Column Jack Schlimazlnik

Misdaad in de machine

Het is laat. Het kantoor is vrijwel verlaten. Ik ben nog aanwezig om te wachten tot een computerprogramma klaar is met wat het moet doen. Het is eind jaren '90, eerder die dag heb ik nog enkele tientallen diskettes ombeurten in een pc geschoven om Windows95 en de Office Suite te installeren. Ik kijk hoe het er voorstaat met mijn printerwachtrij, waarin ik kan zien of het rekencentrum al is begonnen met het printen van facturen. Ineens zie ik een patroon. Mijn printerwachtrijen hebben de namen MB1 en MB2 (Mijn Bedrijf, ik fingeer de naam even), is het dan niet logisch dat onze concurrent (Concurrerend Bedrijf) minstens de wachtrijnaam CB1 gebruikt?

Ik typ het in. Ik verwacht dat ik om een wachtwoord word gevraagd, maar nee... ik zie ineens de facturen van de concurrent voor me staan, naam- adres- en rekeninggegevens van hun klanten, plus nog wat gegevens over waar zij op een bepaalde tijd waren met welke auto. Het is natuurlijk niet de bedoeling dat ik dit zie. Ik besef ook dat wanneer de concurrent op hetzelfde idee komt, zij bij de facturen voor onze klanten kunnen komen. Dat is al helemaal niet de bedoeling, dat gaat in tegen de Wet Persoonsgegevens.

Ik tril ervan. Ik krijg een soort high. Ik weet dat ik die nacht niet kan slapen, euforisch fiets ik naar huis. Ik heb iets gedaan waarvan ik niet dacht dat ik het kon. Ik heb iets gedaan dat feitelijk niet mag.

Hierop besluit ik zo spoedig mogelijk mijn leidinggevenden in te lichten, de volgende dag. Het kost nogal wat moeite hen ervan te overtuigen dat ze het rekencentrum moeten inlichten, dat die de printerwachtrij beter beschermden, of autoriseerden zoals dat heet.

Het is een simpel voorbeeld van hoe iemand zonder al te veel technische kennis kan "hacken" en "veiligheidslekken" in de software van anderen kan aantonen. Ik weet niet wat ik allemaal met die facturen had kunnen doen als ik kwaad had gewild, iets als adressen gebruiken en een aanmaning sturen met het verzoek het bedrag op mijn rekening te storten ligt voor de hand. Sowieso horen de adres- en rekeninggegevens van derden niet inzichtelijk te zijn voor zomaar mensen van zomaar een ander bedrijf.

Mocht je hierover bezorgd zijn, lezer, sinds die tijd zijn de wetten aangepast en als klant/burger heb je nu veel meer rechten om jouw gegevens te beschermen. Als je er meer over wilt weten, lees dan over GDPR (General Data Protection Regulation) of in goed Nederlands AVG (Algemene Verordening Gegevensbescherming).

Het hacken of andere cybercrime is een aparte tak van sport binnen de thrillers. Aanvankelijk leunde dat genre dicht tegen sciencefiction aan. Ik heb talloze zogenaamde "cyberthrillers" gelezen waarin de grootste onzin stond. Zoals misdadigers die data vernietigden door een beeldscherm kapot te schieten (het computergeheugen zit doorgaans niet in het beeldscherm, en schieten vernietigt zelden genoeg). Dat is niet eens sciencefiction. Veel schrijvers houden zich op de achtergrond en gebruiken de computer als een toverdoos: er gebeurt "iets" in de computer en dat heeft dan het gewenste resultaat voor de loop van het verhaal.

Nu is "technisch" hacken tegenwoordig niet zo moeilijk. Er zijn allemaal programmaatjes die je van schimmige sites kunt downloaden en ervoor kunt gebruiken. Dat is ook minder spannend om over te lezen. Als je een ècht cybercrime verhaal wilt lezen, raad ik The Cuckoo's Egg van Cliff Stoll aan (Nederlandse titel: Het koekoeksei: over krakers en computerspionage), een waargebeurd verhaal over cyberspionage. In het kort komt het erop neer dat Duitse hackers via de computers van de Berkeley Universiteit bij de Amerikaanse defensie inbreken en hun gestolen spullen in Berlijn aan de Russen verkopen. Er is een (geromantiseerde) Duitse film van gemaakt: 23 - Nichts ist so wie es scheint.

Indertijd waren er meer boeken die insprongen op dergelijke echte verhalen. Zo ging Tom Clancy de technothrillers schrijven waarbij de Net Force-serie sterk op cybercrime leunt. Daarbij pikte het genre veel op van het cyberpunk-genre, wat inmiddels ook tot een levensstijl was uitgegroeid. Voor de jeugd was er Huub Hovens met de CyberZone-serie, een aanrader voor wie denkt dat het genre voor volwassenen allemaal te ingewikkeld is - het wordt hierin allemaal goed uitgelegd. Het grappige is dat die thrillers die toen heel futuristisch waren inmiddels volkomen achterhaald zijn, want het gaat allemaal heel erg snel met de ontwikkeling van de informatica. De boeken zijn vooral met nostalgie te lezen, de cyberpunk is "de jaren '80 zoals ze nooit zijn geweest".

***

Een andere avond, hetzelfde kantoor. Ik verveel me weer een beetje terwijl ik ergens op wacht, en ga eens kijken wat onze software allemaal kan. Veel mensen gebruiken software voor zover ze die nodig hebben en interesseren zich niet voor functies waarvan ze het bestaan niet kennen of denken die functies niet nodig te hebben. Ik werk anders... ik wil weten hoe software mij nog beter van dienst kan zijn, zodat ik sneller kan werken en meer tijd heb voor leuke dingen.

Mijn ondergeschikten klagen dat de verbinding met het rekencentrum traag is. Wij zitten immers hier op afstand te werken terwijl het grote computerprogramma elders in het land staat (op wat een mainframe wordt genoemd), en daar worden ook alle gegevens opgeslagen die wij hier intypen. Alle gegevens moeten eerst naar ons, waar we het bewerken, en dan weer terug. Bij de systeembeheerder heb ik al gemeld dat het probleem deels is opgelost doordat ik het verbindingsprogramma dubbel heb opgestart, zoals je in een browser twee tabbladen naast elkaar kunt hebben en in de ene kunt werken terwijl de andere iets anders doet (alleen hadden browsers toen nog geen tabbladen). Volgens de systeembeheerder kàn dat helemaal niet, maar de praktijk wijst anders uit. Kan ik nog iets vinden waarmee de "performance" van het programma en dus mijn medewerkers kan worden verbeterd? Ik kijk in wat menu's met opties. Dan zie ik iets staan waarvan ik vermoed dat ik weet wat het is, maar eigenlijk niet kan geloven wat het is: een keyboard logger.

Een keyboard logger houdt alles bij wat je intypt. Ik probeer het uit en ik zie dat het zelfs het wachtwoord dat we gebruiken opslaat, en wel in leesbare letters. Ik val bijna van mijn stoel. Ik vermoed dat niemand op kantoor weet dat die functie in die software aanwezig is. En dat is goed zo... denk ik. Ik vergeet het, tot ik ziek word en bij mijn re-integratie blijkt dat ik geen toegang meer heb tot bepaalde functies in de software die we met dat verbindingsprogramma kunnen bereiken. Zo kan ik mijn werk niet doen! Ik herinner me de keyboard logger. Zodra de collega die wèl bij de functies kan even weg is, schuif ik achter zijn computer. Natuurlijk is hij te lui om een schermbeveiliging met wachtwoord aan te zetten, dus het is een fluitje van een cent om de keyboard logger aan te zetten en ongemerkt weer naar mijn eigen werkplek te sluipen.

De keyboard logger maakt een bestandje aan. Ik zorg ervoor dat ik daarbij kan, door het op de server te plaatsen. Dat is me niet genoeg: ik schrijf een eenvoudig programmaatje dat het bestandje met daarin het wachtwoord van de server naar mijn eigen pc kan kopiëren en dan verwijdert van de server. Nee, ik ben geen programmeur van beroep, maar dit was simpel genoeg voor een leek.

Dat is natuurlijk niet zoals het hoort. Ik heb het aan mijn systeembeheerder verteld, maar die wilde niet luisteren, wat weet zo'n snotneus als ik nou van computers? Dus zo heb ik nog een tijdje doorgewerkt door met een "gestolen" wachtwoord mijn eigen inloggegevens weer voldoende te autoriseren om mijn werk te kunnen doen.

Breek me de bek niet open, het ging er van kwaad tot erger met technisch onbenul, dus ben ik bij dat bedrijf weggegaan. Maar was in mijn eerste voorbeeld het probleem nog veroorzaakt door een slordigheid van de systeembeheerder, ergens in een deel van het netwerk dat niet superbelangrijk lijkt, in het tweede voorbeeld is het een gebruikersfout van mijn collega: laat nooit je computer onbeheerd openstaan zonder het beeldscherm te blokkeren met een schermbeveiliger en daarop een wachtwoord. Dat komt heel veel voor, zodat ik na een tijdje geen zin meer had om mijn collega's te waarschuwen door hun instellingen te wijzigen als ze 's avonds naar huis waren en toch hun pc aan hadden gelaten. Malle fratsen, knalroze achtergrond, beeldscherm op zijn kop, rare plaatjes als wallpaper... Ik kon makkelijk bij hun privémail of hun salarisgegevens, ik had als hun allerlei narigheid uit kunnen halen... ik heb het niet gedaan.

Ik dacht hieraan toen ik Verbroken van Linda Jansma las. Dat gaat over een hacker die in allerlei systemen moet inbreken. Als je cybercrime interessant vindt, is het een leuk boek, hoewel de smakelijke details over hóe je inbreekt in computers er niet in staat. Jansma refereert wel aan een bepaalde techniek voor het hacken: social engineering. Dat gaat door op een bepaalde manier gegevens aan mensen te ontfutselen. De bekendste hacker die deze techniek gebruikte is Kevin Mitnick.

In The Hacker Crackdown van cyberpunkschrijver Bruce Sterling is (onder meer) beschreven hoe Kevin te werk ging en hoe hij uiteindelijk werd opgepakt. Mitnick is zo legendarisch dat er meer boeken over hem zijn geschreven, zoals Takedown van Tsutomu Shimomura en John Markoff. Uiteraard heeft Kevin er zelf ook boeken over geschreven. Hij is tegenwoordig beveiligingsadviseur. It takes a thief to catch a thief.

Jansma laat in Verbroken duidelijk zien hoe techniek het speelveld van de gemiddelde crimineel heeft veranderd. Niet alleen de politie gebruikt computers, de criminelen ook. Geavanceerde techniek maakt deel uit van elke realistische moderne thriller, al is het maar dat de meeste mensen een mobiele telefoon hebben. En die weten te gebruiken. In die wereld kan onvoldoende kennis van techniek tot je ondergang leiden. In Verbroken is het fictie, maar er is bekend geworden dat een Bulgaarse criminele bende gearresteerd kon worden doordat mensen hun gestolen iPhone gingen zoeken met Find my iPhone en al die telefoons op hetzelfde adres bleken te liggen.

Ik ben groot geworden met cyberpunk en technothrillers. Daar heb ik mijn ICT-vakkennis vandaan, hoe raar het ook klinkt. Ik vraag me af hoe slim thrillerlezers zijn geworden met moderne techniek door er simpelweg over te lezen. Kun je iets leren van thrillers, of is het te fictief of te ingewikkeld?

En wat doet nou dat plaatje van die brug bij deze column? Dat is de Hackerbrücke in München. Toen Mitnick nog gevangen was, is de brug vol "Free Kevin"-stickers geplakt. De brug is echter genoemd naar de Hacker-brouwerij en heeft van oorsprong niks met cybercrime te maken.