Niet ABN, maar klant moet zich wapenen

Beveiligingsdeskundigen zijn niet onder de indruk van de `kraak' van HomeNet van ABN Amro. Ze zijn bang dat de echte oorzaak van het lek genegeerd wordt. Het zijn de besturingssystemen van de computers die onveilig zijn.

,,Je moet er niet aan denken dat je nu ABN Amro bent'', zegt Rop Gonggrijp. Gonggrijp, medeoprichter van internetaanbieder Xs4all en eigenaar van beveiligingsbedrijf ITSX, is het niet eens met de eis van de Consumentenbond dat ABN Amro stopt met HomeNet tot er een oplossing is gevonden voor het afgelopen zondag bekendgemaakte beveiligingsprobleem.

Het programma RTL Dossier maakte eergisteren bekend dat informaticastudenten uit Delft een methode hadden gevonden om het telebankierprogramma HomeNet te kraken. Criminelen zouden via een gat in de beveiliging van HomeNet in staat zijn geld te stelen van nietsvermoedende klanten.

Gonggrijp, die eind jaren tachtig uitgever was van het hackerstijdschrift HackTic, was zelf ook geïnterviewd voor het RTL-programma over hackers. Hij wist echter niet dat de documentaire eindigde met het kraken van HomeNet.

Gonggrijp ontkent niet dat er sprake is van slordige beveiliging. ,,HomeNet is een beetje suffe software. ABN Amro had het hackers wel iets moeilijker kunnen maken door bijvoorbeeld een controle op rekeningnummer en tenaamstelling uit te voeren.'' Maar de beveiligingsdeskundige is bang dat door de opwinding over de `gehackte bank' het werkelijke probleem vergeten wordt. ,,Het is niet terecht dat ABN Amro nu in een slecht daglicht komt te staan. Iedereen roept nu dat de bank het probleem moet oplossen. Dat kunnen ze helemaal niet.''

Het werkelijke probleem is, zegt Gonggrijp, dat de personal computer onveilig is. Dat komt door de huidige besturingssystemen (Windows, Linux, MacOS). De besturingssystemen, de programma's die tegen de computer vertellen wat het apparaat moet doen, zijn programmeerbaar en hebben tal van lekken, waardoor computercriminelen zich toegang kunnen verschaffen tot de pc van internetgebruikers. Zodra een computerkraker binnen is op een pc, heeft hij de volledige controle. Hij kan software installeren en die uitvoeren, gegevens stelen en vernietigen en bijvoorbeeld virussen verspreiden.

De methodes om bij computergebruikers in te breken zijn talrijk. Zo is het mogelijk om een e-mail te sturen met een Trojaans paard, een kwaadaardig computerprogramma dat eruit ziet als een onschuldig programma. Deze methode gebruikten de Delftse studenten om aan te tonen dat HomeNet misbruikt kan worden. In 1998 toonde het tijdschrift Computer Idee al aan dat met een Trojaans paard het internetbankieren bij de Rabobank zo te manipuleren was dat de gebruiker zijn geheime codes op een andere website intikte.

Een andere methode om in te breken is via printer- en bestandsdeling in Windows. Computergebruikers hebben printer- en bestandsdeling vaak aan staan, waardoor hun pc openstaat als ze op internet zijn aangesloten. Daarnaast bestaan er nog talloze mogelijkheden om via webbrowsers als Internet Explorer en Netscape Communicator in te breken op pc's. ,,Wie eenmaal toegang tot een pc heeft kan alles op de harde schijf kapotmaken of manipuleren, dus ook banksoftware'', aldus Gonggrijp.

,,ABN Amro kan dit probleem niet oplossen. Ook als ze HomeNet beter zouden beveiligen blijven er genoeg mogelijkheden over om misbruik te maken van dit soort softwarepakketten'', zegt Gonggrijp, wiens Amsterdamse bedrijf ITSX enkele banken en verzekeringsmaatschappijen als klant heeft. Een snelle oplossing is er niet voor de onveiligheid van besturingssystemen, zegt Gonggrijp. ,,Honderd procent veiligheid voor computers is een utopie. Als je op straat loopt kun je ook worden overvallen.''

Patrick Oonk van computerbeveiligingsbedrijf Pine uit Den Haag is het eens met Gonggrijp dat de mogelijkheid om misbruik te maken van HomeNet wordt veroorzaakt door de onveiligheid van de huidige besturingssystemen en de vele mogelijkheden om in te breken en controle over een pc te krijgen.

Oonk vindt de kraak van HomeNet niet zo bijzonder. ,,Het bleek allemaal wat minder sensationeel te zijn dan in de aankondiging [van het RTL-programma] gesuggereerd werd. De `hack' was een ordinaire trojan die informatie van de banking software manipuleert.''

Kevin McPeake van Trust Factory, het Haagse beveiligingsbedrijf dat eind juli aantoonde dat Lotus Notes van IBM onveilig is, sluit zich aan bij Gonggrijp en Oonk. Dit is geen serieus probleem dat aan ABN Amro toe te schrijven is, zegt de computerexpert. Gebruikers moeten zich realiseren dat het downloaden en uitvoeren van attachments erg onveilig is, meent McPeake.

Richard, een van de twee ontdekkers van het lek in HomeNet, vindt echter dat ABN Amro de software beter had moeten beveiligen omdat ,,gebruikers nu eenmaal gemakkelijk vreemde software installeren. Die verantwoordelijkheid heeft de bank'', aldus de informaticastudent, die een baan heeft bij een internetbedrijf.

DOSSIER COMPUTERBEVEILIGING: www.nrc.nl