Van alle criminelen zijn de slimmeriken het leukst. Lieden die er met uitgekiende technieken in slagen het als waterdicht beschouwde alarmsysteem van een bank te omzeilen en er met een vette buit van tussen gaan, kunnen altijd rekenen op publieke bewondering. Op Internet zijn dergelijke slimmeriken op grote schaal actief. Hun gedrag wordt door de officiële instanties steevast crimineel genoemd, maar niet iedereen is het daarmee eens. Sommigen beschouwen de activiteiten van computerkrakers, oftewel hackers, als een soort sport. Een krachtmeting in intelligentie tussen het systeem en de gebruiker. Net als bij iedere andere sport gebeuren daarbij ongelukken. Systemen worden vernield en gegevens vernietigd. Soms gaat dat per ongeluk, maar andere keren zijn het gewoon elektronische vandalen die hun werk doen.

  Internet heeft een grote aantrekkingskracht op mensen die willen rommelen met systemen. Erg vreemd is dat niet. Er valt namelijk ook veel te rommelen. Net als een tasjesrover de voorkeur geeft aan een drukke winkelstraat boven de Sahara, zo vertoeven computerkrakers graag op het net. Met als gevolg dat er met enige regelmaat `grote zaken' het licht zien.

  Een van de meest roemruchte gebeurtenissen uit de jonge geschiedenis van het net vond plaats op de avond van 2 november 1988, in computertermen inmiddels een eeuwigheid geleden. Het Internet was in vergelijking met nu nog maar een elektronisch dorpje van zo'n 60.000 computers. Maar wat er op die bewuste avond gebeurde was voldoende om de media wakker te schudden: een massale aanval op de belangrijkste computernetwerken van de Verenigde Staten. Dat er militaire netwerken bij betrokken waren, was voldoende om de hysterie te voeden.

  Iemand bleek op die avond een virus-achtig programma op het net te hebben losgelaten. Een computervirus is een - al dan niet - verwoestend programma met als belangrijkste eigenschap dat het zichzelf vermenigvuldigt. En dat deed dit programma dan ook: binnen twaalf uur na de eerste infectie waren er meer dan drieduizend computersystemen besmet geraakt.

  Het bewuste virus was er een van het soort dat bekendstaat als worm omdat het net zo te werk ging als zo'n beestje. De worm drong computersystemen binnen en begon vervolgens van binnenuit zijn werk te doen. Dat werk bestond uit zichzelf kopiëren, net zo lang tot alle, maar dan ook alle beschikbare ruimte was gevuld en het systeem in zichzelf verstrikt raakte en vastliep. Voordat het zover was, had het programma echter al gezocht naar andere systemen waarmee het getroffen systeem in verbinding stond en zichzelf ook daarheen gekopieerd. De worm kon zijn werk doen dankzij een fout in een bepaald programma dat de verzending van e-mail regelde. Om verdere verspreiding tegen te gaan zagen systemen zich gedwongen hun e-mail-verbindingen af te snijden. Ze plaatsten zichzelf daarmee in een soort staat van beleg. De totale schade liep in de tientallen miljoenen dollars.

  De echte klap kwam echter pas toen duidelijk werd wie het brein was achter deze aanval: de 23-jarige Harvard student Robert Morris jr., zoon van de directeur van het National Computer Security Center, een instituut dat onder de Amerikaanse staatsveiligheidsdiensten valt. De worm was volgens hem een ongeluk, hij had een bepaalde programmeertechniek willen uitproberen en toen was het programma uit zichzelf `ontsnapt'. Die verklaring mocht niet baten. Hij werd veroordeeld tot drie jaar voorwaardelijk, tienduizend dollar boete en vierhonderd uur dienstverlening.

  Begin februari 1994 sloeg CERT, het Computer Emergency Response Team, een wereldwijde organisatie voor computerbeveiliging, op grote schaal alarm via het net: `De afgelopen week heeft CERT een dramatische stijging geconstateerd van indringers die het netwerkverkeer afluisteren. Alle systemen die van buitenaf benaderd kunnen worden (...) lopen gevaar. De indringers hebben reeds toegangsinformatie voor tienduizenden systemen op Internet vergaard.'

  Deze onrustbarende woorden van de anders zo behoedzame CERT misten hun uitwerking niet. Op Internet regende het binnen de kortste keren berichten over de gevolgen van de kraak. Alsof de politie in een dorp waarschuwde dat er inbreker rondliep met een sleutel die op alle huisdeuren paste. Want dat was dan ook precies wat er was gebeurd. De hackers hadden een techniek gebruikt die hen in staat stelde om van honderdduizenden gebruikers de geheime persoonlijke toegangscodes te verzamelen.

  De kraak deed in de verte denken aan de truc die een pompbediende ooit toepaste om de rekeningen van zijn klanten te plunderen met behulp van hun eigen PIN-codes. De man had aan het leesapparaat voor de pasjes een soort afluistersysteem gekoppeld dat al het elektronisch verkeer tussen de klant en de bank registreerde. Iedere keer als er een klant met een PIN-pasje betaalde, gebruikte de man de informatie uit het leesapparaat om het betreffende pasje te dupliceren. Tegelijkertijd keek hij de klant letterlijk op de vingers om te zien welke PIN-code er werd ingetoetst.

  De computerkrakers deden iets dergelijks maar dan op afstand en op een vele malen grotere schaal. Om bij de vergelijking te blijven: ze hadden niet alleen de klanten van een enkel benzinestation getroffen maar van alle belangrijke stations langs de snelwegen. Zo verkregen ze de codes van zo'n beetje alle klanten die hun brandstof met een PIN-pas afrekenen.

  Nu ging het bij de Internet-kraak niet om bankrekeningen en PIN-codes maar om wachtwoorden. En er was niet direct geld in het geding maar de toegang tot al dan niet geheime gegevens. Internet is weliswaar min of meer openbaar, maar er zijn ook duizenden systemen aangesloten waar je aleeen met toestemming kunt binnenkomen, zoals bijvoorbeeld de computers van de ruimtevaartorganisatie NASA.

  Net als het gewone wegennet kent Internet knooppunten, grote systemen waar al het - elektronische - verkeer voorbijkomt. Dergelijke knooppunten worden ook wel ethernetten genoemd. Net zo als het mogelijk is om door de Moerdijkbrug in de gaten te houden een groot deel van het autoverkeer tussen het noorden en zuiden van het land in kaart te brengen, is het op dergelijke ethernetten mogelijk om al het voorbijrazende elektronisch verkeer te bespieden.

  Er is echter één groot verschil. Bij het autoverkeer kun je meestal alleen het nummerbord noteren. Het is voor de buitenstaander behoorlijk lastig om die nummers vervolgens te herleiden tot persoonlijke gegevens, zeker als het om zo'n grote hoeveelheid nummerborden gaat. Bovendien kun je met die informatie nog niet in de betreffende auto's rijden.

  Bij computerverkeer via een ethernet ligt dat anders. Het is alsof de geheime toegangscodes met koeieletters op de zijkanten van de auto's zijn gekalkt. Wie een dergelijke code eenmaal te pakken heeft, kan zich vervolgens voordoen als de oorspronkelijke bezitter van dat wachtwoord. De hacker steelt als het ware iemands identiteit.

  De computerkraker was erin geslaagd zich toegang te verschaffen tot zo'n ethernet ergens in de Verenigde Staten. En wel op zo'n manier dat hij veel meer mogelijkheden had dan de gemiddelde gebruiker. Vervolgens heeft hij daar een vernuftig computerprogramma geïnstalleerd van het soort dat wel Trojaans Paard wordt genoemd. Zoals de benaming al aangeeft, is dat een programma dat veel meer doet dan je op het eerste gezicht zou verwachten. Een voorbeeld van zo'n Trojaans Paard is een computerspelletje dat, terwijl de gebruiker nietsvermoedend zit te spelen, stiekem alle andere programma's wist.

  Dit Trojaanse Paard was echter geen spelletje, het zag eruit als een onschuldig programma, zoals er op grote systemen talloze draaien. Onderwijl bespiedde dit programma echter al het elektronisch verkeer dat op het bewuste ethernet voorbijkwam. Alle in- en uitgangen van het systeem werden permanent in de gaten gehouden. Het Trojaanse Paard was zo geprogrammeerd dat het uit de voorbijrazende informatie precies de gebruikersnamen en bijbehorende toegangscodes viste. Die gegevens werden vervolgens opgeslagen in een voor de systeembeheerders onzichtbaar bestand. Eens in de zoveel tijd haalde de kraker zijn buit op uit dat bestand.

  Wie deze truc uithaalt op een belangrijk knooppunt vist zo tienduizenden toegangscodes uit het verkeer. Vervolgens ontstaat er een sneeuwbaleffect, want de verkregen codes kunnen op hun beurt weer gebruikt worden om toegang te krijgen tot andere systemen. Dus kan de truc op steeds andere systemen worden toegepast.

  Het is overigens niet duidelijk waarom deze kraak plaatsvond. Het kan zijn dat het de hacker alleen om de sport en kick te doen was. Maar het is ook goed mogelijk dat de verkregen informatie te gelde is gemaakt. De gegevens van instituten en bedrijven die op deze manier voor het grijpen komen te liggen zijn namelijk nogal wat waard. In Duitsland werd in 1989 een groep hackers opgerold die via computerkraken verzamelde informatie had verkocht aan de Russische KGB.

  Het probleem met een dergelijke computerkraak is dat er niet veel tegen te doen valt. CERT riep gebruikers weliswaar op om massaal de persoonlijke wachtwoorden te wijzigen maar echt helpen doet zoiets niet. Het is als de bestrijding van een virus: als slechts één van de besmettingsgevallen over het hoofd wordt gezien, kan de verspreiding weer van voren af aan beginnen.

  Daarbij speelt dat het gebruikte Trojaanse Paard overal verkrijgbaar is. Iedereen die het wil hebben, kan het via hetzelfde Internet te pakken krijgen waar het circuleert in kringen van mensen met meer dan een gemiddelde belangstelling voor de beveiliging van computersystemen. Om het te kunnen toepassen, moet de hacker alleen wel eerst een systeemcomputer kraken. Maar daarna is de weg vrij.

  Een superkraak als deze was volgens sommige deskundigen al lang te verwachten. Internet is in hun ogen namelijk per definitie niet te beveiligen omdat het systeem nooit is ontworpen met het idee dat het veilig moest zijn. Het is immers voor het gemak ontworpen, voor de vrije uitwisseling van informatie tussen wetenschappers. Pogingen om het net zelf te beveiligen vallen onder de categorie hangsloten op tenten, geen dief die zich er door laat tegenhouden. In hun visie moet het Internet ook niet gebruikt worden voor het transport van gevoelige informatie. Er is heel veel voor die opvatting te zeggen.

  Een oplossing voor de gapende gaten in het net is niet het systeem te beveiligen, maar de informatie. Dat kan door het toepassen van zogeheten cryptografie. Speciale programma's zijn in staat elektronische gegevens om te zetten in geheimschrift. Daarna kan men de gegevens met een gerust hart over het net zenden omdat niemand kan achterhalen wat er staat. Eenmaal aangekomen op de plaats van bestemming kunnen ze vervolgens door de gebruiker weer worden gedecodeerd.

  Er bestaat software die deze - uitermate veilige - methode toepast zonder dat de gebruiker er vrijwel iets van merkt. Er is alleen één probleem: overheden zijn verre van gelukkig met deze techniek omdat zij niet alleen beschermt maar ook hindert. Opsporings- en veiligheidsdiensten zien met lede ogen aan dat ze door het gebruik van cryptografie een van hun belangrijkste informatiebronnen kwijtraken: de afluistermiddelen. In Frankrijk is het gebruik van die middelen dan ook al verboden, in Duitsland woedt een discussie over het onderwerp en in Nederland zag de regering zich genoodzaakt voortijdig uitgelekte plannen voor een verbod in te trekken nadat er grote beroering was ontstaan in de academische en commerciële wereld.

  De situatie in de Verenigde Staten is weer anders. Daar koestert de regering het plan om de zogeheten Clipper-chip in te voeren, een chip die standaard in elk apparaat kan worden ingebouwd en alle te transporteren computergegevens - maar ook bijvoorbeeld telefoongesprekken en televisieprogramma's - versleutelt met een onkraakbare code. Ook tegen dit plan wordt geprotesteerd, omdat gebruikers zich niet willen laten voorschrijven hoe ze hun spullen dienen te beveiligen en ook omdat de overheid voor eigen gebruik een zogeheten achterdeur in het systeem heeft ingebouwd. Als opsporingsinstanties op informatie stuiten die met de Clipper-chip is gecodeerd, kunnen ze bij twee speciale instanties een verzoek indienen voor een zogeheten moedersleutel. Met deze code is de informatie alsnog -zonder hulp van de eigenaar - te ontcijferen.

  Nu zijn er ook andere beveiligingsprodukten op de markt verkrijgbaar die dergelijke achterdeuren niet kennen en een maximum aan veiligheid bieden. Een aantal daarvan wordt zelfs gratis verspreid. Ook daar zijn de autoriteiten niet gelukkig mee. In 1993 werd de programmeur Philip Zimmermann door de Amerikaanse justitiële autoriteiten aangehouden. Zimmermann heeft het programma PGP (Pretty Good Privacy) ontworpen, een onkraakbaar en gratis verkrijgbaar cryptografisch programma voor elektronische post. De zaak waarin hij verwikkeld is geraakt, is uitermate gecompliceerd en vertoont Orwelliaanse trekjes.

  Zimmermann wordt ervan beschuldigd dat hij strategische kennis naar het buitenland heeft geëxporteerd omdat PGP inmiddels wereldwijd wordt gebruikt. Hijzelf bestrijdt die aanklacht en stelt dat hij het programma slechts op een plaatselijke computer in de Verenigde Staten aan gebruikers ter beschikking heeft gesteld. Vervolgens hebben anderen via Internetverbindingen vanuit het buitenland het programma ook naar zich toegehaald.

  Voor het Amerikaanse Congres betoogde Zimmermann dat de overheid haar restricties ten aanzien van versleutelingsprogramma's moet opgeven en stoppen met het afluisteren van elektronisch berichtenverkeer. `Ik denk dat mensen zich moeten afvragen welke technologieën een politiestaat in de hand werken. Vervolgens moet de overheid verboden worden van dergelijke technieken gebruik te maken.' Zimmermann wees er ook op dat zijn programmatuur wordt gebruikt door organisaties als Amnesty International om veilig informatie te kunnen uitwisselen met activisten in dictatoriale landen. Vooralsnog stelt de Amerikaanse regering de - vermeende - staatsveiligheid boven de computerveiligheid van haar burgers.

  De zaak Zimmermann toont tevens een nog onbesproken aspect van het net: het absoluut vervagen van de landgrenzen. Dit probleem speelt niet alleen bij (vermeende) misdrijven of overtredingen die direct betrekking hebben op computers. Een van de meest in het oog springende discussies over het wegvallen van de landgrenzen handelt over pornografie.

  De geschiedenis heeft bewezen dat seks een van de krachtigste vernieuwers is als het gaat om het aan de man brengen van technologische vernieuwingen. Videorecorders bijvoorbeeld werden in korte tijd populair mede doordat ze de mogelijkheid boden om in huiselijke kring naar pornofilms te kijken. Het hardnekkige verhaal wil dat Philips daardoor, ondanks de superieure technische prestaties van het door dit bedrijf ontwikkelde Video 2000 systeem, de strijd om het vestigen van de wereldstandaard verloor. Philips weigerde namelijk pornofilms uit te brengen. Ook bij de introductie van 06-telefoonlijnen en satelliettelevisie speelde seks een stimulerende rol.

  Voor computers geldt hetzelfde. Het is mogelijk om op een computerscherm plaatjes en filmpjes te tonen van seksuele handelingen. En dat gebeurt massaal, ook via Internet. WARNING (US CITIZENS ONLY): X-RATED MATERIAL

  Zo waarschuwt een geautomatiseerd archief aan de universiteit van Delft bezoekers voor de inhoud. En onder het motto `zeg niet dat je het niet wist' volgt er uitgebreide verklaring:

  `Dit archief kan plaatjes bevatten die (volgens sommige mensen) niet geschikt zijn voor minderjarigen, leden van sommige godsdienstige stromingen, mensen met dubbele morele standaarden en advocaten in het algemeen. Het bekijken van deze plaatjes kan resulteren in zondige gedachten, het begaan van mentaal overspel, bevestiging van de eigen homoseksuele gevoelens of gewoon in tijdverspilling. Wij nemen geen enkele verantwoordelijkheid voor het beschikbare materiaal. Lees bij twijfel geen van de bestanden in dit archief, zeker niet die in de afdelingen `alles', `nieuw' en `porno'. (Je weet immers maar nooit met die Amerikaanse advocaten. Een magnetron-fabrikant werd ooit vervolgd omdat hij verzuimde te waarschuwen dat een magnetron niet geschikt is voor het drogen van een doorweekte kat.)'

  Alsof de ironie nog niet genoeg van het scherm druipt, hebben de opstellers nog wat foefjes aan deze WWW-pagina toegevoegd. Door te klikken op de aangegeven trefwoorden kan meer informatie over een bepaalde term worden opgevraagd. Bij de term `overspel' bijvoorbeeld levert dat een overzicht op van alle bijbelcitaten die naar overspel verwijzen, evenzo bij homoseksualiteit. En achter het trefwoord 'advocaten' blijkt een lange lijst grappen en grollen over deze beroepsgroep verscholen: `Het was vorige winter zo koud dat ik een advocaat zag lopen met zijn handen in zijn eigen zakken.'

  De verwijzing naar advocaten is overigens niet zomaar uit de lucht gegrepen: `Wij weten niet van auteursrecht.' Want net als teksten via Internet zonder toestemming van de auteur worden verspreid door mensen die anderen van de inhoud kennis willen laten nemen, zijn ook de pornografische foto's voor het overgrote deel in het wilde weg uit bladen geplukt.

  De foto`s zelf zijn echter niet meer opvraagbaar. Het pornografische deel van het fotoarchief werd gesloten omdat de computer de hoveelheid aanvragen van de meer dan tienduizend bezoeker per dag niet meer aankon. Ondanks het feit dat om de gretigheid onder computergebruikers enigszins in te dammen het aantal opvraagbare bestanden aan een dagelijkse limiet was gebonden en werd bijgehouden wie wat bekijkt. Als een soort publieke schandpaal kon een lijst opgevraagd worden van mensen die de meeste plaatjes naar zich toegehaald hebben. De pornografen lieten zich daar echter niet door afschrikken.

  Overigens was de in Delft tentoongespreide openheid redelijk bijzonder. Veel andere systemen laten het wel uit hun hoofd om zo reclame te maken voor pornografische beelden. Dat kan namelijk ook tegenacties oproepen van digitale zedenmeesters die in een opperste poging tot censuur de techniek inzetten om dergelijke archieven tot sluiten te dwingen. Ze overvragen, dan wel overvoeren, het systeem gewoon. Ongeveer net zoals je iemands telefoon buiten werking kunt stellen door gewoon keer op keer het abonneenummer te draaien. De meeste archieven kiezen na een dergelijke terreur-campagne eieren voor hun geld en halen de plaatjes uit het zicht.

  Bij porno doet zich hetzelfde probleem voor als bij de cryptografie. Landen die dergelijke lectuur en illustraties buiten de grenzen willen houden zien zich geconfronteerd met technische mogelijkheden waar geen douane meer tegenop kan. Het sekstoerisme is al lang gedigitaliseerd en het is mogelijk om via een computer in het puriteinse Engeland uit andere landen materiaal binnen te halen dat nooit zonder arrestaties de gewone grens zou kunnen passeren.

  Nu is pornografie op zich natuurlijk niet voldoende om de publieke opinie zich tegen de digitale vrijheid te laten keren. Daarvoor moet een zwaarder middel worden ingezet: kinderporno. Met enige regelmaat verschijnen er in de gewone media verontrustende berichten dat het Internet wordt gebruikt door verknipte geesten die via het netwerk hun verzamelingen kinderporno uitwisselen. Die verhalen zijn vermoedelijk niet geheel onjuist, maar ze gaan gepaard met een merkwaardige logica: Internet is gevaarlijk want het is een middel om verderfelijk materiaal te verspreiden. Met een variatie op dat argument is het immers mogelijk om drukwerk, fotografie of videobanden in het geheel te verbieden. Of auto`s verbieden omdat de voertuigen gebruikt worden door bankovervallers. Volgens de verhalen is het kinderlijk eenvoudig om dergelijke plaatjes op het net tevoorschijn te toveren. In de praktijk blijkt het nog wel wat zoekwerk te vereisen.

  Wat met pornografie kan, kan natuurlijk met elk verboden materiaal. Opruiende teksten scheren via het net de wereld over en er is geen regering die ze kan tegenhouden. Of de betreffende overheid moet ervoor kiezen om het Internet in zijn geheel buiten de deur te houden. En zelfs dat is geen garantie tegen ongewenste informatie-uitwisseling.

  Een van de wapenfeiten van Internet is de rol die het netwerk in augustus 1991 speelde bij de coup tegen Sovjet-leider Michael Gorbatsjov. Een van de maatregelen die de orthodox-communistische coupplegers namen, was het onder controle brengen van de media. De bevolking van de wankelende communistische staat moest koste wat kost in het ongewisse gehouden worden over de ontwikkelingen. Met als gevolg dat de wereld buiten de Sovjet-Unie beter op de hoogte gehouden werd van het nieuws rond de staatsgreep dan de Sovjet-burgers zelf. De samenzweerders hadden echter buiten een organisatie gerekend: Relcom, een kleine onbekende netwerkorganisatie die als enige verbinding onderhield met het Internet. Al snel begonnen netwerkgebruikers van buiten de Sovjet-Unie via de verbinding van Relcom informatie digitaal het land binnen te smokkelen. Het nieuws van kranten, radio- en televisiestations werd driftig overgetypt en per e-mail naar het bedreigde gebied gestuurd. En andersom, de medewerkers stuurden ooggetuigeverslagen de wereld in.

  In de jaren tachtig werden er buttons verkocht met daarop de tekst: Books are weapons. Er is wat te zeggen voor die stelling. Boeken worden door sommige mensen als bedreigend ervaren omdat ze ideeën verspreiden. Maar als een boek een wapen is, dan is Internet een regelrechte kernbom. Het is onzinnig om te beweren dat Internet niet bedreigend is. Het net geeft het inidividu mogelijkheden om massaler dan ooit te handelen. Maar het is ook onzin om te stellen Internet een gevaar is. Internet is als een aansteker. Je kunt er een olieraffinaderij mee opblazen, maar dat is geen reden om aanstekers te verbieden.

Volgende

Index

Home