Zero days: veiligheidslekken te koop, Tegenlicht, 12 oktober 2014

De schaduwkant van steeds grotere maatschappelijke digitalisering

De dagen van amateuristisch geknutsel op de computer zijn voorbij. Dat geldt zowel voor de gebruiker, de programmeur als voor de hackers die op zoek zijn naar fouten in de programma’s. De laatsten komen niet meer triomfantelijk in het nieuws als ze een site gekraakt hebben, maar speuren naar veiligheidslekken en sommigen van hen verkopen hun bevindingen. De veiligheidslekken die nog onontdekt zijn, worden zero days genoemd en zijn veel geld waard.

Als om te illustreren dat deze ontwikkeling grote gevaren inhoudt filmt Tegenlicht een bijeenkomst van hackers in de Nevada woestijn. Ze zitten daar niet achter hun laptops maar zijn aan het schieten. Dat moet als een teken opgevat worden van de fysieke gevaren die cybercrime kan opleveren in een wereld die steeds meer digitaliseert. Men kan bijvoorbeeld denken aan het wijzigen van programma’s voor auto’s die straks onbemand de weg op gaan, aan het inbreken in de geautomatiseerde schema’s van digitaal bestuurde waterbedrijven of, nog erger, aan het onklaar maken van kerncentrales.

De hackers vertonen hun schietkunst voordat ze naar de hackersconferentie in Las Vegas gaan. Joshua Corman (zie foto) is een van de mensen die software veiliger wil maken. Hij ziet dat als essentieel voor de huidige maatschappij. Hacken is een vorm van macht waarmee de maatschappij gemakkelijk ontwricht kan worden. De malware die vroeger al op computers werd losgelaten kan tegenwoordig grote gevolgen hebben. Dat blijkt ook wel uit een groepsgesprek waarin een groep hackers, ongetwijfeld ook schutters die in de woestijn samenkwamen, met blikjes fountaindrinks in de hand samenzweerderig over hun werk spreken. Het wilde westen is niet ver weg. Corman vindt deze ontwikkeling die geen grenzen kent een bedreiging voor de natiestaat. Hij heeft daarom I am the cavalry opgezet, een beweging van ethische hackers.

Cryptograaf Ronald Prins die zelf een internetbeveiligingsbedrijf heeft, zegt dat een totaaloverzicht in de wereld van digitalisering niet mogelijk is, dat het daarom beter is om weerbaar te zijn tegen aanvallen dan een poging te doen om aanvallen te voorkomen, want zoiets is toch niet mogelijk. De IT security is een industrie geworden. De overheid zou voor digitale veiligheid moeten zorgen, maar zoiets is nog moeilijker te realiseren dan fysieke veiligheid.

De Finse virusjager Mikko Hyppönen reist de wereld rond om overheden te helpen met het opsporen van malware. Hij weet dat overheden hun informatie graag geheimhouden om bij bedrijven te kunnen binnendringen. Hans Folmer is een Nederlandse cybermilitair, die in een satirisch programma zou passen. Hij spreekt liever over een cyberaanval dan over een cyberoorlog. De eerste is vergelijkbaar met een fysieke aanval. Hij wil zoals een echte James Bond past niets kwijt over zijn bevindingen, maar zegt wel dat defensie niet de digitale brandweer van Nederland is.  

Hackers kunnen op verschillende manieren met hun onderzoeksresultaten omgaan. Voormalige hackster Katie Moussouris zegt dat de handel in kwetsbaarheden, zoals ze de zero days noemt, legaal is. Ze onderscheidt witte, grijze en zwarte hackers. De eersten zoals Joshua Corman willen goed, de laatsten slecht en daartussen vindt zich nog een grijs gebied.

Witte ofwel white hat hackers denken erover na wat een programmeur vergeten kan zijn, met als bedoeling de site te verbeteren, black hat hackers ruiken vooral geld.

Charlie Miller behoort tot de white hat hackers maar verkocht ooit informatie voor veel geld aan de overheid. Hij vertelt over fuzzing, waardoor men zoveel input in de computer stopt dat die vanzelf zero days prijsgeeft.

Hier meer over de uitzending op de site van Tegenlicht. De meet up in Pakhuis de Zwijger is vanavond al, op de gebruikelijke tijd.