordt gelezen. Het openen van een bijlage (attachment) is daarvoor niet nodig. Het eerste Javascript-virus was Bubbleboy, begin 2000.
De truc bij e-mail wiretapping zoals dit in het Engels heet, werkt aldus. Het Javascript in het mailtje vult een formulier in, zoals dat ook wel voorkomt op sites, maar onzichtbaar voor de lezer van de mail, en stuurt dat naar een site. De oorspronkelijke afzender kan het rapport daar ophalen. In het formulier kan worden gemeld dat de mail is geopend, maar ook de tekst van de mail zelf kan worden doorgegeven. Dit is voor de afzender niet bijster interessant - totdat zijn mail van de een naar de ander wordt geforward. Het Javascript wordt dan namelijk meegeforward, en werkt opnieuw zodra de tweede ontvanger het bericht leest. Eventueel commentaar van de eerste ontvanger krijgt de oorspronkelijke afzender dan onder ogen.
Wat zijn de toepassingen hiervan? Op 22 november 2000 schreef de New York Times over een werkzoekende die wilde weten of zijn digitale sollicitaties wel werden gelezen. Bedrijfsspionage is een ander toepassingsgebied. Schrijf een projectvoorstel, stuur dat naar de opdrachtgever en verneem wat men elkaar hierover via de mail influistert. Een ander mogelijkheid is het verzamelen van mailadressen. Bedrijven die ongevraagde reclamemail ofwel spam verzenden, doen een moord voor recente, gegarandeerd werkzame adressen. Recept: bedenk een mooie kettingbrief of viruswaarschuwing die mensen aan elkaar forwarden. De meeste computergebruikers doen dit op zo'n manier dat de mailadressen van alle ontvangers in de tekst van de doorgestuurde mail belanden - kassa voor de spammer.
Wie is kwetsbaar voor deze vorm van afluisteren? Iedereen bij wie het mailprogramma standaard Javascript leest. Dit is het geval bij Outlook, Outlook Express en bij Netscape Messenger. Hoewel dit gat in de beveiliging bekend is sinds november 1998, is ook bij de laatste versies van deze programma's Javascript niet standaard uitgezet. En dat terwijl Javascript in mail (anders dan bij webpagina's) geen functie van belang vervult. Gebruikers van de genoemde software kunnen Javascript met de hand uitzetten. De recepten daarvoor zijn te vinden op www.privacyfoundation.org, waar ook voorbeeldscripts staan en tests om de kwetsbaarheid van een mailprogramma te onderzoeken. Op de site van Microsoft is een security patch voor Outlook te krijgen die onder andere Javascript uitzet.
E-mail wiretapping werkt alleen als de mail online wordt gelezen. Als de internetverbinding niet werkt wanneer het Javascript probeert zijn informatie in te leveren, gaat het feest niet door. Dat betekent dat modemgebruikers die mail lezen na het verbreken van hun verbinding, veilig zijn. Maar een mailtje dat wordt geforward, zal in de meeste gevallen opnieuw het Javascript bevatten, zodat dat bij een volgende ontvanger weer wel kan werken. Overigens wordt bij de dienst Hotmail alle e-mail van Javascripts ontdaan. Hotmailgebruikers lopen dus geen risico en latere ontvangers evenmin.
Valt het afluisteren van e-mail te ontdekken? Met enige moeite wel. Een e-mail kan vanuit een mailprogramma worden opgeslagen 'als Html-bestand' en vanuit Verkenner worden geopend in de browser (dubbele klik op het bestand). Dan kan de Html-brontekst worden bekeken (klik op Beeld - Bron). Iemand met kennis van Html en Javascript kan dan zien of het bericht Javascript bevat, en wat zo'n script doet. Maar het is geen doen om alle mail zo te controleren, om maar te zwijgen van de gewetensvraag 'Wat nu?' wanneer een poging tot afluisteren wordt ontdekt. Misschien is het beter het niet te weten.