De Pentagon-affaire | 3: Maurice Katz

Al jaren doet het verhaal de ronde dat Nederlandse hackers begin jaren negentig naar hartelust hebben gegrasduind in Amerikaanse defensiesystemen. Ze zouden de informatie die ze daar aantroffen zelfs aan derden hebben verkocht. Maar wie een goed verhaal kapot checkt, vindt soms een beter verhaal. Dat is hier het geval. Achter de wilde verhalen over hackers gaat een conglomeraat van belangen schuil: klungelende systeembeheerders op zoek naar een zondebok, journalisten die op een scoop vlassen, beleidsmakers die willen geloven dat gevaren van ‘buiten’ komen, en wetgevers die argumenten zoeken voor strenge maatregelen.

Korte samenvatting van het voorafgaande:

Dit is deel drie in een serie van vijf. Als je luistert: in deze aflevering is Eric Smit de ‘stem’ van het nieuws.

Deel 1: Begin jaren ’90. Irak is Koeweit binnengevallen en Operation Desert Storm is ophanden. Terwijl buitenstaanders denken dat binnendringen in de computersystemen van ‘het Pentagon’ een huzarenstuk is, is dat een koud kunstje. Een paar systeembeheerders in de VS ontdekken dat ze ongenood maar hardnekkig bezoek hebben van ene Adrian Berferd, een hacker die waarschijnlijk uit Nederland komt. Berferd is nogal geïnteresseerd in defensiecomputers. De systeembeheerders zetten de jacht in.

Deel 2: Operation Desert Storm gaat van start. Het is de allereerste beeldschermoorlog: de partijen bestoken elkaar met op afstand bestuurde raketten. Deze beeldschermoorlog, die aanvankelijk zo ‘veilig’ leek, roept nieuwe vragen op: als we oorlogsvoering uitbesteden aan computers, maakt dat hackers dan niet tot een nieuw risico? Kunnen we computers eigenlijk wel vertrouwen? De bezorgdheid neemt toe wanneer de beschuldiging valt dat Nederlandse hackers Amerikaanse defensiesystemen zijn binnengedrongen.

Lees verder

Van verdachtmaking tot poging tot werving

Paul Dinnissen was al vroeg een van de vaste redacteuren van Hack-Tic. Sinds september 1989, een paar weken nadat de Galactic Hacker Party plaatsvond, werkte hij bij KPMG Klynveld. Dat was nu al bijna anderhalf jaar. Dinnissen,  geboren in 1970, heeft dan al het reserveringssysteem van de KLM gehackt en heeft laten zien dat creditcards minder veilig zijn dan ons lief is.

KPMG wist van Pauls banden met Hack-Tic. Zijn aanstelling was om die reden zelfs in de raad van bestuur besproken en er waren afspraken gemaakt om zijn werk en zijn ‘hobby’ gescheiden te houden. Dinnissen begon bij KPMG als junior-assistent en testte later de computerbeveiliging van klanten, vooral die van banken. Hij trad voorts namens KPMG op als docent hacken en computerbeveiliging bij de recherche-opleiding in Zutphen en werkte mee aan een aantal rapporten die KPMG voor de CRI opstelde. Al een jaar na zijn indiensttreding, in september 1990, werd hij gepromoveerd tot projectmanager. Hij was toen twintig.

In de eerste week van januari 1991 wordt Dinnissen ontboden bij Dries Neisingh, een van de vennoten van KPMG. Neisingh vertelt hem dat de CRI bezig is met een onderzoek naar Hack-Tic en daarbij helaas ook op Dinnissen is gestuit. Op de HCC-dagen van december 1990 had de CRI hem gesignaleerd achter de kraam van Hack-Tic, waar hij het publiek demonstreerde hoe eenvoudig elektronische kaarten – waaronder ook creditcards – waren uit te lezen en zelfs te kopiëren. Bovendien zou hij op die beurs de hand hebben geschud van een Duitser die op de lijst van Interpol stond.

[Beeld: Paul Dinnissen, 1989]

Dinnissen heeft geen idee over welke Duitser ze het hebben, en dat van die kopieerbare kaarten was toch een serieus probleem, waar KPMG en haar klanten dringend over moesten nadenken? Hij vindt niet dat hij iets verkeerds heeft gedaan. Wel verbaast hij zich er hogelijk over dat zijn gangen kennelijk door een nationale inlichtingendienst worden gevolgd, dat zijn hoogste baas dat weet, en dat die hem daarvan bovendien in een persoonlijk onderhoud op de hoogte stelt.

Dinnissen slaat aan het piekeren. Is dit misschien een loyaliteitstest? Maar hoezo dan? Zijn betrokkenheid bij Hack-Tic was bij zijn werkgever toch terdege bekend? KPMG maakte bovendien al bijna anderhalf jaar gretig gebruik van de kennis die hij daar opdeed.

Ten overvloede distantieert Dinnissen zich, op verzoek van KPMG, schriftelijk opnieuw van alle illegale handelingen of activiteiten. Zijn banden met Hack-Tic – op dat moment al weinig intensief – maakt hij daarna uit voorzorg nog wat losser.

Eind maart 1991 wordt Dinnissen opnieuw bij Neisingh op het matje geroepen. De CRI heeft KPMG inmiddels te kennen gegeven ‘grote moeite’ met Dinnissen te hebben. Zodoende brengt zijn dienstverband de buitengewoon prettige relatie tussen KPMG en de CRI in gevaar, zegt Neisingh. Bovendien loopt er inmiddels een grootscheeps onderzoek waarin ook zijn naam wordt genoemd. Dinnissen biedt aan persoonlijk opheldering te verschaffen bij de CRI.

Op 26 maart hoort Dinnissen van Neisingh dat KPMG zijn contract niettemin wil ontbinden en dat de CRI geen behoefte heeft aan dialoog met hem. Tenzij, nou ja, dat misschien, eh, die dialoog zou kunnen gaan over, uh, zijn eventuele medewerking als informant voor de CRI?

Uit bijzinnen en suggesties – steeds wanneer hij openlijk herformuleert wat hij dénkt dat hem zojuist is verteld, wordt hem te verstaan gegeven dat zoiets heus nooit is gezegd noch werd bedoeld – leidt Dinnissen af dat het onderzoek waaraan eerder werd gerefereerd, en waarin ook zijn naam schijnbaar wordt genoemd, een internationale kwestie betreft. De FBI en de CIA zouden op bezoek zijn geweest bij de CRI, en de CRI zoekt nu dringend naar tips. Als hij die wil geven of informatie wil helpen opdiepen, kan hij mogelijk zijn onschuld aantonen en zo zijn baan bij KPMG behouden.

Alles bepaalt zich tot hints, hypotheses en half afgemaakte zinnen. Dinnissen schrikt. Dit is niet zijn wereld

Dinnissen heeft werkelijk geen idee waarover het gaat. Wat meer is: hij realiseert zich dat hij plotsklaps in een schaduwwereld is terechtgekomen. Niets wordt openlijk uitgesproken, er wordt geen duidelijk feit of omlijnde beschuldiging op tafel gelegd. Alles bepaalt zich tot hints, hypotheses en half afgemaakte zinnen. Hij schrikt. Dit is niet zijn wereld, hij heeft altijd openheid betracht – zowel in zijn werk en als hacker. Bovendien wil hij onder geen voorwaarde informant worden.

Bij KPMG blijven is inmiddels geen optie meer, dat snapt Dinnissen ook wel, maar zich zomaar laten ontslaan wil hij evenmin, al was het maar omdat hij inmiddels vreest dat weggaan zonder gevecht als een schuldbekentenis zal worden opgevat.

Er wordt gesteggeld over een ontslagregeling. Dinnissen rekt de zaak, doelbewust – en met een goede reden. Een paar maanden eerder, voordat dit circus losbarstte, had hij een reis naar de VS geboekt: hij wilde zijn zusje trakteren op een bezoek aan Disney World. Ze zouden in mei vertrekken. Dat was over een paar weken. Als er inderdaad een internationaal onderzoek naar hem liep, is Dinnissen gedurende die reis graag nog formeel in dienst bij KPMG.

Vandalisme

In april 1991, een paar weken na de poging om Dinnissen als informant te werven, komt de vastgelopen zaak rond Adrian Berferd alsnog in een stroomversnelling.

Wietse Venema, een internationaal vermaard beveiligingsexpert die dan bij de TU Eindhoven werkt, volgt al bijna een jaar lang de omzwervingen van een handvol hackers op en rond de TUE. Een aantal daarvan behoort tot de TimeWasters, een vriendenclub van hoofdzakelijk informaticastudenten, waar ook een paar fervente hackers tussen zitten. Naast deze TimeWasters houdt Venema ook enkele andere Eindhovense hackers scherp in de gaten.

In hun kielzog dicht Venema links en rechts gaten en waarschuwt hij de systeembeheerders van machines waar zijn studenten zijn binnengeslopen. Soms mailt hij de hackers om ze om opheldering te vragen over hun strapatsen. Venema laat ze vooral geregeld vriendelijk weten dat hij een oogje in het zeil houdt en maant ze op die manier tot voorzichtigheid. Zo belt hij een keer naar het enige computerlokaal van de faculteit, waar op dat moment een paar TimeWasters onbekommerd zitten te klooien. Tot hun schrik leest hij ze aan de telefoon woordelijk voor wat een van hen op dat moment via een terminal op een gehackte computer elders aan het intypen is.

De activiteiten van de TimeWasters zijn over het algemeen onschuldig. De universiteit gaf indertijd geen internet-accounts aan studenten, zelfs niet wanneer zij informatica studeerden – in de geschiedenis van de TimeWasters wordt de TUE om die reden ook wel de ‘Theoretische Universiteit Eindhoven’ genoemd – en ze wilden per se dat internet op. Ze gebruiken hun slinks verkregen accounts om usenet news te lezen, om programmeertalen uit te proberen of om een partijtje hackerschaak aan te gaan met een sysadmin elders. ‘Als ik dit doe, dan doe jij vast dat. Tuurlijk, snap ik. Maar dan doe ik dít. Ha. Heb ik je nu schaakmat of niet!?’

Soms gaan ze over de schreef. Zo waren de TimeWasters enige tijd in staat om Venema’s privé-mail te lezen: ze hadden een sniffer geïnstalleerd die wachtwoorden van willekeurige machines onderschepte, en stuitten zo bij toeval op Venema’s wachtwoord bij de TUE. Dat was eind januari 1991 – kort voordat Venema zijn handen vol kreeg met de kwestie Adrian Berferd.

Tussen ‘zijn’ hackers bevindt zich echter ook iemand die soms botweg rm -rf doet

Au fond hebben de TimeWasters en Venema een goede verstandhouding. Hij roept ze soms tot de orde, maar nodigt ze ook wel bij hem thuis uit. Eén van de TimeWasters, die pal naast Venema woont, mag zelfs via de dakgoot een ethernetkabeltje naar Venema’s computer trekken, en krijgt zo internettoegang.

Venema mag ze enerzijds willen beschermen en opvoeden (hij vindt het geen kwade jongens: ze zijn vooral aan het dollen en hun krachten met professionals aan het meten), maar hij heeft anderzijds weinig scrupules om derden omtrent hun ongenode aanwezigheid elders te verwittigen. Hij doet dat echter altijd na gedegen onderzoek, en zijn toon is daarbij rustig en onderkoeld, zonder paniek te zaaien of de situatie erger voor te stellen dan die is. Bovendien tikt Venema en passant geregeld ook de betrokken sysadmins op de vingers. ‘Dat dit nog open staat en dat je dat niet hebt gepatcht, mensenlief toch!’

Tussen ‘zijn’ hackers bevindt zich echter ook iemand die soms botweg rm -rf doet. Zulk gedrag bevalt Venema absoluut niet. Dat is vandalisme.

Het net sluit zich rond Adrian

Cheswick, die bij AT&T op Adrian Berferd joeg, vertelt in zijn verslag dat hij sinds januari 1991 geregeld mail van Venema ontvangt over de kwestie Berferd. Dat contact moet van Venema zelf zijn uitgegaan. Want al hebben zowel Shimomura als Cheswick inmiddels sterke aanwijzingen dat Berferd uit Nederland komt, geen van beiden hebben ze enig idee waar in Nederland precies, laat staan dat ze weten wie ze over de inbraak kunnen mailen om nadere inlichtingen in te winnen. Kennelijk zit een van de mensen die Venema in het vizier houdt – en waarover hij de benadeelde sysadmins steevast inlicht – te rommelen bij Stanford of bij AT&T, en heeft Venema zijn collega’s daar vervolgens gewoontegetrouw ingelicht.

[Beeld: Wietse Venema]

Uit de mails die de TimeWasters hebben onderschept, blijkt dat Venema even met de gedachte heeft gespeeld dat een van hen bij de zaak betrokken zou kunnen zijn. Maar nee. De TimeWasters hangen vooral rond op het Massachusetts Institute of Technology (MIT), en blijken bovendien steevast bereid hem in detail uit te leggen wat ze hebben gedaan, en waarom.

Op 31 januari 1991 stuurt Hansen, het hoofd systeembeheer van Stanford, een lange mail naar Shimomura, Cheswick, Venema en het CERT. Hij vat daarin alles samen wat dan over Adrian bekend is. Hansen citeert daarbij uitgebreid uit een eerdere mail van Venema. Van bijna alle Stanford-computers waartoe hij toegang had weten te verkrijgen, is Adrian inmiddels afgeschopt; hij kan alleen nog terecht op embezzle en de daaronder hangende computers (waar Shimomura en Fu hem loggen). Via Stanford heeft Adrian onder meer uitstapjes gemaakt naar machines in Japan en Frankrijk. Het commando rm -rf heeft hij herhaaldelijk ingezet, gelukkig meestal zonder succes: onder meer bij inet.att.com, sun.com, praxis.cs.ruu.nl en embezzle.stanford.edu.

Bekende signatuur

Uit diezelfde mail blijkt dat Venema, al spoorzoekend, inmiddels Adrians signatuur heeft herkend. Wat Adrian doet, lijkt namelijk als twee druppels water op wat iemand eerder in Eindhoven had geflikt. Niet alleen dat verdomde rm -rf commando, ook de manier waarop Adrian tussen systemen heen en weer springt en de routes die hij daarbij gebruikt, heeft Venema eerder gezien.

Venema geeft de Amerikanen een naam: RChack. In september 1990 had iemand die zich met dat pseudoniem tooide, alle bestanden van het rekencentrum van de TUE gewist. (Diezelfde RChack, zo melden de TimeWasters, had ook al eens alle afstudeerverslagen van studenten op de TUE gewist.) Venema weet wie RChack is en geeft de Amerikanen zijn echte naam: Maurice Katz.

Adrian Berferd is RChack is Maurice Katz – de achtervolgers zijn nu zeker van hun zaak

Hansen bevestigt Venema’s vermoeden. Er zijn innige banden tussen de pseudoniemen Adrian Berferd en Maurice Katz, en tussen Berferd en RChack. Zo sprong Adrian recent vanaf Stanford naar een ander systeem om daar de e-mail van Maurice Katz te lezen, en nadat Adrian de pas was afgesneden op bijna alle Stanford-computers, zag Hansen steeds hoe ene RChack daar trachtte binnen te komen en via Stanford naar een militair systeem wilde overstappen. Adrian Berferd is RChack is Maurice Katz – de achtervolgers zijn nu zeker van hun zaak.

Niettemin valt de speurtocht hierna voor de tweede keer stil. Er is nog altijd geen uitleveringsgrond voor wat Katz doet. Bovendien weet niemand zeker of wat Katz doet, nu echt zo erg is. Hij is een lastpak, maar is hij ook een (inter)nationaal veiligheidsrisico? Daar is werkelijk geen enkel bewijs voor.

Van lieverlee doet iedereen opnieuw een stap terug. Cheswick houdt Adrian bezig op zijn spookmachine, Shimomura logt embezzle, Venema bestudeert al het uitgaande verkeer in Eindhoven en deelt gewoontegetrouw soms een waarschuwing uit.

Wel wordt Venema nadrukkelijker in zijn vaderlijke vermaningen. Zo vertelt hij in maart 1991 aan de hackende leden van de TimeWasters – die nog steeds op het MIT rondhangen – dat de FBI ook die computers in de gaten houdt. Of ze alsjeblieft een beetje willen opletten? De TimeWasters reageren lacherig: ‘Duh, de FBI. Alsof wat wij daar doen nou zo interessant is...’ Dat was het inderdaad niet, maar Venema weet dat er inmiddels een internationaal onderzoek gaande is waarin Eindhovense hackers figureren, en is beducht voor onbedoelde, onverdiende bijvangst. En soms lijkt Venema te vermoeden dat een enkele TimeWaster ook minder onschuldige dingen doet.


Tsutomu Shimomura

"Venema wist zijn naam, adres, telefoonnummer en zelfs zijn bankrekeningnummer"

#Ophef in Amerika

Shimomura maakt melding van slechts één mail van Venema, ontvangen in april 1991. ‘Hij vertelde dat hij een groepje Nederlandse coders heeft getraceerd die op Amerikaanse netwerken inbraken. Hij kon precies vertellen wie Berferd was: hij wist zijn naam, adres, telefoonnummer en zelfs zijn bankrekeningnummer.’ Als Venema inmiddels zulke gedetailleerde informatie prijsgaf, moet hij bovenmatig getergd zijn geweest – of buitengewoon bezorgd. Kennelijk zag hij werkelijk geen andere manier meer om Berferds gedrag binnen de perken te houden dan door man, paard en schoenmaat te noemen.

Terwijl alle betrokkenen de tot dan toe vergaarde informatie over Berferd in eigen kring hielden, treedt Shimomura na Venema’s onthulling plotsklaps met het nieuws naar buiten. Hij geeft Venema’s informatie door aan John Markoff, een journalist van The New York Times, die zich toelegt op technologie.

Shimomura vertelt Markoff dat hij Adrian al sinds januari van dat jaar volgt. Dat er tal van andere speurders bij de zaak betrokken zijn, verzwijgt hij. Dat Berferd weinig meer heeft gedaan dan accounts verzamelen, overal gretig rondneuzen, van computer naar computer hoppen en soms baldadig (maar altijd vruchteloos) systemen poogde te vernielen, vertelt Shimomura Markoff evenmin. Wat hij wel zegt: Amerikaanse defensiesystemen worden door buitenlandse criminelen gehackt; het betreft een gecoördineerde aanval, en ik was zo slim om die lui te onderscheppen.

The New York Times pakt flink uit. Markoff krijgt op 21 april 1991 zelfs de voorpagina voor zijn stuk. Shimomura wordt er anoniem in opgevoerd, maar zijn stem klinkt zwaar door in het artikel. Markoff beschrijft hem als een ‘unusually skilled computer researcher’, en zet Shimomura neer als een lonesome hero:

De makke met Markoff

Markoffs artikel is om een aantal redenen intrigerend. Het bevat een onuitgesproken spagaat, een paradox die vaak speelt in berichtgeving over hackers. Markoff benadrukt enerzijds hoe ernstig de kwestie is – Nederlandse hackers hebben vrij spel op Amerikaanse militaire systemen! – en betoogt anderzijds nadrukkelijk dat het om een stelletje klungels gaat die bovendien nergens de hand op wisten te leggen. Als ze inderdaad klungels zijn, en niets van belang hebben kunnen achterhalen, is de zaak bepaald minder ernstig dan Markoff suggereert, en derhalve wellicht geen voorpaginamateriaal.

[John Markoff]

In het verlengde daarvan ligt de onbeantwoorde vraag hoe het mogelijk is dat militaire computers zo slecht zijn beveiligd dat buitenstaanders er vrij eenvoudig toegang toe weten te krijgen, slechts uitgerust met wat instructies die je kennelijk op internet kunt vinden en die je alleen maar regel voor regel hoeft uit te voeren. Springt Defensie werkelijk zo laks met haar computers om?

Verder wordt Nederland opgevoerd als vrijplaats, een land waar hackers ongestoord hun gang kunnen gaan. Het conflict wordt beschreven als een botsing tussen twee naties, niet – wat logischer zou zijn, temeer daar landsgrenzen weinig relevant zijn op internet – als een conflict tussen beveiligers enerzijds en hackers anderzijds. Dat de Nederlandse beveiligingsdeskundige Venema de boosdoener al enige maanden in de smiezen had en dat hij de cruciale tip aan zijn Amerikaanse collega’s doorgaf, zonder dat die er veel mee deden (laat staan dat zij vervolgens op basis daarvan hun eigen gaten wisten te dichten), wordt evenmin vermeld.

Voorts worden ongelijksoortige hacks ineens samengevoegd en beschreven als het resultaat van een group effort: alsof er sprake was van coördinatie, overleg en orkestratie – van een masterplan, kortom. Er was geen groep, er was geen plot. Er waren alleen maar her en der nieuwsgierige hackers. RGB, waarschijnlijk de man die voor de VARA de inbraak in San Diego demonstreerde, kende RChack niet, ook niet onder zijn pseudoniem Maurice Katz. Rop Gonggrijp – die ervan werd beschuldigd een van de ‘principal players’ in deze hack te zijn, had geen idee wie Maurice Katz was; hij kende indertijd zelfs de TimeWasters hooguit van horen zeggen..

Tot slot zijn er sterke aanwijzingen dat Markoff het bereik van de hackers heeft aangedikt. Zo meldt hij dat de Nederlanders zich ‘onder meer’ toegang zouden hebben verschaft tot het Kennedy Space Center. Ron Tencati, indertijd hoofd beveiliging van NASA Science Internet (waaronder het Kennedy Space Center valt), verklaarde echter twee dagen na de verschijning van Markoffs artikel publiekelijk, en op afgemeten toon: ‘Ik heb GEEN meldingen ontvangen die erop wijzen dat de computers van het KSC zijn gehackt of op enigerlei wijze betrokken zijn bij de kwestie van de Nederlandse hackers.’

Dat hij geen meldingen heeft ontvangen, betekent uiteraard niet dat er niets is gebeurd. Maar Tencati was terdege op de hoogte, hij was een spin in het web. Hij coördineerde indertijd het NASA Incident Response Center, waar alle incidenten rond de NASA worden gemeld, hij had goede banden met de FBI en hij overlegde dagelijks met het CERT/CC. Als zo iemand Markoff en Shimomura publiekelijk afvalt, is dat een goede reden om aan hun beweringen te twijfelen.

Zulke kanttekeningen daargelaten: er hingen wel degelijk Nederlandse hackers rond op Amerikaanse systemen, waarvan tenminste één het bij uitstek had voorzien op militaire systemen. Dat was derhalve nieuws. Markoffs primeur wordt overal in Amerika overgenomen. Daags erna melden ook de Nederlandse kranten de zaak prominent.

Deel dit artikel, je vrienden lezen het dan gratis

Over de auteur

Karin Spaink

Gevolgd door 723 leden

Schrijft over technologie, internet, gezondheid, gender, burgerrechten en politiek. Eindredacteur bij FTM.

Verbeteringen of aanvullingen?   Stuur een tip
Annuleren