Het internet zoals we het kennen ligt onder vuur. Niet alleen door stelende cybercriminelen en overijverige overheden, maar ook door uit de hand gelopen hackwerk. Met ‘dank’ aan LulzSec, een anonieme hackersgroepering die zelf ronduit toegeeft het alleen maar voor de fun te doen. Maar het is straks uit met de pret.

Een brug te ver

De leden van LulzSec kiezen hun doelen schijnbaar redelijk willekeurig. Waar ze een lek of gat tegenkomen, slaan ze toe. Of daar waar ze net toevallig zin in hebben om kwetsbaarheden en fouten te zoeken. Van tv-programma X-Factor en de rechtse nieuwszender Fox tot de Amerikaanse publieke omroep PBS en pornosite Pron.com.

En volgde de PBS-kraak nog op een uitzending over Wikileaks, enig idealisme of ideologie is de LulzSec’ers toch echt vreemd. Ook het pakken van Sony - platenlabel Sony BMG en filmmaatschappij Sony Pictures - kun je misvatten als daad van verzet tegen een grote machtige corporatie, die zo onderhand de meestgehackte organisatie ooit is. Die hack heeft dus inderdaad wel een zweem van wrange humor.

Maar LulzSec heeft ook de CIA, FBI en de Amerikaanse Senaat te grazen genomen. Dat is en brug te ver. Zeker, de los-vaste hackergroepering Anonymous heeft het ook gewaagd om grote doelen op de korrel te nemen, zoals Mastercard, Visa, Amazon, PayPal, het Nederlandse Openbaar Ministerie, de Spaanse politie en het Amerikaanse beveiligingsbedrijf HBGary Federal, adviseur van de Bank of America én security-hofleverancier voor de Amerikaanse overheid.

Op Anonymous wordt al flink gejaagd. Terwijl dat slechts DDoS-aanvallen uitvoerde, wat je ook kunt zien als modern protesteren, zoals vroeger een hippie sit-in. En dat laatste is geen hippiegedachte, maar de mening van de coördinator cyber-security van het Witte Huis. Maar echt inbreken bij de sterke arm der wet (FBI), bij de geheime dienst (CIA) en bij het politieke overheidsorgaan (de Senaat), dat valt verkeerd. We voorspellen het: er komt een crackdown op hackers, in het algemeen.

Hackers = hooligans

De anonieme LulzSec-leden zijn daarbij eigenlijk niet eens echte hackers. Ze zeggen zelf al dat ze het puur en alleen doen voor de lol. Om de saaie werkweek, het hele saaie jaar, op te leuken. Maar ondertussen zitten nerds, geeks, techneuten, ict’ers, programmeurs, developers, enzovoorts al jaren met het stigma dat hackers gelijk worden gesteld aan crackers.

En dat laatste wordt dan bedoeld in de meest negatieve zin van het woord: virusschrijvers, malwaremakers, digitale dieven, cybercrooks, afpersers, enzovoorts. Hackers klagen er al jaren over dat mensen - en de media - 'hacken' zeggen, terwijl het om cracken gaat. Hacken is namelijk het uitvogelen, besnuffelen, aftasten, decoderen, reverse engineeren en tweaken, modden, omcoden van technische zaken.

Met de acties van LulzSec vindt echter de ultieme degradatie van ‘hacken’ plaats: het wordt gezien als vandalisme. Het mag dan virtueel vandalisme zijn, maar daardoor is het zeker niet minder echt of erg. De hackers van LulzSec vernielen bushokjes, gooien ruiten in, steken auto’s in de fik. Dat levert ze steeds minder sympathie op.

Stelen van digibeten

Die trieste invulling van ‘hacken’ wordt nog eens versterkt doordat LulzSec gestolen databases met logins openlijk vrijgeeft en anderen opjut daarmee aan de gang te gaan. Die oproep heeft al geleid tot triomfantelijke tweets dat Amazon-accounts van omaatjes zijn gekaapt, om bulkverpakkingen condooms te bestellen en laten bezorgen bij die slachtoffers. Of om gloednieuwe iPhones te bestellen, met spoedbezorging.

Natuurlijk, dit zijn domme digibeten die overal - of in ieder geval bij te veel sites - hetzelfde wachtwoord gebruiken. Maar het gaat te ver om ze daarvoor te straffen door duizenden dollars te stelen en door flauwe bestellingen in hun naam en op hun adres te doen. En de schade is niet alleen in dollars, maar ook in ponden en in euro’s, ook in Nederland.

Webwereld heeft de Nederlandse slachtoffers van de jongste LulzSec-datadump geïnformeerd en kreeg vervolgens een geschrokken gebruiker aan de lijn. Het was een zenuwarts die overal online dezelfde inlogcombinatie gebruikt, om “het zo simpel mogelijk te houden”, en die nu abracadabra ziet gebeuren, met onder meer zijn PayPal-account.

Gamers pakken

Het begon met Sony, wat je kunt zien als grote ‘evil corporation’, die eerlijke, betalende PlayStation3-gebruikers steeds meer zaken ontneemt. Sony ontnam klanten bijvoorbeeld abrupt de optie om Linux te draaien op hun fraaie gameconsole. Sony stelt alles in het werk om gebruikers te weerhouden om hun eigen programmeerwerk en maaksels (homebrew) van andere enthousiastelingen te draaien. Het bedrijf spant rechtszaken aan tegen hackers en het gebruikt sleepnettactieken voor YouTube-kijkers en -commentators.

Maar na ‘het grote boze Sony’ volgden het kind- en familievriendelijke Nintendo, en de kleine game-maker Bethesda. Dat is in de ogen van veel gamers een neergaande lijn. Die gamers kunnen best een hekel hebben aan Sony of aan game-moloch Electronic Arts, maar Nintendo en Bethesda zien ze niet echt als ‘evil’.

Sterker nog, veel hackers, scriptkiddies, maar ook techneuten en hacktivisten zijn zelf vaak zelf gamers of gaan om met gamers. LulzSec pakt dus ook de eigen achterban. Niet slim.

Paniekreactie

Maar met hun acties kaarten de hackers van LulzSack de onveiligheid aan. Ze drukken gebruikers en beheerders met hun neus op de mogelijke gevolgen als ze hun zaakjes niet goed beveiligen. Zo wordt LulzSack nog vaak goedgepraat. Maar laten we eerlijk zijn, wat helpt het nou allemaal eigenlijk, wat security betreft? Het antwoord is beangstigend simpel: het helpt nauwelijks. Alleen de gedupeerden zelf doen wat aan de beveiliging. De getroffen websites gaan nu toch maar eens die wachtwoorden versleutelen. Gekraakte bedrijven doen aangifte.

En de gewone gebruiker? Die schrikt zich alleen maar kapot, reset wat wachtwoorden (en vergeet ze vrijwel direct), schaft misschien dubbele antiviruspakketten aan (‘nu met extragratis advanced identity-hackevasion techniques’) en gaat voortaan helemaal bibberend het enge internet op. Is dat nou een resultaat is om trots op te zijn?

Diezelfde gewone gebruiker zal nu meer dan ooit vóór harde maatregelen zijn, tegen die boze boeven. De ‘zware jongens’ op internet moeten maar eens aangepakt worden. En daarmee wordt de cybercrime-hype alsnog bevestigd.

Ruim baan dreigt voor de vergaande voorstellen van digibete politici, voor de veelomvattende verdragen tegen piraterij en andere cybercrime, voor meer bevoegdheden van de cyberpolitie, voor de Amerikaanse klopjacht op onder andere Nederlandse hackers, voor de bizarre ideeën van overheidsadviseurs, en voor wetsvoorstellen om hackers én slachtoffers te mogen hacken.