In deze rubriek, die twee keer per week verschijnt, bericht Marie-José Klaver over ontwikkelingen op Internet. Reacties en tips: klaver@nrc.nl

MARIE-JOSÉ KLAVER
Nadat de ABN Amro met de Consumentenbond had gesproken dinsdagavond nam de bank alle schuld op zich voor het lek in HomeNet. Eventuele schade die telebankierende klanten lijden door het lek, dat door twee studenten informatica aan het licht werd gebracht, wordt door ABN Amro vergoed.

De rol van de Consumentenbond in de HomeNet-zaak is een curieuze. Zonder zelf onderzoek gedaan te hebben naar het waarheidsgehalte van de beweringen van RTL4, dat het HomeNet-lek afgelopen zondag demonstreerde, riep woordvoerder Ewald van Kouwen meteen dat ABN Amro moest stoppen met HomeNet tot het programma veilig was. De Consumentenbond wist niet of HomeNet echt onveilig was, want ze hadden hoogstens een videoband van de RTL-documentaire 'Hackers' gezien.

Een schriftelijke analyse van het beveiligingsprobleem die de twee studenten, die het hackerstijdschift Klaphek mede-uitgeven, hebben gemaakt, is niet openbaar. Toch wist de Consumentenbond zeker dat het gebruik van de telebanking-software van ABN Amro onveilig was. De tactiek die de Consumentenbond toepast wordt in computerkringen FUD genoemd. FUD staat voor Fear, Uncertainty en Doubt. Zaai angst, onzekerheid en twijfel en je brengt de tegenstander op de knieën.

HomeNet is niet goed beveiligd en de aanvankelijke reactie was uiterst klantonvriendelijk, maar het risico dat een computercrimineel de rekening van een HomeNet-klant leeghaalt is veel kleiner dan dat op straatroof na het gebruik van een geldautomaat.

Ook beter beveiligde programma's kunnen via de methode die de informaticastudenten gebruikten gekraakt worden. De hoofdmoot van de hack van HomeNet bestond uit een Trojaans paard dat de banksoftware manipuleerde. Een Trojaans paard is een schadelijk programma dat eruit ziet als een onschuldige screensaver, een spelletje of, in het geval van de HomeNet-demonstratie, een update.

De Consumentenbond maakte zich niet druk om dergelijke nuanceringen, maar wierp zich op als de beschermer van de Nederlandse telebankier. Dat is merkwaardig, want de organisatie heeft zelf een buitengewoon slechte reputatie als het om computer- en informatiebeveiliging gaat.

In 1998 sloot de Consumentenbond een contract met internetaanbieder World Online. Leden van de bond konden een goedkoop abonnement bij World Online afsluiten. Daarmee gaf de Consumentenbond, die zich waarschijnlijk niet realiseerde dat een provider ook gewoon een commercieel bedrijf is met allerlei belangen, zijn onafhankelijke positie op. Consumentenorganisaties mogen zich nooit verbinden aan commerciële bedrijven.

World Online bleek bovendien zo slecht beveiligd te zijn dat op een gegeven moment de wachtwoorden van ruim 180.000 klanten op internet openbaar werden gemaakt. Toen World Online, dat lange tijd ontkende lek te zijn, een hackwedstrijd uitschreef om aan te tonen hoe ondoordringbaar de systemen van het bedrijf waren, was het hek van de dam.

Hackers zagen hun kans schoon om homepages van zakelijke klanten van de internetaanbieder te veranderen en intern veel schade aan te richten. Het idee van een hackwedstrijd is niet alleen onethisch (de privacy en zakelijke belangen van klanten worden er mee geschonden), maar was in het geval van World Online ook heel dom. Immers de wachtwoorden lagen al op straat. Je hoefde helemaal geen slimme methodes te bedenken om bij World Online in te breken.

Vorig jaar introduceerde de Consumentenbond het WebTrader keurmerk. Websites en digitale winkels die het keurmerk op hun site plaatsten zijn veilig, beweerde de Consumentenbond. De websitehouders geven kopers hun geld terug als ze niet tevreden zijn over een aankoop en ze nemen ,,passende technische en organisatorische maatregelen ter beveiliging van de overdracht van persoonlijke informatie en betalingen.''

In de praktijk blijkt de beveiligingseis een wassen neus. Meer dan de helft van de eerste twintig winkels die de Consumentenbond heeft goedgekeurd maakt geen gebruik van SSL (Secure Socket Layer), de standaard op het web voor het veilig versturen van vertrouwelijke informatie bij transacties.

Een dag na de introductie van het keurmerk in november 1999 slaagden hackers erin vier van de twintig winkels met het WebTrader-logo te kraken. In de maanden daarna worden nog enkele grote lekken aangetoond bij WebTrader-winkels.

De site van de Consumentenbond is zelf ook niet veilig. Uit protest tegen de uitlatingen van de organisatie over HomeNet legden enkele crackers de site plat. Het lamleggen van sites is een flauw spelletjes waar de meeste hackers hun neus voor ophalen, maar de actie toont wel aan dat de Consumentenbond zelf moeite heeft met internetbeveiliging.

Klaphek:
www.klaphek.nl