Microsofts reeds beschadigde imago op het gebied van beveiliging heeft weer een nieuwe deuk opgelopen. Eind vorige week is de identificatiedienst Passport, die de basis vormt voor de online-dienstenstrategie .Net, opengelegd door software-ontwikkelaar Marc Slemko.
Slemko is één van de oprichters van de Apache Software Foundation, die verantwoordelijk is voor de ontwikkeling van de veelgebruikte ‘open source’-webserver Apache. Hij heeft het beveiligingsgat in Passport ontdekt en uitgebuit in – naar eigen zeggen – een half uur programmeerwerk.
De Amerikaanse programmeur heeft Microsoft op de hoogte gesteld alvorens het gat wereldkundig te maken. Kort na de bekendmaking heeft Microsoft enkele gaten gedicht, maar ook zijn hele portefeuille-functie (Wallet) voor online-betalingen gedeactiveerd. Deze dienst is gekoppeld aan Passport.
Gerepareerd
De kraak van Slemko bestaat uit het versturen van een speciaal geconstrueerde e-mail naar een Hotmail-gebruiker die na lezing ongemerkt de online-identiteit prijsgeeft aan de afzender. Dit dient overigens binnen een tijdslimiet te gebeuren. Vervolgens kan de identiteitskaper alle handelingen verrichten die de eigenlijke Passport-gebruiker kan uitvoeren. Dit omvat ook het doen van online-aankopen en het opvragen van creditcard-gegevens die zijn opgeslagen in de Wallet-dienst.
Microsofts identificatiedienst telt momenteel ruim 200 miljoen gebruikers. Het merendeel daarvan zijn eigenlijk gebruikers van Hotmail, de gratis webmaildienst die Microsoft eind 1997 overnam. De gekoppelde portefeuille-dienst telt momenteel twee miljoen gebruikers.
Christopher Payne, vice-president van Microsofts zogeheten .Net Core Services Platform, zegt dat het bedrijf reeds drie fouten heeft gerepareerd waarvan Slemko gebruik heeft gemaakt. Daarnaast is de software-tijdklok aangepast zodat Passport-gebruikers hun wachtwoord opnieuw moeten invoeren elke keer dat zij toegang willen tot de Wallet-dienst.
Slemko stelt dat er echter meer ontwerpfouten en beveiligingsgaten zijn. Het zou slechts een kwestie van tijd zijn voordat die worden uitgebuit, mogelijk door kwaadwillenden.
Stappen
Microsoft onderneemt dan ook verdere stappen om de Passport-beveiliging op te schroeven. Zo wil het bedrijf beperkingen opleggen aan de cookies die Passport op pc’s van gebruikers plaatst. Dit moet het inloggen op een van de identificatieservers bestand maken tegen bepaalde script-aanvallen. Slemko merkt op dat deze maatregel op zichzelf niet afdoende is voor het beschermen van de inlogprocedure.
Het softwarebedrijf wil dan ook overstappen naar het Kerberos-protocol voor het inloggen. Het is echter nog onbekend hoe en op welke termijn Microsoft dit wil aanpakken en wat de gevolgen zijn voor gebruikers die andere webbrowsers gebruiken. Naar verluidt geschiedt de overstap naar Kerberos eerst voor de aangepaste browser voor portaalsite MSN of het directie-communicatieprogramma Windows Messenger.
Daarnaast neemt het bedrijf nog andere maatregelen waaronder het geven van meer controle aan gebruikers over hun authentificatie bij andere sites. Ook het gebruik van beveiligingscertificaten staat in de planning.
Analisten en consumentenorganisaties zijn echter kritisch over de maatregelen, niet in het minst doordat die weer eens plaatsvinden nadat het kalf is verdronken. Naast Amerikaanse privacy-organisaties kijken nu ook Nederlandse evenknieën als het College Bescherming Persoonsgegevens en de Consumentenbond met een kritische blik naar Passport.
"Microsoft realiseert zich dat ze hun beveiligingsimago moeten oppoetsen als .Net ooit van de grond moet komen", oordeelt analist John Pescatori van onderzoeksbureau Gartner. Hij schreef – in reactie op de door internet-wormen Code Red en Nimda aangerichte ravage – het rapport waarin Gartner gebruikers van Microsoft-webserver IIS adviseert de overstap naar andere software te overwegen.
Vorige maand heeft de softwareproducent meer stof doen opwaaien met uitlatingen dat het publiceren van informatie over beveiligingsgaten aan banden gelegd moet worden (zie pagina 35).
Ondermijning
Sommige van deze maatregelen ondermijnen echter Microsofts eigen doel en het voornaamste verkoopargument voor Passport, namelijk dat het een eenmalige aanmelding moet bieden voor meerdere online-diensten. Het probleem is namelijk niet beperkt tot alleen de identificatiedienst. Microsoft wil Passport gebruiken als universele aanmelding voor meerdere online-diensten, ook van partners als veilingsite Ebay.
Daarnaast koppelt de softwareproducent de hele .Net-strategie aan zijn marktdominante desktop-besturingssysteem, waarvan Windows XP de recentste versie is. Slemko uit bezorgdheid hierover: "De implicaties van Passport als universele identiteit voor internet-gebruikers zijn verstrekkend."
"Windows XP heeft een diepgaandere integratie van Passport-abonnementen die bovendien meer samensmelt met de Windows-aanmelding voor gebruikers. Die integratie kan -indien goed geïmplementeerd – beveiligingsrisico’s verkleinen, maar lijkt in de huidige implementatie die risico’s juist te vergroten."
De aanmelding bij het starten van Windows kan in de toekomst dan ook aanmelding bij enkele online-diensten impliceren. De belofte van universele aanmelding houdt al de dreiging in van een universeel beveiligingsgat. De versmelting met Windows kan dit verergeren.