NRC Handelsblad 8-10-1983 – Computerkraken beginnen ook in Nederland de gemoederen meer en meer bezig te houden. Komende week is dit een thema van de ASI-leergangen 1983, een coproductie van het Koninklijk Instituut van Ingenieurs en het Nederlands Genootschap voor Informatica. De titel van de leergang, ‘In de ban van de fout’, is ontleend aan de Delftse oratie van Prof. Herschberg, een befaamde systeemkraker. Hij spreekt over ‘Misbruik, vervuiling en ondoordringbaarheid van computers.’
***
Het was op een woensdag niet lang geleden, ‘s morgens om vijf voor half elf, aan het einde van een twee uur durend college in de informatica aan de TH Delft. De studenten van de hooggeleerde meesterkraker prof. Dr. I.S. Herschberg, die zijn sporen op het gebied van computerbeveiliging bij Unilever heeft verdiend en inmiddels een reputatie heeft opgebouwd om iedere computer te kunnen ‘binnenkomen’ met programmeertrucs, spitsen hun oren wanneer de kleine professor met twinkelende ogen zegt: ‘En nu zal ik tot slot u nog een tip geven hoe u zonder veel moeite de user identity en het password van iemand anders te weten kan komen.’
Herschberg vervolg: ‘U schrijft een klein programmaatje, waarin u simuleert of u de computer bent. Dus u zorgt dat de volgende woorden op de terminal verschijnen bij degene wiens codes u wilt ontfutselen: “Here is your system XYZ, Please log on“. Hij legt uit hoe het werkt: ieder computer-systeem maakt zich op deze wijze bekend, en na de woorden log on moet de gebruiker zich melden met een gebruiksnummer van bijvoorbeeld een letter en vijf cijfers en een codewoord van zes symbolen; dit kan zijn (heel voor de hand liggend en daarom zo makkelijk te raden door spelende schooljongens): ‘geheim’, maar ook ‘$&!!A’. Een slimme code is, wegens het oneindige aantal variaties, niet te raden.
‘Dan’, vervolgt Herzberg, ‘komt het te bestelen slachtoffer binnen. Hij wil aan het werk en ziet tot zijn vreugde op het beeldscherm dat de computer zich al heeft gemeld. Hij tikt onder de tekst zijn user-identity en password. Wat gebeurt er dan? Het door de kraker opgestelde programma slaat deze gegevens op en tikt op het scherm: “Mismatch. Please log on again”. De inmiddels bestolene denkt dat hij iets fout heeft getikt en probeert het opnieuw, waarna hij wel contact krijgt met de computer. En dit, mijn heren, is hoe u codes kunt verzamelen en in computers kunt inbreken.” De zaal met studenten lacht, de klok slaat half elf en ieder stroomt zijn weegs.
Een student, die stage loopt bij een grote Nederlandse instelling, gaat ‘s middags achter zijn toetsenbord zitten en schrijft het programma zoals zijn professor het die morgen heeft verteld. Om half vijf die middag heeft hij al 17 geheime toegangssleutels tot de computer en de volgende dag heeft hij ze allemaal – althans van iedere medewerker in het bedrijf die op de computer heeft zitten werken. In principe zit nu alle informatie van de computer voor hem ‘onder de toetsen’. Hij stelt de directie op de hoogte en men schrikt. Niemand had iets gemerkt, zoals zijn professor eerder voorspelde.
Bit-niveau
Herschberg zit nu in zijn kale kamer aan de TH, onder een met geheime formules volgeschreven bord en verlustigt zich in het opsommen van meer trucs, die wat lastiger zijn en ‘afdalen tot op het bit-niveau’. Hij verschafte zich met een basic-programma toegang tot assembler, een programmeertaal die de machine op een dieper niveau bestuurt en geen beveiligingen heeft zodat hij de computer alle opdrachten kon geven die hij wilde.
Ook kent hij een geval waarin een student op zijn huiscomputer de op floppy disc opgeslagen informatie uit een grote computer kon lezen – en wijzigen. Hij kwam er achter dat hij maar 1 bit in een bepaalde code hoefde te veranderen en de grote computer deed alles wat hij zei.
Zo zijn er vele voorbeelden, en beveiliging daartegen is zo ingewikkeld dat Herschberg zegt: ‘Zelfs de door mijzelf voorgestelde verbeteringen in het systeem kon ik uiteindelijk zonder moeite kraken’.
In zijn tijd bij Unilever had hij zich eens toegang verschaft tot de computer van hun grootste wasmiddelen-concurrent Procter and Gamble. ‘Daar stonden we. Moesten we hun five years program opvragen of niet?’
Wat deed u?
Met zedig neergeslagen ogen zegt hij: ‘Niet’.
Inmiddels zijn mij uit betrouwbare bron – vanzelfsprekend anoniem – verhalen ter ore gekomen over bedrijfsspionage waarin deze beslissing duidelijk positief uitviel. Een met zonnebril bedekte informant, die in zijn zakelijk leven automatiserings-opperhoofd is bij een belangrijk telecommunicatiebedrijf, vertelde me zojuist dat hij eens toevalligerwijs terecht kwam achter de computer van een collega in een concurrerend bedrijf. Hij probeerde als password de naam van diens secretaresse en BLIEB, de gehele voorraad gegevens viel als guldens uit een jackpot in zijn schoot.
Het was ten tijde van een belangrijke concurrentieslag in Saoedi Arabië en je zou toch ook gek zijn als je niet doorvroeg, nietwaar?
Kraak
Er dient, technisch gezien, een onderscheid gemaakt te worden tussen een ‘volledige kraak’ en een ‘beperkte kraak’. In het eerste geval heeft de inbreker toegang tot alle opgeslagen informatie, kan hij deze bovendien wijzigen (ook uitwissen), en laat hij bijvoorbeeld de rekening van de gebruikte computertijd op iemand anders’ naam zetten. Hij hoeft geen sporen na te laten, zeker geen sporen die naar hemzelf wijzen. Er is dus een kans dat de inbraak niet gemerkt wordt.
Bij een beperkte kraak zijn de mogelijkheden van de dief geringer. Er verschijnen de laatste tijd in de pers allerlei avonturen van knaapjes die inbreken in computers, zoals van het Los Alamos National Laboratory (waar – koren op de molen van de mensen die nog bang zijn van computers – kernwapengegevens te halen zouden zijn) en in het Sloan-Kettering Cancer Centre waar ze bestralingsgegevens van kankerpatiënten te pakken kregen.
Het blijken scholieren, die een beetje zitten te stoeien achter hun beeldscherm – een eigentijds soort krijgertje, dat volgens een verhaal in het weekblad Newsweek van vorig jaar hen een speciaal soort kick geeft getuige een 13 jarige whizkid: ‘Man, het gevoel in je vingertoppen… de macht over het systeem… het is the sensation of power, man, die ik alleen ervaar als ik achter het scherm ga zitten, nergens anders.’
Het belang van deze gevallen is niet de ramp die geschiedt (er gebeurde tot op heden eigenlijk niks) maar het bewijs hoe lek beveiligingssystemen zijn. ‘Als een vergiet’, zei Herschberg in een symposium over dit onderwerp dit voorjaar. Hij vervolgde toen: ‘En bij een vergiet weet je tenminste waar de gaten zitten, maar bij computers niet.’
Misdaad
Hoe heeft het zo ver kunnen komen? Er zijn meerdere redenen voor. In de eerste plaats was het wereldje van programmeurs 20 jaar geleden als een grote familie. Ik herinner me de gewijde sfeer rond de ‘nieuwe’ IBM in het Centraal rekeninstituut te Leiden. Men fluisterde uit eerbied voor De Computer, kende en vertrouwde elkaar, terminals stonden in het gebouw en misbruik was uitgesloten.
Nu is dat anders. Een groot bedrijf heeft tientallen, of honderden, terminals buiten de deur. Een luchtvaartmaatschappij heeft er duizenden over de hele wereld. Weliswaar hebben deze maatschappijen ‘huurlijnen’ in plaats van ‘kieslijnen’ (dat zijn gewone telefoonlijnen die iedereen kan draaien als hij het nummer van de computer heeft). In een huurlijn breek je niet makkelijk in, tenzij je de draad aftapt, maar dat is geen hobbyisme meer. Dat is misdaad.
Ten tweede: er zijn wel beveiligingsmechanismes, maar mensen springen daar slordig mee om. Er zijn voorbeelden te over van computermachinisten die hun codes op een hoekje van het bord noteren, of zelfs op de terminal plakken. Iedereen die daar een blik op slaat weet genoeg. Hoe veel makkelijker is dit niet dan het laten namaken van een sleutel!
Verder wordt in een experimenteel stadium vaak met kieslijnen gewerkt en vergeet men over te stappen op huurlijnen, waarmee het systeem van het openbare telefoonnetwerk wordt afgesloten. Ook is het heel eenvoudig om toegangscodes eens per zoveel weken te veranderen en minder voor de hand liggende combinaties te nemen. Door zorgvuldiger gebruik van de bestaande mogelijkheden wordt inbreken een stuk moeilijker, al is het niet uit te sluiten.
Computerprofeet Joseph Weizenbaum van het MIT zei in de New York Times: ‘Er bestaat geen absolute veiligheid.’
Ten derde: de software is niet meegeëvolueerd. Wanneer in het begin, al in de jaren zestig, goede acces control systems waren ingebouwd, was het nu moeilijker geweest misbruik te maken. Software-ontwerpers begrijpen in veel gevallen zelf niet meer hóe hun eigen producten werken, laat staan dat ze deze kunnen beveiligen.
Software vermenigvuldigt zich tegenwoordig steeds meer binnen computers en buiten menselijk denken om: alle aangeboren ziektes worden dan overgeërfd.
Spanning
Tenslotte zit er een vreemd soort spanning in het computerbedrijf: aan de ene kant moeten systemen zo ‘gebruiksvriendelijk’ zijn dat iedereen er mee overweg kan, aan de andere kant moeten er steeds hogere drempels worden ingebouwd om niet jan-en-alleman toegang te verschaffen.
Ook het instituut van ‘systeemprogrammeur’ lokt tot misbruik: systeemprogrammeurs lossen beroepshalve computer-panne op, zij hebben daarom onbelemmerd toegang tot alles wat in de computer leeft, en kunnen in principe alle ingebouwde beveiligingen omzeilen. Het management van een computerbedrijf begrijpt niet wat de systeemprogrammeur doet, want het vak is te gespecialiseerd en te verborgen. Aan banden leggen van bevoegdheden kan ook niet.
Herschberg: ‘Vergelijk het dan met een wegenwacht die de motorkap niet meer mag openmaken.’
IBM vertelde me dat zij hard bezig zijn aan een systeem dat zeer, zeer veilig is.
Meesterkraker Herschberg, even aan het oog onttrokken door een zelfverzekerde wolk sigarettenrook: ‘Grace Hopper, de charmante vrouwelijke captain in de US Navy die belast was met het keuren van computersystemen, riep 10 jaar geleden al voor een zaal vol generaals: “Give me two good boys and two weeks, and I’ll blow any system“.
‘Ik zei dat zo mogelijk nog eerder, maar niemand luisterde. Men vond het raar – en zelfs een beetje verdacht, zo van: wat zou die Herschberg allemaal uitvreten? Ik was een roepende in de woestijn, maar nu lijkt mijn rol uitgelegd te moeten worden in de zin van Jesaja 40. Want hij, die daar aan het woord was, werd tenminste gehoord.’