De site liberierasmi.nl was een maand lang niet te bezoeken via het wifinetwerk van de EUR of op vaste pc’s op de campus. De firewall die de EUR gebruikt, FortiGuard, meldde sinds 30 augustus dat liberierasmi.nl ‘malicious’ was en dat de site ‘in strijd is met het internetbeleid van uw instelling’. De waarschuwing negeren en toch doorklikken was onmogelijk. Buiten de universiteit was de website normaal bereikbaar. Nadat de IT-afdeling begin oktober een verzoek tot herbeoordeling indiende bij FortiGuard, verdween de waarschuwing.
Volgens Nawin Ramcharan, universiteitsraadslid voor Liberi Erasmi, is het niet terecht dat de site werd aangemerkt als kwaadaardig. Het bedrijf dat de website ontwikkelde heeft allerlei scans gedaan en trof daarbij geen malware of certificaatproblemen aan. Ze kwamen er ook achter dat de website op slechts twee van 88 bekende firewalls staat gecategoriseerd als ‘malicious’ (FortiGuard en McAfee). “Dat impliceert volgens ons dat er geen sprake kan zijn van automatische categorisering”, zegt Ramcharan daarover. Hij vermoedt daarom dat iemand een handmatige melding heeft gemaakt van de website van de partij bij FortiGuard, waarna de firewall de site zonder controle geblokkeerd heeft.
Onveilig gevoel
Ramcharan voelt zich door het incident onveilig. “De blokkade begon op 30 augustus, precies tijdens een kennismakingsweek met leden van de Universiteitsraad en beleidsmedewerkers van de universiteit. Veel aanwezigen hadden daarvoor nauwelijks van Liberi Erasmi gehoord. En de anonieme melder moet hebben geweten hoe dit precies werkt, en welke firewall de universiteit gebruikt.” Om die redenen vindt Ramcharan het niet onwaarschijnlijk dat de eventuele dader aanwezig was bij de kennismakingsweek, maar sluit niet uit dat iemand daarbuiten erachter zit. Of de website daadwerkelijk geblokkeerd is na een melding van iemand die bij dat kennismakingsweekend aanwezig was, heeft EM niet kunnen achterhalen.
Wel blijkt het eenvoudig om een website als malicious aan te melden. Dat kan via een webformulier van FortiGuard. EM nam de proef op de som en meldde een website bij FortiGuard aan als kwaadaardig (de eigenaar van de website was op de hoogte en stemde in met het experiment). Het ging om slechts één melding, met een valse naam en een overduidelijk vals en niet-bestaand e-mailadres. Binnen 24 uur werd de website volledig geblokkeerd door de firewall. Wie de website bezocht, kreeg exact dezelfde mededeling als bij Liberi: ‘malicious’ en ‘in strijd met het internetbeleid van uw instelling’.
‘Bij de meeste sites onmogelijk’
Een blokkade na één simpele melding is volgens Rory O’Connor, chief information security officer van de EUR, voor de meeste sites onmogelijk. “Dit kan alleen bij sites die nog niet eerder beoordeeld zijn en waar weinig verkeer naartoe gaat.” Volgens hem blokkeert FortiGuard andere sites alleen om veiligheidsredenen. O’Connor gaat ervan uit dat dat de oorzaak was bij de site van Liberi Erasmi. “Wij hebben aan FortiGuard gevraagd waarom Liberi is geblokkeerd, en het antwoord was dat de blokkade was ingesteld door de geautomatiseerde rating engine van het bedrijf. Niet handmatig dus.”
Dat Liberi als kwaadaardig wordt aangeduid door slechts twee van 88 onderzochte firewalls, komt volgens O’Connor doordat de site waarschijnlijk vooral bezocht is vanaf de campus. Daar wordt FortiGuard getriggerd, en andere firewalls minder snel.
Welke problemen FortiGuard geconstateerd zou hebben, kan hij niet inzien. Ook is het onbekend of de firewall bij een blokkade na een handmatige melding niet precies hetzelfde antwoord geeft. Het bedrijf geeft daar aan Liberi Erasmi, O’Connor of EM geen informatie over, ook niet na herhaaldelijke verzoeken. Uit een veiligheidsscan van O’Connor blijkt dat de site van de studentenpartij relatief laag scoort op beveiligingsmaatregelen, maar malware is tot dusverre niet aangetoond.
Ramcharan ontdekte pas na twee weken dat de website van zijn partij geblokkeerd was. Toen de IT-afdeling van de EUR eind september op verzoek van hem een herbeoordeling aanvroeg bij FortiGuard, werd de website alsnog goedgekeurd. “Het is spijtig dat de site geblokkeerd was, gelukkig is dat inmiddels weer recht gezet”, zegt een woordvoerder van de universiteit daarover. Waarom de vermeende malware nu volgens FortiGuard geen probleem meer is, is onduidelijk. Volgens de sitebeheerder van Liberi is er in de tussentijd niets veranderd aan de website. Ramcharan heeft ombudsfunctionaris Mario Buijk verzocht om een onderzoek in te stellen, en die heeft dat inmiddels toegezegd. Het is onduidelijk hoelang dit onderzoek gaat duren.
Liberi Erasmi werd dit jaar opgericht en heeft drie zetels in de Universiteitsraad.
