ZATERDAGS
INTERNET:
BIJVOEGSEL
digitale gatenkaas
eidsch Dagblad
ZATERDAG 26 FEBRUARI 2000
Elke dag wordt via internet bij duizenden bedrijven, particulieren en organisaties
ingebroken zonder dat die het merken. Meestal blijft het bij 'kijkoperaties'. Maar steeds
vaker roven handige freaks geld en waardevolle data, verspreiden ze virussen en maken
ze onschuldige surfers medeplichtig aan terrorisme, spionage en zware criminaliteit.
Opsporingsdiensten en de beveiligingssector waarschuwen voor de wereldwijde digitale
gatenkaas, waarbij het millenniumprobleem in het niet valt.
De vingers van de computer
kraker gaan vliegensvlug
over het toetsenbord. In nog
rapper tempo schieten allerlei bestanden
over het scherm. „Hier, gebruikersnamen
en wachtwoorden, genoeg om flink wat
onrust te veroorzaken via interne e-mail-
tjes", zegt de 38-jarige hacker Unicorn, die
niet met zijn echte naam in de krant wil.
Hij heeft net ingebroken in een bedrijfs
netwerk. „Een echte hacker dringt wel
binnen, maar vernielt niks en misbruikt de
binnengedrongen computer ook niet voor
misdaden. Het gaat erom lekken in de be
veiliging aan te tonen, waar de gebruiker
zijn voordeel mee kan doen. De volgende
kraker kan immers minder goede bedoe
lingen hebben."
Hoe lek internet en de daarvoor ge
bruikte programmatuur zijn, blijkt op de
ontelbare hackerspagina's. Die wemelen
van kant en klare programma's en tips, die
al succesvol zijn gebleken. Het zijn de digi
tale koevoeten, lopers en andere ingenieus
inbrekersgereedschap, waarmee compu
terkrakers steeds vaker hun slag slaan.
„De markt wordt overspoeld met hac-
kertools", zegt Richard Vriesde van het
project Digitaal Rechercheren van het
Korps Landelijke Politie Diensten (KLPD),
in de volksmond de 'cybercops'. Vriesde
heeft moeite met de nobele uitleg die veel
hackers aan hun werk geven. „Zouden we
tolereren dat iemand via je wc-raampje
binnenkomt, even kijkt of je hang- en
sluitwerk in orde is en weer onopgemerkt
verdwijnt?"
Bij de recente massale aanvallen op de
sites van veilinghuis Ebay, boeken- en pla
tenzaak Amazon en zoekmachine Yahoo!
profiteerden vandalen van de vrij verkrijg
bare kraakprogramma's. Bij de veel be
zochte Nederlandse sites startpagina.nl en
villamedia.nl was dat vorige week niet an
ders.
De methode: computerinbrekers instal
leren via e-mail een programmaatje bij
nietsvermoedende internetgebruikers.
„Op het uur U zeg je tegen die agentjes
van je: stuur e-mail naar die internetpagi
na. Die stikt dan door alle informatie vanaf
al die verschillende computers", vertelt
Naïeve surfer
steeds vaker
gebruikt door
computercrimineel
Erik Luiijf, deskundige op het gebied van
computercriminaliteit bij TNO in Den
Haag.
Luiijf acht het niet uitgesloten dat Ne
derland, of delen ervan, worden lamgelegd
door computerterroristen. Hij wijst op
Taiwan en China, die al in een cyberoorlog
verwikkeld zijn door eikaars systemen plat
te leggen. „Vorig jaar zomer was er een
grote telefoonstoring in Noord-Nederland,
nadat een hoofdkabel doorgesneden was.
Zoiets kun je straks op vitale elektronische
knooppunten ook digitaal bewerkstelli
gen."
Kwetsbaar
Ook de Binnenlandse Veiligheidsdienst
(BVD) is alert op computercriminaliteit.
„De kwetsbaarheid van de samenleving is
door de digitale verknoping zonder meer
toegenomen", zegt woordvoerder Vincent
van Steen. „We houden er rekening mee
dat vitale sectoren als Schiphol, de spoor
wegen en de energievoorziening platge
legd kunnen worden."
Digitale 'verstikkingsaanvallen' zijn nog
relatief onschuldig. Een systeem wordt er
niet door beschadigd. Erger is het als kra
kers interne netwerken enteren en mani
puleren. „Het is nog een relatief licht ver
grijp als een kraker erin slaagt voor een
gulden een cd'tje te bestellen dat eigenlijk
twintig gulden kost. Of als hij een demon
stratieversie van een spelletje van internet
haalt, en dat met een gekraakte sleutel tot
een volwaardig spel maakt. De program
matuur daarvoor is gewoon op het net te
vinden", zegt Harald Zeeman van The Se
curity Provider (TSP), een bedrijfje in Beu-
ningen dat het bedrijfsleven helpt met de
beveiliging tegen computercriminaliteit.
Erger wordt het als krakers erin slagen
neppagina's te plaatsen vóór de echte in
ternetpagina's, het zogenoemde 'pagina
kapen'. Als de nietsvermoedende surfer
gevoelige gegevens moet invullen, zoals
het nummer van zijn creditcard, zijn sofi-
nummer of wachtwoorden, kan een kraker
daar vrolijk mee aan de haal gaan. Betaal
nooit met creditcards op internet, zeggen
de meeste deskundigen daarom.
Manipulatie
Langzamerhand dringt door dat met com
puterkraken grof geld te verdienen valt.
Vorige maand nog probeerde de naar ver
luidt Russische computercrimineel Maxim
een Amerikaanse internetwinkel af te per
sen met gestolen creditcardnummers.
Toen het bedrijf weigerde 100.000 dollar te
betalen, gaf Maxim tienduizenden kaart
nummers van klanten vrij op het net.
Ook manipulatie van beurskoersen is
een groeimarkt. Vorige week verscheen
een vals persbericht op de website van
Aastrom Biosciences over een fusie met
branchegenoot Geron Corp uit Caüfornië.
Een werknemer ontdekte de vervalsing,
waarop de beurs de handel in het aandeel
onmiddellijk stillegde. Maar de koers was
intussen al vijftig procent gestegen.
„Simpel: even een stukje tekst op een
website zetten, en vervolgens voor hon
derdduizend gulden aandelen kopen.
Even wachten en dan anderhalve ton in
casseren", zegt beveiligingsspecialist Zee
man van TSP. Hij verwacht dergelijke
trucs ook in Nederland.
De mogelijkheden om te rommelen met
beursgevoelige informatie lijken einde
loos. Patrick Oonk van Security.nl in Den
Haag: „Heel handig als je door een kraak
van het interne e-mailverkeer, twee maan
den vóór publicatie de jaarcijfers al te pak
ken kunt krijgen."
Bedrijfsspionage via internet is ook in
opmars, zegt Job de Haas van beveiligings
bedrijf ITSX in Amsterdam. Vaak gebeurt
dat met behulp van een stroman binnen
het bedrijf. Dat kan een rancuneuze werk
nemer zijn, wiens promotie al een paar
keer is gesneuveld, maar ook een 'vreem
de'. Zeeman: „Een schoonmaker kan 's
avonds tijdens het poetsen makkelijk een
programmaatje op een computer zetten,
dat voor een kraker als bruggenhoofd kan
dienen. En wat dacht je van al die interim-
consultants, die in veel bedrijven zo maar
in het systeem mogen? Wie vraagt je wat
als je zegt dat je als monteur even een
computer komt repareren?"
Veiligheidslekken
Zeeman zegt dat kwaadwillenden uiterst
inventief zijn in computercriminaliteit.
„Alleen al op Schiphol verdwijnen volgens
de marechaussee jaarlijks zesduizend lap
tops van zakenlieden of andere topfunc
tionarissen. De apparaten worden ge
scand en leeggezogen. Er is een levendige
handel in beurs gevoelige data, waar mil
joenen in omgaat. Welk bedrijf weigert
nou vitale informatie van de concurrent
als dat wordt aangeboden?"
Bij de meeste bedrijven is het gevaar van
veiligheidslekken via computers nog niet
doorgedrongen, zeggen experts. Geregeld
zien zij bij opdrachtgevers netwerken, die
zo lek zijn als een mandje. „Bij 99 procent
is nog nooit gekeken naar wat iemand die
kwaad wil kan bereiken", zegt De Haas.
Ook het plaatsen van zogenoemde 'digita
le muren' rond een systeem biedt volgens
hem geen absolute zekerheid. „Dan heb
De Amerikaanse president Clinton voerde op 15 februari overleg met mensen uit de automatiseringswereld
over beveiliging van het internet. Dat gebeurde nadat hackers hadden 'ingebroken' op sites van enkele
toonaangevende bedrijven. foto reuters win mcnamee
ben ze wel een alarmsysteem of firewall,
maar zijn de machines erachter zo lek als
een mandje en helpt die beveiliging niets."
Cijfers over computercriminaliteit zijn
er in Nederland nauwelijks. Ook niet bij de
twintig 'cybercops', die sinds twee jaar
driftig jacht maken op computercrimine
len. „De bereidheid om aangifte te doen is
erg gering", zegt Vriesde van het KLPD.
„Daardoor weten wij heel weinig. En zon
der aantoonbare schade en een benadeel
de kunnen we niks. Uit angst paniek bij
klanten te veroorzaken, zijn bedrijven heel
huiverig om toe te geven dat hun systeem
gekraakt is."
Een ander probleem is de angst voor
nóg zwaardere aanvallen van krakers, zo
dra getroffen bedrijven aangifte doen van
een digitale kraak. „Stel dat je na een kraak
die je al schade genoeg oplevert, nóg eens
dagen wordt lamgelegd. Er zijn bedrijven
waar dat maar twee dagen hoeft te gebeu
ren en ze zijn failliet", zegt hacker Uni
com.
Springplank
De beveiliging van bedrijven, die in Neder
land langzaam op gang begint te komen,
lijkt een stap in de goede richting. Maar
dat is schijn. „Zelfs al zijn alle bedrijven
voor honderd procent beveiligd, dan nog
is het probleem niet opgelost", zegt De
Haas van ITSX. Het probleem zit vooral bij
de gewone internetgebruiker, die thuis ar
geloos over het net surft. Die heeft zijn
computer amper beveiligd met gecodeer
de e-mail, antivirusprogramma's en fire
walls. „Laat staan dat die up-to-date zijn",
zegt De Haas.
Alleen al in Nederland vormen zo hon
derdduizenden gebruikers een gigantische
springplank voor internetvandalen, -cri
minelen en -terroristen, die zo onbelem
merd en straffeloos aanvallen kunnen lan
ceren. En niet alleen tegen bedrijven, waar
het grote geld te halen lijkt.
„Er is al jaren een vims in omloop dat,
als het zich eenmaal in je computer heeft
genesteld, een heel duur nummer gaat
bellen", legt De Haas uit. „Daar merk je
niks van. Want weet jij veel dat je op 14 fe
bruari een zogeheten Trojaans paard hebt
binnengehaald toen je dat anonieme Va-
lentijns-e-mailje opende? Maar ergens in
een ver land loopt een crimineel binnen.
Jij ontdekt dat pas als je een telefoonreke
ning van duizenden guldens krijgt. En
denk maar niet dat er dan nog wat te clai
men valt."
Behalve financiële schade en vernielde
computers - door virussen die in een keer
je harde schijf wissen - kan het slachtoffer
ook zelf in het verdachtenbankje belan
den. Een terrorist die een stroomstoring of
erger teweeg weet te brengen, of een cri
mineel die digitaal miljoenen van een
bank heeft gehaald, zoals in Amerika is ge
beurd, laat het spoor bewust naar een ar
geloze gebruiker lopen.
„Dan hang je mooi", zegt TNO-deskun-
dige Luiijf. Als onschuldige burgers in het
beklaagdenbankje belanden, kunnen zij
zichzelf volgens Luiijf nooit helemaal vrij
pleiten. „Reken op gedonder als je de ach
terbuurten van internet bezoekt, zoals
sekssites waar je vage programmaatjes,
plaatjes of andere bestanden kunt binnen
halen. Zeker als je niet goed beveiligd
bent."
Voorlichting
Bij de particuliere gebruiker is het nut van
veilig internetten nog niet doorgedrongen.
„Zo lang er niets gebeurt, ziet niemand re
den tijd, geld en moeite in beveiliging te
steken. We merken het vaak bij bedrijven.
Totdat het een keer mis gaatzegt Job de
Haas. Het ontbreekt volgens deskundigen
vooral aan voorlichting. „De politie waar
schuwt wel voor inbrekers en komt op ver
zoek kijken of je hang- en sluitwerk thuis
in orde is. Maar over de veiligheid tijdens
het internetten kun je niet bij ze terecht",
zegt Patrick Oonk van Security.nl.
Hij begrijpt dat ook wel. „Twintig cyber
cops, wat kunnen die nou helemaal op
zo'n groot netwerk?" Niettemin vindt
Oonk dat de politie te veel de nadruk legt
op opsporing in plaats van op preventie.
„Je kunt wel leuk om de put gaan staan als
het kalf verdronken is. Maar de schade is
dan al aangericht en in veel gevallen is het
erg lastig de daders te achterhalen."
Daarom moeten er snel cijfers op tafel
komen, vinden de experts. Al is het maar
om aan te tonen dat de georganiseerde
misdaad zich met computercriminaliteit
bemoeit. Als criminelen in laboratoria xtc
kunnen maken, kunnen ze ook hun slag
slaan op internet. „Het aantal delicten
neemt toe. En we weten dat criminelen
net zo makkelijk zaken uitbesteden als zij
zelf de kennis niet in huis hebben", zegt
cybercop Vriesde. Het geringe cijfermate
riaal dat hij heeft, houdt hij voor zich.
„Er moet een meldpunt komen voor ge
dupeerde bedrijven, zonder dat die aangif
te moeten doen en het gevoelige nieuws
uitlekt", zegt beveiliger Oonk. „Dan krijgt
de politiek tenminste eens cijfers over de
Nederlandse situatie. Als bekend is hoe
veel miljoenen schade het bedrijfsleven
door computercriminaliteit lijdt, gebeurt
er misschien eindelijk wat."
FERDI SCHROOTEN