Bijna elke gebruiker van internet is op te sporen

Ondanks een `anoniem' emailadres was de hacker snel getraceerd. ,,Je moet wel heel goed je best doen, wil je uiteindelijk niet traceerbaar zijn op internet.''

De politie noemt haar een moving target. Niet omdat de 23-jarige Philippijnse studente die ervan verdacht wordt afgelopen donderdag het `I love you' virus de wereld ingestuurd te hebben elektronisch onvindbaar is, maar omdat ze letterlijk de benen genomen heeft. Op het wereldwijde web is ze namelijk al lang achterhaald. Een team van de Amerikaanse FBI heeft de digitale liefdesbrieven van een zekere `spyder' kunnen herleiden tot de computer van de studente in een voorstad van Manila.

Het speurwerk werd vergemakkelijkt door aanwijzingen in de programmeerregels van het computervirus. In een van de bovenste regels staat het emailadres van `spider', ispyder@mail.com. Verderop in het virus staat een commando met een emailadres waar het virus persoonlijke informatie (zoals wachtwoorden) van geïnfecteerde gebruikers naartoe moet sturen: mailme@super.net.ph. Deze twee emailadressen leiden naar twee internetaanbieders, mail.com en super.net.

Achter beide adressen gaat een anonieme gebruiker schuil. Mail.com is een aanbieder van gratis internet die bij aanmelding niet om identificatie vraagt. Iedereen kan zich dus onder elke gewenste naam aanmelden. Super.net biedt internettoegang aan door middel van prepaid-kaarten. Net als bij mobiele telefoons die op telefoonkaarten werken, staat het abonnement niet op naam. De gebruiker is dus anoniem en het is niet te herleiden wie een prepaid-kaart koopt.

Toch is de gebruiker van zo'n anoniem internetabonnement op te sporen. Wie verbinding met internet zoekt, bijvoorbeeld om elektronische post te verzenden, heeft daarvoor hoe dan ook een aanbieder nodig die de internettoegang verschaft. Dat kan overigens best een andere internetaanbieder zijn dan degene die de emailfaciliteiten levert (zoals in dit geval mail.com en super.net).

Wie inlogt op het internet krijgt van de internetaanbieder die de verbinding verzorgt een uniek gebruikersnummer toegewezen. Dit zogeheten IP-nummer is niet gekoppeld aan de gebruiker, maar aan de internetaanbieder zelf. Aan het IP-nummer, dat traceerbaar is, is dus te zien via welke aanbieder de Filippijnse studente heeft ingelogd om haar gewraakte `I love you' emailbericht te verspreiden.

Ze kan dat nog steeds onder een anonieme gebruikersnaam gedaan hebben, maar de internetaanbieder kan wel zien vanaf welk telefoonnummer ze heeft gebeld. Via de telefoonmaatschappij is dat nummer te herleiden tot een adres, tenzij de studente een mobiel prepaid-toestel heeft gebruikt of bijvoorbeeld een draagbare computer in een telefooncel heeft aangekoppeld. In die gevallen is wel nog steeds de locatie op te sporen, van waaruit is gebeld.

,,Je moet wel heel goed je best doen, wil je uiteindelijk niet traceerbaar zijn op internet'', zegt directeur Mark Lastdrager van security.nl, een website over elektronisch beveiligen. ,,Een anoniem emailadres of een gratis internetaansluiting is niet genoeg.'' Internetaanbieders en telefoonmaatschappijen zijn weliswaar niet scheutig met het verschaffen van zulke informatie – als ze die al nauwkeurig bijhouden – maar als het gaat om een strafrechterlijk onderzoek moeten ze die uiteindelijk meestal wel prijsgeven, zegt Lastdrager. ,,Die studente kan natuurlijk vanaf een openbare plek gewerkt hebben, zoals een plaatselijke bibliotheek die internettoegang verschaft of een computer op haar school. Maar zodra de politie daar achter is, gaan ze mensen op die plek ondervragen en dan is de dader meestal zo gevonden.''

In het geval van de Filippijnse kon de FBI gebruik van maken van nog een aantal aanwijzingen uit de programmeertekst van het virus. Zo maakt het virus gebruik van het programma `Barok 2.1' dat ervoor zorgt dat geïnfecteerde computers automatisch het programma gaat binnenhalen dat in de pc opgeslagen wachtwoorden traceert. De software voor Barok, die op de markt wordt gebracht door het softwarebedrijf Grammer Soft Group uit Manila, is geschreven door een hacker die werkt onder de naam `spyder'. Tenzij de verspreider van het `I love you' virus bewust de gelijkenis met de auteur van de Barok-software heeft willen suggereren, zou dit best eens een en dezelfde persoon kunnen zijn. De beschrijving van het programma luidt namelijk `Barok... i hate to go to school suck – by spyder'. De zinsnede over de aversie die `spyder' kennelijk tegen de schoolbanken heeft, keert namelijk ook terug in de programmeerregels van het `I love you' virus.

DOSSIERwww.nrc.nl