Angst voor hackers

Hackers staan bekend als pukkelige tieners die er een kick van krijgen om de systeembeheerders van het Pentagon en de NASA te slim af te zijn. Maar de ene hacker is de andere niet. Neem nu Stephen LeMenager, de decaan van Princeton die in mei op het computersysteem van Yale inbrak om te kijken welke studenten die zich voor beide universiteiten hadden opgegeven, al waren aangenomen. De decaan, een keurige man die al jaren voor de universiteit werkt, was vooral geïnteresseerd in de gegevens van Lauren Bush, de nicht van de Amerikaanse president, die zich voor beide universiteiten had aangemeld.

Toen Yale de FBI inschakelde, verzon Princeton snel een smoes. De decaan had vooral de veiligheid van de website van Yale willen testen. Eigenlijk had Princeton Yale een dienst bewezen door aan te tonen dat de site van Yale zo lek als een mandje was. Iedereen die over een social security number (te vergelijken met het Nederlandse sofinummer) van een aankomend student beschikte, kon zo bij alle gegevens over de aanmelding.

Mede onder druk van de enorme publiciteit over de hackzaak voelde Princeton zich gedwongen tot een andere verklaring. De hacker bekende schuld, de universiteit verontschuldigde zich en plaatste de decaan over.

Minder goed liep het af met Christopher Chinnici, die inbrak in de webserver van de bibliotheek in Rochester, New York. Hij verving de openingspagina van de bibliotheeksite. Eén keer door een pornografisch plaatje en één keer door een stripfiguur. Hij heeft een gevangenisstraf van één tot drie jaar gekregen en een geldboete van 15.000 euro.

Chinnici werd door het openbaar ministerie als een gevaarlijke hacker beschouwd. ,,Dit was een zeer serieuze overtreding'', vond de officier van justitie. Voor deskundigen op het gebied van computerbeveiliging staat het defacen van een website (het vervangen of aanpassen van de openingspagina) gelijk aan digitale graffiti. Het is vervelend en onvolwassen, maar een werkstraf zou meer op zijn plaats zijn.

Princeton-medewerker LeMenager is een uitzondering. De meeste hackers die worden betrapt in de Verenigde Staten kunnen rekenen op een lange gevangenisstraf. Sinds 11 september 2001 wordt hacken gezien als een halsmisdaad in de Verenigde Staten. De Amerikanen zijn doodsbang voor cyberaanvallen die de elektronische en fysieke infrastructuur platleggen. ,,A mouse can be just as dangerous as a bullet or a bomb'', zei een lid van het Congres die een wet heeft geïntroduceerd, de Cyber Security Enhancement Act, die bepaalt dat computerinbraak met een levenslang verblijf in de gevangenis kan worden bestraft. Het Huis van Afgevaardigden heeft deze wet al aangenomen.

Ook tegen computerbeveiligingsbedrijven die willen demonstreren hoe lek sommige netwerken zijn, wordt strenger opgetreden. Het Californische bedrijf ForensicTec Solutions toonde onlangs aan dat tal van militaire computers slecht beveiligd zijn. Met behulp van wat gratis hackprogramma's die van internet werden gedownload slaagden de security experts erin om honderden documenten met vertrouwelijke informatie van het ministerie van Defensie te bemachtigen. Een paar uur nadat dit bekend werd, viel de FBI het kantoor van ForensicTec in San Diego binnen. De medewerkers worden aangeklaagd en moeten binnenkort voor de rechter verschijnen.

De Amerikaanse overheid zegt zich bedreigd te voelen door Al-Qaeda en de information-warfare brigades van ,,vijf of zes landen''. Volgens Richard Clarke, hoofd van het Office of Cyberspace Security van het Witte Huis, zijn de landen nog gevaarlijker dan terroristen die het voorzien hebben op de computernetwerken van de Verenigde Staten. Volgens de Washington Post is Clarke een strategisch plan aan het ontwikkelen dat overheidsinstellingen en bedrijven moet helpen cyberaanvallen te doorstaan.

Volgens het United States Naval War College valt het wel mee met de dreiging van een cyberoorlog. De gerenommeerde militaire academie simuleerde vorige maand een ,,digitaal Pearl Harbor'' en kwam tot de conclusie dat het vijanden van Amerika minstens vijf jaar en 200 miljoen dollar kost om aanzienlijke schade te kunnen toebrengen. In de tussentijd kunnen overheidsinstanties en bedrijven dan mooi hun computers en netwerken beveiligen.

klaver@nrc.nl