“Het kraken is verder ondergronds gegaan”
Als ReDaTtAcK geraakte Frans Devaere in 1999 bekend en berucht als goedmenende hacker. Hij toonde aan hoe lek en onveilig het werken met de computer en internet is. Vandaag lijkt de computerkraker zelf gekraakt. Memoires van een moegestreden computerkrijger.
Ooit was hij Robin Hood in computerland, nu volgt hij de sector vanaf de zijlijn. We spreken af in Ronse, waar hij nog een betaalbare woning kon vinden. De vriendelijke man is kaalgeschoren, gebruind en ziet er hipper uit dan de nerd die zich eind augustus 1999 outte als Frans Devaere, IT-zakenman en goedmenende hacker. In de weken daarvoor beheerste hij het nieuws als ReDaTtAcK, een alias geïnspireerd door de sloten Red Bull die de toen 25-jarige yup dronk om nachtjes door te werken. Met verontrustend gemak had hij zich een gat gehackt in de computer van Skynet. Hij waarschuwde de internetprovider, maar die vond het inbraakrisico niet opwegen tegen de kosten om het systeem waterdicht te maken en stuurde Devaere wandelen. Verontwaardigd – en ook wel om zijn eigen bedrijfjes te hypen – trok hij onder de schuilnaam ReDaTtAcK en met een laptop vol Visanummers van Skynetklanten naar tv-omroep VTM. Toen journalist Kris Borgraeve hem vroeg of bestanden van banken ook zo makkelijk te kraken waren, toverde ReDaTtAcK binnen de week de transacties van Borgraeve bij Generale Bank tevoorschijn.
Het land was geschokt en reageerde verdeeld. Voor de ene moest de computercrimineel spoedig worden ontmaskerd. Voor de andere was ReDaTtAcK een welgekomen klokkenluider die ijverde voor het lot van argeloze burgers wier privacy te grabbel lag op de informatiesnelweg. Justitie pakte ReDaTtAcK op, maar moest hem bij gebrek aan bewijs laten gaan. Devaere krijgt eind 2000 een lichte straf wegens “het met bedrieglijk opzet kennis nemen van vertrouwelijke gegevens en het doorspelen daarvan aan derden”. Eind maart van dit jaar gaat hij vrijuit in de rechtszaak die in april 2001 begon na een klacht van gehackte bedrijven. Devaere zat toen een maand in voorhechtenis.
TRENDS. Klopt het dat het paswoord van de helpdesk bij de Generale Bank HLPDSK was?
FRANS DEVAERE (EX-COMSET, EX-DINWARE). “Ja. Paswoorden kraken, was geen probleem. Gewoon een kwestie van brute force attack: je neemt een digitaal woordenboek en laat alle woorden aanbieden als paswoord. Of je neemt een reeks karakters en de computer probeert constant andere combinaties uit. Normaal komt het IP-adres van je computer na enkele pogingen op een zwarte lijst ( nvdr – IP staat voor Internet Protocol, een uniek adres in de vorm van getallen waarmee een computer op het internet geïdentificeerd wordt). Maar ik heb die zwarte lijst met een klein programma onklaar gemaakt. De computer probeerde drie combinaties, wiste de zwarte lijst, probeerde drie nieuwe combinaties en zo verder.”
Had u dat zelf bedacht?
DEVAERE. “Elke informaticus kan dat.”
U bent er wel voor veroordeeld.
DEVAERE. “Ik moest één frank morele schadevergoeding betalen. Ze wilden me strenger straffen, maar de wet liet dat toen niet toe.”
Door de zaak-ReDaTtAcK kwam er een nieuwe wet voor computercriminaliteit. Dat werd u niet in dank afgenomen door het hackersmilieu.
DEVAERE. “Nee, ook omdat ik hun trucs verklapt had. Maar het is mij nooit om het hacken zelf te doen geweest. Ik hoorde niet bij die cultuur. De meeste hackers zijn jongeren van 16 tot 18 jaar. Ik had al twee computerbedrijven toen.”
Was u verongelijkt, met al uw goede bedoelingen?
DEVAERE. “Ik was verongelijkt, al kreeg ik ook sympathie van mensen in de straat. Onze klanten waren niet zo gelukkig. De wildste geruchten deden de ronde. Dat ik geld van rekeningen had gehaald en zo. De waarheid is dat die affaire mij financieel zeker niet beter heeft gemaakt. Sommige van onze klanten werden bang en haakten af. Ik heb door de naamsbekendheid ook nieuwe klanten aangetrokken, maar al bij al heb ik er meer verloren dan gewonnen. Nu, ik wist dat mijn activiteiten op het randje waren. Ik wilde vooruit in de business. Het gat in de veiligheid kon mijn gat in de markt worden. Toen Skynet me afwimpelde, was ik gefrustreerd en heb ik de zaak openbaar gemaakt, al had ik nooit gedacht dat het zo’n vaart zou lopen.”
In 2001 werd u opnieuw beschuldigd van computerfraude. Onlangs bent u vrijgesproken, maar uw carrière is naar de bliksem.
DEVAERE. “Klopt. Door de zaak-ReDaTtAcK kregen we vragen van bedrijven die wel eens wilden weten hoe zat het met hún computerveiligheid. Ik heb de bvba DinWare verkocht en de nv Comset is van IT-outsourcing overgeschakeld op internetsecurity. We mochten het computersysteem van klanten testen en maakten er een rapport over. Dat waren serieuze firma’s ( nvdr – onder meer verzekeraar Mercator Noordstar en internetprovider World Online). De budgetten waren ook serieus. We hebben vijf bedrijven getest en telkens zijn we binnengeraakt. Voor de oplossing moesten ze naar een netwerkspecialist. Wij wilden enkel een soort keuringsorgaan zijn en geen oplossingen verkopen, anders ben je rechter en partij.”
Hoe liepen de zaken?
DEVAERE. “Niet slecht in het begin. De naam ReDaTtAcK werd gecommercialiseerd. Er kwam een ReDaTtAcK-kledinglijn en er verschenen zelfs ReDaTtAcK-worstjes. Mij ging dat te ver. Ik heb de rechten op de naam ReDaTtAcK verkocht om meer geld in mijn computeractiviteiten te steken. We wilden héél België in kaart brengen qua computerveiligheid via portscans. Het plan was om aan te kloppen bij de computers van zoveel mogelijk firma’s en te kijken of de deur openging. Daarna contacteerden we de firma met de mededeling dat hun deur openstond en het voorstel om hun internetsecurity uit te besteden aan Comset. Een agressieve methode, maar niet illegaal. We wilden de grote vissen binnenhalen. Daarvoor hadden we meer geld nodig dan er beschikbaar was. Er moest een kapitaalsverhoging komen. (aarzelt) En nu moet ik opletten, want dit heeft te maken met de rechtszaak en ik heb geen zin in een nieuw proces. (valt even stil) Laat ons zeggen dat het fout liep met een zakenpartner, een verhaal van ongedekte cheques en valse beloften. We hadden dringend geld nodig en zouden worden overgenomen. Ik zou aandelen krijgen van de overnemer, maar uiteindelijk dreigde ik alleen achter te blijven in mijn bedrijfje dat in exclusieve opdracht van die overnemer securitychecks zou doen bij zijn klanten. Bij een schadeclaim was ík verantwoordelijk! Ik ben opgestapt, met slaande deuren. Ik ben naar mijn bedrijf gereden en heb mijn eigen pc’s meegenomen, die niet in de zaak zaten. Ik heb ook klacht ingediend wegens het uitschrijven van ongedekte cheques. Drie dagen later werd de politie gewaarschuwd dat een zekere P0lym0rph van plan was heel België plat te leggen ( nvdr – P0lym0rph was een schuilnaam waaronder Devaere informatie over hacking verspreidde). Als ze bij mij een huiszoeking deden, zou de politie rapporten vinden met gegevens van alle Belgische bedrijven.”
Een wraakactie?
DEVAERE. “Daar ben ik van overtuigd. Dat van die rapporten klopte natuurlijk, want we wáren bezig met die portscans. Toen bij de gerechtelijke diensten officieel klacht tegen mij werd ingediend, leek ik door mijn verleden als ReDaTtAcK al bij voorbaat veroordeeld. Destijds had de Federal Computer Crime Unit (FCCU) me niet kunnen doen boeten, dus deze keer waren ze extra gemotiveerd. Intussen waren er vijf bedrijven gehackt. Op hun websites stond: This site is hacked bij P0lym0rph. Die nickname werd misbruikt door iemand die mij volgens een uitgekiend plan een hak wilde zetten. Als ik echt bedrijven schade wilde toebrengen, had ik dat wel onder een andere schuilnaam gedaan en vanaf een internetaansluiting in een cybercafé of een hotelkamer. Het onderzoek heeft belangrijke feiten over het hoofd gezien. Zo is er een IP-adres van Skynet gevonden dat zogezegd van P0lym0rph kwam. Waar ik toen woonde, kon je niet eens Skynet krijgen, laat staan dat ik met mijn voorgeschiedenis Skynetklant wílde zijn. De zogezegde sporen van hacking op mijn eigen computer waren van de campagne naar al die bedrijven, maar dat was níet de computer met het bewuste Skynet-IP. Je kunt toch niet tegelijk A en B zeggen.”
U bent dan ook vrijgesproken, maar intussen …
DEVAERE. “… is mijn carrière kapot. Ik heb een maand vastgezeten. Intussen was mijn bedrijf failliet. Wie wilde nog met mij in zee? Als ik solliciteerde, kreeg ik te horen dat ik nog maar eens moest proberen als mijn zaak achter de rug was. Eind 2003 werd ik in eerste aanleg veroordeeld tot één jaar voorwaardelijk, 15.000 euro boete en 35.000 euro schadevergoeding. Ik ben in beroep gegaan en een paar weken geleden ben ik vrijgesproken. Ik maak me geen illusies meer over een nieuwe IT-carrière.”
Bekruipt u af en toe niet de zin om uw kennis nog eens te gebruiken?
DEVAERE. “Nee, dan heb ik een echtscheiding aan mijn been. Het heeft mij veel gekost. Geen werk al die jaren, advocatenkosten, in beslag genomen pc’s, … Die heb ik terug gekregen, nu ze niks meer waard zijn.”
Ooit vragen gekregen van malafide personen?
DEVAERE. “Tientallen. Er wordt grof geld geboden voor klantenbestanden van concurrenten. 25.000 euro, 50.000 euro … De gedupeerde komt het zelden te weten. Je hoeft ook niet altijd van buitenaf te hacken. Hoe moeilijk is het om een poetsvrouw te overtuigen een cd’tje in een bedrijfscomputer te stoppen, met een zelfstartend programma dat bestanden kopieert? Ooit kreeg ik een aanbieding van de Russische maffia. Ik moest ginder een jaar werken en ik zou rijk terugkomen. Rijk ja, en in een doodkist.”
Zijn er ondertussen andere hackers gekomen die de gaten in het systeem aan de kaak willen stellen?
DEVAERE. “Wie wil dat nog doen, na wat mij overkomen is? Het kraken is niet opgehouden. Het is verder ondergronds gegaan. We wéten het niet meer. De nieuwe wet laat niet toe dat goedmenende mensen veiligheidsproblemen aan het licht brengen. Dat was oorspronkelijk wel de bedoeling van de wetgever, maar het is anders uitgedraaid.”
Is het de moeite waard geweest? Zou u het opnieuw doen als u de klok kon terugdraaien?
DEVAERE. “De ReDaTtAcK-trip wel, die was leuk en goed. Ik ben ervoor veroordeeld, maar het was mijn keuze om aan dat verhaal te beginnen. Wat daarna gebeurd is, heb ik nooit gewild. Het heeft zes jaar lang mijn leven verpest.”
Marc Geenen
Fout opgemerkt of meer nieuws? Meld het hier