Schimmige discussie over veiligheid internetbankieren
Twee maanden geleden voerde een Zweedse expert een soortgelijke aanval uit op drie Zweedse banken. De boosdoener is een zwakke plek in de manier waarop Microsoft met zogeheten digitale certificaten omgaat. De ‘Secure Sockets Layer’ (SSL), de beveiligingslaag in de keten WindowsInternet Explorerwebsite, bleek niet waterdicht. Microsoft bracht op 9 september een ‘patch’ uit waarmee de mogelijkheid dat een hacker zich voordoet als een legitieme gebruiker van een internetbankdienst, werd geblokkeerd. Michiel Snoep, de technicus van Wildher die de aanval maandag uitvoerde, denkt dat hij een andere techniek heeft toegepast dan zijn Zweedse voorganger. "Voor degenen die erin zitten heb je dan een heel ander verhaal te pakken." Maar op woensdag is hij nog steeds in overleg met Microsoft om samen op technisch niveau vast te stellen wat er precies aan de hand is. In afwachting daarvan wil hij zelfs niet vertellen of de door Microsoft gemaakte patch wel of niet gebruikt is bij de demonstratie in Netwerk. Wel zegt hij zich te verbazen over het gemak waarmee hij zijn test ten uitvoer kon brengen. "Ik ben echt stomverbaasd hoe makkelijk het was. Natuurlijk, mijn moeder kan het niet, maar een IT’er kan het wel." Zijn methode kan volgens hem vanuit ieder bedrijfsnetwerk toegepast worden. Met Microsoft is er na twee dagen nog steeds "een duidelijk open kanaal". Marketingmanager Milo Schaap van Microsoft zegt dat in de gesprekken in ieder geval is vast komen te staan dat de patch bij de netwerktest niet was geïnstalleerd. Snoep zegt echter dat de onveiligheid bestaat bij Internet Explorer 5.0, 5.5, en 6.0 en op Windows 2000 "met een via Windows Update volledig geupdate machine. En mijn bronnen vertellen me dat het probleem ook voor de andere Windowsplatforms geldt." Schaap van Microsoft zegt desgevraagd niet te weten of de patch van begin september is verwerkt in de recente Service Packs van Windows. "Die patch brengen wij op verschillende manieren aan de man." Directeur Jaco Koppelaar van Wildher ontkent dat hier sprake is van sensatiezucht of een reclamestunt. Hij wil het probleem iets breder zien en wijst naar de onlinediensten van de banken. "Men bagatelliseert het probleem. Ook nu merk ik weer dat de banken te makkelijk zeggen ‘ja, het is niet waterdicht.’ Dit was iets wat bekend was bij de banken, ze hadden het op zijn minst aan hun klanten kunnen melden. De bank moet openheid van zaken geven en zeggen onder welke omstandigheden ze de veiligheid niet kunnen garanderen." ABNAmro deed dat afgelopen woensdag opeens wel. De bank paste de inhoud van het veiligheidshoofdstuk op zijn site aan. Altijd controleren of de transacties via internet juist zijn verricht en of er niet mee is gerommeld, luidt nu het devies. Maar de bank ontkent dat een aanval à la Snoep makkelijk zou zijn: ‘Wij zijn (...) van mening dat het in de praktijk brengen van de in Netwerk getoonde handelingen vele malen complexer is dan werd gesuggereerd.’ De Nederlandse Vereniging van Banken lijkt ook geen voortrekkersrol te willen spelen. Twee maanden geleden zei secretaris Betalingsverkeer Gijs Boudewijn dat de commissie Informatievoorziening van de NVB de consequenties van de Zweedse kraak zou onderzoeken. In de Netwerkuitzending meldt dezelfde Boudewijn te overwegen klanten binnenkort op de hoogte te stellen van de risico’s.