Lek bij Netscape `serieus' probleem

Na de problemen met de beveiliging van Outlook (Microsoft) en Lotus Notes (IBM) blijken nu ook de blader- en mailprogramma's van Netscape onveilig te zijn.

Gebruikers van de webbrowser Netscape Navigator lopen het risico dat kwaadwillende hackers de inhoud van hun computer openbaar maken. Via een onlangs ontdekt lek in Netscape is het eenvoudig van een PC een server te maken die voor iedereen toegankelijk is.

De Amerikaanse computerprogrammeur Dan Brumleve, die het probleem ontdekte, heeft een programma geschreven waarmee het lek kan worden uitgebuit. Brown Orifice, zoals het programma heet, kan op een website staan. Ook kan het programma (een zogeheten Java-applet) naar een internetgebruiker worden gemaild. Gebruikers die het programma Netscape Mail gebruiken, dat bij de browser zit, zijn kwetsbaar voor het beveiligingslek. Zonder de gebruiker te waarschuwen zet Brown Orifice via Netscape Mail de computer open. Slachtoffers van Brown Orifice merken niet dat hun computer toegankelijk is geworden voor andere internetgebruikers. De adressen van de computers die slachtoffer zijn geworden van Brown Orifice staan op de website van Dan Brumleve. Iedereen die de Brown Orifice-software van Brumleve heeft geïnstalleerd, kan in deze computers inbreken. Op Brumleves website staat een lijst met ongeveer achthonderd besmette computers. Brown Orifice is genoemd naar het beruchte hackprogramma Back Orifice. Back Orifice werd in 1998 geschreven door de Amerikaanse hackersgroep Cult of the Dead Cow. De hackers wilden met het programma aantonen dat het besturingssysteem Windows fundamentele zwakheden bevat die gebruikers van het systeem kwetsbaar maken voor aanvallen vanaf internet. De Cult of the Dead Cow stelde het programma gratis beschikbaar via hun website. wat tot gevolg had dat tienduizenden cybervandalen het programma naar vrienden en vijanden stuurden om hun computers te kraken. Veel internetgebruikers zijn met Back Orifice besmet geraakt.

Brown Orifice verschilt van Back Orifice. Via Back Orifice, dat nog steeds in omloop is, kan op de PC schade worden aangericht. Er kunnen bestanden op de harde schijf vernietigd, veranderd en toegevoegd worden. Zo kan een computer bijvoorbeeld met virussen worden besmet en kan er kinderporno of ander verboden materiaal op een harde schijf worden geplaatst. Het Brown Orifice-lek komt voor in de versies 4.7 en lager van Netscape Communicator voor Windows en Linux. Deze versies worden door miljoenen internetgebruikers gebruikt. Netscape heeft het lek erkend, maar nog geen reparatieprogramma beschikbaar gesteld. Mark Lastdrager van Pine Internet, een beveiligingsbedrijf uit Den Haag, noemt het lek ,,serieus''. Het risico dat gebruikers er last van krijgen is ,,redelijk groot'', zegt hij. Ook andere computerdeskundigen spreken van een ernstig probleem. Gebruikers die zich ertegen beschermen moeten Java uitschakelen. (Dat kan door in de browser onder Preferences, Advanced het kruisje bij Enable Java weg te halen.) Een andere oplossing is een andere browser, bijvoorbeeld Internet Explorer of Opera, installeren. Internetgebruikers en bedrijven die een firewall (een elektronische beschermingsmuur) hebben, lopen weinig risico. Het beveiligingsprobleem in Netscape is het derde grote lek dat de afgelopen weken werd ontdekt. Eind juli maakte het Nederlandse bedrijf Trust Factory bekend dat het door zestig miljoen mensen gebruikte programma Lotus Notes van IBM lek is. Ook de e-mailprogramma's Outlook en Outlook Express van Microsoft hebben last van ernstige beveiligingsproblemen. Outlook en Outlook Express zijn gevoelig voor het zogeheten buffer overflow-probleem, een bekend beveiligingsprobleem. Via het lek kunnen boosdoeners virussen en andere kwaadaardige programma's mailen naar Outlook-gebruikers die meteen in werking treden, zonder dat de ontvanger het e-mailbericht of een attachment hoeft te openen. De virussen kunnen zelfs al in werking treden voordat de mail in de inbox van de gebruiker zit. Microsoft heeft een reparatieprogramma beschikbaar gesteld.

DOSSIER COMPUTERBEVEILIGING www.nrc.nl