Het nieuwjaarscadeau van journalisten voor Nederland
Portretten van bouwers en pioniers
Een witte computerkraker
door Michiel van Blommestein
Noem Joanna Rutkowska geen hacker. De Poolse computerexpert kraakt besturingssystemen in het belang van het onderzoek, omdat in haar ogen alle computers onveilig zijn – met alle risico’s van dien. Joanna werkt aan een gratis besturingssysteem dat het denken over computers moet veranderen.
Hackers roepen bepaalde associaties op: jongens (het zijn bijna altijd jongens) met te veel tijd om handen, die uit baldadigheid digitaal vandalisme plegen. Ze bekladden websites van anderen – hoe prominenter, hoe beter – en verspreiden virussen om systemen plat te leggen.Joanna Rutkowska pakt het helemaal anders aan. De 30-jarige Poolse behoort in deze wereld tot de absolute top. Ze kraakte in 2006 vanuit huis het toen gloednieuwe besturingssysteem Windows Vista. Maar ze houdt van zakelijk, zonder poespas, en vooral van ethisch. Ze hanteert geen online schuilnaam, wat veel hackers wel doen.
In het jargon is Rutkowska een zogenaamde white hat-hacker: een ethische hacker die, meestal in zijn of haar vrije tijd, zoekt naar kwetsbaarheden in software, computersystemen en netwerken. Anders dan hun tegenhangers (de black hats) gebruiken ze deze vaardigheden en kennis niet voor eigen gewin of vandalistische avonturen. In plaats daarvan waarschuwen ze de maker van het systeem zodra ze hebben ingebroken, om hun tijd te geven met een oplossing te komen. Daarna wordt tot publicatie van het hacksucces overgegaan, om ervan te leren.
Invisible Things Labs
Voor het bedrijf van Joanna Rutkowska, Invisible Things Labs, werken twee mensen. Langskomen kan niet. Het is niet dat Rutkowska geen pottenkijkers duldt of mensenschuw is. Invisible Things Labs heeft domweg geen fysiek kantoor. Zakelijke afspraken maakt ze in restaurants, liefst waar sushi wordt geserveerd. Rutkowska ziet niet echt het nut van een kantooromgeving in. “Vaak wordt gezegd dat mensen thuis te veel afleidingen hebben, maar ik ben het daar niet mee eens”, zegt ze na een lange denkpauze die een analytische geest verraadt. “Op kantoor heb je er minstens evenveel afleidingen, misschien zelfs meer.”
Computercriminaliteit kan grote gevolgen hebben. De meest gevoelige gegevens staan digitaal opgeslagen. Een zwakke plek kan betekenen dat de bankgegevens van soms miljoenen mensen voor het oprapen liggen. Eén goedgeplaatste aanval kan een elektriciteitscentrale platleggen. Recent heeft de computerworm Stuxnet in Iran aangetoond dat zelfs kerncentrales niet veilig zijn. In Nederland wankelt deze dagen de OV-chipkaart door ondermaatse beveiliging. Op internet is er een levendige, ondergrondse handel in creditcardgegevens.
Rutkowska wil dit alles juist helpen voorkomen. Ze walgt van het woord hacker. Ze noemt zichzelf consequent onderzoeker. “Als onderzoeker dien je ethisch te werk te gaan”, zegt ze. “Je kunt het niet maken om je vindingen zomaar te publiceren. Te veel mensen kunnen daarvan de dupe worden.”
Mensen die misbruik maken van hun hackersvaardigheden, zijn voor Rutkowska niets meer dan criminelen. Maar ook niet alle white hats kunnen Rutkowskas goedkeuring wegdragen. “Sommigen noemen zichzelf white hat, maar doen niet meer dan het jagen op fouten in programma’s die kunnen worden uitgebuit. Voor hen is de kick belangrijker dan het onderzoek.”
Blue Pill
Haar eerste computer kreeg Rutkowska relatief laat, net als vrijwel alle whizzkids uit het voormalige Oostblok. Ze was elf toen bij haar thuis een voor die tijd al ouderwetse MS-DOS-computer kwam te staan. “Ik was altijd nieuwsgierig ingesteld. Altijd moet ik overal iets van weten en alles tot de bodem uitzoeken”, zegt Rutkowska. Het resulteerde in een studie informatica in Warschau, de stad waar ze opgroeide en nog altijd woont. Tijdens haar studie raakte Rutkowska geïnteresseerd in besturingssystemen, en in het bijzonder de manier waarop die de onderliggende apparatuur aanstuurt. Ze groeide uit tot een absolute expert op dit gebied.
Rutkowska’s ster begint pas te rijzen vanaf 2006. Ze publiceert een onderzoek, geheel belangeloos, over een groot beveiligingsprobleem in het dan gloednieuwe besturingssysteem Windows Vista. Een door haar geschreven programma, een rootkit, nestelt zich zodanig in het systeem dat Windows – het meest gebruikte besturingssysteem ter wereld – het niet in de gaten heeft. Alle handelingen van gebruikers, waaronder ingegeven wachtwoorden, konden zo worden onderschept en doorgestuurd naar de aanvaller.
Ze doopt haar rootkit Blue Pill, een verwijzing naar een scène in de film The Matrix: het besturingssysteem wordt in de waan gehouden dat alles in orde is, maar valt onder de complete controle van de hacker. Blue Pill veroorzaakt een schokgolf. Tot op de dag van vandaag worden Rutkowska’s methoden besproken in beveiligingskringen.
Online
Rutkowska liep in het begin conferenties plat, maar blijft de laatste twee tot drie jaar uit de schijnwerpers. “Ik ben eerlijk gezegd niet zo gek op reizen”, zegt ze. Ze introduceerde daarom een spreektarief om een drempel op te werpen. Ook weigert Rutkowska principieel elk bezoek aan landen waar mensenrechten, en in het bijzonder rechten van vrouwen, in haar ogen niet worden gerespecteerd. Sindsdien heeft ze maar weinig uitnodigingen gehad. “Alles wat ik doe, publiceer ik online. Dat is voor mij meer dan genoeg. Het onderzoek hoort op de eerste plaats te staan.”
Invisible Things Lab haalt inkomsten uit onderzoek dat in opdracht wordt uitgevoerd; meestal gaat het om een soft- of hardwareleverancier die zijn producten wil laten testen. Maar voor onderzoek op eigen houtje krijgt Rutkowska niet betaald – en het is juist dat soort onderzoek waarbij de belangrijke kwetsbaarheden worden blootgelegd.
Eigen besturingssysteem
Ze werkt er niet minder om: regelmatig publiceert Rutkowska nieuwe manieren om besturingssystemen aan te vallen. Ondertussen is ze kind aan huis bij Microsoft en Intel, de grootste chipfabrikant op aarde. Daarnaast is ze al een paar jaar bezig met het schrijven van een eigen besturingssysteem: Qubes. Dit jaar moet het afkomen.
“De huidige besturingssystemen werken allemaal met een zogenaamde monolithische kernel”, legt Rutkowska uit. “Dat is intrinsiek onveilig, omdat elk programma, ook al is het een stom Tetrisspelletje, toegang verleent tot de kern van de computer.”
Haar besturingssysteem Qubes is open source: iedereen die wil kan het kosteloos gebruiken en aanpassen. Maar hoewel het gratis is, ziet Rutkowska het niet als liefdadigheid. “Het besturingssysteem is bedoeld voor bedrijven en overheden, waar veiligheid van het grootste belang is. Qubes zal altijd gratis zijn, maar wellicht dat we in de toekomst extensies om bijvoorbeeld Windowsprogramma’s op dit besturingssysteem te draaien, wel betaald maken.”
Uiteindelijk, zo wil Rutkowska bewijzen, moet het hele ontwerp van moderne besturingssystemen op de schop. “Het is de mindset die moet veranderen. Dat zie ik niet zo snel gebeuren, al doet Intel wel veel om veiligheid te krijgen op het niveau van de chips en controllers. Ik hoop dat Qubes in elk geval een aanzet geeft.”
Laatste reacties (2)
Goed dat er mensen zijn die deze zaken aan de kaak stellen.
Super vrouw. Ze combineert onderzoek in de ICT met een passie om de wereld op dat punt te verbeteren. En juist op het gebied van ICT is er nog veel te verbeteren. We maken ons op alle manieren afhankelijk van netwerken en software, terwijl de techniek zelf nog in haar kinderschoenen staat. Met het ondoordacht toepassen van ict maken we de samenleving onnodig kwetsbaar. Dank voor het heldere artikel dat het onderwerp zoveel dichterbij brengt.
Waar
Wie
