Vorige week toonden Duitse beveiligingsonderzoekers de mogelijkheid om Windows CardSpace, standaard onderdeel van Windows Vista, te hacken. Microsoft noemt de hack onzin.
Met Windows CardSpace is het mogelijk om meerdere, digitale identiteiten te beheren in Windows Vista en Windows XP. In plaats van telkens opnieuw gegevens voor een website in te vullen, hoeven gebruikers alleen maar een kaart uit CardSpace te kiezen waarna deze informatie automatisch ingevuld wordt, waar natuurlijk wel bevestiging voor nodig is.
Wanneer een website vraagt om identiteitsgegevens, ontvangt deze alleen een token. Een token is een zogenaamde code die zou moeten zorgen voor extra beveiliging en wordt verstuurd over een SSL-verbinding. Onderzoekers van Horst Görtz toonden echter aan dat het mogelijk is deze token te onderscheppen.
Zodra de token in handen van de hacker valt, kan hij toegang verkrijgen tot de website die om de gegevens vraagde of de token verzenden naar een andere website. Om een aanval succesvol te laten verlopen, moeten echter wel de DNS-instellingen van het slachtoffer aangepast worden zodat de gebruiker omgeleid wordt naar een kwaadaardige website. Een techniek bekend onder de naam pharming.
Microsoft-beveiligingschef Roger Halbheer ziet het niet als beveiligingsprobleem. "Is er enige officiële Microsoft-reactie op het probleem? Nee, nog niet, en als je iets dieper ernaar kijkt betwijfel ik of die er zal komen," vertelt hij. "Waarom? Omdat de hele setup in mijn ogen belachelijk is. Als je alle waarschuwingen van het OS negeert en alle beveiliging uitzet die aanwezig is in Windows Vista, dan is het mogelijk om CardSpace te hacken. Maakt dat me zenuwachtig? Nee, niet echt."
Eerder liet Microsoft nog weten te zoeken naar een oplossing voor het probleem. Microsoft CardSpace wordt overigens maar op een beperkt aantal websites gebruikt, net als concurrent OpenID.
15 uur geleden
