CIA in paniek door inbraak in Lotus Notes

Het Nederlandse computerbeveiligingsbedrijf Trust Factory heeft afgelopen weekend op een hackersconferentie gaten geprikt in de belangrijkste software van banken, financiële instellingen en inlichtingendiensten die veilig werd geacht.

,,De CIA heeft gevraagd of we alsjeblieft snel willen komen praten', zegt Kevin McPeake, een van de oprichters van Trust Factory, een computerbeveiligingsbedrijf uit Den Haag. ,,De systeembeheerder van Procter & Gamble maakt zich ook grote zorgen', aldus Chris Goggans van het Amerikaanse computerbeveiligingsbedrijf Security Design International (SDI).

Trust Factory en SDI demonstreerden afgelopen weekend op Defcon, een internationale conferentie van hackers in Las Vegas, een inbraak in een Lotus Notes systeem. Lotus Notes is software van Lotus, een dochter van automatiseerder IBM, die nagenoeg alle banken, verzekeraars, accountantskantoren en inlichtingendiensten van overheden gebruiken om vertrouwelijke informatie in op te slaan en onderling uit te wisselen. Bij de CIA en Procter & Gamble, die toevallig op Defcon aanwezig waren, maar ook bij Philips, ABN Amro en Ernst & Young, zijn duizenden gebruikers met elkaar verbonden middels een Lotus Notes systeem.

Lotus Notes staat bekend om zijn absolute veiligheid. De laatste keer dat een computerkraker gaten in de software heeft gevonden was in 1998, ,,maar dat was niks vergeleken met de gaten die de jongens van Trust Factory nu hebben ontdekt', zegt Goggans, die door Trust Factory enkele weken geleden is benaderd om hun bevindingen te valideren. ,,Ik was stomverbaasd toen ik zag wat ze hadden gevonden', aldus Goggans.

Trust Factory, dat voor bedrijven de veiligheid van hun computersystemen onderzoekt, besloot twee jaar geleden een onderzoek in te stellen naar de veiligheid van Lotus Notes. ,,Je hoort om de haverklap dat hackers gaten hebben ontdekt in Microsoft-software, zoals Outlook of Exchange, maar over Lotes Notes hoor je nooit wat', zegt Kevin McPeake. ,,Dat is vreemd, want Microsoft heeft natuurlijk geen patent op slecht beveiligde software.'

Het uit vier hackers voortgekomen Trust Factory een Amerikaan (McPeake), een Zwitser en twee Nederlanders ontdekte redelijk snel dat er veel manieren waren om in te breken in een Lotus Notes systeem. ,,De meeste gaten zijn het gevolg van fouten die de systeembeheerder heeft gemaakt', legt McPeake uit. ,,Veel bedrijven gebruiken Notes ook voor email en internettoegang voor hun gebruikers en dat maakt het soms zelfs mogelijk om belangrijke informatie, zoals versleutelde wachtwoorden, zo van het net af te plukken.'

Maar ook Lotus Notes systemen die wel goed geïnstalleerd zijn, zijn niet langer veilig. Wouter Aukema, een van de Nederlanders van Trust Factory, heeft een programma geschreven dat op de PC van een Lotes Notes gebruiker op zoek gaat naar het (versleutelde) wachtwoord en de zogeheten `ID-file' van de gebruiker, een bestandje dat de aan de hand van het wachtwoord de identiteit van de gebruiker vaststelt.

,,De combinatie van wachtwoord en ID-file geeft toegang tot een Lotus Notes systeem. Als ik die heb, kan ik een systeem binnendringen met de identiteit van de gebruiker waar ik de gegevens van gestolen heb. Bij alles wat ik in het systeem doe, lijkt het of die gebruiker dat gedaan heeft.'

Het programma dat Aukema heeft geschreven, werkt als een soort virus. ,,Het zit verstopt in een email aan degene die ik wil aanvallen. Zodra die de email ontvangt en opent, zoekt het programma ongemerkt zijn versleutelde wachtwoord en ID-file en mailt die aan mij terug.' Dat gaat binnen enkele seconden. Daarna vernietigt de email zichzelf. ,,Dat is om mijn digitale sporen te wissen', aldus Aukema.

Eén van de veiligheidskenmerken van Lotes Notes is dat het gebruik maakt van versleutelde wachtwoorden. Het is onmogelijk om die open te breken. ,,Je hebt het versleutelde wachtwoord wel nodig om een Notes systeem binnen te kunnen, maar dat kan pas als je het wachtwoord van de gebruiker weet dat het versleutelde wachtwoord openmaakt.'

Dat wachtwoord kent alleen de gebruiker en is dus ook voor een hacker niet te achterhalen, legt Aukema uit.

De Zwitsere mede-oprichter van Trust Factory, Patrick Guenther, heeft daarom een programma geschreven dat deze wachtwoordprocedure omzeilt. Een soort `bypass' dus. Het zorgt ervoor dat, ongeacht welk wachtwoord je intypt, het versleutelde wachtwoord geopend wordt. ,,Dit programma is werkelijk briljant', zegt SDI's Chris Goggans. ,,Toen we dit voorafgaand aan onze presentatie aan Lotus lieten zien, stonden ze versteld.'

Goggans heeft het programma op Defcon gedemonsteerd, zonder de technische details vrij te geven. ,,Dat zou levensgevaarlijk zijn. Iedereen zou dan in kunnen breken in alle Lotes Notes systemen ter wereld, en dat is niet onze bedoeling. Wij hebben alleen willen aantonen dat er gaten in de software zitten, zonder dat we daar schade mee willen aanrichten', aldus Goggans.

Dat betekent volgens Kevin McPeake van Trust Factory niet dat Lotus Notes gebruikers nu veilig zijn. ,,Bij onze presentatie zaten er genoeg hackers in de zaal die het principe hebben begrepen. Die kunnen de software in een week of drie wel nabouwen, schat ik', aldus McPeake. Waarom hij de presentatie dan toch gegeven heeft? ,,Als wij dit niet bekendmaken, ontdekt een ander het heus wel een keer. En die gaat het misschien wel gebruiken voor vervelende dingen.'

Lotus heeft het bestaan van de door Trust Factory gevonden gaten inmiddels erkend. McPeake laat een brief van de Lotus-directie zien, waarin Lotus Trust Factory bedankt dat ze haar op de tekortkomingen in haar systeem heeft gewezen en dat Lotus in toekomstige versies van het programma zal proberen de problemen te verhelpen. ,,Dat was de officiële reactie van Lotus. De vloek van de voor Lotus Notes verantwoordelijke directeur van Lotus, toen we hem onze bevindingen voor het eerst lieten zien, zal ik maar niet herhalen.'

Voor een toelichting op de technische details, zie www.trust-factory.com.

    • Jochen van Barschot