Als je Bruce Schneier, directeur van Counterpane Systems in Minneapolis (Minnesota, USA), moet geloven wel. Het bedrijf dat zich specialiseert in computerbeveiliging zegt dat zwakke plekken in de software een bedrijfsnetwerk wijd open kan zetten voor buitenstaanders. Counterpane zegt dat het wachtwoorden kan achterhalen, kan inkijken op netwerken en dataverkeer tussen gebruikers kan afluisteren.

Microsoft en onafhankelijke experts menen dat de soep niet zo heet gegeten wordt. Voor de problemen die Counterpane Systems zegt te hebben gevonden zijn er al oplossingen gevonden of in de maak, aldus Microsoft. Schneier geeft ook toe dat hij van sommige fixes voor NT niet op de hoogte was toen zijn bedrijf NT op de pijnbank legde.

De vermeende gebreken aan de NT-server komen volgens Counterpane vooral aan het licht als gebruikers een virtual private network opzetten. Bij zo'n VPN koppelt een bedrijf computers op verschillende lokaties via het Internet aan elkaar. Om te voorkomen dat vertrouwelijke gegevens door derden wordt onderschept worden de datapakketjes via een speciaal protocol beveiligd – het point-to-point tunneling protocol. Microsoft heeft speciaal zijn eigen PPTP voor Windows NT ontwikkeld.

Bij PPTP-sessies onder NT worden bestanden naar keuze met een 40-bits of 128-bits encryptie op slot gezet. Zo'n beveiliging is voldoende voor het Internet: probleem is alleen dat de interne beveiliging van Windows NT in het verleden makkelijk te kraken bleek. Op deze manier zijn de sleutels – mits gebruikers geen moeite hebben genomen om een moeilijk wachtwoord te kiezen – eenvoudig op te sporen.

Volgens Russ Cooper, samensteller van NTBugtraq (een nieuwsbrief over technische onvolkomendheden in Windows NT), zijn de vondsten van Counterpane niet nieuw. Wel heeft het bedrijf voor het eerst de theoretische gaten in de beveiliging van de Microsoft-servertechnologie aan de praktijk getoetst. Cooper heeft problemen rond PPTP ook al eens op zijn eigen website besproken.

De technische details over de ontdekking van Counterpane is op de website te vinden.