Onder vuur door hackers

Hackers houd je liever buiten de deur. Maar net als met alle andere soorten inbrekers is het niet mogelijk je tegen alles te beschermen. Zo af en toe zal er iemand een gaatje vinden en dan kun je alleen maar hopen dat de schade beperkt blijft. Zulke situaties heb ik met OSM een aantal keren meegemaakt. Hoewel het altijd goed afliep tot dusver, was het soms behoorlijk spannend.

Online Soccer Manager wordt dagelijks door meer dan een miljoen mensen bezocht. Dat maakt de kans groot dat er iemand tussen zit met de combinatie van kwaadwillende bedoelingen, technische kennis en zeeën van tijd, die nodig is om een hack te plaatsen. Afgelopen jaar zijn er een paar incidenten geweest waar ik bij Gamebasics mee te maken heb gehad.

Twee hackers uit Twente

Op een dag vond ik een anoniem, versleuteld mailtje in mijn mailbox. De verzender noemde zichzelf Lalie Levie. De tekst was als volgt:

Er is een behoorlijk groot ‘lek’ aanwezig in jullie systeem, zowel voor de NL als de internationale versie.
Een aantal van de mogelijkheden is om een account seizoenskaarten te geven of eigen vermogen.
Ik heb hierover niemand ingelicht, en wil dit graag eerlijk aan jullie melden.
Maar ik zou er ook wel graag een kleine beloning voor krijgen…!

In eerste instantie dacht ik aan een broodje aap verhaal. Het gebeurt wel vaker dat een gelukszoeker op deze manier probeert iets los te krijgen. Het zekere voor het onzekere nemend, liet ik de hacker weten dat ik hem serieus nam en hem passend zou belonen, indien hij zijn hack met mij zou delen.

Ze hebben zich toen bekend gemaakt. Het bleek niet om één, maar om twee jongens van 22 jaar te gaan uit Twente. Ze hadden in een oud document dat ergens op het internet rondzwierf een wachtwoord ontfutseld, waarmee ze in ons backend tools konden komen. Dit ‘lek’ was al sinds 2011 aanwezig.

Gelukkig was het gemakkelijk te dichten. Ik heb de twee rondgeleid bij Gamebasics. Het bleek dat ze al meer hacks op hun naam hadden staan. Ze hadden geen kwaad in de zin. Het was hen met name om erkenning te doen.

De anonieme sloper

Een veel minder vriendelijke hack trof ons even later. Ik was net een weekendje weg. Toeval of niet, dit soort incidenten doen zich vaak voor op ongunstige momenten. Via WhatsApp vernam ik het onheil: er was een ravage in het spel aangericht. Een deel van de spelerswaarden in het spel was verdwenen. Niemand wist hoe en waarom.

Op die momenten is het zaak snel te inventariseren wat er is gebeurd. Het kan een hacker zijn, maar ook een vergissing of een andere technische fout. De schade moet hersteld worden, maar als de oorzaak niet gevonden is kan het zo weer gebeuren. In dit geval bleek na uitgebreid speurwerk dat er een hack was geplaatst op een systeem buiten ons netwerk. In dat systeem zat een bekend lek waarmee de machine kon worden overgenomen. De hacker wist een wachtwoord te vinden en daarmee ons systeem binnen te dringen.

Helaas had deze hacker dus allesbehalve goede bedoelingen. Dit was puur digitaal vandalisme. Ik ben een dag bezig geweest om de door hem aangerichte schade zo goed mogelijk te herstellen. Door de sporen van de dader te volgen, kon ik erachter komen dat hij uit Amsterdam kwam. Maar meer informatie heb ik niet kunnen achterhalen.

Een jihad vanuit Saoedi-Arabië

De spannendste en meest inventieve hack die ik heb meegemaakt was een redelijk recente. Opnieuw ging het niet om een constructieve inbreker, maar wel een geraffineerde. De hack diende zich aan in de redelijk grote Arabische gebruikersgroep van OSM. Ineens stond het forum vol met oproepen tot jihad, geplaatst in het Arabisch. Naar het leek waren onze medewerkers daar verantwoordelijk voor.

Omdat wij het Arabisch niet machtig zijn, duurde het even voordat we doorhadden wat er precies aan de hand was. Behalve de niet zo subtiele oproepen tot jihad jegens bepaalde personen, frustreerde de hacker een aantal gebruikers openlijk door hun accounts over te nemen en materiaal uit het spel te laten verdwijnen.

Wat we konden zien, was dat de hacker accounts van gebruikers schijnbaar moeiteloos overnam. Daar zaten ook accounts van beheerders bij. Hoe hij dat deed, was een raadsel. In paniek raken is op zo’n moment een slecht idee, maar zenuwachtig werd ik er wel van. Koortsachtig zochten we met vereende krachten naar het lek. In de tussentijd konden we de hacker alleen op afstand houden door de accounts die hij overnam zo snel mogelijk te blokkeren.

Uiteindelijk hebben we na een aantal dagen de truc ontdekt die deze Saoedische hacker toepaste. Gebruik makend van een bijzonder gecompliceerde kwetsbaarheid in ons systeem en in de databasetechnologie die wij gebruiken, kon hij accounts overnemen door een spookaccount aan te maken met dezelfde naam. Hierbij gebruikte een toepasselijke speciale emoticon: een spookje! Toen we dit ontdekten, konden we het lek snel dichten.

Wie de hacker was, hebben we nooit kunnen achterhalen. We traceerden hem tot een klein dorpje in Saoedi-Arabië. Maar het opsporen en bestraffen van zo iemand is niet te doen.

Zinloos

In het algemeen is het vervolgen van hackers redelijk zinloos. Het is tijdrovend, kostbaar en de slagingskans is klein. Daar komt bij dat de schade meestal toch al is aangericht. Veel belangrijker is het dan ook om de kwetsbaarheden waar ze gebruik van hebben gemaakt, zo snel mogelijk te verhelpen.

De ‘goede’ hackers die hun bevindingen kenbaar maken belonen, vind ik wel een ethische plicht. Wanneer hackers die erecode in acht nemen, is het een nobele bezigheid.

Hoewel hackers in films meestal als geniale nerds worden afgeschilderd, die een spannend leven hebben, is de werkelijkheid meestal een stuk minder romantisch. Hacken kost enorm veel tijd en de meeste hacks worden niet gericht als een bankoverval gepland: de hacker schiet doorgaans met hagel en kijkt waar hij binnenkomt. Ik heb er zelf bescheiden ervaring mee, zoals ik een aantal jaren geleden heb opgebiecht.

Dat wil niet zeggen dat er geen spannende verhalen over hackers te vertellen zijn. Wie een mooi hackverhaal wil lezen mag het boek “Het Koekoeksei” van Clifford Stoll uit 1989 niet missen. Een klassieker en waargebeurd bovendien. Het bewijst wat wij in de post-Snowden tijd natuurlijk allang weten: dat regeringen en organisaties elkaar voortdurend hacken. Ook de documentaire over Anonymous, het collectief dat regelmatig het nieuws haalt met spectaculaire hacks, is de moeite waard.