Hackers
De Nederlandse journalist Gerard Janssen (54) dook onder in de wondere wereld van de hackers. Eind 2020 was hij er getuige van hoe ze in Gent het Twitteraccount van Donald Trump hackten. “Zijn wachtwoord was: maga2020!”
De voorbije jaren wist Gerard Janssen het vertrouwen te winnen van het kruim van de Nederlandse hackergemeenschap. In zijn fascinerende boek Hackers brengt hij de soms ijzingwekkende gevaren van het wereldwijde web in kaart en volgt hij een aantal ‘Grumpy Old Hackers’ op de voet.
Gaandeweg werd Janssen ‘one of the gang’. Vandaag is hij als redacteur actief bij het door ethisch hacker Victor Gevers opgerichte Dutch Institute for Vulnerability Disclosure (DIVD). Gevers’ vrijwilligersorganisatie houdt het internet in Nederland in de gaten. “Soms duiken er kwetsbaarheden op waar iedereen meteen bloednerveus van wordt’, zegt Gerard Janssen. “De hackers van DIVD kunnen in een paar uur tijd alle IP-adressen van de hele wereld scannen. Ze zien of er kwetsbare computers van ziekenhuizen of overheidsinstellingen tussen zitten en melden dat dan meteen. Tijdens de coronacrisis begon ik rapporten voor hen te schrijven; zo doorgrondde ik steeds beter hun werkwijze en motieven.”
Door met hen samen te werken, kreeg u inzage in hun drijfveren?
“Toch wel. Al was het in het begin niet makkelijk om als journalist hun vertrouwen te winnen. Ik ging niet undercover, maar maakte altijd bekend wie ik was. Om hen te beschermen, maakte ik duidelijke afspraken. Ik zag en hoorde dingen waarvan ik dacht: ‘Mijn god!’ Maar die konden niet in mijn boek omdat ik hen dat beloofd heb.”
Zoals?
“Na een etentje in een restaurant vroeg één van de hackers die ik sprak de rekening. Hij haalde zijn kredietkaart boven; achteraf bleek dat hij met de kaart van een andere hacker betaald had. Niet door die kaart te kopiëren, maar door de bank een unieke nieuwe kaart op te laten sturen. Toen wist ik: als ze willen, betalen ze met de kaart van om het even wie. Maar deze hackers doen dat niet.”
Waarom niet?
“Omdat de meeste hackers zuiver op de graat zijn: ze houden van wetten en regeltjes. Een waterdicht set van juridische regels bestaat niet; er zitten altijd mazen in het net. Hackers vinden het leuk om naar die gaten op zoek te gaan. Ze letten erop dat ze al hackend de wet niet overtreden, maar doen er tezelfdertijd wel alles aan om de achterpoortjes te vinden.
“Edwin van Andel is in Nederland bekend als ‘elite-hacker’. Met zijn bedrijf Zerocopter bemiddelt hij tussen hackers en ondernemers. Wie zijn bedrijf op kwetsbaarheden wil laten doorlichten, kan via Zerocopter een hacker inhuren. Edwin vertelde me dat in Nederland kerkgenootschappen toegang hebben tot de gemeentelijke basisadministratie over persoonsgegevens. Als Edwin dat soort van gegevens nodig heeft, breekt hij niet in de database in, maar richt hij bijvoorbeeld een nieuwe kerk op. Zo raakt hij op volstrekt legale wijze aan informatie die niet niet voor iedereen toegankelijk is.”
Edwin van Andel, Mattijs van Ommeren en Victor Gevers, alias de ‘Grumpy Old Hackers’, hackten op 16 oktober 2016 in de schaduw van een hackersconferentie in Gent de Twitter-account van Donald Trump. Toen gebeurde er niets. Op 16 oktober 2020 deed Victor Gevers dat nog eens over. Toen werd het wereldnieuws.
“Die tweede keer zat ik er met mijn neus bovenop. Victor probeerde wat wachtwoorden uit, waaronder maga2020! Het volgende moment zat hij in het Twitteraccount van de toenmalige president van de Verenigde Staten. Hij had Trump in zijn onderbroek kunnen zetten, maar daar ging het hem niet om. Hij wou dat dit veiligheidslek gedicht werd. Hij probeerde in contact te komen met het Witte Huis en met Twitter. Niets lukte. Op Twitter suggereerde hij dat hij via een tweet in naam van Trump de aandacht had proberen trekken. Dat was riskant. Zou hij nu de Amerikaanse overheid achter zich aan krijgen of aan Amerika uitgeleverd worden? Gelukkig nam het Nederlandse Openbaar Ministerie hem in bescherming: ‘U deed er goed aan om die kwetsbaarheid bloot te leggen.’”
De Grumpy Old Hackers zijn heren van middelbare leeftijd?
“Ze draaien al een paar decennia mee. De hackersgemeenschap heeft haar wortels in de messageboards, digitale prikborden op het internet, van de jaren tachtig en negentig. Dat waren computers waarop je kon inloggen en een bericht achterlaten. Die waren zeer populair bij mensen die een beetje uit de boot vielen, zoals lesbiennes, homo’s en transgenders. Zij zijn sterk verbonden met de hackerscultuur, want op die prikborden stonden niet alleen boodschappen over lesbische gevoelens, maar ook over hoe je een computer kon hacken. In de hackerswereld tref je tot vandaag trouwens nog steeds relatief veel transgenders aan.”
Is het dan niet vooral een door mannen gedomineerde wereld?
“Niet helemaal. Bij DIVD zijn bijna alle hackers mannen, maar er zijn wel degelijk ook uitstekende vrouwelijke hackers zoals Melanie Rieback en Chris Kubecka. Stephanie Wehner was professioneel hacker. Nu is ze hoogleraar quantuminformatie aan de Technische Universiteit Delft.
“Toen de hackers van mijn generatie jong waren en hun eerste stappen in het kraken van computers zetten, was dat nog het wilde westen. Alles was toegestaan en allemaal deden ze wel eens iets dat niet meer mag. Allemaal kwamen ze in aanraking met de arm der wet. Zo leerden ze met vallen en opstaan en werden ze voorzichtiger. Daarom ook hechten ze nu zoveel belang aan dat zuiver op de graat zijn.”
Waar komt uw fascinatie voor hacken vandaan?
“In elke Hollywoodfilm treedt een hacker op; hij is de moderne tovenaar. De Harry Potter in mij wou zijn toverboek wel eens zien en zijn toverspreuken kennen. Ik wou weten welke commando’s hackers invoeren en wat er op hun beeldscherm verschijnt als ze in een andere computer inbreken. Ik was benieuwd naar wat ze op hun pad tegenkomen als ze het systeem van het ministerie van Defensie kraken.”
Helpt het als je autistische trekken hebt?
“Ik ontmoette zeker hackers die heel diep in het autismespectrum zaten. Ikzelf bevind me daar vast ook wel ergens in. (lacht) Ik begrijp waarom ze hacken. De basis van een computer, het Unix-besturingssysteem, is een zeer prettige plek om te verblijven. Het zit perfect logisch ineen en klopt als een bus. Hackers hebben ook een enorme drang om te blijven leren en om uit te zoeken hoe iets werkt.”
Hacken heeft niets te maken met het willen uitoefenen van macht?
“Dat komt er ook bij. Het leuke aan hacken is het puzzelen. Als je daar uitzonderlijk goed in bent, heb je een streepje voor en ben je machtiger dan de rest. Hackers worden wel eens opgedeeld in autisten en narcisten. De autisten hoor je niet: ze houden zich in stilte bezig met hun fantastische zoektochten in computernetwerken. De narcisten hoor je wel, alleen is wat zij te melden hebben meestal niet zo wereldschokkend.”
Hoort Edward Snowden thuis in het narcistische kamp?
“Ik denk het niet. Al zit Snowden op een niveau waarop nog moeilijk vast te stellen is wat zijn échte verhaal is. Booz Allen Hamilton, het bedrijf waarvoor hij werkte, was natuurlijk best akelig. Daar aan de slag gaan, is naar mijn gevoel hetzelfde als overlopen naar de dark side. Maar misschien kwam Snowden écht tot inkeer.
“Julian Assange is denk ik wel een beetje narcistisch. Tezelfdertijd is het heel belangrijk dat mensen belangrijke waarheden op een platform als Wikileaks kunnen plaatsen.
“De grote drang naar eerlijkheid bij hackers hangt nauw samen met dat autismespectrum. Er mag niet gelogen worden en álles moet getoond worden. Een eerlijk verhaal kan ook als wapen gebruikt worden: de kennis die je verzamelde, geeft je macht. Assange heeft vast fouten gemaakt.
“De sinds 2018 vermiste Nederlandse hacker Arjen Kamphuis hielp bedrijven, ngo’s en journalisten met het beveiligen van hun informatiesystemen. Ook hij had bedenkingen bij Assange, maar verzekerde mij er wel van dat alle informatie op Wikileaks echt is. Je vindt daar geen nepnieuws, maar échte documenten, de waarheid dus. Terwijl inlichtingendiensten zoals CIA en NSA een lange geschiedenis van leugens en bedrog met zich meeslepen.
“Ik sprak ook met hackers die omwille van hun kwaliteiten wel eens ingehuurd worden door de Nederlandse inlichtingendiensten. Vroeger waren zij de grootste voorstanders van absolute transparantie à la Wikileaks. Nu vinden ze het goed dat een aantal mensen in de gaten gehouden wordt zonder dat het grote publiek daar iets van afweet. ‘Sommigen zijn een groot gevaar voor de samenleving’, zeggen ze. ‘Het is maar goed dat niemand weet wat voor geheime acties de Nederlandse geheime dienst AIVD tegen hen opzet. Anders zouden mensen enkel nodeloos bang worden.’”
Door geheime documenten openbaar te maken, brengt een site als Wikileaks ook mensenlevens nodeloos in gevaar.
“Dat wordt dan altijd gezegd, alleen zag ik daar nog nooit een voorbeeld van. Terwijl Wikileaks wél blootlegde hoeveel Maya-indianen er met medeweten van de Amerikaanse inlichtingendiensten in de jaren zeventig en tachtig in Guatemala vermoord werden. Het is soms tricky om hier in het Westen over Assange of Wikileaks te schrijven. Als je niet oppast, word je in een hoek geduwd waar je liever niet zit.
“Eerlijk gezegd ben ik nogal geschrokken van wat er via Wikileaks allemaal aan de oppervlakte kwam. Ik schrok ook toen ik eind vorig jaar op Yahoo las dat er in 2017 onder Donald Trump door de CIA een moordaanslag op Julian Assange beraamd werd. In de Westerse media was daar weinig aandacht voor. Russische media pikten dat nieuws wel op, maar als je daarnaar verwijst, riskeer je te worden weggezet als een vriend van Poetin.”
Is de hackersgemeenschap een hechte club?
“Ze houden elkaar goed in de gaten, omdat het snel fout kan gaan. Ze hebben een radar voor de narcistische hackers met gebrek aan empathie. Die proberen ze dan bij te sturen. Als zo iemand toch over de schreef gaat, wordt hij ‘geëxcommuniceerd’.”
De narcistische hackers met psychopathische trekjes zijn gevaarlijk?
“Vooral de psychopaten die hen inhuren zijn gevaarlijk. Ik heb zelf nooit echt narcistische of criminele hackers ontmoet, maar ik hoor wel verhalen van hackers die door criminelen voor ‘een klusje’ worden ingehuurd: ‘Kun je ons een bestandje bezorgen?’ Van zodra je met die kerels in zee gaat, raak je nooit meer van ze af. Voor de centen hoef je dat eigenlijk niet te doen, want tegenwoordig kan een hacker in de legaliteit minstens even makkelijk veel geld verdienen.”
Dat is dan het onderscheid tussen ethische en niet-ethische hackers?
“Hackers zelf vinden dat onderscheid onzin. Ze zeggen: ‘Je spreekt toch ook niet over ethische en niet-ethische boekhouders?’ (lacht) De meeste hackers zijn echt wel bona fide.”
Maar de weinigen met slechte bedoelingen kunnen toch heel wat onheil aanrichten? Volgens de Nederlandse onderzoeksjournalist Huib Modderkolk is cyberspace vandaag het strijdtoneel van heuse digitale oorlogen. Op 27 juni 2017 legden Russische hackers bijvoorbeeld Oekraïne plat.
“Op dit moment is de wereld verschrikkelijk kwetsbaar, waarbij Nederland groter risico loopt dan België. Bij jullie kun je nog op café met cash betalen, maar bij ons is werkelijk álles gedigitaliseerd, met een economie die helemaal gebouwd is op het just-in-time-principe. Rusland heeft een legertje hackers in dienst. Hoe meer de spanningen met de Russen oplopen, hoe gevaarlijker het voor ons wordt. Want zij kunnen via digitale weg onze samenleving ontwrichten, maar omgekeerd is dat moeilijker. Want terwijl ons gedigitaliseerd spoorwegnet stilvalt als er een blaadje op de rails dwarrelt, blijven de Siberische treinen gewoon door de sneeuw ploegen.
“Wereldwijd zijn tienduizenden hackers in staat om enorme ellende aan te richten. Ze worden niet alleen door de geheime diensten van Rusland en China aangestuurd, maar ook Nederland en België hebben zo’n jongens in dienst. En vergeet Frankrijk niet. Eind januari verstoorden hackers het treinverkeer in Wit-Rusland om de ‘opmars van de Russische troepen richting Oekraïne te vertragen.’ Ze stelden zichzelf voor als vrijheidsstrijders, als ‘Cyber Partizanen’, maar niemand weet wie ze écht zijn. Misschien zit er een meisje van 12 achter, of een duizendkoppig leger van staatshackers. Een land door een cyberoorlog platleggen, is minder bloederig dan met een kernbom. Intussen zijn veel landen in staat om elkaar digitaal ‘uit te zetten’.”
Ze kunnen wel altijd doen alsof ze niets met een cyberaanval te maken hebben.
“Dat klopt. Een aanvallend land kan net doen alsof een hacktivistische groep het treinverkeer platlegde. Of: ‘Het waren de Chinezen’, terwijl twee Nederlandse hackers de klus klaarden.
“Ik was getuige van de beruchte ‘Kaseya-hack’ in juli vorig jaar. DIVD-hacker Wietse Boonstra ontdekte toen een zeroday-kwetsbaarheid bij Virtual Systems Administrator software van Kaseya. Die software is bedoeld om computerproblemen in bedrijven van op afstand te helpen oplossen.”
Een ‘zeroday-lek’ is nog niet eerder gevonden en schept daarom grote mogelijkheden voor hackers met slechte bedoelingen?
“Precies. Wie via een zeroday-lek als systeembeheerder kan inloggen, is God en doet wat hij wil. Wietse zocht meteen contact met Kaseya. Ik volgde de chat van het DIVD van dichtbij en het leek angstaanjagend. Voor verschillende bedrijven was het te laat: zij werden getroffen door een aanval met ransomware of gijzelsoftware. In het licht van de mogelijke dreiging, viel het uiteindelijk allemaal nog mee. Dat is vaak zo, misschien omdat niet al te veel mensen ermee gebaat zijn om de hele boel plat te gooien. Als je als hacker de elektriciteitscentrale uischakelt, zit je zelf ook zonder stroom. Als je als hacktivist het internet platlegt, kun je er zelf ook niet meer op.”
Ons ministerie van Defensie kon onlangs een maand lang geen mails sturen na een zogenaamde log4j-aanval. Militairen raakten nog langer niet op het internet.
“Defensie is niet alleen in België kwetsbaar. Militairen die op afstand werken, gebruiken zogenaamd ‘veilige’ VPN-verbindingen. In werkelijkheid zitten er nogal wat gaten in. Veel van dergelijke aanvallen raken nooit bekend, want er is altijd schaamte. Deze keer was het zo erg dat het wel naar buiten moést komen. Ik schrik dan telkens weer hoe slecht de software is die gebruikt wordt.”
Door alles te digitaliseren, maken we onszelf extreem kwetsbaar?
“Zonder twijfel. Het bewustzijn groeit dat er dringend gestut moet worden. Gewone burgers ontdekten tijdens corona Zoom, heel handig als je vanop afstand wilt vergaderen. Bij de overheid wordt ook duchtig gezoomd, zonder dat iemand zich zorgen lijkt te maken over wie er allemaal zit mee te kijken.
“In fabrieken worden de robots vaak beheerd door de automatiseringsbedrijven die de software ervoor ontwikkelden. De directie van de fabriek heeft dan over zowel de hardware als de software niet alles meer te zeggen. Als ze toch zelf ingrijpt, verliest ze de garantie. Bij de automatiseringsbedrijven staat digitale veiligheid zelden bovenaan. Het enige wat telt, is dat de robots snel en efficiënt werken en veilig zijn voor het personeel. Als er een veiligheidslek gevonden wordt, moet de fabriek misschien worden stilgelegd voor een update en dat kost handenvol geld. Dus knijpen ze liever een oogje dicht voor lekken.”
Is geen enkele computer veilig voor een hacker?
“Sommige gebruikers proberen de beveiliging van hun computer angstvallig up-to-date te houden. Maar we hebben allemaal wel ergens een programma draaien dat niet de allerlaatste versie is. Ik kan me vermommen als jouw telefoonmaatschappij en je een vriendelijke mail sturen met een pdf-document in bijlage. Als jij dat aanklikt, kan ik nagaan hoe het met jouw Adobe gesteld is. Op Google vind ik een lijst van alle kwetsbaarheden. Niet veel later is jouw computer van mij. Daarom ook zullen hackers nooit toegezonden word- of pdf-bestanden op hun eigen computer openen, maar op Google Drive.
“De allerbeste hackers werken voor Google, Amazon of Apple. De clouds van die grote techbedrijven zijn relatief veilig. Maar omdat die mastodonten massaal veel informatie van bedrijven stockeren, vormen zij natuurlijk ook een interessant doelwit. Veel overheden zijn klant bij de clouddiensten van Google of Microsoft. Ik blijf het eigenaardig vinden dat onze overheden hun data opslaan op servers in de VS, waar de NSA zo bij kan. Hetzelfde geldt voor onze banken. Wat houdt ons tegen om onze eigen Europese datacentra te bouwen?”
Maken we ons ook niet extra kwetsbaar door het zogenaamde ‘Internet of Things’ of IoT, waarbij alle apparaten in huis online vanop afstand te bedienen zijn?
“Hoe ingewikkelder het wordt, hoe kwetsbaarder. Aan de andere kant: hoe erg is het als iemand anders je licht uitknipt? Zolang je maar weet hoe je het zelf weer moet aanzetten. (lacht) Maar natuurlijk is Internet of Things een handige manier om ergens binnen te geraken. Zo dringen hackers vaak via de onlineprinter door tot systemen van bedrijven. In 2017 werd een Amerikaans casino gehackt via sensoren die in het aquarium de temperatuur van het water controleerden. Als jij de watertemperatuur vanop afstand kunt regelen, kan ik dat als hacker ook. Voor jij het goed en wel beseft, raak ik zo via je aquarium in je thuisnetwerk.”
Gerard Janssen, Hackers – strijders van het internet, Thomas Rap, 304 blzn., 22,99 euro
Bio
Gerard Janssen
- Geboren in 1967
- Studeerde technische natuurkunde aan de Technische Universiteit van Delft
- Schrijft o.a. voor Vrij Nederland, Het Parool, De Groene Amsterdammer en De Volkskrant
- Auteur van diverse boeken, waaronder Zwangerschapsboek voor mannen,
© Jan Stevens