Dansende varkentjes

Jaap en Anneke hebben ruzie. Op een gegeven moment wordt Jaap zo boos dat hij honderd pizzeria's belt om uit naam van Anneke een pizza te bestellen. Later die avond staan er bij Anneke honderd pizzabezorgers op de stoep. De bezorgers zijn woedend op Anneke die niet genoeg geld in huis heeft om die pizza's te betalen. Anneke denkt dat de pizzamafia achter haar aan zit. Maar in werkelijkheid zijn zowel Anneke als de pizzakoeriers het slachtoffer van Jaap.

Zo ongeveer legt de Amerikaanse beveiligingsdeskundige Bruce Schneier in zijn nieuwste boek Secrets & Lies. Digital Security in a Networked World uit wat een `distributed denial of service attack' is. Een `distributed denial of service attack' is een aanval op een internetgebruiker, een computernetwerk of een website waarbij de aanvaller ontzettend veel data naar het slachtoffer stuurt. Het beantwoorden van die data kost het slachtoffer zoveel tijd en capaciteit dat hij onbereikbaar wordt.

De capaciteit van de aanvaller is oneindig omdat hij de aanval gedistribueerd heeft. Het programma waarmee de aanval wordt uitgevoerd breekt eerst bij honderd of duizend andere computers in. De eigenaren van deze computers, die zombies worden genoemd, merken daar niets van. Als de aanvaller vindt dat hij genoeg zombies (pizzeria's) heeft, klikt hij met de muis en vervolgens sturen de gekaapte computers pakketjes net zoveel data naar het slachtoffer tot deze uitgeschakeld is.

Dat overkwam in februari van dit jaar enkele grote e-commerce sites, waaronder Amazon.com, Yahoo! en eBay. De websites waren urenlang offline en de schade aan gederfde inkomsten bedroeg miljoenen dollars.

Secrets & Lies, dat eind augustus is verschenen, bevat tal van aanschouwelijke en humoristische voorbeelden waarmee de gerenommeerde versleutelingsdeskundige Schneier uitlegt wat er mis is met met computer- en informatiebeveiliging.

Mensen zijn een zwakke schakel in beveiligingsprocessen. Als Jaap dansende varketjes wil bekijken, dan zal hij dat doen ook. De pc kan tien waarschuwingsschermen laten zien met de mededeling dat de dansende varkentjes (symbool voor de vele suffe screensavers, spelletjes en webadressen die internetgebruikers elkaar toesturen) onveilig zijn, maar Jaap wil ze per se zien en klikt steeds op `Ok'.

Zo werkt ook de hack van het HomeNet-pakket van ABN Amro, die gisteravond in het programma `RTL Dossier' werd gedemonstreerd. Een onverlaat stuurt Anneke een kwaadaardig programma dat inbreekt op HomeNet en hem in staat stelt om geld van haar rekening te stelen zonder dat zij of de bank het merkt.

Anneke ziet dat de computer waarschuwt voor het installeren van het programma, maar ze wil het zo graag hebben (omdat ze denkt dat het een handige oplossing is voor problemen die zij met HomeNet heeft) dat ze alle waarschuwingen negeert.

Ten grondslag aan de vele lekken in software en hardware die worden ontdekt en geëxploiteerd, schrijft Schneier, ligt een fundamenteel gebrek aan kennis van beveiliging. De opdrachtgever en de makers van HomeNet hebben er nooit over nagedacht dat het programma zo in elkaar zou moeten zitten dat vreemde software nooit veranderingen mag uitvoeren in HomeNet. Sterker nog, met een ander programma moet dat onmogelijk gemaakt worden omdat alle gegevens versleuteld moeten zijn.

Binnenkort is alles veilig bij ABN Amro, dan stapt de bank namelijk over op internetbankieren, zei een woordvoerder vanochtend in de Volkskrant. Internetbankieren is veiliger dan telebankieren, aldus de woordvoerder.

Die man weet niet waar hij over praat. Onlangs maakte een freelance programmeur uit Veenendaal bekend dat de kredietgegevens van 130.000 klanten van twee dochterbedrijvan van ABN Amro open en bloot op internet stonden. De bestanden stonden op websites die door tussenpersonen worden gebruikt om nieuwe leningen in te voeren en waren niet met een wachtwoord beveiligd.

Opvallend is dat ABN Amro op de website van de bank niet waarschuwt voor het beveiligingslek in HomeNet. Er staan alleen wat algemene beveiligingstips als `zorg dat het anti-virusprogramma altijd actief is' en `wees bovendien voorzichtig met software downloaden'. De laatste tip op de pagina over beveiliging getuigt van diepe minachting voor de klant: `N.B. Indien u meer wilt weten over beveiliging van uw computer, voer dan het woord `computerbeveiliging' in bij uw favoriete zoekpagina op internet.'

Bruce Schneier: Secrets & Lies www.counterpane.com/sandl.html

ABN HomeNet www.abnamro.nl/homenet

[E-mail: klaver@nrc.nl]