A R T I K E L E N   >> E-C O M M E R C E

  home   |  artikelen   |  boek   |  mailinglist   |  links   |  bio   | contact


Internet
Recht
Providers
E-commerce
Spam
Filteren
Privacy
Aftappen
Hacken
Virussen
Beveiliging
Cybercultuur
Agents
Kunst
Recensies
Media
Browsers
Vrouwen
Kinderporno

Cd roms
Spelletjes
Educatief

Dossiers
Beveiliging
Filteren
Echelon
Kinderporno

 

 

Security Stuff

Internet in Business logo
Safety last

Marie-José Klaver
(Internet in Business, oktober 2000)

Beveiliging is voor veel bedrijven die zaken doen op Internet een probleem. Ze geven bakken met geld uit aan marketing, maar een fatsoenlijke beveiligingstest laten uitvoeren, ho maar. Veel te druk, druk, druk met het ontwikkelen en lanceren van de eigen site. Over haastige spoed.

Door een lek in de website Annapa.com, een Nederlandse site voor kantoorapplicaties, kunnen bezoekers persoonlijke gegevens van andere leden bekijken. Ze hoeven in de URL alleen maar een ander identificatienummer in te vullen. Na een reparatie blijkt de site opnieuw lek. RTL 4 toont met twee studenten informatica aan dat het telebanking-pakket HomeNet van ABN Amro lek is. Met behulp van een Trojaans paard (een kwaadaardig programma dat er onschuldig uitziet) kunnen onbevoegden geld van telebankierende rekeninghouders naar eigen rekeningen wegschrijven.

Twee studenten uit Spijkenisse van 17 en 19 jaar worden gearresteerd omdat ze op Internet gewinkeld hadden met gestolen creditcard-nummers. De jongens hadden voor 50.000 gulden aan apparatuur, kleding en alcohol besteld. Eén van de verdachten werkte als ober en noteerde de credit card-nummers van klanten die hem geen fooi gaven.

Een café in Den Haag kan geen bier meer verkopen omdat het volledige geautomatiseerde bestelsysteem was gemanipuleerd door hackers. De brouwer, die zelf via Internet in de gaten houdt wanneer er geleverd moet worden, kreeg onvoldoende informatie omdat het systeem niet meer goed werkte. Op een drukke vrijdagavond was het bier opeens op.

Een Nederlander breekt in bij de centrale webservers van Microsoft. De man kon zonder dat hij een wachtwoord nodig had rondkijken op de computers waar de websites van Microsoft op draaien.

Zomaar wat voor voorbeelden van beveiligingsincidenten die de laatste maanden hebben plaats gevonden. Beveiliging is voor veel bedrijven die zaken doen op Internet een probleem, blijkt keer op keer. Het lek in Annapa.com, eigendom van de Internet start-up IntraSites uit Den Bosch, was eenvoudig te ontdekken en al even eenvoudig te exploiteren. "Dit soort lekken zijn dit jaar al meer dan tien keer voorgekomen, en dat waren dan nog de zaken die in de publiciteit kwamen, dus waarschijnlijk is dat de top van de ijsberg", zegt Patrick Oonk van Pine Internet uit Den Haag. Pine Internet voert veel internetbeveiligingsopdrachten voor bedrijven uit en geeft daarnaast het webmagazine Security.nl uit. "Door de grote snelheid waarmee dit soort bedrijven opereren, 'vergeet' men vaak een beveiligingstest uit te voeren. Uiteraard hoort beveiliging vanaf dag één in het ontwerp te worden meegenomen", zegt Patrick Oonk.

"Druk bezig"

Jan Schledermann, algemeen directeur van de application service provider IntraSites, geeft toe dat het bedrijf aanvankelijk geen aandacht heeft besteed aan beveiliging omdat de medewerkers 'druk bezig' waren de site (waar gebruikers gratis gebruik kunnen maken van onder meer een agenda en projectmanagementsoftware) te lanceren.

Het lek wordt volgens Schledermann veroorzaakt door een fout in de software van Annapa.com. IntraSites, dat eind mei 11 miljoen gulden aan venture capital ophaalde, heeft deze software niet zelf gemaakt, maar ingekocht. Dat is niet helemaal in overeenstemming met de missie van IntraSites. Op de website staat: 'The company believes strongly in profiling its own technology and internal knowhow'. "We hebben software gekocht omdat we haast hadden om met Annapa.com te beginnen. Later bleek de software niet aan onze beveiligingsstandaarden te voldoen", aldus Schledermann.

Zomaar software installeren is een veel gemaakte fout, meent Kevin McPeake van beveiligingsbedrijf Trust Factory uit Den Haag. "De software die het eenvoudigst te exploiteren is, is de software die de systeembeheerder van het slachtoffer niet goed heeft onderzocht, begrepen of geconfigureerd voordat het programma in gebruik werd genomen", zegt McPeake, wiens bedrijf eind juli een groot beveiligingslek in Lotus Notes van IBM bekend maakte.

Verkeerd geconfigureerde software kan vervelende gevolgen hebben. Half augustus werd een aantal websites van de Britse overheid gehackt. Een hacker wist de webserver binnen te dringen en verving de homepages van de sites met een eigen pagina waarop een tekst tegen roken stond. In de Verenigde Staten verminkte een computerkraker tientallen sites omdat hij boos was op de juridische acties van de platenindustrie tegen het uitwisselbedrijf Napster. Alle aangevallen sites draaiden op Microsoft's Internet Information Server (IIS) 4.0. Deze serversoftware heeft een simpel standaardwachtwoord. Als een systeembeheerder dat niet verandert, kan iedereen de website aanpassen. Een kwestie van de handleiding lezen, was de reactie van Microsoft op de hacks.

Uitgesloten

Annapa.com heeft de privacy van de gebruiker naar eigen zeggen hoog in het vaandel staan. "Annapa.com respecteert uw privacy als geen ander en zorgt voor een goede beveiliging van uw gegevens. Het is absoluut uitgesloten dat uw persoonlijke gegevens aan derden worden verstrekt", zo is op de site te lezen. Een apart budget voor beveiliging, om die privacy te bewaken, heeft IntraSites echter niet, vertelt Schledermann. "Het dichten van het lek heeft anderhalve ton gekost", zegt hij over de schade die het bedrijf opliep.

Na de beveiligingsincidenten, die Schledermann beschouwt als strafbare computerinbraken, heeft IntraSites een beveiligingsaudit laten uitvoeren door een consultancybedrijf. Daar kwam volgens Schledermann uit dat de hardware en de infrastructuur van Annapa.com veilig zijn, maar de software inderdaad gebreken toont. "We zijn bezig met een nieuwe versie van de site die veel beter beveiligd is."

Annapa.com is niet de enige website die slecht is beveiligd. Uit gegevens van onderzoeksbureau Gartner blijkt dat dat geldt voor driekwart van de websites van bedrijven. Kevin McPeake van Trust Factory zegt dat hij bij 99 procent van de systemen waarvan hij de beveiliging heeft gecontroleerd een manier heeft gevonden om binnen te komen.

Over het algemeen hebben bedrijven weinig tijd en geld over voor computer- en informatiebeveiliging. Uit een in juli gehouden onderzoek naar het beveiligen van computersystemen door de ICT-uitgeverijen CMP en VNU blijkt dat veertig procent van de bedrijven geen officieel beveiligingsbeleid heeft. Een kleine zestig procent van de bedrijven die wel aan computerbeveiliging doen, meet de effectiviteit van de getroffen maatregelen niet.

Deze bevindingen vormen een groot contrast met het aantal beveiligingsincidenten waar bedrijven mee te maken krijgen. Maar liefst negentig procent van de bedrijven en overheidsinstellingen die in 1999 hebben meegewerkt aan de jaarlijkse security enquête van het Computer Security Institute en de FBI, heeft last gehad van computerfraude, informatiediefstal, hackaanvallen of virussen. Bijna driekwart van de bedrijven en organisaties heeft financiële schade ondervonden door hacken, fraude of virussen.

Beveiligingsincidenten zijn slecht voor het imago van een bedrijf. De publiciteit na een hack richt vaak meer schade aan dan de inbraak of het doorbreken van de beveiliging zelf, zegt de Amerikaanse beveiligingsdeskundige Bruce Schneier in zijn onlangs verschenen boek Secrets & Lies. Digital Security in a Networked World. Klanten kunnen vaak zelf niet inschatten wat de reële risico's zijn van bepaalde beveiligingsproblemen. Ze zien misschien onterecht af van kopen via Internet of kiezen een andere bank omdat ze bang zijn dat hun rekening leeg wordt gehaald.

"Ogenblikkelijk hersteld"

IntraSites heeft het beleid dat de onderneming niet met de pers in discussie treedt over lekken, zegt algemeen directeur Jan Schledermann. Toegeven dat er een lek is geweest en de gebruikers voorlichten, wil hij nog wel doen. Op de site van Annapa.com staat een verklaring dat er een beveiligingsprobleem is geweest en dat de fout "uiteraard ogenblikkelijk hersteld" is. Veel gebruikers is Annapa.com volgens Schledermann niet kwijtgeraakt door de hack. "Wel hebben we veel reacties gekregen van mensen die precies wilden weten wat er aan de hand was. Die hebben ook antwoord gekregen." Aangifte bij de politie wil Schledermann per se niet doen. "We weten wie de site heeft gekraakt, maar aangifte leidt alleen maar tot meer negatieve publiciteit. Daar heeft niemand baat bij."

ABN Amro wilde aanvankelijk niet reageren op de beveiligingsfouten in HomeNet, zegt Richard, één van de studenten die het lek hebben ontdekt. "Jeroen Pauw [de RTL-presentator die het lek demonstreerde; MJK] werd er de eerste keer uitgegooid bij de bank."

Pas toen Pauw de band van de uitzending liet zien, was ABN Amro bereid tot een reactie, vertelt Richard. In de documentaire 'Hackers', die zondagavond 3 september j.l. werd uitgezonden, zien we een enigszins onzekere adjunct-directeur vertellen dat het lek niet zo ernstig is en dat ABN Amro "op korte termijn" met een oplossing komt. Op korte termijn? Eh ja, enkele weken hebben we daar wel voor nodig, zegt de bankman, die een overrompelde indruk maakt. Hij ziet eruit alsof hij vindt dat er niets aan de hand is, maar weet dat iedereen die kijkt hem niet gelooft. Volgens Kevin McPeake en andere beveiligingsdeskundigen klopt het ook dat het lek niet heel ernstig is, maar op klanten maken de mededelingen van de bank geen geruststellende indruk.

Direct na de documentaire 'Hackers' van Jeroen Pauw, waar de demonstratie van het HomeNet-lek het slot van vormde, zien we een boze Ewald van Kouwen van de Consumentenbond in beeld. In RTL Nieuws eist hij dat ABN Amro direct stopt met HomeNet.

Maandag staat in alle kranten dat telebankieren bij ABN Amro onveilig is. Op de website van de bank wordt met geen woord over het RTL-programma gerept. Er staan alleen wat algemene tips over computerbeveiliging.

Woordvoerders van de bank zeggen dat HomeNet alleen onveilig is als Internetgebruikers onverstandige dingen doen. "Het is niet zo zeer dat betalingen die via de PC verlopen onveilig zijn. Het downloaden van attachments is onveilig", aldus Robin Boon van ABN Amro in WebWereld.

Een dag later is alles anders en komt ABN Amro met het bericht dat de bank verantwoordelijk is voor het lek. Ook stelt ABN Amro zich aansprakelijk voor eventuele schade die klanten lijden. Het lijkt erop dat de bank met een media-adviseur heeft gesproken. Een verklaring voor de veranderde houding, willen de woordvoerders evenwel niet geven. "Daar geven we geen nadere informatie over. Dat is een interne zaak", zegt persvoorlichter Theo van Dijk. "Momenteel praten we alleen over de inhoud. Het persbeleid is een aparte kwestie. Het is nog te vroeg om daar mededelingen over te doen."

(Verschenen in Internet in Business, oktober 2000)

Zie ook:
Niet ABN, maar klant moet zich wapenen
(NRC Handelsblad, 5 september 2000)
Beveiligingsdeskundigen zijn niet onder de indruk van de 'kraak' van HomeNet van ABN AMRO. Ze zijn bang dat de echte oorzaak van het lek genegeerd wordt. Het zijn de besturingssystemen van de computers die onveilig zijn.

mjk@marie-joseklaver.nl

oktober 2000



Marie-José Klaver

Lees meer artikelen uit
Internet in Business of neem
een gratis abonnement.


Bovenkant pagina