IT-security is een heel serieus vakgebied geworden, maar in de begindagen van computers en later internet waren de belangen niet zo groot. Misschien hebben we last van een selectief geheugen en zijn we iets te nostalgisch, maar de computerinbraken van de jaren 70, 80 en 90 leken... Onschuldiger? We spraken met mensen, zowel hackers als gehackten, voor deze terugblik.

1. Ongesaneerd geheugen

De nu legendarische professor en auteur Thomas P. Keenan moest ingrijpen tijdens een beveiligingsincident op de Canadese University of Calgary in 1972. "Elke nacht sloeg hij toe in het donker en hing hij afdrukken op van de gebruikersaccounts van de CDC 6400 van de universiteit, samen met de wachtwoorden en voorzien van de tekst: 'From the Missionary Unmasker!'"

"Door dumps en machinecode te lezen zag ik dat het wachtwoord - uiteraard onversleuteld - was opgeslagen in een geheugenlocatie 114 woorden na het eerste block en tussen sessies werd dit niet gewist. De 'Missionary Unmasker' sprak geheugenblocks aan om ze te vinden en nadat ik het probleem had gevonden, dichtte ik het gat. Later hoorde ik dat de dader de verveelde zoon van een decaan was."

2. Diskettebesmettingen

Toen het internet nog niet de belangrijkste aanvalsvector was, werden computerlaboratoria bedreigd door floppy's en diskettes. Frank Bradshaw, directeur van Ho'ike Technologies herinnert zich een voorval uit 1993. "Een collega op een computerlab op de universiteit deelde bestanden die hij via nieuwsgroepen had bemachtigd. Een daarvan was besmet met het Stoned.Monkey-bootsectorvirus."

"De collega installeerde door de school goedgekeurde software bij verschillende computerlabs. Hij gebruikte dezelfde diskette als de downloads om software te installeren en besmette 200 machines." De gevolgen waren rampzalig: "Elke machine moest opnieuw worden opgebouwd. En dit gebeurde drie weken voor de deadline voor scripties - in de tijd dat niet iedereen zich een pc kon veroorloven."

3. Schoolsystemen overnemen

Nu is hij CEO van een beveiligingsbedrijf, maar ooit kreeg Dave Cox toegang tot het schoolsysteem dankzij technische vaardigheden (hij schreef een volleybalspel dat ook een keylogger installeerde) en ouderwetse methoden (zijn stoel was vooraan in de klas en hij kon zien welk wachtwoord de docent intoetste).

Hij gebruikte zijn macht om klasgenoten betere cijfers te geven, eerst alleen mensen die in zwaar weer verkeerden, later voor geld. En hij voegde obscene bijnamen voor de docenten toe aan de splash-screens. Hij spoofte het MAC-adres van de op één na technisch vaardigste leerling, zodat die de schuld zou krijgen.

4. Inbelwraak

Nog een verhaal van Cox gaat over zijn bulletinboard (BBS) met de naam The Lake of Fire. Hij gebruikte zijn vaardigheden om een BBS-akkefietje uit te vechten. "Een BBS-eigenaar die de naam Ron Reefer gebruikte had een systeem met vijf modems om materiaal over hacken en anarchisme te verspreiden. Ron stal een BBS-server van een bevriende systeembeheerder."

"In die tijd betaalde je voor uitgaande en binnenkomende telefoontjes als je meer dan een specifiek aantal minuten er maand ging. Iedereen mocht de systeembeheerder en we ontdekten een manier om Rons BBS contact te laten leggen met externe nummers. Zijn vijf telefoonlijnen waren constant bezig en hij bouwde in drie maanden een rekening op van 14.000 dollar."

5. PBX-exploit

Amit Serper, nu beveiligingsonderzoeker bij Cybereason, herinnert zich dat hij in de jaren 90 lucht kreeg van een PBX-exploit. Daardoor kon je verbinding leggen met de telefooncentrale van een bedrijf dat een gratis nummer had. "Je belde eerst dat gratis nummer en draaide dan 1 als de verbinding werd gezocht net zolang tot je een beltoon kreeg. Mijn vrienden en ik maakten een lijst van gratis nummers en we belden ze allemaal om de exploit uit te proberen. Elke keer dat het werkte, gebruikten we het om in te bellen naar de ISP."

6. Gebrekkige fysieke beveiliging

Naïviteit ging in die tijd verder dan alleen onwetendheid over netwerkbeveiliging. Rick Tracy, nu CSO van Telos, moest de beveiliging testen van een online casino op een 'obscuur eilandje op de Caribische eilanden'. "Dat casino was in feite een collectie Unix-servers dat in een winkelpand van een klein winkelcentrum stond" en Tracy en zijn team zorgde voor stevige beveiliging.

Toen de klus was geklaard, haalden ze in het naastgelegen winkeltje wat frisdrank en zagen ze dat het systeemplafond daar direct doorliep naar het plafond van het casino. "Er waren geen bewegingsmelders of alarmsystemen. Alleen een waardeloos slot op de voordeur. Er was niets wat dieven ervan weerhield om via het plafond boven het winkeltje gewoon fysiek de servers te stelen."

7. Telnetten

Een lokale telefoonmaatschappij waar CISO Vickie Miller in dienst was, besloot begin jaren negentig op die internet-hype in te spelen door zichzelf te positioneren als ISP, al was het maar om het gebruik van telefoonlijnen beter te gelde te kunnen maken. Hun concurrentie kwam van een ISP die was opgericht door een universiteitsprofessor en een groepje studenten.

Volgens Miller hadden ze genoeg respect voor elkaar, maar op een dag kwam de concurrent met telnet binnen, werd het klantenbestand gedownload en met die lijst klanten ge-e-maild dat ze beter konden overstappen. Volgens Miller dacht de ISP aan terughacken, maar uiteindelijk werd alleen een boze brief geschreven. En de beveiliging verbeterd.

8. Hack voor erkenning

De jeugdige misstappen van Stephen Coty in de jaren 80, nu chef bij Alert Logic, waren relatief onschuldig. Zijn bootsectorvirus was gemaakt zodat besmette machines zijn naam presenteerden op het scherm. Of hij brak in bij mainframes om screenshots uit te wisselen met vrienden om te demonstreren dat het was gelukt. Of wardialen om te zien of er open modems waren om op in te breken.

Toentertijd waren deze acties vaak niet malafide bedoeld. Volgens Coty ging het om het ontdekken van wat computers en netwerken konden doen en als je iets bereikte, dan was dat een soort trofee. Veel van de beveiligingsincidenten die we in dit artikel bespreken gebeurden in die onderzoekende sfeer van de jaren 80.

Evolutie naar black hat

Maar Steve Manzuik, onderzoeksdirecteur bij Duo Security, heeft een wat cynischere kijk: "De slechteriken hadden nog niet door hoe ze hun vaardigheden te gelden konden maken." Misschien is het eerder dat mensen ophielden voor ze overgingen tot kwaadaardige acties.Coty stapte, net als een hele generatie van vroege hackers, over op het bedrijfsleven begin jaren 90.

Hij werkte bij financieel instituut Wells Fargo en stond er verbaasd van hoe makkelijk je jezelf toegang kon verlenen tot de systemen en de meeste dreigingen van binnenuit kwamen. Coty zag de evolutie naar malafide hacks gebeuren rond 1994, toen Russische criminelen computercriminaliteit ontdekten.

Mocht je geïnteresseerd zijn in dit computertijdperk, herken je vast de naam 'Jericho', legendarisch hacker en de man achter Attrition.org. Hij spreekt nu gewoon als Brian Martin en is een grondige verzamelaar van kwetsbaarheden. De video hieronder over meer dan 100 jaar kwetsbaarheden (ja, echt) is een aanrader en een PowerPoint vind je hier.