Software van banken gekraakt
Door onze redacteur JOCHEN VAN BARSCHOT
LAS VEGAS, 31 JULI. Hackers,
gespecialiseerd in het inbreken in computersystemen, zijn erin geslaagd
de software te kraken die de meeste banken, verzekeraars en
accountantskantoren gebruiken om vertrouwelijke documenten te bewaren.
Ze hebben hun bevindingen afgelopen weekend gepresenteerd op Defcon, een
internationale conferentie van hackers en specialisten op het gebied van
computerbeveiliging in Las Vegas.
Het gaat om het programma Lotus Notes van IBM. Het uit een aantal
hackers voortgekomen computerbeveiligingsbedrijf Trust Company uit Den
Haag heeft een lek in Lotus Notes ontdekt. Via dat lek kunnen hackers
zich toegang verschaffen tot vertrouwelijke informatie die bedrijven,
maar bijvoorbeeld ook inlichtingendiensten van overheden, in een Lotus
Notes-database hebben opgeslagen.
Lotus Notes is een programma dat het mogelijk maakt documenten voor
verschillende gebruikers van een computernetwerk op verschillende
plekken toegankelijk te maken, zonder dat niet-geautoriseerde gebruikers
daar bij kunnen. Ook het verzenden van vertrouwelijke e-mailberichten
zou veilig moeten zijn met Lotus Notes. Bedrijven gebruiken hiervoor
meestal Lotus Notes in plaats van een ander e-mailprogramma, zoals
Microsoft Outlook, dat regelmatig geconfronteerd wordt met berichten dat
hackers er lekken in gevonden hebben. Lotus Notes overkomt dat zelden.
Een groot aantal banken, waaronder ABN Amro en Fortis, de vijf grote,
wereldwijd opererende accountantskantoren, waaronder Ernst & Young en
PriceWaterhouseCoopers, maar ook multinationals als Philips, Heineken en
Nutreco gebruiken Lotus Notes voor hun interne dataverkeer. Dat geldt
ook voor overheidsorganen als de Belastingdienst in Nederland en de
Amerikaanse inlichtingendienst CIA. Wereldwijd heeft Lotus Notes ruim 56
miljoen gebruikers. Dat komt volgens de woordvoerster van Lotus Notes
Nederland doordat die erop kunnen rekenen dat de software "absoluut
veilig" is. "Lotus Notes staat zelfs bekend als de veiligste software
ter wereld", zegt Wouter Aukema, mede-eigenaar van Trust Factory, het
bedrijf dat het afgelopen weekeinde op Defcon heeft gedemonstreerd hoe
het voor hackers mogelijk is om 'in te breken' in een Lotus Notes-
systeem. Aukema liet ook een verklaring zien van Lotus, waarin het
bedrijf het bestaan van de lekken erkent. Voor een officiële
reactie was Lotus niet bereikbaar. "Bedrijven en overheden varen blind
op de veiligheid van Lotus Notes. Dat vertrouwen is onterecht." Met het
door The Trust Factory gevonden lek kunnen hackers zich toegang
verschaffen tot gevoelige informatie, zegt Aukema. The Trust Factory
heeft een aanval op een Lotus Notes-systeem gedemonstreerd, zonder dat
de exacte technische details werden prijsgegeven.