Microsoft wordt wederom geplaagd door een beveiligingslek in een van hun softwareproducten. Ditmaal betreft het Windows NT.
Windows NT is niet meer zo veilig als het tot voor kort was. Volgens Jeremy Allison, een beveiligingsdeskundige en programmeur bij het Amerikaanse Cygnus Solution, zoals geciteerd in de ‘Electronic Engineering Times Online’, is het mogelijk dat hackers aan de wachtwoorden van de Windows NT-gebruikers komen. De daarvoor benodigde software zou momenteel via mailinglists op het Internet circuleren. Een woordvoerder van Microsoft heeft het bestaan van het beveiligingsprobleem inmiddels toegegeven. "Het is goed dat mensen onze producten zo uitvoerig testen", zo vertelde hij. "De bewustwording over de beveiligingsaspecten neemt zo bij onze klanten en bij onszelf toe."
Paard van Troje
Volgens Yobie Benjamin, senior consultant bij Cambridge Technologies Partners en mede-auteur van de software om Windows NT te kraken, zegt dat alle middelen om in een Windows NT-server te infiltreren nu aanwezig zijn. Volgens Benjamin kan een redelijk onderlegde ‘whiz kid’ met behulp van een goedkope 386-PC en een 28,8 Kbps-modem een Windows NT-netwerk binnendringen. Dat kan evenwel niet via een normale inlog-procedure maar wel via de zogenoemde ‘paard van Troje’-aanpak. Daarbij verstuurt de hacker een e-mail met daarin verstopt een applicatieprogramma naar een Windows NT-gebruiker. Op het moment dat die gebruiker de e-mail leest en op de ‘attachment’ klikt, wordt een verborgen programmaatje in werking gesteld. Die code is in staat de wachtwoord-file naar de hacker toe te sturen via e-mail. Dit wachtwoord-file is versleuteld, maar zou niettemin te kraken zijn.
Wachtwoorden
Volgens Allison is Microsofts versleutelingstechniek van de wachtwoorden niet zo goed als die van vergelijkbare Unix-systemen. Benjamin ziet ook een positieve kant aan de software die de twee hebben geschreven. Tot nu toe was het voor Windows NT-netwerkbeheerders niet te doen om de wachtwoorden van hun gebruikers te bekijken, iets dat bij Unix wel kan. Veel beheerders vonden dat hinderlijk. Met de code van Benjamin en Allisons is dat nu wel mogelijk. Ook voor heterogene netwerken is de hack-software nuttig. Men hoeft nu in principe niet meer twee verschillende databases met wachtwoorden te onderhouden, maar de system administrator kan alle wachtwoorden van Windows NT overbrengen naar een Unix-systeem.
Ultra-gevoelig
Microsoft zal, aldus een woordvoerder in de Wall Street Journal, voor Windows NT-gebruikers die ultra-gevoelige informatie aan het netwerk toevertrouwen, speciale software beschikbaar stellen die het kraken van de versleutelde wachtwoord-file moeilijker moet maken.
