Het was weer goed raak in mei. Het ene na het andere ernstige beveiligingslek lag bloot en de hackers liepen in en uit bij allerlei systemen. Onbetwiste kampioen: een hackersteam dat zichzelf ‘Deceptive Duo’ noemt en in hoog tempo servers kraakt van banken, vliegtuigmaatschappijen en overheidsinstanties, waaronder het militaire onderzoeksinstituut Sandia Labs. Deceptive Duo richt geen schade aan, maar nagelt de betrokkenen wel aan de schandpaal, omdat computerlekken ‘de nationale veiligheid in gevaar brengen.’
Het voornemen om hard op te treden tegen computercriminelen blijft vooralsnog steken bij virusmakers. David Smith, maker van het Melissa-virus, kreeg onlangs tien jaar gevangenisstraf opgelegd. Maar goed, die virusjongens zijn toch een beetje de winkeldieven onder de computercriminelen. Ze richten weliswaar veel schade aan en er zitten soms aardige vondsten tussen, maar het is niet voor niets dat ze zo vaak tegen de lamp lopen. Erg slim zijn ze niet.
Nee, dan de hackers. Dat zijn de ongrijpbare brandkastkrakers, die systemen bestuderen en zwakheden blootleggen, om die vervolgens uit te buiten. De romantiek van films als Swordfish, waar hackers vooral meesters blijken in het raden van wachtwoorden, is aan mij niet besteed. Dat is flauwekul, vergelijkbaar met een brandkastkraker die de goede cijfercombinatie bij elkaar gokt. Het gaat erom de beveiliging te omzeilen. Daar ligt namelijk een uitdaging voor het intellect.
Toegegeven, mijn eigen verdiensten als hacker zijn uitermate beperkt. Ik heb welgeteld één keer in mijn leven een simpel systeempje gekraakt. Ik woonde indertijd in Praag, in de tijd dat dat nog de hoofdstad van Tsjecho-Slowakije was, en werkte bij het Informatica-instituut van de Academie van Wetenschappen. Het instituut had niet genoeg pc’s voor iedereen, dus was er een zaaltje. Op een ochtend bleken de pc’s van een wachtwoordsysteem voorzien.
Ik overwoog wat te doen: op zoek gaan naar degene die dit geïnstalleerd had en mezelf een wachtwoord bezorgen of door de beveiliging heen breken. Omdat mijn kennis van MS-DOS op een hoger niveau stond dan mijn Tsjechisch, besloot ik tot het laatste. Tien minuten later was ik binnen. Nog eens tien minuten later had ik de wachtwoordtabel ontcijferd. Ik voegde mezelf toe en computerde vrolijk verder. Natuurlijk had ik ook kunnen bedenken dat mijn vriend Roman zijn eigen naam als wachtwoord gebruikte, maar dat zou geen uitdaging geweest zijn.
Sindsdien is het er met mijn inbraakvaardigheden niet beter op geworden. Van potentiële dader ben ik mogelijk slachtoffer geworden. Dat is misschien legaler, maar niet per se een prettig gevoel. Virussen kan ik ook zonder scanner nog goed buiten de deur houden, maar sinds ik adsl heb en dus permanent online ben, ben ik er wat de hackers betreft niet geruster op geworden. Vroeger deed het me niet zoveel als er weer eens een beveiligingslek in Internet Explorer of Macromedia Flash gevonden was, want als modem-gebruiker was ik maar beperkt online, en bovendien steeds onder een ander IP-adres. Nu moet ik voor mijn gemoedsrust alle patches onmiddellijk installeren.
Toch blijft mijn sympathie bij de hackers liggen, om dezelfde reden waarom ik het prachtig vind om te zien hoe George Clooney in de film Ocean’s Eleven de casinokluizen van Las Vegas leegrooft. Omdat hij iedereen te slim af is. Dat zou ik ook wel willen, denk je als toeschouwer dan onwillekeurig. Datzelfde gevoel krijg ik als een hacker een zwaar beveiligde computer is binnengedrongen. Het mag dan illegaal zijn, het valt toch ook als een wedstrijd te zien.
De onsportievelingen zijn die beveiligingsexperts die het Deceptive Duo opgeroepen hebben hun methoden kenbaar te maken. Zij zetten niet alleen zichzelf te kijk, maar beseffen kennelijk ook niet dat het bij beveiliging draait om proactief lekken opsporen, niet om reageren op incidenten en dan snel een noodverband aanleggen. Zo’n passieve club, daar wil ik niet bijhoren. Want laat ik eerlijk zijn: ik vind het veel leuker om creatieve aanvallen te bedenken dan voortdurend achter de feiten aan te rennen.
