Het Internet krijgt oren

ITsec-directeur Christiaan Roselaar klikt op het grijze blokje “start” op het beeldscherm voor hem. Direct klinkt er een heldere stem. „Goedemiddag”. Met een programma activeert Roselaar de microfoon van een multimediacomputer. Zonder dat de bezitter daarvan ook maar iets merkt.

De multimediacomputer is besmet met een stukje software waarmee op afstand de microfoon aan- en uitgeschakeld kan worden. Enige voorwaarde is dat de desbetreffende pc aanstaat. ITsec, een Haarlems bedrijf dat adviseert op het gebied van computerbeveiliging, ontwikkelde de software.

Het programmaatje kan op een multimediacomputer terechtkomen zonder dat de eigenaar het merkt. Een mogelijkheid is het stukje software onzichtbaar achter een e-mail te verstoppen. Op die manier komt het gericht bij iemand terecht. Maar ook achter Internet-pagina's kan het programma verborgen worden. De pc-gebruiker die zo'n pagina binnenhaalt, loodst daarmee onopgemerkt een digitaal 'paard van Troje' binnen.

Gedisciplineerde hackers
Roselaar zocht een aansprekend voorbeeld om aan te tonen hoe slecht veel computers en netwerken zijn beveiligd. Een halfjaar geleden kwam hij op het 'afluisteridee': „Bij afluisteren denkt iedere Nederlander gelijk aan beveiliging”. Al met al was het karwei met nog geen tweederde manjaar werk geklaard.

Brengt dit voorbeeld hackers niet op een 'goed' idee? „Als wij het kunnen, kunnen zij het ook”, zegt Roselaar, „en wie weet, hebben zij het al gedaan”. Toch ligt de afluistersoftware voor de zekerheid in een kluis opgeborgen. En na de demonstratie wordt het programma gelijk weer uit het geheugen van de computer gewist.

Het is volgens de ITsec-directeur in het algemeen slecht gesteld met de veiligheid van netwerken. Maar hij voegt er gelijk aan toe: „Je kunt beveiligen wat je wilt, waterdicht krijg je een netwerk nooit. We kunnen hooguit drempels opwerpen”.

Hij kan het weten, want zijn bedrijf adviseert niet alleen op het gebied van informatiebeveiliging, maar neemt desgewenst ook de proef op de som. „Een groep gedisciplineerde, betrouwbare hackers”, noemt Roselaar de 22 werknemers van het drie jaar oude bedrijf wel. Betrouwbaar, want de Binnenlandse Veiligheidsdienst trok hun antecedenten na.

Stekkertje
De missie van ITsec is vooral een stukje bewustmaking. „De reactie van veel mensen op ons afluisterprogrammaatje is: dan trek ik toch gewoon het stekkertje van de microfoon van mijn computer eruit? Ze hebben niet door dat van diezelfde computer de bestanden er vrij makkelijk af te halen zijn.

Risico's zijn er altijd en overal. Het gaat erom die te kennen, dan kun je maatregelen treffen. Het is net als de auto, op zichzelf best een gevaarlijk ding. Maar door autogordels, kreukelzones en dwarsbalken in de portieren is een auto een stuk minder onveilig”.

ITsec mag onder meer de Belastingdienst, enkele grote banken en het ministerie van defensie tot zijn klanten rekenen. Roselaars indruk is dat de meeste banken de beveiliging van hun netwerk goed geregeld hebben, en ook de Belastingdienst en Defensie hebben hun zaakjes goed voor elkaar. „Maar daarbuiten is het in het algemeen slecht. Vorige week nog zagen we dat twee bedrijven hun personeelsgegevens vrijwel onbeveiligd op een netwerk hadden staan”.

Hack-wedstrijd
Internet-aanbieder World Online (WOL) gaat met minder gedisciplineerde hackers in zee. Zijn systeem was deze week doelwit van vele honderdduizenden kraakpogingen. Om te bewijzen dat de beveiliging waterdicht is, kwam de provider met een heuse hack-wedstrijd.

Degene die er tussen vorige week vrijdag en afgelopen donderdag als eerste in zou slagen het systeem te kraken, krijgt daar maar liefst 15.000 gulden voor. „Als serieuze Internet Provider stelt World Online continu alles in het werk ervoor te zorgen dat de beveiliging van zijn systeem op een hoog niveau ligt”, zegt de aanbieder zelf.

Maandagavond was het zover volgens de dinsdageditie van de Internet-krant van concurrent Planet Internet: een groep hackers die zich Team Delta noemt, claimde het systeem van World Online gekraakt te hebben. Team Delta wil de prijs aan de kinderbeschermingsorganisatie Unicef geven.

Waardeloos
Opvallend is dat World Online de hack-oproep deed nog geen vijf dagen nadat de provider negatief in het nieuws kwam. In NRC Handelsblad werd de beveiliging van World Online aan de kaak gesteld. Onder meer R. Gonggrijp, voormalig voorman van de hackers-club Hacktic, oprichter van WOL-concurrent XS4ALL en nu directeur van een beveiligingsbedrijfje, kwam aan het woord. Hij noemde de beveiliging bij WOL „volstrekt waardeloos”.

Op het NRC-bericht volgden er meer: „Opnieuw beveiligingslek bij World Online ontdekt” (8 juni). Ook andere providers bleken hun zaakjes niet goed voor elkaar te hebben: „Internet-aanbieder in Friesland niet veilig, surfgedrag klanten zichtbaar voor derden” (10 juni).

Een week eerder alarmeerde “Computer Idee” internettend Nederland. Medewerkers van het tijdschrift hadden de hand gelegd op een lijst gekraakte Internet-wachtwoorden. Op de op het Internet circulerende lijst komen ruim 120 gekraakte abonnementen van 26 verschillende Internet-aanbieders voor. De lijst zou slechts „het topje van de ijsberg” zijn.

Provider-oorlog
Wie de nieuwspagina's van de Nederlandse Internet-aanbieders doorbladert, krijgt de indruk van een heuse 'provider-oorlog'. De aanbieders lijken vooral de lekken bij de concurrenten te zien. Alleen XS4ALL waarschuwt zijn abonnees, maar denkt dat er geen sprake is van een kraak, „omdat het om zoveel verschillende providers gaat”.

XS4ALL denkt aan een „gevaarlijke optie” van Windows 95, die andere gebruikers toegang geeft tot bestanden en bijvoorbeeld een printer. Handig voor een lokaal netwerk, zegt XS4ALL, maar voor een computer die aangesloten is op het Internet gevaarlijk want „kwaadwillende gebruikers kunnen in uw computer kijken en onder andere al uw opgeslagen wachtwoorden bekijken”.

De klant mag hopen dat de providers niet blind zijn voor de balk in eigen oog. Het enige en tegelijk ook het beste wat de weerloze consument kan doen, is werken met ingewikkelde wachtwoorden, deze regelmatig veranderen en elektronische post versleutelen.