Krakers lachen de beveiligingsindustrie uit, omdat deze er niet in slaagt veilige systemen af te leveren, en beveiligingsdeskundigen vinden op hun beurt weer dat computerkrakers eens met hun tengels van andermans systemen af moeten blijven.
Paul Taylor deed tien jaar lang onderzoek naar de relatie tussen de beveiligindustrie en de ‘computerunderground’. In zijn boek Hackers stelt hij dat de berichtgeving over beveiligingsincidenten gedurende de laatste jaren dit kemphanenbeeld heeft uitvergroot. Hackers krijgen in het nieuws óf het etiket ‘vrijheidsstrijders’ opgeplakt óf ze worden afgeschilderd als criminelen. Leuk voor de kassa in Hollywood, waar gretig op dit soort sentimenten wordt ingespeeld, maar niet leuk als hierdoor niemand meer nadenkt over de werkelijke betekenis van het kraken. Ook al stoppen morgen alle krakers, dan nog vertrouwen we op onbetrouwbare systemen. In die zin zijn krakers de vleesgeworden nachtmerrie van iedereen die zich zorgen maakt over de mazen in netwerken. En daar waar mensen zich zorgen maken, lossen stereotypen doorgaans weinig op. Nu heeft onderzoek ook de reputatie dat het weinig oplost, maar inzicht biedt het meestal wel. Dat maakt de Engelse socioloog Taylor dan ook waar met zijn boek, en daarnaast doet hij meer. Zo laat hij krakers, wetenschappers en beveiligingsmedewerkers direct over beveilingsvraagstukken aan het woord, waardoor de lezer een oorspronkelijk vakboek in handen heeft, dat bovendien leest als een trein.
Een citaat van Robert Schifreen, voormalig kraker uit Engeland, geeft aan hoe lastig het eigenlijk is om een dergelijk onderzoek uit te voeren: "De krakers waar ik mee omging, acht of negen jaar geleden, zaten allemaal in Londen Noord, waar ik ook woonde. Op vrijdagavond gingen we altijd met twaalf man naar de Chinees, en zaten daar dan te praten over van alles en nog wat, terwijl we liters cola light wegdronken. Twintig minuten nadat mijn collega Steve Gold en ik werden gearresteerd was de krakersgroep opgedoekt. Er is verschrikkelijk veel rondgebeld, discs werden in de tuin begraven en mensen werden ex-krakers. Er is nu echt niemand die wil praten, het is moeilijk".
In 1990 werd in Engeland de Computer Misuse Act aangenomen, waardoor de krakers nog meer op hun tellen gingen passen. Gesprekken voeren met de computerunderground dicht bij huis werd onmogelijk. Taylor week uit naar Nederland om interviews af te nemen, waardoor het boek relatief veel Nederlandse opvattingen over kraken bevat. Zoals de mening van de Nederlandse kraker M. over het stereotype idee dat krakers hun modem en toetsenbord geen moment kunnen missen: "Het is niet zozeer dwangmatig, maar als je bijvoorbeeld een week stopt, dan wijzigt er van alles; het netwerk verandert altijd. Je moet bijblijven, alles uit je hoofd weten. De standaard wachtwoorden, de bugs die je nodig hebt. Als je een systeem wilt binnenkomen dan moet je alles proberen, dus je moet elke bug kennen."
Bij zo’n totale betrokkenheid steekt de manier waarop organisaties omgaan met beveiliging wel heel magertjes af.
Harry Onderwater – ten tijde van het interview werkzaam bij een onderzoeksinstituut voor opsporing van computercriminaliteit – vertelt over ‘ad hoc’ beveiliging in organisaties en neemt hierbij zijn eerste stap in het beveiligingsvak als voorbeeld : "Ik kreeg het systeembeheer naast mijn baan bij de drugsopsporing, omdat er geen systeembeheerder was en ik wel met computers overweg kon. Als er toen een echte specialist was geweest, had hij waarschijnlijk beter werk afgeleverd dan ik. Het is een hobby van de jongens die het doen, maar geld speelt ook een rol. (..) In kleine bedrijven zie je wel dat één en dezelfde jongen systeembeheerder is, database-beheerder, beveiligingsdeskundige en ook nog eens boekhouder."
Daarnaast wijst professor Herschberg van de TU Delft op de lage status van de functie medewerker IT-beveiliging. Wanneer systemen consciëntieus worden bewaakt, dan ‘ontstaat de zeer ongelukkige indruk dat er niet echt iets wordt bereikt. Het bewijs dat er wel degelijk iets wordt bereikt, zit in de afwezigheid van systeeminbraken, of in inbraken die aan het licht komen, wat iets heel anders is. Bijna ieders successen zijn meer zichtbaar dan die van beveiligingsmedewerkers. Het is dus goed voor je carrièreontwikkeling om geen medewerker IT-beveiliging te zijn, of welke functieomschrijving ze daarvoor ook hebben bedacht in een organisatie."
Als krakers zich per se toegang tot systemen willen verschaffen, en bedrijven ondanks gebrek aan geld of belangstelling voor beveiligingsfuncties per se incidenten willen voorkomen, dan lijkt het dat deze twee partijen elkaars belangen uitstekend kunnen dienen. De kraker breekt met toestemming in, zodat de beveiliging weet waar zwakke plekken zitten. Begin jaren tachtig was dit een gangbare samenwerking, maar vandaag de dag ziet de beveiligingsindustrie meer in wetgeving. En dat leidt tot een hoop verwarring, want over wat voor soort delict gaat het eigenlijk? Is er sprake van inbraak als de eigenaar van het systeem de deur niet op slot heeft gedraaid? Is kraken te vergelijken met diefstal als informatie slechts wordt gekopieerd
Taylor geeft geen antwoord. Iets wat hij overigens nergens in het boek doet. Het predikt geen enkele methode, bevat geen stappenplannen en checklijsten, maar laat in plaats daarvan personen achter de ICT-beveiliging vertellen wat zij aan problemen en oplossingen zien. Het resultaat is een goudmijn aan inzichten waar geen stappenplan tegenop kan. Hiermee verdient Hackers een plaats op het nachtkastje van iedereen die met beveiliging te maken heeft.
Marielle Rozemond
Paul A. Taylor: Hackers, Crime in the digital sublime
Routledge: 1999, 198 pagina’s. Isbn: 0-415-18072-4.
Prijs: f 62,50,-
