Neem gerust een andere browser, er zijn er tegenwoordig genoeg. Maar dat wil niet zeggen dat daar geen lekken in zitten. Het is weer een tweede of Microsoft inderdaad de veiligste browser maakt op de markt, zoals ze zelf beweren, maar de laatste tijd is er wat dat betreft in ieder geval een heleboel verbeterd.

Marktwerking

Het Grote Lek hebben is vorige week gepatcht in een extra patchronde. Eigenlijk vond Microsoft dat niet echt nodig, omdat ze het gevaar op aanvallen beperkt achtten. Het zal dan ook vooral zijn ingegeven door marketingoverweginging dat Microsoft tussentijds een patch uitbracht. Er waren zelfs al regeringen die hun volk opriepen om, tot er een patch beschikbaar was, Internet Explorer links te laten liggen, en onder andere de Duitsers gehoorzaamden natuurlijk massaal. Als die situatie nog drie weken had aangehouden, dan zou IE zonder twijfel in meer landen een flinke hap marktaandeel zijn kwijtgeraakt.

Toch werkten de openbare exploits alleen op Internet Explorer 6 op XP. Maar er kwamen wel steeds nieuwe manieren in het nieuws om het lek uit te buiten en om DEP, dat door Microsoft als wondermiddel werd omschreven, te omzeilen. Dus IE kreeg hoe langer hoe meer schijn tegen. Bovendien had de ernst van het lek zich al op de meest dramatische manier bewezen.

Inbraak bij Google

Het lek is gebruikt bij een inbraak bij Google. En als er ingebroken wordt bij Google, dan is dat hoe dan ook wereldnieuws. Over de manier waarop de aanvallers waren binnengekomen bij de internetreus werd in het begin nog niet druk gespeculeerd, omdat de aandacht toen vooral uitging naar de 'onbetrouwbaarheid van de cloud'. Bovendien werd in eerste instantie gedacht dat de aanval was uitgevoerd door een gat in Adobe Reader, en daar haalde men laconiek de schouders over op. “Dat verbaast ons niets”, leek iedereen te zeggen. Er zat al tijden een gat in Adobe Reader, maar dat was ondertussen eindelijk gedicht.

Alleen bleek het toen ineens te gaan om een lek in Internet Explorer, een nieuw lek, een onbekend lek, een gevaarlijk lek in een product dat veel mensen in de IT toch niet helemaal vertrouwen. Dan zijn de poppen aan het dansen.

Grondig uitgedacht

Maar we moeten niet vergeten dat de aanval op Google en nog zeker 33 andere bedrijven heel goed was uitgedacht, en dat er naast het lek in IE ook een boel social engineering bij aan te pas is gekomen. Het was een geplande aanval, met een middel dat op dat moment nog onbekend was. Er zijn heel gericht mailtjes verstuurd naar specifieke mensen, die ten eerste Internet Explorer 6 gebruikten op XP, en ten tweede toegang hadden tot waardevolle informatie. Als een aanval zo doordacht en professioneel is opgezet, dan is er geen houden meer aan.

Maar zonder een duidelijk doel voor ogen zijn dit soort aanvallen een stuk minder gevaarlijk. De laatste dagen druppelen er berichten binnen over websites die passanten met IE6 op XP proberen te besmetten, en over mailtjes die naar mensen in de VS en UK worden gestuurd. Dus de criminelen hebben wel in de gaten dat er hier iets te halen valt, maar het zijn niet meer de professionals die bij Google hebben ingebroken. Die hebben hun slag geslagen en zijn weer bezig met het zoeken naar een nieuw gat, waardoor ze ongemerkt bij bedrijven binnen kunnen komen.

Volgende pagina: Amateurs na de maaltijd

Amateurs na de maaltijd

De aanvallers hebben niet eens de beschikking over geavanceerde middelen waarmee ze ook IE7 en IE8 op Vista of Windows 7 kunnen aanvallen. Het zijn amateurs die Metasploit downloaden en het inzetten, in de hoop nog een graantje van het lek mee te kunnen pikken. Alleen lopen ze op dit moment nogal in de gaten. Hun websites worden neergehaald en er wordt direct gewaarschuwd voor hun mailtjes. Iedereen in de beveiligingswereld is erop gespitst. Elke professionele beveiliger in dienst bij een serieus bedrijf dat nog IE6 draait, is zich bewust van het gevaar en neemt voorzorgsmaatregelen.

Nu het lek bekend is zijn er nog alleen kleine visjes binnen te halen, die bijvoorbeeld interessant zijn om aan een botnet toe te voegen. Dat zijn dan over het algemeen gammele thuis-pc'tjes, waarvoor je niet noodzakelijk dit lek nodig hebt om er binnen te komen. Ze hebben al jaren geen update meer gehad en dus zitten ze vol met lekken en gaten. Wie daar inbreekt komt op een harde schijf terecht die vergeven is van de virussen en spyware, en de ruimte moet hij waarschijnlijk delen met nog twee of drie andere scriptkiddies.

Veiliger en beter

Natuurlijk was het een ernstig lek dat in de browser van Microsoft is ontdekt. De ontdekker die het in augustus aan Microsoft meldde, vertelde dat hij het binnen twee weken had gevonden. Het lag eigenlijk voor de hand, zei hij, en hij had ook verwacht dat anderen het zouden vinden.

Toch is het niet direct nodig om Internet Explorer helemaal af te schrijven. Maar het kan helemaal geen kwaad om IE6 wel uit te bannen. Als je van je baas nog steeds IE6 moet leveren aan je gebruikers, dan is het misschien wel eens goed als hij zich ervan bewust wordt dat je netwerk daardoor gevaar loopt. Zo zal hij eindelijk eens serieus overwegen om die legacy omgeving waar je op draait in te ruilen voor een moderne. Misschien is dat is de investering toch wel waard.

Bovendien is alle ophef doorgedrongen tot de landelijke media, dus zijn er toch weer een paar mensen aangezet om eens te gaan onderzoeken wat een browser eigenlijk is. Als ze dat eenmaal weten, dan kunnen ze een andere gaan proberen, zoals Firefox, Opera of Chrome. Ze zijn dan alvast voorbereid op het browser-keuzescherm dat ze binnenkort voor hun neus krijgen. Bovendien is een grotere diversiteit aan browser goed voor de veiligheid en voor de ontwikkeling. En veiliger en betere browsers kunnen de ontwikkeling van het internet alleen maar ten goede komen.

Bron: Techworld