Elke seconde een ander adres

Herbert Blankesteijn

Een revolutionair systeem voor het beveiligen van computers is ontworpen door een ex-KGB-er, en het scheelde weinig of Amerika had de export om veiligheidsredenen verboden.

Op internet hebben computers zogeheten ip-adressen: nummers van viermaal drie cijfers. Wie met een modem internet, heeft een tijdelijk ip-nummer voor de duur van de sessie; met kabel of adsl heb je een permanent ip-adres. Hackers hebben programmaatjes die met grote groepen internetadressen tegelijk contact proberen te leggen. Zo'n scanprogramma kan een reeks ip-adressen (ip staat voor 'internet protocol') proberen, bijvoorbeeld van 123.123.123.000 tot en met 123.123.123.255. Computers die antwoord geven, worden nader onderzocht; er wordt bijvoorbeeld bekeken of er programma's op staan met bekende veiligheidslekken.

Firewalls als ZoneAlarm, Outpost en Tiny, die veel worden gebruikt door particulieren, kunnen zo worden ingesteld dat ze op dit soort scans geen antwoord geven. De hacker zal zijn aandacht geven aan andere computers die slechter zijn beschermd. Maar sommige computers moeten wel antwoorden. Dat geldt bijvoorbeeld voor computers die websites huisvesten, en voor bedrijfscomputers die moeten communiceren met medewerkers of vaste relaties buiten de deur.

In zo'n geval kun je de betreffende ip-nummers moeilijk geheim houden. Het ip-adres van de site van nrc is bijvoorbeeld 145.222.140.41. Wie in de adresbalk van zijn browser http:// 145.222.140.41 intikt, krijgt gewoon de site op zijn scherm. In de gangbare praktijk moet de firewall regelen wie er toegang krijgt tot welke data van binnen het bedrijf. Dat gaat meestal goed, maar toch is een computer met een vast ip-adres een 'sitting duck'. Een hacker kan zoveel en zovaak als hij wil aan de deur rammelen en er straffeloos allerlei gereedschappen op proberen.

Het Amerikaanse bedrijf Invicta heeft nu een beveiligingssysteem ontworpen dat volkomen anders werkt dan de bekende beveiligingssystemen. Als alle computers die met elkaar mogen communiceren om de haverklap van adres veranderen, op zo'n manier dat ze elkaars adreswijzigingen op voorhand weten, kan een hacker wel een keer aan de deur van een computer rammelen, maar als hij dat een seconde later weer probeert is het adres niet meer in gebruik, of hij vindt er een andere machine. De 'bevoegde' computers daarentegen kunnen elkaar feilloos vinden, dank zij een aangepaste netwerkkaart. Coderen van informatie is niet eens nodig en het regelen van de toegang met een firewall eigenlijk ook niet, omdat iedereen die niet op de hoogte is van de voortdurende adreswijzigingen, onherroepelijk het spoor bijster raakt.

InvisiLAN, zoals het systeem heet (LAN staat voor Local Area Network), is bedoeld voor het eigen netwerk van een bedrijf en niet zozeer voor het beveiligen van een website. In theorie zou het daarvoor wel gebruikt kunnen worden, aldus de importeur voor Nederland, het bedrijf Anarkey (www.anarkey.org). Volgens Anarkey is het systeem zo veilig, dat het van de National Security Agency (NSA) de hoogst denkbare beoordeling kreeg. Een lobby van concurrerende bedrijven zou getracht hebben het patent op de techniek tegen te houden, en de Amerikaanse overheid heeft geprobeerd met een rechtszaak de export van het product te verhinderen - overigens zonder succes.

De bedenker van InvisiLAN, Invicta-oprichter Victor Sheymov, is een vroegere topfunctionaris van de KGB, die in 1980 dank zij hulp van een CIA-collega naar het Westen heeft kunnen vluchten. Het is daarom ironisch dat juist de onmogelijkheid van afluisteren voor de Amerikanen een probleem was: omdat er geen sprake is van encryptie, kan er ook geen sleutel aan de overheid worden overhandigd zoals de Amerikaanse wet voorschrijft. Uiteindelijk bleek het ontbreken van encryptie doorslaggevend om de export toch toe te staan. Als je niks codeert kun je immers moeilijk onder de genoemde verplichting vallen. Maar van harte ging het niet. Waarmee zo'n oude KGB-er toch lekker staatsondermijnend bezig is.