De kredietkaart blijft voorlopig het betaalmiddel bij uitstek op het internet. Drie op vier Belgische internetgebruikers vinden het te onveilig. De herhaaldelijke berichten over computerinbraken geven hen geen ongelijk.
Ondanks de schommelende koersen van de internetaandelen de voorbije weken, ging het bepaalde internetbedrijven op een bepaald moment toch razend goed op de beurs. Bedrijven als Symantec, VeriSign, Check Point en het Belgische Ubizen waren plots erg in trek. De beleggers reageerden op berichten over spectaculaire inbraken bij de grote jongens van het Web. Onder meer Yahoo!, Amazon, eBay, eTrade, CNN en ZDNet kregen begin februari hackers op bezoek die deze populaire websites met een massale hoeveelheid gegevens bestookten en het verkeer voor meerdere uren lamlegden.
Een consultancybedrijf becijferde het totale kostenplaatje van de inbraken op maar liefst meer dan 50 miljard Belgische frank. De aandelenkoersen van de getroffen bedrijven hadden een flinke klap gekregen, de sites hadden al die tijd geen inkomsten uit advertenties en verkoop opgeleverd. En er zou het komende jaar tussen 4 tot 9 miljard moeten worden geïnvesteerd in bijkomende beveiliging. En dat was natuurlijk goed nieuws voor beveiligingsfirma’s als Ubizen, het vroegere Netvision.
Het vertrouwen in het medium internet kreeg een zoveelste deuk. Begin vorig jaar was een Russische jongeman er al in geslaagd om maar liefst 300.000 kredietkaartgegevens te verzamelen van klanten van CD Universe, een van de grootste cd-verkopers op het net. En heel recentelijk berichtte de Amerikaanse nieuwszender MSNBC over de grootste computerkraak ooit, die meer dan een jaar geheim bleef. Begin ’99 zou een hacker de gegevens van iets minder dan een half miljoen kredietkaarten in zijn bezit hebben gekregen door in te breken bij een grote webwinkel. Dit bleek uit een vertrouwelijke brief van Visa aan financiële instellingen die samenwerken met de kredietkaartenmaatschappij.
De hacker kon enkele maanden ongestoord te werk gaan in de databank van de gedupeerde webshop, waarvan de naam nog niet bekend is geraakt. De computerroof kwam aan het licht omdat de dader de buitgemaakte gegevens had geplaatst op computersystemen van een Amerikaanse overheidsdienst. Daar ontdekten technici dat een groot bestand het computerverkeer vertraagde. Kurt Van Looveren van internetbeveiliger Ubizen bevestigt dat de computerkraken die de media halen, maar het topje van de ijsberg vormen: ‘Er gebeuren veel meer inbraken dan u en ik weten.’
Verdedigingswal
Niet alleen de grote Amerikaanse websites krijgen ongewenst bezoek over de vloer: ook in België trokken computerinbraken bij Skynet, de Generale Bank en Planet Internet vorig jaar de aandacht van de media. De inbreker was er telkens in geslaagd om vertrouwelijke gegevens van klanten te bemachtigen.
Zulke hackers gebruiken specifieke computerprogramma’s om het veiligheidssysteem te doorbreken dat rond de computers met cruciale data zoals klantengegevens is opgebouwd. Zo’n veiligheidssysteem bestaat uit één of meerdere machines ( firewalls) die als het ware een verdedigingswal vormen tegen indringers. Enkel ‘gewenste’ bezoekers krijgen vrije doorgang.
Hackers zullen altijd op zoek gaan naar de zwakke plekken in deze ‘verdedigingsgordel’ en liefst nog naar ‘achterpoortjes’ die bewust of onbewust zijn opengelaten. ‘Soms maken bedrijven wel eens tijdelijk een opening in hun beveiligingssysteem om een groot bestand makkelijk en snel te kunnen verzenden’, geeft Kurt Van Looveren als voorbeeld. ‘En dan kunnen hackers mee door de mazen van het net glippen. Of de machines zijn van bij de installatie niet juist geconfigureerd. Ervaren hackers straffen zulke foutjes af.’ Om tot een degelijke beveiliging te komen, kan de cyberhandelaar het best meer dan één machine als verdediging tegen indringers opzetten. Bij de Multisecure-oplossing van Ubizen vindt de hacker zelfs vijf machines op zijn weg. ‘Maar een 100 procent veilige oplossing kunnen we niet garanderen’, vertelt hij. ‘Het is met onze producten net als met virusdetectors (software die computervirussen detecteert, nvdr). Geregeld worden nieuwe virussen gecreëerd waartegen dan een remedie moet worden ontwikkeld. Ook beveiligingssoftware moet voortdurend worden aangepast aan de nieuwe inbraaktechnieken die de hackers ontwikkelen. Daarom kunnen we geen volledige zekerheid bieden, maar wel de laatste nieuwe technologie.’
Digitale certificaten
Ondertussen blijft het aantal computerinbraken nog sterk toenemen. Zo opende de FBI in 1998 meer dan 500 zaken naar aanleiding van een computerinbraak, een jaar later was dit aantal al meer dan verdubbeld. Door deze alarmerende cijfers zijn ook de politieke leiders wakker geschoten. President Clinton zou momenteel laten onderzoeken of de Amerikaanse overheid over voldoende wettelijke middelen beschikt om cybercriminelen op te sporen en te vervolgen. De Clinton-administratie heeft onder meer een voorstel ingediend waardoor de politie makkelijker on-linecommunicatie kan afluisteren en vijftienjarige hackers als volwassenen kan vervolgen. Nog volgens dat voorstel zou de hacker vervolgd worden, zelfs indien er geen materiële schade werd aangericht. Bij ons wordt gewerkt aan wetsontwerpen om cybercriminelen makkelijker te kunnen bestraffen. Daarnaast wil hij het gebruik van digitale certificaten en de bijbehorende handtekeningen meer promoten.
Het voordeel van digitale certificaten is dat ze de identiteit van zowel de koper als de verkoper garanderen. Op internet verdwijnt immers elk fysiek contact tussen de twee. Zijn beide partijen dan wel wie ze beweren te zijn? Van de anonimiteit kunnen kopers trouwens gebruikmaken om met gestolen kredietkaarten aankopen te verrichten. Verkopers kunnen bijvoorbeeld een valse handel opzetten om met de ingewonnen kaartgegevens aan de haal te gaan. Een digitaal certificaat is in die zin zowat het equivalent van een identiteitskaart. Internetgebruikers kunnen zich kenbaar maken bij andere gebruikers en op websites. Maar ze kunnen er ook boodschappen digitaal mee ondertekenen. Berichten worden met andere woorden versleuteld verstuurd over het net. De ontvanger krijgt door een vernuftig uitgewerkt systeem de zekerheid dat de berichten onderweg niet gewijzigd zijn. Sinds kort heeft de Belgische wetgever de digitale handtekening dezelfde bewijskracht gegeven als de conventionele. Hierdoor kunnen handelingen (zoals bijvoorbeeld een bestelling bij een webwinkel) die digitaal ondertekend zijn, achteraf niet meer betwist worden.
Echtheidsgarantie
Het certificaat is verkrijgbaar bij een trusted third party – een instelling met een onkreukbare reputatie. Voor België is de uitreiker GlobalSign, opgericht door de vereniging van Kamers van Koophandel en internetbeveiliger Ubizen. De certificaten kunnen als bestand worden geïnstalleerd bovenop de browser, waardoor de bezitter bij iedere communicatie kan garanderen dat hij wel degelijk is wie hij beweert te zijn.
Niet alleen individuele gebruikers, ook websites kunnen een certificaat aanschaffen, dat de bezitter zekerheid biedt over de verkoper aan de andere kant van de lijn. Wanneer u een beveiligde verbinding heeft met de webwinkel kan u het certificaat bekijken, bijvoorbeeld wanneer u een paswoord of de gegevens van uw kredietkaart intikt. Uw browser geeft een icoontje met een gesloten hangslot weer. Klikken op het hangslot geeft aan wie de shop uitbaat en wie het certificaat heeft uitgereikt.
Virtuele banken
Het probleem blijft dat de kredietkaartgegevens van de surfer steeds meer verspreid raken over de verschillende winkelsites. De kans dat een cybercrimineel bij een van deze winkels met zijn gegevens aan de haal gaat, vergroot. Daarom maken virtuele banken opgang op het net. Ze sluiten akkoorden met de webshops om in hun plaats de transactie af te handelen met de consument. De surfer hoeft niet bij elke aankoop te betalen aan de virtuele bank. Bij de start opent hij een rekening, waar hij geld kan bijstorten, on line of met een klassieke overschrijving. Het voordeel? De surfer hoeft slechts eenmaal zijn kredietkaartgegevens door te sturen. Hij hoeft zich bovendien niet telkens opnieuw te registreren bij elke shop. Zijn klantengegevens zitten in zijn e-wallet, zijn virtuele portefeuille die hij op zijn browser installeert. Daarin zijn al zijn persoonlijke gegevens bewaard, die hij met één klik kan doorspelen aan de winkel in kwestie. De portefeuille duidt aan hoeveel geld de surfer nog op zijn rekening heeft.
Omdat de cyberconsument in zijn financiële transacties enkel met de virtuele bank omgaat, heeft de virtuele shop zijn kredietkaartgegevens niet meer in zijn bezit. Voor de surfer biedt dit als voordeel dat hij slechts één partij in vertrouwen moet nemen voor zijn aankopen. De webshop is maar al te blij dat het zijn aantrekkingskracht verliest voor hackers. Bovendien worden cruciale klantengegevens dan bewaard op één plek, die beter kan beveiligd worden.
Virtuele portefeuilles zijn ‘in’ in de Verenigde Staten. Steeds meer webwinkels sluiten zich ook aan bij bepaalde virtuele banken. De consument kan daardoor met dezelfde portefeuille terecht bij een groeiende groep van webshops. In Europa zijn virtuele portefeuilles nog niet zozeer in trek. Eerst moet de consument nog wennen aan e-commerce.
Kristof Van den Branden
