Samen met de rest van de economie verhuist ook de criminaliteit naar cyberspace. Is het internet wel geschikt voor e-commerce en e-government?

De criminaliteit op internet neemt toe. De eerste drie kwartalen van 2000 werden meer dan 15.000 incidenten gemeld aan het internationaal opererende Computer Emergency Response Team (CERT). Een jaar eerder waren dat er nog geen 10.000, in 1998 geen 4000. Volgens een onderzoek van het Computer Security Institute en de FBI (1999) wordt bovendien zeventig procent van de inbraken of pogingen daartoe niet gemeld.

Diefstal van informatie en beschadiging van gegevens of systemen treft nu vooral instellingen, overheden en bedrijven. Maar ook particuliere internetgebruikers zullen in toenemende mate geconfronteerd worden met internetcriminaliteit. Het gaat dan niet alleen om vandalisme, zoals het verspreiden van een kwaadaardig virus of het bombarderen van een mailbox. Het gevaar heet hier diefstal van identiteit. Iemand onderschept uw persoonlijke gegevens (IP-adres, account, paswoord, naam, huisadres, kredietkaartnummer, rijksregisternummer…) en doet daarmee iets waar u voor opdraait. Leningen aangaan bijvoorbeeld, in uw naam kinderporno verspreiden of via uw computer een aanval uitvoeren op het ministerie van Defensie. Al het bewijsmateriaal wijst in uw richting.

Een op dit moment populaire techniek om persoonlijke gegevens te onderscheppen is webspoofing, waarbij de aanvaller zich stiekem tussen het slachtoffer en diens bestemming manoeuvreert. Het slachtoffer denkt naar een authentieke webpagina te kijken, maar in werkelijkheid vult hij zijn paswoord, kredietkaartnummer of andere vertrouwelijke data in op een door de aanvaller gefabriceerde neppagina. Dat kan verstrekkende gevolgen hebben, bijvoorbeeld bij het on-line uitvoeren van een banktransactie. Ten eerste denkt het slachtoffer een rekening betaald te hebben, terwijl dat niet zo is. Maar daarnaast verkrijgt de aanvaller natuurlijk alle nodige informatie om in naam van het slachtoffer niet bedoelde transacties uit te voeren. De oplichter kan ook gegevens wijzigen, alvorens ze door te sturen naar de echte server. Stel dat het slachtoffer een printer aankoopt via internet. De bedrieger kan die bestelling omzetten in de aankoop van tien computers en het leveringsadres veranderen. De rekening gaat natuurlijk wel naar het juiste adres. Diefstal van identiteit is eeuwenoud en een spoofing-aanval kan ook plaatsvinden buiten cyberspace. Je kan bijvoorbeeld een nepbankautomaat opstellen en het apparaat zo regelen dat het alle kaarten inslikt. Maar het risico om tegen de lamp te lopen, is vrij groot.

IEDEREEN KAN HACKEN

Je hoeft echter geen persoonlijke gegevens op een website in te vullen om je identiteit aan een cybercrimineel kwijt te raken. Op de harde schijf van onze computers staat doorgaans een schat aan persoonlijke informatie, soms van een heel gezin. Tekst, maar bijvoorbeeld ook foto’s. Elke keer een computer on line gaat, reist die harde schijf mee. De kans dat iemand via internet de machine binnenbreekt en alzo toegang krijgt tot uw documenten, is wel degelijk reëel. Vijf tot tien jaar geleden was het kraken van een computer voorbehouden aan een relatief klein aantal experts. Vandaag zijn zowat alle technieken waarvan hackers zich bedienen in een gratis en gebruiksvriendelijk softwareprogramma gegoten. Een grondige kennis van netwerken, programmeertalen en besturingssystemen is niet langer vereist. Het gevolg is dat nu iedereen via een netwerkverbinding een aanval kan lanceren op een andere computer.

De ommekeer kwam er in 1995, met de ontwikkeling van SATAN. Met deze software kun je vanop afstand automatisch de zwakke plekken in de beveiliging van een andere computer laten opsporen. Het programma geeft gedetailleerde informatie over de manieren waarop deze tekortkomingen kunnen worden uitgebuit. De software lokte controverse uit, want wat daarvoor een lastig en tijdrovend karwei was, werd door SATAN geautomatiseerd. In vergelijking met de huidige aanvalsprogramma’s is SATAN echter klein bier: veel software zoekt niet enkel naar zwakke plekken, maar buit deze tekortkomingen meteen ook uit.

Het kraken van een computer draait in de eerste plaats om het uitbuiten van al dan niet gekende beveiligingslekken: fouten in software waardoor onbevoegden via internet toegang krijgen tot andermans computer of computernetwerk. Die informatie is vandaag alomtegenwoordig op internet, zowel op officiële als op officieuze websites. Negentig procent van de internetgebruikers maakt gebruik van ofwel Netscape Communicator ofwel Microsoft Internet Explorer. De opeenvolgende versies van beide browsers (of bladeraars) vertonen verschillende ernstige beveiligingslekken. Hetzelfde geldt voor het besturingssysteem Windows.

Brown Orifice (sic) is het antwoord op het meest recente lek in de browser van Netscape, die begin augustus werd ontdekt. Het programma nestelt zich ongemerkt op een computer via een website of een e-mail (je kunt het dus zowel toevallig oplopen of toegestuurd krijgen). Zodra dat is gebeurd, gedraagt de computer van het slachtoffer zich ook als server. Met andere woorden: terwijl u nietsvermoedend op het web surft, is de harde schijf van uw computer potentieel toegankelijk voor alle internetgebruikers. Brown Orifice is geïnspireerd door het in 1998 in omloop gebrachte Back (sic) Orifice, dat misbruik maakt van de vele zwakke plekken in Windows ’95 en ’98. Dit soort programma’s – trojaanse paarden met kenmerken van een virus – zit intussen op tienduizenden computers. De eigenaars van deze machines weten dat niet. Anderen worden daar echter wel van op de hoogte gesteld: wie een van deze hackprogramma’s downloadt, krijgt ook een lijst te zien van reeds geïnfecteerde computers. Zelf het aanvalsprogramma downloaden is meteen zowat de enige manier om erachter te komen of je computer besmet is, want trojaanse paarden zijn zelfs voor ervaren informatici moeilijk op te sporen. Het bezoek aan de website valt echter af te raden, want de kans is groot dat je computer besmet raakt met… Back Orifice.

COOKIES EN LOGLIJSTEN

Wie een computer of netwerk wil binnendringen, moet dus enkel te weten komen welk besturingssysteem en welke browser het toekomstige slachtoffer gebruikt. Die informatie kan snel en onopgemerkt gevonden worden, bijvoorbeeld via cookies of via de loglijsten van websites.

Daarna raadpleegt de hacker zijn bronnen, op zoek naar de beveiligingslekken voor dat platform. Ten slotte rest alleen nog de vraag of de gaten zijn gedicht. Bij particulieren is dat zelden het geval, maar ook professionele netwerkbeheerders hebben niet altijd weet van de voor hun netwerk relevante beveiligingslekken. Het gebruik van een scanner zoals SATAN zou de hacker dezelfde informatie opleveren, maar die aanpak is weinig subtiel.

Elk bezoek aan een website wordt genoteerd (gelogd) door de server. Kijk zelf maar eens wat je prijsgeeft (http://privacy.net/anonymizer). Niet alleen het type browser en besturingssysteem, maar ook alle software die je hebt geïnstalleerd, de hulpprogramma’s die actief zijn, de grootte van je scherm en de webpagina waar je vandaan komt. Sommige surfers zullen zelfs hun IP-adres terugvinden (afhankelijk van de gekozen provider). Veel van deze informatie wordt ter beschikking gesteld door je browser: zo is de grootte van het scherm belangrijk voor de lay-out van de pagina. Dat is allemaal informatie die elke webmaster over elke bezoeker van zijn site kan verzamelen. Betrouwbare websites houden deze informatie voor zich, maar anderen nemen niet de moeite om de gegevens voor derden af te schermen. Sommige webmasters verkopen deze informatie zelfs verder en in bepaalde gevallen is de website alleen maar met dit doel opgezet.

Dezelfde gegevens kunnen ook achterhaald worden via cookies. Dat zijn kleine pakketjes informatie die de server naar de browser van de surfer stuurt wanneer die voor het eerst een verbinding maakt. Bij elk volgend bezoek aan diezelfde website stuurt de browser dan een kopie van deze informatie terug naar de server. Cookies zijn doorgaans niet ontworpen met kwade bedoelingen. Ze worden bijvoorbeeld gebruikt op sites waar je jezelf dient te registeren om toegang te krijgen. Zonder cookies zou de gebruiker bij elk verzoek voor een nieuwe pagina op dezelfde website zijn paswoord moeten invullen. Ook een on line boodschappenmandje bestaat bij gratie van cookies: het dient de informatie en acties van de gebruiker over meerdere pagina’s vast te houden. Hoewel de meeste cookies onschadelijk zijn, is het aanbevolen ze geregeld te wissen. Wie met een harde schijf vol cookies het web opgaat, geeft immers veel informatie prijs over zichzelf en zijn computer. Daarnaast bestaat het risico dat een derde partij ze onderschept.

Moeten we nu allemaal wegblijven van internet? Niet noodzakelijk. Wie geen gevoelige informatie op de harde schijf van de computer heeft staan, kan ze ook niet kwijtraken. De anderen kunnen het risico op een inbraak beperken. Om te beginnen, is een beveiligingslek niet definitief. Er volgt meestal een reparatieprogramma, dat gratis kan worden afgehaald op de website van de fabrikant. Daarnaast wordt een groot deel van de beveiligingslekken in browsers veroorzaakt door hulpprogramma’s als Java, JavaScript, VBScript of ActiveX. Vooral het veelgebruikte JavaScript is een gatenkaas wat betreft beveiligingslekken. Het programma biedt onder andere de mogelijkheid om extra vensters te openen. Een mogelijke manier om JavaScript te misbruiken, is de creatie van een voor het menselijk oog onzichtbaar kadertje, dat de inhoud van de computer scant. Al deze opties – die ook webspoofing vergemakkelijken – kun je uitschakelen via je browser. Maar als je dat doet, krijg je drievierde van de webpagina’s niet langer te zien. Deze hulpprogramma’s (aangeduid als actieve inhoud) worden namelijk op steeds meer websites gebruikt. Weinig bedrijven zijn nog tevreden met een site die alleen maar tekst en eventueel een foto laat zien. Een webpagina moet nu interactief en dynamisch zijn, er moet beweging inzitten. Het is geen toeval dat deze hulpprogramma’s standaard zijn geactiveerd. De meeste surfers hebben geen weet van beveiligingslekken en veel belanghebbenden zouden dat graag zo houden.

HACKERS EN CRACKERS

Half november keurde het parlement het wetsontwerp op de informaticacriminaliteit definitief goed. Een belangrijk twistpunt tijdens de lange lijdensweg van dit wetsontwerp was de vraag of er al dan niet een onderscheid moest worden gemaakt tussen hackers en crackers. Dat onderscheid kwam er uiteindelijk niet, tenzij in de strafmaat. Het inbreken in een computersysteem met de bedoeling de onbetrouwbaarheid ervan aan te klagen, wordt voortaan bestraft met een gevangenisstraf van drie maanden tot een jaar. Crackers – hackers die informatie stelen, wijzigen of vernietigen – riskeren tot vijf jaar cel. De Belgische wetgever anticipeert daarmee op de komende Europese regelgeving. De Europese Unie legt op dit moment de laatste hand aan een verdrag over cybercriminaliteit, dat al begin december zou kunnen worden goedgekeurd. Ook hier wordt geen onderscheid gemaakt tussen hackers of crackers.

In essentie is er ook geen onderscheid tussen een hacker, een cracker of zelfs een netwerkbeveiliger: ze zoeken alledrie naar beveiligingslekken. De hackers om ze openbaar te maken (en eventueel reclame te maken voor hun beveiligingsbedrijf), de crackers om ze uit te buiten en de netwerkbeheerders om ze te dichten. Meestal in die volgorde, maar dat hoeft niet zo te zijn. Beide partijen kunnen beschikken over dezelfde bronnen en gereedschappen. Gereedschappen worden ook door netwerkbeveiligers gebruikt en verder ontwikkeld. Ook voor hen was het testen van de veiligheid van een systeem een lastig en tijdrovend karwei. Nu richten ze simpelweg deze software op hun systeem en kunnen ze meteen de nodige lekken dichten. Natuurlijk maken criminelen misbruik van de publicatie van beveiligingslekken, maar de netwerkbeheerders kunnen op hun beurt profiteren van de informatie die door de crackers wordt verspreid.

Dat spel van kat en muis wil de Europese wetgeving nu doorbreken. Want ook de productie, het bezit en de verspreiding van hacking-gereedschappen zal worden verboden, net als het bekendmaken van beveiligingslekken. Het ontwerpverdrag kreeg veel kritiek van beveiligers, en enkele uitzonderingen vallen dan ook te verwachten. Dat neemt niet weg dat de nieuwe wetgeving haaks staat op de visie van de meeste hackers en beveiligingsexperts. Zij willen het publiek bewust maken en informeren. Volgens hen is de groeiende cybercriminaliteit in de eerste plaats te wijten aan slechte software en een gebrekkige kennis bij netwerkbeheerders en particulieren. Het weer ondergronds duwen van gereedschappen en informatie over beveiligingslekken maakt verbetering op dat vlak onmogelijk.

Onzeker is of de nieuwe wetgeving iets zal uithalen. Criminaliteit op internet zal in vele gevallen onbestraft blijven, zelfs als het slachtoffer de locatie van de aanvaller weet te achterhalen (wat niet evident is). De computer vanwaar de aanval wordt gelanceerd, kan om te beginnen ook een slachtoffer zijn. Steeds meer cybercriminelen forceren zich een toegang tot particuliere computers om vandaaruit een aanval te lanceren op een andere computer of een netwerk. Deze techniek, IP-Spoofing, was tot voor kort zeldzaam omdat hij veel kennis en ervaring vereist. Nu bestaan er softwareprogramma’s die dat proces automatiseren. Hackers ‘stelen’ computers om dezelfde reden dat andere criminelen auto’s jatten. Op die manier wissen ze hun sporen uit. Soms is dat niet eens nodig, als de computer van de aanvaller gelokaliseerd is in een land dat niet over de gepaste technologie, kennis en/of wetgeving beschikt om de cybercriminelen op te sporen en te vervolgen. Het internet is wereldwijd, wetten worden gemaakt door staten en landen.

Een mogelijke verdediging tegen indringers is de installatie van een firewall: software die de toegang regelt tot een computer of netwerk. Grote netwerken maken hier al langer gebruik van, maar er zijn nu ook makkelijk te installeren firewalls voor particulieren. Voor wie over een breedbandverbinding beschikt, is een firewall geen overbodige luxe. Het is voor een hacker namelijk een stuk makkelijker werken met een permanente verbinding dan met een computer die af en toe even on line gaat. Dat is ook de reden waarom particulieren tot nu toe weinig last hebben gehad van hackers.

Een firewall beschermt tegen inbraak en aanvallen, zoals een virusscanner beschermt tegen vernielzuchtige programma’s. Maar ze hebben ook dezelfde beperkingen: de nieuwste aanvallen zijn niet voorzien en je moet regelmatig een nieuwe versie downloaden. Een firewall is ook om andere redenen niet onfeilbaar, maar het is op internet net zoals in de echte wereld: een inbreker maakt het zich liefst zo makkelijk mogelijk.

Illustraties: Saske de Vries

Kris De Decker

Reageren op dit artikel kan u door een e-mail te sturen naar lezersbrieven@knack.be. Uw reactie wordt dan mogelijk meegenomen in het volgende nummer.

Partner Content