 |
Vissen in troebel water
en andere redenen om Microsoft te vertrouwen.
Bent u een van de mensen die Microsoft wantrouwen? Dat doet u met goed recht. Maar de kans is vrij groot dat u toch gebruik maakt van de software van dit bedrijf, en dat u zich regelmatig op het internet begeeft. En dus staat u bloot aan talloze gevaren voor uw tijd, privacy en portemonnee, zoals virussen, spyware en identiteitsfraude.
Microsoft introduceert veiligheidsupdate na veiligheidsupdate, net als antivirussoftwaremakers en firewallschrijvers. En de overheid? De overheid startte een campagne: 'Surf op safe'. Erik surft op safe. Opa surft op safe. Maar een groot deel van Nederland doet dat nog steeds niet: dat een campagne alleen niet voldoende is, moge wel blijken uit massale virusuitbraken, die voornamelijk te wijten zijn aan verouderde versies van Microsoft's besturingssysteem en e-mailprogramma's.
Bedreiging van de computerveiligheid neemt toe. Recent publiceerde het ict-beveiligingsbedrijf Sophos een persbericht over de beschikbaarheid van zogenaamde 'doe-het-zelf phishing kits'. 'Phishing' is de benaming van het verspreiden van een nieuw soort spam. Deze spam beoogt de ontvanger ervan te overtuigen dat hij afkomstig is van een legitieme afzender, zoals een bank of een bekend internetbedrijf als eBay. Met behulp van bekende 'vertrouwens-trucs' wordt de ontvanger ertoe bewogen om gegevens als rekeningnummers, pincodes en creditcardnummers af te geven. Met de beschikbare phishing kits wordt een en ander gemakkelijk gemaakt voor de crimineel die zelf weinig technische kennis heeft: een soort 'Iedereen kan schilderen' voor oplichters.
Phishing ontleent het vertrouwen aan de zogenaamde afzender: een bedrijf van naam. Vaak wordt de geadresseerde op de een of andere manier onder druk gezet. Bijvoorbeeld in een e-mail die zogenaamd van eBay afkomstig is, en waarin gedreigd wordt met het afsluiten van het account als niet binnen een aantal etmalen op een bepaalde klacht van een mede-eBaygebruiker wordt gereageerd. De argeloze ontvanger die op de bijgesloten link klikt, komt niet op de echte site van het bedrijf terecht, maar op een nep-site. Of hij wordt via een nep-site direct doorgestuurd naar de echte site. De fraudeurs kijken vervolgens via een script mee over je schouders bij het intypen van vertrouwelijke gegevens. Het benauwende van dit type oplichterij is dat zij gemakkelijk onopgemerkt kan blijven, zelfs bij de oplettende computergebruiker die een virusscanner en een firewall gebruikt om zijn computer te beschermen tegen indringers van buitenaf.
Veel van de meer bekende bedreigingen voor de computergebruiker vloeien voort uit de complexiteit van het Windows-besturingssysteem, en de gelegenheden die dit systeem biedt om zonder interventie van de gebruiker functies te activeren.
Het Palladium-platform, een combinatie van hardware en software, zou volgens Microsoft een oplossing bieden voor de integriteit van data op een computer, beveiliging tegen virussen, en digitaal rechtenbeheer. De aankondiging liet het wantrouwen tegen Microsoft de vrije loop in de nodige hoon: zo'n omgeving zou bijvoorbeeld betekenen dat de nog redelijk vrijblijvende waarschuwing tegen 'ongecertificeerde' software die de Windows-gebruiker vandaag de dag krijgt, wordt vervangen door het simpelweg niet-functioneren van die software. Geen geldig certificaat voor een audiobestand? Dan is het niet langer af te spelen. Geen geldig certificaat voor een Word-document? Jammer, het bestand wordt niet leesbaar gemaakt, of eventueel gewist.
De naam 'Palladium' is door Microsoft inmiddels vanwege de slechte publiciteit vervangen door het tamelijk onuitspreekbare 'NGSCB' (next-generation secure computing base). In zijn uitleg van de technologie legt Microsoft de nadruk op de veiligheidsaspecten van het systeem: het verdeelt het computergeheugen in compartimenten, waarin applicaties ongestoord los van elkaar kunnen draaien, zonder het risico dat de ene applicatie er met de gegevens van de andere vandoor gaat. En het biedt de mogelijkheid om de data-uitwisseling tussen randapparaten en geheugen te beveiligen, zodat het onderscheppen van bijvoorbeeld toetsaanslagen lastiger wordt.
Het is zeer begrijpelijk dat het Microsoft-initiatief op het gebied van beveiliging zo wantrouwend tegemoet wordt getreden. Zo lijkt het erop dat het bedrijf de introductie van de opvolger van Windows XP (codenaam Longhorn) heeft moeten uitstellen omdat het zoveel programmeercapaciteit moet steken in het dichten van gaten in oudere Windows-versies. Bovendien heeft het bedrijf natuurlijk een lange geschiedenis als het aankomt op het buiten spel zetten van concurrenten. NGSCB biedt controle over welke software wel en welke niet kan worden uitgevoerd op een computer, en geeft dus voeding aan de monopoliepositie van Microsoft.
Desondanks ware beter het geweest om naar aanleiding van deze stap van Microsoft een brede discussie op gang te brengen over hoe de belangen van veiligheid, privacybescherming en auteursrecht met elkaar in evenwicht moeten worden gebracht. Maar die discussie wordt alleen op zeer beperkte schaal gevoerd. Terwijl veiligheid op straat in de media de boventoon voert, krijgt virtuele veiligheid voornamelijk aandacht wanneer het ernstig misgaat, zoals bij een grote virusuitbraak, of als de politiek zich buigt over strafrechtelijk opsporingsonderzoek.
Ondertussen lijkt het onontkoombaar dat een andere, meer generieke methode wordt geïntroduceerd voor de beveiliging van computers. De tijd dat een simpele virusscanner voldoende was, hebben we allang achter ons gelaten. Mijn ADSL-aansluiting zou ik niet kunnen missen, als ik dat al zou willen, omdat ik anders nauwelijks nog de broodnodige updates van het besturingssysteem, de kantoorsoftware, de virusscanner, de firewall en de spywarescanner zou kunnen downloaden. En dat alles om enigszins te kunnen onderscheiden tussen betrouwbare en onbetrouwbare bronnen: tussen berichten, software en scripts die al dan niet veilig kunnen worden gebruikt op mijn computer. De computer kan dat eigenlijk niet zelf. Het is een klein kind, onbevangen, open voor alle aantrekkelijke aanbiedingen van buitenaf.
Microsoft implementeert nu een systeem dat eigenlijk tegen het kleine kind zegt: je mag geen snoepjes aannemen van vreemde mensen. Meer dan dat: Microsoft zorgt ervoor dat dat in beginsel niet kan. Dat gaat altijd gepaard met beperking van de bewegingsvrijheid. In beginsel zit niemand te wachten op virussen, spam en spyware, maar de mogelijkheid om zelf de eigen computeromgeving te kunnen controleren is ook iets waard. Zoals zoveel technologieën kan NGSCB ten goede en ten kwade worden aangewend. Een zeer lezenswaardig overzicht van Ross Anderson somt vooral de potentieel kwaadaardige toepassingen op, onder vele andere: automatische vernietiging van bedrijfsinterne e-mail na een bepaalde periode, van illegale software, en van niet-gecertificeerde MP3-bestanden.
NGSCB biedt de mogelijkheid om de computer controle te laten uitoefenen over welke bestanden u wel en welke u niet kunt gebruiken. Als u bijvoorbeeld stopt met het betalen voor uw tekstverwerker, dan kunt u ook niet meer bij uw brieven. Wat NGSCB echter vooral illustreert, is de relevantie van Lawrence Lessig's stelling over de implementatie van recht in de computer: 'code is law': de manier waarop software en hardware worden ingericht, zijn bepalend voor wat er wel of niet mogelijk is op internet. Het wordt volstrekt helder dat de regulering van het gedrag van de computergebruiker vooral in handen is van de softwareproducent. Dat was echter altijd al het geval. Het voordeel dat NGSCB biedt, is dat mogelijkerwijs inzichtelijker kan worden gemaakt welke regels er gelden. Die inzichtelijkheid kan worden gebruikt om externe juridische regulering gemakkelijker te maken.
Als de overheid bepaalt dat bedrijfsinterne e-mail minimaal vijf jaar moet worden bewaard om gebruik in eventuele antitrust-zaken mogelijk te maken, dan zal de beheerder van een NGSCB-platform wel met een erg goed verhaal moeten komen, wil die e-mail al na een half jaar verdwenen zijn. Sterker, het kan hem tot op zekere hoogte onmogelijk gemaakt worden om de e-mail te laten verdwijnen. Ook zijn er mogelijkheden om tot een effectiever bestrijding van virussen en spam te komen, door alleen e-mail van 'vertrouwde' afzenders toe te laten. Dat dit nu ook al mogelijk is, laat onverlet dat oplossingen voor de meeste computergebruikers te duur of vooral te ingewikkeld zijn.
NGSCB roept dermate veel vragen op - over veiligheid, mededinging op de software-markt, auteursrecht en digitale duurzaamheid - dat een serieuze en brede discussie op haar plaats is. De wetgever - zowel de Europese als de nationale - zou moeten anticiperen op deze principiële verandering in de softwaremarkt in plaats van toe te zien hoe Microsoft en zijn partners optreden als de facto wetgever. En de computergebruiker? Die mag hopen dat NGSCB een wezenlijke verbetering betekent van zijn virtuele veiligheid, en dus de virussen, spyware en phishing-spam daadwerkelijk tegenhoudt. Zodat Microsoft wellicht iets van het geschonden vertrouwen in het bedrijf weet te herstellen.
Bronnen
Laurens Mommers is werkzaam als universitair docent bij eLaw@Leiden, centrum voor recht in de informatiemaatschappij, en bij Legal Intelligence in Papendrecht.
|
|
|
|
 |
|
Laurens Mommers
|
|
Verder in editie 107
Netkwesties zoekt steun
En u kunt helpen!
Lees verder »
|
|
