Yes, we’re in!

Beeld: CC0 / Pixabay

Beeld: CC0 / Pixabay

Vice-presidentkandidate Sarah Palin overkwam het in september 2008: een student David Kernell wist toegang te krijgen tot haar privémailadres. Schadelijke mails vond hij niet -enkel mails waarin Palin haar afschuw voor de pers duidelijk maakt. Maar dat hij binnen kwam was wereldnieuws. Hoe veilig zijn de mailboxen van onze bewindslieden?

“Nu zijn we volstrekt anoniem op internet.” Met een paar muisklikken is het al gebeurd. Waar normaal alles wat je via internet doet geregistreerd wordt, is Revu nu anoniem online. Het basisprincipe van hacken, noemt hacker Jeroen het. De simpele laptop op de keukentafel in een appartement in de buurt van Almere kan nu omgebouwd worden van veredelde typmachine naar digitale koevoet. Het doel: inbreken in de privémailbox van een Nederlandse politicus. Wat een Amerikaanse student bij vice-presidentkandidate Sarah Palin kan flikken, kunnen wij ook. Onze slachtoffers: vice-premier en Minister van Financiën Wouter Bos en Jack de Vries; staatssecretaris bij Defensie en politiek adviseur/rechterhand van minister-president Jan Peter Balkenende.

Om te controleren of we echt anoniem zijn, vraagt hacker Jeroen – in het dagelijks leven geen digitale inbreker, maar juist virtueel beveiliger – ons ip-adres op via ip-adress.com. Het ip-adres is de identiteitskaart van de internetverbinding, die precies te herleiden valt. Het ip-adres dat wÌj gebruiken, wordt in dit geval niet herleidt naar de omgeving van Almere. In plaats daarvan zien we op een kaartje dat we internetten vanaf een grasveld langs een snelweg in White Plains, New York. Iedere 24 uur wordt de verbinding verbroken en “verplaatst” onze verbinding zich naar een ander deel van de Verenigde Staten. We zijn highly anonymous, volgens de website.

Computervredebreuk
“Nu kunnen we doen en laten wat we willen,” vertelt Jeroen trots. Hij is een zogenaamde white hacker; iemand die digitale inbraken pleegt om beveiligingsrisico’s bloot te leggen. Via de geheime internetverbinding zoeken we op andere gebruikers, die ook anoniem op internet zitten. “Ik zoek naar een snelle computer, die gebruik maakt van een peer-to-peer-programma.” In normale taal: een computer waarop een programma geïnstalleerd staat om muziek of films te delen, zoals bijvoorbeeld Kazaa of LimeWire. “Het maakt niet uit waar de computer staat, als het maar buiten Europa is. Zo ontwijk je de Europese wetgeving.” Nog een vereiste voor het hacken.

Wat we in de late avonduurtjes doen achter de computer van digitaal inbreker Jeroen is illegaal. Niet alleen in Nederland, maar in heel Europa zijn er wetten die af moeten rekenen met virtuele criminaliteit. Volgens het Nederlandse wetboek, en dan in het bijzonder de wet computercriminaliteit, plegen we computervredebreuk. Hetzelfde als huisvredebreuk, maar dan via de digitale snelweg. We riskeren een boete van 16.750 euro of maximaal één jaar cel, voor het inbreken alleen al. Kopiëren we gegevens uit de mailbox en maken we die openbaar, dan kan die celstraf oplopen tot maximaal vier jaar. Er is geen uitzondering voor het ‘witte hacken’. Andermans beveiliging en wachtwoorden ’testen’ mag alleen als hier vooraf toestemming voor gevraagd is.

Jeroen verzekert ons dat niemand erachter kan komen wat we doen. Als we een computer met een snelle internetverbinding gevonden hebben, installeert Jeroen via de liedjesdeelsoftware een programma. “Aan de buitenkant is het een simpel spelletje. Whack a mole. Mollenmeppen dus.” Aan de buitenkant, ja. Wanneer iemand het spel installeert, wordt op de achtergrond een ander programma geïnstalleerd. “Noem het een virusje. Met dit programma kunnen we mailadressen gaan aanvallen.”

Via een nieuw, anoniem profiel op vriendenwebsite Hyves verspreidt Jeroen in groepsberichten een mail met daarin een link naar het spelletje. “Mensen downloaden het nu en gaan het spelen. Als ze het vier keer gespeeld hebben, wordt ze gevraagd hun mailadres en wachtwoord in te voeren, anders kunnen ze niet verder spelen. Het programma gebruikt dat om iedereen die in de contactpersonenlijst van dat mailadres staat de link naar het spelletje door te sturen.” Een tactiek die bekend staan als phishing; gebruikers zo belazeren dat ze hun mailadres en het bijbehorende wachtwoord vrijgeven. “Zo krijg je steeds meer gebruikers wiens computer je allemaal helpen met de inbraak. Het wordt veel gedaan door mensen die spam verzenden. Als je aan de juiste mensen mailadressen verkoopt, kun je zo’n dertig cent per mailadres vangen.”

Brute kracht
Na een paar dagen het programma zijn werk te laten doen, schuiven we weer aan achter de laptop. Jeroen laat ons zien hoe vaak zijn ‘spelletje’ gedownload is. Een slordige 14.000 keer. “Al die computers gaan voor ons aan het werk. Iedere computer probeert iedere twee minuten een keer in te loggen op het mailadres dat we willen kraken.” Het programma vuurt vanaf al die verschillende computers continue wachtwoorden op de door ons opgegeven mailbox af. Dat zijn een slordige 117 aanvallen per seconde. “Het bedrijf dat de mail bewaart merkt wel dat er ontzettend vaak geprobeerd wordt om in te loggen. Als je zoveel aanvallen doet vanaf één computer met een vast internetadres, blokkeren ze dat adres gewoon en kom je er niet meer op. Als je het van duizenden verschillende locaties doet, is daar gewoon geen beginnen meer aan.”

Dit is brute force; in de praktijk niets anders dan het goed raden van een wachtwoord. De privémailbox van Sarah Palin -het inmiddels inactieve gov.sarah@yahoo.com- werd op eenzelfde manier gekraakt, alleen werden daar antwoorden op geheime vragen goed gegokt. Met de hand. Wij doen het automatisch. Het programma voert het zware werk uit, terwijl wij een kop koffie drinken. Dat zint ons wel. Hoewel Jeroen zijn brute force-programma zelf geprogrammeerd heeft, zijn er ook kant en klare programma’s zoals Brutus. Alleen de naam invoeren op Google geeft binnen de eerste tien resultaten al drie manieren om het programma te downloaden. Toch waarschuwt Jeroen hiervoor. Dergelijke gratis software zit vaak vol valkuilen. Installeer je een dergelijk programma, dan zet je tegelijkertijd de deuren van je eigen computer wagenwijd open.

“Een brute force-aanval kan op twee manieren,” legt Jeroen uit. “Je kan het programma willekeurig wachtwoorden laten proberen, maar dan ben je nog wel even bezig.” Een lijst met alle mogelijke combinaties van letters, cijfers, leestekens en lengtes aflopen, kan langer duren dan de levensverwachting van alle Revu-redacteuren bij elkaar. Zelfs als we iedere seconde meerdere wachtwoorden op de mailbox afvuren kan het nog jaren duren voordat ons brute force-programma precies cBV03c/xS2+ als wachtwood invult.

“Het beste is een lijst met veel voorkomende woorden en namen te gebruiken. Het programma gaat zo’n woordenboek dan eerst af. Vindt hij geen treffers, dan zoekt hij uiteindelijk naar combinaties van deze woorden met cijfers.” Precies wat wij doen dus. De geprobeerde wachtwoorden worden opgeslagen in een simpel bestand dat Jeroen heeft opgeslagen op een stukje webruimte, zomaar gratis aangevraagd op Freewebs.com. Hebben we een treffer, dan krijgen we op een voor de verdere rest leeg profiel op MySpace een privéberichtje binnen.

We’re in!
Na wat creatief Googlen en het gebruiken van profielenwebsites als Hyves en LinkedIn -waar de gemiddelde politicus tegenwoordig te vinden is- vinden we vrij snel een aantal thuismailadressen van politici. Als extraatje installeren we een programma waarmee we kunnen volgen wie bij wie in zijn adresboek staat. Politici te over, maar ze mailen elkaar volgens de software alleen op hun zakelijke adressen. Bij het vermeende privémailadres van Wouter Bos hebben we pech.

Het adres wat we met veel pijn en moeite bij elkaar gegoogled hebben blijkt niet te kloppen. In plaats van de mailbox van onze minister van Financiën, zitten we in de mailbox van een student, die met zijn vrienden mailt over kerstsurprises en nieuwjaarsplannen. Bij het mailadres van staatssecretaris Jack de Vries – een adres van Het Net – hebben we meer geluk. Na een paar duizend codes afvuren op de mailbox hebben we al succes: we zijn binnen!

De mailadressen die we aanvallen zijn dan wel privé, maar ook het tweedekamer.nl-mailadres van Jan Peter Balkenende moet op dezelfde manier te kraken zijn, volgens Jeroen. “Alle adressen waarvan de mail via een programma als Outlook binnen kan worden gehaald, zijn logischerwijs te doen,” onthuld Jeroen, terwijl het blauwige licht van zijn beeldscherm op zijn gezicht schijnt. “Voor adressen die puur op webmail gebaseerd zijn, zoals Hotmail, zijn dan weer genoeg andere manieren.”

Overheidsgeheimen
Het richtsnoer e-mailgebruik van de verschillende overheidsinstanties stelt dat alle officiële overheidscommunicatie alleen via goedgekeurde kanalen mag verlopen. Verder is het niet toegestaan om staatsgeheimen of vertrouwelijke informatie te verzenden. En dat is precies wat we zoeken in de privémailadressen: vertrouwelijke informatie die nooit via deze weg verstuurd had mogen worden.

De mailbox waar we binnenkomen is leeg. Het enige wat we zien is de blauwe omranding van de mailbox. Dat is de pest van mailboxen waarvan de berichten opgehaald kunnen worden via Outlook, volgens Jeroen. “Wanneer je mail binnenhaalt naar je computer, kun je aangeven of er een kopie van die mail op de server moet blijven staan, of dat deze weggegooid moet worden.” Iets wat Jack dus schijnbaar doet. Gelukkig heeft onze digitale inbreker een oplossing: met enkele rappe klikken installeert hij een back-upprogramma. “Alle mails die nu nog binnenkomen op zijn mailbox, komen nu ook direct binnen in ons programma.” Handig. En bovenal ook helemaal onzichtbaar voor de staatssecretaris.

Zien of je gehackt bent is volgens hacker Jeroen moeilijk. Veel verder dan het bespeuren van plots verwijderde of al gelezen mails kom je meestal niet. “Er zijn wel programma’s waarmee je kunt herleiden of er communicatie met internet optreedt die niet logischerwijs door eigen handelen afkomstig is. Deze programma’s kun je ook gratis downloaden, maar meestal worden ze al bij nieuwe anti-virusprogramma’s meegeleverd. Windows Vista heeft een dergelijk programma standaard ingebouwd. Wanneer software op je computer contact met het Internet wil maken, krijg je de vraag of je het toe wilt staan. Alleen als mensen dan op ja zouden klikken, kan mijn programma werken.”

Daar hebben wij met onze aanval echter nog geen last van. We wachten op de eerste binnenkomende mailtjes. Waar we echt op hopen zijn mails over de Joint Strike Fighter, het gevechtsvliegtuig dat Jack de Vries maar wat graag in Nederland zou willen hebben, maar waarvan de aanschaf eind november toch nog uitgesteld werd. Terwijl we wachten versturen we zelf berichten via de mailbox van Jack. Kan allemaal nu we toch binnen zijn. Ook daar merkt Jack niets van, als we ze maar weggooien uit de map met verzonden berichten.

You’ve got mail!
Have better sex now! Het is het eerste mailtje dat we binnen krijgen. Een reclameaanbod voor het blauwe wonderpilletje Viagra. Dat Jack ook daadwerkelijk vaste klant is bij de pillenfabrikant lijkt ons stug. “Spam. Dat zal er wel veel tussen zitten,” oppert Jeroen. “Het programma stuurt alles naar ons door, dus ook de rotzooi die binnenkomt.” Even twijfelen we of we de spammailtjes weggooien om Jack te sparen. We doen het toch maar niet. Ook de volgende mails die binnen komen zitten enkel vol met reclame. Tussen de mails vinden we informatie voor een nieuwe zorgverzekering van FBTO en twee privéberichten. Het betreft slechts ordinair gekeuvel tussen Jack en een kennis.

Helaas treffen we geen staatsgeheimen. Toch: met relatief weinig moeite hebben we ingebroken in de privémail van een van de belangrijkere schakels bij Defensie. En dat kan gevaren met zich meebrengen, mits bestuurders gevoelige informatie in hun privémailboxen bewaren. Het meest logische gevaar: diefstal van gevoelige informatie door terroristen of anderen die om wat voor reden dan ook chaos willen veroorzaken. Of chantage, wanneer dergelijke gevoelige privé-informatie iemand in een compromitterende positie kan brengen.

Maar de gevaren gaan veel dieper, blijkt wanneer Jeroen ons meer uitleg geeft. Zodra we in de mailbox zitten, kunnen we uit naam van Jack berichten versturen. Met bepaalde programma’s kunnen we de antwoorden op de mailtjes ook binnen laten komen op een ander mailadres. Zo kunnen we ons voor langere tijd voordoen als iemand anders. Jeroen gaat nog een stap verder: “Als je in iemands mailbox bent, kun je, met wat geluk en de informatie die hiermee verzonden wordt, zelfs in het computersysteem kijken waar de mail vandaan gestuurd is.”

We besluiten geen schade aan te brengen in de mailbox. In plaats daarvan laten we een bericht achter, met de melding dat we hebben ingebroken en enkele tips om de mailbox beter te beveiligen. “Hoewel er wetten zijn om hackers aan te pakken, gebeurt het nog relatief weinig in Nederland,” weet Jeroen. “Je hoort er zo nu en dan wel wat over, maar zodra je computers gebruikt die buiten Europa staan, ben je nauwelijks op te sporen. Mensen gebruiken nog veel te makkelijke wachtwoorden. Nederland is hackvriendelijk.”

Whack a mole gedownload?
Een slordige 14.000 internetters, voornamelijk Nederlanders, heeft het Whack a Mole-spelletje van onze hacker gedownload, geïnstalleerd en daarmee zijn computer tot soldaat in ons hackleger gepromoveerd. Blijvende schade? “Nee,” volgens Jeroen. “Mensen kunnen het spel zo verwijderen, via het softwaremenu in hun configuratiescherm. Net zoals je andere software van je computer gooit. Het spel wordt dan weggegooid, en ook het programma erachter wordt dan verwijderd.”
Jezelf beveiligen: gebruik gezond verstand
Een portie gezond verstand. Dat is de beste inbraakpreventie die je kan hebben. Alles begint bij een fatsoenlijk wachtwoord. Gebruik geen data of namen van mensen, dieren en woonplaatsen. Kortom: niets wat met een simpel potje googelen al gevonden kan worden. Het is zelfs het beste om bestaande woorden helemaal te vermijden. In alle talen!Al ben je er dan nog niet. Veel websites bieden gebruikers de mogelijkheid wachtwoorden op te vragen door het beantwoorden van geheime vragen. De meisjesnaam van je moeder en de geboortedatum van je eerste kind bijvoorbeeld. Ze zijn allemaal vrij gemakkelijk te achterhalen. Niet overtuigd? De antwoorden op de geheime vragen van vice-presidentkandidate Sarah Palin waren haar postcode, geboortedatum en de naam van de school waar ze haar man ontmoette. Allemaal terug te vinden op internetencyclopedie Wikipedia.Nog meer gezond verstand: installeer de laatste updates voor Windows en update je virusscanner. Allemaal inkoppertjes, maar menselijke zwakte is nog altijd het grootste probleem bij de beveiliging. Slechte beveiliging zet de deur open voor Trojan Horses, die alles wat je op je computer doet registreren en precies kunnen aflezen wat je typt. Ook je wachtwoorden. Trojan Horses worden vaak geïnstalleerd door websites met gratis inhoud waar je normaal voor zou moeten betalen, zoals porno of software om gratis muziek en films te downloaden.Denk ook aan een beveiligingssleutel/wachtwoord voor je draadloze internetverbinding. Tijdens het virtuele inbreken laat hacker Jeroen snel zien hoe hij via de onbeveiligde draadloze verbinding van zijn buurvrouw compromitterende naaktfoto’s van haar harde schijf plukt. Voor zijn bedrijf rijdt hij met een laptop rond in zijn auto, op zoek naar bedrijven die hun draadloze netwerk niet goed beveiligd hebben. “Die kom je nog veel te vaak tegen. Als ik er een vind, log ik in en verander ik de achtergronden van het bureaublad.” Op de nieuwe achtergronden staat de melding dat het netwerk onveilig is, gevolgd door Jeroens nummer. We hebben je gewaarschuwd!

Dit artikel verscheen eerder in