We zijn allemaal digitaal verbonden. En daarmee digitaal kwetsbaar. Vandaag de dag liggen struikrovers niet meer achter de bosjes, maar schuilen ze achter verleidelijke linkjes die de deur naar alles wat ons lief is wijd openzetten…
Tekst: Hans van Wetering Portret: Anke Meijer.
UPGRADE
In de week voorafgaand aan het interview met journalist-schrijver Hans Klis naar aanleiding van zijn Storytel Original podcastserie Gehackt! over beruchte hacks en cybercrimes krijg ik een Whatsapp-bericht. Het is mijn dochter: “Hey pap, ik heb een nieuw nummer, andere provider, was veel goedkoper” (smiley, knipoog). En even later: “Ik zit met een klein dringend probleempje… ik kom niet in mijn internetbankieren en ik moet een rekening betalen… ik wilde vragen of jij het misschien kan voorschieten. Zodra ik er zelf in kan krijg je het weer terug!” Meer smileys. Ik voel nattigheid, vraag naar de voornaam van oma. “Wat voor rare vraag is dat nou pap?” komt de reactie gelijk, “ik ben al laat met het verwerken van de rekening!” Het is een bekende scam. Mijn dochter was in werkelijkheid een duistere figuur die op een of andere manier aan onze gegevens was gekomen. Het engste nog: het is echt zoals mijn dochter schrijft. Ik weet van het bestaan van de scam en toch ben ik heel even aan het twijfelen gebracht.
“Cybercriminaliteit is vaak ook superpersoonlijk,” zegt Klis. “Ransomware en phishing zijn een enorm probleem. Al die berichten die je verstuurt en waarvan je echt niet wilt dat die door iedereen worden gezien, de foto’s van je kinderen toen ze jong waren… Ze krijgen toegang tot heel je leven. Daarom moet digitale veiligheid ook zo’n belangrijk onderwerp zijn.”
VLIEGTICKET
Klis kwam in aanraking met de hackwereld toen hij voor BNN-VARA een documentaire maakte over Noord-Korea. Tijdens onderzoek naar de financieringsstromen achter het regime stuitten ze op een enorme cyberhackoperatie. Die liep via bitcoins en in de vorm van een digitale overval op de Bank of Bangladesh, waarbij is geprobeerd de bank te beroven voor een miljard dollar.
“Maar het is een grote misvatting dat het vooral iets is dat grote bedrijven en overheden treft,” zegt Klis. “We geven heel veel informatie weg. We zouden beter moeten nadenken over onze wachtwoorden, beter nadenken over wat we delen op social media, niet meer een foto van je vliegticket plaatsen met daarbij de tekst: “Hé, lekker naar New York!” En dat dan iemand incheckt voor jou. Identiteitsfraude is een gevaar. We hebben geen idee hoe kwetsbaar we eigenlijk zijn, ook doordat we er weinig van weten.” Dat heeft hem tijdens zijn onderzoek naar cybercriminaliteit nog het meest verbaasd, zegt Klis, hoe alom aanwezig het is in ons leven en dat we er eigenlijk nooit bij stilstaan. “Dat het zo groot is en zo veel beïnvloedt in de wereld.”
En ja, hij is zelf voorzichtiger geworden. Voor de camera van zijn laptop zit een schuifje. Zijn telefoon legt hij soms weg als iets gevoeligs besproken wordt, “want dat is eigenlijk een afluisterapparaat.” Dat verhaal is geen broodje aap. “Saoedische dissidenten overal ter wereld bleken te worden afgeluisterd via spyware op hun telefoon.”
Zelf is hij nooit gehackt, zegt Klis, “maar dat zeg ik liever niet, want dan zal je net zien dat er mensen zijn die denken: oh nee? Dan ga ik het toch even proberen!” Het betekent niet dat hij nooit slachtoffer was van datadiefstal. “Ik ben er wel achter dat mijn persoonlijke gegevens zijn uitgelekt bij zeven heel grote dataleks. Het gaat dan om geboortedata, mijn emailadres, wachtwoorden die ik gebruikte bij die diensten. Dus die heb ik allemaal aangepast. Mijn credit card is ook wel eens door andere mensen gebruikt.”
Of je eigen gegevens wel eens in zo’n duistere database zijn beland kun je eenvoudig checken via de site www.haveibeenpwned.com. Voer mailadres of mobiele nummer en je ziet of het foute boel is. Mijn eigen mailadres duikt op in vijf databases. Dat verklaart het appje van ‘dochterlief’ allicht. Mijn gegevens zijn daar terechtgekomen dankzij onder meer hacks van Dropbox (in 2012) en LinkedIn (ook 2012), zie ik. De omvang van een van de databases gaat het bevattingsvermogen te boven: meer dan vier miljard gebruikersaccounts van 1,2 miljard unieke personen.
ZWARE JONGENS
“Er is tegelijk ook een hele professionele kant, waarbij het gaat om zware criminelen,” zegt Klis. “De Carbanak-bende die ik in de serie behandel werkte samen met de Russische maffia, om pinautomaten leeg te roven. Dat ging om meer dan honderd banken, wereldwijd. Bij elkaar een miljard dollar.”
Tal van overheden en bedrijven werden de laatste jaren slachtoffer van ransomware. Tijdens Corona werden zelfs pogingen gedaan om ziekenhuizen zo af te persen. En dan is er nog de angst dat essentiële infrastructuur wordt aangevallen. “Je wilt echt niet dat ze in Borssele binnenkomen. Iraanse hackers drongen in Amerika al in de systemen van stuwdammen door. Het NotPetya-virus dat in 2017 de Oekraïne trof legde veel elektriciteitscentrales plat.”
Er is inmiddels wel veel meer bewustzijn van de gevaren, ook bij overheden, zegt Klis. “Een van de vijf verhalen in de podcastserie is dat van Diginotar: het bedrijf in Beverwijk dat gehackt wordt en er opeens voor zorgt dat in Iran mensen denken in te loggen in hun Gmail, maar eigenlijk afgeluisterd worden. De overheid had geen idee wat Diginotar voor iets was. Dat is nu tien jaar geleden. Inmiddels is de overheid er nadrukkelijk mee bezig, maar digitale veiligheid is je verzekeren voor iets wat in de toekomst misschien gaat gebeuren. En als je dan als overheid moet bezuinigen, beleidsdoelen wilt halen, of voor een bedrijf je targets wilt halen, dan is digitale veiligheid eigenlijk een blok aan je been. Je moet er veel geld in stoppen, en tegelijk weet je nooit of het genoeg is of te veel.”
Het is een wapenwedloop, zegt Klis. Dat er meer bewustzijn is van de gevaren, is positief. Maar aan de andere kant steunt onze samenleving steeds meer op een digitale infrastructuur, met extra kwetsbaarheid tot gevolg. En de technologie ontwikkelt zich ook steeds sneller. “Tien of twintig jaar geleden werden programma’s eens in de zoveel maanden geüpdatet om kwetsbaarheden eruit te halen. Nu zijn bedrijven als Facebook echt continu bezig met dingen veranderen, met code schrijven, en dan sluipen er vanzelf foutjes in.”
GOEIE HACKERS
Foutjes die bedrijven en overheden vervolgens proberen op te sporen door zelf hackers in dienst te nemen. Er zijn ook bedrijven, zoals het in Silicon Valley gevestigde Nederlandse bedrijf HackerOne, waar je hackers kunt inhuren om kwetsbaarheden in je eigen software op te sporen. De zogeheten zero-days, kwetsbaarheden in nieuwe software waar een ontwikkelaar zich niet bewust van is, waar nog niemand zich tegen gewapend heeft. “Het Stuxnet-virus waarmee de Amerikaanse en Israëlische overheid (in 2010) het nucleaire programma van Iran probeerden te saboteren – dat zit ook in de serie – maakte bijvoorbeeld gebruik van vier zero-days. En als jij een zero-day vindt in nieuwe software van Apple, dan kun je daar echt fors mee verdienen. Bij HackerOne zit ook een jongen die eerder is veroordeeld en nu daar via het platform al een miljoen heeft verdiend.”
Zo’n hacker die ‘overloopt’ kenden we in Nederland lang geleden al. In 2001 trof het Anna Kournikova-virus –zo genoemd doordat je computer geïnfecteerd raakte zodra je op de in een mailtje verstuurde afbeelding van het Russische tennissterretje klikte- wereldwijd een miljoen computers. Toen de 18-jarige Jan de Wit uit Sneek uiteindelijk door de FBI werd ontmaskerd bood de burgemeester van de stad hem subiet een baan aan.
Het virus had hij in een paar uur gemaakt, vertelde de jonge hacker, met behulp van een toolbox die hij van internet had gedownload. “Zo is het nog steeds,” zegt Klis. “Voor een paar euro kun je online een zogeheten DDoS-aanval bestellen waarmee je iemands site onbereikbaar maakt. Ransomware kun je op internet kopen. Er liggen kant- en klare softwarepakketjes: het is een service-industrie.”
Een industrie waarin de pakkans relatief klein is. Al gebeurt het wel dat een dader wordt gevonden. Zoals in de CoinVault-zaak in 2018. Dat ging om twee Nederlandse jongens die ransomware hadden verstuurd. “Het is heel anoniem,” zegt Klis. “De daders hebben geen gezicht. Je weet ook zelden waar ter wereld de hack vandaan komt. Vervolging is daardoor sowieso ingewikkeld. In 2018 werden de Zuid-Koreaanse olympische spelen gehackt. Er waren sterke aanwijzingen dat het Russen waren, maar in de code stonden dingen waardoor het leek of het Noord-Koreanen waren. Of Chinezen. Dat is een interessante dimensie aan die spionagehacks: het wordt zo onduidelijk wie het heeft gedaan. Is het Iran? Is het iemand die doet alsof het Iran is? Is het een criminele organisatie? Is het de overheid zelf?”
Wat spionage betreft zien we sowieso slechts het topje van de ijsberg, denkt Klis. Het klinkt allemaal weinig hoopvol, maar al te somber is volgens hem toch ook niet nodig. “Voor de serie sprak ik ook mensen van Google en Mozilla (bekend van de webbrowser Firefox), die zeggen ‘we zijn nu echt wel wakker geschud.’” Het doel van zijn podcast is hoe dan ook niet om mensen de stuipen op het lijf te jagen, benadrukt Klis. “Maar het is niet slecht om een beetje bang te zijn denk ik. Ik hoop vooral dat de podcast mensen meer bewust maakt, en ja, een héél klein beetje bang, dat ook.”
BERUCHTE HACKS
In 1999. Misschien wel het eerste virus dat ervoor zorgde dat mensen zich realiseerden dat computers toch niet zo heel veilig waren. Uit verveling in elkaar gezet door een programmeur uit New Jersey (dezelfde overigens die de FBI hielp de Nederlandse maker van het Anna Kournikova-virus te ontmaskeren). Elke geïnfecteerde computer stuurde het door naar weer vijftig andere. Een vijfde van alle computers in de wereld werd besmet.
In 2006 plaatste een hacker vanuit China in computers over de hele wereld een stukje software waarmee hij ze op afstand kon bedienen. Zo wist hij geheime informatie te stelen van organisaties en bedrijven uit meer dan 14 landen. Defensiebedrijven, de VN, het WADA (anti-dopingorganisatie), het IOC – ze waren allemaal slachtoffer.
Een Iraanse programmeur lukte het in 2011 om met behulp van fake security-certificaten (als je een site bezoekt die niet over zo’n certificaat beschikt krijg je onmiddellijk een waarschuwing) wereldwijd mensen te laten denken dat ze op Google of Yahoo inlogden. Het zorgde ervoor dat hij alle verzonden mail kon inkijken en privé-informatie kom stelen.
In datzelfde jaar 2011 werd duidelijk dat een hack heel veel geld kon kosten. Een hacker drong door tot het eigen netwerk van Play Station. Het gevolg: diefstal van persoonlijke gegevens van 77 miljoen gebruikers en een ontwricht systeem. Play Station ging 20 dagen op slot en verloor naar schatting zo’n 170 miljoen dollar.
Hackers van een met de Russische overheid geassocieerde hackersgroep, zo is de verdenking althans, drongen in 2020 via automatische updates van het bedrijf Solarwind (netwerksoftware) door tot de computersystemen van overheidsinstanties en bedrijven over de hele wereld. Microsoft moest erkennen dat de hackers zelfs tot bij de heilige graal, de broncode waren geraakt. De omvang en schade is ondertussen nog steeds niet helemaal duidelijk, en of het helemaal afgelopen is evenmin…
Dutch 
English