Internet Veiligheid

IT-directeur is voor even hackerRonaldPrins van Fox-IThoudt festivaldagboek bij over internetveiligheid

Meer dan tweeduizend hackerswisselden het afgelopen weekendkennis uit over gaten in software,'hct drama' internet en het open-breken van sloten. In het Gelder-se Vierhouten vond het hackers-festival Hacking AtRandom(HAR)plaats, het grootste inter-nationale netwerkfeest voor hac-kers dat eens per vier jaar plaats-vindt.

Hackers breken in computer-systemen in, bijvoorbeeld omzwakke plekken aan te tonen. Datdoen ze vaak alleen. Toch zijn hetniet alleen eenzame nerds die inde tentjes op het terrein huizen.Ook IT-ondernemers en beveili-gingsspecialisten hebben er hunkampement opgeslagen. Het be-drijfM4N werft er personeel. Fox-IT zit er naar eigen zeggen voorde lol en het netwerken.

De politie houdt ondertusseneen oogje in het zeil. 'Voor veelmensen gaat het beeld van eenhacker niet veel verder dan datvan een crimineel', zegt onderne-mer Ronaid Prins (40).De direc-teurvan beveiligingsbedrijfFox-IT ziet zichzelf en zijn werkne-mers natuurlijk niet zo. Fox-ITmaakt systemen voor bescher-mingvan staatsgeheimen, doetdigitaal rechercheonderzoek enconsultancy. Vrijwel zijn heletechnische team - zestig man -is dit weekend van de partij. 'Alle-maal hoogopgeleiden die uitge-breid zijn gescreend.' Op deze pa-gina schrijft Prins een dagboekover zijnweekend met hackers.

Met zestig man personeel, een op-blaaszwembad, een biettap en 25laptops strijken we - de mensenvan Fox-IT- neer op develden vanhet hackersfestival HAR.Demees-ten van ons zijn hier niet voor heteerst en de meeste bezoekers zijnook wel bekend. Het hackers- enbeveHigerswereldje is ldein. Voor-dat de tent staat, zijn de meestelaptops al aangesloten.

Alsje ziet hoe hoe efficiënt veelmensen een infrastructuur wetenop te bouwen, weet je dat hier be-zoekers zijn met bijzondere capa-citeiten. De mensen achterEventPhone.de hebben een eigenmobiel DECT-netwerk uitgerold.Iedereen kan met zijn eigen toe-stelletje bellen. Niet omdat het nuper se nodig is maar gewoon om-dat het kan. Ook belangrijk: de on-afhankelijkheid. Daar ligt tenslot-te de basisvoorhetontstaanvan dehackersscene.

Bij de eerste lezingen vallen wemeteen metde neus in de boter. Zowordt duidelijk dat we de risico'svan doud computing-waarbijjedata ergens op internet zweven -erg onderschatten. Je weet nietwaar ter wereld die staan. En: te-gen het jatten van pincodes is bij-na geen wapen meer. Plus: zelfsapparaten met een veilige uitstra-ling als BlackBerry's zijn niet meerveilig. In Dubai zijn ze heel sneakyvoorzien van afluistersoftware. Ditkwam uit door een slordigheid enzal dus het topj evan de ijsbergzijn.

Het fundament van internet wan- De kraak van het gsm-systeem iskelt, meldt BertHubertvan het be- de grote belofte van HAR2009. DedrijfNetheriabs en ook van Fox-IT. gTOepachter het pr,oject OpenBSCHet is volgens hem niet lastig om kreeg dit weekend toestemmingiemand die een UR~intypt terecht hun eigengsm-netwerk in de luchtte laten komen ol?~en hJ~el.andere ~,t5'pn~l1g~n.Da,tïs helem~al nie,t~osite. En veel tewein'ig' tièi:1rijven"~imóeilijk. De tóémruchle Duitsezijn zich daarvan bewust. hacker Haraid Welte had daarvoor

De eigenaar van zo'n andere site een zender (voor $800 op eBay)no-kan gemald<elijk met jouw gege- dig en ontwild<elde software, watvens aan de haal gaan. voorWelte niet heellastig is. Ieder-

Computers die op het internet een mag die nu overigens gebrui-met elkaar willen communiceren ken.hebben 'nameservers' nodig om Zo'n eigen netwerlge is natuur-vannamenzoalswww.fd.nl een IP- lijk leuk, je leert hoe het gsm-sys-adres te maken. Software die dit teem in elkaar zit. Om gespreld<endoet,zitinelkapparaatdataanhet te kunnen afluisteren moeten erinternet is gekoppeld. twee drempels overwonnen wor-

Als Hubert vertelt dat het hem den. Ten eerste moet je complexeniet zou verbazen als de gebruikte radiosignalen uit de lucht kunnencode uit 1984 stamt en sinds 1985 opvangen. Deze stap is genomen.niet meer is gebruikt, zie je ogen Met een radio bouwpakket enfonkelen in de zaal. Nog dezelfde slimme software kom je een aar-avond gaan de security-onderzoe- dig eind. Om ook echt gespreld<enkers in hun tenten naarstig op te kunnen horen, moet de beveili-zoek naar gaten. ging worden gekraakt,

Schrikbarend is dat dit niet het Op HAR2oo9 wordt gezochtenige praatje is waarin een ramp naar tientallen mensen die willenvoor het internet wordt aangekon- meedoen. Zo moeten binnenkortdigd. Goeroe Dan Kaminskyvertel- sleutels beschikbaar zijnwaarmeede over het HITPS-systeem, dat elkgespreksnelgekraaktkanwor-zorgt voor zogeheten 'veilig inter- den. Degroep schat zelf in dat bin-netverkeer'. Bedrijven die hiermee nen twee jaar de gsm-gespreld<enwerken, weten vaak niet dat de voor iedereen met een laptop engrootste uitgever van de SSL-certi- een speciaal kaartje mald<elijk teficaten, die moeten garanderen tappen zijn. Volgens geruchtendathetverkeervan en naar die site zijn die sleutels inmiddels al ge-veilig is, nog werkt met een tech- maakt met speciale hardware. Deniek die al jaren geleden is ge- makers daarvan lopen hier rond,kraakt. ' maar zeggen niets. .

De eerste hackers moesten ooitechte ijzeren sloten kraken omdeuren te openen naar computers.'Lockpicking' is nu een seriepzesport geworden.

Barry Wels van Toool - de ver~'èhigingvobr lockpickers -vertelt jover de relàtie die lockpickers he b-ben met fabrikanten van sloten.De lockpick-gemeenschap slaagterveelvuldigin met simpel gereed-schap veelvoorkomende sloten te ,open.

o D.ekrakers doen dat overigens.ni<it'ioIÎ'iaar. Ze waarschuwen defabrikanten, zodat deze onderne-mers nog de kans krijgen om instilte aan een oplossing te werken.

In de workshoptent kan iederhier lere hoe je het gereedschapvan een lockpicker moet hanteren.Het iswel even schrild<en als je zietdat mensen met een uurtje trai-ning opeens de meest gangbarebuissloten kunnen openen. Zon-der zichtbare schad,e.

De Dutch Open van vanmorgenwas voor de echte diehards: dedeelnemers krijgen een cilinder l'en maagdelijke sleutels zoals die (bij de sleutelmaker hangen. Meteen vergrootglas en een vijltjemoeten ze een werkende sleutel )maken zonder natuurlijk de origi-nele te zien. Jos Weyers wordtkampioen: In 87 seconden had hij ,een werkende sleutel. In het dage-lijks leven is Weyers IT-security- •manager bij een grote Nederland-se organisatie.