Wolfenstein versus het Pentagon

De Europese organisatie voor kernonderzoek, het CERN, ontfermde zich al vroeg over de ontwikkeling van internet. In maart 1989 bedacht Tim Berners-Lee er het World Wide Web: een manier om via ‘hypertekst’ lokale informatie op een systeem ook voor andere computers toegankelijk te maken. Op 6 augustus 1991 opende het CERN de allereerste website ooit.

Onder hackers had het CERN jarenlang de naam dat je er doodeenvoudig binnenkwam. Het stond om die reden bekend als ‘de rijschool voor hackers’. Het Pentagon, waar het Amerikaanse ministerie van Defensie is gehuisvest, was bepaald een goede tweede. Er was veel jong computervolk dat daar dolgraag een kijkje wilde nemen, en de bescherming van het netwerk was ondermaats. Het hoofdkwartier van het Amerikaanse ministerie van Defensie werd zodoende tot vervelens toe gehackt.

‘We hadden net ergens een kopietje van Wolfenstein 3D gevonden, een nieuw type game. Dat was veel spannender. Het Pentagon? Nah. Daar waren we allemaal wel ’s geweest’

Rop Gonggrijp, hoofdredacteur van Hack-Tic en later een van de oprichters van XS4all: ‘Op zo’n avond dat ons huis weer eens vol zat met mensen die allemaal aan hun monitor gekluisterd waren, riep iemand ineens opgetogen uit: “Yes! I did it! Ik ben binnen, ik zit in het Pentagon!” Hij had waarschijnlijk bewondering verwacht of zo, maar tot zijn grote teleurstelling besteedde niemand aandacht aan hem. We hadden net ergens een kopietje van Wolfenstein 3D gevonden, een nieuw type game. Dat was veel spannender. Het Pentagon? Nah. Daar waren we allemaal wel ’s geweest.’

De beveiliging van het Pentagon was dusdanig belabberd dat het ministerie binnendringers meestal pas gewaar werd nadat derden hen op het ongewenste bezoek hadden geattendeerd. De jacht die systeembeheerders van universiteiten en bedrijven op hackers maakten, leidde geregeld langs of naar het Pentagon, of betrof andere computers van Defensie. In dat geval deed zo’n jager gewoonlijk een melding aan het ministerie.

Natuurlijk waren niet alle computers in het Pentagon slecht beveiligd. Je moest er zelfs rekening mee houden dat het ministerie er expres een aantal makkelijk te kraken computers op nahield en die als bliksemafleider gebruikte. Daar trok het hackersvolk dan naartoe, neusde er wat rond zonder veel te kunnen vinden, en zwierf teleurgesteld doch welgemoed verder. Die optie zou goed verklaren waarom het Pentagon vaak blasé reageerde op berichten van computerinbraken en zijn beveiliging maar niet op orde scheen te krijgen.

Maar soms trok het Pentagon wel alles uit de kast. Bijvoorbeeld wanneer het oorlog was, wanneer een hacker net wat verder kwam dan de rest, of wanneer een hack veel publiciteit kreeg. Zodoende kreeg de Nederlander Maurice Katz de volle laag: zijn escapades voldeden aan alle drie die criteria.

Het is oorlog

Op 2 augustus 1990 brak de Golfoorlog uit: Irak viel Koeweit binnen en bezette het oliestaatje. De omringende landen raakten bezorgd over de expansiedrift van de Irakese dictator Saddam Hoessein, het Westen over haar olietoevoer. De VN legde Irak sancties op en president George Bush senior smeedde in de navolgende maanden een internationale militaire coalitie. Economische sancties en internationale diplomatie haalden niets uit: Irak weigerde Koeweit te verlaten.

Na ruim vijf maanden escaleerde de oorlog tot een internationaal conflict. Op 17 januari 1991 begon Operation Desert Storm: een groep van 34 landen, met Amerika, Saoedi-Arabië, Egypte en Engeland als voornaamste deelnemers, viel Irak aan. Ook Nederland behoorde tot de bondgenoten.

De Golfcoalitie voerde amper grondgevechten. Het was de eerste oorlog op afstand, waarin de partijen elkaar met scuds en patriots bestookten. Pas in de laatste week van de oorlog, vanaf 23 februari 1991, werd een (doorslaggevend) grondoffensief uitgevoerd. Zes weken na de aanvang van Operation Desert Storm, op 28 februari 1991, gaf Irak de strijd op. Er kwam een bestand. Irak trok zich terug uit Koeweit.

‘Embezzle’ wordt belaagd – door een Nederlandse hacker

Begin januari 1991 krijgt Tsutomu Shimomura, een Amerikaanse computer- en beveiligingsexpert die bij de universiteit van Californië werkt, een telefoontje van zijn oude studiegenoot Castor Fu. Fu werkt inmiddels bij de afdeling natuurkunde van de Stanford universiteit. Embezzle, een van de computers in het netwerk daar, deed raar. Na enig onderzoek had Fu vastgesteld dat een indringer een slapend account op embezzle had overgenomen. Het ging om het account Adrian.

Fu vraagt advies aan Shimomura: wat moet hij met die indringer doen? Hij kan het wachtwoord van dat account natuurlijk veranderen. Daarmee jaag je de hacker weg, maar dat verplaatst het probleem naar andermans computers; het is geen oplossing. Is het misschien verstandiger Adrian in de gaten te houden en een dossier over hem op te bouwen?

Adrian gebruikt Stanford als uitvalbasis om computers elders te hacken; hij is vooral geïnteresseerd in militaire en overheidscomputers

Shimomura en Fu zetten samen de achtervolging in. Op embezzle installeren ze een programma dat alle toetsaanslagen van Adrian vastlegt, zodat ze nadien precies kunnen reconstrueren wat hij daar allemaal doet. Ze merken dat de hacker Stanford vooral gebruikt als uitvalbasis om computers elders te verkennen en die zo mogelijk te hacken; hij legt met name interesse aan de dag voor militaire en overheidscomputers. Telkens wanneer het duo ziet dat Adrian erin slaagt ergens binnen te komen, waarschuwen ze de beheerder van het betreffende netwerk.

Al snel concluderen Fu en Shimomura dat Adrian, gezien de tijden waarop hij actief is, waarschijnlijk in Europa woont. Meer specifiek: hij is vrijwel zeker Nederlands. De hacker beschermt zijn gestolen account bijvoorbeeld met het wachtwoord proberen.

Op 15 januari 1991 ziet Bill Cheswick – hij is systeembeheerder bij Bell Labs, het onderzoekscentrum van telefoongigant AT&T – live hoe iemand via een twee jaar oud lek zijn systeem tracht te bedotten. De indringer gebruikt de sendmail debug truc. Wanneer je van buitenaf op een computer het protocol SMTP aanroept (de manier om mail te versturen) en meteen daarna het commando debug geeft, zal sendmail alles wat daarna komt niet langer beschouwen als onderdeel van een e-mail, maar als commando, en dat uitvoeren. Aangezien sendmail zelf vrijwel altijd als root draait en het betreffende commando via sendmail wordt uitgevaardigd, kan een buitenstaander zo ineens over root privileges beschikken. Dan ben je de baas van het systeem.

Cheswick heeft dat sendmail lek allang gedicht. Anders dan de meeste systeembeheerders heeft hij het debug-commando echter niet uitgezet, maar de boel enigszins herschreven. Het lijkt nu of de hack alsnog werkt, terwijl het enige dat er écht gebeurt is dat Cheswick gewaarschuwd wordt en een mail krijgt met daarin het valselijk gegeven commando.

En verdomd: iemand doet een poging. Als de wiedeweerga opent Cheswick zijn mail en kijkt wat de hacker daarna wilde doen:

Adrian – want hij is het – wil dat Cheswicks systeem hem het password file mailt. Dat bestand bevat een lijst met alle accounts die op een systeem voorkomen. De bijbehorende wachtwoorden staan weliswaar versleuteld in het bestand, maar op het net zwerven programma’s waarmee je kunt proberen die te ontsleutelen. Adrian hoopte kortom meteen de hoofdprijs in de wacht te slepen.

Cheswick denkt snel na. Rustig de tijd nemen gaat niet, tenminste niet wanneer hij de schijn wil ophouden dat de gebruikte sendmail-truc inderdaad werkt: Adrian wacht nu immers popelend op mail. In een opwelling pakt Cheswick een nepbestand dat hij ergens heeft liggen en stuurt dat naar het opgegeven e-mailadres. Alstublieft, eenmaal het opgevraagde password file, vriendelijke groet en tot ziens, was getekend: root@research.att.com.

De indringer moet stomverbaasd zijn geweest dat die oude truc nog werkte. Nu ja: leek te werken.

‘U heeft een hacker op uw systeem’

Uit voorzorg mailt Cheswick meteen de beheerder van de betreffende Stanford-machine om die te verwittigen dat ze een hacker in huis hebben. Die beheerder is Castor Fu. Zo hoort Cheswick dat Fu en Shimomura al met een eigen onderzoek naar deze Adrian bezig zijn.

Wist Cheswick al dat zijn machine was gecompromitteerd? Yup, antwoordt Cheswick, we houden die hacker in de gaten

Een paar dagen later krijgt Cheswick bovendien een bezorgde mail van een systeembeheerder uit Frankrijk. Die had een hacker op zijn systeem aangetroffen die vanaf Stanford kwam, en bij zijn bestanden daar in Frankrijk zat een password file, afkomstig van research.att.com; wist Cheswick al dat zijn machine was gecompromitteerd? Yup, antwoordt Cheswick, ik weet het, we hebben een hacker, en met een paar anderen hou ik hem in de gaten.

Er gebeurt een paar dagen niets.

Op 20 januari meldt Adrian zich opnieuw bij Bell Labs. Hij probeert zich meester te maken van een van de accounts uit het password file dat hij denkt te hebben gestolen. Het account waarop Adrian zijn zinnen heeft gezet, is Berferd. Via dezelfde sendmail bug wil hij het wachtwoord van dat account veranderen. Weer speelt Cheswick het spelletje mee.

‘Remove all files’

Om een lang verhaal kort te houden: de sendmail bug werkt uiteraard niet, maar Cheswick emuleert een halve nacht lang hoogstpersoonlijk alle antwoorden die de computer zou hebben gegeven, teneinde de illusie van een werkende bug overeind te houden. Hij maakt in de gauwigheid het account Berferd aan, dat hij weinig privileges toekent.

Cheswick doet het geregeld voorkomen alsof zijn systeem traag als stroop is en fingeert soms botweg een systeemfout. Dan krijgt Adrian de foutmelding disk error of finger failed terug. Zo wint Cheswick tijd om uitgebreide voorzorgsmaatregelen te nemen. Soms werken Berferds commando’s écht niet. Adrian is kennelijk gewend aan het besturingssysteem BSD, maar Bell Labs draait SysV.

Halverwege de nacht houdt Cheswick het voor gezien: hij wil naar bed. Vrijwel niets dat Adrian probeert, werkt dan nog

Cheswicks enige doel is Berferd bezig te houden en meer over hem te achterhalen. Hij heeft het CERT gewaarschuwd (een instantie die computerinbraken inventariseert en onderzoekt), en bij Stanford proberen ze inmiddels een telefoontap te organiseren om vast te stellen waar Berferd precies vandaan komt. Hoe langer ze hem aan het lijntje weten te houden, hoe groter de kans dat ze de hacker kunnen lokaliseren en identificeren.

Halverwege de nacht houdt Cheswick het voor gezien: hij gaat naar huis, hij wil naar bed. Vrijwel niets dat Adrian probeert, werkt dan nog. Cheswick is er immers niet meer om de antwoorden van de computer te simuleren en zo de illusie in stand te houden dat Adrian vorderingen maakt.

Wanneer Cheswick de volgende ochtend de logs bekijkt om Adrians laatste strapatsen te bestuderen, verandert het beeld radicaal. Kennelijk is Berferd zo gefrustreerd geraakt door het rare gedrag van de machine die hij dacht in zijn zak te hebben, dat hij drastische maatregelen nam. Of beter gezegd: wraakzuchtige. In het laatste deel van de log staat niets anders dan één commando, op diverse manieren herhaald, in een bittere poging de opdracht uitgevoerd te krijgen:

Als je root bent – en Berferd meende dat te zijn op Cheswicks machine – zorgt dat commando ervoor dat alle bestanden zonder pardon worden gewist. Remove all files, recursively, forced. Na zo’n commando heb je een computer over die werkelijk niets meer kan. Zelfs opstarten kan-ie niet meer, want het commando gooit ook het besturingssysteem weg, en dus in zekere zin zichzelf. Recursief, inderdaad.

Hackers zijn zelden vernielzuchtig...

Hackers doen zoiets zelden. Een hacker wil ergens naar binnen uit nieuwsgierigheid (‘hoe werkt dit systeem?’), om toegang te krijgen tot een dienst of tot informatie die anders onbereikbaar zou zijn, om zijn vaardigheid te testen (‘ik ben slimmer dan de systeembeheerder’), en soms uit ijdelheid (‘ik heb al 200 accounts!’) of machtszin (‘die machine in Verweggistan doet precies wat ik wil’).

Sommige hackers willen systeembeheerders – of meer in het algemeen: een autoriteit die ze de toegang tot een systeem onthoudt, of die hun kennis niet serieus neemt – graag pesten. Zij nemen, anders dan de meeste hackers, geen genoegen met de stille vreugde dat ze een sysadmin te slim af waren, maar willen die hun aanwezigheid ostentatief onder de neus wrijven. Ze paraderen hun kunsten. Daar glimt hun ego dan een dag of wat extra stralend van, en het komt ze goed te pas in wedstrijdjes opscheppen met collega-hackers.

Technologie is zelden zo smart, slick and secure als fabrikanten voorgeven. Hackers leggen er eer in de gaten in dat fineer bloot te leggen

Hackers willen ergens binnenkomen waar ze niet geacht worden te zijn en willen machines iets laten doen dat die systemen niet verondersteld worden te kunnen. Dat is de raison d’être van hackers, hun wezen: ze dagen de technologie uit, ze willen aantonen dat het parmantige verhaal over technologie zich niet verhoudt tot de veelal brakke werkelijkheid die erachter schuilgaat. Technologie is zelden zo smart, slick and secure als fabrikanten voorgeven. Hackers leggen er eer in de gaten in dat fineer bloot te leggen. Ze melden lekken meestal, soms uit bezorgdheid, soms uit eerbejag. Maar hoewel ze fervent op lekken en gaten jagen, willen ze vrijwel zonder uitzondering de boel netjes achterlaten.

Dat is enerzijds een erezaak. Vrijwel alle hackersblaadjes en -handleidingen uit deze periode proclameren varianten op deze gedragscode: ‘We zoeken kennis. We zijn hier niet om iets kapot te maken, we willen de boel juist doorgronden. Wij zijn geen vandalen.’ Wie zich niet aan die code houdt, daalt verrassend snel in de achting van andere hackers en zal merken dat steeds minder mensen geneigd zijn hun informatie met hem te delen. (Aan te veel mensen rondbazuinen wat je laatste verovering is, is eveneens een goede manier om rap geïsoleerd te raken.)

[Omslag van het eerste – nog ouderwets gestencilde – nummer van Hack-Tic, Nederlands eerste hackerstijdschrift; 1989. Illustrator Koen Hottentot stak steevast de draak met het publieke beeld van de hacker als vernielzuchtige idoot.]

Anderzijds is het beginsel ook ingegeven door pragmatische overwegingen. Wie geen schade aanricht bij zijn ongenode bezoeken, verhoogt de kans dat hij ongestoord op een veroverd systeem kan blijven rondhangen en vermindert de kans dat hij serieuze vijanden kweekt en daardoor in de problemen raakt.

Natuurlijk gaat daarachter een discussie schuil wat ‘schade aanrichten’ precies behelst. Een hacker zal denken dat hij niets beschadigt wanneer hij alleen maar rondkijkt op een computer en uitzoekt of hij er root kan worden. Maar voor de sysadmin is ook dat schade: die moet dan immers zijn systeem opnieuw – en beter – beveiligen, hij moet uitzoeken of de hacker bestanden heeft veranderd, hij moet speuren of er achterdeurtjes in het systeem zijn aangebracht, controleren of programma’s en databestanden nog betrouwbaar zijn, back-ups terugzetten etc.

…maar Berferd is dat wel

Soms maakt een hacker oprecht per ongeluk iets kapot. Dat is een beschamend bedrijfsongeval: oeps. Er zijn legio hackers die een dergelijke misstap keurig aan de betreffende sysadmin hebben gemeld, soms vergezeld van tips hoe hun misstap ongedaan is te maken of in de toekomst kan worden voorkomen, bij wijze van excuus en goedmakertje. (Ook Berferd tracht eerder, gedurende diezelfde onfortuinlijke nacht van rm -rf, iets te repareren dat hij abusievelijk denkt te hebben kapotgemaakt.) Hackers die bewust iets vernielen en een systeem moedwillig kreupel maken, zijn zeldzaam.

Berferd is helaas een uitzondering op de regel. Als hij boos wordt, denkt te worden tegengewerkt of besluit dat een systeem verder nutteloos voor hem is, neemt hij geregeld wraak, en fors ook. Cheswick: ‘We hebben diverse logs gezien van Berferds activiteiten op andere machines, waarbij hij metterdaad het hele systeem wiste.’ 

Nu bijt Cheswick zich in de zaak vast: hoezo, mijn systeem weggooien? Met hulp van zijn collega’s van Bell Labs zet hij een spookmachine op

Hackers hebben vaak een eigen signatuur, iets dat ze typeert en daardoor herkenbaar maakt. Ze maken bijvoorbeeld geregeld dezelfde typefout, of ze hebben een vaste voorkeur: eerst dit lek proberen, dan dat, en pas daarna die optie. Berferds handtekening is dat hij soms destructief wordt en dan zoveel mogelijk bestanden wist.

Nu bijt Cheswick zich in de zaak vast: hoezo, mijn systeem weggooien? Met hulp van zijn collega’s van Bell Labs zet hij een spookmachine op waar Berferd schijnbaar vrijelijk zijn gang kan gaan, terwijl steeds meer mensen trachten zijn identiteit te achterhalen. Cheswick overlegt daarbij geregeld met Stanford, dat nog steeds de uitvalsbasis van Adrian Berferd is.

Vals heldendom

Cheswick en Shimomura doen allebei gedetailleerd verslag van hun wedervaren met Adrian Berferd. Hoewel de feiten en de chronologie van hun beider relaas goed op elkaar aansluiten, is er een groot verschil in focus.

[Beeld: Bill Cheswick]

Cheswick heeft inmiddels – we schrijven 21 januari 1991 – minstens drie verschillende computers op Stanford geïdentificeerd van waaraf Adrian binnenkomt bij Bell Labs. Hij heeft de beheerder van embezzle.standford.edu gewaarschuwd (te weten: Castor Fu, die de hulp van Shimomura al had ingeroepen) en overlegt geregeld met Stephen Hansen, het hoofd systeembeheer van heel Stanfords computerpark. Voorts is het CERT volgens Cheswick buitengewoon behulpzaam nadat hij hen heeft gemeld dat hij met een hacker kampt, en doen allerlei mensen en instanties hun best om de thuisbasis en de precieze omzwervingen van Adrian Berferd in kaart te brengen.

Cheswick laat in zijn verslag zien hoe organisch de informatie-uitwisseling met derden verliep. Hij vertelt aan wie hij welke tip te danken heeft, waar hij op zijn beurt een ander kon helpen, en beschrijft de speurtocht naar Adrian Berferd als een open, flexibele samenwerking. Cheswick vertelt voorts eerlijk wat Adrian naar zijn smaak slim aanpakt en waar de hacker onverwacht dom of lichtgelovig is. Hij geeft logs, komt soms met ontwapenende details, en meet zijn eigen fouten breed uit.

Shimomura schotelt zijn lezers een ander beeld voor. In zijn versie wordt Cheswick in een bijzin genoemd, bestaat Hansen helemaal niet en weet het CERT van niets. Shimomura zet zichzelf neer als de enige die zich (na Castor Fu’s aanvankelijke tip) om Adrian bekommert en die weet heeft van diens aanwezigheid op Stanford. De enige Stanford-computer waartoe Adrian volgens Shimomura toegang heeft, is embezzle, en omdat Shimomura daarop een keylogger heeft geïnstalleerd, weet hij, zo denkt hij, alles wat Adrian doet. Voorts stuiten al Shimomura’s gedegen waarschuwingen aan anderen volgens hemzelf op een muur van onwil en onbegrip, zodat hij er helemaal alleen voor staat in zijn poging deze hacker te bedwingen. Van tips van anderen is geen sprake.

Waar Adrian zijn eigen held is, geldt dat evenzeer voor Shimomura. Ze beschouwen zichzelf allebei als almachtige, geniale loners

Anders gezegd: waar Adrian zijn eigen held is, geldt dat evenzeer voor Shimomura. Ze beschouwen zichzelf allebei als almachtige loners, geniale maar eenzame bakens in een onuitstaanbare zee van onbegrip, onkunde en tegenstand. Cheswick daarentegen beschrijft onnadrukkelijk en vanzelfsprekend hoe hij opereerde binnen een gaandeweg hechter wordend web van kennis, tips en contacten.

Cheswicks verslaggeving van de kwestie Adrian Berferd is – met de terminologie van nu, en dus enigszins anachronistisch getypeerd – genetwerkt: wat wij deden, wat wij achterhaalden, hoe we elkaars kennis aanvulden, hoe jij mij hielp en ik jou. Shimomura’s versie is egocentrisch: ik deed dit, ik ontdekte dat. Zelfs Castor Fu, met wie hij de achtervolging samen inzet, slipt gaandeweg zijn verhaal uit. Wat de doodsklap is voor Shimomura’s versie (buiten het systematisch wegpoetsen van de bijdragen van derden), is dat hij een binair schema hanteert. Ik deug, dus is Adrian slecht; ik ben slim, dus is Adrian dat niet.