|
de Volkskrant, 26 februari 1994 INTERNET OP GROTE SCHAAL GEKRAAKT De afgelopen maanden hebben onbekende hackers op grote schaal Internet gekraakt. Internet, dat circa vijftien miljoen gebruikers telt, is 's werelds grootste computernetwerk. De bewuste computerkrakers zijn volgens waarschuwingen van beveiligingsorganisaties in het bezit gekomen van een zeer groot aantal geheime en persoonlijke toegangscodes. De `meesterkraak' heeft de discussie over de (on-)mogelijkheden computerbeveiliging opnieuw doen oplaaien. Begin februari sloeg CERT, het Computer Emergency Response Team, een wereldwijde organisatie voor computerbeveiliging, met een speciale mailing op grote schaal alarm: `De afgelopen week heeft CERT een dramatische stijging geconstateerd van indringers die het netwerkverkeer afluisteren. Systemen van sommige dienstverleners zijn gecompromitteerd en alle systemen die van buitenaf benaderd kunnen worden (...) lopen gevaar. De indringers hebben reeds toegangsinformatie voor tienduizenden systemen op Internet vergaard.' Deze onrustbarende woorden van de anders zo behoedzame CERT misten hun uitwerking niet. Op Internet regent het sindsdien berichten over de gevolgen van de kraak. Alsof de politie in een dorp waarschuwt dat er inbreker rondloopt met een sleutel die op alle huisdeuren past. De kraak die heeft plaatsgevonden doet in de verte denken aan de truc die een onlangs gearresteerde pompbediende heeft toegepast om PIN-codes van zijn klanten te bemachtigen en vervolgens hun rekeningen te plunderen. Iedere keer als er een klant betaalde met een PIN-pasje gebruikte de man de informatie uit het leesapparaat om het betreffende pasje te dupliceren. Tegelijkertijd keek hij de klant letterlijk op de vingers om te zien welke PIN-code er werd ingetoetst. De computerkrakers hebben iets dergelijks gedaan maar dan op afstand en op een vele malen grotere schaal. Om bij de vergelijking te blijven hebben ze niet alleen de klanten van een enkel benzinestation getroffen maar van alle belangrijke stations langs de snelwegen. Ze hebben daarmee de codes van zo'n beetje alle klanten die hun brandstof met een PIN-pas afrekenen. Nu gaat het bij de Internet-kraak niet om bankrekeningen en PIN-codes maar om wachtwoorden. En er is niet - direct - geld in het geding maar de toegang tot al dan niet geheime gegevens. Internet is weliswaar een min of meer openbaar computernetwerk, er zijn echter ook duizenden systemen op aangesloten waarvoor toestemming is vereist om er binnen te komen, zoals bijvoorbeeld de computers van de ruimtevaartorganisatie NASA. Een computernetwerk als Internet is te vergelijken met een wegennet. Via talloze verbindingen onderhouden over de hele wereld ruim anderhalf miljoen computersystemen contact met elkaar. Net als het mogelijk is om langs gewone wegen zo'n beetje elke stad of gehucht op deze aardbol te bereiken, biedt Internet de mogelijkheid om per computer de wereld rond te reizen. Gelijke het gewone wegennet kent Internet knooppunten, grote systemen waarlangs al het - elektronisch - verkeer voorbij komt. Net zo als het mogelijk is om door de Moerdijkbrug in de gaten te houden een groot deel van het autoverkeer tussen het Noorden en Zuiden van het land in kaart te brengen, is het op dergelijke elektronische knooppunten mogelijk al het elektronisch verkeer te bespieden. Zo is er bijvoorbeeld een enkele computer, die van de Stichting NLnet in Amsterdam, waar al het internationale Internetverkeer tussen Nederland en de rest van de wereld `langs komt'. Er is echter e/e/n groot verschil. Bij het autoverkeer valt meestal alleen het nummerbord te noteren. Het is voor de buitenstaander behoorlijk lastig om die nummers vervolgens te herleiden tot persoonlijke gegevens, zeker als het om zo'n groet hoeveelheid nummerborden gaat. Bovendien kun je met die informatie nog niet in de betreffende auto's rijden. Bij computerverkeer is dat anders. Het is alsof de geheime toegangscodes met koeieletters op de zijkanten van de auto's zijn gekalkt. Wie een dergelijke code eenmaal te pakken heeft, kan zich vervolgens voordoen als de oorspronkelijke bezitter van dat wachtwoord. De hacker steelt als het ware iemands identiteit. Dergelijke elektronische knooppunten, Ethernetten genaamd en in feite niet meer dan computernetwerken die het datasignaal transporteren naar een volgende bestemming, zijn in de Verenigde Staten door een hacker gekraakt. Dat wil zeggen dat hij een toegangsstatus heeft weten te verkrijgen die hem veel meer mogelijkheden biedt dan alle andere gebruikers. Vervolgens heeft hij daar een computerprogramma geinstalleerd dat alle in- en uitgangen van het betreffende systeem in de gaten houdt en opslaat op een onzichtbare plaats in een alleen voor hem toegankelijk bestand. Het computerprogramma, dat een Trojaans Paard wordt genoemd omdat het niet als kraakprogramma is te herkennen en zich voordoet als een onschuldig hulpprogramma, selecteert uit het verkeer de door de kraker gezochte informatie. In de meeste gevallen zijn dat namen en toegangscodes. Een Nederlandse wetenschapper die bevoegd is om gebruik te maken van gesloten computersystemen van bijvoorbeeld de NASA moet daarvoor langs dergelijke knooppunten. Alle informatie die hij ophaalt gaat is dan ook voor de hacker zichtbaar. Om die informatie is het de hacker echter meestal niet te doen, het gaat om de eerste paar gegevens: de naam en toegangscode die de wetenschapper gebruikt om bij de NASA binnen te komen. Alleen die worden door het Trojaanse Paard voor hem bewaard. Eens in de zoveel tijd kan hij zijn verzamelde buit binnenhalen. Het is overigens niet duidelijk waarom deze kraak heeft plaatsgevonden. Het kan zijn dat het de hacker alleen om de sport en kick te doen is. Maar het is ook goed mogelijk dat de verkregen informatie te gelde wordt gemaakt. De gegevens van instituten en bedrijven die op deze manier voor het grijpen komen te liggen zijn namelijk nogal wat waard. In Duitsland werd in 1989 een groep hackers opgerold die informatie verkocht had aan de Russische KGB. Het probleem met de meest recente computerkraak is dat er op korte termijn niet veel tegen te doen valt. CERT roept gebruikers weliswaar op om massaal de persoonlijke wachtwoorden te wijzigen maar het is absoluut niet duidelijk of dat echt zal helpen. Het is als bij de bestrijding van een virus, als slechts e/e/n van de besmettingsgevallen over het hoofd gezien wordt, kan de verspreiding weer van voren af aan beginnen. Daarbij speelt dat het gebruikte Trojaanse Paard wijd verspreid is. Iedereen die het wil hebben, kan het via hetzelfde Internet te pakken krijgen. De hacker moet om het te kunnen toepassen wel eerst een systeemcomputer kraken. Maar daarna is de weg vrij. Volgens Rop Gonggrijp, onofficieel woordvoerder van de Nederlandse hackers, viel een dergelijke superkraak al lang te verwachten. `Het ging er niet om of het zou gebeuren maar wanneer. Nu is het dus kennelijk zover. Internet is per definitie niet te beveiligen. Je moet er dus ook geen geheime informatie over transporteren. Het systeem is daar nooit voor ontworpen. Vanaf het begin is het gebruikt voor een min of meer vrije uitwisseling van informatie tussen universiteiten.' Erik-Jan Bos, van SURFnet, de Nederlandse academische computernetwerkorganisatie die tevens de nationale afdeling van CERT vertegenwoordigt, bestrijdt dat. `Er zijn wel een aantal technische maatregelen te nemen. Die hebben we dan ook geadviseerd, al zijn ze niet op alle systemen toepasbaar.' Volgens Bos is in Nederland overigens geen verhoogde kraakactiviteit waargenomen. SURFnet promoot als beveiligingsinstrument het zogenaamde Secure-ID, een systeem dat gebruik maakt van eenmalige toegangscodes. Het is een soort van mini-zakrekenmachine dat steeds nieuwe toegangscodes genereert. `Als ik vanuit de Verenigde Staten contact leg met mijn computersysteem in Nederland dan verloopt dat wel langs vijftien verschillende Ethernetten. Normaal is dat een enorm risico. Secure-ID elimineert dat door een combinatie van hard- en software.' In het kort komt het er op neer dat het apparaatje steeds een nieuwe code van zes cijfers als wachtwoord genereert. Bos typt die code vervolgens in. Het computersysteem laat vervolgens een berekening los op dit getal. Aan de uitkomst daarvan kan het systeem zien of de code van het apparaat van Bos afkomstig is. Welke berekening er precies op de code wordt losgelaten is voor niemand te achterhalen. Daarmee is het ook in de praktijk onmogelijk om zo'n code te imiteren. `Afluisteren' zoals bij deze kraak het geval is, heeft evenmin zin. Er wordt immers steeds een andere code gebruikt. Het nadeel van Secure-ID is dat het apparaat geld kost en de invoering dus traag zal verlopen. Bovendien lost het een ander probleem niet op. Weliswaar blijft de toegangscode geheim maar de informatie die over het net stroomt blijft afluisterbaar via de Ethernetverbinding. Dat laatste probleem zou opgelost kunnen worden door het toepassen van cryptografie. Alle gegevens worden daarbij gecodeerd voordat ze over het net verzonden worden. Eenmaal aangekomen op de plaats van bestemming kunnen ze vervolgens door de gebruiker weer gedecodeerd worden. Er bestaat software die deze - uitermate veilige - methode toepast zonder dat de gebruiker er vrijwel iets van merkt. Alleen mag het niet gebruikt te worden. De reden daarvoor is dat Amerikaanse inlichtingen- en opsporingsdiensten zelf in staat willen zijn het elektronisch verkeer in binnen- en buitenland af te luisteren. De coderingsprorgamma's maken dat onmogelijk. `De Amerikaanse regering ziet dergelijke programma's als een soort strategisch wapen,' legt Wietse Venema van de Technische Universiteit Eindhoven uit. Venema leverde een paar jaar geleden slag met een hacker die vanuit Eindhoven het Internet onveilig maakte. De computerkraker had er schik in ongeveer een keer per maand alle gegevens van een computersysteem volledig te wissen. Daarmee vernietigde hij dus ook zijn sporen. Venema ontwikkelde vervolgens opsporingsprogramma's die bijhouden welke verdachte activiteiten er op het net plaats vinden. Deze software wordt inmiddels over de hele wereld gebruikt om het computerkraken te bestrijden. `Het grote voordeel van versleuteling is dat het er niet meer toe doet of het net veilig is omdat de inbrekers niets hebben aan de informatie die ze vinden. Je beveiligt de boodschap in plaats van het systeem.' Dat lijkt de oplossing maar de Amerikaanse regering denkt daar anders over. Zij wil cryptografische systemen waar een zogenaamde `achterdeur' in zit verwerkt. Met behulp van zo'n achterdeur kunnen opsporingsambtenaren de berichten altijd ontcijferen. Vorig jaar werd de programmeur Philip Zimmermann door de justitiele autoriteiten aangehouden. Zimmermann heeft het programma PGP (Pretty Good Privacy) ontworpen, een onkraakbaar en gratis verkijgbaar cryptografisch programma voor elektronische post. Zonder achterdeur. De zaak waar hij in verwikkeld is geraakt, is uitermate gecompliceerd en vertoont Orwelliaanse trekjes. Zimmermann wordt er van beschuldigd dat hij strategische kennis naar het buitenland heeft geexporteerd omdat PGP inmiddels wereldwijd wordt gebruikt. Hijzelf bestrijdt die aanklacht en stelt dat hij programma slechts op een plaatselijke computer in de Verenigde Staten aan gebruikers te beschikking heeft gesteld. Vervolgens hebben anderen via Internetverbindingen vanuit het buitenland het programma ook naar zich toegehaald. Voor het Amerikaanse Congres betoogde Zimmermann vorig jaar oktober dat de overheid haar restricties ten aanzien van versleutelingsprogramma's moet opgeven en stoppen met het afluisteren van elektronisch berichtenverkeer. `Ik denk dat mensen zich moeten afvragen welke technologien een politiestaat in de hand werken. Vervolgens moet de overheid verboden van dergelijke technieken gebruik te maken.' Zimmermann wees er ook op dat zijn programmatuur wordt gebruikt door organisaties als Amnesty International om veilig informatie te kunnen uitwisselen met activisten in dictatoriale landen. Vooralsnog stelt de Amerikaanse regering - vermeende - staatsveiligheid boven de computerveiligheid van haar burgers. Francisco van Jole
NB: Deze tekst bestaat uit ongecorrigeerde kopij en is eigendom van Francisco van Jole. Er is geen enkele garantie dat tekst en publikatiedatum overeenstemmen met de gedrukte versie. Gedrukte artikelen zijn op te vragen bij de documentatiedienst van de Volkskrant. Verdere verspreiding of gebruik niet toegestaan zonder voorafgaande schriftelijke toestemming van de auteur. |