Ethische hackers

Ethische hackers doen hun werk tegenwoordig liever 'undercover'. Jammer, vinden Gerrie Mansur en Dimitri van de Giessen. Openheid komt de beveiliging alleen maar ten goede.

Ooit was Gerrie Mansur betrokken bij de geruchtmakende hackergroep Hit2000, die het ene lek na het andere wereldkundig maakte. Mansur wist onder meer door te

dringen tot servers van Nasdaq, FTMarketWatch en BigCharts, bedrijven die hij keurig waarschuwde. "Ik had vroeger een telefoonrekening van vijfhonderd euro per maand. Als ik ergens aan de telefoon hing was het van: 'Gerrie, we hebben toch geen problemen?'."

Mansur noemt zich liever geen hacker. "Ik test beveiligingen in opdracht van klanten, en soms gebeurt het ook wel eens zonder dat de klant daarom vraagt." Daarnaast bemoeit hij zich met het discussieforum securitydatabase.net, waar met grote regelmaat kraken en beveiligingslekken worden gemeld.

Van de Giessen heeft het actief hacken naar eigen zeggen al wel opgegeven. Twee jaar geleden haalde hij de publiciteit omdat hij tot de Windows Update-servers van Microsoft wist door te dringen. Een bedrijfsongeval, want Microsoft wist heel goed dat er een lek was, maar had er even nog niets aan gedaan. De kraak leverde hem in eerste instantie een flinke reprimande van het softwarebedrijf op, maar uiteindelijk wilde Microsoft wel eens weten hoe hij daar verzeild was geraakt. "Sindsdien is de beveiliging sterk verbeterd", zegt Van de Giessen, die zich tegenwoordig bezighoudt met de bouw van websites voor de horeca. "Ik volg het wereldje natuurlijk wel. In mijn vriendenkring wisselen we nog wel veel informatie uit, overigens wel in zeer besloten kring." Reden: bedrijven zijn niet meer zo tolerant als in het verleden.

Voorkennis

De grootste misdaad die je volgens Mansur als hacker kunt begaan is handel in voorkennis. "Je breekt in bij een bedrijf en komt zo dingen te weten waar beleggers hun voordeel mee kunnen doen." Daarnaast beseffen hackers dat door de informatie voor zichzelf te houden, zij betaalde diensten kunnen aanbieden bij bedrijven waar lekken zijn geconstateerd. Mansur en Van de Giessen zijn niet blij met deze ontwikkeling. Want alleen door breed te publiceren over lekken, kunnen bedrijven hun ICT-beveiliging verbeteren. Mansur vindt dan ook dat ethische hackers in bescherming moeten worden genomen. "Op dit moment is er voor deze groep mensen niets geregeld. Gebeurt dat wel, dan zullen meer mensen voor deze legale manier van hacking kiezen."

Volgens de FBI zijn hackers veelal jongeren met gescheiden ouders. Mansur kan dat beamen. "Ik heb in het jongerenwerk achter de bar gestaan, en wat mij opvalt is dat hangjongeren zich precies zo gedragen als digitale hangjongeren. Het enige verschil is dat de laatste groep het sociaal isolement en geborgenheid van hun huiselijke omgeving opzoekt. Op straat werkt de groep corrigerend, maar thuis worden de grenzen van het betamelijke sneller overschreden."

Scheiden en blokkeren

Er zijn maar weinig organisaties die een totaaloverzicht kunnen produceren van beveiligingsincidenten. Een beveiligingslek behoor je te kunnen detecteren op het moment dat het plaatsvindt, zegt Mansur. "Maar logging en monitoring ontbreken vaak volledig of zijn nooit aan een nulmeting (wat zouden we normaliter moeten zien?) getoetst." Absolute beveiliging is te realiseren, maar je betaalt er wel een prijs voor. Mansur: "Je kunt al het ingaande of uitgaande verkeer blokkeren, maar werkbaar is dat niet." "Op ministeries houden ze het interne en het externe e-mailverkeer meestal strikt gescheiden", vult Van de Giessen aan. "Daar hebben ze aparte computers voor internet en het interne verkeer." Geen overbodige maatregel, benadrukt hij. "Ik kom de raarste dingen tegen op het web. Typ op Google maar eens de extensie .mil voor military in. Ik vond instructies hoe je een Cytrix-server moet opzetten voor militaire organisaties. Op die manier krijg je heel makkelijk toegang tot hun systemen. Hetzelfde geldt voor programma's als PC Anywhere, waarmee je op een andere computer kunt kijken. Bedrijven die hun computers goed hebben afgeschermd, zijn dit dus gewoon vergeten."

Opletten

Toch wordt de onveiligheid op internet ook wel eens overdreven. Mansur: "DOS-aanvallen (zie woordenlijst) nemen eerder af dan toe. Mensen weten zo langzamerhand wel hoe ze zich tegen dergelijke aanvallen moeten wapenen. Het drama rond de Maxima-site vorig jaar had makkelijk voorkomen kunnen worden. De politie hield de daders al maanden in de gaten. Ze hebben gewoon niet opgelet."

Volgens Mansur komt het vaak voor dat leveranciers van beveiligingsproducten handig gebruik maken van angst, onzekerheid en twijfel die links en rechts gezaaid wordt. "Men schermt met cijfers die onmogelijk gestaafd kunnen worden, er is veel natte vinger-werk, vooral bij grote advieskantoren. Wat weten die er nou van?" Leveranciers van beveiligingsproducten testen hun apparatuur ook nauwelijks, constateert Mansur. Marketing is voor deze bedrijven belangrijker dan de techniek. "Als je er als koper niet veel verstand van hebt, kun je ook nooit beoordelen of wat je gekocht hebt ook werkt." Het bedrijfsleven denkt daarnaast al gauw dat de overheid wel klaar staat als er iets misgaat. "Bedrijven die aangifte hebben gedaan bij de politie weten wel beter", zegt Mansur.