030 020525 De gevaarlijke weg terug
Herbert Blankesteijn
Je surft, klikt op een link, en de pagina die dat oplevert blijkt niet
interessant. De meest voor de hand liggende keus is dan, te klikken op de
'Terug'-knop. Vorige maand is bekend geworden dat deze routinehandeling niet
zonder risico is.
De Zweed Andreas Sandblad heeft dit gepubliceerd op de website Bugtraq
(http://online.securityfocus.com/archive/1/267561). Een voorbeeld dat hij daar
presenteert zorgt ervoor dat bij het indrukken van de 'Terug'-knop het spel
Mijnenveger wordt gestart. Dat is volkomen onschuldig, maar het punt is dat in
plaats van Mijnenveger net zo goed een schadelijk programma in werking had
kunnen treden.
De truc werkt als volgt. Een booswicht kan op zijn site een pagina
plaatsen die er onschuldig uitziet. Hij kan publiek trekken door er mp3-muziek,
porno, ringtones of software aan te bieden en de site bij zoekmachines aan te
melden. In de pagina verborgen zit intussen een Javascript dat een of ander
kwalijk effect heeft. Maar aanvankelijk doet het script niets - althans zo
lijkt het. Zou het meteen in actie komen, dan zou het waarschijnlijk oplopen
tegen de standaard-beveiligingsinstellingen van Internet Explorer, die niet
toestaan dat webpagina's van buiten ingrijpen in het systeem.
De pagina heeft echter ook een link; bijvoorbeeld 'Wanna see more?' Deze
link verwijst naar een niet-bestaand adres. De bezoeker ziet een foutmelding -
niet iedereen weet dat zo'n foutmelding een webpagina is die van de eigen pc
afkomstig is. Hij krabt zijn hoofd, en klikt op de knop 'Terug'. En dan blijkt
deze knop inmiddels van functie te zijn veranderd. Het script treedt nu in
werking. Maar omdat de knop 'Terug' onderworpen is aan dezelfde
veiligheidsmaatregelen als de laatst vertoonde pagina, (en dat was een intern
bestand van de pc), wordt nu nagenoeg iedere actie door de
beveiligingsinstellingen toegestaan! Het script kan zich ontpoppen als een
virus, zich verschuilen als Trojaans paard (waardoor de pc buiten medeweten van
de eigenaar kan meedoen aan aanvallen op sites) en bestanden lezen. De truc werkt
in Windows 2000 en XP (getest door Sandblad), Windows Me (getest door Beet) en
Windows 98SE (gemeld door een lezer van internetkrant WebWereld; op een pc van
Beet met W98 werkte het niet).
Microsoft zou hier iets aan kunnen doen met een 'patch' (een reparatiebestand)
voor Internet Explorer: bijvoorbeeld door niet langer herkomst van de
laatstbezochte pagina de beveiliging te laten bepalen, maar die van de
oorspronkelijke pagina waarheen de 'Terug'-knop verwijst. Of door te
verhinderen dat scripts morrelen aan de functie van zo'n knop. Maar hoewel Sandblad half november het probleem
al heeft gemeld, is er nooit iets aan gedaan. De gewone gebruiker rest niets
anders dan de 'Terug'-knop niet te gebuiken, of 'active scripting' helemaal uit
te zetten. Dat laatste zal tijdens normaal websurfen veel problemen geven,
omdat bijna elke site bona fide Javascripts gebruikt. Wie een pagina van de
site van NRC op zijn scherm heeft (en dat heeft u nu) moet eens klikken op
'Beeld - Bron'. Dat onthult de code van deze pagina. Alles wat tussen de
lettercombinaties '<SCRIPT' en '</SCRIPT>' staat, is Javascript. Deze
programmaatjes dienen onder andere voor de uitklapmenu's.
Lezers van Webwereld hebben gemeld dat de virusscanners van McAfee, AVP
en Kaspersky alarm slaan als ze de voorbeeldcode van Sandblad tegenkomen. Beet
stelt daartegenover dat in ieder geval Esafe, CA Inoculate en Norton (alle
voorzien van de laatste update) dat niet doen - noch bij het laden van een
besmette pagina, noch bij het uitvoeren van het script, noch bij het
doelgericht scannen van een map waarin de besmette pagina is opgeslagen. Er
blijft dus alle reden voor Microsoft om dit gat dicht te stoppen.