Digitale politie struikelt over Internet Explorer

De digitale politie zegt dat je Microsofts webbrowser Internet Explorer niet meer mag gebruiken in verband met een lek. Maar de officiële waarschuwingsdienst maakt zich niet zo druk. Wie moet je nou geloven?

1. Wat is er gebeurd?

Afgelopen weekeinde maakte Microsoft bekend dat er een kwetsbaarheid in meerdere versies van webbrowser Internet Explorer (IE 6, 7, 8, 9, 10 en 11) zit waardoor hackers een computer over kunnen nemen als je op een verkeerde link klikt. Dat gebeurt wel vaker, maar nu waarschuwden Britse, Duitse en Amerikaanse overheidsdiensten te kiezen voor een andere browser totdat Microsoft IE gerepareerd heeft. De digitale opsporingsdienst, Team High Tech Crime, twitterde maandagnacht: gebruik geen Internet Explorer, alleen als het niet anders kan. De tweet wordt door de NOS opgepikt en vrijwel alle media (ook NRC) herhalen dat – want het staat op Teletekst.

2. Was dit een officiële waarschuwing?

Nee. Team High Tech Crime waarschuwt doorgaans niet voor dit soort algemene zaken; dat doet waarschuwingsdienst.nl, van het Nationaal Cyber Security Centrum. Die ziet geen reden om gebruik van Internet Explorer af te raden en adviseert „terughoudend te zijn met het bezoeken van websites die je niet kent of niet vertrouwt”. Oftewel: ‘kijk goed uit met oversteken’ in plaats van: ‘sluit ramen en deuren en ga niet de straat op’.

3. Is het zo’n bijzondere kwetsbaarheid?

Dit is business as usual, helaas. Een kwetsbaarheid waarmee een kwaadwillende hacker de computer van een onoplettende gebruiker kan overnemen. Het lek wordt (nog) niet massaal misbruikt – in ieder geval in Nederland niet. Microsoft ziet ook geen aanleiding om af te wijken van het gebruikelijke update-schema, elke tweede dinsdag van de maand. Je computer is eenvoudig te beschermen door Internet Explorer op een ‘hogere veiligheidsstand’ te zetten. Dat is standaard al het geval bij recente IE-versies, anders: ga naar Instellingen, Internet Opties, Veiligheid. Of download de Enhanced Mitigation Experience Toolkit (EMET) voor Windows.

Voor Windows XP-gebruikers is straks geen reparatie beschikbaar, omdat dat besturingssysteem sinds kort niet meer wordt ondersteund. XP-gebruikers moeten dus wèl hun browser vervangen. Het oorspronkelijke Amerikaanse advies om van browser te wisselen gold ook alleen voor XP-gebruikers, maar die mededeling is een eigen leven gaan leiden door een goedbedoelde tweet op een nieuwsluwe dag.   

US-CERT recommends that users and administrators review Microsoft Security Advisory 2963983 for mitigation actions and workarounds. Those who cannot follow Microsoft’s recommendations, such as Windows XP users, may consider employing an alternate browser.

4. Is IE veel onveiliger dan andere browsers?

Internet Explorer (gezamenlijk marktaandeel iets minder dan 60 procent) is de meest gebruikte browser en daarom extra aantrekkelijk voor hackers. Door één browser af te raden suggereren de overheden dat de rest veilig is. Dat is niet het geval. Er zitten regelmatig ernstige lekken in het standaard gereedschap van internetgebruikers. Adobe Flash is een geliefd object voor hackers – sterker nog: deze nieuwe IE-kwetsbaarheid begint met een fout in Flash. Ook Firefox en Google Chrome hebben hun kwetsbaarheden, en Apple liet iPhone en iPad-gebruikers lang surfen met een onveilige Safari-versie.

5. Is dit de nekslag voor Internet Explorer?

Ooit domineerde Internet Explorer het web, maar Chrome en Firefox hebben veel terrein veroverd.  De laatste tijd groeit het gebruik van IE op de desktop weer licht. Eerdere veiligheidswaarschuwingen van overheidsdiensten, in 2010 en in 2012, leidden niet tot een significante daling in het marktaandeel. Het risico van overdadig waarschuwen is dat gebruikers er immuun voor worden. Denk maar aan het weeralarm van het KNMI.