De Pentagon-affaire | 4: Roddels versus brakke systemen

Al jaren doet het verhaal de ronde dat Nederlandse hackers begin jaren negentig naar hartelust hebben gegrasduind in Amerikaanse defensiesystemen. Ze zouden de informatie die ze daar aantroffen zelfs aan derden hebben verkocht. Maar wie een goed verhaal kapot checkt, vindt soms een beter verhaal. Dat is hier het geval. Achter de wilde verhalen over hackers gaat een conglomeraat van belangen schuil: klungelende systeembeheerders op zoek naar een zondebok, journalisten die op een scoop vlassen, beleidsmakers die willen geloven dat gevaren van ‘buiten’ komen, en wetgevers die argumenten zoeken voor strenge maatregelen.

Korte samenvatting van het voorafgaande:

Dit is deel vier in een serie van vijf. Als je luistert: in deze aflevering is Eric Smit de ‘stem’ van het nieuws.

Deel 1: Begin jaren ’90. Irak is Koeweit binnengevallen en Operation Desert Storm is ophanden. Terwijl buitenstaanders denken dat binnendringen in de computersystemen van ‘het Pentagon’ een huzarenstuk is, is dat een koud kunstje. Een paar systeembeheerders in de VS ontdekken dat ze ongenood maar hardnekkig bezoek hebben van ene Adrian Berferd, een hacker die waarschijnlijk uit Nederland komt. Berferd is nogal geïnteresseerd in defensiecomputers. De systeembeheerders zetten de jacht in.

Deel 2: Operation Desert Storm gaat van start. Het is de allereerste beeldschermoorlog: de partijen bestoken elkaar met op afstand bestuurde raketten. Deze beeldschermoorlog, die aanvankelijk zo ‘veilig’ leek, roept nieuwe vragen op: als we oorlogsvoering uitbesteden aan computers, maakt dat hackers dan niet tot een nieuw risico? Kunnen we computers eigenlijk wel vertrouwen? De bezorgdheid neemt toe wanneer de beschuldiging valt dat Nederlandse hackers Amerikaanse defensiesystemen zijn binnengedrongen.

Deel 3: Paul Dinnissen, een jonge hacker, krijgt problemen op het werk. De recherche probeert hem als informant te werven. Een groepje Eindhovense hackers komt in beeld: de TimeWasters. Wietse Venema, hun goedmoedige mentor, waarschuwt ze; hij weet dat er stront aan de knikker is. Venema en de Amerikaanse hackerjagers stellen definitief vast wie Adrian Berferd is: een student van Venema, ook wel bekend als Maurice Katz. Een van de Amerikaanse jagers rent met die informatie naar The New York Times. Het wordt voorpaginanieuws.

Lees verder

Het nieuws bereikt Nederland

Veel meer dan de uit Amerika overgewaaide informatie herkauwen kunnen de Nederlandse kranten niet, al speelt de affaire op ons grondgebied. Niemand is op de hoogte van Venema’s rol: vanwege Shimomura’s ijdeltuiterij wordt hij in The New York Times – de oorsprong van het nieuws – niet als bron genoemd. En Venema zelf treedt niet naar voren. Hij is er weliswaar op gebrand ‘zijn’ hackers te waarschuwen als ze te ver gaan, maar niet om ze publiekelijk aan de schandpaal te nagelen en bloot te stellen aan vervolging.

De Nederlandse kranten grijpen het nieuws aan om de juridische kant van hacken te beschrijven. Vooral het wetsvoorstel Computermisbruik, dat een juridische grondslag moet bieden om hackers te vervolgen, wordt breed uitgemeten. Justitie in Nederland reageert ongewoon laconiek op het nieuws. Het Parool meldt in een vervolgartikel, een paar dagen na Markoffs primeur: ‘Na de publicatie in de New York Times maakten alle Amerikaanse omroepen op ongelovige toon melding van de gesignaleerde “misstand”. De dienstdoende voorlichter van het Nederlandse ministerie van justitie, Victor Holtus, werd platgebeld door NBC, ABC, Reuters, AP en CNN. Holtus: “Er is inderdaad nog geen wetgeving tegen het hacken. Die moet nog door Tweede en Eerste Kamer heen, dus dat duurt nog wel een jaartje.”’

Het nieuws komt ook Paul Dinnissen onder ogen. Die beseft meteen dat dit de kwestie moet zijn geweest waarvoor de CRI hem een maand eerder als informant aanzocht. Hij besluit contact op te nemen met Rop Gonggrijp, de hoofdredacteur van Hack-Tic, en hem zijn verhaal te doen. Tot dan toe heeft Dinnissen – zijn belofte aan zijn baas getrouw – niemand van zijn oude Hack-Tic vrienden verteld over zijn sores bij KPMG.

‘Justitie beschikte over een informant in de hackerswereld’

Van Gonggrijp hoort Dinnissen dat er inderdaad door een of meerdere Nederlandse hackers in Amerikaanse overheidssystemen is ingebroken. De FBI en de CIA zouden op bezoek zijn geweest bij de CRI en erop hebben aangedrongen dat Nederland maatregelen neemt. De diverse opsporingsinstanties wisselen inmiddels informatie over hun vorderingen uit via een computer op de TU Delft, of mogelijk hielp iemand die op de TU Delft werkte, mee bij de naspeuringen naar de identiteit van de bewuste hacker(s). Hoe dan ook: de informatie die daar werd uitgewisseld, bleef niet lang geheim.

Dinnissen: ‘Van Rop, die natuurlijk van iedereen tips kreeg, hoorde ik dat die computer op de TU Delft was gekraakt en dat het hackerswereldje zodoende in grote lijnen op de hoogte was van het onderzoek. Uit de onderschepte berichten werd onder meer duidelijk dat Justitie beschikte over een informant in de hackerswereld. Gelukkig was vanuit de scene al geconcludeerd dat ik dat niet kon zijn, omdat ik van een aantal doorgebriefde feiten simpelweg niet op de hoogte was. Ik was inmiddels al een paar maanden weg uit het wereldje.’

‘Ik stuitte overal op de CRI’

Dinnissen begrijpt dat er grote belangen spelen en dat dit alles hem ver boven het hoofd gaat: de CRI, de BVD, de CIA, de FBI… Hij besluit akkoord te gaan met zijn ontslag en genoegen te nemen met een afkoopsom, maar verzoekt KPMG wel hem van een advocaat te voorzien die hem tegenover de CRI kan verdedigen, mocht dat onverhoopt nodig zijn. Een van de vennoten verwijst hem naar een degelijke advocaat van een groot kantoor, iemand die kennis heeft van informatica en van de gang van zaken bij de CRI. Wanneer Dinnissen eenmaal bij deze Van Bavel aan tafel zit, vertelt die hem dat hij tot voor kort bij de CRI in dienst was.

‘Ze schijnen zelfs te hebben bekeken of die jongen kon worden uitgeleverd op basis van het oorlogsrecht’

Dinnissen: ‘Dat was de beruchte druppel. Waar ik ook ging, ik stuitte overal op de CRI, en dat nota bene op instigatie van mijn eigen werkgever. Ik heb tijdens die bijeenkomst met die advocaat nog amper iets gezegd, behalve dat ik akkoord ging met mijn ontslag. En dat ik eerst op vakantie wilde om bij te komen, en we daarna maar verder moesten praten.’ Eind mei ontbindt de kantonrechter zijn werkverband.

Nadien heeft Dinnissen nog een paar keer kort contact met Gonggrijp en enkele andere oude vrienden. ‘Via Rop, en misschien hing het al overal in het wereldje in de lucht, hoorde ik dat ze een specifiek iemand op het oog hadden. Er zou zelfs zijn gekeken welke mogelijkheden er waren om hem uit te leveren aan de VS.’

Omdat Nederland wetgeving rond computercriminaliteit ontbeerde, was uitlevering niet eenvoudig. Maar daar was wellicht een mouw aan te passen. Dinnissen: ‘Ze schijnen zelfs te hebben bekeken of die jongen kon worden uitgeleverd op basis van het oorlogsrecht. Het argument was dat zijn informatie een Nederlandse bondgenoot in gevaar zou hebben gebracht; Nederland was immers onderdeel van de Golfcoalitie. Wij hadden twee fregatten in de Golf liggen die daar mijnen aan het vegen waren. In tijden van oorlog gelden andere regels en ander recht, en ze zochten kennelijk uit of ze daarop konden terugvallen.’

Cheswick over Berferd

Op 1 mei 1991, anderhalve week na publicatie van het artikel in de New York Times, logt Adrian opnieuw in op de spookmachine die Cheswick speciaal voor hem heeft gecreëerd. Twee dagen later, op 3 mei, krijgt Cheswick opdracht van zijn baas om zijn spookmachine uit de lucht te halen. Adrian probeert nog een paar keer vruchteloos binnen te komen bij AT&T, en verhuist zijn activiteiten dan naar een gehackte machine in Zweden.

Cheswick vat zijn ontmoetingen met Berferd als volgt samen: ‘Berferd gebruikte Stanford maandenlang als uitvalsbasis. We hebben tientallen megabytes aan logs van zijn activiteiten verzameld. Hij legde een opmerkelijke volharding aan de dag in het uitproberen (‘poken’) van andere computers. Wist hij zich eenmaal ergens een account te verwerven, dan had zo’n sysadmin weinig kans. Berferd beschikte over een puike lijst van lekken en bugs. Hij kende obscure sendmail opties en wist die vakkundig te benutten. [..] Hij had een fikse verzameling machines opgebouwd die hij grondig had gehackt [..] Iemand als Berferd wil je géén account op je eigen machine geven.’

‘[Berferds] vrienden bonden in nadat Venema de moeder van een van hen opbelde’

Sommige sysadmins die Cheswick waarschuwt, zijn boos dat hij Berferd zo lang zijn gang liet gaan. Als Cheswick die woede beantwoordt met de vraag: ‘Wat heb je liever, een hacker die op je systeem zit zonder dat je weet wat hij heeft gedaan, of een hacker van wiens activiteiten ik je nauwkeurige logs kan geven?,’ kiezen ze echter allemaal voor het laatste. Bovendien: ‘Van de pakweg honderd machines die hij [vanaf mijn spookmachine] aanviel, hadden slechts drie beheerders zijn pogingen in de gaten.’

In Cheswicks verslag is soms sprake van ‘kennissen’ van Berferd: mensen die kennelijk in zijn voetspoor volgden. Wie dat zijn, blijft onduidelijk – misschien zijn het kompanen van Berferd, misschien zijn het hackers die net als hij vanuit Eindhoven opereren, zoals de TimeWasters – hoe dan ook, ze vormen aanleiding tot wat buiten kijf de schattigste en meest ontwapenende represaille tegen hackers is: ‘[Berferds] vrienden bonden in nadat Venema de moeder van een van hen opbelde.’

Tegen jonge, onbesuisde hackers hoef je helemaal geen inlichtingendienst of oorlogsrecht in te zetten. Het is effectiever om gewoon hun moeder te bellen.


2600, The Hacker Quarterly

"Het doel van deze demonstratie is te laten zien hoe akelig makkelijk iemand zoiets zou kunnen doen"

Geen nieuws

Berferd is de pas afgesneden op Stanford en op AT&T, zijn kennissen of medestudenten zijn zich zo te horen rot geschrokken van het telefoontje naar de moeder van één hunner, van de VARA-hacker hebben we sowieso nooit meer iets gehoord, en vanwege het lek op de TU Delft wist de Nederlandse incrowd inmiddels dat ze zich beter koest kon houden. Het wordt kalm aan het hackersfront.

Buiten dat niemand iets nieuws weet te melden over de Nederlandse hackers, hebben de Amerikanen nu andere dingen aan hun hoofd. Naar aanleiding van Markoffs artikel in The New York Times heeft de Amerikaanse Senaat een hoorzitting gepland over de Nederlandse hackers en de veiligheid van militaire computersystemen. Die zal in november 1991 plaatsvinden. Allerlei betrokken instanties zijn in de maanden daarvoor druk in de weer om onderzoek te doen, rapporten te schrijven en zich voor te bereiden op hun presentatie.

Oftewel: de zaak belandt voor de derde keer in de luwte.

Gerechtvaardigde verbazing

Het Amerikaanse hackersblad 2600, indertijd goed bevriend met Hack-Tic, gooit daarom maar eens wat olie op het vuur. Er is nu zoveel publiciteit geweest over hackers die gevoelige Amerikaanse systemen konden binnendringen, dat je mag verwachten dat elke systeembeheerder die een knip voor de neus waard is, alle bekende gaten inmiddels dik en breed heeft gedicht. Toch? Nee.

Want 2600 filmt in juli 1991 een groepje Nederlandse hackers die via een overbekende FTP-bug een militaire computer binnenkomen. Het gaat zo te zien om een militaire computer in Los Alamos, waar ook het LANL zit, dat zich met de ontwikkeling van kernwapens bezighoudt. Zonder moeite weten de Nederlanders zichzelf er root te maken. En wie ergens eenmaal root is, kan verduveld ver komen – ook in aanpalende systemen.

Hoe kun je militaire systemen in hemelsnaam zo slecht beveiligen? Wordt het intussen geen tijd om mensen te ontslaan, bijvoorbeeld wegens bewezen onvermogen?

2600 benadrukt dat niemand iets heeft gekopieerd van de bewuste computer, laat staan er iets heeft beschadigd, en tekent op: ‘Het doel van deze demonstratie is te laten zien hoe akelig makkelijk iemand zoiets zou kunnen doen. [..] Het is angstig dat niemand weet wie nog meer toegang tot deze informatie heeft, noch wat de drijfveren van andere indringers kunnen zijn. Deze inbraak is een waarschuwing die niet licht moet worden opgevat.’

In hetzelfde artikel meldt 2600 bovendien dat gedurende diezelfde zomer Nederlandse hackers ook andere militaire systemen zijn binnengedrongen. Kennelijk is de situatie sinds het nieuws in april losbarstte, geen haar verbeterd en kunnen hackers nog steeds met relatief weinig inspanning in veel systemen binnenkomen. Delen van de door 2600 gefilmde exercitie worden door een Amerikaans nieuwsnetwerk uitgezonden, vergezeld van dezelfde waarschuwing: Amerika doet te weinig om zijn belangrijke computersystemen te beveiligen.

‘Beide mannen leven nu op substantieel grotere voet’

Ergens na de zomer van 1991 ontvangt Hack-Tic – mogelijk via het lek bij de TU Delft, mogelijk langs andere weg – een afschrift van een vertrouwelijk Amerikaans rapport. Het is onderdeel van een breed onderzoek naar de aanwezigheid van (Nederlandse) hackers in Amerikaanse militaire systemen. Het rapport wijst de TU Eindhoven aan als belangrijke bron van alle problemen en identificeert twee mensen met naam en toenaam als de principal players: Rop Gonggrijp en Maurice Katz.

De beschikbare gegevens over Gonggrijp en Katz – hoofdzakelijk informatie uit de tweede of derde hand – worden in het rapport als volgt samengevat:

Het rapport van Schulz

Het rapport dateert van 24 september 1990, meldt Hack-Tic. Dat is ruimschoots voor Berferds entree op Stanford en AT&T, waar hij zich pas in januari 1991 vertoonde, en derhalve voordat Shimomura en Cheswick de jacht op hem zouden inzetten. Wat Katz of Gonggrijp volgens dit rapport gedaan zouden hebben, is uit de overdruk van die ene pagina niet af te leiden.

[Beeld: Eugene Schultz]

Het document is opgesteld door Eugene Schultz, hoofd computerbeveiliging van het Lawrence Livermore National Laboratory (LLNL) en van het Computer Incident Advisory Capability team (CIAC) van het ministerie van Energie. Het LLNL, opgericht in 1952 en ondergebracht bij de universiteit van Californië, maakt deel uit van de National Nuclear Security Administration van het Amerikaanse ministerie van Energie. Het instituut is verantwoordelijk voor de ontwikkeling en veiligheid van nucleaire wapens en is zich bijgevolg gaan bezighouden met bedreigingen van de nationale veiligheid an sich, zoals terrorisme – en hackers.

Dat het LLNL al vanaf 1960 behoort tot de zeer selecte groep van Amerikaanse instanties die supercomputers in gebruik hebben, zal niet vreemd zijn aan de beslissing zaken rond hackers en computerinbraken onder het LLNL te laten ressorteren. Supercomputers zijn hoogwaardige computers met een buitengewoon grote rekencapaciteit. Ze worden hoofdzakelijk ingezet voor het ontwerpen van kernwapens en bij het kraken van encryptie. De export van supercomputers is om die reden aan banden gelegd. Centra waar supercomputers staan zijn goed beschermd, ook qua netwerk: ze nemen computerbeveiliging daar bloedserieus.

Zowel de FBI als de Amerikaanse geheime dienst hadden inmiddels undercoveroperaties lopen

In september 1990, vier maanden voordat Shimomura zag hoe Adrian in de mail van het Pacific Fleet Commando grasduinde, organiseerde het LLNL een brainstormmeeting. Het doel van de vergadering: inventariseren wat er bekend is over de Nederlandse hackers en hun werkwijze. Ook gegevens die uit hackerskringen zelf waren losgepeuterd, kwamen tijdens die bijeenkomst ter tafel. Zowel de FBI als de Amerikaanse geheime dienst hadden inmiddels undercoveroperaties lopen (overigens niet speciaal op Nederlandse hackers gericht). Daarnaast hadden enkele Amerikaanse hackers besloten informant te worden, in ruil voor ontslag van strafrechtelijke vervolging.

Spottend in de aanval

Gonggrijp vertelt later zich niet te kunnen herinneren wanneer of van wie hij de kopie indertijd ontving, noch of het een volledige versie van het rapport van Schultz betrof. ‘Het is op een gegeven moment gelekt. Ik kreeg het opgestuurd, maar ik weet serieus niet meer door wie. We kregen indertijd veel rare post.’

Erg druk maakte Gonggrijp zich indertijd niet over de kwestie. Hij wist dat hij door Nederlandse inlichtingendiensten in de gaten werd gehouden; object van onderzoek zijn was niet nieuw voor hem. En mensen schreven hem wel vaker zaken toe waar hij werkelijk niets mee te maken had.

Maar wie zo’n verslag in handen krijgt gespeeld, waarin hij persoonlijk wordt bestempeld tot ‘hoofdrolspeler’ in illegale escapades van Nederlandse hackers op Amerikaanse militaire systemen, en er bovendien van wordt beticht dat-ie daarvoor betaald zou zijn, die verdedigt zichzelf.

En zichzelf verdedigen deed Gonggrijp. Hij deed dat met de vaste wapens van Hack-Tic: openheid, ongebreidelde spot en een ferme dosis ideologie. Het blad drukte de pagina van het rapport waarin de rol van Gonggrijp en Katz werd beschreven integraal af, en in zijn hoofdredactioneel maakt Gonggrijp zich zuchtend vrolijk over de gebrekkige feitenkennis van de Amerikanen, en vooral over hun kortzichtige reactie.

Deel dit artikel, je vrienden lezen het dan gratis

Over de auteur

Karin Spaink

Gevolgd door 638 leden

Schrijft over technologie, internet, gezondheid, gender, burgerrechten en politiek. Eindredacteur bij FTM.

Verbeteringen of aanvullingen?   Stuur een tip
Annuleren