"Het internet veilig? Niets is minder waar"

Nico Cool kon pakjes onderscheppen die niet voor hem bestemd waren.
Foto Copyright: Geert De Rycke Nico Cool kon pakjes onderscheppen die niet voor hem bestemd waren.
Het jaar is nog maar twee maanden oud en toch legde hacker Nico Cool (43), uit Dendermonde, al twee online veiligheidslekken bloot bij twee grote spelers: Bpost en De Nationale Loterij. Hij ontdekte dat je zonder moeite een pakje van een ander kon onderscheppen en dat je in andermans naam naar hartenlust kon gokken. Nico is al twintig jaar een man met een missie: "We denken dat het internet een veilige plek is, maar niets is minder waar."

Twee grote Belgische merken kregen begin dit jaar het schaamrood op de wangen. In januari ontdekte Nico Cool dat jongeren onder de 18 jaar het verbod op gokken makkelijk konden omzeilen met een vals account en een fictief rijksregisternummer. Een maand later was het de beurt aan Bpost. Je kon zowaar met iemands naam in combinatie met een frauduleus e-mailadres anoniem pakjes te stelen.

Waren ze blij bij Bpost en de Nationale Loterij dat je een veiligheidslek had ontdekt?

"Ze reageerden nogal verschillend. Wanneer je als hacker een lek vindt, dan is het de normale gang van zaken dat je het bedrijf op de hoogte brengt. Zeker bij Bpost was het contact moeizaam. Ik heb het bedrijf wel tien keer proberen te bereiken via de helpdesk, maar dat leidde tot niets. Dan ben ik naar het postkantoor gestapt in Dendermonde, maar daar ben ik afgescheept. Pas daarna ben ik ermee naar de pers gestapt. Zelfs nu nog heb ik geen enkele telefoon gekregen om het mankement te bespreken. Hoeveel IT'ers werken daar? Honderden? Maar nog niemand die mij komen zeggen is: tof gezien. Als een hacker in het buitenland zo'n lek vindt, dan geven bedrijven daar beloningen voor."

Zijn alle bedrijven dan zo laks?

"De Nationale Loterij was bijvoorbeeld veel constructiever. Dat lek was zaterdag in het nieuws en zondagochtend kreeg ik al een van de bazen aan de lijn om te zeggen dat het een spijtige zaak is, maar dat het lek gelukkig is ontdekt en dat we samen eens moeten gaan eten om te bespreken hoe zo'n probleem in de toekomst voorkomen kan worden."

"Weet je, eigenlijk vind ik veiligheidslekken altijd vrij toevallig. Ik wou een pakje bestellen via Bpost en testte eerst of dat wel veilig was. Niet dus. En het lek bij de Nationale Loterij vond ik toen ik eens wou meespelen op de Lotto."

Nico Cool is een computerspecialist met een missie?

"Ja! In de jaren '90 startte al wie met computers bezig was een eigen zaak. Veel van die winkels zijn ondertussen alweer verdwenen omdat alles op internet kan worden besteld. Ik ben een andere richting uitgegaan. Neem nu het bankwezen en de sluiting van loketten: wanneer geldverrichtingen meer en meer online gebeuren, dan volgt de criminaliteit. Privacy, vertrouwelijke info én geld kunnen gestolen worden. Systemen worden immers door mensen gemaakt en zijn dus niet waterdicht. Een ander voorbeeld: jongeren mogen wettelijk geen drank of sigaretten kopen. Dat verbod zou ook op het internet moeten gelden, maar daar zijn we nog lang niet aan toe. Eigenlijk zouden we al een eind opschieten als iedereen verplicht wordt om zich met zijn ID-kaart op internet te identificeren. En ik pleit ook voor een meldpunt bij de overheid wanneer iemand een veiligheidslek kan blootleggen. Voor de Europese Unie heb ik in het kader van veiligheid op het internet al meegewerkt aan een sensibiliseringscampagne en ben ik te zien in een campagnefilmpje dat in alle Europese landen wordt verspreid."

Je haalt ook regelmatig de media...

"Ik hoef heus niet altijd in het nieuws te komen met wat ik doe. Zo kwam er eens een vader bij mij met zijn kapotte computer waarop alle foto's en filmpjes van zijn overleden kind stonden. Die man zat in zak en as. Nadat ik erin geslaagd was om alle video's en foto's te recuperen, en ik een van die filmpjes opzette, waren de emoties en de dankbaarheid van die man enorm groot."

"Ik haalde voor het eerst de krant toen ik voor weerman en streekgenoot Eddy De Mey een handige tool had gemaakt waarmee hij zijn weerbericht eenvoudig kon doorsturen naar Het Laatste Nieuws. Het was de tijd voor de e-mail en de beginperiode van het internet en Eddy stuurde zijn weerkaarten nog elke dag en tegen beter weten in door met zijn ouderwets faxapparaat."

Een getalenteerde hacker kan eigenlijk elk apparaat manipuleren?

"De mogelijkheden maar ook de misbruiken door internet zijn eigenlijk oneindig. Door de domotica van je buren te hacken, kan je vanachter je computer zomaar hun garagepoort openen en sluiten. Of je kan kan de zonnepanelen van een concurrerend bedrijf uitschakelen. Maar hacken betekent voor mij vooral het vinden van een fout in het systeem. Het veiligheidslek bij Bpost is daar een goed voorbeeld van. Het is niet dat ik ergens ben binnengebroken. Het was gewoon logisch nadenken en de vraag durven stellen: kunnen malafide personen pakjes al dan niet onderscheppen en zo ja, hoe?"

Je toonde zelfs aan dat verkiezingspeilingen onbetrouwbaar zijn. Het is een verkiezingsjaar, hoe zit dat nu weer?

"Mensen kunnen stemmen op een verkiezingspoll op internet en die poll registreert dan je IP-adres. Met die computer kan je dan normaal gezien niet meer stemmen. Maar als je een Tor-browser gebruikt die je IP-adres verbergt, dan kan je eindeloos blijven stemmen voor jouw favoriete partij. Zo kunnen polls in een handomdraai gemanipuleerd worden."