FBI en overheid hulpeloos bij cypermisdaad
Dader onbekend
Sommige Amerikanen tillen niet
al te zwaar aan de cybermisdaad waarbij computerhackers vorige week de
websites van enkele promimente bedrijven lamlegden. Anderen, waaronder
president Clinton, willen snel meer actie ondernemen. Maar de overheid
mist de greep op de materie en is geheel afhankelijk van het
bedrijfsleven. En de FBI, die nu pas een eerste spoor van de mogelijke
daders zegt te hebben, stuntelt en is onderbezet.
Door Lucas Ligtenberg
'Een internationale terroristische organisatie heeft zijn Amerikaanse
computerbestanden op maandag uitgewist. Het is woensdag, haal ze terug'.
Zo luidt de tekst op de Website www.fbijobs.com. Op de achtergrond
is de skyline van Manhattan te zien en onderaan de Webpagina staat: "Dit
is Informatietechnologie bij de FBI van vandaag." Met de aanvallen op
talloze prominente Websites in het achterhoofd krijgt de Website extra
betekenis. De FBI lijkt zijn werkterrein te hebben verplaatst van de
drugsbestrijding en mensensmokkel naar de desktop. De bedreiging van
Amerikaanse computers, computerbestanden en Internet en de bestrijding
van cybercriminelen heeft voorrang gekregen in de taken van de FBI, die
zich in dienst stelt van de Nieuwe Economie.
Het probleem is alleen dat de NIPC (National Infrastructure Protection
Center), een twee jaar geleden opgerichte divisie die kantoor houdt in
het hoofdkwartier in Washington, schrijnend onderbezet is. Er is een
begroting voor 133 werknemers maar er werken slechts honderd mensen, van
wie er 40 in bruikleen zijn van andere FBI-divisies. Er zijn ook nog 250
vacatures voor zogeheten agenten in het veld.
Wie op de bovengenoemde Website doorklikt naar vacatures komt terecht
bij een lijstje van vier vacatures waarvan er drie vragen naar ervaren
computerspecialisten, die elk tachtig tot honderdvijfentwintig duizend
dollar kunnen verdienen. Dat mag een redelijk salaris lijken maar een
van de grootste problemen voor de FBI is goede mensen aantrekken en
vasthouden. De FBI kan nu eenmaal niet de bonus- en optiepakketten van
het particuliere bedrijfsleven bieden. Behalve de onderbezetting kampt
de FBI ook met praktische problemen bij de bestrijding van misdadige
hackers. De organisatie mag geen surveillance in gang zetten als er geen
sterke verdenking van een misdaad is of plannen daarvoor. Ook de FBI-
regels ten aanzien van het inlichten van de buitenwacht over lopende
onderzoeken zijn zeer streng. Het zou dikwijls handig zijn als de FBI
kon overleggen met specialisten in computerbedrijven over wat zij hebben
gemerkt aan ongebruikelijke activiteiten op het net maar in de praktijk
gebeurt dat relatief weinig.
De hackeraanvallen van vorige week waren zogeheten 'denial of service'-
aanvallen, ook wel DOS-aanvallen genoemd. Deze hebben constant plaats
bij honderden bedrijven en ze zijn relatief simpel uit te voeren. Stuur
grote hoeveelheden data naar een Website en verstop de pijplijn. Het
bedrijfje 'Antionline', dat hackeractiviteiten volgt, wordt zo vaak
aangevallen dat ze op hun Website een pagina hebben waar DOS-aanvallen
bij wijze van spreken 'live' te volgen zijn. In een week tijd kunnen het
er honderden zijn.
Omdat het vorige week om grote bekende Websites ging (Yahoo, eBay,
Amazon.com en Cnn.com) kregen de aanvallen veel publiciteit. Insiders
roepen echter dat er weinig nieuws onder de zon is. "Wij worden zelf ook
constant op deze manier aangevallen", aldus Simon Perry, hoofd
computerbeveiliging bij Computer Associates (CA), de grootste
leverancier van beveiligingssoftware ter wereld. In het hoofdkantoor van
het bedrijf in Islandia, New York, is een soort meld- en regelkamer met
een enorm beeldscherm waarop het gehele netwerk van het bedrijf in kaart
is gebracht. Als er ergens een aanval plaatsheeft worden groene lampjes
geel en als er een echte noodsituatie is, worden ze rood. "De afweer
heeft automatisch plaats", aldus Perry, "maar als er menselijk ingrijpen
nodig is kan dat meteen."
"Geen van de Websites die zijn aangevallen was beveiligd door onze
eTrustprogramma's", antwoordt Perry desgevraagd. "Er zijn wel klanten
van ons aangevallen maar die hebben geen verstoringen gehad."
Veel kenners zeggen dat de recente aanvallen verschilden van eerdere
aanvallen omdat het zulke omvangrijke, goed voorbereide aanvallen waren
en omdat de getroffen Websites bekend zijn bij iedereen. Jon Callas,
softwarearchitect bij computerbeveiligingsbedrijf Counterpane Internet
Security in San José, Californië, vindt dat de aanvallen van
vorige week wel meevielen. "Yahoo was twee uur uit de lucht", zegt hij.
"Bedrijven zitten ook wel eens met een telefoonstoring van een paar uur.
Er zijn wel erger rampen te bedenken." Callas vergelijkt het met de
bulldozer die ergens een telefoonpaal ramt en de draden doorsnijdt. Dat
kan oneindig veel meer schade veroorzaken. Beide kenners zeggen
overigens dat de meeste bedrijven zeer slecht beveiligd zijn. Ze denken
pas aan beveiliging van hun systemen als er een keer moeilijkheden zijn.
Sommige bedrijfjes zijn zeer hard gegroeid en beveiliging is vaak een
sluitpost, zodat ze een makkelijke prooi zijn voor kwaadwillenden. Wie
echt grote schade heeft geleden heeft dat aan zichzelf te wijten omdat
de beschermingsprogramma's vrij verkrijgbaar zijn. "Vergelijk met een
winkel, die net open is", zegt Callas. "Alarmsystemen en adequate sloten
zijn niet het allerbelangrijkst voor de eigenaar maar het maakt hem wel
kwetsbaar voor een inbraak en voor vandalen. Met die Websites is het net
zo."
De DOS-aanvallen zijn niet nieuw maar er zijn sinds enkele maanden een
paar hardnekkige DOS-programma's in omloop. Dave Dittrich,
systeembeheerder aan de Universiteit van Washington in Seattle ontdekte
voor het eerst in augustus dat er vreemde dingen gebeurden. Hij ging op
onderzoek uit, min of meer uit nieuwsgierigheid, en ontdekte in de
maanden daarna drie aanvalsprogramma's her en der op Internet. De eerste
was 'trinoo' en later volgden 'Tribe Flood Network' en 'Stacheldraht'.
Hij schreef analyses van deze programma's en presenteerde die op een
bijeenkomst in november bij de CERT (Computer Emergency Response Team),
een semi-overheidsinstelling gevestigd in de Carnegie Mellon
Universiteit in Pittsburgh. Voor de CERT was het een reden om
waarschuwingen uit te doen gaan. Ook op de Website van de FBI is een
waarschuwing te zien voor DOS-aanvallen die dateert van december. "Wij
zijn al maanden bezig met waarschuwen", zegt ook Perry van Computer
Associates.
Toen de aanvallen van vorige week plaatshadden belegde minister van
Justitie Janet Reno een persconferentie met het hoofd van de National
Infrastructure Protection Center (NIPC) en vertegenwoordigers van CERT.
Het was een poging het publiek in te lichten maar het was ook een
noodkreet. Zonder blikken of blozen erkenden vertegenwoordigers van de
FBI, waarvan de NIPC het cyberrechercheteam is, dat men geen enkel spoor
had. Dat hoor je zelden. Zelfs als politiediensten geen idee hebben waar
ze het zoeken moeten hoor je meestal cliché's als: we hebben een
paar aanwijzingen in welke richting we het moeten zoeken en we zijn die
aan het natrekken. Inmiddels lijkt er een eerste spoor te zijn, maar
vorige week niets van dat alles. We hebben niks en we weten niks, zei de
FBI. Het was een knieval, een uitnodiging aan de industrie en de
academische gemeenschap om zich in te zetten voor het algemeen belang.
"De FBI heeft de laatste paar jaar behoorlijk lopen stuntelen", zegt
Paulina Borsook, auteur van het in mei te verschijnen boek
Cyberselfish.
"Het wisselen van directeuren, de hernieuwde discussie over wat er
in Waco, Texas is gebeurd, slordigheid in het veldonderzoek. Het is niet
gek dat ze zich nederig opstellen." Borsooks boek gaat over de
verhouding tussen overheid en industrie, met name de IT-sector. De
wrijvingen die zich door de jaren heen hebben voorgedaan in kwesties als
encryptie, privacy en vrijheid van meningsuiting zorgen er nu voor dat
mensen in de Internetgemeenschap in Californië een groot wantrouwen
hebben tegen inmenging van de overheid.
Borsook: "Veel mensen reageren erg emotioneel en zeggen: 'Dit is een
excuus dat de overheid zal gebruiken om onze telefoons af te luisteren
en in te breken in onze computers.' Ze vergelijken dit met de heilige
oorlog tegen drugs, zoals die al decennia in dit land wordt gevoerd. De
politie heeft daarbij elementaire burgerrechten vaak met voeten
getreden."
Het wantrouwen tegen de overheid strekt zich uit van techno-
discussiegroepen bij Internetprovider de Well tot computerproducent
Cisco, waar een topmanager van de beveiligingsdivisie, Roger Farnsworth,
vorige week ontkennend antwoordde op de vraag of de overheid iets moest
doen. "Dit is een probleem voor de industrie", alus Farnsworth. Juist
Cisco is een bedrijf dat zich specialiseert in het dirigeren van
verkeersstromen op Internet.
Overheidsinmenging wordt in de VS door velen als iets negatiefs gezien.
De conferentie voor computerveiligheid die president Clinton dinsdag in
het Witte Huis belegde wordt gezien als een goedwillend gebaar, waar
echter niet veel uit zal komen. Aanwezig waren onder meer bedrijven als
AOL, Computer Associates, IBM, Microsoft en Yahoo. Hoewel Clinton erop
aandrong dat bedrijven hun topmensen zouden sturen, bleken er veel
managers van het tweede garnituur aanwezig te zijn. Dat was voor het
geval Clinton toezeggingen zou willen. Gedane beloftes van de aanwezigen
konden dan immers altijd ongedaan worden gemaakt.
De besluiten van de overheid om een centrum voor de bestrijding van
cybermisdaad en een 'denktank' voor Internet op te richten zien velen
als halfbakken. Het Witte Huis stelt echter dat het bevorderen van
veiligheid van de systemen het belangrijkst is. Daarom is er ook 9
miljoen dollar uitgetrokken voor training van veiligheidsspecialisten.
Perry weet er alles van. CA werkt nauw samen met de NIPC en topman
Charles Wang was dinsdag in het Witte Huis om mee te praten. "De
overheid heeft veel te doen, ter voorbeeldwerking maar ook op het gebied
van voorlichting", zei Wang na afloop, "maar de particuliere sector moet
de veiligheid van Internet waarborgen."
Perry heeft geen problemen met de samenwerking tussen bedrijfsleven en
overheid en ziet overheidsbemoeienis helemaal niet als iets dat slecht
is. "Wij vergelijken het met het bezitten van een huis", aldus Perry.
"De huiseigenaar is verantwoordelijk voor de sloten op zijn deuren en
ramen maar we verwachten dat na een inbraak de politie achter de daders
aangaat. Zo is dat in de wet geregeld."
Hoewel ook Callas van Counterpane denkt dat er geen nieuwe wetten hoeven
worden aangenomen vindt hij het positief dat er opeens zoveel aandacht
is voor misdaad via Internet. Het lijkt hem ook tijd worden dat de FBI
en andere politiekorpsen op verschillende niveaus dit onderwerp als iets
reëels zien. "Ik werk al tien jaar in deze sector", zegt hij, "maar
als ik met politiemensen sprak over inbraak in computers werd dat nooit
helemaal serieus genomen. Nu kennelijk wel." Hijzelf en ook zijn naaste
collega's zijn wel regelmatig ingeroepen om te helpen bij het opsporen
van cybervandalen die aanvallen deden op systemen van bedrijven waar
Counterpane de beveiligingssoftware voor had geleverd.
Afgezien van de serieuze bezorgdheid over veiligheid op Internet, lijkt
het er ook op of de betrokken partijen aan het touwtrekken zijn om te
zien of ze beter kunnen worden van de DOS-aanvallen. De Amerikaanse
overheid wil graag de leiding nemen om toch een greep te krijgen op een
communicatienetwerk dat geheel particulier is en een wereldwijd bereik
heeft. Het is een belangrijk netwerk want een steeds groter deel van de
economische bedrijvigheid heeft er plaats. Daarom roept afgevaardigde
Orrin Hatch om hoorzittingen in het Congres en volgens minister van
Handel William Daley zijn de aanvallen een alarm dat is afgegaan. De
achilleshiel van de Nieuwe Economie is gevonden!
De industrie houdt die overheid er liever buiten maar wil wel graag dat
diezelfde overheid de kosten van opsporing en misdaadbestrijding op zich
neemt. Omdat de FBI onderbemand is moet die overheid dus diensten
gebruiken van bedrijven, die daar maar al te graag aan meedoet.
Hierboven of hierbuiten - al naargelang wie je erover hoort - staat een
sceptische Internetgemeenschap, meestal gebruikers van het eerste uur,
die zich gereserveerd opstelt. "De echte computerfreaks waarschuwen al
jaren dat de veiligheid van computers en Internetproviders vaak gering
is", aldus de Cyberselfish-auteur Borsook. "Maar nu een paar
bekende Websites wat aanvallen te verduren hebben is iedereen in rep en
roer. Voor mij is het een teken hoezeer het Internet al beheerst wordt
door het bedrijfsleven."