KaZaA dreigt vehikel voor misbruik te worden

Op het eerste gezicht lijkt die software slechts een hulpmiddel voor het weergeven van bewegende, driedimensionale advertenties in de KaZaA-client. Maar vorige week bleek dat er nog een programma aan vast zit, dat de basis legt voor een tweede peer-to-peer-netwerk naast KaZaA, Altnet genaamd. Het is Brilliants bedoeling de processorkracht, opslagcapaciteit en internetbandbreedte van KaZaA- gebruikers via dat netwerk te verenigen en deze tegen betaling ter beschikking te stellen aan bedrijven. Zo krijgen de muziekliefhebbers wellicht een Doubleclick- advertentieserver op hun pc of helpen zij mee aan het kraken van een medisch-wetenschappelijk probleem. Ernstig gebrek KaZaA is gratis en ervaren internetgebruikers weten dat op het net een ‘gratis lunch’ niet bestaat. Maar computerarchitect Nicolas Weaver van de Berkeley universiteit waarschuwt in een eigen artikel ernstig voor de werkwijze van BDE. “Hun vreselijk ondeugdelijke bedrijfsformule weerspiegelt een ernstig gebrek aan kennis over veiligheid.” De werkwijzen die Brilliant zich voorstelt, laten zich volgens hem onmogelijk combineren met de beveiliging die het bedrijf zegt na te streven. De gedistribueerde zoekfunctie werkt niet bij versleutelde bestanden, het rekenwerk is nooit helemaal geheim te houden voor de gebruiker en een content-netwerk via HTTP kan niet controleren of de bestanden authentiek zijn. De BDE-software is volgens Weaver gewoon een ‘trojan’ die zichzelf automatisch kan updaten. En als het business-model niet deugt, weet BDE waarschijnlijk ook niet hoe je zo’n update-mechanisme moet beveiligen, concludeert Weaver. Een hacker die daarmee zijn eigen software als update weet te distribueren, heeft meteen miljoenen pc’s te pakken. De mogelijkheden voor een DDoS-aanval, waarbij vanaf vele pc’s internetservers worden gebombardeerd met signalen, worden dan immens. De manier waarop BDE de distributie van zijn software heeft verzorgd is ook niet bepaald kies. Tijdens de installatie van KaZaA krijgt de gebruiker een klein schermpje met de ellenlange licentieovereenkomst van KaZaA, waarachter de BDE-overeenkomst zit geplakt. Zelfs wie die leest – en dat zullen slechts weinigen zijn – moet zoeken naar bepaling 4b dat hij BDE het recht verleent de ‘ongebruikte rekenkracht, opslagruimte en/of internetbandbreedte’ te gebruiken voor ‘content-aggregatie’ en gedistribueerde verwerking. Wie KaZaA aan de praat wil krijgen moet op ‘OK’ klikken, waarna er diverse bestanden worden geïnstalleerd en het Windows-register tientallen vermeldingen rijker is. Nee zeggen Download.com, de grootste downloadsite, heeft hierom al besloten KaZaA niet langer te verspreiden. Kevin Bermeister, de CEO van Brilliant, heeft inmiddels toegezegd geen nieuwe software op pc’s te installeren zonder medeweten van de gebruiker en deze alsnog in de gelegenheid te stellen nee te zeggen tegen Altnet. De gebruikersovereenkomst geeft Brilliant echter de vrije hand. Bermeister belooft dat die overeenkomst gaat veranderen. De relatie tussen KaZaA en Brilliant is nauwer dan vermoed. Brilliant heeft zijn Altnet-netwerk gebaseerd op een protocol dat is gebaseerd op dat van Fasttrack, dat aan KaZaA ten grondslag ligt. KaZaA en Altnet gebruiken dus waarschijnlijk dezelfde ‘port’ op de pc, waardoor ook een firewall de Altnet-activiteit niet detecteert. Het bedrijf Blastoise, eigendom van de Fasttrack-ontwikkelaars (een Zweed, een Deen en een Nederlander), heeft overigens een fors belang in de P2P-tak van Brilliant. Zie ook pagina 12