Desert Storm

Adrian Berferd is geen geweldige hacker, constateert Shimomura. Berferd lijkt volgens hem vooral te putten uit het arsenaal van trucs en bugs dat hackers onderling uitwisselen. Adrian probeert gewoon systematisch alles uit.

Soms heeft zijn vasthoudendheid resultaat. Zo ziet Shimomura hoe Adrian met het account news tracht in te loggen op een NASA-computer. UNIX-systemen zijn standaard uitgerust met dat account en gebruiken het om onderling usenet-berichten uit te wisselen. Beheerders dekken dat account niet altijd netjes af. Dat is ook hier het geval. Wanneer Adrian zich aanmeldt als de gebruiker news, verwelkomt de NASA-computer hem trouwhartig en meldt ten overvloede dat er nog geen wachtwoord op zijn account zit; wil hij dat nu wellicht aanmaken? (Veel kun je overigens niet aanvangen met zo’n account.)

[Beeld: Tsutomu Shimomura]

Een andere keer kijkt Shimomura geamuseerd toe hoe Adrian koppig een serie commando’s uitprobeert en daarbij geduldig het hele alfabet afwerkt, in de hoop ergens een optie te vinden die hem meer mogelijkheden verschaft: mail -a, mail -b, tot en met mail -z, en daarna alles van voor af aan maar nu met hoofdletters: mail -A, mail -B. Levert het mail-commando niks op? Dan vol goede moed het volgende commando geprobeerd, met weer alle letters van het alfabet als switch.

Hoe het Adrian lukt, vertelt Shimomura niet, maar de hacker weet zich toegang te verschaffen tot de computers van het Pacific Fleet Command, onderdeel van de Amerikaanse marine. Adrian grasduint naar hartelust in de niet-geclassificeerde mail die daar is opgeslagen. Met een zoekcommando speurt hij naar alle berichten waarin het woord Golf voorkomt. (Een nieuwe aanwijzing dat Adrian een Nederlander is; Amerikanen hebben het uiteraard over de Gulf, niet over de Golf.)

Het zit Shimomura niet lekker dat Adrian in die militaire mail kan rondneuzen. Want hoewel de Golfoorlog zich dan nog beperkt tot Irak en Koeweit, formeren de Amerikaanse troepen zich in die periode al in de Perzische Golf. De voorbereidingen voor Operation Desert Storm zijn in volle gang. 

Shimomura besluit een val te zetten. Vanaf de Stanford-computer die Adrian nog steeds als uitvalsbasis gebruikt, start Shimomura een telnet-sessie met het Los Alamos National Laboratory (LANL) en laat die doelbewust open staan. Het LANL is een van de vele instanties die zich met nationale veiligheid, wapenontwikkeling en kernenergie bezighouden; Shimomura heeft er een paar jaar gewerkt en kent er de weg. Wanneer Adrian zich weer op embezzle meldt, zo redeneert Shimomura, zal hij eerst kijken wat er op die machine gaande is en daarbij ongetwijfeld op die oude telnet-sessie stuiten.

Dat is precies wat er de volgende dag gebeurt. Adrian komt binnen op embezzle, kijkt gewoontegetrouw wat er op de machine aan processen gaande is en ontdekt de verlopen telnet-sessie naar het LANL. Nieuwsgierig probeert hij lanl.gov binnen te komen. Staande die poging belt Shimomura de beheerders van het LANL en attendeert ze op de hacker die op dat moment aan hun deur staat te rammelen.

Het Amerikaanse ministerie van Energie wil een telefoontap instellen om te bepalen vanaf welke locatie Adrian op Stanford inbelt, om zo zijn identiteit te achterhalen

Adrian heeft er ineens een geduchte vijand bij, meldt Shimomura: het Amerikaanse ministerie van Energie, onder wiens verantwoordelijkheid het LANL valt.

De VS roepen de hulp van Nederland in

Het Amerikaanse ministerie van Energie wil een telefoontap instellen om te bepalen vanaf welke locatie Adrian op Stanford inbelt, in de hoop zo zijn identiteit te kunnen achterhalen. Cheswick weet te vertellen dat Berferd inmiddels is getraceerd naar Washington, Portugal en uiteindelijk Nederland. Zowel hij als Shimomura melden dat de PTT in Nederland geen gehoor geeft aan het verzoek van het Amerikaanse ministerie: er is in Nederland geen wet die hacken verbiedt, en zodoende ontbreekt het de PTT aan een rechtsgrond om een telefoontap te installeren.

Niemand weet precies hoe het verder moet; de zaak Adrian Berferd lijkt dood te lopen. Shimomura en Fu geven de jacht op. Ze loggen Adrians manoeuvres als vanouds, maar doen niets meer met de gegevens die ze blijven verzamelen. Cheswick houdt Berferd bezig op zijn spookmachine, van waaraf Berferd geregeld tracht andere machines binnen te komen, waarna Cheswick de getroffen sysadmins logs verschaft opdat zij hun gaten kunnen dichten. Er gebeurt niet veel bijzonders, behalve dat Berferd ijverig accounts blijft verzamelen.

Wargames: de laatste geregisseerde oorlog

De Golfoorlog is inmiddels geëscaleerd. Op 17 januari 1991 verklaarde een alliantie van 34 landen de oorlog aan Saddam Hoessein en Irak; het conflict domineert wekenlang het nieuws. Olie is belangrijk, en het is decennia geleden dat zoveel westerse landen zich gezamenlijk in een gewapend conflict waagden.

De Golfoorlog is de eerste gecomputeriseerde oorlog die we hebben meegemaakt. Of nou ja, meegemaakt: we hebben hem indertijd vooral aanschouwd, als was het een spektakel dat zich zuiver op televisieschermen en militaire monitors ontvouwde, een etherische voorstelling van zich voortspoedende strepen in de lucht en soms een lichtflits aan een verre horizon. De Golfoorlog was de eerste beeldschermoorlog. Desert Storm was vooral een luchtoorlog, met een hoofdrol voor vliegtuigen en helikopters. Tijdens de 42 dagen van de operatie zijn er meer dan 100.000 sorties uitgevoerd door 2250 vliegtuigen, die 88.500 ton aan bommen hebben afgeworpen.

Een belangrijke rol in deze oorlog was weggelegd voor kruisraketten en de patriot missiles: slimme, doelzoekende, door software aangestuurde langeafstandsraketten, die in deze oorlog hun debuut maakten. De patriots werden al jarenlang getest, maar waren nimmer in een daadwerkelijk conflict ingezet. Nu domineerden ze het toneel. De alliantie deed wekenlang weinig anders dan kruisraketten op Irak afvuren vanaf oorlogsbodems op zee of vanuit militaire enclaves in Saoedi-Arabië en Egypte, en met patriots de scuds – de veel ouderwetser raketten die Irak op zijn beurt lanceerde – in hun vlucht proberen te onderscheppen.

Deze oorlog werd exclusief verteld, vertaald, uitgelegd en geannoteerd door deskundigen

Operation Desert Storm was ogenschijnlijk clean. Er waren nauwelijks beelden van bloederige slachtoffers of verwoeste stadsgebieden voorhanden; de raketinslagen vonden vooral in Irak plaats, en pas halverwege het internationale offensief stonden de Iraki toe dat satellietbeelden uit het land naar het westen werden gestuurd. Al Jazeera, de nieuwszender uit Qatar, bestond nog niet.

De Golfoorlog was tevens – maar dat wisten we toen nog niet – de laatste grote oorlog die werd gevoerd zonder inmenging van internet. Deze oorlog werd exclusief verteld, vertaald, uitgelegd en geannoteerd door deskundigen. Er was geen ongemedieerde verslaggeving mogelijk, geen kanaal voor ongepolijste tegenstemmen, geen mogelijkheid voor betrokkenen om van zich te laten horen, geen manier om de effecten van die raketinslagen wereldkundig te maken zonder geannexeerd en gebruikt te worden door een der partijen. Er was geen medium waarlangs de verwarrende beelden en berichten van angstige of boze burgers rechtstreeks verspreid konden worden. Het was de allerlaatste oorlog waarbij politici en bevelvoerders de beelden en berichtgeving tot op grote hoogte konden selecteren, regisseren en duiden. 

De ferme greep die de strijdende partijen op beelden en verslagen hadden, werd sterk bevorderd door het hightech-karakter van deze oorlog. Hij werd grotendeels op afstand gevoerd; tot aan het grondoffensief in de laatste week kwamen er amper soldaten en voetvolk aan te pas.

Oorlog als animatie

Het leek allemaal verdomd veel op een computerspel: een oorlog die gevoerd werd zonder fysiek contact, zonder handgemeen, zonder de vijand ooit in de ogen te hoeven zien. Een druk op een knop volstond om tegenstanders uit te schakelen: het strijdterrein manifesteerde zich slechts op een monitor. De oorlog leek een anoniem, gezichtsloos treffen: virtueel en daardoor schijnbaar pijnloos.

Er werd hardop gefilosofeerd over de mogelijkheid om militairen voortaan te trainen met computerspelletjes. Het verschil tussen simulatie en werkelijkheid leek te vervagen: we speelden alleen maar een potje Space Invaders. Wolfenstein 3D leek warempel echter dan deze oorlog.

Vandaar wellicht ook dat het Journaal ineens mannen met snorren inzette die avond aan avond in zandbakken piketpaaltjes en maquettes verschoven en aanwijsstokken gebruikten waarmee ze routes en tactieken in het zand schetsten. Verslaggevers zochten naar manieren om deze oorlog tastbaar te maken, om verhalen te vinden bij wat eigenlijk niets anders was dan een serie lichtsporen op een computerscherm. We speurden verwoed naar de mensen achter de oorlog. We waren het zicht op de werkelijkheid kwijt.

Als we zulke ingrijpende handelingen kennelijk hadden gedelegeerd aan computers, waren we dan zelf wel de baas over zulke beslissingen?

Want die klinische verbeelding van een bloedserieuze oorlog riep behalve geruststellende afstand ook ongemak op. Als er nu volop computers werden ingezet om oorlog te voeren, als zelfs onze raketten op afstand werden bestuurd en op software draaiden, als we zulke ingrijpende handelingen kennelijk hadden gedelegeerd aan computers, waren we dan zelf wel de baas over zulke beslissingen? Konden we nog persoonlijk ingrijpen als ergens iets misliep in een programma, of hadden we onszelf onbedoeld overgeleverd aan de nukken van computers die we niet helemaal meer konden doorgronden of beheersen?

En áls we onze oorlogen inderdaad hadden uitbesteed aan computers, maakte dat hackers dan niet tot een onberekenbare factor? Als zij onbevoegd in andermans computers konden rondstruinen – en we wisten inmiddels dat ze dat inderdaad konden, en deden – zouden ze immers ook militaire computers kunnen binnendringen.

Hoe groot was de kans dat zij militaire geheimen konden opdiepen en die zouden verkopen aan geïnteresseerde derden? Of – je moest er niet aan denken – aan de vijand zelf? Bestond de mogelijkheid dat ze konden rommelen met de software die deze ultramoderne raketten aanstuurde, zodat die raketten onklaar raakten, of erger – en alweer: je moest er echt niet aan denken – dat onze eigen raketten tegen onszelf konden worden gebruikt?

De veilige gedachte: het gevaar komt van buiten

In bijna ieder modern achterhoofd zit een vaag, maar archetypisch beeld dat goed werd gevangen in de film WarGames (1983). De samenleving is sterk afhankelijk geworden van computers. Die regelen grote delen van onze infrastructuur, die tegenwoordig zo ingewikkeld is dat die niet meer met de hand is te besturen. We hebben, als tovenaarsleerlingen, systemen gebouwd die ons de facto boven het hoofd zijn gegroeid.

Dat besef gaat gepaard met een zeker ongemak. Waar geautomatiseerd is, kunnen kleine fouten grote gevolgen hebben. Kwetsbaarheden planten zich ongebreideld voort; wat een computer voor ‘waar’ verslijt, strookt niet per definitie met onze feiten of perceptie; niemand heeft nog overzicht wat waar wordt geregeld, hoe beslissingen tot stand komen, en op basis van welke informatie.

De fout zat in AT&T’s eigen programmatuur. Niettemin heeft het bedrijf tijdenlang getracht hackers de schuld te geven van zijn eigen falen

We weten ook dat er geen alternatief is, en dus rest ons weinig anders dan die vage onrust te smoren. Daarnaast is het sowieso buitengewoon moeilijk je er rekenschap van te geven dat iets dat met de allerbeste bedoelingen is gebouwd, ongewild en onbedoeld fouten kan bevatten of onvoorziene risico’s kan opleveren. We kijken liever naar de intenties van de makers dan naar de effecten van het gemaakte. We doen alsof de oprechtheid van de intenties een garantie is voor een prettige uitkomst ervan.

Dat is precies een van de redenen waarom hackers veel aandacht in de media krijgen. Hackers tonen enerzijds aan dat je met kwade wil een systeem ernstig kunt verstoren, maar leveren anderzijds de welkome geruststelling dat het gevaar godlof van buitenaf komt en niet in het systeem zit ingebouwd, en er geen inherente eigenschap van is. Het is prettiger te kunnen geloven dat risico’s – onbedoelde effecten; onverwachte uitval; verkeerde inschattingen; ongewenste beslissingen – slechts worden veroorzaakt door een externe verstoring en uitsluitend te wijten zijn aan de illegale inmenging van onbevoegden. Als zulke onverlaten er niet waren, zou alles werkelijk als een zonnetje draaien.

Maar dat is niet zo. Bruce Sterling beschreef in The Hacker Crackdown (1992) hoe op 15 januari 1990 als gevolg van een fout bij AT&T alle interlokale verbindingen van het telefoonnet rond Manhattan in korte tijd ineen stortten. Zestigduizend mensen konden zelfs geen lokale telefoonverbinding meer maken. De uitval plantte zich razendsnel van de ene centrale naar de andere voort. Binnen een paar uur lag de helft van het hele AT&T-net plat en was de andere helft overbelast. De fout zat in AT&T’s eigen programmatuur. Niettemin heeft het bedrijf tijdenlang getracht hackers de schuld te geven van zijn eigen falen, en was deze gebeurtenis de aanleiding voor absurd strenge anti-hackerswetgeving in de VS.

Op 1 en 2 juli 1991 begaf de software van AT&T het weer, nu in Washington DC, Pittsburgh, Los Angeles en San Francisco; twaalf miljoen mensen zaten zonder telefoon. De crash bleek te wijten aan een tikfout in een programma. Elf weken later, op 17 september 1991, vielen de schakelstations van de telefooncentrales in New York uit omdat ze ineens zonder elektriciteit zaten. De back-up generatoren faalden en de automatische waarschuwingssystemen deden niet wat ze hadden moeten doen. Het gevolg was dat drie vliegvelden zonder telefoon- en computerlijnen zaten, vijfhonderd vluchten moesten worden gestaakt, vijfhonderd andere vluchten werden vertraagd (zodat ook de schema’s van vliegvelden elders in de VS en in Europa danig in de war raakten) en dat geen van de opgehouden passagiers naar huis kon bellen om te zeggen dat ze helaas wat later zouden komen.

Deze drie crashes hebben miljarden gekost: aan schadevergoedingen, aan gederfde inkomsten en aan intern onderzoek. Bovenal hebben ze het vertrouwen in Ma Bell ernstig geschokt en hackers in een schril daglicht gesteld. Want zij kregen telkens de schuld, ook al bleek later dat ze er niets mee te maken hadden.

Perfecte code bestaat niet

Zulke voorvallen tonen de kwetsbaarheid van onze technologische maatschappij pregnant aan. Het is geruststellend te denken dat de oorzaak van falende systemen bij hackers ligt. Dat levert een schuldige op: iemand die moedwillig zand in de machine strooide. Beseffen dat fouten en zwakheden eigen zijn aan grote systemen en dat er niet altijd een ‘dader’ is, is lastiger te verteren.

Hackers scheppen er plezier in om aan te tonen dat ook degelijk ogende beveiliging onvermoede gaten kent

Dat hackers zich vrijwillig aandienen als kwade genius – met sardonisch plezier schieten zij gaten in de illusie van perfecte programmatuur en halen ze de belofte onderuit van computers die geen fouten maken – helpt om de angst te bezweren dat we met onze vergaande automatisering tovenaarsleerlingen op onszelf hebben losgelaten. Hackers lijken huns ondanks te bewijzen dat buitenstaanders het probleem zijn, en niet onze afhankelijkheid van computers of de inherente beperkingen van software en beveiliging.

Hackers scheppen er plezier in om aan te tonen dat ook degelijk ogende beveiliging onvermoede gaten kent; dat je systemen nooit zo slim of sluitend kunt ontwerpen dat er nergens kiertjes en barsten in zitten. Hackers bewijzen hun expertise – die, anders dan bij de tegenpartij, zelden op status of diploma’s is gebaseerd – door hun praktische vaardigheden en hun volharding in te zetten tegen de geformaliseerde kennis van geaccepteerde deskundigen. Elk lek, elk gat dat ze vinden is een trofee, een bewijs dat zij die software of die computer uiteindelijk toch de baas zijn. In die zin is elke hack een overwinning op de technologie, een bewijs van menselijk vernuft.

Natuurlijk komt er ook ego aan te pas. Niets is leuker voor een hacker dan publiekelijk te kunnen demonstreren dat hij – de buitenstaander – al die duurbetaalde programmeurs te slim af is en de zwakheden van hun systeem beter doorheeft dan zijzelf.

Sjieke hackers hopen oprecht dat hun doelwit lering trekt uit de gewonnen trofeeën en bieden hun kennis daarna onzelfzuchtig aan om zo’n systeem te verbeteren. Het intellectuele punt dat ze met de hack zelf hebben gescoord, volstaat. De slimste hackers gebruiken hun bevindingen als argument dat we beter moeten nadenken welke informatie we uit handen geven, hoe we die verzamelen, opslaan en verwerken, en met welke premisses systemen worden ontworpen. Ze gebruiken hun hacks als middel om aan te tonen dat automatisering meer doet – of juist: minder kan – dan ons is beloofd.

Maar zelfs de hacker die alleen zijn eigen ego hoopt op te vijzelen door zijn kunsten te etaleren, staat uiteindelijk aan de goede kant. Zijn behoefte om zijn overwinning op programmeurs, beveiligers en beheerders te demonstreren, vergt immers dat hij de gevonden gaten beschrijft. Zodoende kunnen ze worden gedicht. En daar heeft iedereen baat bij.

De hackers die we echt moeten vrezen, zijn degenen die een lek uitbuiten en niemand iets vertellen. Zij onttrekken onbevoegd informatie aan een systeem, benutten gaten in software en systemen, en baten mankementen uit, of scheppen die, voor eigen gewin.

Hackten Nederlanders Amerikaanse defensiesystemen?

Op 2 februari 1991 – de geallieerde aanval op Irak is dan twee weken gaande – zendt het VARA-programma Achter het nieuws een item uit over hackers. Presentator Paul Witteman leidt het onderwerp op ernstige toon in: ‘Hoe komt Irak aan defensiegeheimen van de Verenigde Staten? Nu, het is niet te hopen dat de vijand beschikt over slimme computerkrakers. Deze week bleek ons dat Nederlandse hackers in staat zijn om toegang te krijgen tot Amerikaanse defensiegegevens.’

We zien iemand die vanaf zijn computer thuis, via het netwerk van de universiteit van Utrecht, contact zoekt met Amerikaanse militaire sites. De hacker laat zien dat hij er na verloop van tijd in slaagt ergens binnen te komen. Daarna blijkt de rest van de beveiliging minimaal te zijn. De hacker demonstreert hoe eenvoudig het is om, als je eenmaal binnen bent, gegevens uit zo’n systeem op te diepen die niet voor ieders ogen zijn bedoeld. Op zijn monitor zien we de tabeldefinities voorbij rollen van een database die mogelijk dient om testgegevens van de patriots in op te slaan. Andere gegevens die hij op zijn scherm tevoorschijn tovert, heeft de VARA onleesbaar gemaakt.

De VARA betoont zich verontrust. ‘Oorlog kan niet zonder techniek, en techniek niet zonder computers. Hoewel veel defensiecomputers zwaar zijn beveiligd, blijkt dat zelfs in tijden van oorlog defensiesystemen kunnen worden gekraakt. [..] Toont deze zaak niet aan dat computers beter moeten worden beveiligd?’ Als deze goedwillende hacker in een paar uur tijd kan binnenkomen, kunnen anderen dat toch ook?

De Amerikanen, die door de VARA netjes zijn gewaarschuwd, geven de inbraak toe. Ze weten niet veel meer te zeggen dan dat de ongeautoriseerde toegang tot zulke systemen verboden is en dat daar ‘dus’ straf op staat. Tevens benadrukken ze dat de bewuste computer alleen ongeclassificeerde gegevens bevatte. (Maar ja: wat moesten ze anders zeggen?)

Hack-Tic schrijft later in een redactioneel dat de betreffende inbraak ‘een tamelijk knullig systeem op de marinebasis in San Diego’ betrof. De gekozen bewoordingen (‘tamelijk knullig’) behelzen een duidelijke sneer aan het adres van de hacker in kwestie. Leuk dat je daar binnenkwam, jongen, en fijn voor je dat je onherkenbaar op tv mocht. Je voelt je vast een hele piet. Maar het stelde allemaal niet zoveel voor.

Hack-Tics toon was begrijpelijk. Enerzijds was de hack inderdaad niet erg schokkend. De live vertoonde inbraak in de marinebasis zou nadien geregeld in de internationale pers figureren en werd daarbij fiks opgeklopt, maar ook Amerikaanse beveiligingsexperts die zich over de kwestie bogen, zouden later bevestigen dat het om een vrij onschuldige hack ging, en dat de gevonden informatie minder spectaculair was dan die oogde. (Niettemin verdienen ook minder belangrijke computers een goede beveiliging, al was het maar omdat je van daaruit vaak kunt overstappen naar andere, mogelijk interessanter machines.)

Dit was precies het soort sensationele berichtgeving waar niemand iets mee opschoot, en dat de angst voor hackers en de roep om draconische wetgeving aanwakkerde

Anderzijds wilde Hack-Tic de VARA-hacker vermoedelijk publiekelijk op z’n nummer zetten. Het druiste tegen alle principes van Hack-Tic in om hacks anoniem bekend te maken, en vooral: om de betrokkenen niet ruimschoots voor publicatie uit te leggen wat de benutte kwetsbaarheid precies inhield, zodat die tijdig opgelapt kon worden. Dit was precies het soort sensationele berichtgeving waar niemand iets mee opschoot, het type nieuws dat de angst voor hackers en de roep om draconische wetgeving aanwakkerde.

Hack-Tic prefereerde de educatieve hack. Het blad legde steevast de nadruk op lekken die aantoonden dat iets niet deed wat het beloofde te doen, of die bewezen dat ingeburgerde systemen belazerd waren ontworpen of beveiligd. Het blad legde gewoonlijk eerst de makers, en daarna de gebruikers, in detail uit wat er fout ging en hoe die blunder verholpen kon worden.

Wat Hack-Tic indertijd niet wist, was dat de Nederlandse inlichtingendiensten allang gealarmeerd waren. Daar was die bij de VARA vertoonde hack niet voor nodig. Ruim voor die uitzending zochten Nederlandse inlichtingendiensten al naarstig naar ingangen om meer informatie te verzamelen over ‘onze’ hackers die overzees rondneusden in Amerikaanse militaire systemen, en die al doende allerlei lastige vragen van bevriende buitenlandse inlichtingendiensten hadden veroorzaakt.

Berferd en de VARA-hacker waren bovendien niet de enige Nederlanders die Amerikaanse defensiecomputers als doelwit hadden uitgekozen, en niet de enigen die op belangstelling van de inlichtingendiensten mochten rekenen.