Hoe hack je een forum?
Door NOS internet-expert Rachid Finge
De AIVD verzamelt databases van internetfora, blijkt uit een gelekt NSA-document dat NRC Handelsblad publiceerde. Maar wat betekent dat eigenlijk? En wat kun je met zo'n database?
Een open boek
Alle gegevens die je op een internetforum ziet, worden opgeslagen in een database. Denk bijvoorbeeld aan alle onderwerpen (topics) die worden besproken en de bijbehorende berichten en reacties van gebruikers.
Wanneer je een forum bezoekt, worden gegevens uit de database gehaald en op je scherm weergegeven. De software achter het forum moet ervoor zorgen dat alleen de opgevraagde gegevens uit de database komen, dus bijvoorbeeld alleen de berichten die bij een bepaald topic horen.
Hackers die bij de database van een forum willen komen, richten zich eigenlijk nauwelijks op de database zelf, maar juist op de forumsoftware. Als de beveiliging niet op orde is, kunnen ze de software manipuleren. Je krijgt dan niet alleen de benodigde gegevens, maar veel meer dan dat, mogelijk ook privé-gegevens. De database is dan een open boek.
De mogelijkheden
In de database zit meer dan alleen de net genoemde onderwerpen en berichten. Denk ook aan de e-mailadressen van de gebruikers, een versleutelde versie van hun wachtwoord en hun ip-adres. Internetfora bieden gebruikers bovendien de mogelijkheid om privéberichten naar elkaar te sturen, zonder dat anderen dat zien. Ook zulke berichten zitten in databases die de AIVD verzamelt.
Met iemands e-mailadres kun je al gauw meer te weten komen over de eigenaar, bijvoorbeeld door het e-mailadres op te zoeken in Google, Facebook of Twitter. Een ip-adres verraadt onder meer bij welke internetprovider je klant bent en vaak ook in welke gemeente je woont. En ook al zijn de wachtwoorden versleuteld; iemand met genoeg tijd en geld kan ze uiteindelijk achterhalen, zeker wanneer je een zwak wachtwoord gebruikt ('password'? '123456'?). Als je bedenkt dat veel mensen één wachtwoord op meerdere plekken gebruiken, dan is de kans groot dat het wachtwoord op een internetforum ook toegang geeft tot iemands e-mailaccount.
En wie weet wat voor pikants er te vinden is in privéberichten die forumgebruikers naar elkaar sturen...
De gegevens in de database van een forum zijn voor inlichtingendiensten dus op zichzelf al waardevol, maar zijn dus ook een vertrekpunt om nog meer over iemand te weten te komen.
Succes?
De vraag is hoe succesvol de inlichtingendiensten zijn in hun hackpogingen. Dat blijkt niet uit het NSA-document. Hackers zijn afhankelijk van beveiligingsproblemen en programmeerfouten. Fabrikanten van forumsoftware brengen regelmatig updates uit om zulke problemen op te lossen, maar dan moeten forumeigenaren de software wel regelmatig updaten.
Waarschijnlijk hebben inlichtingendiensten als de AIVD dus vooral succes wanneer forumeigenaren laks zijn met het updaten van de software.