Column

Wat zijn de trucs van Russische hackers?

Dit is wat een opsporingsspecialist ziet. Hackers die de softwaresystemen bij Shell, Philips en het ministerie van Defensie aftasten op zoek naar een ingang. De systemen worden geprobed. Tot dusver zonder resultaat – denken ze. Bij zakelijke dienstverlener Deloitte aan de Amsterdamse Zuidas zitten in een gewone kantoortuin op de tweede verdieping tientallen jonge mannen en vrouwen software te testen, van bedrijven, van overheidsinstanties. White-hat hackers noemen ze zich. De accountants dragen slimfitpakken, de techneuten van Cyber Risk Services gewoon spijkerbroeken. Op een van de flexplekken staat een gouden beker, voor de Global CyberLympics Security Challenge. Hier zitten de tovenaars van deze tijd, zoals director Jelle Niemantsverdriet zijn collega’s noemt.

Ik vraag hem hoe je kunt zien dat een digitale aanval is gepleegd door een vijandelijke mogendheid. Eerst kijk je naar uiterlijke verschijningsvormen, zegt hij. Wanneer waren de hackers actief? Hanteren zij Russische kantoortijden? Hebben zij zich bediend van een cyrillisch toetsenbord?

Er zijn grandioze voorbeelden van statelijke aanvallen. De Amerikaanse en Israëlische overheid verspreidden in 2010 malicieuze software om de Siemens-centrifuges van het Iraanse kernprogramma uit te schakelen. „Je kunt één keer zo’n methode gebruiken, maar dan heb je jezelf snel verraden”, zegt Niemantsverdriet.

Het aantal potentiële cyberaanvallen stijgt explosief zodra staten juist de simpele middelen van criminelen gaan gebruiken. Phishing bijvoorbeeld, het wachtwoord van een gebruiker achterhalen door het hem opnieuw in te laten tikken. Dat deed John Podesta, Hillary Clintons campagnemanager – en daarvan zeggen de Amerikaanse inlichtingendiensten dat Rusland erachter zat.

Niemantsverdriet somt wat voorbeelden op. Software die op een andere manier wordt gebruikt dan waarvoor die bedoeld is. Wat gebeurt er als je, in plaats van een foto, een bestandje met een virus uploadt? Wat gebeurt er als je een url met ‘user-id=2’ verandert in ‘user-id=3’? Beschik je dan over de gegevens van een ander? Stel dat je, in een naamveld waar dertig karakters in mogen, er drieduizend invult? „Dan krijg je een foutmelding”, zegt Niemantsverdriet. En die foutmelding leert je iets over de programmeercode.

Politiebaas Erik Akerboom wil tien teams installeren om de cybercriminaliteit aan te pakken. Maar potentiële slachtoffers hebben ook een eigen verantwoordelijkheid. De naïviteit van Kamerleden die voor verschillende accounts hetzelfde wachtwoord gebruiken, lijkt op de onnozelheid van de huisvrouw die een stofzuiger aan de deur koopt. Daar kan geen cyberteam tegenop.