Hoe (on)veilig is Internet Explorer?
Een terugblik op de Google-hack, in 5 vragen. Zoals deze: na de tussentijdse reparatie die Microsoft afgelopen week uitvoerde op zijn browsersoftware, blijven veel computergebruikers zitten met de vraag hoe veilig Internet Explorer in werkelijkheid is. De afgelopen week verschenen immers oproepen van de Duitse en Franse veiligheidsinstanties om voorlopig geen Internet Explorer te gebruiken. De aanleiding was de hack waarmee Google, Adobe en nog eens ruim dertig andere bedrijven ingebroken werd.
Daarvoor werd een lek in Internet Explorer gebruikt. Via deze zogeheten exploit kan een hacker de controle over de computer verkrijgen. En, in het geval van Google, gevoelige bedrijfsinformatie buitmaken. Het gevolg was dat het aantal downloads van Firefox in Duitsland opeens snel steeg. Firefox telde overigens meer fouten (bugs) dan Explorer, bleek eind vorig jaar al. Maar dat is een goed teken, vinden veiligheidsexperts. Bugs die bekend zijn, worden tenminste meteen gerepareerd – als het goed is.
1) Wanneer wordt een lek gerepareerd?
Uit Microsofts security bulletin zou je op kunnen maken dat het bedrijf binnen een week een remedie had gevonden. Maar in werkelijkheid kost het veel langer om de patch (letterlijk: pleister) te maken en te testen. De Google-hack had al in december plaatsgevonden en Microsoft wist al sinds september 2009 van het bestaan van lek. Toen bleek dat er toch wel erg veel Windows-systemen gevoelig voor infiltratie, bracht Microsoft vorige week snel een tussentijdse update uit. Rijkelijk laat, vinden critici. Govcert, de waarschuwingsdienst van de Nederlandse overheid, besloot geen negatief advies over Internet Explorer uit te brengen. Er was geen prangende reden voor, betoogt Govcert, en het zou maar paniek en verwarring veroorzaken onder gebruikers. Luister hier naar het gesprek met een Govcert-woordvoerder in Tros Radio Online. Omdat het lek zo ernstig was dat Microsoft zijn normale update-regime wil veranderen, leek het advies om tijdelijk een andere browser te gebruiken op zijn plaats. Maar Govcert koos er voor om pas te waarschuwen op het moment dat Microsoft de reparatie voor elkaar had.
2) Kan ik Internet Explorer blijven gebruiken?
Microsoft heeft zijn browser in de loop der jaren veiliger gemaakt. Het lek, Aurora gedoopt, is vooral gevaarlijk van gebruikers van de verouderde versie 6 van Internet Explorer (IE6). Maar IE7 is ook gevoelig en aan IE8 ‘wordt gewerkt’, aldus een hacker. Volgens de browser-statistieken van de w3counter.com had Internet Explorer in december 2009 nog een marktaandeel van ruim 50 procent, waarvan ruim 11 procent voor Internet Explorer 6. Ook in Nederland surft nog 10 procent met IE6. Zo’n grote groep gebruikers blijft interessant om aan te vallen en in te zetten voor spamruns of andere cybercriminele praktijken. De combinatie IE6/Windows XP is vaak extra wankel omdat er veel illegale versies in omloop zijn en gebruikers van die systemen hun pc’s minder trouw updaten.
Ervaren computergebruikers kunnen zich amper voorstellen dat iemand nog durft te surfen met een browser van negen jaar oud, in de tijd dat het internet nog compleet andere gevaren kende dan nu. Maar start een willekeurige bedrijfscomputer op en daar zul je negen van de tien keer een zwaar verouderde browser in aantreffen. Bedrijven die ooit webapplicaties ontwierpen voor IE6 hebben geen zin om die software te herschrijven voor gebruik in modernere browsers. Zelfs bij Google gebruiken ze nog IE6, blijkt nu. Over het algemeen is het bedrijfsleven huiverig met updaten: veranderingen in IT-systemen leiden vaak meer onvoorziene problemen. Dan maar af en toe een lek.
3) Hoe kan ik het veiligst surfen?
Een manier in ieder geval particulier enigszins veilig te kunnen surfen: klik niet op elke link die je doorgestuurd krijgt. Wees zorgvuldig en alert. Zorg ervoor dat je systeem altijd up to date is, gebruik een actuele virusscanner en installeer twee verschillende browsers, zodat je altijd kunt wisselen als er met één van de twee iets aan de hand is. Geen enkele browser is immers honderd procent veilig. Hetzelfde geldt voor flash, pdf’s en talloze webplugins.
Met een relatief weinig gebruikte browser loop je altijd minder kans het doelwit te worden van een massale aanval op Internet Explorer of Firefox. Maar tegen een gerichte aanval, zoals bij Google het geval is, is weinig bestand. Ook Mac-gebruikers kunnen in een mum van tijd gehackt worden, als een hacker zijn zinnen er op zet. De combinatie Linux/Firefox heeft ook veel aanhangers onder mensen die graag ongehackt door het leven gaan.
4) Waarom was Google het slachtoffer?
Google is een interessant bedrijf omdat het tientallen miljoenen mailadressen beheert en de zoekhistorie van het hele internet bijhoudt. Het ideale slachtoffer voor bedrijfsspionage via het web. Het lek dat gebruikt werd voor de Google hack was een zogenaamde zero day exploit. Vers ontdekt door hackers, zodat er nog geen updates voor geschreven zijn of antivirusbedrijven er al op kunnen filteren als ze de binnenkomende e-mail controleren. Binnen hackerskringen zijn deze exploits het veel geld waard – vandaar dat ze er soms maandenlang naar zoeken. Op basis van het lek werd geavanceerde software gemaakt om live mee te kijken bij Google. Het was vakwerk, blijkt uit deze interessante uitleg van Symantec.
Uit een interview met Steven Adair, veiligheidsspecialist van Shadowserver, in de NRC van 15 oktober 2009: “Het gaat om kleine aanvallen die maandenlange voorbereiding vergen. Denk aan een mail met een pdf-attachment, die zelfs door kenners niet van echt te onderscheiden is. Daarin zit de allernieuwste exploit – een lek dat nog niet ontdekt is door de goegemeente onder de hackers en waar dus ook nog geen antivirusprogramma tegen helpt. ” (lees hier het volledige artikel “Een flinke cyberramp op zijn tijd kan geen kwaad” – alleen NRC-abonnees).
Gerichte aanvallen - targeted attacks - als die bij Google zijn niet nieuw. Wel nieuw is het dat Google toegeeft wat er gebeurd is. Meestal zijn bedrijven of regeringen die het slachtoffer werden van online spionage geneigd de zaak onder de pet te houden. Op het moment dat zo’n kersvers lek na een gerichte aanval openbaar wordt, duikt de exploit ook in het wild op en zijn alle internetgebruikers in principe in gevaar.
5) Zit China er echt achter?
Ook in het geval van Google werden werknemers verleid om op links te klikken via nagebootste berichten die net zo goed van een collega afkomstig hadden kunnen zijn. Het zou om berichten via sociale netwerken van geselecteerde medewerkers gaan, meldt de FT op basis van berichten van experts. Maar had China echt wel iets met deze kwestie te maken, zoals Google en Amerikaanse politici beweren? China ontkent elke betrokkenheid. Veiligheidsexpert Graham Cluly van beveiligingsbedrijf Sophos vindt dat de beschuldigingen minder stellig zouden kunnen zijn. De hackers hadden prima in elk ander land kunnen zitten en via besmette Chinese computers hun aanval uit kunnen voeren, zegt hij in het filmpje hieronder.
Ondenkbaar is het niet dat Chinese pc’s misbruikt werden. In Azië is het aantal gebruikers van de verouderde Internet Explorer 6-versie nog erg hoog (35 procent). In China is dat volgens cijfers van StatCounter zelfs meer de 60 procent. Hoe ironisch: het zijn nu vooral Chinese computers die onder vuur liggen van het lek dat ten grondslag lag aan de memorabele Google Hack.
