Dossier Computerbeveiliging

Nieuws

Lekken

Privacy

Hackers

Pentagon

Virussen

Tips

Boeken

Films

Anonieme webdiensten niet veilig

MARIE-JOSÉ KLAVER <klaver@nrc.nl>

AMSTERDAM, 13 APRIL. Anonieme webdiensten, bedrijven en instellingen die Internetgebruikers de mogelijkheid bieden anoniem te surfen, zijn niet zo veilig als altijd gedacht. Door beveiligingslekken in deze diensten kunnen surfers toch geïdentificeerd worden.

Dit beweert de Amerikaanse beveiligingsdeskundige Richard M. Smith van Phar Lap Software. Smith, die een uitstekende reputatie bezit op het gebied van computer- en Internetbeveiliging, heeft ontdekt dat de vier bekendste anonieme webdiensten, Anonymizer, Onion Router, Lucent Personalized Web Assistant en AIX Privacy, lek zijn.

Het Kosovo Privacy Project is toch niet zo anomiem.

Anonieme webdiensten (ook wel anonymizers genoemd) verbergen privacygevoelige informatie over Internetgebruikers, zoals herkomst, e-mail adres, provider, naam van de computer en de surfgeschiedenis. Anonieme webdiensten worden veel gebruikt door mensenrechtenactivisten en dissidenten. Dagelijks maken tienduizenden Internetters gebruik van anonymizers. Via de grootste anonieme webdienst, Anonymizer, worden maandelijks 7,5 miljoen webpagina's opgevraagd.

Vanwege de oorlog in Joegoslavië, die wel de eerste Internetoorlog wordt genoemd, staan anonymizers momenteel erg in de belangstelling. Ze stellen Internetgebruikers uit Joegoslavië in staat om onopgemerkt door de autoriteiten, die strenge censuur op de media uitoefenen, websites over de hele wereld te bekijken met nieuws over de NAVO-bombardementen en de crisis in Kosovo.

Anonymizer is een paar dagen geleden een speciaal privacyproject voor Kosovo begonnen. Kosovaren, Serven en andere geïnteresseerden kunnen via een extra snelle Internetverbinding een aantal websites over de oorlog in Joegoslavië bekijken en anoniem e-mail sturen naar bijvoorbeeld familie en persbureaus. Op elektronische discussielijsten is te zien dat er onder Kosovaren en Serviërs veel belangstelling is voor anoniem e-mailen en surfen. Ook Joegoslaven in veilige landen maken soms gebruik van anonieme Internetdiensten omdat ze bang zijn dat hun berichten tot sancties tegen achtergebleven familieleden kunnen leiden.

Nadat Smith een artikel in de New York Times over anonieme webdiensten had gelezen werd hij nieuwsgierig of deze diensten wel goed werken. ,,In het bijzonder wilde ik weten of het mogelijk zou zijn om (…) deze systemen te verslaan'', schreef Smith in de nieuwsgroep comp.security.misc, waar hij zijn ontdekking bekend maakte.

Smith, die onlangs ontdekte dat Microsoft een persoonlijk identificatienummer heeft verborgen in Windows dat gekoppeld is aan de naam van de computergebruiker, schreef twee kleine programma's (in de Internettaal JavaScript) die hij op een webpagina plaatste en ontdekte dat alle vier de geteste anonymizers lek zijn.

Smith adviseert gebruikers van Anonymizer en de andere diensten die echt anoniem willen blijven JavaScript, Java en ActiceX in hun browser uit te zetten. Deze toepassingen zijn volgens de beveiligingsdeskundige uit Cambrigde in Massachusetts verantwoordelijk voor de lekken. Anonymizer heeft het beveiligingsprobleem bevestigd en raadt gebruikers aan JavaScript uit te zetten tot het bedrijf het lek gedicht heeft.

Op de homepage van Richard Smith is een demonstratie van zijn programma's te zien:
www.tiac.net/users/smiths/js/livecon/index.htm