OPEN VOORDEUR NAAR GEVOELIGE DATA De Gelderlander, 15/4/05. Door JOHN BRUINSMA De boodschap is vaker verkondigd: wie draadloos op internet zit, moet z'n pc beveiligen. Een rondje luistervinken met laptop en antenne leert dat duizenden hun lesje nog moeten leren. De overheid incluis. [Foto met onderschrift] Onderzoeker Martijn Oosthoek bekijkt op zijn laptop welke draadloze computernetwerken in Nijmegen goed op slot zitten en welke niet. - Foto: Theo van Zwam/De Gelderlander De systeembeheerders van de gemeente Nijmegen hebben iets met Disney. De computers of servers die in het stadhuis staan, heten 'Pocahontas', 'Simba' of 'Pumba'. Nog wat muisklikken verder en Martijn Oostdijk, docent en onderzoeker in de informatica, zou zó vanuit de auto het bouwarchief van de gemeente kunnen lichten of nader kunnen onderzoeken welke database er onder 'Tremaine' schuil gaat. Of welke rekeningen er in 'X-Gerrit Girocomm' zijn te vinden. Je neemt een laptop met een draadloosnetwerkkaart mee, je hangt er een platte antenne van een euro of zeventig aan, je rijdt een paar rondjes door Nijmegen en omgeving en je ziet in één oogopslag op je LCD-scherm welke draadloze computernetwerken er actief zijn en vooral welke wel en welke níet goed op slot zitten. De conclusie van deze wireless tour: niet alleen particulieren nemen onvoldoende moeite hun draadloos met het internet verbonden pc te beveiligen, ook talloze bedrijven en de overheid zijn nalatig. "We zijn geschrokken van de resultaten", zegt promovendus Cees-Bart Breunesse, die de afgelopen weken samen met Oostdijk rondtoerde, op zoek naar onbeschermde netwerken. Bart Jacobs, hoogleraar computerbeveiliging en verbonden aan het onderzoeksinstituut voor informatica en informatiekunde aan de Radboud Universiteit in Nijmegen, heeft de supervisie over hun activiteiten: "Het meeste onderzoek dat we doen, heeft een hoog abstractieniveau. Dit toont de relevantie van dat onderzoek aan. Wij zijn de good guys die laten zien hoe belangrijk het is dat je je netwerk beveiligt tegen bad guys die kwaad willen." Alsof ze politieagenten waren die bij de helft van de woningen de voordeur open zagen staan: zo voelden de netwerkspeurders zich toen ze de afgelopen weken door de regio reden. Dat terwijl de sleutel om de voordeur van je draadloze netwerk op slot te doen, met de benodigde spullen wordt meegeleverd. Breunesse: "Het enige wat je moet doen, is de sleutel activeren door jezelf een password toe te kennen waarmee alleen jij naar binnen kan." Een ritje door het centrum van Nijmegen leert dat sommige pc-gebruikers dat wel hebben gedaan, maar anderen niet. Network detected, roept een stemmetje in de laptop achter elkaar door. In het groen lichten op de laptop van Oostdijk de netwerken op die op slot zitten, in het geel degene die open staan. Zo zie je een privé-adres waar de bewoners hun zaakjes voor elkaar hebben en een belastingadvieskantoor verderop dat het slot open heeft staan. Datzelfde geldt voor het stadhuis in hartje Nijmegen, datzelfde gold ook zo leerde de inspectie afgelopen weken voor een hotel annex conferentieoord in de stad en een voedingsbedrijf in hartje Gelderland. De Nijmeegse speurders zijn niet over de drempel naar binnen gestapt, het netwerk in. "Dan zouden we hacken en dat is strafbaar", zegt Breunesse. In die zin is de veiligheid van de pc's die aan de draadloze netwerken zijn gekoppeld, niet getest en kan elke gebruiker zich verweren met het argument dat het één ding is om door zijn voordeur naar binnen te kunnen, maar dat het nog iets anders is om vanuit het halletje in zijn slaapkamer of in zijn secretaire met geheime documenten te komen. Dat is ook waar het belastingadviesbureau bij navraag op wijst: "De leverancier heeft ons verzekerd dat het mogelijk is op onze internetverbinding gratis mee te surfen, maar dat onze data niet op straat liggen." Oostdijk brengt daar tegenin dat zij in het geval van de gemeente wel achter de firewall van het systeem zaten. "Daarvandaan is het gemakkelijk voor een ervaren hacker om een computer met gevoelige gegevens aan te vallen." De gemeente is de onderzoekers erkentelijk dat zij de automatiseringsafdeling op het beveiligingslek hebben gewezen. "Het gaat om één verouderde wireless toegangspoort die standaard dicht staat, maar kwetsbaar is door een onlangs opgetreden storing", aldus een woordvoerster. Het lek is inmiddels gedicht. Dat is precies het effect dat de onderzoekers beogen. Jacobs: "Wat wij willen aantonen, is dat het uit onwetendheid kan zijn dat particulieren hun netwerk niet afdoende beveiligen, maar dat het ronduit bedenkelijk is dat ook bedrijven en overheidsinstanties hun deur open laten." "Zij hebben een maatschappelijke verantwoordelijkheid om de toenemende hoeveelheid digitale informatie over u en mij te beschermen tegen misbruik door kwaadwillenden."