nettime-nl: Pentium III en Windows 98 onveilig

[Marie-Jose Klaver <klaver@dds.nl>]

Pentium III en Windows 98 onveilig

Chipfabrikant Intel en softwareconcern Microsoft liggen vanwege ernstige
privacyschendingen onder vuur van consumentenorganisaties en
Internetgebruikers. De nieuwe producten van beide marktleiders, wereldwijd door
miljoenen consumenten gebruikt, zijn zo lek als een mandje.

Marie-José Klaver

Met een miniscuul stukje software heeft het Canadese
bedrijf Zero-Knowledge Systems een computerprogramma van chipfabrikant Intel
gekraakt dat het omstreden persoonlijke identificatienummer van de nieuwe
Pentium III-chip uitzet. Met het programma van Zero-Knowledge Systems, een
bekend Internetbeveiligingsbedrijf uit Montreal, kunnen malafide
websitebeheerders Internetgebruikers het Intel-identificatienummer ontfutselen,
ook al is dat nummer uitgeschakeld. 

De onlangs geďntroduceerde Pentium III-chip is sinds januari het onderwerp van
een heftige controverse tussen Intel en Amerikaanse consumentenorganisaties.
Via het identificatienummer kan het surfgedrag van Internetgebruikers stap voor
stap worden vastgelegd. PC-bezitters kunnen het chip-nummer niet zelf
uitschakelen. Na hevige protesten van consumentenorganisaties en
Internetgebruikers tegen de privacyschending van de Pentium III-processor en
een oproep tot een boycot heeft Intel een programma uitgebracht waarmee
computerleveranciers die PC’s met de nieuwe chip verkopen het persoonlijk
identificatienummer kunnen uitzetten. Intel dacht met dit programma het
privacyprobleem van de Pentium III definitief opgelost te hebben. De 'hack' van
Zero-Knowledge Systems, dat gespecialiseerd is in privacysoftware, toont aan
dat Intel zijn belofte dat gebruikers ook met de Pentium III veilig kunnen
surfen niet nakomt.

Ook softwaregigant Microsoft kwam onlangs in opspraak vanwege twee
privacylekken.
Eind vorige week werd bekend dat het veel gebruikte besturingssysteem Windows
98 eveneens een vrijwel onzichtbaar persoonlijk identificatienummer bevat, dat
gekoppeld is aan de naam van de computergebruiker. Via dit nummer worden alle
handelingen op een computer vastgelegd. Microsoft had niet alleen het bestaan
van het identificatienummer verzwegen, maar ook verzuimd Windows-gebruikers op
de hoogte te stellen van het feit dat hun naam en nummer worden opgeslagen in
een databank van het bedrijf in Redmond. (Zie Microsoft schendt privacy met
Windows 
http://www.nrc.nl/W2/Nieuws/1999/03/10/Med/01.html)

Volgens het softwarebedrijf Phar Lap Software uit Cambridge, Massachusetts kan
het Microsoft-identificatienummer ook via Internet eenvoudig achterhaald
worden. Internetgebruikers die de browser Explorer gebruiken in combinatie met
Windows 98 lopen het risico dat websitebeheerders hun identificatienummer
onderscheppen. (http://security.pharlap.com/regwiz/index.htm)

Het kraakprogramma van Zero-Knowledge Systems, dat de
privacybeschermingssoftware van Intel uitschakelt, kan onzichtbaar op een
website worden gezet (bijvoorbeeld in een reclamebanner) of via een e-mail
worden verspreid. Zodra de Internetgebruiker het programma opent, door
nietsvermoedend op de reclamebanner te klikken, crasht zijn PC. Bij het opnieuw
starten onderschept het programma van Zero-Knowledge Systems het
identificatienummer. Dit gebeurt in de paar seconden die de computer bij het
starten nodig heeft om het programma van Intel te activeren dat het chip-nummer
verbergt.

Vervolgens plaatst het programma van Zero-Knowledge Systems het
identificatienummer in een cookie (een programma dat websurfers identificeert)
op de harde schijf van de PC-gebruiker. Via het cookie-bestand wordt het nummer
naar de bezochte website gestuurd. Een ander gevolg van het (ongemerkt) opnemen
van het identificatienummer in een cookie is dat het nummer op de harde schijf
van de PC-gebruiker blijft staan en leesbaar is voor bijvoorbeeld andere
websitebeheerders en hackers.

Zero-Knowledge Systems wil met het kraakprogramma aantonen dat Intels programma
niet werkt. ,,Wij maken ons zorgen over de mogelijkheden van mensen om hun
privacy te beschermen terwijl ze een Pentium III gebruiken,’’ verklaart
directeur Austin Hill van Zero-Knowledge Systems. 

,,Deze poging laat zien dat de privacymaatregelen voor het PSN [persoonlijk
serienummer; red.] grotendeels een illusie zijn. Ze beschermen het publieke
imago van Intel beter dan de privacy van de consument,’’ reageert directeur
beleid David Banisar van het Electronic Privacy Information Center in
Washington. Banisar raadt consumenten het gebruik van computers met een Pentium
III-chip af tot Intel het persoonlijk identificatienummer definitief uit de
chip haalt. Vorige maand heeft het Electronic Privacy Information Center, samen
met andere consumentenorganisaties, de Amerikaanse regering gevraagd de Pentium
III-processor te verbieden.

Intel, dat meer dan een miljard gulden uitgeeft voor de promotie van de Pentium
III, wil niet reageren op de kraak van Zero-Knowledge Systems omdat het bedrijf
het programma nog niet heeft onderzocht.

Op de website van Zero-Knowledge Systems kunnen Pentium III-bezitters het
beveiligingslek in de Intel-software testen (www.zks.net/p3).

Het lek in Windows 98 kan via de site van Phar Lap Software getest worden 
(http://security.pharlap.com/regwiz/index.htm).


--

http://www.marie-jose.nl


--
* Verspreid via nettime-nl. Commercieel gebruik niet toegestaan zonder
* toestemming. <nettime-nl> is een gesloten en gemodereerde mailinglist
* over net-kritiek. Meer info: list@dds.nl met 'info nettime-nl' in de
* tekst v/d email. Archief: http://www.factory.org/nettime-nl. Contact:
* nettime-nl-owner@dds.nl. Int. editie: http://www.desk.nl/~nettime.