Beveiligingslek in Mozilla ontdekt

Vrijdag, 9 juli 2004 - Niet alleen Microsoft heeft te maken met slechte publiciteit rond zijn browser. Dit keer is het ook Mozilla dat eraan moet geloven.

De ontwikkelaars van het open-sourceproject Mozilla, verenigd in de Mozilla Foundation, hebben gebruikers van Mozilla opgeroepen een kleine patch te installeren. Deze moet een oplossing bieden voor een beveiligingsprobleem met Mozilla, Firefox en Thunderbird.

Probleem is een zogeheten shell-exploit, iets waarvan recent ook Internet Explorer van Microsoft last had. Kwaadwillenden kunnen hiermee op afstand programma's uitvoeren nadat onwetende gebruikers op een bepaalde hyperlink hebben geklikt. De softwarepleister maakt een einde aan deze mogelijkheid.

Alleen internetters die de open-sourceprogramma's (Mozilla versie 1.7.0 en ouder, Firefox 0.9.1 en ouder en Thunderbird 0.7.1 en ouder) gebruiken in combinatie met Windows XP zijn vatbaar. Linux- of Apple-gebruikers hoeven geen patch te installeren.

---

Update naar FirFox 0.9.2 (done - works)

Computerinbreker moet 80 uur werken

Vrijdag, 9 juli 2004 - Een 37-jarige ex-systeembeheerder van het Hilversumse softwarebedrijf Inter Access is veroordeeld tot tachtig uur werken na een computerinbraak.

De politierechter sprak van zeer 'ergerlijke' zaak, waarbij het slechts een kwestie van toeval is geweest dat de schade niet veel groter was. De man had een systeemcomputer van Inter Access tijdens piekdrukte willen herstarten. Door een foutje gebeurde dat niet zoals bedoeld tijdens de piekdrukte, maar om half zeven 's avonds, waardoor de schade beperkt bleef.

In het vonnis wordt gesproken over een 'slinkse handelswijze' om het bedrijf schade toe te brengen. Bovendien wordt de Hilversummer aangerekend dat hij het politieonderzoek heeft bemoeilijkt, zo schrijft de Gooi & Eemlander vrijdag.

De rechter verwierp de argumenten van de advocaat van de systeembeheerder dat het onderzoek was gemanipuleerd. Na de computerinbraak duurde het namelijk lang voordat officieel aangifte werd gedaan. Tussentijds kon er dus van alles met het bewijsmateriaal, in dit geval computerbestanden, zijn gebeurd.

"Hier is niets van gebleken", aldus de politierechter. Ook het verwijt van de advocaat dat de politie wel erg had geleund op het bewijs dat het bedrijf had aangeleverd, was in de ogen van de rechter niet terecht.

De politie heeft ook dingen zelf boven water gekregen, aldus de rechter. Wel hield hij rekening met de trage afhandeling van de zaak door justitie en de geringe schade die uiteindelijk is ontstaan.

De schadeclaim van 170.000 euro, die het bedrijf indiende, werd zoals verwacht niet-ontvankelijk verklaard door de politierechter. Inter Access kan nog wel proberen het geld via de civiele rechter binnen te halen.

Wachtwoord vergeten? Vermom je als Google

Maandag, 12 juli 2004 - Wie de verplichte registratie of betaling op sommige sites wil omzeilen, kan zich voordoen als de zoekrobot van Google.

Voor steeds meer sites moet je je registreren of betalen om toegang te krijgen. Desondanks is de inhoud van pagina's die achter slot en grendel zitten, wel vaak opgenomen in de database van zoekmachine Google.

In tegenstelling tot 'gewone' internetters hoeft Google niet te betalen om dergelijke pagina's te bezoeken. Ook registratie is niet nodig, zo ontdekte beveiligingsexpert Martijn Brinkers. Veel sites die gebruikmaken van registratiesystemen of betaalde abonnementen, zetten een achterdeurtje open, zodat de zoekrobot van Google naar binnen kan.

De voordelen voor de sites die zo in de database van Google worden opgenomen, lijken evident. Een vermelding bij Google is immers gratis reclame. Mensen die tussen de Google-resultaten een pagina vinden waarvoor registratie of betaling vereist is, zullen wellicht hun gegevens op de site achterlaten of de portemonnee trekken.
User agent

Maar als Google via de achterdeur naar binnen kan, dan kunnen 'gewone' internetters dat natuurlijk ook. De door Brinkers ontdekte truc om de beveiliging te omzeilen, is verbluffend simpel. "In je browser moet je de 'user agent' aanpassen in 'Googlebot/2.1 (+http://www.googlebot.com/bot.html)'", legt hij uit.

In Internet Explorer kan het aanpassen van de user agent bijvoorbeeld via het programma WinGuides Tweak Manager. Voor Firefox/Mozilla is het gratis User Agent Switcher beschikbaar.

Nadat een internetgebruiker de user agent heeft aangepast, heeft hij niet langer een gebruikersnaam en wachtwoord nodig om de artikelen op de sites van de Volkskrant, Trouw, het Algemeen Dagblad en NRC Handelsblad te bekijken.

Ook diverse sites waarvoor normaal abonnementsgeld moet worden betaald, zoals het Windows & .Net Magazine en Nature, leggen bezoekers geen strobreed meer in de weg als zij zich voordoen als Google-bot.
Vervuiling

Overigens zijn niet lang niet alle sites die gebruikmaken van registraties en betaalde abonnementen, 'kwetsbaar' voor het door Brinkers ontdekte lek. Wie de site van de New York Times bezoekt, blijft bijvoorbeeld stuiten op een inlogscherm. "Het zou kunnen dat zij nog ergens anders op controleren, bijvoorbeeld op het ip-adres", concludeert Brinkers.

Brinkers is niet blij dat hij allerlei kunstgrepen moet uithalen om de pagina's die opduiken in de zoekresultaten van Google, te bekijken. Hij spreekt van 'vervuiling van publiekelijk toegankelijke zoekmachines'.

"Omdat die sites net doen alsof de pagina's vrij toegankelijk zijn, worden ze opgenomen in Google. Maar op het moment dat je ze gaat benaderen mag je er niet bij. Eigenlijk zou je kunnen stellen dat ze misbruik maken van een zoekmachine om privé-pagina's te indexeren", stelt Brinkers.

"Ik zou het fijner vinden als Google het bijvoorbeeld mogelijk zou maken om op te geven dat je niet wilt zoeken in pagina's die niet vrij toegankelijk zijn", stelt Brinkers voor. Om daar aan toe te voegen: "Je bent dan wel afhankelijk van de paginabouwer die dat met een meta-tag moet aangeven. Dus dat is waarschijnlijk geen realistische wens van mij."

----

Deze heb ik geprobeert onder FirFox en werkt zoals in dit artikel besproken. Dus wel zo handig als je regelmatig die nieuws-sites leest.