de Volkskrant

May 5, 2007

Stemwijzer-Hackers: 1-0; 
Privacy Computerkrakers uitgedaagd om politieke voorkeur van stemadviesvragers te achterhalen

SECTION: KENNIS; Blz. 1

LENGTH: 1824 woorden

SAMENVATTING:
Via de Stemwijzer kun je de politieke voorkeur van miljoenen adviesvragers achterhalen, luidde de kritiek. Eindhovense hackers probeerden dat, maar de wijzer gaf geen krimp. 'Je mag niks.'Door Michael Persson en Jeroen Trommelen 

VOLLEDIGE TEKST:
In een vinexwijk ergens in het midden van Nederland maakt hacker Hans van de Looy zich op voor een poging tot inbraak in de computer van de Stemwijzer. Zwart T-shirt, paardestaart, rebels verleden. Die vinexhuizen hebben wel snelle glasvezelkabels, zegt hij. Burgerlijk of niet: dan ga je er toch wonen.
Rondom hem in zijn werkkamer staan honderden boeken met veelbelovende titels. Network Security, Web Hacking, Google Hacking. The Code Breakers, The Puzzle Palace, The Art of Deception. De vakliteratuur van de digitale inbreker.
De buit waarop vandaag wordt geaasd, is spectaculair. Van de Looy en collega Eilko Bos van computerbeveiligingsbedrijf Madison Gurkha uit Eindhoven gaan proberen achter de politieke voorkeur van willekeurige Nederlanders te komen. Zo'n 4,7 miljoen mensen, bijna de helft van de kiezers, hebben bij de laatste Tweede-Kamerverkiezingen een advies gekregen van de Stemwijzer. En anders dan veel mensen denken, zitten die stemadviezen nog steeds in de databank van de Stemwijzer - gekoppeld aan het adres van de computer waarmee dat advies is aangevraagd. 
Omdat die computeradressen (ip-adressen) vaak zijn te herleiden tot individuen, zou een kraak van de Stemwijzer iets verraden over de politieke voorkeur van miljoenen Nederlanders.
Dat zou nogal een inbreuk op de privacy zijn. De inbraakpoging, in opdracht van de Volkskrant, is dan ook een symbolische aanval op al die bedrijven en instellingen die informatie van gebruikers opslaan zonder dat ze daarvoor waarschuwen. Niet alleen de bedrijven zelf maken van die informatie gebruik: ook voor derden kan die interessant zijn.
Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen waarschuwde twee maanden geleden expliciet voor de Stemwijzer, die feitelijk een soort spyware zou zijn. Zijn collega Wouter Teepe suggereerde zelfs dat de inlichtingendienst AIVD daarin geïnteresseerd kon zijn. De vraag was of je als kwaadwillende buitenstaander werkelijk bij die stemadviezen kan komen. Het Instituut voor Publiek en Politiek, beheerder van de Stemwijzer, stemde met de inbraakpoging in.
There is somebody at the door', klinkt een zwoele vrouwenstem. Die stem komt uit de computer van Van de Looy die verbonden is met een cameraatje bij de voordeur. 'Soms wil je liever niet opendoen', grinnikt hij. 'En het apparaat heeft ook een archieffunctie waardoor je kunt zien wie er bij de voordeur heeft rondgehangen.'
Beroepshackers zijn extreem gevoelig voor veiligheid. In de kamer staat een papiervernietiger waarin zelfs onschuldige kladjes worden vermalen tot een anonieme brei. Op het hoofdkantoor van Madison Gurkha in Eindhoven draait iedereen standaard de deur van zijn kantoor op slot als hij naar de wc gaat.
Er staat overigens niemand voor de deur. De camera is misleid. Schaduwen en zonlicht.
Van de Looy en Bos hebben in de vroege ochtend al het een en ander ontdekt. De Stemwijzer draait op een Apache server bij internetaanbieder xs4all en maakt geen gebruik van geheimtaal om daarmee te communiceren. Ze zijn er ook achter hoe de communicatie met die centrale computer verloopt.
Wie thuis de Stemwijzer invult, is niet steeds verbonden met die server. Het programma wordt eerst op de computer van de gebruiker gedownload. Pas als alle vragen zijn ingevuld en het stemadvies wordt gegeven, stuurt de computer een bericht terug naar de centrale server met de uitslag. Daar wordt het advies opgeslagen.
Nikto
Bos heeft het programma Nikto (Russisch: niemand) op de website losgelaten. Dat zoekt naar ingangen waarvan bekend is dat ze door buitenstaanders misbruikt kunnen worden. Zo toont het beeldscherm nu een lege pagina, maar Nikto maakt zichtbaar wat er eigenlijk staat: een inlogveld voor gastgebruikers die een wachtwoord kunnen aanvragen.
Een gaatje.
Om 10.30 uur vraagt Bos het wachtwoord aan. Dan leunt hij tevreden achterover. 'Zo, en nu wachten op een mailtje. Dan is het een kwestie van wroeten in het systeem en kijken of er iets loskomt.'
Na een half uur is dat mailtje er niet. Na een uur nog niet. Een tegenvaller. 'Als ze het e-mailsysteem hebben uitgezet, kunnen we natuurlijk lang wachten.'
Ondertussen start hij een ander programma dat alle adressen zichtbaar maakt waar een Stemwijzer-pagina naartoe linkt. Soms levert dat een nieuwe ingang op. Aan de andere kant van de tafel buigt Van de Looy zich over de mogelijke zwaktes in de boodschap die de Stemwijzer naar de gebruiker stuurt. Drieduizend regels javascript. Met een beetje geluk is daarin een verborgen achterdeur te vinden. Maar nee, concludeert hij al snel. 'Dat hebben ze goed voor elkaar.'
Na de koffie hebben ze zich ettelijke keren via de onzichtbare pagina aangemeld als gebruiker, maar nog steeds is er geen mailtje teruggekomen met een activeringscode. Dat is frustrerend. 'Eerst gebruiker worden, daarna proberen bij informatie te komen', dicteert Van de Looy voordat hij in het content management systeem van de website duikt. Ook die is soms kwetsbaar, maar hier gaat het om een op het eerste oog goed gemaakte versie van eZ Publish, constateert hij.
Dat is overigens informatie die het systeem niet zou mogen prijsgeven. Zodra je weet wélk systeem het is, kun je gericht zoeken naar zwakke punten. Maar nú komen ze er niet verder mee.
There is sombody at the door, lispelt de vrouw in de computer opnieuw. Dat klopt dus óók niet.
Nepmailtje
13.10 uur: Bos heeft een stukje URL-code gevonden van het mailtje dat hij dolgraag wil krijgen. Maar ontdekt dat het niet eenvoudig is om een nepmailtje te fabriceren waarmee hij zichzelf een gebruikersaccount zou kunnen bezorgen. 'Een van de broncodes bestaat uit het exacte tijdstip waarop de informatie wordt uitgewisseld met het systeem. Tot op de milliseconde. Dat is vrijwel niet na te maken.'
13.15 uur. Van de Looy constateert dat het niet opschiet. Hij heeft ruim driehonderd accountnamen gevonden en probeert logische wachtwoorden te raden. Zo'n simpele inbraakmethode werkt nog regelmatig. Maar hier dus niet. Hij overweegt brute force te gebruiken: een computerprogramma dat eindeloos wachtwoorden raadt en daarmee uiteindelijk vaak toch binnenkomt. Maar dan bedenkt hij zich wat anders en slaat zich letterlijk voor het hoofd.
'Fuck! De mailtjes worden door Madison gereject!'
De verlossende e-mails waarop ze al uren wachten, blijken wel te worden verstuurd. Maar ze worden tegengehouden door het strak afgestelde beveiligingssysteem van Madison Gurkha zelf. 'Dat komt zo: we krijgen een bericht dat afkomstig is van het ene ip-adres, dat van de Stemwijzer. Maar het wordt verstuurd via een ander ip-adres, dat van het Instituut van Publiek en Politiek. Dat vindt ons systeem niet leuk want zoiets duidt vaak op misbruik. Dus zet ons systeem zo'n mailtje op de spamlijst.' De kostbare wachtwoorden liggen al uren te sudderen in de spamlijst.
Ze krijgen er even lol in. Drie kwartier zijn ze als vlijtige inbrekers bezig sleutels te passen op elk sleutelgat dat ze vinden. Alleen ebt het plezier weg zodra blijkt dat de wachtwoorden weinig waard zijn. Ze zijn alleen bedoeld voor testgebruikers met weinig of geen bevoegdheden in het systeem.
15.55 uur: Bos: 'Je mag gewoon helemaal niks!'
16.30 uur: 'Het jij nog ideeën? Ik geef het voor vandaag even op.'
In totaal besteedt Madison Gurkha drie dagen aan de hackpoging. Daarbij worden enkele onvolkomenheden op de website van de Stemwijzer gevonden. Eén is de toegang voor onzichtbare gastgebruikers, een ander de mogelijkheid eindeloos wachtwoorden te raden. Dat zou eigenlijk niet moeten kunnen. Ook met de manier waarop de gebruiker informatie terugstuurt aan de Stemwijzer, zijn ze niet helemaal tevreden. Alle gegevens, inclusief het ip-adres, zitten daarbij verborgen in de URL die op de webserver wordt opgeslagen. Wie toegang heeft tot de acces logfile van de server, zou dat allemaal kunnen zien.
Maar er is géén verborgen achterdeur gevonden die het onbevoegden mogelijk maakt de politieke voorkeur van 4,7 miljoen Nederlanders te achterhalen. De Eindhovense aanvallen zijn gestrand op een taaie Amsterdamse verdediging. De Stemwijzer, erkennen de Gurkha's, is gewoon prima beveiligd. 'In tegenstelling tot PSV hebben wij onze meerdere dit keer moeten erkennen.'
Gerustgesteld
Nel van Dijk, directeur van het Instituut voor Publiek en Politiek (IPP), eigenaar van de Stemwijzer, is blij om de mislukte inbraak. Hoogleraar Bart Jacobs, die het mogelijke misbruik aan de kaak stelde, is 'in zekere zin gerustgesteld'. De stemvoorkeuren liggen dus niet op straat, concludeert hij. 'Maar het punt was ook dat ze gebruikers niet inlichtten over wat er met hun gegevens gebeurde.'
Inmiddels heeft het IPP dat veranderd. Op de website van de Stemwijzer is een waarschuwing geplaatst: 'Voor wetenschappelijk onderzoek zullen gegevens worden overgedragen aan de Koninklijke Nederlandse Akademie van Wetenschappen (KNAW). Daarbij worden uiteraard geen ip-adressen overgedragen.'
Die adressen worden voor overdracht aan de KNAW namelijk 'gehasht', zodat ze nooit meer te herleiden zijn tot individuele gebruikers. Om elk misbruik te voorkomen wil Van Dijk nog een stap verder gaan door de adressen meteen bij binnenkomst te verhaspelen. 'Bij de vorige vernieuwing zijn we daar door tijdgebrek niet aan toegekomen, maar voor de volgende Kamerverkiezingen is dat vrijwel zeker geregeld. We hoeven die ip-adressen niet, en begrijpen heel goed dat we ons kwetsbaar maken door ze wel op te slaan.'
Toch vindt ze het zeer de vraag of derden uit de stemadviezen een politieke voorkeur zouden kunnen afleiden. 'Mensen vullen de Stemwijzer op allerlei manieren in. Soms worden verschillende extreme keuzes uitgeprobeerd. En op één ip-adres kunnen heel veel mensen zitten. Ook daarom is het een spookverhaal, dat over die belangstelling van de AIVD.'
De nationale inlichtingendienst ontkent die belangstelling eveneens. 'Ik vond het heel jammer dat onze dienst erbij werd gehaald', zegt woordvoerster Miranda Havinga. 'Alsof wij geïnteresseerd zijn in die stemadviezen. Wat moeten we daarmee? De AIVD is er juist voor bescherming van de democratie. Dat is onze taakomschrijving. Het achterhalen van politieke voorkeuren voor democratische partijen hoort daar niet bij.'
En de CPN dan? De Communistische Partij Nederland was óók een democratische partij, maar tot in de jaren zeventig en tachtig heeft de voormalige BVD zich daar enorm mee bezig gehouden. 'Dat was toch niet zo erg?', zegt Van Dijk van de Stemwijzer. 'Dat was een andere tijd, toen was onze taakomschrijving anders', vindt Havinga.
Jacobs blijft wantrouwend. Hij wijst op nieuwe wetten die de overheid de mogelijkheid geven bij bedrijven allerlei gegevens te vorderen. 'Nu hangt het af van het beschavingsniveau of de ruimte die de wet biedt, wordt benut.'

LOAD-DATE: May 4, 2007

LANGUAGE: DUTCH; NEDERLANDS

NOTES: 'Dan is heteen kwestievan wroetenin het systeem en kijkenof er iets loskomt'; 12VeLi.

GRAPHIC: 05KE1open_ph01, Foto Michaël Ferron

PUBLICATION-TYPE: Krant


Copyright 2007 PCM Uitgevers B.V.
All Rights Reserved