nettime-nl: Computerkrakers tussen creativiteit en criminaliteit

[Marie-Jose Klaver <klaver@dds.nl>]

Computerkrakers tussen creativiteit en criminaliteit

Duits hackerscongres trekt 2.000 bezoekers

Marie-José Klaver

Binnen twee uur lukte het een hacker en twee wetenschappers van de universiteit
van Berkeley in Californië om de beveiliging van GSM-telefoons te kraken. Nadat
hij achter de beveiligingsmethode was gekomen die wereldwijd in 100 miljoen
mobiele telefoons wordt gebruikt, was het kraken een fluitje van een cent,
vertelt de bekende hacker Lucky Green op het Chaos Communication Congress ’98
in Berlijn. In vloeiend Duits legt de nonchalant geklede 36-jarige Amerikaanse
beveiligingsdeskundige alle technische details van de GSM-hack uit, die in
april de voorpagina van de Wall Street Journal haalde. Een paar honderd
computerkrakers en andere geïnteresseerden, waaronder werknemers van
telecommaatschappijen en inlichtingendiensten, luisteren geboeid naar de man
die verantwoordelijk is voor wat alom geldt als de grootste hack van 1998.
Eigenlijk zouden alle aanbieders van mobiele telefonie hun klanten een nieuwe
kaart voor hun telefoon moeten geven, vindt Lucky Green. De huidige kaarten
kunnen namelijk eenvoudig gekopieerd worden, waardoor criminelen
nietsvermoedende bellers behoorlijk op kosten kunnen jagen. 

Voor de 15e keer vond tussen kerst en nieuwjaar het jaarlijkse hackcongres van
de Chaos Computer Club (CCC) plaats. Dit jaar in een groot congrescentrum in
Berlijn omdat het pand in Hamburg waar het hackfestijn normaal plaatsvindt
vorig jaar al te klein was voor alle belangstellenden. Ondanks de mimimale
publiciteit (een website en een nieuwsgroep) vonden tweeduizend hackers en
andere computerfreaks hun weg naar het Haus am Köllnischem Park, de voormalige
partijschool van de SED. Uit alle windstreken kwamen de computerliefhebbers bij
elkaar om onder het motto “All rights reversed” drie dagen lang te discussiëren
over computerbeveiliging en te spelen met techniek. In tientallen workshops en
discussies werden technische beveiligingsrisico’s en politiek-sociale thema’s
als censuur, privacy en het recht op versleuteling behandeld.

Terwijl buiten een rij staat van een paar honderd man  vrouwen zie je nauwelijk
op het hackevenement  zitten in het hackcenter al een paar honderd
congresdeelnemers te computeren. Binnen enkele uren hebben de enthousiaste
techneuten op de twee verdiepingen van het hackcenter een netwerk aangelegd
waar een professioneel automatiseringsbedrijf een paar weken over zou doen en
minstens een ton voor zou rekenen. De tafels staan vol opengeschroefde
computers. Op de grond liggen dikke bossen kabels waarmee alle computers met
elkaar en het Internet zijn verbonden. Tussen de dradenwirwar op de grond
liggen luchtbedden en slaapzakken. Veel geslapen wordt er niet. Het hacken gaat
dag en nacht door. Speciaal uit Amerika geïmporteerde Jolt cola, met een
dubbele
dosis cafeïne, houdt de computerkrakers op de been. 

Lucky Green is voor het eerst op het Chaos-congres. De chipkaartenspecialist
uit San Francisco heeft het erg naar zijn zin in Berlijn. Het congres is voor
hem een gelegenheid vakgenoten uit Nederland en Duitsland die hij via Internet
en eerdere hackersfeesten kent te ontmoeten. Volgens Lucky Green doen GSM
aanbieders er goed aan om af te stappen van het principe security by obscurity.
,,GSM-telefoons leken 10 jaar lang veilig omdat de methode een goed bewaard
bedrijfsgeheim was.’’ Een Nederlandse hacker die liever anoniem wil blijven,
vertelt hoe op de eerste avond spontaan een bijeenkomst ontstond van ongeveer
20 GSM deskundigen uit de hele wereld om samen andere beveiligingsproblemen in
mobiele telefonie te kraken. 

Er wordt niet alleen gehackt en gediscussieerd. Er wordt ook gespeeld en
plezier gemaakt. Met software, computers en andere apparaten  dat spreekt voor
zich hier. De lijfspreuk van de CCC is niet voor niets Spaß am Gerät. Een handy
(Duits voor mobiele telefoon) en een laptop behoort tot de minimumuitrusting
van de meeste bezoekers. ,,Kijk eens,’’ zegt Barry, een opticien uit Amsterdam,
,,dit is het ultieme hackerspeelgoed. Iedereen heeft hier zo’n ding.’’ Hij laat
een kleine portofoon zien. Enthousiast legt Barry uit hoe de apparaatjes
werken. Binnen een straal van 100 meter kun je met elkaar communiceren. De
mini-portofoons kosten 99 Mark en zijn overal te koop. Natuurlijk zijn ze ook
te hacken. ,,In de meeste modellen hoef je maar één draadje door te snijden om
een veel groter bereik te krijgen.’’

In een zaal achter het hackcenter organiseren de Sportsfreunde der Sperrtechnik
wedstrijden sloten openen. Ook dat is hacken. Met fijne gereedschappen en
zelfgebouwde apparaten proberen de lockpickers binnen enkele minuten zoveel
mogelijk hang- en cilindersloten open te krijgen. Het vervalsen van
vingerafdrukken om een hypermodern biometrisch apparaat voor de gek te houden
dat bedoeld is om verdachten te identificeren lukt na urenlang proberen. De
firma die het apparaat beschikbaar heeft gesteld om te kijken of het
hackerproof
is voordat het aan de politie wordt verkocht, zal zich verbazen over het
analoge karakter van deze hack: het apparaat werd niet met ingewikkelde
programma’s gekraakt, maar met een stempelkussen en wat was. De machine blijkt
niet in staat het verschil tussen vingerafdrukken van mensen en imitaties op
papier te herkennen.

Behalve de cultcola Jolt hoort ook het spel Spot the fed tot de folklore van de
hackerscultuur. Hackersbijeenkomsten trekken altijd veel incognito medewerkers
van geheime diensten, die nieuwsgierig zijn naar illegale activiteiten en de
laatste technische nieuwtjes. Het valt niet mee om de overheidsdienaren van de
computerliefhebbers te onderscheiden. De in 1981 opgerichte Chaos Computer Club
heeft veel leden van middelbare leeftijd en ouder  serieuze heren met grijs
haar - die in groten getale aanwezig zijn. Sommige van hen bezoeken het congres
voor de 10e of 14e keer. Jonge hackers zie je nauwelijks op het CCC-congres. De
oude garde moet weinig hebben van jongeren, zo blijkt uit het regelmatige
gebruik van het woord script kiddies, een negatieve benaming voor jonge hackers
die op Internet gevonden exploits uitproberen. Dat de legendarische VAX
Busters, een groepje CCC-leden (onder wie Andy Müller-Maguhn, Hans ‘Pengo’
Hübner en Karl Koch) dat in de jaren tachtig de toenmalige datanetten onveilig
maakte, ook niet veel anders deden dan voor de hand liggende inlognamen en
wachtwoorden (de combinatie system en manager werkte meestal wel) gebruiken om
in te breken op universiteits- en overheidssystemen lijkt vergeten.

Alle informatie moet vrij zijn, luidt het bekendste adagium uit de
hackerbeweging. Streven naar informatievrijheid en een creatief-kristische
omgang met technologie hoort bij de hackersethiek, die in de jaren vijftig en
zestig aan het Massachusetts Institute of Technology (MIT), waar de eerste
computerpioniers de basis van het huidige Internet legden, ontstond. De ideale
hacker wendt zijn vaardigheden aan om beveiligingslekken openbaar te maken of
om onderdrukte groeperingen te helpen, zoals mensenrechtenactivisten in China.
De hacker bestaat echter niet. Hackers heb je in soorten en maten. Vaak
zijn het
tieners die uit nieuwsgierigheid in computersystemen inbreken en er genoegen in
scheppen systeembeheerders te slim af te zijn. Soms gaat het om vandalen die
veel schade aanrichten door computernetwerken plat te gooien of om criminelen
die vertrouwelijke informatie stelen of misbruik maken van beveiligingslekken. 

Christian Kahlo (18) en Markus Kuhn (27) lijken twee uitersten te
vertegenwoordigen. Kahlo, geblondeerd haar, modieus cyberpunk-sikje en
fluoriserende kleding, is als oprichter van de German Smartcard Hacking
Organisation bezig met het kraken en kopiëren van pinpasjes en telefoonkaarten.
Kuhn, die met zijn geruite overhemd, tweed pullover en grote bril het uiterlijk
van een klassieke nerd heeft, werkt als wetenschappelijk onderzoeker aan de
universiteit van Cambridge. Zijn onderzoek bestaat uit het ontwerpen van
veilige chips voor elektronisch bankieren die bestand zijn tegen aanvallen van
whiz kids als Christian Kahlo. 

In de praktijk wijken Kahlo’s en Kuhns werkzaamheden minder van elkaar af dan
je op het eerste gezicht zou denken, zo blijkt uit de workshop Chipcard hacking
die ze samen geven. Allebei slopen ze met veel plezier chipkaarten om ze
vervolgens na te maken. Snel geld verdienen met zelfgebouwde telefoonkaarten is
er niet bij, maakt Kahlo duidelijk. Het duurt weken, zoniet maanden voor je een
kaart hebt doorgrond. ,,Je hebt vakkennis nodig,’’ zegt Kahlo. ,,Je moet eerst
precies weten om welke kaart het gaat, wie de fabrikant is.’’ En zelfs met deze
kennis, sneuvelt er nog wel eens een kaart tijdens zijn hack-experimenten.

Kuhn is in staat om veel sneller te werken in zijn laboratorium in Cambridge.
Enigszins verlegen laat hij dia’s van zijn apparatuur zien. ,,Zo’n opstelling
kost 200.000 Mark,’’ vertelt de onderzoeker, die met een Fulbright scholarship
in de Verenigde Staten is afgestudeerd en nu met een Marie Curie-beurs in
Cambridge zijn proefschrift over computerbeveiliging schrijft. ,,Zo kan ik het
ook,’’ fluistert een amateur-hacker in het publiek.

Andy Müller-Maguhn, al jarenlang perswoordvoerder van de Chaos Computer Club,
doet drie dagen lang zijn uiterste best om de aanwezige journalisten het beeld
van de aardige computerkraker op te dringen die alleen maar een beetje aan het
spelen is en wiens hobby uiteindelijk iedereen ten goede komt omdat hij
beveiligingslekken aan het licht brengt. Dat doet hij met zoveel fanatisme en
minachting voor de persvrijheid en vrije nieuwsgaring dat zelfs
onbevooroordeelde en ‘hackerfreundliche’ journalisten aan het twijfelen slaan.

,,Ik probeer de waarheid in een bepaalde richting te duwen,’’ zegt
Müller-Maguhn, midden dertig, beginnend buikje en licht kalende schedel, over
zijn PR-werkzaamheden voor de Chaos Computer Club. Maar zijn dogmatische
praatjes, scheldtirades tegen de media en overzichtelijke overhead sheets
waarop
kreten staan als ‘no hacks for money’ kunnen niet verhinderen dat de aanwezige
pers - opvallend uitgedost met verplichte rode badges  een genuanceerd beeld
krijgt van de Duitse Hackerszene, die niet alleen uit lieverdjes bestaat.

23. Die Geschichte des Hackers Karl Koch heet de speelfilm van de Duitse
regisseur Hans-Christian Schmid die deel uitmaakt van het avondprogramma van
het hackcongres. Het beeld van Koch dat in Schmids film en het gelijknamige
boek dat naar aanleiding van de film is verschenen, klopt niet, waarschuwt
Müller-Maguhn de ongeveer 700 congresdeelnemers in de aula van het Haus am
Köllnischem Park. Hij had liever gezien dat de film niet werd vertoond. Volgens
Müller-Maguhn is de pers mede-verantwoordelijk voor de dood van de CCC-hacker
Karl Koch die 23 mei 1989 op 23-jarige leeftijd onder mysterieuze
omstandigheden om het leven kwam. De media-belangstelling voor Kochs
computerspionage aan het einde van de koude oorlog was groot. Dat de
drugsverslaafde hacker, die eerst in Pentagon- en NASA-computers spioneerde
voor de KGB en toen hij werd gepakt voor de Duitse inlichtingendienst
Verfassungsschutz, steeds zelf journalisten heeft opgezocht om verhalen over
zijn succesvolle inbraken in militaire computers te verkopen laat Müller-Maguhn
voor het gemak buiten beschouwing.

Als de hackers op het congres op de tweede dag zelf Müller-Maguhns
eendimensionale beeld van de hacker als onschuldige virtuele verkenner
aantasten door bij een Internetaanbieder in Bremerhaven in te breken en de
gegevens van 40 klanten te wissen, wordt hij boos. Een tien man sterk
politieteam doet een inval in het hackcenter op zoek naar de dader. ,,Van nu af
aan leggen we alles wat in het hackcenter gebeurt op band vast en als de
politie nog een keer komt, geven we die band mee,’’ briest Müller-Maguhn. Er
zitten zo’n 600 congresdeelnemers in de zaal. Niemand protesteert. Noch tegen
de inbreuk op de privacy, noch tegen de bereidwilliheid van de perswoordvoerder
met de politie samen te werken.

,,Jeder, der sich durch die Gegend hackt, muß wissen, daß er nicht auf einem
Spielplatz ist, sondern in der rauhen Wirklichkeit.” Met deze woorden
waarschuwt de oprichter en Alterspräsident van de CCC Wau Holland-Moritz (47)
dat hacken geen kinderspel is. CCC-lid en veelbelovende informaticus Boris
Floricic (26) werd in oktober van dit jaar slachtoffer van de rauwe
werkelijkheid. Net als Karl Koch negen jaar geleden verdween Boris Floricic, in
de hackerswereld beter bekend onder zijn pseudoniem Tron, en werd hij een paar
dagen later dood gevonden. Hoe hij om het leven is gekomen is voor zijn
vrienden van de Chaos Computer Club en de Berlijnse politie een raadsel. De
politie gaat vooralsnog uit van zelfmoord, omdat het slachtoffer hangend aan
een boom in een Berlijns park werd gevonden. Moord wordt echter niet
uitgesloten, bevestigt rechercheur Klaus Ruckschnat van de Berlijnse
Mordkommission die het onderzoek naar Trons dood leidt. 

Tron genoot alom aanzien als een briljante hacker die in staat was ondermeer
credit cards, telefoonkaarten en chipkaarten voor betaaltelevisie te kraken.
Hij was de eerste die vier jaar geleden het relatief veilige Duitse
telefoonkaartensysteem heeft gehackt. Inmiddels zitten er mensen in de
gevangenis wegens het vervalsen van telefoonkaarten. Mei vorig jaar werd er in
Duitsland een bende Nederlande telefoonkaartenpiraten opgepakt die voor
miljoenen guldens aan vervalste kaarten op de markt hadden gebracht. Ook Boris
Floricic is wel eens betrapt door de politie op het uitproberen van een
telefoonkaartsimulator. ,,In seinem Forschungsdrang überschritt er damals auch
die Grenzen der Legalität und wurde zu einer Bewährungsstrafe verurteilt,’’
aldus Müller-Maguhn. Volgens zijn ouders en de CCC was Tron de de laatste tijd
benaderd door criminele organisaties. Met name in Oost-Europa bloeit de handel
in vervalste telefoonkaarten en kaarten voor pay tv-systemen. Een gekraakte en
reproduceerbare chipkaart voor betaaltelevisie is een half miljoen Mark waard.
Vanwege zijn kennis van versleutelingstechnieken, zijn afstudeerscriptie over
de versleuteling van ISDN was van hoge kwaliteit, waren ook geheime diensten in
Boris Floricic geïnteresseerd. 

In een interview op de Nederlandse hackmanifestatie Hacking in Progress vorig
jaar, waar hij een workshop over chipkaartbeveiliging gaf, vertelt Tron op
opgewonden toon ongeveer dertig minuten lang over Nederlandse
opsporingsambtenaren die hem bespioneren (,,eine Riesensauerei’’) en de schade
van miljoenen Mark die de Duitse Telekom heeft ondervonden naar aanleiding van
zijn telefoonkaarten-kraak. Hij is zich ervan bewust dat hij in een
schemergebied tussen creatieve omgang met technologie en illegale praktijken
verkeert en zegt een paar keer dat zijn activiteiten gevaarlijk kunnen zijn.

Of Tron nu zelfmoord heeft gepleegd of vermoord is, wordt tijdens de discussie
op CCC98 niet duidelijk. De extra informatie die de geëmotioneerde Andy
Müller-Maguhn, een goede vriend van Tron, presenteert, schept niet veel
helderheid. Duidelijk wordt wel hoezeer de staat en de hackers met elkaar
botsen - niet alleen op het congres, maar ook al tijdens het onderzoek naar
Trons verdwijnen en latere dood. Het lukt Trons ouders en vrienden aanvankelijk
niet om de Berlijnse politie duidelijk te maken dat Tron niet zomaar een nacht
aan het doorzakken is, maar echt is verdwenen. Als ze over Trons hobby,
chipkaarten hacken, vertellen en welke partijen in hem geïnteresseerd zijn om
duidelijk te maken dat hij waarschijnlijk in gevaar is, wordt geen zoekactie
ingezet, maar begint de afdeling computercriminaliteit een onderzoek naar
mogelijke illegale activiteiten van Tron. In plaats van zijn mobiele telefoon
uit te peilen (die na zijn verdwijning nog aan staat), neemt de politie Trons
computerapparatuur in beslag. Politieman Klaus Ruckschnat en een lid van het
Berlijnse team computercriminaliteit wijzen alle beschuldigingen van
Müller-Maguhn en de advocaat van de familie van de hand dat het onderzoek naar
Trons dood op ondeskundige wijze is uitgevoerd.

Tijdens het afspelen van het interview zitten de ouders van Tron en de advocaat
van de familie op de eerste rijen van de aula te huilen. Bij de begrafenis
hebben zijn computervrienden een telefoonkaart in Trons kist gelegd.

Persoonlijke noot
Na drie dagen en avonden Chaos-congres was ik blij dat ik mijn rode badge kon
afdoen. Het valt niet mee om 3 dagen aan een stuk door als een ongewenst
element aangestaard te worden, de blikken varieerden van achterdochtig tot
regelrecht vijandig. Cem Arkan, de fotograaf die me een halve dag vergezelde,
had het nog moeilijker. Hardhandig werd hij door een machtswellusteling met een
CCC-security badge uit het hackcenter gewerkt, 3 minuten nadat hij van de
organisatie toestemming had gekregen om 5 minuten te fotograferen. Voordat hij
de ruimte mocht betreden, ging er eerst een luid alarm af. Wie niet op de foto
wilde, kreeg de gelegenheid het hackcenter te verlaten. Waarom Cem dan toch met
fysiek geweld werd gedwongen zijn werk voortijdig af te breken, is ons nooit
duidelijk geworden.
De organisatie van de CCC, met name Andy Müller-Maguhn en Wau Holland-Moritz,
is bijzonder onvriendelijk tegenover de pers. Holland-Moritz, in de tijd dat
hij de CCC oprichtte werkzaam als free lance journalist voor de tageszeitung,
neemt het de media nog steeds kwalijk dat ze in de jaren 80 een paar verhalen
over geslaagde hacks heeft gemist. Daarom moeten journalisten nog altijd meer
entree betalen voor de congressen, legt hij uit. Dat er inmiddels een hele
generatie deskundige Internetjournalisten is, die graag over hackers en
beveiligingslekken schrijft, is Holland-Moritz ontgaan, evenals het feit dat er
op het Net tientallen sites en nieuwsgroepen zijn waar dagelijks over de
hackercultuur wordt bericht. Müller-Maguhn heeft vooral problemen met een
waarheidsgetrouwe berichtgeving over hackers. Artikelen waar hij geen invloed
op heeft, doet hij principieel af als onwaar en ‘criminaliserend’.

Chaos Computer Club: www.ccc.de
GSM cloning: http://www.isaac.cs.berkeley.edu/isaac/gsm-faq.html
en http://www.ccc.de/D2Pirat/index.html
Telefoonkaartenpiraten:
http://www.wired.com/news/news/technology/story/12459.html
Meer over hackers: http://www.nrc.nl/W2/Lab/Beveiliging/hackers.html


--

http://www.marie-jose.nl


--
* Verspreid via nettime-nl. Commercieel gebruik niet toegestaan zonder
* toestemming. <nettime-nl> is een gesloten en gemodereerde mailinglist
* over net-kritiek. Meer info: list@dds.nl met 'info nettime-nl' in de
* tekst v/d email. Archief: http://www.factory.org/nettime-nl. Contact:
* nettime-nl-owner@dds.nl. Int. editie: http://www.desk.nl/~nettime.