In deze rubriek, die twee keer per week verschijnt, bericht Marie-José Klaver over ontwikkelingen op Internet. Reacties en tips: klaver@nrc.nl

MARIE-JOSÉ KLAVER
Een 32-jarige afwasser uit New York is erin geslaagd rijke beroemdheden als Oprah Winfrey en Steven Spielberg miljoenen dollars afhandig te maken. De man, die inmiddels is gearresteerd, deed dat door persoonlijke gegevens als geboortedata, adres, bankrekeningnummer, credit card-nummer en sofinummer te verzamelen. Met behulp van die gegevens, een mobiele telefoon en een aantal e-mailaccounts op naam van zijn slachtoffers slaagde hij erin om banken en beleggingsmaatschappijen waar de beroemdheden rekeningen hadden geld te laten overmaken naar zijn eigen rekening.

Een uniek geval van identiteitsdiefstal dat goed aantoont wat de Achilleshiel van de digitale economie is. Door gebrek aan controle op de identiteit van degene die via de telefoon of e-mail opdrachten geeft voor financiële transacties is het voor bedriegers vrij gemakkelijk om geld te stelen. Beveiligingsdeskundigen en mensen uit de financiële vrezen dat identiteitsdiefstal hét probleem van de komende jaren wordt.

Zekerheid over de identiteit van een persoon of bedrijf waarmee je alleen virtueel te maken hebt, is ook voor particuliere computergebruikers belangrijk. Als je een programma of een update downloadt van een website moet je er zeker van zijn dat je geen virus of andere schadelijke software binnenhaalt. Er zijn in cyberspace wel manieren om iemands identiteit vast te stellen. Digitale handtekeningen en certificaten die zijn verbonden aan wachtwoorden zijn een goede methode om je ervan te vergewissen dat iemand ook echt diegene is voor wie hij zich uitgeeft. Digitale authenticatietechnieken worden nog relatief weinig gebruikt op internet. Veel gebruikers vinden de techniek te moeilijk en veel bedrijven zijn bang dat ze klanten afschrikken als ze eisen dat ze aparte software aanschaffen en installeren voordat ze zaken mogen doen. Het geval van de stelende afwasser vormt de ideale aanleiding voor een discussie over de noodzaak over digitale authenticatie. Dat zou zo zijn, ware het niet dat gisteren bekend is geworden dat digitale certificaten heel gemakkelijk te vervalsen zijn.

Onbekende hackers zijn sinds eind januari in het bezit van twee getekende certificaten van Microsoft. Grote softwarebedrijven tekenen de programma's die ze via websites aan gebruikers aanbieden als een garantie dat ze echt zijn. Ze doen dat meestal met de software van VeriSign, een van de weinige bedrijven die zich met digitale identificatie bezig houden.

Onbevoegden hebben zich bij VeriSign, dat als zeer betrouwbaar geldt, voor Microsoft-medewerkers uitgegeven en hebben twee officiële certificaten gekregen. Met die certificaten kunnen ze virussen en andere vervelende programma's digitaal tekenen zodat ze op echte Microsoft-programma's lijken. In beveiligingskringen is grote paniek uitgebroken. Het gezaghebbende en doorgaans zeer terughoudende beveiligingsinstituut CERT heeft gisternacht een waarschuwing doen uitgaan waarin staat dat in principe alle computers met software die door Microsoft ondertekend is gevaar lopen. Dat zijn vrijwel alle computers ter wereld. Ook Microsoft neemt het beveiligingsprobleem serieus, al meent het softwarebedrijf dat het niet om een 'beveiligingsprobleem in de stricte zin van het woord' gaat omdat niet Microsoft een fout heeft gemaakt, maar VeriSign. Microsoft richt zich in een security bulletin tot alle gebruikers van zijn software en waarschuwt dat het bekende pop-up scherm met de tekst 'Microsoft verzekert dat deze software veilig is' dat verschijnt bij het installeren van programma's en updates tijdelijk niet zo betrouwbaar is omdat ook de hackers die de certificaten hebben bemachtigd zulke boodschappen kunnen laten verschijnen.

Microsoft liegt als het bedrijf zegt dat het probleem alleen bij VeriSign ligt. Beide ondernemingen hebben een fout gemaakt in de procedure volgens welke bepaald wordt wie een echte Microsoft- medewerker is en wie niet. Als iedereen die zegt dat hij bij Microsoft werkt van VeriSign een certificaat kan krijgen, is er iets goed mis in Redmond.

De klanten van Microsoft, en dat zijn we bijna allemaal, zijn de dupe van het beveiligingsprobleem. Ze moeten allemaal een update-programma installeren, dat volgende week beschikbaar zal zijn. Dat betekent dat volgende week honderden miljoenen computers voorzien moeten worden van nieuwe software. Een zeer kostbare operatie als je alle verloren arbeidsuren bij elkaar optelt. De hackers die de VeriSign-certificaten hebben weten te bemachtigen hebben een fundamentele zwakheid van digitale authenticatie blootgelegd. Als de procedure lek blijkt te zijn, heeft de hele wereld daar last van en gaan vele miljoenen guldens aan arbeidskracht verloren.

Security bulletin Microsoft
www.microsoft.com/technet/security/bulletin/MS01-017.asp

CERT waarschuwing
www.cert.org/advisories/CA-2001-04.html