Beveiligingsdeskundigen zijn niet onder de indruk van de 'kraak' van HomeNet van ABN AMRO. Ze zijn bang dat de echte oorzaak van het lek genegeerd wordt. Het zijn de besturingssystemen van de computers die onveilig zijn.

Door MARIE-JOSÉ KLAVER

AMSTERDAM, 5 SEPT. "Je moet er niet aan denken dat je nu ABN AMRO bent", zegt Rop Gonggrijp. Gonggrijp, medeoprichter van internetaanbieder Xs4all en eigenaar van beveiligingsbedrijf ITSX, is het niet eens met de eis van de Consumentenbond dat ABN AMRO moet stoppen met HomeNet tot er een oplossing is gevonden voor het afgelopen zondag bekend gemaakte beveiligingsprobleem.

In het programma RTL Dossier maakte Jeroen Pauw eergisteren bekend dat informaticastudenten uit Delft een methode hadden gevonden om het telebankierprogramma HomeNet te kraken. Criminelen zouden via een gat in de beveiliging van HomeNet in staat zijn om geld te stelen van nietsvermoedende klanten.

Gonggrijp, die eind jaren tachtig uitgever was van het het hackerstijdschrift HackTic, was zelf ook geïnterviewd voor het RTL-programma over hackers. Hij wist echter niet dat de documentaire eindigde met de 'kraak' van HomeNet. Gonggrijp ontkent niet dat er sprake is van slordige beveiliging. "HomeNet is een beetje suffe software. ABN AMRO had het hackers wel iets moeilijker kunnen maken door bijvoorbeeld een controle op rekeningnummer en tenaamstelling uit te voeren." Maar de beveiligingsdeskundige is bang dat door de opwinding over de 'gehackte bank' het werkelijke probleem vergeten wordt. "Het is niet terecht dat ABN AMRO nu in een slecht daglicht komt te staan. Iedereen roept nu dat zij het probleem moeten oplossen. Dat kunnen ze helemaal niet." Het werkelijke probleem is, zegt Gonggrijp, dat de personal computer onveilig is. Dat komt met name door de huidige besturingssystemen (Windows, Linux, MacOS). De besturingssystemen, de programma's die tegen de computer vertellen wat het apparaat moet doen, zijn programmeerbaar en hebben tal van lekken waardoor computercriminelen zich toegang kunnen verschaffen tot de PC van internetgebruikers. Zodra een computerkraker binnen is op een PC, heeft hij de volledige controle. Hij kan software installeren en die uitvoeren, gegevens stelen en vernietigen en bijvoorbeeld virussen verspreiden.

De methodes om bij computergebruikers in te breken zijn talrijk. Zo is het mogelijk om een e-mail te sturen met een Trojaans paard, een kwaadaardig computerprogramma dat eruit ziet als een onschuldig programma. Deze methode gebruikten de Delftse studenten om aan te tonen dat HomeNet misbruikt kan worden. In 1998 toonde het tijdschrift Computer Idee al aan dat met een Trojaans paard het internetbankieren bij de Rabobank zo te manipuleren was dat de gebruiker zijn geheime codes op een andere website intikte.

Een andere methode om in te breken is via printer- en bestandsdeling in Windows. Computergebruikers hebben printer- en bestandsdeling vaak aan staan, waardoor hun PC openstaat als ze op internet zijn aangesloten.

Daarnaast bestaan er nog talloze mogelijkheden om via webbrowsers als Internet Explorer en Netscape Communicator in te breken op pc's. "Wie eenmaal toegang tot een PC heeft kan alles op de harde schijf kapot maken of manipuleren, dus ook banksoftware", aldus Gonggrijp.

"ABN AMRO kan dit probleem niet oplossen. Ook als ze HomeNet beter zouden beveiligen blijven er genoeg mogelijkheden over om misbruik te maken van dit soort softwarepakketten", zegt Gonggrijp, wiens Amsterdamse bedrijf ITSX enkele banken en verzekeringsmaatschappijen als klant heeft.

Een "snelle oplossing" is er niet voor de onveiligheid van besturingssystemen, zegt Gonggrijp. "Honderd procent veiligheid voor computers is een utopie. Dat geldt ook voor de fysieke wereld. Als je op straat loopt kun je ook worden overvallen."

Patrick Oonk van computerbeveiligingsbedrijf Pine uit Den Haag is het eens met Gonggrijp dat de mogelijkheid om misbruik te maken van HomeNet wordt veroorzaakt door de onveiligheid van de huidige besturingssystemen en de vele mogelijkheden om in te breken en controle over een PC te krijgen.

Oonk vindt de kraak van HomeNet niet zo bijzonder. "Het bleek allemaal wat minder sensationeel te zijn dan in de aankondiging [van het RTL- programma] gesuggereerd werd. De 'hack' was een ordinaire trojan die informatie van de banking software manipuleert. Alle ingrediënten voor een sappig mediaspektakel waren aanwezig: een bank, 16-jarige hackers en internet."

Oonks collega Mark Lastdrager vindt dat "ABN pas de laatste partij is die hier schuld aan heeft. De gebruiker hoort er volgens mij van op de hoogte te zijn dat hij gebruik maakt van een onveilig besturingssysteem."

Kevin McPeake van Trust Factory, het Haagse beveiligingsbedrijf dat eind juli aantoonde dat Lotus Notes van IBM onveilig is, sluit zich aan bij Gonggrijp en Oonk. Dit is geen "serieus probleem" dat aan ABN AMRO toe te schrijven is, zegt de computerexpert. Dat een gebruiker ervan overtuigd is dat hij een programma moet installeren dat eruit ziet als een reparatie voor HomeNet, maar in werkelijkheid een kwaadaardig programma is, heeft niets met de beveiliging van HomeNet zelf te maken, zegt McPeake. Gebruikers moeten zich realiseren dat het downloaden en uitvoeren van attachments erg onveilig is, meent McPeake. "Wij geloven dat het werkelijke risico voor gebruikers van ABN AMRO's HomeNet erg overdreven wordt", zegt McPeake. Hij is het niet met de Consumentenbond eens dat de bank moet stoppen met HomeNet. ABN AMRO zou een voorlichtingsprogramma moeten beginnen voor gebruikers om ze te wijzen op de risico's die computer en internet met zich meebrengen, vindt McPeake. "ABN AMRO kan niet persoonlijk verantwoordelijk gehouden worden voor de veiligheid van elke individuele computergebruiker."

Richard, een van de twee ontdekkers van het lek in HomeNet, is het "helemaal eens" met de beveiligingsdeskundigen. Hij vindt echter dat ABN AMRO de software beter had moeten beveiligen omdat "gebruikers nu eenmaal gemakkelijk vreemde software installeren of hun PC op een onveilige manier geconfigureerd hebben". "Die verantwoordelijkheid heeft de bank", aldus de informaticastudent, die een baan heeft bij een internetbedrijf.

Zie ook:

Lotus Notes waarschuwt gebruikers
(2 augustus 2000)
Lotus heeft gebruikers van het computerprogramma Lotus Notes gewaarschuwd voor de gevolgen van de gaten die het Nederlandse computerbeveiligingsbedrijf Trust Factory in de software heeft ontdekt.

Banken vertrouwen beveiliging software
(1 augustus 2000)

CIA in paniek door inbraak in Lotus Notes
(1 augustus 2000)

Software van banken gekraakt
(31 juli 2000)