Lek in Windows maakt gegevens creditcard toegankelijk

Nieuw probleem in afhandeling digitale certificaten

06 september 2002 | Jamie Biesemans Een nieuwe security bulletin waarschuwt voor lekken in Windows waarlangs hackers de beveiligde gegevens van een gebruiker kunnen stelen. Microsoft vindt de zaak zelfs zo kritisch dat ze een waarschuwing verspreidt voordat alle patches af zijn. Op het internet zouden al applicaties gesignaleerd zijn die de achterdeur uitbuiten. Het probleem treft bovendien net enkel het Windows-platform; ook de Mac loopt gevaar.

Eind augustus waarschuwde Microsoft voor een probleem met de digitale certificaten. Dat probleem heeft echter niets te maken met deze kwestie. Waar een hacker toen informatie in certificaten kon vernietigen, maar niet stelen, zou nu wel de deur openstaan voor diefstal van persoonlijke gegevens.

Digitale certificaten dienen bijvoorbeeld om aan te geven dat een bepaalde website weldegelijk is wie het beweert te zijn. Ze spelen een belangrijke rol bij e-commercetoepassingen, zoals bij het opzetten van Secure Sockets Layer (SSL)-verbindingen voor het versturen van creditcard-informatie.

De fout betekent in essentie dat als een site een tweede digitaal certificaat verstuurt, niet alle velden opnieuw worden bekeken. Als een hacker daar veel tijd in stopt, zou hij een valse website kunnen maken waarmee hij surfers om de tuin kan leiden. "Je bent op mijn site en ik zeg 'klik hier om naar Amazon.com te gaan'. Maar in de realiteit ga je daar niet echt naar toe", legt Gartner-specialist John Pescatore uit. "Ik kan Amazon.com nabootsen en je overtuigen dat om je creditcard-nummer in te vullen." Er verschijnt immers geen waarschuwing dat het gedeelte waar je je nummer invult, geen onderdeel is van de webwinkel.

Naast het technisch kunnen van het uitbuiten van de lek, is dus nog aardig wat overtuigingskracht nodig. Experts geloven niet dat de diefstal van creditcardnummers op deze manier veel slachtoffers oplevert. Maar het lek treft een Windows-component, CryptoAPI, dat ook door veiligheidssoftware van derden wordt gebruikt. Vandaar dat ook andere software dezelfde achterdeur heeft. Het is daarom dat Microsoft de kwestie de hoogste prioriteit geeft.