‘Cybercrime los je niet op met computers’

Mikko Hypponen

Hij is een van de bekendste beveiligingsexperts van Europa. Al 25 jaar lang vecht hij tegen computercriminaliteit. „Ik ben geen soldaat. Eerder een detective.”

Foto Merlijn Doomernik

Pats. Met één druk op de knop zijn al je bestanden onleesbaar geworden. Het enige wat de computer nog vertoont is een mededeling dat je data gegijzeld zijn. Het losgeld moet in bitcoins betaald worden, de ontvanger blijft anoniem.

Ransomware – software die bestanden versleutelt en ontoegankelijk maakt – groeide in korte tijd uit tot de populairste activiteit onder online criminelen. De slachtoffers zijn particulieren, bedrijven, scholen, ziekenhuizen. Iedereen dus.

Zo werkt het: de daders breken in op je computer, meestal met een link naar een site die kwaadaardige software bevat. Ze stelen geen creditcardaccounts of bankrekeningnummers om door te verkopen in de zwarte handel. In plaats daarvan verkopen ze de sleutel tot je data – klantenbestanden, of de jeugdfoto’s van de kinderen – terug aan de persoon voor wie die gegevens het waardevolst zijn: de eigenaar. Minder moeite, hogere opbrengst.

Er zijn wereldwijd honderden bendes betrokken bij ransomware. Voor alle slachtoffers heeft Mikko Hypponen, onderzoeksbaas van het Finse beveiligingsbedrijf F-Secure, één geruststelling:

„Als je betaalt zullen de criminelen je data ook daadwerkelijk teruggeven, want hun reputatie is belangrijk. Zodra je getroffen bent zul je op Google zoeken wat je eraan kunt doen. Lees je daar verhalen van ‘tevreden’ gebruikers, dan zul je betalen.”

Hij lacht: „Sommige ransomware-bendes geven zelfs korting als je het vriendelijk vraagt. Prima service, ik geef ze vijf sterren! ”

Hypponen doet Amsterdam aan, op bezoek bij een Nederlandse provider. De Fin is een van de bekendste Europese computerbeveiligers. Al 25 jaar reist hij de wereld rond om te waarschuwen voor virussen, wormen en cybercriminaliteit. En voor menselijke stommiteiten – dat blijven toch de belangrijkste zwakheden in computerbeveiliging. „Sommige bedrijven zeggen dat ze voorbereid zijn op een ransomware-aanval: ze hebben alvast bitcoins gekocht om losgeld te kunnen betalen.”

Zijn we in 25 jaar iets opgeschoten met computerbeveiliging?

„Je hoeft niet eens zo ver terug in de tijd. Vergeleken met tien jaar geleden is de technologie sterk verbeterd. Microsoft was toen nog een van de slechtste leerlingen in de klas, nu een van de beste. Hetzelfde geldt voor Adobe. Het wachten is op Oracle, de eigenaar van Java. Dat blijft een hoofdpijndossier. Jammer genoeg is de technologie van onze vijanden ook verbeterd. We zullen beveiligingsproblemen hebben zolang er slechte mensen zijn, en die zullen er altijd zijn.”

Beschouwt u zichzelf als soldaat in de strijd tegen cybercrime?

„Er is geen oorlog aan de gang. Ik ben geen soldaat, eerder een detective, ik doe het speurwerk; het onderzoeken en reconstrueren van de software waarmee criminelen inbreken. Het is een schaakspel tegen een onbekende tegenstander. Hoewel, op amper drie uur van de Finse grens, in Sint Petersburg, zitten veel online bendes. Maar cybercrime is zeker niet alleen een Russisch ding. ”

Frustreert het u dat uw tegenstanders amper gepakt worden?

„Zelfs als cybercriminelen gepakt worden, worden ze vrijwel nooit voor de rechter gebracht. En zelfs als het een rechtszaak wordt, is het moeilijk ze te veroordelen. Dat is een voorbeeld voor andere potentiële criminelen: het loont en het risico is klein.”

„Je moet je afvragen waarom mensen kiezen voor een leven van online criminaliteit. De meesten van hen zouden graag een normale baan gehad hebben. Ze hadden de vaardigheden, maar niet de mogelijkheden. Als je ergens in Siberië woont, of op het platteland van China of in de sloppenwijken van São Paulo in Brazilië, zijn er geen start-ups die je in dienst nemen. Criminaliteit is de enige optie.”

Cybercrime is dus een sociaal probleem?

„In hun omgeving worden jongeren aangemoedigd om deze levensstijl te volgen: de slimme tiener in een arm gezin bedenkt software om Amerikaanse creditcardnummers te stelen. Als hij zou stelen van zijn buren, zouden zijn ouders het hem verbieden. Nu moedigen ze hem waarschijnlijk aan. Online criminaliteit lijkt een misdaad zonder slachtoffers. Dat is het natuurlijk niet.”

Wat kun je daaraan doen?

„Ik ben een geek, ik kan je computer repareren. Maar ik kan geen sociale problemen oplossen. Gelukkig zijn er goede initiatieven. Microsoft houdt bijvoorbeeld hackathons in ontwikkelingslanden waarbij teams proberen op elkaars computer in te breken. Dat moedigt ze aan hun talenten op een goede manier te gebruiken.”

„Veel computercriminaliteit blijft verborgen omdat bedrijven niet rapporteren dat ze gehackt zijn. Ze schamen zich en zijn bang klanten te verliezen. Ik adviseer bedrijven toch aangifte te doen. Zelfs al wordt de zaak niet onderzocht, zelfs al wordt-ie niet opgelost, hij belandt dan wel in de statistieken. Opsporingsinstanties steken hun tijd en budget in de criminaliteit die de meeste schade oplevert.”

Hoe is uw relatie met opsporingsdiensten?

„Die is schizofreen. Je hebt ze nodig om straffen uit te delen, aan de andere kant proberen politieagenten en geheime diensten op computers in te breken. Soms komen we dezelfde agenten met wie we jaren samenwerkten om criminele hackers te pakken, weer tegen als degenen die kwaadaardige software rondsturen. Ik begrijp waarom ze dat doen – om informatie te achterhalen bij misdaden – maar ik vind het niet leuk en ga ze zeker niet helpen.”

Na het Stuxnet-virus, dat in 2010 een Iraanse nucleaire opwekkingscentrale platlegde, zou de zondvloed komen. Waar blijft-ie?

„We waren bang voor iemand die Stuxnet zou aanpassen, en zou verspreiden. Dat zou een nachtmerrie geweest zijn. Stuxnet heeft ons wakker geschud; fabrieken en industriële automatiseringsbedrijven nemen veiligheid nu serieus. Programmable logic controllers (plc’s) die machines aansturen zijn nu veiliger dan in 2010. Helaas worden deze plc’s vaak decennia lang gebruikt voordat ze vervangen worden, dus er zijn nog talloze onveilige apparaten.”

Bent u een typische exponent van de hackerscultuur, met die paardenstaart?

„Ik heb sinds ik tiener was een paardenstaart gehad. Alleen toen ik in dienst zat moest-ie eraf. Ik was geen onderdeel van een beweging. Ik zag mezelf niet als een hacktivist of anarchist. Ik ben ook geen ambassadeur van de beveiligingsindustrie of een verkoper. Als ik een praatje geef noem ik onze producten niet eens. Ik laat zien dat we verstand van zaken hebben. Dat is uiteindelijk goed voor ons bedrijf.”

Hypponen begon dit jaar een online Malware Museum, met verzamelplek waar vermaarde virussen, computerwormen uit de jaren tachtig en negentig, veilig in actie te zien zijn. „Sommige zijn zo creatief dat je het bijna kunst zou kunnen noemen.”

Hij werkt al 25 jaar op dezelfde plek. Dat is ongebruikelijk lang in de IT-industrie. Mikko Hypponnen houdt nu eenmaal van Finland: rustig, veilig en toch hightech. In 25 jaar groeide computerbeveiliging uit tot een miljardenmarkt. „We zijn het enige grote Europese beveiligingsbedrijf dat zelfstandig gebleven is.” De meeste mensen kennen F-Secure niet, omdat het product wordt verkocht onder het label van de provider, als veiligheidspakket van AT&T of XS4ALL.

Hypponens boodschap veranderde de afgelopen jaren niet zoveel; nog altijd is menselijke onoplettendheid de belangrijkste oorzaak van computercriminaliteit. Hij geeft een tip die je tien jaar geleden al hoorde: klik niet op attachments, activeer geen macro’s. Blijf dus af van de Enable Content-knop in een Word-document. En maak backups. En backups van de backups, en backups van de backups van de backups. Bewaar ze op verschillende locaties. „Ik bewaar een externe schijf bij mijn ouders, en een op het werk”. Data opslaan in de cloud? Dat kan, zegt Hypponen, maar realiseer je dat de cloud eigenlijk de computer van iemand anders is.

Gaat het nooit vervelen, blijven waarschuwen voor het bekende verhaal?

„Het basisverhaal is inderdaad hetzelfde. Ik raak niet verveeld want alles verandert, ik gebruik altijd actuele voorbeelden. Vroeger leidde ik grote teams en had ik tientallen mensen onder me. Ik ben nuttiger als ik onderzoek doe en de boodschap verspreid. Ik zou makkelijk mijn dagen kunnen vullen met conferenties en praatjes geven. Maar ik houd de helft van mijn tijd vrij om in het lab op hackers te jagen en hun software uit te pluizen. Ik wil begrijpen wat er gebeurt. Ik heb geen zin om zelf in een museum te eindigen.”