Hackers zamelen geld in om 'Wannacry-held' Hutchins te helpen

Hackers, onderzoekers en vrienden hebben duizenden dollars ingezameld om de 23-jarige Britse computerbeveiligingsspecialist Marcus Hutchins op borgtocht vrij te krijgen. Hutchins, die in mei nog een heldenstatus kreeg door de verspreiding van het gijzelsoftware WannaCry tegen te gaan, werd vorige week aangehouden op het vliegveld van Las Vegas nadat hij de grootste hackersconferentie ter wereld Defcon had bezocht.

Mister IBM, één van de jaarlijks terugkerende bezoekers van DefconBeeld Jeroen de Bakker

De arrestatie van Hutchins wakkert het toch al grote wantrouwen tussen ethische hackers en de overheid verder aan. Er zijn allerlei online petities ontstaan en sommige bloggers en hackers roepen zelfs op om Defcon niet langer in de Verenigde Staten te laten plaatsvinden omdat ze de Amerikaanse autoriteiten vrezen.

De FBI verdenkt Hutchins ervan dat hij de zogeheten Kronos-malware, waarmee hackers bankgegevens kunnen stelen, in 2014 en 2015 heeft ontwikkeld en verkocht. Hutchins beweert dat hij onschuldig is en dat hij de malware enkel heeft onderzocht. Hij mag tot het begin van zijn rechtszaak geen toegang hebben tot internet en via GPS wordt bijgehouden waar hij verblijft.

Samenwerken

De commotie komt op een moment dat ethische hackers en overheden elkaar hard nodig hebben. Overheden zijn in toenemende mate doelwit van digitale aanvallers, door gijzelingssoftware ontstaat steeds meer schade en er is nog het gevaar van online manipulatie rond verkiezingen. Technisch kundige personen zijn de beste verdediging hiertegen. Maar hackers voelen zich niet altijd welkom bij de overheid, zeker niet in de Verenigde Staten. Waar het roken van een joint in de pubertijd al een obstakel voor een baan kan zijn. Ook zijn de arbeidsvoorwaarden bij commerciële partijen een stuk beter.

Op Defcon, de conferentie in het Caesers Palace die de deze krant ook bezocht, is dat wantrouwen een belangrijk thema. Veel bezoekers vertellen dat ze in 'darkmode' Defcon ervaren, dat wil zeggen: geen telefoon mee hebben die contact maakt met internet. Een freelance beveiligingsonderzoeker uit Florida legt bij aanvang van de conferentie uit dat hij zijn smartphone direct bij aankomst op het vliegveld in een kluis heeft gelegd. Voor de duur van Defcon gebruikt hij een oude, niet met internet verbonden, Nokia-telefoon. De reden: 'Hier komen de beste hackers ter wereld samen. Geen betere plek voor opsporingsdiensten om even met het internet te klooien om te kijken wie dat zijn en wat ze uitspoken.

Tekst gaat verder onder de foto

Eén van de enorme zalen van Ceasars palace vlak voor het begin van DefconBeeld Jeroen de Bakker

Chris Roberts, een excentrieke beveiligingsonderzoeker van het bedrijf Acalvio, bepleit er een betere communicatie tussen onderzoekers en topbestuurders. Hij bemerkt dat 'wij hackers' geneigd zijn iedereen de schuld te geven van slechte ICT, behalve 'onszelf'. Roberts: 'We moeten het belang van goede digitale beveiliging meer dan ooit duidelijk gaan maken.' Lang voordat gijzelsoftware toeslaat moeten bedrijven en overheden weten dat ze bijvoorbeeld beter niet kunnen betalen. 'Tijdens een crisis is het te laat om dat over te brengen. Dan ontstaat bij bestuurders toch de reflex om aanvallers te betalen om bestanden terug te krijgen.'

Roberts is zelf een aardig voorbeeld van het wantrouwen tussen hackers en overheid. Twee jaar geleden twitterde hij vanuit een vliegtuig dat nog aan de grond stond dat hij het interne entertainmentsysteem had gehackt. En dat hij daarmee ook controle over het besturingssysteem van het vliegtuig zou kunnen krijgen. Roberts beweerde dat hij het vliegtuig een 'klimcommando' kon geven waardoor de koers zou veranderen. Meteen haalde vliegtuigmaatschappij United Airlines hem van boord. Boeing zei dat het technisch onmogelijk was wat Roberts claimde. De FBI ging achter hem aan en nam een verklaring op. Hij kreeg bovendien een vliegverbod van United.

Vanwaar die kwaadaardige bejegening?, vraagt Roberts zich al langer af. Ja, hij ging nogal rucksichtslos te werk maar hij wilde toch slechts de mogelijke gevaren aantonen? Is veiligheid niet in ieders belang?

Het is in lijn met de kritiek die nu weer klinkt bij de arrestatie van Hutchins. Rob Graham, een gerespecteerde beveiligingsexpert, beschrijft het spanningsveld waarin hij en anderen werken. Graham ontwikkelt firewalls die beschermen tegen virussen en aanvallen. Daarvoor is het noodzakelijk dat hij malware test, aanpast en schrijft. Graham: 'Ik lees de aanklacht zo dat Hutchins aan de malware heeft meegeschreven maar dat al het andere is gedaan door iemand anders.'

Hij vindt de arrestatie zorgwekkend. 'Want ik schrijf ook mee aan codes. Als iemand mij vraagt om aspecten toe te voegen, doe ik dat graag.' En ja, die softwarecodes kunnen gebruikt worden door criminelen. Maakt hem dat medeplichtig? 'Ik weet niet wat anderen met die codes doen.'

Tekst gaat verder onder de foto

Hackers gaan tijdens Defcon tot laat in de avond de strijd met elkaar aan. Beloning voor de winnaars is een levenslange toegangspas tot Defcon.Beeld Jeroen de Bakker

De Nederlandse malware-onderzoeker Rickey Gevers, als puber ooit zelf in het blikveld van de FBI vanwege het kraken van universiteitsnetwerken in de Verenigde Staten, kent Hutchins goed. 'We doen hetzelfde onderzoek, bezoeken dezelfde conferenties.' Hij noemt hem 'ook wel een boefje'. Een onstuimige jongen die wel houdt van wat actie. 'Maar het gaat om de intentie: schreef hij mee aan malware met het enige doel die te verkopen en verspreiden? Dan is zijn aanhouding terecht.'

Gevers heeft veel vragen. 'Waar heeft hij de tijd vandaan gehaald? Zulke malware schrijven kost maanden.' En zou hij het voor geld hebben gedaan? '2000 dollar kan voor een 20-jarige vrij veel zijn.' Hoe dan ook: de zaak heeft al gevolgen, ook voor Gevers. 'Het sentiment onder hackers is nu dat er minder bereidheid is om de overheid te helpen. 'Als Hutchins onschuldig blijkt, dan overweeg ik nooit meer naar Defcon te gaan. Straks ben ik de volgende.'

Een meisje houdt in Caesers Palace een lichtgevend bord omhoog houdt: 'Gratis knuffels voor feds' staat erop. Feds is straattaal voor federale overheden en diensten, zoals de FBI. Knuffels om het wantrouwen weg te nemen. In de avond doen de feds ook een poging. Verschillende overheidsfunctionarissen komen in een panel ('Meet the feds') bijeen en stellen zich voor. Hun boodschap is dat ze niet zo eng zijn als gedacht. 'Wij werken graag samen met hackers en helpen ze ook om wetten te maken die beveiligingsonderzoek bevorderen.' Vijf dagen later wordt Hutchins vlak voor het boarden door de FBI afgevoerd.

Het grootste gedeelte van de bezoekers op Defcon is man, maar er zijn ook vrouwelijke hackers te vindenBeeld Jeroen de Bakker

Lees meer over ransomware

Ransomware. Ook uw computer kan erdoor gegijzeld worden. Lees hier wat u daar zoal tegen kunt doen.

Het gerenommeerde Britse verzekeringsinstituut Lloyd's waarschuwt dat toekomstige digitale aanvallen op essentiële computersystemen ernstige financiële gevolgen voor de wereldeconomie kunnen hebben.

Koud een maand nadat WannaCry grote schade veroorzaakte bij bedrijven, instellingen en individuele computergebruikers, werd de wereld in juni opnieuw getroffen door gijzelingsoftware die computers onbruikbaar maakt.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden