In deze rubriek, die twee keer per week verschijnt, bericht Marie-José Klaver over ontwikkelingen op Internet. Reacties en tips: klaver@nrc.nl

MARIE-JOSÉ KLAVER
Privacydeskundige Richard M. Smith viel uit zijn stoel toen hij las hoe eenvoudig bepaalde soorten e-mail af te tappen zijn, schrijft hij in een column op zijn site Privacy Foundation. Dat betekent dat het om een groot lek moet gaan, want Smith is de ontdekker van belangrijke privacylekken in Windows, Word, RealPlayer en de browsers Netscape en Explorer. Je zou denken dat hij alles al heeft gezien en zich niet meer snel verbaast over nieuwe gaten in software.

Smith kreeg ongeveer drie weken geleden een e-mail van Carl Voth. Voth had in 1998 ontdekt dat het mogelijk is om doorgestuurde (geforwarde) e-mailberichten te volgen. Als je je e-mail van een bepaalde Javascript-code voorziet, kun je zien of het bericht wordt doorgestuurd naar anderen en welke tekst de ontvanger aan jouw tekst toevoegt. Voth deed zijn ontdekking toen hij zich verdiepte in een lek in e- mailprogramma's dat Smith had ontdekt, de zogeheten 'web bug'.

De web bug lijkt erg op de 'Reaper exploit', zoals Voth het door hem ontdekte lek noemt. Een web bug is een klein plaatje op een webpagina of in een e-mailbericht met HTML dat de maker van de pagina of de verzender van de e-mail in staat stelt te volgen wie zijn pagina heeft bezocht of zijn mail heeft gelezen.

De Reaper exploit, die werkt in veelgebruikte mailprogramma's voor Windows als Outlook, Outlook Express en Netscape Mail 6, gaat een stap verder. Degene die het e-mailbericht verstuurt, kan niet alleen zien wie het leest, maar ook aan wie hij het doorstuurt en wat hij erbij schrijft. Vandaar dat Smith, een gepensioneerde ondernemer die zich de laatste jaren helemaal heeft toegelegd op privacykwesties, zo verbaasd was. Smith verbaast zich er ook over dat de ontdekking van Voth, die hij al in 1998 bekendmaakte, tot nu toe zo weinig aandacht heeft gekregen. De privacyexpert vreest dat op grote schaal misbruik zal worden gemaakt van de Reaper exploit. Hij wijst er op dat al twee bedrijven in Kroatië en de Verenigde Staten commerciële diensten aanbieden die zijn gebaseerd op de web bug. Abonnees van Postel en ItraceYou kunnen volgen wie hun mail leest. In The New York Times van 22 november 2000 komt een man aan het woord die de fout gebruikt om te controleren welke bedrijven zijn sollicitatiemail en cv hebben bekeken.

Smith, Voth en andere computerdeskundigen hebben de gewoonte de lekken die ze ontdekken zeer gedetailleerd te beschrijven; ook publiceren zij de programmacode waarmee het lek kan worden uitgebuit ('exploit' in internetjargon). 'Full disclosure' wordt deze praktijk genoemd. Er zijn goede argumenten voor full disclosure. Een duidelijke beschrijving en een exploit maken het mogelijk de beweringen van de ontdekker te controleren. Softwarefabrikanten staan ook onder druk om de lekken te dichten als er een exploit is. Vaak worden ze een paar dagen, soms een paar weken, vantevoren gewaarschuwd door de ontdekker van een lek zodat het bedrijf de tijd heeft een reparatieprogramma (patch) uit te brengen.

Onder beveiligingsdeskundigen en bugjagers is er de laatste tijd veel discussie over de praktijk van full disclosure. Het grote nadeel van full disclosure is dat heel eenvoudig misbruik kan worden gemaakt van de kennis van de lekken en de exploits. De beschrijvingen worden vaak gebruikt om hackprogramma's te maken die iedere leek kan bedienen en die voor veel schade kunnen zorgen. Er zijn bijvoorbeeld al enkele virussen gebaseerd op lekken in het e-mailprogramma Outlook en de bijbehorende serversoftware. Ook de web bug wordt misbruikt om de privacy van e-mailgebruikers te schenden.

Het is een moeizame discussie. Softwarebedrijven klagen dat ze niet genoeg tijd krijgen om de lekken te dichten. Ontdekkers van lekken zeggen dat bedrijven maanden nodig hebben om lekken te dichten waardoor gebruikers van de software risico lopen. Hoe langer het duurt voordat een patch beschikbaar is des te groter is de kans dat het gat ook door anderen wordt ontdekt.

Het Amerikaanse beveiligingsinstituut CERT kiest tegenwoordig voor een middenweg. CERT publiceert voortaan alle softwarelekken in gedetailleerde berichten. Maar de organisatie geeft geen exploits vrij en biedt de softwaremakers 45 dagen om te reageren en met een reparatie te komen. Het effect van dit beleid, dat eind vorig jaar is ingegaan, is dat softwarebedrijven sneller reageren dan voorheen op lekken. CERT is zo bekend dat het imago van de softwaremaker al snel beschadigd is als er na een publicatie van het beveiligingsinstituut geen patch beschikbaar is.

Websites:

Privacy Foundation
www.privacyfoundation.org

E-mail wiretapping
www.antivirus.about.com/compute/antivirus/library/weekly/aa020501a.htm

Carl Voth Reaper exploit
www.geocities.com/ResearchTriangle/Facility/8332/reaper-exploit-release.html
www.cen.uiuc.edu/~ejk/browser-security.html

Richard Smith Web bug
www.privacyfoundation.org/education/webbug.html

Full disclosure: effective or excuse
www.synthesis.net/tech/fulldisclosure

Microsoft miffed at Bulgarian bug buster
Redmond says hasty disclosure, not buggy software, puts customers at risk.
www.securityfocus.com/news/140