Woensdag 23/10/2019

Weer een lek ontdekt: is Internet Explorer echt zo'n slechte browser?

De vier grootste browser Beeld ap

Het Amerikaanse ministerie van Binnenlandse veiligheid en de Nederlandse politie waarschuwden gisteren al voor het gebruik van Internet Explorer. Aanleiding is het grote lek in de browser van Microsoft dat dit weekend aan het licht kwam. Het is niet de eerste keer dat Internet Explorer in opspraak komt. Is Internet Explorer dan echt zo'n slechte browser?

"Internet Explorer is als een ex die je zo veel pijn heeft gedaan dat je haar nooit meer vergeet", "Internet Explorer, de beste browser om andere browsers te downloaden", "First world problems: het wachten tot IE is geladen om het weer af te kunnen sluiten".

De browser van Microsoft is een dankbaar mikpunt van spot en hoon in memes op internet. IE is vaak bekritiseerd omdat het zo langzaam is, en Microsoft heeft ook vaker last gehad van beveiligingsproblemen.

Beeld 9gag

'Operation Clandestine Fox'
Het lek waar de autoriteiten voor waarschuwen, zit in alle versies van IE vanaf versie 6 (2001). Hackers kunnen speciale, gevaarlijke websites maken waarmee ze toegang krijgen tot je computer en bijvoorbeeld virussen of malware kunnen installeren. "Op die manier kunnen hackers alles wat gebruikers ook kunnen: wachtwoorden bekijken, gegevens inzien en mails lezen", legt Joran Polak, security-analist bij Certified Secure, uit. "Op dit moment zijn vooral aanvallen op de versies 9, 10 en 11 gevonden."

Softwarebeveiliger FireEye ontdekte de zogenoemde Zero Day-bedreiging, wat betekent dat hackers er al gebruik van maakten voordat Microsoft er van op de hoogte was, vorige week. Volgens FireEye was een groep hackers onder de naam Operation Clandestine Fox al langer bezig met aanvallen op Amerikaanse militaire en financiële instellingen.

Update
Microsoft heeft een beveiligingswaarschuwing afgegeven. "Op dit moment zijn we bewust van beperkte, doelgerichte aanvallen. We moedigen klanten aan om de voorgestelde maatregelen die in de Security Advisory worden beschreven uit te voeren, terwijl wij werken aan het voltooien van een update", laat een woordvoerder van Microsoft weten. "Op dit moment hebben we niet meer informatie."

Die update zal overigens niet volgen voor gebruikers van XP. Sinds 8 april is Microsoft gestopt met updates voor XP. Die dag kreeg de onheilspellende bijnaam XPocalypse, omdat er wereldwijd nog miljoenen XP-gebruikers zijn. De Nederlandse overheid kocht vorige week een jaar langer updates voor zo'n 3 miljoen euro.

Andere browsers
Gebruik IE alleen als het niet anders kan, en in uitgebreide beveiligde modus, meldt het Team High Tech Crime van de Nederlandse politie. Totdat Microsoft een oplossing heeft gevonden doen internetters er goed aan een andere browser te gebruiken, zoals Chrome, Firefox, Safari en Opera. Dit zijn "veiliger alternatieven", aldus het Team High Tech Crime van de Nederlandse politie.

Microsoft geeft nog een andere oplossing, namelijk het inschakelen van de "uitgebreide beveiligde modus". Je kunt IE dan veilig gebruiken, maar probleem is dat plug-ins als flash dan niet goed werken. Waardoor je websites als YouTube niet goed werken. Daarnaast zijn niet alle versies van IE voorzien van deze modus.

Ernstig lek
Het is een ernstig lek, aldus online beveiligingsexpert Brenno de Winter. En er is al jaren veel kritiek. Waarom gebruiken er dan toch nog zo veel mensen de browser van Microsoft? De Winter en security-analist Polak schetsen drie redenen. "Ten eerste zijn mensen gewoon gemakzuchtig: Microsoft wordt geïnstalleerd, daar zit IE op, dus daar laten we het bij. En gebruikers zijn conservatief: ik gebruikte IE al in Windows 95, dus waarom nu niet meer?", aldus Polak.

De Winter geeft nog een reden, namelijk dat veel applicaties van bedrijven en overheden alleen werken in Internet Explorer. "Hierbij moet je denken aan bijvoorbeeld administratie en ziektemeldingen. Die zijn niet zomaar over te zetten in andere browsers. Dat maakt Microsoft machtig en de bedrijven kwetsbaar."

Houding Microsoft
Kwalijk vindt De Winter de houding van Microsoft zelf. "Die komen altijd met dezelfde marketingkul van 'we nemen het heel serieus' en 'er wordt veel geld in gestoken'. Maar ondertussen lopen ze steeds achter de feiten aan. Er zit iets goed fout in het basismodel en omdat de echte druk van gebruikers ontbreekt, voelen ze denk ik niet de urgentie om het te fixen."

"Bedrijven waarvan data worden gestolen, worden nog steeds gezien als slachtoffers. Het ligt anders: de bedrijven zijn verantwoordelijk, de mensen van wie data worden gestolen zijn slachtoffers. Maar er staat nog steeds geen straf op slechte cyberbeveiliging."

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid ziet vooralsnog geen indicaties van grootschalige aanvallen. "Maar we adviseren mensen wel om op te passen met verdachte links en websites. En het staat mensen natuurlijk altijd vrij om andere browsers te gebruiken", aldus Edmund Meesschaert van het NCSC. Er zijn volgens hem geen aanwijzingen dat de applicaties die worden gedraaid op IE binnen de overheid gevaar lopen.

"Behoorlijke browser"
Dit alles roept de vraag op of IE echt die ex is die je zo veel pijn heeft gedaan dat je haar nooit meer terug wil. Joost Schellevis, van techblog Tweakers, vindt dat IE "de laatste jaren een heel behoorlijke browser is geworden". "Vroeger moest je bijvoorbeeld een website bouwen voor alle browsers. En vervolgens was het dan zaak om het ook nog te laten werken op Internet Explorer. Dat probleem is er niet meer."

Internet Explorer is ook zeker niet de enige browser met beveiligingsproblemen. In Duitsland werd een paar jaar geleden nog opgeroepen om geen Firefox meer te gebruiken. Security-analist Polak: "IE is de grootste browser en veel gebruikt bij overheden en bedrijven. Daarom zijn hackers vooral geïnteresseerd in het lek daar. Maar mochten doelwitten bijvoorbeeld Safari of Firefox gebruiken, gaan ze daar op zoek naar een soortgelijk lek."

Wat deze deuk in het imago van Microsoft betekent, is niet te zeggen. Het is nog maar de vraag hoeveel mensen terug zullen keren als ze een nieuwe browser hebben geïnstalleerd.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234