030 020525 De gevaarlijke weg terug

Herbert Blankesteijn

 

Je surft, klikt op een link, en de pagina die dat oplevert blijkt niet interessant. De meest voor de hand liggende keus is dan, te klikken op de 'Terug'-knop. Vorige maand is bekend geworden dat deze routinehandeling niet zonder risico is.

 

De Zweed Andreas Sandblad heeft dit gepubliceerd op de website Bugtraq (http://online.securityfocus.com/archive/1/267561). Een voorbeeld dat hij daar presenteert zorgt ervoor dat bij het indrukken van de 'Terug'-knop het spel Mijnenveger wordt gestart. Dat is volkomen onschuldig, maar het punt is dat in plaats van Mijnenveger net zo goed een schadelijk programma in werking had kunnen treden.

 

De truc werkt als volgt. Een booswicht kan op zijn site een pagina plaatsen die er onschuldig uitziet. Hij kan publiek trekken door er mp3-muziek, porno, ringtones of software aan te bieden en de site bij zoekmachines aan te melden. In de pagina verborgen zit intussen een Javascript dat een of ander kwalijk effect heeft. Maar aanvankelijk doet het script niets - althans zo lijkt het. Zou het meteen in actie komen, dan zou het waarschijnlijk oplopen tegen de standaard-beveiligingsinstellingen van Internet Explorer, die niet toestaan dat webpagina's van buiten ingrijpen in het systeem.

 

De pagina heeft echter ook een link; bijvoorbeeld 'Wanna see more?' Deze link verwijst naar een niet-bestaand adres. De bezoeker ziet een foutmelding - niet iedereen weet dat zo'n foutmelding een webpagina is die van de eigen pc afkomstig is. Hij krabt zijn hoofd, en klikt op de knop 'Terug'. En dan blijkt deze knop inmiddels van functie te zijn veranderd. Het script treedt nu in werking. Maar omdat de knop 'Terug' onderworpen is aan dezelfde veiligheidsmaatregelen als de laatst vertoonde pagina, (en dat was een intern bestand van de pc), wordt nu nagenoeg iedere actie door de beveiligingsinstellingen toegestaan! Het script kan zich ontpoppen als een virus, zich verschuilen als Trojaans paard (waardoor de pc buiten medeweten van de eigenaar kan meedoen aan aanvallen op sites) en bestanden lezen. De truc werkt in Windows 2000 en XP (getest door Sandblad), Windows Me (getest door Beet) en Windows 98SE (gemeld door een lezer van internetkrant WebWereld; op een pc van Beet met W98 werkte het niet).

 

Microsoft zou hier iets aan kunnen doen met een 'patch' (een reparatiebestand) voor Internet Explorer: bijvoorbeeld door niet langer herkomst van de laatstbezochte pagina de beveiliging te laten bepalen, maar die van de oorspronkelijke pagina waarheen de 'Terug'-knop verwijst. Of door te verhinderen dat scripts morrelen aan de functie van zo'n knop. Maar  hoewel Sandblad half november het probleem al heeft gemeld, is er nooit iets aan gedaan. De gewone gebruiker rest niets anders dan de 'Terug'-knop niet te gebuiken, of 'active scripting' helemaal uit te zetten. Dat laatste zal tijdens normaal websurfen veel problemen geven, omdat bijna elke site bona fide Javascripts gebruikt. Wie een pagina van de site van NRC op zijn scherm heeft (en dat heeft u nu) moet eens klikken op 'Beeld - Bron'. Dat onthult de code van deze pagina. Alles wat tussen de lettercombinaties '<SCRIPT' en '</SCRIPT>' staat, is Javascript. Deze programmaatjes dienen onder andere voor de uitklapmenu's.

 

Lezers van Webwereld hebben gemeld dat de virusscanners van McAfee, AVP en Kaspersky alarm slaan als ze de voorbeeldcode van Sandblad tegenkomen. Beet stelt daartegenover dat in ieder geval Esafe, CA Inoculate en Norton (alle voorzien van de laatste update) dat niet doen - noch bij het laden van een besmette pagina, noch bij het uitvoeren van het script, noch bij het doelgericht scannen van een map waarin de besmette pagina is opgeslagen. Er blijft dus alle reden voor Microsoft om dit gat dicht te stoppen.