Hackers eldorado

Zwakheden in software zorgen voor een levendige handel in programma’s waarmee je computers kunt binnendringen. Criminelen betalen er grof geld voor. Overheden ook.

Verslaggever

60.000 dollar kon ‘Pinkie Pie’ begin dit jaar naar huis meenemen van een Canadese beveiligingsconferentie. In anderhalve week omzeilde Pinkie Pie de beveiliging van Google-browser Chrome en plaatste een plaatje van een roze My Little Pony op de computer waarop hij inbrak.

De jonge, verlegen hacker, die anoniem wil blijven, won daarmee de hoofdprijs van een wedstrijd die door Google was uitgeschreven om zwakke plekken in software van het bedrijf te ontdekken. Een dag na de aanval van Pinkie Pie had Google het lek alweer gedicht. Hacker blij, Google blij.

Maar op de Canadese conferentie gebeurde op datzelfde moment nog iets anders.

In een andere, concurrerende wedstrijd werd de browser van Google opnieuw succesvol gekraakt. Ditmaal door het Franse beveiligingsbedrijfje Vupen. Maar anders dan Pinkie Pie ging Vupen Google helemaal niet vertellen hoe het de aanval had uitgevoerd. Nee, pochte het Franse bedrijf, wij verkopen deze informatie liever. Aan inlichtingendiensten bijvoorbeeld, want die betalen beter.

Welkom in de wereld van de handel in ‘0-day exploits’, stukjes software die gebruik maken van een zwakke plek in een computerprogramma, om zo een systeem te infecteren of over te nemen. Een exploit is ‘zero day’ als hij helemaal nieuw en totaal onbekend is. Pinkie Pie gebruikte voor zijn aanval drie van zulke ‘virtuele lopers’.

Het is een wereld in alle grijstinten tussen het wit van keurige beveiligingsexperts en het zwart van cyberspionnen. In de steeds uitdijende cyberoorlog zijn kwaadaardige computerprogramma’s de wapens en zijn ‘0-day exploits’ de kogels. Een beetje handige hacker kan vanuit zijn zolderkamer zo aan die oorlog meedoen en er nog een aardige boterham aan verdienen ook. Want virtuele lopers zijn geld waard.

De fabrikant van het programma wil ze hebben, want hij wil weten welke zwakke plekken hij moet repareren. Producenten van anti-virussoftware willen ze hebben, want zij kunnen er hun beveiligingspakketten mee uitbreiden. Cybercriminelen willen ze hebben, want ze kunnen ermee inbreken op computers en, zeg, creditcardnummers oogsten. En inlichtingendiensten willen ze hebben, want zij kunnen er overheden mee dwars zitten, of mensen mee bespioneren.

Het Franse Vupen beweegt zich handig in dit gebied. Het bedrijf maakt inbreeksoftware en verkoopt die dan weer aan overheidsinstanties en inlichtingendiensten. Op de website van Vupen staat dat het bedrijf „extreem geraffineerde exploits” biedt die „speciaal ontworpen zijn om inlichtingendiensten en politie en justitie te helpen bij hun aanvallen”.

Vupen maakt daarbij gebruik van „exclusieve en onbekende zwakke plekken” die ontdekt zijn door eigen onderzoekers. Niet iedereen kan de virtuele lopers die dit oplevert zomaar kopen. Het bedrijf beperkt zich tot NAVO-landen en NAVO-partners, wat volgens de NAVO zelf betekent dat ook Kazachstan, Pakistan en Irak bij Vupen kunnen winkelen.

Er zijn veel meer bedrijven zoals Vupen. Het Amerikaanse IOActive, dat als marketingstunt een programma schreef om slimme energiemeters te infecteren, levert aan overheidsinstanties. Core Security rekent de CIA en het Amerikaanse leger tot zijn klanten. Het Britse Gamma International verkoopt aan overheden en politiediensten. Het spionagepakket FinFisher, schrijft een woordvoerder, helpt „criminelen te pakken en soms zware misdrijven te voorkomen”. De virtuele lopers in FinFisher worden binnen het bedrijf of samen met een ander bedrijf ontwikkeld. Of de Nederlandse AIVD ook exploits inkoopt wil de woordvoerder niet zeggen.

Een hacker hoeft niet per se in dienst te zijn van een bedrijf om geld te verdienen aan zijn slimme vondst, weet de hacker en exploitschrijver die schuilgaat achter de naam ‘Blasty’. Vrije hackers kunnen hun lopers ook verkopen, aan bijvoorbeeld de Amerikaanse beveiliger Netragard. Aanmelden kan eenvoudig met een mailtje. Ze kunnen ook aankloppen bij tussenhandelaren, zoals de Zuid-Afrikaanse man uit Bangkok die opereert onder de naam The Grugq.

The Grugq laat weten geen zin meer te hebben om te praten over zijn exploithandel. Maar in zakenblad Forbes zei hij twee maanden geleden nog dat hij verwachtte dit jaar zeker één miljoen dollar aan commissies op te strijken. Hij zou alleen software verkopen aan Amerikaanse en Europese overheidsdiensten. Niet uit ethische overwegingen, maar omdat zij het beste betalen.

Dat bedrag kan flink oplopen. Een complexe loper voor een veelgebruikt programma zoals Chrome of een loper voor de iPhone kan tot 250.000 dollar opleveren, zei hij in Forbes. Een stuk software dat door Android kan breken is goed voor 30.000 à 60.000 dollar, een loper voor Windows tot maximaal 120.000 dollar.

Bedrijven als Apple, Google en Microsoft balen natuurlijk dat anderen winst maken met hun fouten. Elke aanval die de media haalt, is een deuk in hun reputatie. Daarom verzinnen ze beloningsprogramma’s, waarin ze hackers betalen voor gevonden zwakke plekken.

Lucas Adamski is chef beveiliging van Mozilla, van internetbrowser Firefox. Hij was afgelopen maand op beveiligingsconferentie Hack in the Box in het Okurahotel in Amsterdam. Adamski betaalt hackers drieduizend dollar voor een ernstige zwakke plek, zegt hij. Voor kleinere zwakke plekken betaalt hij zo’n vijfhonderd dollar. Per jaar kost het beloningsprogramma Mozilla 100.000 dollar. Zolang je de zwakke plekken die hackers vinden daadwerkelijk aanpakt, denkt Adamski, blijven ze gemotiveerd hun hacks aan te leveren. Veel bedrijven nemen niet eens de moeite om bekende lekken te dichten.

Maar als het de hackers puur om het geld gaat verliest Mozilla, weet Adamski ook. „Wij kunnen niet concurreren met de zwarte markt.”

Want niet alleen commerciële bedrijven en geheim agenten, ook cybercriminelen azen op de virtuele lopers. Zij handelen met elkaar via versleutelde berichten, of in gesloten chatkanalen. Maar, schrijft de Italiaanse security-expert en voormalig exploithandelaar Roberto Preatoni in een e-mail, „die worden vooral bevolkt door jonkies, aandachtstrekkers en niet-zo-geheime agenten.”

Je lopers verkopen aan een cybercrimineel is riskant. Je kunt worden gesnapt, of de afgesproken prijs niet ontvangen. Om hackers toch een betere prijs te bieden dan de beloningsprogramma’s, opende Preatoni een paar jaar geleden de publieke markt Wabisabilabi, waar hackers hun nog onbekende lopers konden verkopen aan de hoogste bieder. Maar kopers bleven weg, schrijft Preatoni, „en journalisten bleven maar schrijven dat het onethisch was”. Preatoni werd later opgepakt op verdenking van spionage. De rechtszaak loopt nog.

Die schimmigheid is inherent aan de exploitmarkt. Want als je je software niet verkoopt aan Google of Microsoft, maar aan een tussenhandelaar, waar komt het dan terecht? Niemand weet het. In Stuxnet, het door de VS en Israël geschreven virus dat nucleaire installaties in Iran aanviel, bleken bijvoorbeeld vier volledig onbekende exploits voor Windows te zitten. Waren die zelfgeschreven? Gekocht?

Iran dwarszitten kun je nog verdedigen. Maar niet zelden vallen in het Westen gefabriceerde computerprogramma’s in handen van slechte regimes. Het Britse bedrijf Gamma International bijvoorbeeld, maakte in zijn FinFisher-software gebruik van een nog onbekende beveiligingsfout in iTunes. Via software-updates konden klanten van Gamma het spionageprogramma installeren op de computer van het doelwit. Egyptische dissidenten beweerden onlangs een contract tussen Gamma International en de Egyptische overheid gevonden te hebben. Om onduidelijke redenen deed Apple er drie jaar over om het iTunes-gat te dichten.

Zo zijn er nog veel meer voorbeelden. McAfee voor internetcensuur in het Midden-Oosten, Blue Coat Systems en Amesys in Syrië en Libië om rebellen te bespioneren.

De woordvoerder van Gamma laat weten dat hun software onder exportreguleringen valt, en alleen aan toegelaten landen wordt verkocht. Maar als dat al gebeurt, wie controleert dan of het niet wordt doorverkocht?

Een krachtige exploit kan – in verkeerde handen – er aan bijdragen dat industrieën worden dwarsgezeten, systemen in de war geschopt, staatsgeheimen ontfutseld, mensen worden afgeluisterd en vastgezet. Wie niet wil dat zijn hack via-via-via in verkeerde handen valt, moet dus bij de fabrikant aankloppen en tevreden zijn met een paar duizend euro.

Of met niets, zoals de leden van het Chronic Dev team, die keer op keer de systeembeveiliging van de iPhone weten te omzeilen. „Wij zullen nooit geld vragen voor een jailbreak”, zeiden ze op Hack in the Box. „Dat zou een slecht idee zijn.”