Vrijdagochtend moeten de pmd-zak en het restafval buiten staan. Dan komt immers de gehackte vuilniswagen het gehackte afval ophalen in de gehackte straat van onze gehackte stad.
We zijn allemaal gehackt en ieders vuile was – of in dit geval vuilnis – ligt op straat. Gelukkig niet letterlijk, er hoeven geen neuzen te worden dichtgeknepen, maar misschien best wel de portemonnees. Of niet? Want naar verluidt zijn onze teerbeminde rijksregisternummers en adressen gelekt. En wat misschien nog meer, vraagt ieder zich af. In het lokale dialect luidt dat: Wie weet da jong?
De mediaberichten zijn druk bezig paniek te zaaien en zoeken daarvoor wanhopig naar gefundeerde argumenten. Of die vanuit IT-optiek nu steek houden of niet, is van minder belang. Aandacht is waar het om draait, en die kon al in overvloed worden geoogst. Ondertussen rollen de IT’ers onder ons weleens met de ogen bij het lezen van het zoveelste kolderieke krantenbericht dat de IT-bal hopeloos mis slaat. Much ado about nothing, wist Shakespeare lang vóór het internet al, maar het omgekeerde is natuurlijk al even ongewenst. Minimaliserend zeggen ‘Het is maar een rijksregisternummertje en een e-mailadresje’, moet je ook niet doen. ‘Wie maalt daar nu om?’ zegt men dan. IK! Ik die al zo lang mensen op het hart druk niet zomaar te pas en te onpas – pun intended – hun identiteitskaart door te geven aan een ogenschijnlijk betrouwbare instantie, met het risico op identiteitsdiefstal.
Het lek betrof nog andere gegevens. Zo raakte namelijk bekend wie in 2020 een container had besteld. Ja, lees die zin nog maar een keer. Dat doet beslist ook de stand-upcomedian die zijn show van 2024 voorbereidt. ‘Wie het kleine niet begeert, is het grote niet weert’, luidt een oude volkswijsheid, en ik hoop maar dat de hacker die zijn vers verworven dataset bekijkt, dat gezegde ook kan waarderen wanneer hij in zijn sleepnet geen grote vissen ontwaart, maar zowaar een lijst van containergebruikers uit 2020. Volgende keer beter zeker? Hij heeft de namen en adressen tenminste toch. Al had hij die ook wel in een doorsnee telefoonboek kunnen vinden. Wat natuurlijk niet geldt voor erfenisgegevens en andere gevoelige data. Maar wat deden die gegevens op die server? En hoe kwam het dat die server op het internet kon? Die antwoorden lezen we jammer genoeg nergens. Men zegt A, maar de B komt niet. Ik meen me te herinneren dat er ook een gezegde bestond over een klepel en een luidende klok.
In de mist van vage sensatieberichten vraagt iedereen zich natuurlijk af hoe zo’n hacking nu eigenlijk werkt. Er zijn veel manieren, maar ik beschrijf er hier eentje. Heel wat computers zijn al veel langer besmet dan het moment waarop een hacking bekend raakt. Iemand kreeg misschien op een dag een phishingmail en haalde daardoor per ongeluk een virus binnen. Of hij plugde in zijn computer een usb-stick die niet van Brit Van Marsenille kwam zoals in onze vorige blog. Zo gebeurt het dat een laptop van een medewerker besmet raakt zonder dat die persoon – of het bedrijf – er iets van merkt. De hacker en de organisatie waarvan hij deel uitmaakt, weet op dat moment wel dat hij ‘ergens’ is binnen geraakt, maar nog niet waar. Het virus is geprogrammeerd om zich te gedragen als een worm. Vergelijk het met een lintworm die rustig op verkenning gaat in een spijsverteringsstelsel. Niemand zit daarop te wachten, en tot overmaat van ramp kan het erg lang duren eer de aanwezigheid van die worm door schade bekend raakt. Die computerworm heeft dus alle tijd om rustig rond te neuzen en uit te zoeken waar hij precies terecht is gekomen. Je begrijpt dat dat soort software erg ingenieus in elkaar zit, omdat er vanalles aan de gang is, zonder dat de computergebruiker daar iets van merkt. Maar actief is die worm de hele tijd, terwijl de nietsvermoedende computergebruiker een document typt, een presentatie maakt, en die in een mail naar zijn baas stuurt. Via die weg kan de worm ook in de computer van de baas gaan rondsnuffelen, en daarna ook weer verder in andere computers van het bedrijfsnetwerk die toevallig toegankelijk zijn.
Tijdens zijn speurtocht staat de worm in constante verbinding met zijn commandocentrum bij het hackerscollectief. Het commandocentrum kan de worm dan ook vragen om de servers van het bedrijf te scannen op gekende software-kwetsbaarheden (denk aan de updates op jouw computer; die lossen ook steeds kwetsbaarheden op, die bij jouw softwareprovider bekend zijn geraakt). Via die kwetsbaarheden kan de worm mogelijk toegang krijgen tot een server op het bedrijfsnetwerk. Het zal dan ook het eerste bedrijf niet zijn waarin toevallig nog een oude server staat te draaien, waarop niet alle veiligheidsupdates zijn geïnstalleerd en waar helaas ook nog wel wat waardevolle informatie op staat. Driewerf hoera voor de worm, die maar wat blij is met zijn vangst en naarstig werk maakt van het doorsluizen van alle gevonden bestanden. Dat doorsluizen gebeurt dikwijls via de laptop van een medewerker, omdat de worm natuurlijk een toestel nodig heeft dat met het internet is verbonden.
‘Allee zeg, wat werkt mijn computer vanmorgen toch traag!’ stelt Mariette dan geërgerd vast. ‘Ik ga ondertussen even een koffie halen. Gaat er iemand mee?’
Terwijl Mariette van haar koffie slurpt, komen de hackers te weten wie in 2020 een afvalcontainer heeft besteld. Tja… The early bird catches the worm, zeggen ze in het Engels over vroege vogels, maar in de hackingwereld geldt vaak het omgekeerde, al kan die worm ook weleens minder waardevolle informatie buit maken. Morgen is er weer een dag, moet die dan maar denken. En ongetwijfeld ook weer een (andere) worm. Die misschien nog slimmer is dan de vorige. Want zo’n stukje software is al lang niet meer dat ene kleine scriptje met enkele honderden lijntjes code, geschreven door een puisterige spijbelende puber die zich verveelde. De software in de hedendaagse wormen is behoorlijk indrukwekkend en bevat duizenden en duizenden lijnen aan code. Er zitten dan ook behoorlijk uit de kluiten gewassen organisaties achter, die meestal veel professioneler tewerk gaan dan de bedrijven die ze tot hun slachtoffers rekenen.
Jammer, maar helaas! Ligt er nu alweer een dataset op straat. Met die containers mag je gerust allemaal eens lachen. Maar je kan er donder op zeggen dat deze dataset gemixt wordt met andere datasets. Zo worden data ‘verrijkt’ met andere informatie, waardoor een rijksregisternummer plots veel meer betekenis krijgt, omdat er ook gegevens van andere datasets mee kunnen worden gekoppeld. Die verrijkte gegevens worden dan weer verkocht, niet eens voor veel geld, om daarmee bijvoorbeeld zeer gerichte phishingcampagnes op te zetten. Als men bijvoorbeeld weet dat Jef uit de Kerkstraat nummer 100 elke maand een afvalcontainer bij bedrijf x bestelt, dan kan hij zomaar eens een valse factuur in de bus krijgen om voor zijn container te betalen. Bijvoorbeeld. Maar je begrijpt dat de mogelijkheden eindeloos zijn. Wat die hackers met hun nieuwe data nog allemaal kunnen uitrichten? Wie weet da jong!
