In deze rubriek, die twee keer per week verschijnt, bericht Marie-José Klaver over ontwikkelingen op Internet. Reacties en tips: klaver@nrc.nl

MARIE-JOSÉ KLAVER
Microsoft heeft niet het patent op slechte beveiliging, zei deze week een medewerker van Trust Factory in deze krant. Het Nederlandse beveiligingsbedrijf Trust Factory heeft een groot lek ontdekt in Lotus Notes, een programma dat onder meer wordt gebruikt door banken en geheime diensten.

Particuliere internetgebruikers zullen eerder last hebben van de lekken in Microsoftproducten dan van de gebreken die Lotus Notes vertoont. Met name het e-mailprogramma Outlook is slecht beveiligd tegen virussen.

Een paar weken gelden maakte Microsoft bekend dat er een nieuw lek in Outlook is ontdekt. Een component in Explorer (dat bij elke versie van Windows zit) die ook voorkomt in Outlook en Outlook Express is gevoelig voor het zogeheten buffer overflow probleem, een bekend beveiligingsprobleem.

Voor cybervandalen biedt het Microsoft-lek ongekende mogelijkheden. Via het lek kunnen boosdoeners virussen en andere kwaadaardige programma's mailen naar Outlook-gebruikers die meteen in werking treden, zonder dat de ontvanger het e-mailbericht of een attachment hoeft aan te openen. De virussen kunnen zelfs al in werking treden voordat de mail in de inbox van de gebruiker zit. Dat maakt elke e-mail in potentie gevaarlijk. Het advies om geen attachments van onbekenden te openen, is volkomen nutteloos geworden. Een beter advies voor Outlook-gebruikers zou zijn: ontvang geen e-mail meer.

Microsoft heeft enkele patches (reparatieprogramma's) beschikbaar gesteld. Voor de Nederlandse versies van Outlook bleken deze niet te werken. Na het installeren van de patch werkte Outlook helemaal niet meer. Duizenden oplettende internetgebruikers zijn uren, soms dagen, bezig geweest om de schade te herstellen.

"Met de herinnering aan de ellende met het 'iloveyou'-virus nog vers in het geheugen, heb ik de waarschuwing serieus genomen (...) ik heb de patch binnengehaald, en ben vervolgens twee dagen bezig geweest om de daardoor aangerichte schade te herstellen. Het is ongelofelijk wat Microsoft met je computer kan (en blijkbaar mag) doen, schrijft een slachtoffer van de patch.

Om de schade te herstellen heeft hij een volledige back-up gemaakt van de harde schijf, die vervolgens geherformatteerd en alle programma's en bestanden terug gezet, inclusief de oude (onveilige) versie van Outlook.

Opmerkelijk is de onverschilligheid van Microsoft. Het bedrijf maakte op achteloze toon melding van het lek, alsof het volkomen normaal is dat software zulke gebreken vertoont. Een excuus aan de Nederlandse gebruikers voor de fout in de patch kan er niet af.

Het masochisme van de Outlook-gebruikers is ook opvallend te noemen. De miljarden dollars schade die virussen als I love you en Melissa hebben aangericht, maken klaarblijkelijk weinig indruk. De meeste Outlook- gebruikers schijnen niet te beseffen dat het programma een tijdbom is. Het wachten is op het volgende virus.

Underground Security System Research: http:// www.ussrback.com

Microsoft Security Bulletin: http://www.microsoft.com/technet/security/bulletin/ MS00-043.asp

FAQ van Microosft: http://www.microsoft.com/technet/security/bulletin/fq00-043.asp