Dossier Computerbeveiliging

Nieuws

Lekken

Privacy

Hackers

Pentagon

Virussen

Tips

Boeken

Films

De grote cyberkraak

Computercriminaliteit in opmars

Nederlandse computers zijn lek. Het aantal inbraken via het Internet stijgt spectaculair. De schade staat niet vast, al kan dat ook liggen aan het ontbreken van goede cijfers of de neiging om een incident niet te melden. 'Honderd procent veilig is niet haal- baar, maar het risico is wel beheersbaar.'

Hans Steketee

Wie Hans Schoone inhuurt vraagt om narigheid. Op verzoek van bedrijven en overheden breekt hij in hun computers in, om te testen of die bestand zijn tegen kwaadwillenden - van binnen hun muren, of van buiten, bijvoorbeeld via het Internet. Wie Schoone inhuurt kríjgt ook meestal narigheid. Want dagelijks ontmoet hij systeemfouten en wrakke beveiligingsprocedures; nog nooit is hij ergens niet binnengedrongen.

,,Van een minuut of tien tot maximaal twee dagen - zo lang duurt het tot ik het eerste lek vind'', zegt Schoone, die in 1986 afstudeerde in de informatica en zichzelf nu een 'ethische hacker' noemt. Soms werkt hij vanuit zijn thuisbasis, Consul Risk Management in Delft, waarvan hij mede-directeur is, en soms krijgt hij een terminal toegewezen in het bedrijf waar hij een 'penetratietest' moet uitvoeren. ,,Het gebeurt wel dat degene die me mijn werkplek wijst de kamer nog niet uit is, of ik heb het systeem al gekraakt'', glimlacht hij.

Met een paar aanslagen op zijn toetsenbord roept hij het besturingsprogramma op waarvan de meeste Nederlandse banken en verzekeringsmaatschappijen gebruik maakt. Rijtjes cijfers en letters vullen zijn beeldscherm. ,,Zo, nu kijk ik in het geheugen en kan ik precies zien hoe ik mijn bevoegdheden kan vergroten'', zegt Schoone. ,,Met zo'n truc kan een baliemedewerker van een bank zichzelf in theorie even machtig maken als de systeembeheerder.''

Lastig? Niet echt. De meeste technieken zijn openbaar beschreven, zegt hij. En de meeste programmatuur is gewoon te koop of zelfs vrij verkrijgbaar op het Internet, zodat de vastberaden on-ethische hacker rustig thuis kan oefenen voor hij toeslaat. ,,Ik vind het alarmerend.''

Nu steeds meer bedrijven hun computers op het Internet aansluiten om beter te communiceren met klanten, telewerkend personeel of leveranciers, lopen zij ook steeds meer gevaar dat die verbindingen misbruikt worden. En naarmate de afhankelijkheid van het Internet stijgt - een trend die te zien is van reisbureaus tot uitgeverijen, en van postorderbedrijven tot de bankwereld - stijgen de risico's. Met een geschatte omzet van honderd miljard dollar via 'het Net' in het jaar 2000, stijgt ook de potentiële buit.

Computerbeveiliging - met name tegen aanvallen via het Internet - is daarom een grote markt aan het worden. Vorig jaar werd er volgens het Amerikaanse onderzoeksbureau Dataquest wereldwijd ruim zes miljard dollar aan uitgegeven, een bedrag dat binnen drie jaar waarschijnlijk zal verdubbelen. Bedrijfjes als dat van Schoone beleven gouden tijden, terwijl ook oudere en grotere jongens zich toeleggen op het beveiligen van de e-business, zoals IBM elektronisch zakendoen via Internet noemt.

Voor een basisbedrag dat kan oplopen tot veertigduizend dollar laat IBM de klant kiezen uit drie soorten aanvallen: door een 'eenzame hacker', door een 'klein team van competente krakers' of door een 'zeer ervaren groep van zeer gemotiveerde inbrekers'.

Die menulijst van IBM correspondeert met de angst voor gevaar uit drie richtingen. Dat is allereerst de stereotiepe kraker - een contactgestoorde informaticastudent die vanuit zijn zolderkamer de boze buitenwereld een hak zet. Ten tweede de angst dat een concurrent specialisten inhuurt om bedrijfsgeheimen te stelen. En ten derde de angst voor een infowar - een grootschalige aanval op de Westerse digitale infrastructuur door een buitenlandse mogendheid.

Die angst is niet zonder reden. Er gaat geen week voorbij of een spectaculair veiligheidsincident haalt het nieuws. Zo werden de computers van het Amerikaanse ministerie van Defensie de afgelopen twee maanden twee keer via het Internet gekraakt. Eerst door een Israelische whizkid en vorige week door een sinistere groep die zich MOD noemt, Masters of Downloading. Of neem de recente sabotagegolf via het Internet, waardoor willekeurige Windows 95-gebruikers opeens naar een blauw scherm keken. Of, nog dichter bij huis, de Postbank die vorige week 20.000 Gironet-postbussen voor elektronische betalingen via Internet wagenwijd liet openstaan door àlle gebruikers een tijdelijk wachtwoord te geven dat bestond uit de letters 'pb' gevolgd door hun rekeningnummer.

Kwaadaardige software

Dat het niet alleen gaat om geruchtmakende incidenten maar om een trend, is wel zeker. Het Computer Security Institute (CSI), dat jaarlijks computermisbruik bij Amerikaanse bedrijven en overheden onderzoekt, meldde in maart dat 64 procent van de geënquêteerden in 1997 één of meer 'veiligheidsincidenten' had meegemaakt - volgens het instituut een ,,dramatische'' stijging van zestien procentpunt ten opzichte van 1996.

Die incidenten varieerden van het lezen van e-mail tot het inbrengen van virussen (kwaadaardige software), maar in de helft van de gevallen had de aanval een gemeenschappelijke bron: het Internet. Ook dat cijfer lag een stuk hoger dan vorig jaar.

De CSI-cijfers zijn gebaseerd op 520 teruggestuurde enquêtes, een minderheid. Die terughoudendheid is veelzeggend. Veel bedrijven zijn bang voor negatieve publiciteit en rapporteren veiligheidsincidenten niet aan justitie of politie en proberen de zaak in eigen huis af te handelen. Het CSI gelooft daarom dat het werkelijke aantal incidenten en de geleden schade proportioneel vele malen hoger is. Hóe hoog zegt het CSI niet. De FBI, de Amerikaanse federale politie, waagde zich in 1996 wel aan een schatting voor de VS: 7,3 miljard dollar.

Voor Nederland ontbreken zulke schattingen. Er is geen centraal instituut dat systematisch onderzoek doet naar of landelijke statistieken bijhoudt op het gebied van computercriminaliteit. De in aanmerking komende instanties doen het in elk geval niet, leert een kleine rondgang. Zo houdt het Nationaal Platform Criminaliteitsbeheersing (NPC), waarin overheid en bedrijfsleven samenwerken en dat een werkgroep computercriminaliteit heeft, geen databank bij van incidenten. De Centrale Recherche Informatie (CRI), die de bestrijding van computercriminaliteit landelijk ondersteunt, doet evenmin eigen onderzoek, volgens een woordvoerdster omdat veel misdaden waaraan een computer te pas komt, niet alleen onder de Wet Computercriminaliteit vallen. Die reden geeft ook het Openbaar Ministerie op voor het ontbreken van sluitende gegevens over strafzaken op het gebied van computercriminaliteit. ,,Wij kijken eerst naar het strafbare feit en dan pas naar het middel'', zegt een woordvoerder. ,,Kinderporno, fraude, discriminatie - als er een computer in het spel is, worden die meestal toch niet geregistreerd als computercriminaliteit.''

Nederlandse kennis over computermisbruik is helaas ,,verspreid en anekdotisch'', zegt Pieter van Dijken, ex-chef van de CRI-fraudecentrale en nu manager informatiebeveiliging bij Shell Services International. Het verzamelen van zulke gegevens noemt hij ,,een publieke taak'', omdat het inzicht geeft in de manier waarop criminelen informatie-technologie (IT) exploiteren, op wat er misgaat en wat de bedrijfsschade is. Van Dijken pleit daarom voor de oprichting van een landelijk instituut op dit gebied, en ook voor ruimere overheidsrichtlijnen voor het gebruik van cryptografie - het beveiligen van informatie door die te 'versleutelen', over te zetten in geheimtaal.

Anton Pool heeft ook veel 'anekdotische kennis', maar na ruim vier jaar en zo'n achthonderd onderzoeken hoeft hij niet meer te gissen naar de stand van zaken op zijn vakgebied. ,,Het aantal computerincidenten stijgt en steeds vaker is het Internet de bron'', aldus Pool, hoofd van het Interregionaal Bureau Computercriminaliteit (IBC) in de provincies Noord-Brabant en Limburg. Dat is een van de vijf landelijke, in cybercrime gespecialiseerde politieteams, waarbij in totaal zo'n veertig mensen werken.

Zijn team doet vaak routineklusjes, zoals het ontsleutelen van de laptops van gearresteerde criminelen. En soms krijgt het bizarre gevallen. Zoals de ontmaskering van de man die regelmatig de hoofdcomputer van een Brabantse fabriek liet crashen om ongestoord een bezoek te kunnen brengen aan de vrouw van de systeembeheerder (die urenlang zoet zou zijn met het herstel van de schade).

,,Vaak is de computer alleen een middel'', zegt ook Pool. ,,Maar wij zien nu een behoorlijke verschuiving van misdaden waarbij een computer het doel is.'' Hij vermoedt dat een kwart van alle zaken inmiddels in die categorie valt. Zoals de recente inbraak via het Internet in een ziekenhuiscomputer, waarbij de dader een reeks dossiers veranderde, waardoor patiënten met hepatitis-B informatie voor aidspatiënten toegestuurd kregen, èn de schrik van hun leven. ,,IT is inmiddels overal doorgedrongen'', zegt Pool. ,,Wie kwaad wil heeft daardoor veel meer mogelijkheden dan vroeger.''

Die trend van een stijgend aantal, aan het Internet gerelateerde veiligheidsincidenten klopt, bevestigt Don Stikvoort, voorzitter van het Computer Emergency Response Team van SURF-net in Utrecht, dat Internetdiensten verzorgt voor de Nederlandse universiteiten. ,,Geld voor beveiliging is altijd sluitpost'', zegt Stikvoort. Universiteiten zijn bovendien gebaat bij een grotere openheid dan bijvoorbeeld een ziekenhuis en daarom zijn de risico's er groter. Maar toch is hij niet somber. ,,Het gaat in fases: steeds als een nieuw systeem wordt geïntroduceerd, blijkt het lekken te bevatten die hackers kunnen exploiteren. Dat gebeurt een paar keer, maar daarna volgt de remedie. En hackers maken ons ook bewust van de risico's.''

Hij is niet de enige die gelooft dat de soep niet zo heet wordt gegeten. ,,Dat het fout kán gaan, betekent nog niet dat het ook voortdurend gebeurt'', zegt Van Dijken. ,,Een auto kun je ook zien als een moordwapen, en toch gaat het meestal goed.''

Van de laatste Amerikaanse cijfers is hij niet erg onder de indruk, omdat die volgens hem samenhangen met de enorme vlucht van IT. ,,Het is een zekerheid dat misbruik, ongelukken en vandalisme zullen toenemen'', zegt hij. ,,Maar in een open samenleving zorgt zo'n versnelling er ook voor dat de risico's beter onderkend en bestreden kunnen worden. Vroeger probeerde men systemen honderd procent veilig te maken, maar dat is een illusie. Nu proberen we vooral het risico beheersbaar te maken.''

Slordigheid

Dat is de juiste weg, vindt ook Ad Greeven, directeur van het RDC Datacentrum in Amsterdam, dat gegevens over de verplichte APK-keuring voor auto's beheert en koppelt aan die van de Rijksdienst voor het Wegverkeer. ,,Er zijn eigenlijk maar onthutsend weinig soorten gegevens die ècht de hoogste graad van beveiliging behoeven: die van de banken, het bevolkingsregister, medische verzieningen, justitie, het kadaster, defensie - als je er in totaal tien vindt is het veel. De instanties die zulke gegevens in huis hebben doen vanouds al heel veel aan beveiliging. Is het absoluut veilig? Nee. Is de drempel hoog genoeg? Ja.''

Juist wie over de hele linie te veel vertrouwt op technische barrières maakt zich schuldig aan 'Maginot-denken', zeggen veel Nederlandse computer-experts. Het echte gevaar komt altijd uit een andere hoek dan je denkt. Bij de meeste gevallen van computerfraude blijkt de schuldige iemand van binnen te zijn - een gewaardeerde collega op de bank die een wachtwoord steelt en geld naar Zürich overboekt, of de systeembeheerder van een klein bedrijf die óók de salarisadministratie doet.

,,Niet de techniek maar de slordigheid van de mens is de grootste bedreiging'', zegt Dries Neisingh, hoogleraar 'betrouwbaarheidsaspecten van geautomatiseerde informatiesystemen' aan de Rijksuniversiteit Groningen en directeur bij KPMG EDP Auditors in Amstelveen. ,,Het opvullen van leemtes in de organisatie en in procedures is zeker zo belangrijk als een degelijke fysieke beveiliging. Geen systeem is ondoordringbaar, maar er zit altijd een organisatie omheen die veel ellende voorkomt. Daarom ben ik niet fatalistisch.''

Dat is een vrij nieuw geluid, nadat decennia lang de toon is gezet door de zwarte scenario's van Bob Herschberg, de vorige maand op 70-jarige leeftijd overleden Delftse hoogleraar informatica die met zijn studenten computers kraakte. Als iemand Nederland bewust heeft gemaakt van het hackers-risico is hij het, maar zijn visioen van een door digitale misdaad geregeerde wereld viel de laatste jaren niet overal even goed meer.

Hein Blocks, directeur van de Nederlandse Vereniging van Banken (NVB) in Amsterdam, herinnert zich bijvoorbeeld nog goed hoe Herschberg kort voor zijn dood in een vraaggesprek met De Telegraaf een bankroof per computer ,,simpel'' noemde. ,,Handige jongens, voor wie bits en bytes geen geheimen hebben, zullen de planeet besturen. En hun zakken vullen. Het gebeurt al.'' Want, zei Herschberg, ,,de banken weten niet eens hoeveel geld ze exact hebben.''

,,Een geniale redenering omdat je niet kan bewijzen dat het niet klopt, maar ook onzinnig'', zegt een licht geprikkelde Blocks. ,,Natuurlijk weten de banken hoeveel ze hebben of hoeveel er ontbreekt, want de totalen moeten kloppen. Sluiten ze niet, dan is er iets mis. Sluiten ze wel, dan zegt mijn boerenverstand dat er niks mis is.''

Nylon kous

Toch wordt de eerzame spaarder af en toe opgeschrikt door berichten dat er wel iets mis is. Zo raakte Citibank in 1994 tien miljoen kwijt aan Russische Internet-hackers en in 1997 stal een Amerikaan de gegevens van 100.000 creditcards via het Net. En dichter bij huis: in 1996 boekte een medewerker van ABN Amro van binnen de bank 25 miljoen gulden via het internationale betalingsnet Swift over naar een eigen rekening in Zwitserland.

Een topman van ABN Amro zorgde vorige maand voor tumult met zijn opmerking dat de bank in sommige jaren ,,honderden miljoenen guldens'' door fraude kwijtraakt. Het gaat meestal om oneigenlijk gebruik van PIN-passen en creditcards, maar volgens hem slagen criminelen er ook steeds vaker in om het elektronische betalingssysteem binnen te dringen.

De topman, hoofd investor relations F. Bedaux, kreeg een zware reprimande. De bank noemde ,,een deel van de feiten zwaar overdreven'', maar zei niet welk deel. ABN Amro wilde niet meewerken aan dit artikel. Zeker is dat elk gerucht over diefstal de banken slecht uitkomt, of het nu per computer is of met een pistool in de vuist en een nylon kous over de kop. Want dat knaagt aan het imago van vertrouwen. Computermisdaad - abstract, ongrijpbaar en desnoods van ver over de grenzen - knaagt alleen wat harder.

Met de toegenomen bedragen die elke dag door de banken en de internationale netwerken flitsen, de toegenomen automatisering, de komst van betalen via Internet en het gemak waarmee iemand een extra nul of twee kan typen, stijgt ook de verleiding digitaal een centje af te tappen. De vereniging van banken weigert echter fraudegevallen als die bij ABN Amro anders te omschrijven dan ,,een normaal geval van interne fraude met moderne middelen - vergelijkbaar met het stelen van een pak koffie bij je baas''. Ze tasten de externe veiligheid van het betalingsverkeer niet aan en bovendien wordt de klant schadeloos gesteld.

Juist bij Internet-betalingen is bezorgdheid niet overdreven, zegt W. Stolwijk, algemeen directeur van Interpay, dat transacties met PIN-passen en chipknippen in Nederland verzorgt en sinds kort ook betalingen via Internet ('I-pay') mogelijk maakt. ,,Het Internet bestaat uit aan elkaar geknoopte open netwerken en je weet niet altijd waar op de wereld je uitkomt. De prachtige mogelijkheden maken je ook een stuk kwetsbaarder. Als je je bedrijf daarvan afhankelijk maakt en een deel van het netwerk raakt gecompromitteerd, ben je wel out of business. Hoe weet je of iemand je over het net geen fake-koopwaar aanbiedt? Want je kunt zijn winkel niet binnenlopen. En omgekeerd: hoe weet een Internet-winkelier wie er aan de andere kant zit te bestellen? Krijgt hij zijn geld wel?''

Interpay garandeert de betrouwbaarheid van nationale Internetbetalingen via I-pay door winkelier en klant te voorzien van een 'digitaal certificaat', een soort 'handtekening' in code die niet is te kraken. Dat wil zeggen, bij de huidige stand van de computertechniek. ,,Onze systemen zijn nu veilig genoeg'', zegt Stolwijk. ,,Maar naarmate de sportieve activiteiten van de criminialiteit toenemen, moet je natuurlijk wel bij de les blijven.''

De systemen zijn veilig genoeg, zegt ook NVB-directeur Blocks. ,,Maar ja, je weet nooit of het nog niet is gebeurd, of dat je het hebt voorkomen.'' Tot het tegendeel wordt bewezen houdt hij het op het laatste.

Hacken doe het zelf Het domste wachtwoord is 'geheim'. Toch hadden veertien van de 381 gebruikers van de computer die NRC Handelsblad met het Internet verbindt en waarmee redacteuren e-mail versturen, juist dit woord als wachtwoord gekozen. Dat heeft CrackerJack onthuld - een simpel computerprogrammaatje om wachtwoorden te kraken, dat gratis van het Internet is te plukken. Het vond méér: gebruikers die hun eigen naam als wachtwoord gebruiken, of de naam van hun woonplaats, de dagen van de week, namen van (vrouwelijke) filmsterren en een (mannelijke) componist, automerken en gewone 'woordenboekwoorden'. Na twee dagen draaien op een thuis-pc waren zo bijna vijftig accounts van de NRC-server gekraakt. De gevonden gaten zijn inmiddels gedicht. Toch bewijst een dommekracht-aanval als deze dat veel computersystemen zijn te kraken door een amateur. Het illustreert ook het statistische gegeven dat negen van de tien computerkraken te wijten zijn aan slechte wachtwoorddiscipline. Kennelijk zondigen computergebruikers nog steeds massaal tegen officiële aanbevelingen. Zoals: gebruik geen woordenboekwoorden als wachtwoord of andere 'raadbare' wachtwoorden als autonummerborden of een geboortedatum. Het is beter om het kraakprogramma's lastig te maken door behalve het alfabet ook cijfers en speciale tekens te gebruiken; het wachtwoord 'Ihwü9odb!' is goed te onthouden met het ezelsbruggetje 'Ik heb wel negen gulden op de bank!'. Op het Internet is een schat aan informatie voorhanden, van discussiegroepen waarin systeembeheerders openhartig en tot in de subtielste technische details de mazen in hun netwerk bespreken, tot botte kraaksoftware als CrackerJack. Zulke programma's doen een aanval op de eerste verdedigingslinie van een computer: het bestand waarin de wachtwoorden van de gebruikers in code zijn opgeslagen. Wie eenmaal over (een kopie van) dat bestand beschikt, kan in alle rust off line uitproberen of daar misschien een woord bijzit dat ook voorkomt in een gegeven andere lijst. Dat kan de woordenlijst van een spellingschecker uit een tekstverwerkingsprogramma zijn, een elektronisch register van plaats- of eigennamen, of desnoods een lijst van willekeurige combinaties van letters en cijfers. Ook 'Ihwü9odb!' is zo te vinden, al kost het zelfs een snelle computer vast weken rekenen. Daarom geldt bovenal een ander voorschrift: verander regelmatig van wachtwoord. Toch is het vinden van één wachtwoord vaak al voldoende; een doorgewinterde hacker kan zich daarmee niet alleen toegang verschaffen en schade aanrichten, maar ook zijn bevoegdheden vergroten. Dat geeft hem de mogelijkheid om - vermomd als iemand anders - weer nieuwe computers te kraken.