VIER JAAR gevangenisstraf voor het inbreken in een computer van een universiteit — het lijkt een zware straf voor een onschuldig vergrijp. Politie en Justitie denken daar anders over: vorige week besloten zij een betrapte hbo-student, die al vier dagen in een politiecel had doorgebracht, nog eens dertig dagen vast te houden.
Voor Ronald 0., twintig jaar oud en in het dagelijks leven student aan de HTS, viel donderdag 18 maart het doek in een computerzaaltje van de Amsterdamse Vrije Universiteit. Met de gebruikersnaam van een VU-student en het bijbehorende wachtwoord had hij zich toegang tot het netwerk van de VU verschaft. Via het nationale computernet Surfnet kreeg hij contact met de technische universiteit in Delft. Onder weer een nieuwe valse naam drong hij daar binnen in een klein ‘werkstation’, en ‘rommelde daar wat in’, zoals een woordvoerder van het Delftse Rekencentrum het noemt.
Dat er een hacker bezig was, zoals computerkrakers in jargon worden genoemd, was in Delft al sinds half februari duidelijk. Het duurde echter even voor men begreep dat die zich aan de VU ophield.
Toen dat eenmaal bekend was, was de zaak snel gepiept. Een plaatselijk lid van het Nederlandse Computer Emergency Response Team, dat een halfjaar geleden werd opgericht en 24 uur per dag bereikbaar is, nam contact op met de VU. De systeembeheerder van de faculteit Wiskunde en Informatica traceerde de ongewenste bezoeker tot een vrij toegankelijke computerruimte. De opgetrommelde politie hield de jongen aan en nam zijn koffertje in beslag, waarvan hij de inhoud tevergeefs had geprobeerd door de wc te spoelen. Een speciaal voor zulke gevallen opgericht Computercriminaliteitsteam van de politie houdt zich sindsdien met de zaak bezig.
De Leidse hoogleraar rechtsgeleerdheid mr H. Franken, die zelf de blauwdruk voor de deze maand in werking getreden wet op de Computercriminaliteit schreef, vindt het strenge optreden tegen O. wat overdreven aandoen. Hij noemt het ‘verbazend’ dat ‘een eenvoudige computerkraker dertig dagen in hechtenis wordt genomen, terwijl er door het cellentekort moordenaars vrij rondlopen.’ “Wanneer er patiëntgegevens zouden zijn vernietigd, een miljoen van de Nederlandse Bank zou zijn ontvreemd of een octrooi van Philips op straat zou zijn gegooid, dan zou ik me kunnen voorstellen dat de rechtsorde in het land is aangetast.” Van dergelijke gevolgen heeft hij echter nog niets vernomen.
De gearresteerde kraker is in hackerskringen geen onbekende. Zo is hij redacteur van het blad Hack Tic, waarin verslag wordt gedaan van geslaagde inbraakpogingen in slecht beveiligde computers. Ook vorig jaar werd hij betrapt op de VU: toen zorgde hij via computers van de faculteit biologie voor opschudding in Amerikaanse netwerken. Om die reden, vertelt systeembeheerder R. Wiggers van Wiskunde en Informatica, hebben de Amerikanen serieus overwogen de VU de toegang te ontzeggen.
Dit vorige vergrijp ligt nog onder beoordeling van de rechter, maar valt niet onder de per 1 maart van kracht geworden nieuwe wet. Daarin wordt onder andere maximaal vier jaar gevangenisstraf opgelegd aan hoppers — mensen die via een gekraakt systeem bij een tweede computer inbreken.
Juist dat hoppen is zeer populair, weet Via computernetwerken kunnen studenten tegenwoordig net zo gemakkelijk praten met hun buurman als met een collega aan de overzijde van de oceaan. De ongekende mogelijkheden trekken echter ook minder gewenste bezoekers: hackers.
Wiggers. “Niets is leuker dan via honderd computers je doel te bereiken. Bovendien kun je je zo onvindbaar maken: wanneer je in één computer je sporen uitwist, ben je niet meer te traceren.” Dat het tot een ware sport kan uitgroeien weet Wiggers uit ervaring. “Sommige studenten vinden het leuk om, terwijl ze naast elkaar zitten, via een computer in Amerika met elkaar te converseren.”
Dat het zo gemakkelijk is om per computer over de wereld te zwerven is geen toeval: via dezelfde route wisselen wetenschappers uit vele landen snel nieuws uit over hun onderzoek. Computers van de VU zijn verbonden met een eigen VU-net, dat op zijn beurt is aangesloten op het landelijke Surfnet. Dat laatste heeft weer een felbegeerde verbinding met het wereldwijde Internet, zodat het net zo gemakkelijk is om te kijken in de bibliotheek van je eigen universiteit als die van een Amerikaanse, bijvoorbeeld.
Geschat wordt dat over de hele wereld meer dan tien miljoen gebruikers toegang hebben tot Internet. Het is dus geen wonder dat onbevoegden wel eens in het bezit komen van een wachtwoord. In het geval van de VU ging dat wel heel gemakkelijk: de student wiens naam werd misbruikt hanteerde het wachtwoord ‘qwerty’ — de eerste vijf letters van het toetsenbord.
“Een systeem beschermen met wachtwoorden is eigenlijk achterhaald,” zegt Erik Zegwaart, die voor Surfnet een project leidt om de veiligheid van universiteits- en hogeschoolcomputers te vergroten. Na proeven aan verschillende instellingen verschijnt komende maand het eindrapport. Conclusie: de toekomst is aan de ‘smartcard’ — een elektronische sleutel die door de computer wordt gelezen. Zolang dat te duur is, kunnen universiteiten ook een tussenoplossing kiezen: een token – een kaart die elke minuut een nieuw wachtwoord toont, dat alleen in die minuut bruikbaar is. Alleen voor toegang tot geheime gegevens zou zon kaart vereist moeten zijn. Niet dat tokens goedkoop zijn.
Maar universiteiten zullen eraan moeten wennen, zegt Zegwaart, dat in een professionele organisatie investeringen nodig zijn om gevoelige informatie, over studenten, personeelsleden of onderzoek, te beschermen.
Heeft Ronald O. met zijn ‘computervredebreuk’ in Delft schade aangericht? In ieder geval geen ‘directe’ schade, meldt de woordvoerder van het Rekencentrum in Delft — de betrokken computer bevatte geen cruciale gegevens, en er zijn geen belangrijke bestanden gewist of beschadigd. Voor het Rekencentrum telt de indirecte schade: twee tot drie ‘manweken’ zijn besteed aan het volgen van de illegale verrichtingen — ‘aan het gepiep herkent men het vogeltje’ aldus de woordvoerder.
Zolang het onderzoek van Justitie gaande is, zullen de elektronische sporen van O.’s daad niet worden uitgeveegd. Daarna moet de computer echter weer van een vers systeem worden voorzien, omdat de indringer voor zichzelf een permanente achterdeur kan hebben aangebracht. Ook die operatie kost tijd en geld.
Dat 0., ware hij op vrije voeten geweest, zijn eigen sporen had kunnen uitwissen, acht men in Delft ‘vrijwel uitgesloten.’ “De boel is nog niet opgeruimd, maar we houden het goed in de gaten.” Zeker weten kan echter nooit, geeft hij toe, al zal O. tijdens zijn detentie weinig kunnen uitrichten. “Ik neem tenminste niet aan dat hij in zijn cel over een PC kan beschikken,” aldus de woordvoerder.