Zondag 17/10/2021

De wraak-kraak

MOORDCOMPLOT. Hackers richtten een ravage aan op het computersysteem van Sony Pictures: onuitgegeven films werden online gezet, loonbrieven van toplui gepubliceerd. Hoe gaat zo'n inbraak in haar werk? Een cyberthriller in drie hoofdstukken.

Misschien zit hij of zij wel naast u. Hij of zij kan dat onopvallende type zijn die net als u in die hippe koffiebar zit, tikkend op zijn laptop. Deze persoon kan gewoon wat mails zitten te beantwoorden, maar evengoed kan hij zich onrechtmatig toegang aan het verschaffen zijn tot het computernetwerk van een multinational.

Vergeet de clichés over hackers. Het duistere zolder- of keldervertrek, met daarin een onverzorgde jongeling met bleke huid en verweerd T-shirt, die frenetiek op een computer tokkelt: dat beeld klopt niet meer. Sinds draadloos internet gemeengoed is, begeven hackers zich meer en meer buitenshuis, zich verschuilend achter het IP-adres (een individuele code die ieder computernetwerk heeft) van het publieke netwerkje waarop ze zitten.

En aangezien een degelijk opgeleide hacker vandaag goed geld verdient (tot tienduizenden euro's per maand), ziet hij er wellicht net uit zoals een doodgewone hoogopgeleide, beter verdienende professional. Het soort dat overdag koffiebars frequenteert.

De infiltratie

De hacker aan het tafeltje kan twee manieren hanteren om in te breken op het bedrijfsnetwerk. De eerste is door gebruik te maken van kwetsbare plekken in de programmatuur waarop de servers van het bedrijf lopen. Meestal beginnen ze dan bij de webserver, de computer waarop de website van het bedrijf staat: dat is doorgaans de makkelijkste weg om binnen te geraken. De kraak op zich gebeurt door programmeerfouten op te sporen in het besturingssysteem van die server. Zulke fouten zijn 'in de juiste kringen' vaak al bekend. Ze worden onder hackers gedeeld via duistere forums en beveiligde chatrooms, waar ze de waarde van goud hebben: wie een programmeerfout vindt, kan in plaats van de foute code zijn eigen programma installeren en de boel overnemen. Dat is de eerste, nog vrij eenvoudige manier om te infiltreren in een computernetwerk.

De tweede gaat via de mensen die werken bij het bedrijf in kwestie. De meeste firma's bieden werknemers ook op afstand toegang tot het bedrijfsnetwerk, via een beveiligde verbinding (de zogeheten Virtual Private Network- of VPN-connectie). Vaak hangt die 'beveiliging' gewoon af van een gebruikersnaam en wachtwoord. De hacker hoeft de individuele computer van een werknemer maar te kraken, en hij is ook met diens toegang tot het bedrijfsnetwerk aan de haal. Of iemand anders heeft dat al voor hem gedaan: bij virusaanvallen of grootschalige inbraken op andere netwerken - dat van de recent gekraakte webdienst Dropbox bijvoorbeeld - worden de inloggegevens van duizenden tot miljoenen gebruikers ontvreemd en online geplaatst tegen betaling. Handig voor inbrekers: heel wat mensen hanteren immers dezelfde wachtwoorden voor hun werk- en privédiensten.

"Computerinbrekers wroeten, met verschillende middelen, tot ze binnen zijn", zegt Wade Baker, directeur cyberbeveiliging bij de Amerikaanse telecomoperator Verizon en opsteller van het jaarlijkse Data Breach Investigation Report, een document dat computerinbraken bij bedrijven in tientallen landen catalogiseert. "Personen zijn kwetsbaar omdat bedrijven dat zijn, en omgekeerd. Er worden ieder jaar miljoenen euro's uitgegeven aan informaticabeveiliging, en die brengen niets op."

De kraak

Op hetzelfde moment kan er van achter een ander koffiebartafeltje, op een andere plaats in de wereld, een andere, gespecialiseerde hacker bezig zijn op hetzelfde netwerk. Grote kraken, zoals die op het netwerk van Sony Pictures, hebben vaak veel weg van Ocean's Eleven: tegen het moment dat de echte inbraak is gebeurd, heeft het computersysteem in kwestie verschillende lui op bezoek gekregen, met uiteenlopende specialiteiten. De ene is bijvoorbeeld een expert in het ongedetecteerd installeren van clandestiene programma's op het systeem, de andere trainde zichzelf tot een specialist in het kraken van de databaseserver, waarop de kostbare gegevens staan.

Zo wordt er, server na server, beveiligingsechelon na beveiligingsechelon, verder ingebroken, zonder dat de eigenaars van de site dat doorhebben. Soms zijn ze maanden tot jaren op het netwerk geweest, nu en dan inloggend, vooraleer ze effectief toeslaan. En daarna duurt het vaak weken, maanden of in zeldzame gevallen zelfs jaren voordat iemand het doorheeft. Tenzij natuurlijk de inbraak, zoals in het geval van Sony Pictures, wordt geclaimd.

The Wall Street Journal oppert dat er aanwijzingen zijn dat de Sony Pictures-hackers voor de Noord-Koreaanse overheid werken, en dat de inbraak een wraakactie is voor de film The Interview, een komische prent waarin de moord op de Noord-Koreaanse leider Kim Jong-un wordt beraamd: een film waarvoor het regime van de totalitaire staat al had gedreigd met represailles. Maar het zou ook het werk van een criminele bende kunnen zijn, het soort dat op verscheidene manieren goed geld verdient aan computermisdaden. Of het zijn individuele freelance-superkrakers, die hun diensten zowel aan criminele bendes als aan overheden verkopen.

De buit

Al die moeite moet natuurlijk ook iets opbrengen. In het geval van de Sony Pictures-kraak ging het onder meer om een aantal nog onuitgegeven films - die nu al vrij online beschikbaar zijn via downloadnetwerken als BitTorrent - en geheime financiële gegevens - zoals loonbrieven van toplui. Wanneer de hacker in het koffiebarretje zijn laptop dichtklapt en zijn rekening betaalt, heeft hij misschien wel een van de bijna 200 jaarlijks in het Data Breach Investigation Report aangegeven bedrijfskraken uitgevoerd waarbij er geheimen en intellectuele eigendommen werden ontvreemd.

"Computerinbraken kunnen drie soorten motieven hebben", zegt Baker. "Je hebt hacktivisme, waarbij er sociale en politieke motieven achter de kraak zitten, en je hebt de meest verspreide vorm: die waarbij de kraak dient om geld van een rekening te sluizen. Maar daarnaast zijn er ook de minder vaak voorkomende, maar meer gespecialiseerde inbraken voor spionagedoeleinden. Ongeveer 16 procent van alle internetaanvallen is gericht op één specifiek doel: de rest gebeurt via geautomatiseerde methodes die honderden of duizenden computers tegelijk viseren. Maar als we het hebben over aanvallen op bedrijven, dan bedraagt het aantal specifieke aanvallen ineens 50 procent."

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234