Met een koevoet de snelweg op

Wat doet een bedrijf dat het slachtoffer is geworden van een computerinbraak? Dat daagt doodleuk alle andere inbrekers uit het nóg eens te proberen....

'NU VRAGEN ze er écht om', smalen computerkrakers sinds World Online vijftienduizend gulden uitloofde aan degene die erin slaagt het systeem van de veel geplaagde Internet-aanbieder binnen te dringen. Onder hackers is het leedvermaak groot. Voor hen staat vast dat het Internet lek is, en World Online al helemaal. Wie het tegendeel beweert, en prat gaat op een 'waterdichte beveiliging', vraagt erom te worden opgevreten door een bende losgeslagen digitale bijtertjes met schuilnamen als 'King', 'Chippie' of 'Bug'.

World Online (WOL) is even de risee van het Internet. Twee weken terug bleek dat het computersysteem van de provider was gekraakt. Tienduizenden namen van klanten lagen op straat, compleet met wachtwoorden. WOL zat met een acuut imagoprobleem. Want ineens lijkt niets veilig meer. Met zo'n klantenlijst kan elektronische post worden gelezen. De wachtwoorden kunnen worden gebruikt om weer andere systemen binnen te dringen, elektronisch betalingen te doen, of conversaties af te luisteren: menige computer heeft een microfoon en die valt van een afstand te manipuleren. Verder kunnen webpagina's van bedrijven worden 'aangepast' of zelfs misbruikt door lieden die er kinderporno achterlaten; mocht justitie de contrabande vinden, dan komt ze niet bij de afzender terecht, maar bij een nietsvermoedende buitenstaander.

Alsof het bedrijf nog nooit van damage control en crisis-pr had gehoord, deed WOL aanvankelijk alles verkeerd - zoals Unilever ooit volhield dat Omo Power wél deugde. Eerst ontkennen, toen bagatelliseren, daarna de concurrent en de media de schuld geven. Toen niets hielp en hackers al krom lagen van het lachen, werd WOL dapper. Een week lang mocht iedereen proberen het systeem te kraken. Wie erin zou slagen bij 'bedrijfskritische' gegevens te komen, kreeg vijftienduizend gulden. De politie zou niet worden gewaarschuwd.

Niet iedereen is gelukkig met de 'hack-wedstrijd'. Ook Richard Vriesde niet, de specialist van de CRI. 'We zijn er allerminst blij mee, want ze zouden ook moeten denken aan de belangen van derden. Als ik klant bij hen zou zijn, zou ik het niet prettig vinden.' Los daarvan kan de CRI beroepshalve niet blij zijn met het aanmoedigen van hackers, omdat inbreken in computers sinds 1993 strafbaar is. Dat sedertdien welgeteld twee hackers zijn vervolgd, wil volgens Vriesde niet zeggen dat computercriminaliteit nauwelijks voorkomt.

Hackers, zegt de CRI-coördinator, kun je niet onder één hoedje vangen. Er zijn er die voor de 'kick' inbreken, of om de gebrekkige beveiliging van een bedrijf aan te tonen. Er zijn er ook die vooral inbreker zijn, en de computer slechts als middel gebruiken - niet anders dan een koevoet. Vriesde: 'We worden steeds afhankelijker van digitale communicatie. Dus worden ook misdrijven digitaler. Die criminaliteit is net zo hard toegenomen als het gebruik van computers en het net.'

Niet bekend

Volgens Vriesde zijn bedrijven gebrekkig beveiligd. 'Ieder bedrijf, groot of klein, is kwetsbaar.' Vandaar dat een nieuwe branche is ontstaan, met specialisten in beveiliging als Rop Gonggrijp, de ex-hacker die met zijn bedrijf ITSX ( dat zich laat lezen als it sucks) ook aanbood World Online eens als hacker for hire onder de loep te nemen; nadat hij overigens publiekelijk had vastgesteld dat de security daar niet deugde. WOL nam het aanbod niet aan.

Waarschijnlijk heeft WOL geen last van al te criminele hackers. Des te meer van alle andere computerkrakers. Maar ook die zijn er in soorten en maten, zeggen woordvoerder Maurice Wessling en systeembeheerder Jan-Pieter Cornet van provider XS4ALL. De computerkrakers met verstand van zaken, zeggen zij, zijn in Nederland op twee handen te tellen. De rest wil het kunstje vooral léren, haalt kraakprogrammaatjes van het net (zoiets als valse sleutels), en ontdekt dat providers daarvoor meestal al een oplossing hebben gevonden.

Vanaf de oprichting vijf jaar geleden heeft XS4ALL hackers uitgedaagd. Wie een mooie kraak zette, kreeg zes maanden gratis toegang. 'In het begin', zegt Wessling, 'hadden we er zo drie of vier die hun gratis abonnement telkens wisten te verlengen. Nu is het er nog één. Het is een spel. En de goedkoopste manier om je beveiliging te testen.'

De kleine groep zeer deskundige hackers, zeggen Wessling en Cornet, zijn niet tegen te houden. Omdat het Internet per definitie een open wereld is: 'Je wilt tienduizenden mensen zoveel mogelijk toegang geven. En de beste beveiliging bereik je door zo weinig mogelijk mensen op je systeem te laten.' Los daarvan zijn de sterk groeiende Internet-aanbieders gedwongen hun computerparken telkens uit te breiden, waardoor even zo vaak nieuwe beveiligingsproblemen ontstaan. Nog afgezien van de programmatuur die wordt gebruikt: hackers zoeken naar de kleine gebreken ('bugs') die er altijd zijn. En op den duur vinden ze die ook.

Een provider moet permanent investeren in beveiliging. Hij dient ervoor te zorgen dat niet al zijn tijd en geld gaan zitten in marketing, het binnen slepen van nieuwe klanten en het afsluiten van contracten met weinig winst. Meer dan eens is geopperd dat World Online juist dit aspect uit het oog was verloren. WOL lijkt op Internet het imago te hebben van een al te gretige, al te grote, en een tikje hautaine moloch.

En laat dat nu precies het type tegenstander wezen waarop hackers verzot zijn. Vandaar dat deze week duizenden hele en halve computerkrakers hebben geprobeerd in te breken bij WOL. Onbedoeld heeft de provider zelfs voor een ware revival van het hackerdom gezorgd. Nadat de Wet Computercriminaliteit in 1993 werd ingevoerd, en op hacken een straf van maximaal vier jaar kwam te staan, hielden sommige liefhebbers het voor gezien - zoals 'RGB', alias Ronald O., de eerste die gepakt werd. Anderen gingen ondergronds, en werden nog schuwer dan ze al waren.

Nu duiken ze weer op. Zoals 'Team Delta', een collectief dat claimt 'binnen' te zijn geweest bij WOL. Om niet beticht te kunnen worden van inhaligheid, zei Team Delta veertien- van de vijftienduizend gulden prijzengeld te zullen afstaan aan Unicef. Wat het voor WOL - dat de kraak 'niet reglementair' noemde - weer des te lastiger maakt.

Troost kan de provider putten uit het eeuwige dilemma van elke goede hacker: het gaat hem om de roem, maar niemand mag weten wie hij is. Zoals een kenner zegt: 'Je hebt een wereldhit, maar niemand mag weten wie de zanger is.'

Henk Blanken

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.