Huur de hacker

Voor de hackers zelf is het helder als glas: er zijn de goeden en de slechten. De politie jaagt op beiden. Gebruik ons, in plaats van ons te bestrijden, is het pleidooi van de 'ethische hackers'. 'Alle hulp is nodig om de digitale wereld veiliger te maken.'

'Wakker worden! Wakker worden!' De toen 22-jarige Rickey Gevers dacht dat zijn huisgenoten een geintje met hem uithaalden, maar ontwaakte uit die illusie toen er bruut aan zijn arm werd getrokken. Drie mannen van het Korps Landelijke Politie Diensten (KLPD) stonden in de vroegte met een huiszoekingsbevel in zijn kamer. Hij mocht snel wat kleren pakken, niet wetende dat hij de komende drie weken in een cel zou bivakkeren. Gevers was in 2008 één van de eerste Nederlandse hackers die werd opgepakt.


Het dossier, een stapel A4tjes ter hoogte van een salontafel, ligt nog steeds in zijn studentenkamer in Amsterdam Oost. Daar werpt Gevers een blik op als hij achter zijn laptop kruipt om de digitale snelweg te betreden. Zo wordt hij er dagelijks aan herinnerd dat zijn beleving van een digitale inbraak nogal verschilt met die van de wetgever.


In zijn puberjaren aan het begin van deze eeuw kraakte Gever zo'n beetje het gehele netwerk van elke universiteit in Nederland. Wanneer de studenten en docenten 's avonds het pand verlieten, nam hij de controle over van de servers (computersystemen met bijvoorbeeld een database van student-gegevens) van de scholen. Want daar waren eind jaren '90 de snelste internetverbindingen te vinden. Op die servers kon je bijvoorbeeld films zetten, te downloaden voor andere hackers. Of programmaatjes uittesten.


De Nederlandse politie had toen nog geen aandacht voor hackers, laat staan dat de ICT-beheerders van de scholen door hadden wat zich in de nachten op hun computersystemen afspeelde. 'Voor ons was het heel normaal', zegt Gevers. 'Toegang tot de servers schudde je uit de mouw. En terwijl je bezig was, zag je andere hackers dingen uitproberen. Dan liet ik een berichtje achter en spraken we elkaar later via chatprogramma's. Zo leerde je van elkaar en maakte je ook contacten.'


Slordigheidje

Uiteindelijk werd Gevers in de kraag gevat vanwege een slordigheidje tijdens een inbraak in 2005 bij een Amerikaanse universiteit in Michigan. Zijn IP-adres was te achterhalen. De FBI tipte de KLPD en Gevers kreeg in 2011, zes jaar na het strafbare feit, een voorwaardelijke gevangenisstraf van drie maanden. Gevers: 'Ik wist toen helemaal niet dat ik strafbaar bezig was. Deze jeugdzonde zal me de rest van mijn leven achtervolgen, een carrière in de ICT-business kan ik vanwege mijn strafblad vergeten.'


Het verhaal van Gevers staat niet op zichzelf. Vanaf zijn arrestatie was de jacht op de hackers geopend. Wereldwijd zijn de afgelopen jaren duizenden, vaak nog jonge, hackers voor het gerecht gesleept. Dinsdag nog, werden 25 leden van Anonymous in Europa en Latijns-Amerika gearresteerd in een internationale operatie genaamd 'Unmask'.


De arrestaties roepen grote verontwaardiging op in de hackersgemeenschap. Het onderscheid tussen ethische en criminele hackers wordt in de opsporingen en veroordelingen volgens hen niet gemaakt. Criminele hackers zijn uit op financieel gewin door het stelen van creditcardgegevens, of op het verwoesten van computersystemen. Ethische hackers daarentegen, bezweren niets kapot te maken.


Ze vergelijken hun acties met een situatie waarin iemand de sleutel van een huis bemachtigt, naar binnen gaat en even rond kijkt, om vervolgens de deur weer achter zich te sluiten. Ze zijn op zoek naar gaten in servers en krijgen een 'kick' als ze lekken op het spoor zijn. Door de lekken naar buiten te brengen willen ze de samenleving wakker schudden: computersystemen nemen een steeds belangrijker plek in, maar met de veiligheid ervan is het vaak dramatisch gesteld.


Aanzien

Respect is een belangrijke drijfveer. De beste hackers kennen elkaar goed. Ook in Nederland maken ze deel uit van een klein wereldje. Althans, hun alter ego's op het net. Onder nicknames kletsen ze met elkaar via Twitter en andere chatprogramma's. Het gaat lang niet altijd over hacken, ze bespreken hun wilde avondjes uit of zaken die het nieuws beheersen. De ICT-wereld is uiteraard het meest besproken onderwerp. Hackers die technisch moeilijke lekken opsporen, verwerven aanzien. In de vele discussies die woeden, bijvoorbeeld of en hoe een lek naar buiten moet worden gebracht, is hun stem gewichtiger dan de minder vaardige collega's.


Er is dan ook sprake van sociale controle. Hackers die zich misdragen, bijvoorbeeld door het aanrichten van schade bij IT-systemen van bedrijven, worden buitengesloten van de gemeenschap. In ernstige situaties zetten de hackers alles in het werk om de boosdoener - blackhats in hackersjargon - op te sporen en aan te geven.


Toch is er een groot schemergebied. Is een hack nog steeds in het belang van de samenleving als duizenden gebruikers een website niet meer opkunnen?


Vooral de jongere hackers dreigen nog wel eens over de schreef te gaan. Ze worden gewaarschuwd, maar daar wordt niet altijd naar geluisterd. Zo besloten vrienden van de 17-jarige hacker Goo de site van Vereniging van Gepensioneerden van de KLPD te kraken. Ze wilden iedere week gegevens van 25 oud-KLPD'ers vrij geven, maar zagen hier uiteindelijk op aanraden van andere hackers vanaf. Deze wraakactie, een 'oorlogsverklaring' aan de KLPD, was een reactie op het besluit van de politiedienst om een domeinnaam van Anonymous neer te laten halen.


Het leven van Goo speelt zich grotendeels af op internet. Hij volgt een ICT-opleiding op MBO-niveau, wat hem in staat stelt alleen offline te zijn wanneer hij slaapt. Zoals zo vele hackers begon hij rond zijn twaalfde 'een beetje te knutselen'. Hij merkte dat hij online computerspelletjes kon kraken en zocht op het internet meer mensen die dat konden. De gelijkgestemden die hij vond, zijn jongens die hij nu tot zijn vriendenkring rekent. Samen vormen ze de Nederlandse tak van Anonymous.


Hackers die hacken in naam van Anonymous zijn vrijwel onmogelijk in een hokje te stoppen. De term hackgroepering gaat al te ver, gezien het feit dat iedereen die sympathiseert met het gedachtengoed van de internetbeweging zich Anonymous-lid kan noemen. Volgens Goo komt het er in het kort komt op neer dat Anonymous strijdt voor een open internet en tegen censuur. 'Maar je komt niet zomaar bij de harde kern', zegt Goo in een Skypegesprek. Vanwege een stemvervormer klinkt er een zware stem uit de speakers. 'Je moet je bewijzen en we moeten je vertrouwen.'


Infiltranten

De laatste jaren zijn de hackers, in het bijzonder die van Anonymous, op hun hoede. Van links en rechts doen verhalen de ronde over infiltranten, van de KLPD of de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). Daarom werkte de Nederlandse tak van Anonymous de afgelopen zes maanden aan een beveiligd communicatiesysteem (ISE), dat vrijwel onmogelijk is te kraken. Goo: 'De passwords geven we elkaar in reallife. In ISE plannen we onze acties, zodat alleen de mensen die we vertrouwen er van weten.'


De strijd tussen de hackers aan de ene kant, en de KLPD en de AIVD aan de andere, is een kat-en-muisspel. Aan Goo is te horen dat hij dit wel spannend vindt, en dat is misschien ook wel begrijpelijk voor een 17-jarige. Toch hebben de meeste ethische hackers het gevoel dat zij worden gezien als paria, en dat vinden ze niet terecht. De meest voorkomende reactie van bedrijven als er een datalek bij hen wordt gemeld, is dat er aangifte wordt gedaan tegen de hackers.


@ntisec, een 36-jarige zelfstandige kunstenaar, hackt uit pure ideologie. Hij speurt het web vooral af naar lekken in SCADA-systemen, de besturingssystemen van bijvoorbeeld stoplichten. @ntisec was het, die ontdekte dat de Nederlandse sluizen te kraken zijn. En hij waarschuwt voor meer lekken die 'catastrofale gevolgen' kunnen hebben. 'Ik heb net een lek ontdekt in een Canadees gaswinningsbedrijf. Je wil niet weten wat er kan gebeuren als de besturing in verkeerde handen valt.'


Journo's

Hij is niet happig op 'journo's', de hackersterm voor journalisten. 'Je bent de eerste die direct contact met me weet te vinden', zegt hij via een beveiligd chatprogramma. 'Ik ben op mijn hoede. Hoewel ik me inzet voor een veiliger Nederland, is er altijd het risico om gepakt te worden.'


Het 'stigma romdom de hackers', irriteert @ntisec. 'Hackers worden bestempeld als eng, als criminelen. Daar heb je er wel een paar van, maar de meeste hackers hacken vanuit interesse. Zij willen een steentje bijdragen aan de samenleving, maar krijgen in ruil daarvoor zware straffen. We moeten een situatie creëren waarin hackers onveilige situaties kunnen aantonen. Nu stoppen overheden en ICT-beveiligers geld in middelen om hackers te bestrijden. Ze kunnen dat geld beter gebruiken om de kwaliteit van systemen te verbeteren en de gebruikers daarvan wakker te schudden.'


De term 'hacker' heeft inderdaad een opmerkelijke transformatie ondergaan de afgelopen twintig jaar, zegt de Britse schrijver en onderzoeksjournalist Misha Glenny. 'Vroeger gold het verkennen van computers en hun systemen naar zwakheden als positief.'


Hij schreef het boek Dark Market - Cyberthieves, Cybercops and You waarin hij de internationale cybercriminaliteit ontrafelt. In tegenstelling tot de ethische hackers, verdienen de internetboeven uit zijn boek grof geld met het hacken. Zij zijn volgens Glenny medeverantwoordelijk voor het label dat veel hackers nu toebedeeld krijgen.


'Omdat er veel criminaliteit met het hacken is gemoeid, is de druk op opsporingsdiensten toegenomen. Zij zijn verantwoordelijk voor de aanpak van hackers, maar in hun beoordeling telt alleen in hoeverre hackers gerechtigd zijn om zich toegang tot een computer te verschaffen. Dan kom je al snel uit op huisvredebreuk. Er wordt door het strafrechtelijk systeem niet gekeken naar de motieven van de hackers. Dat maakt het leven voor de ethische hackers erg moeilijk. Ze trekken zich alleen maar verder terug en keren zich af van de overheid.'


Vertrouwen

In een wereld die met rasse schreden digitaliseert, moet de overheid juist het vertrouwen van de ethische hackers winnen, zegt Glenny. 'Hun enorme kennis en vaardigheden zijn van onschatbare waarde om de samenleving voor online bedreigingen te behoeden. Het is tijd dat er een gedegen internationaal onderzoeksinstituut in het leven wordt geroepen. In het debat dat daar wordt gevoerd moet de hacker centraal staan. We hebben echt alle hulp nodig om de digitale wereld veiliger te maken.'


'Hire the hackers', zegt Glenny. Deze boodschap is niet bij voorbaat aan dovemansoren gericht. In de hackerswereld, waarin ijdelheid een belangrijke karaktertrek is, willen de meesten eigenlijk niets liever dan voor een opsporingsdienst of ICT-beveiligingsbedrijf werken. Ze moeten er alleen wel voor worden gevraagd, of in ieder geval zeker weten dat ze welkom zijn.


Gevers kijkt in zijn Amsterdamse kamertje nog eens naar zijn politiedossier, een mistroostige blik kan hij niet verbergen. Als kind droomde hij er al van bij de digitale recherche te werken. 'Eigenlijk precies het werk van de mannen die me oppakten. Maar ik zou alleen de hackers met slechte bedoelingen de cel ingooien.'


GOUD GELD


The champagne decade, zo noemt onderzoeksjournalist Misha Glenny de eerste jaren van deze eeuw voor criminele hackers. Aan zaken als identiteitsfraude en handel in creditcardgegevens werd goud geld verdiend. En nog steeds blijkt cybercriminaliteit een lucratieve business. Drie voorbeelden.


Iceman, een van de beruchtste criminele hackers ter wereld, werd in 2010 veroordeeld tot 13 jaar cel. Het was tot nu toe de hoogste straf voor een hacker. De uit San Francisco afkomstige Iceman - echte naam Max Butler - verhandelde op grote schaal creditcardgegevens. Hij begon onder de naam CardersMarket een internetforum waar hij gestolen gegevens verkocht aan criminelen die de creditkaartrekeningen leegroofden. Tijdens de rechtszaak bleek dat Iceman data van 1,8 miljoen creditcards had gestolen, waarmee voor 86,4 miljoen dollar aan fraude was gepleegd.


De Russische hacker Eugene Anikin maakte in 2008 9 miljoen euro buit door het betaalsysteem van het internationale betalingsbedrijf RBS WorldPay te hacken. De tot in de puntjes georganiseerde hacks van Anikin bezorgden hem en zijn bende de gegevens van anderhalf miljoen klanten. Vooral de betaalkaarten die bedrijven gebruiken om hun personeel te betalen, bleken lucratief. Die werden door de bendeleden steeds opnieuw opgeladen, waardoor ze grote sommen geld binnensleepten. Anikin werd veroordeeld tot 5 jaar gevangenisstraf.


Het was schrikken voor rekeninghouders van de Rabobank, toen afgelopen week bleek dat criminele hackers geld konden wegsluizen van hun rekeningen. Met behulp van een virus konden ze ongezien extra betaalopdrachten versturen naar buitenlandse rekeningen. Niet alleen de Rabobank wordt geteisterd door deze hacks, ook het internetbankieren van andere banken blijkt te kraken. Uit vrees voor imagoschade worden deze digitale inbraken vaak niet naar buiten gebracht. Daarom is over de omvang van deze vorm van cybercriminaliteit niet veel bekend.


Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden