NEDE RLA N D
C OM PUTERMI SDAAD
Gevaarlijke hackers
ZE BREKEN IN OP COMPUTERS, ONTFUTSELEN BANKGEGEVENS EN LEGGEN WEBSITES LAM. UW COMPUTER IS HUN INSTRUMENT. WAT KAN DE HACKER? Criminelen hebben het hacken ontdekt. Patiëntendossiers, creditcardgegevens, inlogcodes; niets is veilig. Bijna de helft van de computers in Nederland bevat programma’s waarmee hackers de besturing kunnen overnemen. Banken en bedrijven spenderen miljarden aan beveiliging, maar gepakt worden de hackers bijna nooit. Laura Wismans Illustraties Carolyn Ridsdale
E
en website platleggen kan met een paar drukken op de knop. Hacker Ron wil het wel even laten zien. ‘Kijk, vanaf hier kan ik duizenden computers tegelijkertijd besturen. Ik kan ze allerlei opdrachten geven.’ Ron (niet zijn echte naam) heeft een pro-
14
• EL S E V I E R 20 AUGUSTUS 2011
gramma op zijn computer staan waarmee hij een groep van computers op afstand kan besturen, een botnet. Op deze computers is foute software, malware in jargon, geïnstalleerd die dit mogelijk maakt. Eerder heeft Ron de foute software verbonden met een bestand waarmee computergebruikers een gewild computerprogramma, zoals fotobewerker Photoshop, gratis kunnen
downloaden. Virusscanners zien de foute software die ze tegelijk downloaden niet en die kan zich zo ongemerkt in de computer nestelen. ‘Hier kan ik aangeven hoeveel computers er mee moeten doen, en hier naar welke site ze moeten gaan,’ wijst Ron. Als er vierduizend computers tegelijkertijd tegen een site gaan ‘praten’, dan raakt de server waarop de
OMSLAGARTIKE L NEDERLAND
Hackerterminologie Internationaal hackersjargon van Anonymous tot spyware Anonymous Collectief van hackers dat voornamelijk websites van overheden en bedrijven platlegt onder het mom van de strijd voor internetvrijheid. Botnet Een groep computers die door een hacker op afstand wordt bestuurd. DDoS-aanval Een aanval waarbij een botnet wordt ingezet die zo veel tegen een website ‘praat’ dat de server van de website het niet langer aankan en de website onbereikbaar wordt. LulzSec Hackerscollectief dat privégegevens van personen hackt om daarmee lekken in de beveiliging ‘aan de kaak te stellen’. Malware Foute software, die door hackers is gemaakt om computers te bespioneren of op afstand te besturen. Phishing Het via spyware stelen van bankgegevens om geld van rekeningen te halen. Server Een computer waarop een website of botnet draait. Hoe groter een server is, hoe meer bezoekers een website aankan. Spear engineering Het per e-mail persoonlijk benaderen van een computergebruiker om malware te installeren. Spyware Soort malware waarmee een hacker kan zien welke toetsen een computergebruiker aanslaat.
Hoe maakt u het hackers moeilijk? Tips om u te beschermen. Volledige beveiliging bestaat niet
van Photoshop of Word zetten ze, zonder het te merken, foute software op hun computer. Vooral programma’s om de codes te maken die voor het activeren van de softijna de helft van de Nederlandse com- ware nodig zijn, zijn gevaarlijk. puters is besmet met foute software, • Gebruik minder gangbare software; malware. Deze foute software maakt het hackers richten zich op veelgebruikte promogelijk dat hackers op afstand de computer besturen of bespioneren wat de gebruiker allemaal doet. Ook worden er virussen verspreid om schade in computers aan te richten. Het is heel lastig om een computer volledig te beveiligen. ‘Misschien wel onmogelijk,’ zegt Jeroen Herlaar van computerbeveiligingsbedrijf Fox-IT uit Delft. Hoe maakt u de kans op besmetting van uw computer zo klein mogelijk? • Koop legale software. Veel computergebruikers downloaden illegale software, zodat ze niet voor een programma hoeven te betalen. Maar tegelijk met een ‘gratis’ versie
B
gramma’s. De kans dat de browser Internet Explorer wordt besmet, is groter dan bij een kleinere browser als Google Chrome. • Update software en virusscanner regelmatig. Oude versies van bijvoorbeeld Windows zijn minder goed beschermd. Een geüpdate versie van een virusscanner is geen garantie dat er geen foute software op de computer kan komen, maar is altijd beter dan een verouderde editie. • Open geen bijlagen bij e-mails en klik niet op links in e-mails die u niet volledig vertrouwt. Bij het openen van een bijlage of het klikken op een link kan tegelijk onzichtbare software worden geïnstalleerd. Vaak sturen hackers e-mails die eruitzien alsof ze van betrouwbare instanties komen, wees daar beducht voor. • Bezoek geen malafide websites, zoals sekswebsites of schimmige goksites. Het niet bezoeken van zulke sites is geen garantie dat uw computer niet wordt besmet met foute software, ook (delen van) grote nieuwssites kunnen besmet zijn. Maar schimmige sites zijn dat wel vaker. ELSEVI ER 20 AUGUSTUS 2011
• 15
NEDE RLA N D O M S L AG A R T I K E L
site staat, overbelast. Binnen tien minuten is de website dan onbereikbaar geworden. Ron zet de laatste druk op de knop – ten aanval! – nu niet door. Hackers van de hackergroepen Anonymous en LulzSec, die recent websites van overheden (onder meer Syrië en Verenigde Staten) en bedrijven (onder meer Sony en PayPal) uit de lucht haalden, deden dat wel. De Rabobank werd afgelopen mei ook op deze manier aangevallen. Van hackers bestaat het romantische beeld dat het zestienjarige jongens zijn die nachtenlang op hun zolderkamer achter hun computer zitten en in hun eentje de grootste bedrijven lamleggen. In werkelijkheid zijn het vooral doorgewinterde criminelen die zich bezighouden met cybercriminaliteit: aanvallen op banken, stelen van grote databases, (bedrijfs)spionage en afpersing. Er gaat veel geld in om. De jonge jongens zijn er ook, maar vaak houden zij zich bezig met activistische activiteiten, zoals de hackersgroep Anonymous, of willen zij slechte beveiliging ‘aan de kaak stellen’. Dit laatste was de drijfveer van de hackers van LulzSec. Groot geld De computermisdaad groeit enorm, cijfers laten zien dat de ‘traditionele’ criminelen de overstap naar cybercriminaliteit maken. ‘Gewone’ diefstal en afpersing nemen af, terwijl cybercriminaliteit in 2010 ten opzichte van 2009 met meer dan 19 procent toenam. Met phishing verdienen criminelen het meeste geld (zie ook ‘Hoe plundert internetcrimineel bankrekening?’ op pagina 17). Daarbij worden inloggegevens van klanten
van banken losgepeuterd door spionageprogramma’s, spyware, mee te laten kijken als klanten inloggen op de website van hun bank of door e-mails te sturen met daarin een link naar een site die de crimineel beheert. De klant tikt zijn inloggegevens in, waarna die bij de hacker terechtkomen. De hacker voert die informatie vervolgens in op de website van de bank en boekt het saldo van het slachtoffer via een tussenpersoon over naar een anonieme bankrekening in bijvoorbeeld Pakistan. Het geld van de anonieme rekening zet de hacker vervolgens in op online-pokersites, waar het ‘verloren’ wordt aan een van zijn vrienden, die het dan weer op de rekening van de hacker stort. Behalve door phishing, lijden banken en andere bedrijven veel schade door zogeheten DDoS-aanvallen. DDoS staat voor distributed denial of service. Dit is een aanval met op afstand bestuurbare computers, zoals hacker Ron die demonstreerde (zie ‘Hoe schakelen hackers websites uit?’ op pagina 18). Als sites van banken door zulke aanvallen onbereikbaar zijn, kost hen dat veel geld. Er kunnen dan een tijd lang geen geldtransacties worden uitgevoerd. Niet vreemd dus dat criminelen ook nog geld verdienen met afpersing. Ze dreigen een DDoS-aanval uit te voeren, tenzij er een fiks bedrag wordt betaald. Niet alleen banken hebben daar last van, maar ook andere bedrijven die afhankelijk zijn van hun websites, zoals internetwinkels. Bij Britse wedkantoren wordt voor een grote wedstrijd geregeld gedreigd de site uit de lucht te halen, zodat de Britten niet meer op internet kunnen gokken. Dat online-gokken is heel populair in Enge-
Ook terrorist ontdekt internet Defensie bereidt zich voor op een digitale oorlogvoering aarom terroristen nog niet massaal aanslagen plegen met behulp van W computers is Jeroen Herlaar een raadsel. De manager cybersecurity bij computerbeveiligingsbedrijf Fox-IT uit Delft zou het wel weten als hij terrorist was. ‘Je kunt het veilig vanaf een anonieme plek op de wereld doen, je kunt het zo vaak als je wilt opnieuw proberen en de impact is enorm.’ Het is daarom volgens hem een kwestie van tijd voordat de digitale oorlogvoering ook een belangrijk onderdeel wordt bij de Nederlandse krijgsmacht. In andere landen is dit al het geval. In 2010 werd bekend dat een stuk malware, foute software met de naam Stuxnet, zich had genesteld in systemen die door elektronicafabrikant Siemens worden gebruikt
16
• EL S E V I E R 20 AUGUSTUS 2011
voor de besturing van nucleaire centrifuges in Iran. Iran claimt dat de Verenigde Staten en Israël daarachter zitten. Infiltratie in kernwapens in Nederland zal niet zo snel aan de orde zijn, maar ook elektriciteitscentrales en waterleidingbedrijven zijn potentiële doelwitten. Als de bestu-
land, dus de schade bij een dergelijke aanval zou voor de wedkantoren groot zijn. Dat maakt hen kwetsbaar voor afpersing. Dat er veel geld omgaat in cybercrime is duidelijk, maar hoeveel precies weet niemand. Schattingen van de jaarlijkse wereldwijde schade als gevolg van aanvallen van hackers lopen in de honderden miljarden. Daarin zijn niet alleen de schades verwerkt die worden geleden door aanvallen op websites, maar ook de kosten voor beveiliging. ringssystemen daarvan worden gehackt en lamgelegd, dan heeft dat een grote impact. De kans dat het misgaat als er een aanval plaatsheeft, is bovendien groot: ‘Er worden verouderde systemen gebruikt, die kunnen zo twintig jaar oud zijn. Bovendien zijn de afgelopen twintig jaar alle apparaten aangesloten op internet, terwijl de systemen daar niet op zijn ingericht,’ zegt Patrick de Graaf, cybersecurity-strateeg bij Capgemini. Over een digitale aanval op, zeg, een nutsbedrijf hoeft Nederland zich volgens De Graaf op dit moment geen zorgen te maken. ‘Als iets wordt aangevallen, zijn er meestal eerst waarschuwingen zichtbaar, mislukte pogingen bijvoorbeeld. Daar is op dit moment helemaal geen sprake van.’ Bij Defensie zijn ze wel bezig zich ook op het gebied van digitale oorlogvoering te wapenen. Hoewel er op veel onderdelen van Defensie flink wordt bezuinigd, wordt er voor digitale oorlogvoering tot 2015 50 miljoen euro uitgetrokken en daarna 20 miljoen euro per jaar.
NEDERLAND
schrijven hackers wat ze in de aanbieding hebben (‘Duizend creditcardnummers, werken gegarandeerd’) en hoeveel geld ze ervoor vragen. De voertaal op dat soort fora is Engels of Russisch. Hackers wisselen er ook tips en trucs uit en gaan er samenwerkingen aan. Hacker Ron heeft contacten met hackers uit Pakistan, India, Israël, Rusland, Turkije, Slowakije en Indonesië. Het vertrouwen in elkaar is groot. Ook al hebben ze de andere hackers nog nooit gezien en kennen ze die niet van naam, de hackers vertrouwen elkaar delicate informatie en veel geld toe. Het doen en laten van de hackers is voor iedereen die de weg weet op internet zichtbaar. In theorie kunnen hackers daarom eenvoudig worden tegengehouden, maar juridisch gezien is dit (nog) niet mogelijk. Hackers zijn daarom vrijwel onschendbaar.
Banken zijn handenvol geld kwijt aan het voorkomen van aanvallen. Ze waarschuwen klanten volop tegen phishing en verwijderen zo veel mogelijk malware. Tegen DDoS-aanvallen proberen ze zich te wapenen door de capaciteit van de website uit te breiden, maar dat heeft zijn grenzen. Banken kunnen ook vragen of een server waarop een door de hacker overgenomen groep computers – een botnet – draait, kan worden uitgezet. Maar de hacker verplaatst
zijn handel dan gewoon naar een andere server, of naar een server waarvan hij weet dat de eigenaar hem niet zal uitzetten als een bank het vraagt. Het is een kat-en-muisspel. Voor hackers zijn er amper kosten gemoeid met de aanvallen, en ze kunnen het eindeloos opnieuw proberen. De handel in malware, creditcardgegevens, persoonsgegevens en e-mailadressen, heeft open en bloot plaats op diverse fora. Net als op de veilingsite Marktplaats be-
Cybercrime Jeroen Herlaar is manager cybercrime bij Fox-IT, een bedrijf in Delft met ongeveer 130 medewerkers dat zich heeft gespecialiseerd in computerbeveiliging voor banken en andere bedrijven. Medewerkers van het bedrijf struinen internet af op zoek naar aanwijzingen voor aanvallen tegen hun klanten, houden banktransacties in de gaten, maken beveiligingssoftware en testen in opdracht van bedrijven beveiligingssystemen. Bij Fox-IT werkt een groot aantal hackers, maar dan hackers van de goede soort. Zij houden een oogje op gesprekken die hackers voeren op fora en weten precies wat er in botnets gebeurt. De computers van Fox-IT zijn opzettelijk besmet met foute software. ‘Door deze malware in de gaten te houden,
Hoe plundert internetcrimineel bankrekening? E-mail is voor hacker sleutel naar andermans geld
Crimineel stuurt e-mails met verwijzing naar nepwebsite of met spionagesoftware in de bijlage
Crimineel koopt via een forum e-mailadressen van slachtoffers en/of spionagesoftware
Slachtoffer tikt inloggegevens in die nu zichtbaar zijn voor de crimineel
Crimineel zet geld in op pokerwebsites en ‘verliest’ het aan een van zijn vrienden
Login
Crimineel logt zelf in op bankrekening slachtoffer en boekt via tussenpersoon geld over naar anonieme bankrekening
Vriend van crimineel boekt het geld over naar normale bankrekening van crimineel
©ELSEVIER
ELSEVI ER 20 AUGUSTUS 2011
• 17
N ED ER L AN D OMSLAGARTIKE L
ELSEVIER BOEKEN
Simon Rozendaal
Gesprekken met Grote Geleerden Wetenschapsredacteur Simon Rozendaal interviewde de afgelopen 25 jaar voor Elsevier veel van ’s werelds invloedrijkste wetenschappers. Hij sprak met hen over de schoonheid van hun vak, het juk van de Nobelprijs en het ultieme eurekamoment. Met Neil Postman, Martin Veltman, Edward Teller, Dick Swaab, Lynn Margulis, Craig Venter, Francis Crick, Edward Wilson, Gerard ’t Hooft, Frans de Waal, Michael Crichton, Richard Leakey, Freeman Dyson en tientallen andere genieën.
kunnen we zien wat hackers met botnets van plan zijn,’ vertelt Herlaar. De malware krijgt opdrachten van een bestandje dat regelmatig door de hacker wordt ververst. In dat bestand zoeken de hackers van Fox-IT naar de webadressen van hun klanten. Ze zien dan welke opdrachten er bij deze adressen horen: bijvoorbeeld bijhouden hoe vaak er naar de site van een bank wordt gesurft, of screenshots sturen van wat er op de site wordt gedaan. ‘Botnets vallen banken nooit meteen aan, er wordt eerst voorwerk gedaan. Als wij dat zien, waarschuwen we onze klanten,’ vertelt Herlaar. De bank kan daarop weer haar eigen klanten waarschuwen voor de malware, of andere maatregelen nemen, zoals vragen of de server van waaruit het botnet wordt bestuurd, kan worden uitgezet. Maar het botnet onschadelijk maken door het te vernielen mag Fox-IT niet. Herlaar: ‘We mogen alleen waarnemen en waarschuwen. De infrastructuur van de hackers moet intact blijven.’ De bevoegdheid om botnets onschadelijk te maken, is voorbehouden aan de politie en het Openbaar Ministerie (OM). Maar die hebben bij lange niet na de capaciteit om achter alle aanvallen aan te gaan. Het Team High Tech Crime van het Korps Landelijke Politiediensten bestaat op dit moment uit 33 personen, die het doel hebben om vier grote zaken per jaar te behandelen. ‘We moeten dus keuzes maken en kunnen lang niet alles doen,’ zegt teamleider Pim Takkenberg. ‘Maar de aandacht groeit, en daarmee wordt onze capaciteit ook uitgebreid.’ Het is belangrijk dat de aandacht vanuit de politie en het OM groeit, vinden ook Patrick de Graaf en Nico Kaptein, die zich bij
consultancybedrijf Capgemini bezighouden met strategisch advies op het gebied van internetbeveiliging. Op dit moment zijn de banken zelf verantwoordelijk voor hun beveiliging. ‘Maar als burgers het vertrouwen in internetbankieren verliezen dan is dat niet een probleem dat alleen banken schaadt, maar de hele samenleving,’zegt De Graaf. Dat de activiteiten van hackers kunnen worden gestopt, is al enkele keren gedemonstreerd. In een samenwerking tussen onder meer Fox-IT en het Team High Tech Crime zijn eind juli hackers van de Nederlandse tak van hackersgroep Anonymous opgepakt. Door te infiltreren in fora waar de hackers elkaar troffen, konden de identiteiten van de hackers worden vastgesteld. Eind 2010 is er door samenwerking van dezelfde organisaties een groot botnet opgerold, het ‘Bredolab’. Er zijn toen 143 servers afgesloten van waaruit ruim 30 miljoen computers wereldwijd werden bestuurd. Het bleef bij één arrestatie: in de Armeense hoofdstad Jerevan werd een verdachte aangehouden. Niet alleen banken zijn gevoelig voor aanvallen van hackers, alle bedrijven en overheden die waardevolle informatie bezitten, moeten oppassen. Zij hoeven niet bang te zijn voor phishing of het platleggen van een website, maar wel voor het infiltreren in systemen of het stelen van gegevens uit databases. Hoe waardevoller de informatie is die zij bezitten, hoe meer moeite hackers nemen om een systeem te kraken. Zij doen dit om te demonstreren dat het systeem niet deugt, of om de informatie te verkopen. Uit angst voor hackers is de centrale op-
Hoe schakelen hackers websites uit? Internetcrimineel neemt controle over andere computers
NU AL DE DRUK
Hacker besmet computers met foute software (malware) via 쐍 bijlage bij e-mail 쐍 te downloaden programma 쐍 geïnfecteerde website
2
Hacker voert in speciaal besturingsprogramma voor malware op zijn eigen computer in 쐍 welke website moet worden aangevallen 쐍 hoeveel computers mee moeten doen
Geselecteerde computers krijgen opdracht tegen website te ‘praten’
Bestellen Gesprekken met Grote Geleerden kost €14,95 (inclusief btw en verzendkosten). Het boek van 496 pagina’s is te bestellen via www.elsevier.nl/ boeken of bel 0314-358358. Dit aanbod geldt alleen in Nederland.
De aanval begint
Aangevallen website kan zoveel internetverkeer niet aan en is binnen tien minuten uit de lucht
©ELSEVIER
18
• ELSEVI ER 20 AUGUSTUS 2011
N E D E R LAN D
slag van vingerafdrukken uit paspoorten gestopt en is het landelijk aan elkaar knopen van medische gegevens uit patiëntendossiers in het Elektronisch Patiëntendossier afgeblazen. En dat is maar goed ook. Het is nu ook al mogelijk om individuele patiëntengegevens te hacken, bij de computer van een huisarts of apotheek is een hacker zo binnen. Maar individuele gegevens zijn niet zo waardevol. Herlaar: ‘Dat verandert wanneer er veel informatie centraal wordt bewaard.’ Geheimschrift Hackers gebruiken creatieve manieren om in te breken in computers. En hoe goed beveiligd het systeem ook lijkt, het lukt de hackers altijd. Ze gaan op zoek naar de zwakste schakel. Stel een hacker wil inbreken in het Elektronisch Patiëntendossier, dan zoekt hij een account van een medewerker in de gezondheidszorg, laten we zeggen Jolanda. De hacker weet via de sociale netwerksite LinkedIn dat Jolanda doktersassistente is en toegang heeft tot de patiëntendossiers. Jolanda meldt op een avond op de sociale netwerksite Twitter dat ze op zoekmachine Google zoekt naar nieuwe televisies, maar dat het niet echt opschiet. ‘Morgen verder,’ schrijft ze. De hacker maakt daarop een e-mail die eruitziet alsof die van een bekende elektronicawinkel afkomstig is. Hij zet er een knaller van een aanbieding in. Jolanda krijgt en opent de mail tijdens werktijd. Wanneer ze de bijgesloten brochure opent, een zogeheten PDFbestand, heeft de hacker beet. De hacker heeft dit bestand namelijk besmet, en door het te openen heeft Jolanda malware op haar computer gekregen. Deze manier van inbreken heet spear engineering. De foute software bespioneert Jolanda en via haar inlogcodes kan de hacker het systeem in. Eenmaal binnen is het voor hem mogelijk om door andere barricades te breken. Na een tijdje is de hacker zover dat hij
alle bestanden kan raadplegen. Malware zoals die bij Jolanda is geïnstalleerd of die ervoor zorgt dat een computer onderdeel wordt van een botnet is vaak onzichtbaar voor virusscanners. Hackers ontwikkelen zich snel en inventief. De bedrijven die virusscanners maken, reageren er wel op, maar dan is het kwaad meestal al geschied. Uit de ‘Criminaliteitsbeeldanalyse High Tech Crime’ van het Korps Landelijke Politiediensten blijkt dat in 2009 45,66 procent van de Nederlandse computers op enigerlei manier was besmet met malware. Wereldwijd ligt dit percentage op 60. Is het mogelijk waardevolle databases als het Elektronisch Patiëntendossier of een bestand met vingerafdrukken goed te beschermen? Herlaar is even stil. ‘Ik denk het niet. Hackers zullen alles doen om die berg gegevens te pakken te krijgen.’ ‘Honderd procent veilig is een systeem nooit,’ zegt ook Takkenberg. ‘Maar je kunt het de hackers wel moeilijk maken’ (zie ‘Hoe maakt u het hackers moeilijk?’ op pagina 15). ‘Als je in het ontwerp van het systeem al rekening houdt met hackers, denkt als een hacker, is beveiligen best mogelijk,’ zegt Kaptein. ‘Een systeem moet niet na één hack al zijn gekraakt.’ Verschillende gegevens van een systeem kunnen apart worden beveiligd, door de informatie in delen op te slaan, elk onder een soort geheimschrift. Als de ene beveiliging, dus het geheimschrift, wordt gekraakt, dan kun je het andere deel snel van een nieuw geheimschrift voorzien. Wil de hacker de gegevens kunnen zien, dan heeft hij beide delen nodig, met slechts één deel kan hij niets. Dus is hacken zinloos. Om zo te kunnen beveiligen, moeten bedrijven en overheden wel de goede mensen in dienst nemen. Mensen die net zo in elkaar zitten als hackers dus: creatieve programmeurs. Programmeurs bovendien die niet werken van negen tot vijf, maar ook weleens midden in de nacht. Dat past niet in de huidige cultuur bij overheden en veel grote bedrijven. Daarom zijn de beste mensen nog altijd actief als hacker. Het besef dat er iets aan de ongrijpbaarheid van hackers moet worden gedaan, groeit. Er is per 1 juli een Nationale Cyber Security Raad in het leven geroepen die zich gaat bezighouden met het opstellen van een strategie voor het beveiligen van internet. ‘Maar aan een leger met alleen generaals heb je niets,’ zegt Fox-IT-medewerker Herlaar. ‘Er moeten ook soldaten, hackers in dit geval, in dienst worden genomen.’ Het is de bedoeling dat die hackers per januari 2012 aan de slag gaan. Maar dan aan de goede kant. 쐍 EL SEVI ER 20 AUGUSTUS 2011
• 19
Diederik van Hoogstraten
De rennende Hollander
Zijn doorrookte longen en keel slibden dicht, zijn lichaamsgewicht nam toe, zijn hoofd werd kaler. De veertig naderde, en het ging niet zo lekker met Diederik van Hoogstraten, correspondent van Elsevier in New York. Toen kwam zijn sportieve grootvader te overlijden en besloot hij het roer om te gooien. Hij zocht houvast in een bijna verloren passie: het hardlopen. Langzaam maar zeker ging het sneller en soepeler, door New York en andere delen van de vs. Bijzondere plekken openbaarden zich, nieuwe vrienden kwamen op zijn pad en geliefden renden soms een eindje mee. En na vele momenten van pijn, worsteling en deceptie wachtte uiteindelijk iets wat op geluk leek, tijdens magische marathons en sublieme boslopen. In De rennende Hollander beschrijft Van Hoogstraten zijn zoektocht naar de essentie van het hardlopen én van het leven. De rennende Hollander is verkrijgbaar in de boekhandel ISBN: 978 90 204 1037 2 Uitgeverij L.J.Veen,
€18:95