Dader onbekend

Sommige Amerikanen tillen niet al te zwaar aan de cybermisdaad waarbij computerhackers vorige week de websites van enkele promimente bedrijven lamlegden. Anderen, waaronder president Clinton, willen snel meer actie ondernemen. Maar de overheid mist de greep op de materie en is geheel afhankelijk van het bedrijfsleven. En de FBI, die nu pas een eerste spoor van de mogelijke daders zegt te hebben, stuntelt en is onderbezet.

Door Lucas Ligtenberg

'Een internationale terroristische organisatie heeft zijn Amerikaanse computerbestanden op maandag uitgewist. Het is woensdag, haal ze terug'.

Zo luidt de tekst op de Website www.fbijobs.com. Op de achtergrond is de skyline van Manhattan te zien en onderaan de Webpagina staat: "Dit is Informatietechnologie bij de FBI van vandaag." Met de aanvallen op talloze prominente Websites in het achterhoofd krijgt de Website extra betekenis. De FBI lijkt zijn werkterrein te hebben verplaatst van de drugsbestrijding en mensensmokkel naar de desktop. De bedreiging van Amerikaanse computers, computerbestanden en Internet en de bestrijding van cybercriminelen heeft voorrang gekregen in de taken van de FBI, die zich in dienst stelt van de Nieuwe Economie.

Het probleem is alleen dat de NIPC (National Infrastructure Protection Center), een twee jaar geleden opgerichte divisie die kantoor houdt in het hoofdkwartier in Washington, schrijnend onderbezet is. Er is een begroting voor 133 werknemers maar er werken slechts honderd mensen, van wie er 40 in bruikleen zijn van andere FBI-divisies. Er zijn ook nog 250 vacatures voor zogeheten agenten in het veld.

Wie op de bovengenoemde Website doorklikt naar vacatures komt terecht bij een lijstje van vier vacatures waarvan er drie vragen naar ervaren computerspecialisten, die elk tachtig tot honderdvijfentwintig duizend dollar kunnen verdienen. Dat mag een redelijk salaris lijken maar een van de grootste problemen voor de FBI is goede mensen aantrekken en vasthouden. De FBI kan nu eenmaal niet de bonus- en optiepakketten van het particuliere bedrijfsleven bieden. Behalve de onderbezetting kampt de FBI ook met praktische problemen bij de bestrijding van misdadige hackers. De organisatie mag geen surveillance in gang zetten als er geen sterke verdenking van een misdaad is of plannen daarvoor. Ook de FBI- regels ten aanzien van het inlichten van de buitenwacht over lopende onderzoeken zijn zeer streng. Het zou dikwijls handig zijn als de FBI kon overleggen met specialisten in computerbedrijven over wat zij hebben gemerkt aan ongebruikelijke activiteiten op het net maar in de praktijk gebeurt dat relatief weinig.

De hackeraanvallen van vorige week waren zogeheten 'denial of service'- aanvallen, ook wel DOS-aanvallen genoemd. Deze hebben constant plaats bij honderden bedrijven en ze zijn relatief simpel uit te voeren. Stuur grote hoeveelheden data naar een Website en verstop de pijplijn. Het bedrijfje 'Antionline', dat hackeractiviteiten volgt, wordt zo vaak aangevallen dat ze op hun Website een pagina hebben waar DOS-aanvallen bij wijze van spreken 'live' te volgen zijn. In een week tijd kunnen het er honderden zijn.

Omdat het vorige week om grote bekende Websites ging (Yahoo, eBay, Amazon.com en Cnn.com) kregen de aanvallen veel publiciteit. Insiders roepen echter dat er weinig nieuws onder de zon is. "Wij worden zelf ook constant op deze manier aangevallen", aldus Simon Perry, hoofd computerbeveiliging bij Computer Associates (CA), de grootste leverancier van beveiligingssoftware ter wereld. In het hoofdkantoor van het bedrijf in Islandia, New York, is een soort meld- en regelkamer met een enorm beeldscherm waarop het gehele netwerk van het bedrijf in kaart is gebracht. Als er ergens een aanval plaatsheeft worden groene lampjes geel en als er een echte noodsituatie is, worden ze rood. "De afweer heeft automatisch plaats", aldus Perry, "maar als er menselijk ingrijpen nodig is kan dat meteen."

"Geen van de Websites die zijn aangevallen was beveiligd door onze eTrustprogramma's", antwoordt Perry desgevraagd. "Er zijn wel klanten van ons aangevallen maar die hebben geen verstoringen gehad."

Veel kenners zeggen dat de recente aanvallen verschilden van eerdere aanvallen omdat het zulke omvangrijke, goed voorbereide aanvallen waren en omdat de getroffen Websites bekend zijn bij iedereen. Jon Callas, softwarearchitect bij computerbeveiligingsbedrijf Counterpane Internet Security in San José, Californië, vindt dat de aanvallen van vorige week wel meevielen. "Yahoo was twee uur uit de lucht", zegt hij. "Bedrijven zitten ook wel eens met een telefoonstoring van een paar uur. Er zijn wel erger rampen te bedenken." Callas vergelijkt het met de bulldozer die ergens een telefoonpaal ramt en de draden doorsnijdt. Dat kan oneindig veel meer schade veroorzaken. Beide kenners zeggen overigens dat de meeste bedrijven zeer slecht beveiligd zijn. Ze denken pas aan beveiliging van hun systemen als er een keer moeilijkheden zijn. Sommige bedrijfjes zijn zeer hard gegroeid en beveiliging is vaak een sluitpost, zodat ze een makkelijke prooi zijn voor kwaadwillenden. Wie echt grote schade heeft geleden heeft dat aan zichzelf te wijten omdat de beschermingsprogramma's vrij verkrijgbaar zijn. "Vergelijk met een winkel, die net open is", zegt Callas. "Alarmsystemen en adequate sloten zijn niet het allerbelangrijkst voor de eigenaar maar het maakt hem wel kwetsbaar voor een inbraak en voor vandalen. Met die Websites is het net zo."

De DOS-aanvallen zijn niet nieuw maar er zijn sinds enkele maanden een paar hardnekkige DOS-programma's in omloop. Dave Dittrich, systeembeheerder aan de Universiteit van Washington in Seattle ontdekte voor het eerst in augustus dat er vreemde dingen gebeurden. Hij ging op onderzoek uit, min of meer uit nieuwsgierigheid, en ontdekte in de maanden daarna drie aanvalsprogramma's her en der op Internet. De eerste was 'trinoo' en later volgden 'Tribe Flood Network' en 'Stacheldraht'. Hij schreef analyses van deze programma's en presenteerde die op een bijeenkomst in november bij de CERT (Computer Emergency Response Team), een semi-overheidsinstelling gevestigd in de Carnegie Mellon Universiteit in Pittsburgh. Voor de CERT was het een reden om waarschuwingen uit te doen gaan. Ook op de Website van de FBI is een waarschuwing te zien voor DOS-aanvallen die dateert van december. "Wij zijn al maanden bezig met waarschuwen", zegt ook Perry van Computer Associates.

Toen de aanvallen van vorige week plaatshadden belegde minister van Justitie Janet Reno een persconferentie met het hoofd van de National Infrastructure Protection Center (NIPC) en vertegenwoordigers van CERT. Het was een poging het publiek in te lichten maar het was ook een noodkreet. Zonder blikken of blozen erkenden vertegenwoordigers van de FBI, waarvan de NIPC het cyberrechercheteam is, dat men geen enkel spoor had. Dat hoor je zelden. Zelfs als politiediensten geen idee hebben waar ze het zoeken moeten hoor je meestal cliché's als: we hebben een paar aanwijzingen in welke richting we het moeten zoeken en we zijn die aan het natrekken. Inmiddels lijkt er een eerste spoor te zijn, maar vorige week niets van dat alles. We hebben niks en we weten niks, zei de FBI. Het was een knieval, een uitnodiging aan de industrie en de academische gemeenschap om zich in te zetten voor het algemeen belang.

"De FBI heeft de laatste paar jaar behoorlijk lopen stuntelen", zegt Paulina Borsook, auteur van het in mei te verschijnen boek Cyberselfish.

"Het wisselen van directeuren, de hernieuwde discussie over wat er in Waco, Texas is gebeurd, slordigheid in het veldonderzoek. Het is niet gek dat ze zich nederig opstellen." Borsooks boek gaat over de verhouding tussen overheid en industrie, met name de IT-sector. De wrijvingen die zich door de jaren heen hebben voorgedaan in kwesties als encryptie, privacy en vrijheid van meningsuiting zorgen er nu voor dat mensen in de Internetgemeenschap in Californië een groot wantrouwen hebben tegen inmenging van de overheid.

Borsook: "Veel mensen reageren erg emotioneel en zeggen: 'Dit is een excuus dat de overheid zal gebruiken om onze telefoons af te luisteren en in te breken in onze computers.' Ze vergelijken dit met de heilige oorlog tegen drugs, zoals die al decennia in dit land wordt gevoerd. De politie heeft daarbij elementaire burgerrechten vaak met voeten getreden."

Het wantrouwen tegen de overheid strekt zich uit van techno- discussiegroepen bij Internetprovider de Well tot computerproducent Cisco, waar een topmanager van de beveiligingsdivisie, Roger Farnsworth, vorige week ontkennend antwoordde op de vraag of de overheid iets moest doen. "Dit is een probleem voor de industrie", alus Farnsworth. Juist Cisco is een bedrijf dat zich specialiseert in het dirigeren van verkeersstromen op Internet.

Overheidsinmenging wordt in de VS door velen als iets negatiefs gezien. De conferentie voor computerveiligheid die president Clinton dinsdag in het Witte Huis belegde wordt gezien als een goedwillend gebaar, waar echter niet veel uit zal komen. Aanwezig waren onder meer bedrijven als AOL, Computer Associates, IBM, Microsoft en Yahoo. Hoewel Clinton erop aandrong dat bedrijven hun topmensen zouden sturen, bleken er veel managers van het tweede garnituur aanwezig te zijn. Dat was voor het geval Clinton toezeggingen zou willen. Gedane beloftes van de aanwezigen konden dan immers altijd ongedaan worden gemaakt.

De besluiten van de overheid om een centrum voor de bestrijding van cybermisdaad en een 'denktank' voor Internet op te richten zien velen als halfbakken. Het Witte Huis stelt echter dat het bevorderen van veiligheid van de systemen het belangrijkst is. Daarom is er ook 9 miljoen dollar uitgetrokken voor training van veiligheidsspecialisten. Perry weet er alles van. CA werkt nauw samen met de NIPC en topman Charles Wang was dinsdag in het Witte Huis om mee te praten. "De overheid heeft veel te doen, ter voorbeeldwerking maar ook op het gebied van voorlichting", zei Wang na afloop, "maar de particuliere sector moet de veiligheid van Internet waarborgen."

Perry heeft geen problemen met de samenwerking tussen bedrijfsleven en overheid en ziet overheidsbemoeienis helemaal niet als iets dat slecht is. "Wij vergelijken het met het bezitten van een huis", aldus Perry. "De huiseigenaar is verantwoordelijk voor de sloten op zijn deuren en ramen maar we verwachten dat na een inbraak de politie achter de daders aangaat. Zo is dat in de wet geregeld."

Hoewel ook Callas van Counterpane denkt dat er geen nieuwe wetten hoeven worden aangenomen vindt hij het positief dat er opeens zoveel aandacht is voor misdaad via Internet. Het lijkt hem ook tijd worden dat de FBI en andere politiekorpsen op verschillende niveaus dit onderwerp als iets reëels zien. "Ik werk al tien jaar in deze sector", zegt hij, "maar als ik met politiemensen sprak over inbraak in computers werd dat nooit helemaal serieus genomen. Nu kennelijk wel." Hijzelf en ook zijn naaste collega's zijn wel regelmatig ingeroepen om te helpen bij het opsporen van cybervandalen die aanvallen deden op systemen van bedrijven waar Counterpane de beveiligingssoftware voor had geleverd.

Afgezien van de serieuze bezorgdheid over veiligheid op Internet, lijkt het er ook op of de betrokken partijen aan het touwtrekken zijn om te zien of ze beter kunnen worden van de DOS-aanvallen. De Amerikaanse overheid wil graag de leiding nemen om toch een greep te krijgen op een communicatienetwerk dat geheel particulier is en een wereldwijd bereik heeft. Het is een belangrijk netwerk want een steeds groter deel van de economische bedrijvigheid heeft er plaats. Daarom roept afgevaardigde Orrin Hatch om hoorzittingen in het Congres en volgens minister van Handel William Daley zijn de aanvallen een alarm dat is afgegaan. De achilleshiel van de Nieuwe Economie is gevonden!

De industrie houdt die overheid er liever buiten maar wil wel graag dat diezelfde overheid de kosten van opsporing en misdaadbestrijding op zich neemt. Omdat de FBI onderbemand is moet die overheid dus diensten gebruiken van bedrijven, die daar maar al te graag aan meedoet. Hierboven of hierbuiten - al naargelang wie je erover hoort - staat een sceptische Internetgemeenschap, meestal gebruikers van het eerste uur, die zich gereserveerd opstelt. "De echte computerfreaks waarschuwen al jaren dat de veiligheid van computers en Internetproviders vaak gering is", aldus de Cyberselfish-auteur Borsook. "Maar nu een paar bekende Websites wat aanvallen te verduren hebben is iedereen in rep en roer. Voor mij is het een teken hoezeer het Internet al beheerst wordt door het bedrijfsleven."