Misdaad in de machine
Het is laat. Het kantoor is vrijwel verlaten. Ik ben nog
aanwezig om te wachten tot een computerprogramma klaar is met wat het moet
doen. Het is eind jaren '90, eerder die dag heb ik nog enkele tientallen
diskettes ombeurten in een pc geschoven om Windows95 en de Office Suite te
installeren. Ik kijk hoe het er voorstaat met mijn printerwachtrij, waarin ik
kan zien of het rekencentrum al is begonnen met het printen van facturen.
Ineens zie ik een patroon. Mijn printerwachtrijen hebben de namen MB1 en MB2
(Mijn Bedrijf, ik fingeer de naam even), is het dan niet logisch dat onze
concurrent (Concurrerend Bedrijf) minstens de wachtrijnaam CB1 gebruikt?
Ik typ het in. Ik verwacht dat ik om een wachtwoord word
gevraagd, maar nee... ik zie ineens de facturen van de concurrent voor me
staan, naam- adres- en rekeninggegevens van hun klanten, plus nog wat gegevens
over waar zij op een bepaalde tijd waren met welke auto. Het is natuurlijk niet
de bedoeling dat ik dit zie. Ik besef ook dat wanneer de concurrent op
hetzelfde idee komt, zij bij de facturen voor onze klanten kunnen komen. Dat is
al helemaal niet de bedoeling, dat gaat in tegen de Wet Persoonsgegevens.
Ik tril ervan. Ik krijg een soort high. Ik weet dat ik die
nacht niet kan slapen, euforisch fiets ik naar huis. Ik heb iets gedaan waarvan
ik niet dacht dat ik het kon. Ik heb iets gedaan dat feitelijk niet mag.
Hierop besluit ik zo spoedig mogelijk mijn leidinggevenden
in te lichten, de volgende dag. Het kost nogal wat moeite hen ervan te overtuigen
dat ze het rekencentrum moeten inlichten, dat die de printerwachtrij beter
beschermden, of autoriseerden zoals dat heet.
Het is een simpel voorbeeld van hoe iemand zonder al te veel
technische kennis kan "hacken" en "veiligheidslekken" in de
software van anderen kan aantonen. Ik weet niet wat ik allemaal met die
facturen had kunnen doen als ik kwaad had gewild, iets als adressen gebruiken
en een aanmaning sturen met het verzoek het bedrag op mijn rekening te storten
ligt voor de hand. Sowieso horen de adres- en rekeninggegevens van derden niet
inzichtelijk te zijn voor zomaar mensen van zomaar een ander bedrijf.
Mocht je hierover bezorgd zijn, lezer, sinds die tijd zijn
de wetten aangepast en als klant/burger heb je nu veel meer rechten om jouw
gegevens te beschermen. Als je er meer over wilt weten, lees dan over GDPR (General
Data Protection Regulation) of in goed Nederlands AVG (Algemene Verordening
Gegevensbescherming).
Het hacken of andere cybercrime is een aparte tak van sport
binnen de thrillers. Aanvankelijk leunde dat genre dicht tegen sciencefiction
aan. Ik heb talloze zogenaamde "cyberthrillers" gelezen waarin de
grootste onzin stond. Zoals misdadigers die data vernietigden door een beeldscherm
kapot te schieten (het computergeheugen zit doorgaans niet in het beeldscherm, en
schieten vernietigt zelden genoeg). Dat is niet eens sciencefiction. Veel
schrijvers houden zich op de achtergrond en gebruiken de computer als een
toverdoos: er gebeurt "iets" in de computer en dat heeft dan het
gewenste resultaat voor de loop van het verhaal.
Nu is "technisch" hacken tegenwoordig niet zo
moeilijk. Er zijn allemaal programmaatjes die je van schimmige sites kunt
downloaden en ervoor kunt gebruiken. Dat is ook minder spannend om over te
lezen. Als je een ècht cybercrime verhaal wilt lezen, raad ik The Cuckoo's Egg
van Cliff Stoll aan (Nederlandse titel: Het koekoeksei: over krakers en
computerspionage), een waargebeurd verhaal over cyberspionage. In het kort komt
het erop neer dat Duitse hackers via de computers van de Berkeley Universiteit
bij de Amerikaanse defensie inbreken en hun gestolen spullen in Berlijn aan de
Russen verkopen. Er is een (geromantiseerde) Duitse film van gemaakt: 23 -
Nichts ist so wie es scheint.
Indertijd waren er meer boeken die insprongen op dergelijke
echte verhalen. Zo ging Tom Clancy de technothrillers schrijven waarbij de Net
Force-serie sterk op cybercrime leunt. Daarbij pikte het genre veel op van het
cyberpunk-genre, wat inmiddels ook tot een levensstijl was uitgegroeid. Voor de
jeugd was er Huub Hovens met de CyberZone-serie, een aanrader voor wie denkt
dat het genre voor volwassenen allemaal te ingewikkeld is - het wordt hierin
allemaal goed uitgelegd. Het grappige is dat die thrillers die toen heel
futuristisch waren inmiddels volkomen achterhaald zijn, want het gaat allemaal
heel erg snel met de ontwikkeling van de informatica. De boeken zijn vooral met
nostalgie te lezen, de cyberpunk is "de jaren '80 zoals ze nooit zijn
geweest".
***
Een andere avond, hetzelfde kantoor. Ik verveel me weer een
beetje terwijl ik ergens op wacht, en ga eens kijken wat onze software allemaal
kan. Veel mensen gebruiken software voor zover ze die nodig hebben en
interesseren zich niet voor functies waarvan ze het bestaan niet kennen of
denken die functies niet nodig te hebben. Ik werk anders... ik wil weten hoe
software mij nog beter van dienst kan zijn, zodat ik sneller kan werken en meer
tijd heb voor leuke dingen.
Mijn ondergeschikten klagen dat de verbinding met het
rekencentrum traag is. Wij zitten immers hier op afstand te werken terwijl het
grote computerprogramma elders in het land staat (op wat een mainframe wordt
genoemd), en daar worden ook alle gegevens opgeslagen die wij hier intypen. Alle
gegevens moeten eerst naar ons, waar we het bewerken, en dan weer terug. Bij de
systeembeheerder heb ik al gemeld dat het probleem deels is opgelost doordat ik
het verbindingsprogramma dubbel heb opgestart, zoals je in een browser twee
tabbladen naast elkaar kunt hebben en in de ene kunt werken terwijl de andere
iets anders doet (alleen hadden browsers toen nog geen tabbladen). Volgens de
systeembeheerder kàn dat helemaal niet, maar de praktijk wijst anders uit. Kan
ik nog iets vinden waarmee de "performance" van het programma en dus
mijn medewerkers kan worden verbeterd? Ik kijk in wat menu's met opties. Dan
zie ik iets staan waarvan ik vermoed dat ik weet wat het is, maar eigenlijk
niet kan geloven wat het is: een keyboard logger.
Een keyboard logger houdt alles bij wat je intypt. Ik
probeer het uit en ik zie dat het zelfs het wachtwoord dat we gebruiken
opslaat, en wel in leesbare letters. Ik val bijna van mijn stoel. Ik vermoed
dat niemand op kantoor weet dat die functie in die software aanwezig is. En dat
is goed zo... denk ik. Ik vergeet het, tot ik ziek word en bij mijn re-integratie
blijkt dat ik geen toegang meer heb tot bepaalde functies in de software die we
met dat verbindingsprogramma kunnen bereiken. Zo kan ik mijn werk niet doen! Ik
herinner me de keyboard logger. Zodra de collega die wèl bij de functies kan
even weg is, schuif ik achter zijn computer. Natuurlijk is hij te lui om een
schermbeveiliging met wachtwoord aan te zetten, dus het is een fluitje van een
cent om de keyboard logger aan te zetten en ongemerkt weer naar mijn eigen
werkplek te sluipen.
De keyboard logger maakt een bestandje aan. Ik zorg ervoor
dat ik daarbij kan, door het op de server te plaatsen. Dat is me niet genoeg:
ik schrijf een eenvoudig programmaatje dat het bestandje met daarin het
wachtwoord van de server naar mijn eigen pc kan kopiëren en dan verwijdert van
de server. Nee, ik ben geen programmeur van beroep, maar dit was simpel genoeg
voor een leek.
Dat is natuurlijk niet zoals het hoort. Ik heb het aan mijn
systeembeheerder verteld, maar die wilde niet luisteren, wat weet zo'n snotneus
als ik nou van computers? Dus zo heb ik nog een tijdje doorgewerkt door met een
"gestolen" wachtwoord mijn eigen inloggegevens weer voldoende te
autoriseren om mijn werk te kunnen doen.
Breek me de bek niet open, het ging er van kwaad tot erger
met technisch onbenul, dus ben ik bij dat bedrijf weggegaan. Maar was in mijn
eerste voorbeeld het probleem nog veroorzaakt door een slordigheid van de
systeembeheerder, ergens in een deel van het netwerk dat niet superbelangrijk
lijkt, in het tweede voorbeeld is het een gebruikersfout van mijn collega: laat
nooit je computer onbeheerd openstaan zonder het beeldscherm te blokkeren met een
schermbeveiliger en daarop een wachtwoord. Dat komt heel veel voor, zodat ik na
een tijdje geen zin meer had om mijn collega's te waarschuwen door hun
instellingen te wijzigen als ze 's avonds naar huis waren en toch hun pc aan
hadden gelaten. Malle fratsen, knalroze achtergrond, beeldscherm op zijn kop,
rare plaatjes als wallpaper... Ik kon makkelijk bij hun privémail of hun
salarisgegevens, ik had als hun allerlei narigheid uit kunnen halen... ik heb
het niet gedaan.
Ik dacht hieraan toen ik Verbroken van Linda Jansma las. Dat
gaat over een hacker die in allerlei systemen moet inbreken. Als je cybercrime
interessant vindt, is het een leuk boek, hoewel de smakelijke details over hóe
je inbreekt in computers er niet in staat. Jansma refereert wel aan een bepaalde
techniek voor het hacken: social engineering. Dat gaat door op een bepaalde
manier gegevens aan mensen te ontfutselen. De bekendste hacker die deze
techniek gebruikte is Kevin Mitnick.
In The Hacker Crackdown van cyberpunkschrijver Bruce Sterling
is (onder meer) beschreven hoe Kevin te werk ging en hoe hij uiteindelijk werd
opgepakt. Mitnick is zo legendarisch dat er meer boeken over hem zijn
geschreven, zoals Takedown van Tsutomu Shimomura en John Markoff. Uiteraard
heeft Kevin er zelf ook boeken over geschreven. Hij is tegenwoordig
beveiligingsadviseur. It takes a thief to
catch a thief.
Jansma laat in Verbroken duidelijk zien hoe techniek het
speelveld van de gemiddelde crimineel heeft veranderd. Niet alleen de politie
gebruikt computers, de criminelen ook. Geavanceerde techniek maakt deel uit van
elke realistische moderne thriller, al is het maar dat de meeste mensen een
mobiele telefoon hebben. En die weten te gebruiken. In die wereld kan onvoldoende
kennis van techniek tot je ondergang leiden. In Verbroken is het fictie, maar
er is bekend geworden dat een Bulgaarse criminele bende gearresteerd kon worden
doordat mensen hun gestolen iPhone gingen zoeken met Find my iPhone en al die
telefoons op hetzelfde adres bleken te liggen.
Ik ben groot geworden met cyberpunk en technothrillers. Daar
heb ik mijn ICT-vakkennis vandaan, hoe raar het ook klinkt. Ik vraag me af hoe
slim thrillerlezers zijn geworden met moderne techniek door er simpelweg over
te lezen. Kun je iets leren van thrillers, of is het te fictief of te
ingewikkeld?
En wat doet nou dat plaatje van die brug bij deze column? Dat is de Hackerbrücke in München. Toen
Mitnick nog gevangen was, is de brug vol "Free Kevin"-stickers
geplakt. De brug is echter genoemd naar de Hacker-brouwerij en heeft van
oorsprong niks met cybercrime te maken.
Ook belangrijk is dat je meldt welk boek je graag zou winnen.
