Computerkraker kan scoren bij vrienden

Hackers publiceerden e-mails van officier van justitie Tonino en legden websites van de overheid plat. ,,De pakkans is gering.''

Officier van justitie Joost Tonino was niet de enige die de laatste tijd last heeft gehad van computerkrakers. De overheidswebsites kabinet.nl, nederland.nl, overheid.nl en regering.nl waren vorige week een paar dagen offline toen cybervandalen de sites bestookten met aanvallen.

Ook de e-mail van de ministers deed het niet als gevolg van de cyberaanval. Ook werden weblogs (internetdagboeken) aangevallen omdat ze over de zaak publiceerden. Het aantal computeraanvallen in Nederland neemt toe. Vijf procent van de Nederlandse bedrijven heeft in september last gehad van computerinbrekers, stelt de ICT Barometer van Ernst & Young die begin deze week verscheen.

Volgens Jacob Verschuur, directeur ICT Leadership, heeft de toename van het aantal hackaanvallen twee oorzaken. ,,Er is een nieuwe generatie hackers actief, jongens van 15-18 jaar die zijn opgegroeid in de digitale wereld. Die vinden het stoer om computers van bedrijven te hacken. Daar scoren ze mee bij hun vrienden.'' Het is voor deze jongeren ook niet moeilijk om te hacken, zegt Verschuur. ,,Er is op internet veel informatie te vinden over lekken in programma's en er zijn allerlei hulpmiddelen beschikbaar.''

Een andere reden waarom er steeds meer gehackt wordt is volgens Verschuur de geringe pakkans. ,,Computercriminaliteit is al meer dan tien jaar strafbaar, maar er wordt nauwelijks vervolgd. Dat is vreemd, want technisch gezien is de pakkans 100 procent. Je kunt er altijd achter komen wie het heeft gedaan.''

De overheid laat het afweten, vindt Verschuur. Hij spreekt zijn verontwaardiging uit over het feit dat de 18-jarige jongen uit Breda die in verschillende media heeft bekend dat hij de overheidssites heeft gekraakt nog gewoon thuis zit. Verschuur: ,,Iedereen weet wie het heeft gedaan, maar er gebeurt niets.''

Dat bevestigt volgens de ICT-deskundige het beeld dat je in Nederland ongestraft kunt hacken. Henk Brons, woordvoerder van de Rijksvoorlichtingsdienst, vertelt dat de overheid bij de Haagse politie aangifte deed van de hackaanvallen. De naam van de dader is niet genoemd bij de aangifte, aldus Brons, omdat die pas een paar dagen later bekend werd.

De jonge Bredase hacker past goed in het profiel dat Verschuur schetst. De jongen is technisch niet heel kundig, maar hij kent wel de weg op internet. In het TROS-programma Radio Online zei de computerkraker dat hij een programma heeft waarmee hij 19.000 computers over de hele wereld tegelijk een bepaalde website kan laten aanvallen. Door de aanval, een zogeheten distributed denial of service attack (DDoS) wordt de site onbereikbaar. Dergelijke programma's zijn gratis te downloaden op hackerssites.

Naast de tienerhackers die kraken om aanzien te verwerven en omdat het zo gemakkelijk is, is er een groep hackende professionals actief die het vooral om de techniek te doen is. Ze zijn ouder en doorgaans academisch opgeleid.

Een van die professionals is Pieter ter Steeg (niet zijn echte naam). Ter Steeg is eind twintig en werkt als programmeur bij een softwarebedrijf. In zijn vrije tijd onderzoekt hij de beveiliging van internetbedrijven en websites. Een hacker noemt Ter Steeg zichzelf niet. ,,Die term heeft tegenwoordig zo'n negatieve connotatie dat ik daar eigenlijk liever niet mee geassocieerd wil worden.''

Ter Steeg is vooral geïnteresseerd in betalingssystemen en e-mail. Niet omdat hij geld wil stelen of andermans post wil lezen, maar omdat hij wil weten hoe het met de beveiliging is gesteld. ,,Meestal bekijk ik sites waar ik zelf veelvuldig gebruik van maak om te zien of het allemaal wel kosjer is.'' De programmeur verbaast zich er elke keer weer over hoe slecht zijn collega's hun werk doen. ,,Er worden veel beveiligingsfouten gemaakt.''

Ter Steeg zegt niet bang te zijn voor juridische represailles. ,,Ik doe niet iets wat enige schade veroorzaakt en ik lees geen geheime bestanden. Het blijft een grijs gebied. Strikt genomen mag er volgens de wet niets.''

Voor hackers als de Bredase jongen heeft Ter Steeg geen goed woord over. ,,Wat nu in de volksmond hacken wordt genoemd is vaak niet meer dan het opstarten van al bestaande programma's die misbruik maken van bekende lekken. Uitgevoerd door zogenoemde script kiddies. Dat is vrij eenvoudig en ik vraag me soms wel af of de meeste gebruikers van deze programma's zich wel realiseren hoe ernstig de gevolgen van zo'n actie kunnen zijn.''

Ter Steeg en Verschuur van Ernst & Young maken zich zorgen over de slechte beveiliging van bedrijven en instellingen. ,,Het is niet goed gesteld met de beveiliging van internetsystemen en computernetwerken'', zegt Ter Steeg. ,,De fouten die gemaakt worden kunnen grote gevolgen hebben. Databases kunnen op afstand worden gewist, er kunnen gegevens worden ingevoerd. Systemen kunnen helemaal worden overgenomen.'' Volgens Verschuur kunnen er ,,complete rampen'' gebeuren als bedrijven hun computers niet beter beveiligen. ,,Stel je dat een hacker een betalingssysteem binnendringt.''

De overheid heeft moeite met de bestrijding van computercriminaliteit. Gebrek aan coördinatie speelt een grote rol, zegt beleidsadviseur Pascal Hetzscholdt van het Korps Landelijke Politiediensten (KLPD). Hetzscholdt deed deze uitspraak donderdag op het jaarlijkse computerbeveiligingscongres Infosecurity.nl. Hij nam de aanval op de sites overheid.nl en regering.nl als voorbeeld. Naast het KLPD houden zich zes regio-politieteams bezig met computercriminaliteit. Doordat onduidelijk is wie wat doet, duurde het volgens Hetzscholdt dagen voor de sites weer bereikbaar waren.