De digitale criminaliteit is en blijft onbeheersbaar. De hackers raken de achilleshiel van Internet: absolute veiligheid bestaat niet.
“We worden verschillende keren per week bestookt door krakers”, zegt Skynet-directeur Philippe Lemmens. In het merendeel van de pogingen raken de hackers niet voorbij de veiligheidsmuur van het computersysteem, maar een enkele keer vinden ze toch een gaatje. Zoals tien dagen geleden, toen de Belgische hacker ReDaTtAcK aan persoonlijke gegevens van een reeks Skynet-klanten wist te komen.
Een inbraak, maar Skynet had de deur ook wel open laten staan. Dat geeft de Internetdochter van Belgacom ook grif toe. “Er zat een fout in de programmatuur van onze sign-up server, de computer die de aanvragen van nieuwe abonnees registreert. Een jammerlijke fout van een van onze ingenieurs, een nalatigheid die normaal gezien niet voorkomt.” Net daardoor kon ReDaTtAcK makkelijk inbreken, aldus Lemmens, en had de boosdoener niet eens complexe scaninstrumenten nodig. De bug in de programmatuur was volgens Skynet ook binnen het uur hersteld. “We maken geen goede beurt, maar men moet de zaak toch een beetje proberen te relativeren.”
Lemmens spreekt trouwens liever niet van een inbraak. Want ReDaTtAcK baande zich geen weg tot in het hart van het Skynet-computersysteem, hij kreeg alleen inzage in het bestand van de nieuwe abonnees. Dat waren er geen duizend, zoals aanvankelijk beweerd, maar hoogstens 130. Per dag trekt Skynet zo’n tweehonderd nieuwe abonnees aan. “Wij geloven dat de hacker slechts van een dertigtal klanten de persoonlijke gegevens heeft bemachtigd, maar om veilig te spelen hebben we een ruime marge genomen.”
Nadat een Internetgebruiker zich via Internet op Skynet heeft geabonneerd, kan hij zijn registratiedossier op het Net ter controle nog een keer nakijken. ReDaTtAcK zegt dat hij thuis het laatste stukje van het registratieformulier kopieerde en zich daarmee aanmeldde bij de Internetaanbieder. Die herkende het formulier en stuurde bijgevolg alle gegevens van de laatste abonnee naar de hacker.
De Skynet-kraker heeft de gestolen informatie naar eigen zeggen niet gebruikt voor misdadige doeleinden, hij wilde enkel de lacunes in computersystemen blootleggen. Een ethiek die trouwens door de meeste van zijn collega’s gedeeld wordt. Een hacker ziet zichzelf eerder als een cyberuitvoering van Robin Hood dan als een echte misdadiger. Meestal gaat het gewoon om de kick van het kraken. “Ze pronken met een kraak zoals een cowboy vroeger een streepje zette op de kolf van zijn geweer als hij een vijand had neergeschoten”, zegt Rudy Roth van ISPA, de vereniging van Belgische Internetproviders. De nobelsten onder de hackers geven systeembeheerders zelfs tips over hoe ze de veiligheid van hun netwerk kunnen verhogen. ReDaTtAcK rekent zichzelf misschien wel tot die laatste categorie. Waarom Skynet dan toch een klacht indient? Omdat de inbreker verder ging. “Hij had ons in alle discretie kunnen melden waar de fout zat. Zoals de meeste hackers doen.” Maar ReDaTtAcK stapte naar VTM en VRT, en zette met zijn propagandastunt anderen aan om ook te proberen in te breken. Na de bekendmaking van de kraak steeg het aantal aanvallen ook meteen, aldus Lemmens.
VISA IN HET RESTAURANT
Skynet moét wel een klacht indienen, wil het niet helemaal gezichtsverlies lijden. Al geeft het dat natuurlijk niet toe. Hoe dan ook, de vraag blijft op welke basis de digitale inbreker moet worden vervolgd. ReDaTtacK wordt beschuldigd van het opzettelijk kennisnemen van gegevens over andere personen via telecommunicatie. De wet heeft het wel ergens over “diefstal van elektriciteit”, maar blijkt verder totaal niet aangepast aan het digitale tijdperk. Aangezien ReDaTtAcK zich niet persoonlijk heeft verrijkt en ook geen schade heeft berokkend aan Skynet-klanten, zal de uitspraak grotendeels op vrije interpretaties van de wetboeken zijn gebaseerd.
Eén ding staat wel vast: computersystemen die honderd procent kraakbestendig zijn, bestaan niet. Een ontnuchterende vaststelling aan de vooravond van de grote doorbraak van Internethandel. Wie zijn bankkaartnummer op Internet plaatst, loopt altijd het risico dat iemand met dat nummer aan de haal gaat. Dat zegt evenveel over de veiligheid van de bankkaart als over de veiligheid van Internet. De restaurantrekening betalen met een Visa-kaart, houdt nog altijd meer risico’s in dan een boek kopen via amazon.com. Nochtans hebben we het volste vertrouwen in de eerste betaalwijze en nachtmerries over de afloop van de tweede verrichting. Philippe Lemmens: “Onlangs nog zag een van onze werknemers 30.000 frank van zijn rekening verdwijnen, nadat hij zijn Visa-kaart had gebruikt in een restaurant. Bleek dat een van de obers het nummer van de kaart had overgeschreven.”
Eén troost: net omdat de veiligheidsvoorzieningen op Internet te wensen overlaten, betaalt Bank Card Company gestolen Visa-geld netjes terug. Wie met uw bankkaart on line een stapel cd’s of een nieuwe computer koopt, moet die dingen ook ergens laten leveren. Als het leveringsadres niet overeenkomt met uw thuisadres, heeft u recht op een schadevergoeding. Moeilijker wordt het wanneer fraudeurs op uw kosten pornosites bezoeken, maar ook daar toont Bank Card Company zich heel toegeeflijk. De vooruitzichten: via geavanceerde encryptiesystemen moet fraude binnenkort onmogelijk of in ieder geval bijzonder moeilijk worden. Alleen, die systemen worden al een hele tijd aangekondigd en ondertussen neemt de cybercriminaliteit almaar toe.
HACKERS EN CRACKERS
“De vraag is niet of ze kunnen toeslaan, de vraag is wanneer ze het zullen doen”, aldus de Amerikaanse hoogleraar Matthew Warren, gespecialiseerd in e-handel en computerbeveiliging. Cyberterreur is volgens Warren de prijs die we voor de technologische vooruitgang betalen. Naarmate het geldverkeer op Internet toeneemt, neemt in alle geval ook de interesse van misdadigers toe. Geld trekt dieven aan, dat is altijd zo geweest.
De hacker mag dan wel nobele motieven hebben, hij heeft ook een broertje met louter en alleen slechte bedoelingen. De zogenaamde cracker vernietigt alle software (en hardware) die hij binnendringt, via rechtstreekse inbraken of via de verspreiding van computervirussen via e-mail.
Een andere mogelijkheid is dat hij geheime strategische informatie probeert te ontfutselen aan de vijand. Recente voorbeelden: IRA-sympathisanten in Texas die geheime details onthullen over Britse legerbases in Noord-Ierland; Tamil Tijgers die Srilankaanse ambassades mete-mail bombarderen en zo het computernetwerk lamleggen. Servische activisten die tijdens de voorbije oorlog het computersysteem van de NAVO met 2000 virusrijke e-mails per dag bestookten; en boze Chinezen die na het ongelukkige NAVO-bombardement op de Chinese ambassade in Belgrado terugvochten via Internet.
Het Amerikaanse ministerie van Defensie krijgt jaarlijks zo’n 250.000 aanvallen te verwerken. Het Pentagon, de FBI, het Witte Huis: hun computers zijn allemaal wel eens gekraakt of lamgelegd. Op Internet worden zelfs lijsten gepubliceerd met geraakte sites en mogelijke toekomstige doelwitten.
Het hackertijdschrift 2600 meldt trots de recente inbraak in de sites van onder andere Jerry Springer, de Ku Klux Klan en Virgin Records. Wie lang genoeg zoekt, vindt hack & crack-handleidingen en zelfs tips voor het kweken van virussen. Of wat te denken van het aanbod op de Hackers Homepage? Toestellen waarmee je gokmachines in het casino kan manipuleren, handboeken over hoe je geldautomaten kan kraken, software waarmee je zelfgevormde Visa-nummers kunt valideren… Zo spectaculair en onvoorstelbaar, dat je je afvraagt of de cybergangsters hun talenten niet een beetje overdrijven. Toch één feit: de 57-jarige Dennis Nikrasch werd begin mei veroordeeld tot een celstraf van zeven en een half jaar voor geknoei met bingomachines in casino’s. Hij had een manier ontwikkeld om de microchips van de automaten te manipuleren, maar men heeft nog steeds niet ontdekt hoe hij er precies in geslaagd is om zes miljoen dollar te ontfutselen aan de uitstekend beveiligde gokapparaten.
DE VIJAND IS STERKER
In Amerika is cybercriminaliteit nu al dé nieuwe plaag. President Bill Clinton trekt daarom 2,3 miljard dollar per jaar uit voor de bestrijding ervan. Eén probleem: strenge maatregelen hebben hetzelfde effect als een rode lap voor een stier. Na een reeks huiszoekingen van de FBI bij verdachte hackers eerder dit jaar, werden Amerikaanse overheidscomputers en -websites dagenlang geteisterd door inbraakpogingen en virussen. Zowel het netwerk van het Witte Huis, het Amerikaanse ministerie van Justitie als dat van de Senaat werden gekraakt. De FBI moest zijn website tijdelijk sluiten. “Nu is het onze beurt om in actie te treden”, luidde het in een bijgevoegd bericht. “We zijn nog vriendelijk geweest, de volgende keer vernietigen we al jullie servers”, vervolgde hacker M1crochip. De boodschap was duidelijk: jullie kunnen ons niks maken. Ironisch genoeg adviseert de FBI op zijn website cyberslachtoffers aan om niet in de tegenaanval te gaan. Het heeft meer zin om te proberen de schade te beperken, want in een duel ga je voor de bijl. Ook die boodschap is duidelijk: de vijand is sterker dan wij.
Vandaar ook de enigszins voorzichtige reactie van Skynet op het voorval. Algemeen directeur Lemmens benadrukt dat hij hackers op geen enkele manier wil provoceren. De vrees is groot. De Belgische afdeling van Kipling heeft onlangs aan den lijve mogen ondervinden dat hackers lange tenen hebben. De rugzakkenfabrikant organiseerde in maart een wedstrijd op haar website waarbij deelnemers een paswoord moesten proberen te “kraken”. Hoofdprijs: een hacker-rugzak. Tot niet alleen het paswoord werd gekraakt, maar ook de hele website van Kipling. Op de homepage van de site verscheen een groot rood kruis met daarnaast de woorden: “Sorry, we’ve been hacked… Site under construction”. Eigen schuld, dikke bult.
Het is en blijft een kat-en-muisspel. De bestrijding van computercriminaliteit stelt voorlopig bitter weinig voor, maar de cyberpolitie zal wellicht altijd achter de feiten aanlopen. Geslepen criminelen kunnen zich na hun aanval immers onzichtbaar maken, onder andere door hun harde schijf meteen te wissen. Wie gepakt wordt, is een dommerik, geven de speurders zelf toe. De politie maakt enkel kans wanneer ze gaat rekruteren bij de hackers zelf. De beste agenten zijn ex-dieven. Hackers prediken evenwel de anarchie. Of ze kunnen als zelfstandige pakken meer verdienen dan als ambtenaar.
GEZELLIG SAMEN ZIJN
En de hackers worden ook almaar jonger. Achter Zyklon, de tophacker die dit jaar en vorig jaar de computers van de Amerikaanse CIA binnendrong, blijkt een jongen van negentien schuil te gaan. Dat weten we, omdat Zyklon – oftewel Eric Burns – onlangs bij de kraag werd gevat. Jongeren richten voor tienduizenden dollars schade aan, zonder zich bewust te zijn van de gevolgen, zegt de overheid. Wat ze wel vergeet te vermelden: vaak brengen de hackers geen directe schade toe aan het netwerk, maar dwingen ze het bedrijf of de organisatie tot bijkomende investeringen in het computersysteem. Een nuance die wel eens verloren gaat, maar die misdadige handelingen natuurlijk geenszins rechtvaardigt. Want de wetenschap dat absolute veiligheid een utopie is, betekent niet dat alle inbraken moeten worden getolereerd. Of ook: de deur van het huis vergeten te sluiten is nog wat anders dan inbrekers uitnodigen om de inboedel weg te halen.
Omdat het gaat om een nieuwe vorm van criminaliteit, opereren politie en gerecht in een juridisch vacuüm. Het is ook pas sinds kort dat ze de ernst van de misdrijven inzien. Waar mogelijk treden ze wel meteen hard op. Kevin Mitnick (36), de man die in ’93 inbrak in de systemen van onder andere Sun Microsystems, Nokia en Motorola, zit al vier en een half jaar in de cel en zal pas volgend jaar vrijkomen. Goed nieuws voor Mitnick: hij moet slechts vierduizend dollar schadevergoeding betalen aan zijn slachtoffers, heel wat minder dan de ruim tachtig miljoen dollar die de getroffen bedrijven hadden geëist. Een toegeving van de rechter, omdat Mitnick toch nooit zoveel geld zou kunnen ophoesten. Bovendien zouden Sun en anderen hun schadefactuur schromelijk overdreven hebben. Pittig detail in de discussie: volgens de sympathisanten van Mitnick zou die strategie door de FBI zijn ingefluisterd. Om die bewering te staven, citeren de sympathisanten – zelf hackers – uit vertrouwelijke e-mails van FBI-figuren. Hoe ze die e-mails konden inkijken? Wel…
Het profiel van een hacker? Geen idee. Want het gaat om een bijzonder gesloten gemeenschap, waar absoluut geen buitenstaanders worden geduld. Hackerorganisaties geven landen als Portugal (in het geval van M1crochip) en Bulgarije (in het geval van de Varna-groep, die onlangs inbrak in de computers van de Amerikaanse Senaat) op als thuisbasis, maar meer dan waarschijnlijk gaat het om mondiale netwerken die mede door hun geografische spreiding haast onmogelijk te ontmantelen zijn. In dat verband is het trouwens merkwaardig dat de Belg ReDaTtAcK oproept om samen met gelijkgezinden een genootschap te vormen. Merkwaardig, omdat hackers sowieso nauw contact houden met elkaar. Waarom deze man dan niet? Af en toe komen ze trouwens samen op events, zoals onlangs nog in Berlijn en Las Vegas. Een gelegenheid om virtuele vrienden eens in levenden lijve te ontmoeten. Een gezellig samenzijn. Het ontwikkelen van kraakmethodes en het uitwisselen van strategieën gebeurt elders in een meer discrete omgeving, omdat de grote events ook bezocht worden door spionnen van de politie. Tijdens de voorbije editie van Def Con in Las Vegas hield men zelfs een wedstrijdje “zoek de spionnen”. Favoriete T-shirtopschrift:”I miss crime”.
Bart Vandormael
