We hebben hackers nodig om ons tegen hackers te beschermen

Door Andrea Speijer-Beek

Een Martinair-piloot die scans van zijn paspoort en vliegbrevet opslaat op een onbeveiligd backupapparaat, mappen vol Europol-data die op straat belanden omdat een agente wilde overwerken op vakantie – veiligheid is zo sterk als de zwakste schakel. In een tijdperk waarin iedere droplul weet hoe Google werkt en met een paar klikken toegang kan krijgen tot gevoelige data is het makkelijker dan ooit om die zwakke schakel te vinden. Daarom hebben we de hulp van white-hat-hackers, die kwetsbaarheden in databeveiliging vinden voordat criminelen dat doen, hard nodig.

picture

In een zee grijze maatpakken zitten twee casual geklede mannen achter hun laptops in de lobby van het Haagse Hilton Hotel. Het zijn white-hat-hackers Victor Gevers en Edwin van Andel. Edwin probeert te achterhalen of het flitsapparaat van de fotograaf hackbaar is – het gebruikt radiofrequentie, dus ja – en staat zijn laptop af aan Victor die ermee poseert voor de foto. Net als ik wil grappen of het wel verstandig is je computer uit handen te geven aan een hacker, zegt Victor: “Je gelooft nooit waar ik nu naar kijk.” Edwin haalt zijn schouders op, en zegt “Gelukkig ken ik je al heel lang.”

Voor het inkopen van skills zoals die van Victor en Edwin zijn de chic geklede meneren om hen heen naar de Cyber Security Showcase – generiek genaamd ‘Technology is Great!’ – in het Hilton gekomen. Het is Victor en Edwins missie om onveilige software op te sporen en de eigenaar erop attent te maken, zodat die het lek kan fixen voordat een black-hat-hacker het lekke apparaat toevoegt aan zijn leger zombiebots. Victor: “Alle rotzooi die men in de afgelopen jaren heeft gekocht komt nu terug om ons in de kont bijten in de vorm van DDoS aanvallen met onze onveilige Chinese webcams.”

Ernstiger dan webcams die worden omgevormd tot zombiebots in een DDoS-aanval, zijn de lekken in persoonlijke gebruikersapplicaties. Victor: “Mensen die werken bij handhaving willen vaak gezond leven en doen aan hardlopen. Daarbij maken ze gebruik van een applicatie die bijhoudt hoe lang en wanneer ze gaan hardlopen en welke route ze nemen. Voor een hacker zijn die gegevens allemaal zichtbaar.”

De hackers van nu hebben geen weet van de fouten die de oude garde al in de jaren zeventig maakte. Dit betekent dat de jonkies weer precies dezelfde fouten maken die de oude hackers al gemaakt hebben, waardoor het een stuk makkelijker is geworden voor oudere hackers als Edwin en Victor om de jeugdige cybercrimineel voor te zijn.

Door de enorme hoeveelheid scriptkiddies, hacktivisten, criminelen en boosaardige overheden blijft het niettemin lastig om alle aanvallen te stoppen. Victor: “Vroeger kwamen er honderd websites per dag bij, nu zijn dat er miljoenen. Al die snel in elkaar geklikte successen zoals Instagram hebben structurele zwakheden waardoor hackers bij gebruikersdata kunnen komen.”

Edwin heeft plannen om zijn Guild of Grumpy Old Hackers om te vormen tot een stichting die zich richt op het begeleiden van jonkies. Dit begeleiden is nodig, want hackers beginnen vroeg, vaak nog voordat hun empathie en inschatting van de mogelijke gevolgen van een hack zijn ontwikkeld.

Neem bijvoorbeeld de Ashley Madison-hack, waarbij de gegevens van overspelige gebruikers online werden gedumpt. De ene hacker dumpt die data gewoon, want vreemdgangers zijn ‘fair game’. Dat betekent alleen wel dat mensen zelfmoord plegen of soms zelfs van het dak worden gegooid, omdat ze bijvoorbeeld een homoseksuele relatie hebben in landen waar dat niet geaccepteerd wordt. Victor: “In Nederland hebben we ethische richtlijnen die bepalen wat je wel en niet mag doen. Vaak komt dat neer op je gezond verstand gebruiken.”

Hackers hebben dus de macht om hardloop-apps te gebruiken als tracking device en al je geheime online activiteiten met de wereld te delen. Die macht maakt mensen soms een beetje nerveus. Volgens Victor helpen de media het hackerimago ook niet bepaald. “De media plakken de term ‘hacker’ op alles wat eng en naar is.”

Edwin vergelijkt de rol van de hacker met die van een spin: “Veel mensen zijn doodsbenauwd voor spinnen, maar het zijn wel spinnen die muggen vangen. Hackers lijken eng, maar ze doen ook goede dingen.” Hij houdt regelmatig en geduldig zijn “hackers zijn lief” praatje voor geïnteresseerde noobs zoals ik, in de hoop dat de publieke opinie zich keert.

Om het publiek te laten zien dat hackers “coole mensen zijn die willen helpen” gaat Victor langs op basisscholen om kinderen te leren over privacy en veiligheid aan de hand van Pokémon Go.

Door de enorme hoeveelheid kwaadwillenden en een gebrek aan cyberexpertise, kampen handhaving en overheid met een groot probleem. Ook al zal de overheid het niet snel toegeven, ze staat machteloos tegenover de toenemende cybercriminaliteit zonder de hulp van white-hat-hackers. Hetzelfde geldt voor bedrijven.

picture

Een voor de hand liggende (schijn)oplossing voor die vervelende tekortkoming is het simpelweg schrijven van meer wetgeving. Binnenkort gaat dan ook een nieuwe Europese wet voor databescherming in, de General Data Protection Regulation (GDPR), waardoor producenten financieel aansprakelijk worden gesteld wanneer hun met het internet verbonden apparaten gebruikersdata lekken. Boetes voor bedrijven die onveilige apparaten leveren kunnen onder de nieuwe wet oplopen tot “4 procent van de jaarwinst, of minimaal 20 miljoen euro”.

Deze nieuwe wet betekent big business voor bedrijven die zich specialiseren in cybersecurity, maar het is ook een potentiële goudmijn voor alle hackers. White-hat-hackers kunnen door de nieuwe wetgeving meer ‘pen tests’ – proberen in te breken in kwetsbare systemen om de veiligheid te testen – uitvoeren voor bedrijven die geen boete willen betalen. Black-hat-hackers kunnen gewoon doorgaan met wat ze doen: het doorverkopen van lekken en data. De nieuwe wetgeving zal meer hackers rijk maken, maar hoe hij ook gebruikersdata veiliger houdt is niet meteen duidelijk.

Veiligheid is door de nieuwe wetgeving juist weer een kwestie geworden van geld: levert het meer op om “een brakke app”, zoals Victor het noemt, op de markt te brengen dan er langer mee te wachten om hem veilig te maken, dan betaalt het bedrijf gewoon de boete en heeft de consument alsnog een onveilig product.

Victor is er laconiek over: “Tja, wat wil je. Het is een wet.” Hij legt met veel empathie uit dat politici over het algemeen welwillende noobs zijn. Ze begrijpen niet hoe technologie werkt, maar zijn wel in de positie dat ze er dingen van moeten vinden. Het resultaat is meestal een wet die wel goed bedoeld is, maar niet doet wat de politici denken dat hij doet.

De oplossing voor het probleem van illegaal hacken is niet een nieuwe wet, maar zit volgens zowel Victor en Edwin in het verhogen van bug bounties tot hetzelfde bedrag dat hackers op de zwarte markt krijgen voor het exploiteren van de bug. Olivier Beg, een supergetalenteerde twintigjarige hacker, heeft vliegtuigmaatschappij United gehackt en zo de maatschappij attent gemaakt op hun veiligheidslek. United was heel blij en gaf Olivier een miljoen airmiles cadeau. Edwin: “De Nederlandse belastingdienst belast dat met 0,02 cent per mile, en telt dan 20.000 euro bij je inkomen op. Dit maakt het werken als ethical hacker soms niet zo aantrekkelijk. Zeker als je weet dat het criminelen vele malen meer oplevert als ze een dergelijk lek doorverkopen.”

Niet alleen geld en ontoereikende nieuwe wetten staan een gezond white-hat-klimaat in de weg. De bestaande wetgeving die mensen juist tegen computervredebreuk moet beschermen is nu zo streng dat ook hackers met goede intenties risico lopen op celstraf. Dit betekent dat de goedwillende hacker nu een probleem heeft. Hij kan zijn bevindingen niet aan de eigenaar van het brakke systeem geven, laat staan er een beloning voor vragen, zonder daarbij het risico te lopen voor de rechter te moeten verschijnen.

Cybersecurity-ondernemingen zoals Zerocopter – waar United hacker Olivier nu in dienst is als “hoofd onderzoek” – willen hier met een slim plan verandering in brengen en scriptkiddies die op het punt staan black-hat te gaan overhalen de kant van security hacking te kiezen. Hiervoor is wel eerst een door iedereen geaccepteerde methode voor het openbaren van een gevonden lek nodig.

Die methode is er in het zogenoemde responsible-disclosure-beleid. Dit komt er kortgezegd op neer dat een hacker niet meteen het gevonden lek openbaar maakt, maar eerst een organisatie de tijd geeft om het lek te dichten. Meteen het lek openbaar maken zou namelijk andere, kwaadwillende, hackers op het lek kunnen attenderen en zo de data van gebruikers in gevaar brengen.

Volgens Edwin, als hacker en spreker ook in dienst bij Zerocopter, is Nederland daarin uniek in Europa. Iedereen kan bij Zerocopter een rapport indienen. Omdat het is ingediend bij een Nederlands bedrijf met een protocol voor responsible disclosure,, dan concludeert een rechter – mocht die ernaar kijken – dat er geen sprake was van een misdrijf.

Dit maakt het niet alleen veiliger voor de hacker om een ethische weg te bewandelen, het maakt het ook lucratief. Bij Zerocopter worden hackers beloond voor het fixen van de bugs die ze vinden. Zo lost de hackergemeenschap zelf de problemen op die zijn veroorzaakt door domme wetgeving en perverse prikkels.

“Mijn persoonlijke motto is ‘question everything’, van het science channel. Dat is waar de hackermentaliteit om draait,” aldus Victor. Onafhankelijke hackers zoals Victor en Edwin moeten er wel rekening mee houden dat ze door veiligheidsdiensten in de gaten worden gehouden. Edwin: “Ik doe al 28 jaar heel spannende dingen en heb weleens gekke bliepjes op mijn telefoon, maar verder doe ik nog gewoon mijn ding.” Victor voegt daar doodleuk aan toe dat ik waarschijnlijk ook gevolgd word. “Als ze zien op Twitter dat ik contact heb met een journalist zetten ze een vlaggetje bij jou om te controleren of wat ik je vertel wel oké is.”

De hackers zijn verrassend genuanceerd over dit spionagebeleid dat in meer anarchistische hackerkringen als schandalig wordt beschouwd. Victor, laconiek: “Als overheid ben je bezig met het maken van langetermijnplannen. Dan zit je niet altijd te wachten op hackers die overal kritisch over zijn.”

Ik vraag of het geen karma zou zijn als de overheid wordt gehackt en of we er iets van zouden merken. Victor: “De cyberwar is er nog niet, want als die er wel zou zijn zouden we dat echt wel merken.”

Een all-out cyberwar zou eruit zien als Die Hard 4, waarin terroristen een fire-sale-aanval uitvoeren op Amerika. De fire sale (totale leegverkoop in het Nederlands) bestaat uit drie fasen: in fase 1 gaat de publieke transportatie eraan. Geen verkeerslicht doet het meer, luchtverkeersleiders hebben geen mogelijkheid om nog hun werk te doen, er ontstaat chaos en paniek alom. In fase 2 gaat het financiële systeem eraan. Wall Street stort in, al het geld wordt waardeloos, niemand kan meer pinnen.

De derde fase bestaat uit het afsluiten van alle levensmiddelen, elektriciteit, gas, telecommunicatie en satellieten. Victor: “Je verzuipt het logistieke netwerk gewoon, waardoor medicijnen niet kunnen worden aangeleverd bij apotheken, levensmiddelen niet meer aankomen bij de supermarkten, etcetera.” Je kunt een land kortom helemaal in puin leggen zonder ooit een kinetisch wapen aan te raken.

De mogelijkheid van een fire sale is een controversiële zaak in de hackergemeenschap. Prominente militairen als generaal Ducheine gaan niet verder dan toegeven dat Nederland ‘kwetsbaar’ is voor cyberaanvallen. Ook Victor en Edwin doen geen boude uitspraken. Wel zijn ze er duidelijk over dat alles te hacken valt. “Als je een object kunt bespioneren, kun je het ook manipuleren,” aldus voormalig hoofd van de NSA en CIA Michael Hayden. Het Amerikaanse Nitro Zeus-programma is een fire sale in alles behalve de naam.

De enige reden dat we volgens Victor nog geen fire sale hebben gehad, is dat andere landen dat niet willen. We zijn internationaal afhankelijk van elkaar dus als een land omvalt, raakt dat ook de economie van het aanvallende land. Terroristen die schijt hebben aan de gevolgen voor mensenlevens en de wereldeconomie zijn hier nog niet mee bezig maar dat gaat een keer gebeuren. “Als er een goed georganiseerde poging zou komen, dan hebben we een serieus probleem.”


TIPS

Als je na het lezen van dit artikel paranoïde bent geworden en wil checken of jij zelf gehackt bent, kun je beginnen door naar de website haveibeenpwned te gaan. Hier kun je checken of jouw email is gecompromitteerd. Als dat het geval is moet je je wachtwoord meteen veranderen (niet in wachtwoord123) en 2-Step Verification instellen. Dit maakt het een stuk moeilijker voor hackers om bij je gegevens te komen.

Voor veilig telefooncontact installeer je Signal. Het is open source, waardoor iedereen de code kan checken op bugs, en is bovendien helemaal gratis.

Koop een iPhone. iOS is veiliger omdat de kwetsbaarheden (zero days) duurder zijn. Maar iOS kan je niet 100% beschermen tegen menselijke onhandigheid. De beste manier om veilig te blijven is het installeren van schone apps, want zodra je een geïnfecteerde app installeert, ben je gehackt.

Voor verdere tips en online-veiligheidstrainingen check je de website van Bits of Freedom.

Maar wees gewaarschuwd, als een geheime dienst per se wil meekijken ben je nog steeds gewoon de lul.

Next up