'Niet hacker, maar bedrijf is schuldig'

Bedrijven die worden gehackt, zijn niet zielig, vindt informaticus Chris Verhoef. 'Ze nemen mensen zonder gedegen opleiding aan voor hun ict-afdelingen.'

VAN ONZE VERSLAGGEVER JAN TROMP

AMSTERDAM - Dr. Chris Verhoef, hoogleraar informatica aan de VU, is geprikkeld. Hij zegt: 'Het zou mijn wens zijn de beeldvorming uit te bannen over die hackers die altijd en overal onrust zaaien, en de zielige bedrijven die daar niets tegen kunnen doen. Het is omgekeerd.'

Vara's Zembla bracht vrijdag het nieuws dat de verzuimdossiers van meer dan 300 duizend werknemers in Nederland kinderlijk eenvoudig te openen waren. Tal van bedrijven, van de gemeente Deventer en het Academisch Ziekenhuis Maastricht tot de ANWB en Praxis, hebben zich in de loop der tijd aangesloten bij het computerprogramma Humannet van ict-onderneming VCD uit Groningen. Het bleek zo lek als een vergiet. VCD verdedigde zich: het systeem was 'pittig beveiligd', maar tegen hackend straatschuim is geen kruid gewassen.

Verhoef heeft naar het materiaal van Zembla gekeken en vond in een handomdraai negen 'essentiële ontwerpfouten'. Het systeem stond bovendien niet zo maar even open, benadrukt hij, maar het zat fout vanaf het begin, in 2003. Alles lag in de etalage - BSN-nummers, salarissen, vermeldingen van fysieke en psychische aandoeningen, beoordelingen van personeelmanagers. Het werd potentieel een prooi voor wie maar geïnteresseerd was.

Een van de opmerkelijkste fouten in het programma betrof het gemak waarmee kon worden ingelogd. Wachtwoorden lagen voor het oprapen. Verhoef: 'Er is niet meer vereist dan enige bedrevenheid in de tv-spelletjes Hints en Lingo.

'De wachtwoorden in het systeem van VCD waren niet verhakseld, zeg maar door een papierversnipperaar gehaald. Daardoor konden we het wachtwoord gaan raden, met een SQL injection attack. Het is een techniek via de voordeur, via de webapplicatie zelf. We gaan eerst naar studio 1, naar het programma Hints. We vragen aan de computer: zit er een a in? Computer says no. We vragen: zit er een b in? Computer says yes. Na 26 vragen naar de letters en tien vragen naar de cijfers weten we dat het wachtwoord bestaat uit, laten we zeggen een b, een e, een g, een n, een r, een 1, een 4, een 8, een 9.

'Nu gaan we naar studio 2, naar Lucille Werner voor een nieuwe aflevering van Lingo. Wat is het woord, jongens? Zelfs een beginnende speler weet dat het wachtwoord gerben1984 moet zijn. Je bent binnen!

'Het is gruwelijk amateurisme. Het zou verboden moeten worden dat dit soort lieden met zijn vingers aan dit soort software zit. Het staat allemaal in de boeken: input valideren, foutmeldingen niet naar de gebruiker sturen, wachtwoorden verhakselen. Bij Amazon kun je het standaardwerk zo krijgen. Writing secure code. Tweede druk. Dertig dollar. Waar hebben we het over?'

Hoe komt het dan dat er in de sector zoveel fout gaat?

'Er is een enorm tekort aan goede ict'ers. Het is een snel groeiende beroepsgroep en dat zal nog wel tien jaar aanhouden. Wij leveren hier in Nederland per jaar ongeveer dertig promovendi af, driehonderd afgestudeerden aan de universiteit en drieduizend hbo'ers. Ik denk dat jaarlijks ongeveer tienduizend ict'ers nodig zijn. Wat krijg je dan? Veel bedrijven nemen mensen zonder gedegen opleiding aan.'

Maar dat verontschuldigt hackers toch niet? Wat hebben die te zoeken op sites die hen niet aangaan? Je zou zeggen: oplazeren.

'Ik zeg: 'Don't blame the hackers. Als ik hier de deuren openzet, de voordeur en de achterdeur, ik ga veertien dagen met vakantie en bij terugkeer blijkt de boel te zijn leeggeroofd, wat zal dan de politie zeggen?

En de verzekering?

'We praten over heel gevoelige, persoonlijke informatie. De Wet bescherming persoonsgegevens verlangt dat ict-bedrijven zorgvuldig omgaan met gegevens.

We hebben het over het falende systeem van VCD. U bent er op een vrolijke manier bedroefd over. Of omgekeerd. Staat u er nog van te kijken?

'Ach, het is aan de orde van de dag. Ik sta helemaal nergens meer van te kijken. Dit gaat elke dag zo door. Van de bank tot het postorderbedrijf.'

Hoe bankiert u?

'Niet via het internet, ik kijk wel uit. Het gaat te vaak fout.'

Wij argelozen denken dat het veilig is. Dat is wat de bank ons vertelt.

Op Google tikt Verhoef nu de trefwoorden rabobank hack in, het is meteen prijs: 'Hackers hebben geld weten weg te sluizen van klanten van Rabobank-internetbankieren.' Verhoef: 'Voilà.'

Hoe doet u dan uw bankzaken?

'Gewoon, acceptgirootje. Envelop dichtlikken, geen gedoe.¿

Hoe dwing je bedrijven tot een beter leven?

'Door hoge boetes, slachtofferhulp en verplichte externe controle nadien. In de VS krijg je per gelekt persoonlijk gegeven een boete van honderd dollar of meer. In het geval van VCD hebben we te maken met 300 duizend bestanden. Op elk bestand staan ongeveer tien velden, BSN nummer, adres, salaris, medisch dossier en nog zo het een en ander. Reken maar uit.'

Hoeveel is dat?

'Dat is het faillissement. Het maakt bedrijven duidelijk waar men aan toe is. Het moet een boete zijn die men niet kan dragen. Het lijkt me een goed beginsel.'

VCD: 'ONTWIKKELINGEN IN DE ICT GAAN GEWOON TE SNEL'

HOE IS HET IN VREDESNAAM MOGELIJK DAT EEN ICT-BEDRIJF NEGEN JAAR LANG EEN PROGRAMMA VERKOOPT DAT BIJ NADER INZIEN NIET BLIJKT TE DEUGEN? NA DE ONTHULLINGEN VAN ZEMBLA HIELD HET GRONINGSE VCD AANVANKELIJK DE POOT STIJF: ONS TREFT GEEN BLAAM. BEGIN DEZE WEEK GAF HET BEDRIJF TOE DAT DERDEN OP 'EENVOUDIGE WIJZE TOEGANG KONDEN KRIJGEN TOT INFORMATIE AANGAANDE VERZUIMDOSSIERS VAN MEDEWERKERS'. BUITENGEWOON PRECAIRE INFORMATIE IS HET. VCD HEEFT SINDS 2003 DE MEDISCHE DATABASE HUMANNET STARTER VERKOCHT AAN TAL VAN BEDRIJVEN EN INSTELLINGEN IN NEDERLAND. DIE BRACHTEN HUN PERSONEELGEGEVENS ONDER IN HET COMPUTERPROGRAMMA, VOORAL DE INFORMATIE OVER HET HOE EN WAT VAN VERZUIM. VAN MEER DAN 300 DUIZEND WERKNEMERS BLEKEN DE DOSSIERS VRIJ TOEGANKELIJK. 'VOLKOMEN ONACCEPTABEL', ZEGT VCD NU ZELF. MAAR HOE KAN HET DAT HET BEDRIJF, OFSCHOON TOCH GESPECIALISEERD IN ICT, ZO LANG ZO VOLKOMEN VERKEERD ZAT? EEN WOORDVOERDER VAN HET BEDRIJF: 'DE ONTWIKKELINGEN IN DE ICT GAAN GEWOON TE SNEL. DIE WERELD LOOPT ACHTER ZICHZELF AAN. HACKERS WORDEN PER DAG SLIMMER.'

IS DAT EEN VERKLARING OF EEN EXCUUS? DE WOORDVOERDER: 'BEIDE. JE KUNT ALS ICT-BEDRIJF NIET ELK JAAR JE SYSTEEM VERANDEREN. DAN WORDEN JE KLANTEN GEK.' WORDEN ZE NIET OOK GEK ALS ZE SLACHTOFFER ZIJN VAN FRAUDE EN CHANTAGE? DE WOORDVOERDER: 'U HEBT VOLKOMEN GELIJK, ONE WAY OR ANOTHER, JE WORDT GEK.'

undefined

Meer over