Hackers. Met de groei van het Internet kwamen ze opzetten, als vliegen op de stroop. En het worden er steeds meer. Mogelijkheden genoeg in een wereld die van netwerken aan elkaar hangt, maar het bedrijfsleven slaat terug. Met gelijke middelen; de ‘ethical hacker’ tegenover de ‘black hat-hacker’, die slechts uit is op chaos of eigen gewin. Sten Kalenda van Pink Elephant Megaplex, een ethische hacker: "Veel belangrijke hackers komen uit Nederland."
Als je weet hoe een hacker denkt, weet je ook hoe je moet voorkomen dat ze inbreken." Aan het woord is Sten Kalenda, een goedmoedig overkomende, welgedane Tsjech. Katoenen broek, overhemd. Kalend. Je zou je hem, laten we zeggen, evengoed kunnen voorstellen achter het stuur van een sjofele Oost-Europese vrachtwagen.
Maar schijn bedriegt. Sten Kalenda, op veertienjarige leeftijd met zijn ouders naar Nederland gevlucht, is een van de twee security-officers van Pink Megaplex. Elk jaar wordt hij gescreend door de Binnenlandse Veiligheidsdienst (BVD). Zijn afdeling is verantwoordelijk voor het veiligheidsbeleid van het voormalige Rijks Computercentrum. Megaplex verwerkt en drukt onder andere de salarisgegevens van alle politieagenten, ambtenaren en onderwijzers. Geen geringe verantwoordelijkheid. Het gaat om miljoenen guldens, elke maand weer.
Hackers zijn voor Kalenda geen onbekenden. "Per week worden er zo’n zeshonderd aanvallen op ons systeem uitgevoerd", laat hij zich halverwege het gesprek ontvallen. Het getal maakt hem niet zenuwachtig. "Dat zijn eenvoudige aanvallen hoor. Elk bedrijf heeft dat. Serieuze aanvallen komen veel minder voor, want hackers weten dat wij streng optreden. We zijn onverbiddelijk."
"Megaplex heeft intrusion detection-systemen die dag en nacht bewaakt worden. Hoe dat systeem werkt? Op dezelfde manier als wanneer jij aan de andere kant van de straat een paar mensen aan alle deuren ziet trekken. Dat is verdacht. Dus als wij zien dat iemand via inbelverbindingen op de computers van onze klanten aan het beuken is, is dat ook verdacht. Er gaat dan bij ons een alarm af. We zoeken vervolgens de locatie van de computer van de hacker op."
Blijkt het te gaan om een computer voor algemeen gebruik, bijvoorbeeld in een bibliotheek, dan betekent dat nog niet dat de hacker niets te vrezen heeft. Kalenda: "Het hangt af van het contract dat de klant met ons heeft. Als het nodig is staat er binnen enkele minuten een autootje voor de deur van die bibliotheek. Getronics doet veel service voor ons. Die kunnen we dan bellen, en die jongens vinden dat ook wel leuk om te doen. En dan weten we toch, wie het was."
Honingpot
De laatste serieuze aanval dateert van een jaar geleden, toen de Navo sancties uitvoerde tegen Servië. Kalenda: "Ik werd om half zes ’s ochtends uit mijn bed gebeld. Joegoslavische hackersgroepen waren bezig Amerikaanse sites uit de lucht te halen. E-trade.com was er een van. Wij verzorgen hier de techniek voor een site die E-trade.nl heet. De hackers probeerden eerst in te breken bij E-trade.com, maar dat lukte ze niet. Toen begonnen ze aan onze stoel te zagen. Vroeg in de ochtend kwamen er enkele ‘pakketjes’ aan waarvan wij overtuigd waren dat er hackers achter zaten."
Er volgde spoedoverleg. Een eenvoudige truc werd toegepast: Kalenda installeerde een extra computer en leidde daar al het Joegoslavische verkeer naar toe. "Dat noemen we een ‘honey-pot’, een fopcomputer dus. De hackers hebben daar nog twee dagen op gebeukt, toen gaven ze het op."
Megaplex heeft geprobeerd de hackers te traceren, maar strandde in Slovenië. De autoriteiten daar waren om politieke redenen niet bereid verder medewerking te verlenen aan de opsporingsactie.
Hackers zijn overal, is de stellige overtuiging van Kalenda. Zijn privé website bevat onder andere een teller die bijhoudt hoe vaak hackers bij hem binnen proberen te komen. Het gebeurt meerdere keren per dag, blijkt. En dat is niet omdat men weet wat voor werk hij doet. Ook vrienden van hem bleken, nadat het tellertje geïnstalleerd was, regelmatig bezoek te krijgen van indringers.
Kalenda rekent het tot een van zijn levensdoelen om mensen daarvan bewust te maken. Het gevaar is dichtbij, wees erop voorbereid, is zijn boodschap. "Als je na het installeren van je computer niets doet aan beveiliging, dan heb je een systeem waar een hacker echt doorheen komt. Afhankelijk van het besturingssysteem en de mogelijkheden van de hacker duurt dat tien minuten tot een dag. Je moet dus na de installatie echt nog iets extra’s doen."
Ook voor grote klanten is dat bepaald nog geen automatisme, merkt Kalenda. Veel commerciële sites waar surfers gevraagd wordt om gegevens achter te laten, blijken niet beveiligd te zijn. Controleren of zo’n site wel beveiligd is kan wel. Maar het is voor de gewone gebruiker ingewikkeld. Kalenda: "Mijn vader van 72 haakt dan af."
Lastig
Kalenda, die al sinds 1979 in de automatisering zit: "Tegenwoordig is er meer besef dat beveiliging nodig is. De software begint ook wat vriendelijker te worden. We proberen zover te komen dat het maar één keer nodig is je aan een computer voor te stellen, met een smartcard die een wachtwoord bevat van 53 posities. Voor een klant is dat veel prettiger."
De toegenomen aandacht voor het onderwerp is ook welbegrepen eigenbelang, want een onveilig Internet zal zakelijk nooit een succes worden. Vooral Nederland is ver in beveiliging, is Kalenda’s indruk. "Amerika was altijd verder met Internet dan wij. Maar ik geloof dat wij inmiddels qua beveiliging verder zijn dan de Amerikanen. Veel belangrijke hackers komen uit Nederland. En bij IBM bijvoorbeeld is een Nederlander verantwoordelijk voor de beveiliging."
Kalenda is bij Megaplex lid van het RISC-team. De afkorting staat voor Roccade Internet Security Center. Het team geeft tijdens bijeenkomsten professionals en gewone gebruikers voorlichting over de (on)veiligheid van Internet. "Er wordt wel gelachen, maar vaak schrikken mensen toch wel", karakteriseert Kalenda de trainingen.
Gelachen wordt er als Kalenda wijst op onwaarschijnlijke inbraakmethoden als een hacker, die vermomd als verwarmingsmonteur, gebouwen binnen weet te dringen. Toch is ook dat een zwak punt van veel bedrijven, weet hij. Ook zijn voorbeelden van ‘babbeltrucs’ wekken de lachlust op, maar zijn ondertussen gebaseerd op de praktijk. ‘Social engineering’ noemt Kalenda dat. "Dan belt iemand met de mededeling dat hij bezig is ‘een nieuw profile aan te maken voor de computer’. Zo troggelt die persoon iemand een wachtwoord af." Particulieren en bedrijven moeten daar alert op gemaakt worden, vindt hij.
De toehoorders schrikken vaak als ze merken hoe kwetsbaar hun systemen zijn. Kalenda: "Ik geef veel voorbeelden. Ik gebruik bestaande programmatuur, die iedereen kent. Na de training komen mensen vaak naar me toe en zeggen dan: ik ga onmiddellijk met de mensen van mijn automatiseringsafdeling praten, er moet wat veranderen."
Zo ging dat ook bij het twintigtal burgemeesters dat Kalenda onlangs onder zijn gehoor had. Het gezelschap zal de bijeenkomst in Pink Roccades futuristische ontvangstcentrum ‘Connection1’ niet snel vergeten. Om de a-technische burgemeesters bij de les te krijgen, liet Kalenda ze aan het begin van zijn verhaal wachtwoorden ingeven voor een bepaald bestand. Na afloop van de lezing lepelde hij een aantal van de wachtwoorden op – via een eenvoudig trucje had hij ze achterhaald.
Kalenda: "Dat soort mensen cijferen zichzelf vaak weg in hun organisatie. Ik heb niet zoveel verstand van computers, zeggen ze al snel. Ik maak dan de vergelijking met een rij-examen. Toen mijn vrouw examen deed, hoefde ze alleen maar in de auto te stappen en netjes te rijden. Maar toen mijn schoonmoeder onlangs examen deed, moest ze de motorkap opendoen en aanwijzen waar de oliepeilstok zat. Eerst vond ik dat heel gek. Daar val je een oude dame van zeventig jaar toch niet mee lastig. Maar later dacht ik: in het huidige verkeer, waar niemand meer stopt om je te helpen, moet je ook wel een beetje kennis hebben van wat er onder de motorkap zit. Dat geldt ook voor computerprogramma’s. Je hoeft geen deskundige te zijn, maar je moet, in het belang van de veiligheid, wel iets meer inzicht hebben dan vroeger."
Ethische hacker
Het Risc-team doet meer dan alleen voorlichting geven. Megaplex onderneemt ook pogingen computernetwerken of websites van klanten te kraken. Mét toestemming, en daarom noemt Kalenda zichzelf een ‘ethische hacker’. "We tekenen een contract met de klant, waarin staat welke personen de actie gaan doen, op welke dagen en vanaf welk systeem aangevallen wordt, en waar de klant naartoe kan bellen als het dreigt mis te gaan. Werknemers van Megaplex die meedoen met zo’n actie worden regelmatig door de Binnenlandse Veiligheidsdienst gescreend. Het kan natuurlijk niet zo zijn dat je met onbetrouwbare personen een aanval gaat doen."
Alle handelingen van het team worden geregistreerd in een logboek, dat na de aanval aan de klant wordt aangeboden. Die kan dan bepalen op welke punten zijn systeem verbeterd moet worden.
Aandacht voor de beveiliging van computersystemen heeft bij Megaplex een lange traditie. Dat moest wel, vanwege de aard van de werkzaamheden. Het Megaplex-gebouw in Apeldoorn, dat doorgaat voor ‘het best beveiligde rekencentrum van Europa’, bevat enorme databanken met gevoelige informatie die goed beschermd moeten worden.
Om hackers buiten te houden, moet je ze kennen. Daarvoor kruipt Kalenda zelf zoveel mogelijk in de huid van de hackers. Hij probeert in zijn vrije tijd eigen computersystemen te kraken, vanaf zijn privé computer. En hij heeft zich aangesloten bij hackersgroepen op Internet, zodat hij altijd van het laatste nieuws op de hoogte is. Kalenda: "Ik weet hoe een hacker denkt, dus dan weet je ook wat je moet doen om te voorkomen dat ze inbreken."
De ABN-Amro-affaire, waarbij RTL’s Jeroen Pauw onlangs demonstreerde dat het telebanksysteem van de bank te kraken is, noemt Kalenda ‘een klassieke uitglijder’. "De bank heeft aan één kant hard gewerkt, en aan de kant van de klant iets simpelweg over het hoofd gezien. Werknemers mogen bij ons geen laptops van het werk mee naar huis nemen om er privé op het Internet programmatuur mee op te halen. Want dan is het mogelijk dat een hacker iets op die computer installeert. Ook bij ABN-Amro lag de fout niet bij de bank, maar bij de klant. Zo omzeilt de hacker de ‘firewall’ van een bedrijf en krijgt hij bepaalde gegevens toch naar buiten. Hackers zijn daar erg creatief in. Als er een gepantserde deur in een houten huis zit, beuken ze niet op de deur maar zagen ergens een gat in het huis."
Als een huissleutel
Hij verbaast zich over de nonchalance die veel mensen op dit gebied ten toon spreiden. "Hoeveel zoontjes van managers halen niet met de computer van vader leuke gratis spelletjes van Internet? De meest geheime documenten staan op zijn computer, en hij laat de kinderen er spelletjes mee ophalen. Terwijl een hacker zo’n spelletje speciaal kan ontwikkelen om binnen te komen in computers van anderen."
"Hoe makkelijk gaan mensen niet met wachtwoorden om? Zo vaak hoor je iemand tegen een collega zegen: hier is mijn wachtwoord, dan kun je aan de slag." Zo niet Kalenda. Zijn gewoonte om zeer voorzichtig met wachtwoorden om te gaan gaat terug op een basiservaring uit zijn jeugd. Kalenda: "Toen ik elf jaar was, kreeg ik een sleutel van mijn ouderlijk huis. Die moest ik aan een veter om mijn nek hangen, en mijn moeder zei tegen me: denk erom, die mag je aan niemand geven. Als iemand mij nu om de sleutel van mijn auto vraagt, voel ik nog die weerstand om hem af te geven. Ik heb hetzelfde met wachtwoorden."
Auke Schouwstra, freelance medewerker
Zwarte en witte hackers en crackers
De aanduiding ‘hacker‘ was ooit gereserveerd voor goede applicatie- en systeemprogrammeurs die snel een bepaalde functionaliteit in een bestaand programma wisten te ‘proppen’ (te ‘hacken’ dus).
Voor inbrekers in computersystemen was de term crackers gereserveerd. Al snel verdeelde die categorie zich in hackers en crackers. Hackers waren ook inbrekers, maar ideëel gemotiveerd, ze wilden eventuele gaten in de beveiliging van computersystemen aantonen. Er werd met respect over deze activiteit gesproken. De groep rond wijlen professor Herschberg van de TU Delft hoorde daar bijvoorbeeld bij. Crackers daarentegen waren uit op zelfverrijking of ordinaire vernieling door in te breken in netwerken.
De term cracker is in onbruik gemaakt. Nieuwe termen kwamen op: de white-hat hacker en de black-hat hacker. De witte hacker is de oude hacker van vroeger, met dit verschil dat zijn activiteiten door wetswijzigingen inmiddels strafbaar zijn. De black-hat hacker is de oude cracker. En inmiddels is er een derde variant: de ethical hacker (in het Nederlands ook wel platweg vertaald als ‘ethische hacker’), die uitsluitend na toestemming van zijn doelwit de aanval opent.
Witte en ethische hackers zoeken elkaar op en discussiëren in nieuwsgroepen op Internet over wat ze aan het doen zijn. Hebben ze ergens een code gekraakt, dan melden ze dat aan de leverancier van de software en wachten een afgesproken tijd. Weigert de leverancier om z’n klanten te informeren en ze van een aangepaste versie van de software te voorzien, dan plaatsen de hackers de gekraakte code op Internet. Het is een zeer effectieve methode om softwareleveranciers te dwingen de beveiliging van hun software te verbeteren.
