Naar archief

UIT: NN #103 van 6 februari 1992  

'Ons systeem is perfect veilig!' 

(en als je bewijst dat het niet zo is dan gooien we je in de gevangenis.. .) 

'Computerkrakers komen voor rechter' kopte de Volkskrant op 1 februari 1992. Er zou sprake zijn van een 'professionele inbraak' in een universiteitscomputer, 'honderdduizend gulden schade', de Centrale Recherche Informatiedienst kwam eraan te pas. En dat terwijl de Nederlandse Vereniging voor Informatica en Recht, waarin mensen samenwerken uit bedrijfsleven, advocatuur en universiteiten nog in november had verklaard dat de meeste organisaties de "schade als te gering ervaren om aangifte te doen". Vanwaar deze ophef? Rop en Felipe veronderstellen in onderstaand artikel dat er druk is uitgeoefend vanuit de VS, waar men met argusogen kijkt naar een overzees 'hacker-paradijs'. En dat de systeembeheerder zijn blunders probeert te verhalen op een paar hobbyisten die hem even te slim afwaren. 

De feiten 

Om half elf in de ochtend van maandag 27 januari 1992 waren er invallen in de huizen van twee hackers. In Roermond werd het ouderlijk huis van de 21-jarige student H.W. doorzocht en in Nuenen dat van de 25-jarige ingenieur R.N. Student H. is enkele uren later op het politiebureau van zijn woonplaats ingerekend alwaar hij dacht de computers van zijn broer terug te kunnen halen.  

Bij de invallen waren onder andere leden van het Amsterdamse Pilotteam Computercriminaliteit Amsterdam onder leiding van D. Koomen. Verder werd er in Nuenen assistentie verleend door leden van het korps Rijkspolitie aldaar en in Roermond door leden van de gemeentepolitie. De verdachten zijn overgebracht naar Amsterdam. De broer van een van de verdachten werd mondeling medegedeeld dat persoonlijk noch schriftelijk contact met de verdachte was toegestaan. 

De beschuldiging 

Er zou ingebroken zijn bij de computer bronto.geo.vu.nl (Internet adres 130.37.64.3) *) van de Vrije Universiteit. Dit computersysteem bestaat inmiddels niet meer. De formele beschuldiging luidt: valsheid in geschrifte, vernieling en oplichting.  

De politie rechtvaardigt de aanklacht van valsheid in geschrifte door te stellen dat er bestanden op het systeem zijn gewijzigd. De beschuldiging van vernieling gaat volgens de politie op omdat het systeem onbruikbaar werd gemaakt, waardoor de verbinding met de buitenwereld geruime tijd verbroken moest worden. Dat de hackers zich hebben uitgegeven voor legale systeemgebruikers en soms zelfs voor systeembeheerder rechtvaardigt volgens de politie de aanklacht van oplichting. 

De 'daders' zouden volgens de politie inmiddels een volledige bekentenis hebben afgelegd. Volgens een politiewoordvoerder was het motief 'fanatiek hobbyisme'. Woordvoerder Slort van het CRI spreekt van 'de kick om te kijken hoever je kunt gaan'. 

De 'schade' 

Volgens J. Renkema, faculteitshoofd van de faculteit Aardwetenschappen van de VU overweegt de VU een civiele vordering tegen de daders. "Het systeem is door hun activiteiten besmet geraakt en moest geschoond worden. Dat kostte ons maanden werk en zo'n 50.000 gulden. Geregistreerde gebruikers betalen voor het gebruik van het systeem en dat hebben zij niet gedaan. Het resultaat: nog eens tienduizenden guldens schade."  

Ook zou er volgens Renkema sprake zijn van een moreel nadeel: de VU ontvangt onder andere vanuit Amerika boze post van systeembeheerders die denken dat de VU bezig is om hun computers te kraken. De universiteit loopt daardoor het risico van de netwerken te worden afgesloten, zegt Renkema. 

Volgens hem zijn de hackers bijna onmiddellijk na hun inbraak ontdekt en de hele tijd in de gaten gehouden. Alle schade is dus ontstaan onder het toeziend oog van de systeembeheerders, zonder dat er maatregelen zijn genomen om de hackers van het systeem te weren. Volgens Renkema waren alle VU-systemen op het moment van de inbraak beveiligd volgens de laatste aanbevelingen van het Computer Emergency Response Team en Surf Net BV. 

Wat is waarschijnlijk werkelijk gebeurd? 

De aanklacht 'aanpassen van systeemsoftware' zou kunnen duiden op het door de hackers installeren van 'back-doors', achterdeurtjes waarmee toegang tot het systeem veilig werd gesteld, ook als de systeembeheerders wachtwoorden zouden veranderen. Ook zouden er nieuwe versies van programma's als 'telnet', 'ftp' en 'riogin' geļnstalleerd kunnen zijn. Deze programma's worden gebruikt om vanuit een op het 'Internet' aangesloten systeem te communiceren met andere systemen op het net.  

Een bekende hackers-truuk is om de software zo te veranderen dat de gebruikersnamen en wachtwoorden op andere systemen op een verborgen plaats in het systeem worden vastgelegd. Zo krijgen hackers toegang tot andere systemen op het Internet. Over de ware toedracht blijft het gissen... Maar in ieder geval geeft zelfs de CRI toe dat er in dit geval geen ander motief was dan het 'datareizen', het 'kijken hoe ver je kunt gaan'. 

Over hacking in het algemeen... 

In het verleden hebben wij gewaarschuwd dat de nieuwe wetten tegen computercriminaliteit alleen bruikbaar zijn tegen hackers, die verder geen kwade bedoeling hebben. Tegen de werkelijke 'computercriminelen' is een wet zinloos, omdat ze toch ongrijpbaar blijven. Het CRI vertelt de media maar al te graag dat hacken niet de prioriteit heeft bij de opsporing. Als er toch resultaten geboekt moeten worden is de hacker echter kennelijk een makkelijk doelwit. 

En resultaten moesten er geboekt worden. De druk uit vooral de Verenigde Staten is de laatste maanden zo hoog opgevoerd dat het voor de Nederlandse justitie gezichtsverlies zou zijn geweest om niet op te treden. Het lijkt alsof de arrestaties vooral bedoeld zijn om de Amerikaanse angst voor een overzees 'hacker-paradijs' te sussen. 

De aanklacht en schadeclaim nader bekeken 

De VU lanceert de gedachte dat systeembeveiliging op hun systeem alleen maar nodig was vanwege deze twee hackers. Alle kosten die er met betrekking tot systeembeveiliging zijn gemaakt worden op twee hackers verhaald die toevallig binnenliepen. Voor de mensen die hacken graag zien in termen van metaforen, het is als het binnenlopen in een gebouw vol studenten, wat rondkijken en vervolgens de rekening krijgen voor het nieuwe alarmsysteem dat nu geļnstalleerd moet worden. 

Systeembeveiliging is een normaal onderdeel van de taak van elke systeembeheerder. Niet alleen omdat het systeem beveiligd moet worden tegen inbraken van buitenaf, maar ook omdat de gebruikers onderling tegen elkaars nieuwsgierigheid moeten worden beschermd. Het beheer van de 'bronto' heeft heel wat steekjes laten vallen, en nu moeten ze hun systeem alsnog beveiligen. Dat is geen schade, maar het (te laat) doen van een klus die onderdeel is van hun dagelijks werk. 

Als het terugzetten van de systeemsoftware tienduizenden guldens kost dan is er op de VU iets mis; elke systeembeheerder die zijn software legaal heeft gekocht heeft de distributieversie (het origineel dat de softwarefabrikant heeft geleverd) van zijn systeem in de kast liggen. 

Verder zou het maanden werk zijn geweest om de hackers te volgen in het systeem. Het was veel makkelijker en goedkoper geweest om de hackers direct na ontdekking de toegang tot het systeem te ontzeggen. Dan zou ook de 'morele schade' door inbraken in andere systemen beperkt zijn gebleven. De VU koos ervoor om de politie in te schakelen en de hackers op te sporen. De kosten (en 'morele schade') die daaruit voortvloeien zijn opsporingskosten die je niet op de 'inbrekers' kunt verhalen. 

Het gebruiken van valsheid in geschrifte en oplichting roept de vraag op of het openbaar ministerie met een beter motief kan komen dan 'hij deed het voor de kick'. Als er geen sprake is van geldelijk of materieel gewin voor de daders is het maar de vraag of deze aanklachten overeind blijven. 

Wat betreft de vernieling: er zijn talloze gevallen bekend van systeembeheerders die overreageren als hun systeem wordt gekraakt. Een goed opgeleide systeembeheerder kan zijn systeem beveiligen zonder dat het daar een seconde voor van het net gehaaid hoeft te worden. Alweer: de hackers moeten betalen voor de, ogenschijnlijke, incompetentie van het systeembeheer. 

Hiermee is niet gezegd dat het hebben van hackers op een systeem niet erg lastig kan zijn. Het Internet is echter een openbaar netwerk en als je een systeem op het Internet aansluit zul je er dus rekening mee moeten houden dat er mensen zullen proberen om binnen te komen.  

Het is misschien vergelijkbaar met het installeren van een nieuwe telefooncentrale in een bedrijf. Als ieder toestel direct bereikbaar is zul je ook het personeel dat de telefoon opneemt moeten vertellen dat ze bepaalde dingen niet aan iedereen los moeten laten. Het is niet de fout van de opbeller dat hij al te loslippige medewerkers aantreft. Als je een touwtje door de brievenbus hangt zullen er mensen aan trekken. Als deze mensen schade aanrichten moet je ze vervolgen, maar niet voor de kosten van het achter ze aanlopen en het fatsoenlijk beveiligen. 

De consequenties van een veroordeling 

Als de verdachten veroordeeld worden dan maakt de VU een redelijke kans om een deel van haar schadeclaim toegewezen te krijgen. Verder is deze zaak van belang voor alle andere hackers in Nederland. Hun hobby is ineens strafbaar geworden en veel hackers zullen hun activiteiten staken. Anderen zullen 'ondergronds' gaan, hetgeen de discussie tussen hackers en systeembeheerders en de relatieve openheid in de computerveiligheidswereld niet ten goede komt.   



Felipe Rodriquez

Rop Gonggrijp 

*) Internet is een universiteitsnetwerk.

Naar boven
Naar overzicht dit nummer
Naar Jaargang 1992