In deze rubriek, die twee keer per week verschijnt, bericht Marie-José Klaver over ontwikkelingen op Internet. Reacties en tips: klaver@nrc.nl

MARIE-JOSÉ KLAVER

Bennett Haselton

Volgens Microsoft was Bennett Haselton te dom om als software engineer bugs uit programma's te halen. De afgestudeerde wiskundige die van mei 1999 tot januari dit jaar voor Microsoft werkte, nam ontslag omdat hij niet langer in een lagere functie voor het bedrijf wilde werken. Hij besloot in zijn vrije tijd lekken in software van Microsoft op te sporen.

De afgelopen weken, terwijl Microsoft veel kritiek kreeg vanwege de slechte beveilinging van Outlook, maakte Haselton (21) een paar grote lekken in Microsoft-producten openbaar. Hij haalde daarmee onder meer CNN, de Wall Street Journal, de New York Times, Wired News en News.com. Haselton ontdekte 10 mei jl. een gat in de gratis e-mailadienst Hotmail waardoor alle e-mail van gebruikers leesbaar werd. Hotmail heeft wereldwijd 50 miljoen gebruikers en geldt volgens Haselton als de veiligste van de gratis e-mailsites, de ,,Mount Everest voor ontdekkers van bugs", schrijft hij in een e-mail.

Microsoft reageerde snel en haalde Hotmail uit de lucht om het lek te repareren. Gebruikers kunnen urenlang niet bij hun e-mail. Geen slechte prestatie voor een jongen die 'te dom' was voor Microsoft.

Een dag later maakte Haselton bekend dat de browser Internet Explorer ook een groot lek kent. Door een eenvoudige verandering in een URL (webadres) konden websitebeheerders cookies van bezoekers opvragen. Cookies zijn kleine tekstbestanden die een website op de harde schijf van een bezoeker zet. Het bestand bevat onder meer informatie over de voorkeuren van surfers, zodat de site ze herkent als ze terugkeren. Er zijn ook cookies die veel meer informatie bevatten, zoals naam, adres, credit card-nummer, laatst bezochte websites. Met deze bug is het bijvoorbeeld mogelijk om uit naam van iemand anders boeken te bestellen van Amazon.com omdat dit bedrijf cookies gebruikt om naam, adres en credit card-nummer te bewaren. Microsoft gaf toe dat dit een groot beveiligingsrisico was en zette een team programmeurs aan het werk om het gat te dichten.

,,Na het lek van gisteren in Hotmail moet ik eigenlijk verhuizen naar een appartement op veiliger afstand van Microsoft, dat ik vanuit mijn raam kan zien", grapt Haselton per e-mail. Zeven dagen kost het Microsoft om het lek te repareren dat Haselton met een middagje programmeren boven water wist te halen.

Haselton is niet alleen een slimme programmeur, hij is ook erg eerlijk. Bij CNN vertelde hij dat hij de lekken in Hotmail en Explorer bekend had gemaakt omdat hij internetgebruikers wilde beschermen tegen hackers en malafide websitebeheerders. Toen een journalist van de New York Times hem belde om nog eens na te vragen waarom hij de publiciteit had gezocht met de bugs, vertelde Haselton dat hij graag de aandacht wilde vestigen op Peacefire, de jongerenorganisatie tegen filteren waar hij voorzitter van is.

Peacefire: www.peacefire.org

Cookie bug: http://www.peacefire.org/security/iecookies

Micorosft beveiliging: www.microsoft.com/technet/security/default.asp, www.microsoft.com/technet/security/bulletin/ms00-033.asp

Cookies: www.cookiescentral.com

E-mail: klaver@nrc.nl