psst, gaatje kopen?

jurgen tiekstra ,

Tegenlicht onderzoekt de schimmige handel in digitale veiligheidslekken.

Illustratie: Leendert Masselink

VPRO Tegenlicht
NPO 2, 21.05-22.00 uur
 
Op het internet is de laatste jaren een levendige handel in digitale veiligheidslekken ontstaan. De hoofdprijs zijn de ‘zero days’: dit zijn door hackers opgespoorde gaten in de software van bedrijven als Microsoft of Google die nog niet door de ontwikkelaars zelf zijn opgemerkt. Hackers verdienen soms honderdduizenden euro’s als ze hun kennis hiervan verkopen.
 
Filmmaker Hans Busstra bracht voor Tegenlicht deze wereld in beeld. Hij reisde af naar Defcon, een van de grootste hackersconferenties ter wereld die jaarlijks plaatsvindt in Las Vegas. Daar sprak hij met onder anderen Charlie Miller, die beroemd werd door als eerste een iPhone te hacken. Maar ook Joshua Corman komt aan het woord, een hacker annex filosoof die de organisatie I Am The Cavalry oprichtte. ‘Hij wil hackers motiveren om het internet en software veiliger te maken,’ vertelt Busstra.Cormans organisatie werkt onder meer aan het beveiligen van auto’s, die dankzij de nieuwste technieken ook ‘hackbaar’ zijn geworden.
 
Heel simpel gezegd bestaan er ‘black hat’ en ‘white hat’ hackers in de wereld van de veiligheidslekken. De laatste groep bestaat uit hackers die hun vondsten doorgeven aan de betrokken bedrijven zelf. In Nederland verdiende de zeventienjarige Olivier Beg al duizenden dollars doordat hij zwakheden vond in de verdedigingslinies van Yahoo. Grote softwarebedrijven loven flinke beloningen uit om te voorkomen dat hackers hun explosieve kennis aan willekeurige derden doorverkopen. Juist dat doet een ‘black hat’: die verhandelt zijn lek aan de hoogste bieder.
 
Opvallend genoeg behoren overheidsinstanties tot de grootste opkopers van ‘zero days’, vertelt Busstra. Eén van de hackers die hij in Las Vegas sprak, gaf toe dat hij met de NSA heeft gehandeld. Inlichtingendiensten en cybercommando’s in het leger hebben veel geld over voor de vondsten van hackers. ‘Dat leidt tot de paradoxale situatie dat de overheid die onze veiligheid op het oog heeft, gebaat is bij een onveilig internet. Dat is een dubbel belang.’

De hackers zelf doen niks illegaals; de handel in lekken is niet verboden. Busstra: ‘We zijn daarom overgeleverd aan de ethiek van de hackers zelf.’