De Pentagon-affaire | 5: Iemand strooit tips en hints

Al jaren doet het verhaal de ronde dat Nederlandse hackers begin jaren negentig naar hartelust hebben gegrasduind in Amerikaanse defensiesystemen. Ze zouden de informatie die ze daar aantroffen zelfs aan derden hebben verkocht. Maar wie een goed verhaal kapot checkt, vindt soms een beter verhaal. Dat is hier het geval. Achter de wilde verhalen over hackers gaat een conglomeraat van belangen schuil: klungelende systeembeheerders op zoek naar een zondebok, journalisten die op een scoop vlassen, beleidsmakers die willen geloven dat gevaren van ‘buiten’ komen, en wetgevers die argumenten zoeken voor strenge maatregelen.

Korte samenvatting van het voorafgaande:

Dit is het slot van een vijfdelige serie. Als je luistert: in dit verhaal is Eric Smit de ‘stem’ van het nieuws.

Deel 1: Begin jaren ’90. Irak is Koeweit binnengevallen en Operation Desert Storm is ophanden. Terwijl buitenstaanders denken dat binnendringen in de computersystemen van ‘het Pentagon’ een huzarenstuk is, is dat een koud kunstje. Een paar systeembeheerders in de VS ontdekken dat ze ongenood maar hardnekkig bezoek hebben van ene Adrian Berferd, een hacker die waarschijnlijk uit Nederland komt. Berferd is nogal geïnteresseerd in defensiecomputers. De systeembeheerders zetten de jacht in.

Deel 2: Operation Desert Storm gaat van start. Het is de allereerste beeldschermoorlog: de partijen bestoken elkaar met op afstand bestuurde raketten. Deze beeldschermoorlog, die aanvankelijk zo ‘veilig’ leek, roept nieuwe vragen op: als we oorlogsvoering uitbesteden aan computers, maakt dat hackers dan niet tot een nieuw risico? Kunnen we computers eigenlijk wel vertrouwen? De bezorgdheid neemt toe wanneer de beschuldiging valt dat Nederlandse hackers Amerikaanse defensiesystemen zijn binnengedrongen.

Deel 3: Paul Dinnissen, een jonge hacker, krijgt problemen op het werk. De recherche probeert hem als informant te werven. Een groepje Eindhovense hackers komt in beeld: de TimeWasters. Wietse Venema, hun goedmoedige mentor, waarschuwt ze: hij weet dat er stront aan de knikker is. Venema en de Amerikaanse hackerjagers stellen definitief vast wie Adrian Berferd is: een student van Venema, ook wel bekend als Maurice Katz. Een van de Amerikaanse jagers rent met die informatie naar The New York Times. Het wordt voorpaginanieuws.

Deel 4: Het nieuws over de inbraak bij het Pentagon overrompelt Nederland. Een half jaar later wordt in de VS een hoorzitting in de Senaat voorbereid over hackers en de veiligheid van militaire computers. Het Amerikaanse hackersblad 2600 laat Nederlandse hackers militaire computers in de VS testen: die zijn na alle ophef inmiddels vast beter beschermd, toch? Nope. Hack-Tic ontvangt intussen een deel van een geheim rapport over de Nederlandse hackers in Amerikaanse militaire systemen, waarin twee ‘principal players’ worden geïdentificeerd: Rop Gonggrijp en Maurice Katz. Gonggrijp steekt de draak met de Amerikanen.

Lees verder

Hoorzitting in de Amerikaanse Senaat

Op 20 november 1991 bespreekt een commissie van de Amerikaanse Senaat de zaak van de Nederlandse hackers in een speciaal daartoe belegde hoorzitting. Er ligt een rapport van het General Accounting Office (het GAO, vergelijkbaar met de Algemene Rekenkamer in Nederland), en verschillende deskundigen zullen getuigen.

Het GAO had opdracht gekregen te inventariseren tot welke militaire computersystemen waarop ongeclassificeerde informatie stond, de Nederlandse hackers tijdens de Golfoorlog toegang hadden weten te verkrijgen. (Merk op dat de vraag naar welke geclassificeerde informatie ze zich mogelijk een weg hadden gebaand, werd vermeden. Wellicht werd die kwestie in een geheime zitting behandeld.) Tevens was het GAO verzocht opheldering te verschaffen hoe het kwam dat zulke cruciale systemen konden worden gehackt.

Het rapport van het GAO – Computer security: Hackers penetrate DoD computer systems – telt slechts vijf pagina’s. De ambtelijke taal waarin het is gesteld, kan niet verhullen hoe vernietigend het rapport is.

  • Nederlandse hackers hebben zich inzage weten te verschaffen tot gegevens over de hoeveelheid manschappen en de militaire uitrustingen die door de Amerikanen naar de Golf werden verscheept, en tot gegevens over wapenontwikkeling. ‘Een deel van deze informatie was van direct belang voor Operatie Desert Storm in het Golfgebied.’
  • ‘Tussen april 1990 en mei 1991 zijn Nederlandse hackers 34 verschillende locaties binnengedrongen die onder het ministerie van Defensie vallen. Het ministerie is niettemin nog steeds niet in staat om de omvang van het probleem te bepalen, aangezien veiligheidsmechanismes om computerinbraken te identificeren veelal afwezig zijn.’
  • ‘De hackers gebruikten bekende veiligheidslekken: bugs die al eerder door andere hackers waren benut. Dat deze zwakke plekken nog steeds bestonden, is te wijten aan gebrekkige aandacht voor computerbeveiliging [..] en een schromelijk tekort aan technische kennis bij sommige systeembeheerders.’
  • ‘Wanneer de hackers eenmaal toegang hadden tot een computer op een specifieke locatie, was het relatief makkelijk om toegang te krijgen tot andere computers daar, omdat deze computers waren geconfigureerd om elkaar te vertrouwen.’
  • ‘De meest voorkomende zwakheden waren (1) accounts zonder wachtwoord of met makkelijk te raden wachtwoorden, (2) ruimschoots bekende bugs in computersystemen, en (3) standaardaccounts van de softwareleverancier, die gewoonlijk worden gebruikt voor systeembeheer en systeemonderhoud.’
  • ‘De meeste systeembeheerders hebben de inbraak niet zelf kunnen detecteren, noch waren ze in staat te bepalen hoe lang hun systeem al was gecompromitteerd.’
  • ‘Slechts één locatie die we bezochten, had procedures ontworpen om computerincidenten te voorkomen en te rapporteren. Hun maatregelen bestonden onder meer uit het verspreiden van veiligheidstips, het veranderen van standaardwachtwoorden, het invoeren van willekeurige wachtwoorden, en het standaard onderzoeken van logs op ongeregeldheden.’
  • ‘Twee jaar geleden hebben wij een rapport uitgebracht waarin dezelfde problemen werden belicht als nu: slecht wachtwoordbeheer, systeembeheerders die over onvoldoende technische kennis beschikken. CERT heeft in de tussenliggende jaren geregeld advies uitgebracht inzake deze kwetsbaarheden. Desondanks kampen we nog steeds met dezelfde problemen.’

Minder parlementair gezegd: Defensie moest zich werkelijk doodschamen

Minder parlementair gezegd: Defensie moest zich werkelijk doodschamen. En in plaats van zich te fixeren op het mogelijke gevaar van buitenaf en zondebokken aan te wijzen – in casu: hackers – doen ze er beter aan zich te bekommeren over hun eigen bewezen interne gevaren: slordigheid, nalatigheid en onkunde.

Ook Schultz en Shimomura behoren tot de mensen die een verklaring zullen afleggen op de hoorzitting. Shimomura maakt daarvoor een video waarop hij een aantal van Berferds escapades verzamelt, compleet met prints van computerschermen. Vlak voor hij aan de beurt is, grijpt het ministerie van Justitie in: Shimomura mag niet getuigen. Het argument: zijn videotape ‘was onderdeel van het bewijsmateriaal in de zaak die zij in overleg met de Nederlandse overheid in behandeling hadden’.

Markoff publiceert niets over de hoorzitting. Dat is vreemd: zijn artikel in The New York Times van april dat jaar was immers de rechtstreekse aanleiding voor deze parlementaire sessie. Ook de andere grote Amerikaanse kranten doen er collectief het zwijgen toe.

00001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000001111111111111000000000111111100000001111100000111111111100000000000000111100000000000000001111111111111111111111110000000000000000000011111000001111001111000000111100000111100000111111110000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100000011111111111110000000001111111000000011111000001111111111000000000000001111000000000000000011111111111111111111111100000000000000000000111110000011110011110000001111000001111000001111111100001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111000000111111111111100000000011111110000000111110000011111111110000000000000011110000000000000000111111111111111111111111000000000000000000001111100000111100111100000011110000011110000011111111

De Nederlandse pers lijkt zich op andere bronnen te baseren

Zo niet de Nederlandse kranten. Die schrijven na de hoorzitting volop over het nieuws dat Nederlandse hackers in Amerikaanse militaire computers zijn doorgedrongen. De Volkskrant, Trouw, Het Parool: allemaal wijden ze lange artikelen aan de zaak.

In de Nederlandse berichtgeving vallen een aantal dingen op:

  • De informatie over computerinbraken uit het GAO-rapport wordt overgenomen, doch niet hun kritiek op de erbarmelijke beveiliging van Amerikaanse computersystemen. Dat standpunt wordt in de vaderlandse pers uitsluitend verwoord door Nederlandse buitenstaanders en krijgt zo niet hetzelfde ‘officiële’ stempel als de inventarisatie van de inbraken.
  • Vrijwel geen enkele krant lijkt te beseffen dat dezelfde kwestie al in april, ruim een half jaar eerder, in het nieuws was. Zodoende legt haast niemand de berichtgeving van toen en die van nu naast elkaar. 
  • Er is relatief veel aandacht voor de wens om wetgeving dusdanig aan te passen dat hacken in Nederland strafbaar wordt.
  • De regionale kranten verschaffen ditmaal gedetailleerde informatie over een van de betrokken Nederlandse hackers. Het betreft feiten die in de Amerikaanse hoorzitting niet aan de orde zijn geweest. Evenmin zijn ze in de Amerikaanse pers verschenen.

De Nederlandse pers beschrijft uitgebreid hoe hoog de kwestie door onze bondgenoot wordt opgenomen

De conclusie dringt zich op dat de Nederlandse kranten zich niet baseerden op de hoorzitting zelf, waarin het falen van de VS zelf werd beklemtoond, maar op een persbericht (van een ministerie of een inlichtingendienst) dat de noodzaak benadrukte om hackers te kunnen oppakken en dat aandrong op een snelle implementatie van wetgeving die computerinbraak illegaal maakt. De kranten delen voorts uitgebreid mee hoe hoog de kwestie door onze bondgenoot wordt opgenomen: de FBI is op bezoek geweest, er zijn in Amerika arrestatiebevelen uitgevaardigd, in Nederland wordt nagedacht over gronden voor uitlevering.

Wat ook opvalt: de afvalrace. In Schultz’ rapport van september 1990 is sprake van ‘mogelijk twaalf’ Nederlandse hackers. Markoff spreekt in april 1991 over ‘drie of vier hackers’. Nu, in november 1991, concentreert alle aandacht in de Nederlandse kranten zich op slechts één hacker, iemand uit de buurt van Eindhoven: Maurice Katz. Alle anderen – de VARA-hacker, de Nederlandse hackers die voor 2600 hun kunstjes deden: ze zijn ineens allemaal uit het verhaal weggeschreven. Het gaat alleen nog over Katz.

Katz wordt het mikpunt

En gezien de vele details die plotseling over hem worden bekendgemaakt – opmerkelijk genoeg alleen in regionale kranten – zou je haast denken dat een paar instanties hoopten Katz nerveus te maken. Zo nerveus dat-ie vervolgens zijn eigen glazen zou ingooien.

De berichtgeving van de Volkskrantbevestigt het gerucht dat Dinnissen al in april van dat jaar ter ore was gekomen: er wordt gezocht naar onorthodoxe gronden voor uitlevering van de verdachte, maar makkelijk is dat niet:

‘In verband met het onderzoek hebben agenten van de FBI in februari van dit jaar een bezoek gebracht aan Nederland. [..] De Nederlandse justitie sluit niet uit dat de Verenigde Staten alsnog een officieel verzoek om rechtshulp zullen indienen, omdat artikel 98 van het Wetboek van Strafrecht (spionage) mogelijk wel een handvat biedt om tegen de krakers op te treden. “Maar spionage zal erg moeilijk te bewijzen zijn. Dan moet je wel kunnen aantonen dat er iets meer met die geheime informatie is gedaan door de krakers”, aldus de woordvoerder van de CRI.’

Gonggrijp meldt in hetzelfde artikel: ‘Mensen hebben mij in die periode dingen laten zien, waarvan ik dacht: oops, het kan nooit de bedoeling zijn dat deze informatie openbaar wordt. Complete verhandelingen over de werking van de Patriot-raket.’ Mogelijk betreft dat de informatie uit San Diego die hij in Hack-Tic een paar maanden later alsnog afdoet als ‘onbenullig’.

‘Die computers zijn gewoon belabberd beveiligd. Een beetje handigheid is alles wat je nodig hebt’

Maar Gonggrijp mag ook een relativerend geluid laten horen: ‘Er wordt een beetje gedaan alsof je een geniale wizzkid moet zijn om in de systemen door te dringen. Onzin, die computers zijn gewoon belabberd beveiligd. Een beetje handigheid is alles wat je nodig hebt. Vaak bestaat de hele beveiliging alleen maar uit de mededeling op het scherm dat er dertig jaar gevangenisstraf staat op kraken.’

Bob Herschberg, indertijd hoogleraar Informatica en beveiliging aan de TU Delft, houdt in Trouw als enige het hoofd koel. Hij probeert bovendien de link met het nieuws van eerder dat jaar te leggen:

‘Volgens [Herschberg] berusten de beschuldigingen enkel op vermoedens. Hij zegt dat het aantal mensen dat technisch in staat is door te dringen tot informatie die is opgeslagen in de computers van het Pentagon, in de hele wereld in de tienduizenden loopt, zo niet honderdduizenden. Herschberg: “Nederlanders zijn nogal actief op dat gebied, daardoor leidt het spoor misschien naar ons. Maar een bewijs is er niet. Dat is er alleen bij betrappen op heterdaad. Deze ‘inbraken’ zijn een half jaar geleden al gepleegd.”’


Maurice Katz

"Het heeft voor mij geen zin daar verder met een journalist over te praten, ik werk de zaak liever verder met de FBI uit"

De lokale pers komt met tal van nieuwe details

Het Brabants Dagbladvermeldt Katz’ woonplaats en zijn vorige betrekking. De krant voert Katz zelfs sprekend op en drukt een reactie van zijn ex-werkgever af, wat alleen maar kan betekenen dat iemand de krant de echte naam van Katz in handen moet hebben gespeeld. In het artikel verwerkt Het Brabants Dagblad voorts informatie uit Schultz’ vertrouwelijke rapport die tot dan toe nergens is opgedoken:

‘De Nederlandse computerkrakers die er tussen april 1990 en januari 1991 in zijn geslaagd door te dringen tot het streng beveiligde computersysteem van het Amerikaanse ministerie van Defensie, deden dat vanuit de Technische Universiteit Eindhoven. In Amerika is een arrestatiebevel uitgevaardigd tegen de Nederlandse computerkrakers. [..] Een van de beschuldigde krakers zei gisteren dat hij niets te maken heeft met de inbraak, maar dat het moeilijk is zijn onschuld te bewijzen. [..] [Hij] noemt het arrestatiebevel dat tegen hem is uitgevaardigd een vergissing. “Ik weet wie erachter zit. Maar het heeft voor mij geen zin daar verder met een journalist over te praten, ik werk de zaak liever verder met de FBI uit.”

De van inbraak verdachte man is geen onbekende in de “hackerswereld”. In een vertrouwelijk document schrijft Eugene Schultz, leider van het project ‘Computer Incident Advisory Capability’ dat hij als systeembeheerder aan de Technische Universiteit Eindhoven heeft gewerkt, maar daar na onenigheid is vertrokken. [..] Het hoofd van de groep produktie van het Rekencentrum van de Eindhovense Universiteit zei gisteravond dat de universiteit met het in dienst nemen van de man probeerde uit de problemen te komen. “Maar dat pakte totaal verkeerd uit.”’

De ‘Pentagon-affaire’ als propaganda

Met dit crescendo eindigt de zaak abrupt. Na november 1991 is er nooit meer iets nieuws gepubliceerd over wat ‘de Pentagon-affaire’ is gaan heten.

Na het vernietigende rapport van het GAO verandert er qua computerbeveiliging niets bij het Amerikaanse ministerie van Defensie

Katz deed in de maanden en jaren erna zijn opperste best om uit de publiciteit te blijven, wat hem goed lukte – op dat ene artikel in Het Brabants Dagblad na. Hij hield zich voortaan verre van hacks, zeker van drastische commando’s als rm -rf. Er werd niemand gearresteerd, laat staan uitgeleverd aan de VS. Er is voorts nooit enige aanleiding geweest om te denken dat Nederlandse hackers de informatie die ze indertijd mogelijk op Amerikaanse defensiecomputers aantroffen, zouden hebben misbruikt, laat staan dat ze die aan derden zouden hebben verkocht. Het enige dat onomstotelijk is vastgesteld, is dat Maurice Katz erop was gebeten accounts in militaire computers te bemachtigen en dat hij soms akelig destructief kon zijn.

Wat veel erger is: na het vernietigende rapport van het GAO verandert er qua computerbeveiliging weinig bij het Amerikaanse ministerie van Defensie en haar onderafdelingen. In mei 1996, vijf jaar na de eerste krantenartikelen over de Nederlandse hackers, verklaart het GAO dat er alleen al in het voorgaande jaar 250.000 keer werd getracht in te breken op computers van het ministerie van Defensie en dat maar liefst tweederde (65 procent) van die pogingen slaagde. ‘Hackers wisten daarbij onder meer gegevens te kopiëren, te veranderen en te wissen.’ Kennelijk wemelt het daar van de hackers, en ja, dan is Wolfenstein 3D inderdaad interessanter. 

De Pentagon-affaire zou niettemin nog jarenlang worden opgerakeld en in aangedikte vorm herverteld. Gaandeweg werd de fictieve versie voor feit versleten. Hoe vaker de opgeklopte variant werd herhaald, op hoe meer bronnen anderen zich nadien kon verlaten: elke nieuwe aanhaling verschaft het verhaal meer legitimiteit.

Talloze boeken en webpagina’s vermelden tegenwoordig dat Nederlandse hackers tijdens de Golfoorlog informatie over Amerikaanse wapens aan Irak hebben verkocht. Het verhaal wordt gewoonlijk opgevoerd als argument voor strenge wetgeving tegen hackers, die als een soort vijfde colonne worden voorgesteld: ze staan klaar voor een dolkstoot in je rug, wachtend op hun kans; ze zijn inherent onbetrouwbaar.

Het ‘feit’ komt in een paar varianten voor. 1: De Nederlandse hackers wilden die informatie verkopen maar a) werden voor die tijd opgepakt of b) de Iraki’s trapten er niet in. 2: De verkoop slaagde wel degelijk, en het waren niet zomaar hackers die de informatie aan Irak aanboden, het was Hack-Tic zelf. Jaren later, wanneer XS4all in een slepend conflict met Scientology is verzeild, haalt een van de opponenten de tweede variant van de Pentagon-affaire keer op keer aan.


Ron Tencati, NASA Incident Response Center

"Sowieso draafden journalisten snel door wanneer de woorden defensie en hackers in dezelfde zin werden gebruikt"

Betrokkenen blikken terug

Jaren later bleek het iets eenvoudiger te zijn om nadere informatie te verkrijgen: Tencati en Schultz herinneren zich de zaak allebei nog goed.

Tencati, die indertijd publiekelijk ontkende dat de NASA of een van haar onderdelen was gehackt, vertelt me: ‘Markoff publiceerde aanvankelijk geregeld sterk overtrokken artikelen. Toen de Chaos Computer Club in mijn computer bij het Jet Propulsion Lab had ingebroken, kopte hij: “Top secret netwerk ten prooi aan West-Duitse hackers”. Het JPL is een publiek onderzoeksinstituut en het werk daar is belangrijk, maar echt niet top secret.’

‘Sowieso draafden journalisten snel door wanneer de woorden defensie en hackers in dezelfde zin werden gebruikt. Ze namen ogenblikkelijk aan dat het “dus” militaire systemen betrof, waarop geclassificeerde informatie werd uitgewisseld. Maar de NASA is een civiele organisatie en geen militaire. MILnet was volkomen gescheiden van publiek toegankelijke kanalen. Informatie uitwisselen tussen MILnet en internet was zelfs voor ons een hele klus.’

Schultz komt jaren later ongevraagd met twee nieuwe namen op de proppen. Katz was niet alleen, zegt hij

Tencati haalt een anekdote aan om te verduidelijken hoe lastig het toentertijd was om tussen gescheiden onderzoeksnetwerken informatie uit te wisselen, ook al waren die amper beveiligd en juist ontworpen om gegevens te delen. ‘Een wetenschapper van het Jet Propulsion Lab zou in Zwitserland iets presenteren, maar was een paar bestanden vergeten. We moesten die files toen met behulp van allerlei bevriende sysadmins handmatig van ARPAnet via BITnet naar JAnet verhuizen. Het kostte ons ruim twaalf uur om hem die bestanden te bezorgen.’

Schultz verschaft in e-mails getailleerd commentaar. Hij komt ongevraagd met twee nieuwe namen op de proppen. ‘Al verlegde iedereen gaandeweg de aandacht naar Katz, er was een tweede Nederlandse hacker. Die had de gewoonte overal waar hij binnenkwam een account onder dezelfde naam aan te maken.’ De naam die Schultz dan prijsgeeft, is RGB: het vaste pseudoniem van een indertijd bekende Nederlandse hacker, iemand uit de periferie van Hack-Tic.

En Katz was niet alleen, zegt Schultz: ‘Hij deed veel samen met Jan, een Amsterdamse jongen van zeventien. Katz bracht hem de kneepjes van het hacken bij, en Jan beschikte zodoende over veel informatie die hij van Katz had gekregen. Jan scheen niet altijd gelukkig te zijn met het arrangement; Katz was nogal bazig en dominant.’

Over zijn memo van september 1990, dat een jaar later bij Gonggrijp afgeleverd werd, zegt Schultz: ‘Inmiddels ben ervan ik overtuigd dat Gonggrijp niets met de inbraken te maken had. We ontdekten pas veel later dat een medewerker van een van de inlichtingendiensten volkomen onbetrouwbare en apert foute informatie had aangeleverd over de oorsprong van de aanvallen. Hij was degene die Gonggrijp had aangewezen als een van de hoofdverdachten.’

Bijna iedereen gebruikte de Nederlandse hackers die in Amerikaanse defensiesystemen rondhingen voor eigen gewin

De verdenkingen jegens Katz waren wél serieus; de pogingen om hem in handen te krijgen, kennelijk ook. Schultz: ‘Een kennis die bij justitie werkte, vertelde me dat de FBI een undercoveroperatie heeft opgezet om hem te kunnen arresteren. De FBI heeft schijnbaar in een Eindhovense krant een advertentie gezet voor een baan bij een top secret ruimtevaartorganisatie in Florida, en Katz trapte erin. Het plan was dat de FBI zou zorgen voor zijn ticket. Zodra hij voet zette op Amerikaanse grond, zou hij gearresteerd worden. Maar iemand heeft op het laatste moment kennelijk zijn mond voorbij gepraat, want ineens trok Katz zich uit de sollicitatieprocedure terug en viel het plan in duigen.’

Plaagsteek via Hollywood

Het blijft een affaire zonder afwikkeling, zonder bevredigend eind. Conclusies zijn er wel: bijna iedereen gebruikte de Nederlandse hackers die in Amerikaanse defensiesystemen rondhingen voor eigen gewin. Markoff dankte er een opgeklopte primeur aan, Shimomura ging publiekelijk met de eer strijken een meesterspeurder te zijn (al liep het later nog beroerd met hem af), het Pentagon vroeg (en kreeg) extra geld voor beveiliging, en Nederland had een nieuw argument om zich hard te maken voor een wet tegen computermisdaad.

[Beeld: Harry Onderwater]

Toch was dat niet alles. Ergens in Amerika zit iemand, of een instantie, die een paar jaar later de sterke behoefte voelde om Maurice Katz eraan te herinneren dat hij weliswaar niet was gepakt, maar niet was vergeten. Die plaagsteek werd nogal spectaculair uitgedeeld: via een Hollywoodfilm.

Assassins (1995) gaat over huurmoordenaar Robert Rath, gespeeld door Sylvester Stallone. Het plot van de film: Rath wordt op de hielen gezeten door een concurrent, Bain (een flink doorgedraaide Antonio Banderas), die Raths doelwit telkens net iets eerder weet om te leggen.

Rath krijgt zijn opdrachten elektronisch. In een zijlijn van het verhaal, wanneer Rath instructies ontvangt over zijn volgende doelwit, gebeurt er iets vreemds. Harry Onderwater, indertijd medewerker van de CRI: ‘Ik zag de film toevallig toen-ie op tv werd uitgezonden. Ik viel zowat uit mijn stoel bij die scène... Daarna heb ik ’m nog eens bij de videotheek geleend om te zien of ik nou gek was of niet.’

‘Stallone zit met een brilletje op achter zijn laptop. Ik denk nog, dat wordt een hele nieuwe Stallone, zo met die leesbril. Hij krijgt een nieuwe opdracht: een hacker uitschakelen die gestolen informatie wil verkopen. Er is geen foto van het doelwit, Stallone krijgt alleen het logo van de hacker te zien plus diens e-mailadres. Het logo: twee kattenogen. Het e-mailadres: meow@comsat.cat. Ik wist niet wat ik zag. cat is geen domeinnaam, toen niet en nooit niet. En comsat, nu ja – dat was indertijd het e-mailadres van Maurice Katz.’

‘Hoe komt die informatie in die film terecht? En waarom zou je zulke details in hemelsnaam in een film willen verwerken?’

‘In de film is de hacker overigens een vrouw. Een kattenliefhebber. De kopers blijken mensen van Interpol Nederland te zijn: het is een sting. En die worden dan allemaal doodgeschoten. Interpol was indertijd bij het CRI gehuisvest, dus dat vond ik persoonlijk een nogal nare twist in het scenario. Maar dat Katz het e-mailadres comsat gebruikte, wist haast niemand. Als er binnen de inlichtingendiensten op de hele wereld vijf mensen met die kennis waren, is dat veel. Hoe komt die informatie in die film terecht? En waarom zou je zulke details in hemelsnaam in een film willen verwerken?’

Bij nadere bestudering blijkt de scène een tweede, nog openlijker verwijzing naar Maurice Katz te bevatten. Als Stallone in het hotelreserveringssysteem uitzoekt in welke kamer de transactie zal plaatsvinden, blijkt de hacker twee kamers te hebben geboekt, een voor zichzelf en een voor de kopers. De naam waarop de kamers zijn gereserveerd? Katz.

Vreemder nog is dit detail: er is kennelijk onmin geweest over het scenario. De eerste versie van het script van Assassins is geschreven door de Wachowski’s, die later de Matrix-trilogie schreven en regisseerden; om onduidelijke redenen stopten ze hun werk aan het scenario van Assassins. Kort daarop kwam een nieuwe versie van het script, geschreven door Brian Helgeland. De verschillen tussen beide scripts zijn niet groot, hoewel de toon en de sfeer wel anders zijn. Er zijn vooral feitelijke verschillen in de passages over de hacker: in het scenario van de Wachowski’s zijn de kopers Japans, in het definitieve script zijn ze van Interpol Nederland (hoewel ze, zoals Nederlanders wel vaker doen in Hollywoodfilms, onderling Duits spreken). Het eerste script geeft geen e-mailadres en geen naam voor de geboekte kamers; het tweede script doet dat wel.

Alles waardoor CRI-medewerker Harry Onderwater van zijn stoel viel, alle referenties aan Maurice Katz, zijn later door Helgeland in het scenario gestopt, zonder dat dit een extra plotwending opleverde of iets aan de film toevoegde. Die aanvullingen zijn weloverwogen en doelbewust ingelast. Het is voor de film gratuite, maar voor ingewijden buitengewoon specifieke informatie. Iemand had een appeltje te schillen met Katz.

Onderwater: ‘Maurice Katz, dat was een rare. Maar dit was nog raarder. Ik heb hem later nog een mailtje gestuurd dat-ie die film echt eens moest huren, maar daar heeft hij nooit op gereageerd.’

Voor deze reconstructie heb ik Paul Dinnissen, Rop Gonggrijp, Walter Belgers (TimeWasters), Harry Onderwater, Eugene Schultz en Ron Tencati geïnterviewd, de laatste twee per e-mail. Wietse Venema heeft het verhaal gelezen en waar nodig verbeterd. Maurice Katz wilde niet meewerken: hij heeft nooit gereageerd op de mails die Wietse Venema hem namens mij doorstuurde. Onderwater en Schultz zijn inmiddels overleden.

Met veel dank aan de stichting Internet4all, die mijn onderzoek financierde.

Deel dit artikel, je vrienden lezen het dan gratis

Over de auteur

Karin Spaink

Gevolgd door 619 leden

Schrijft over technologie, internet, gezondheid, gender, burgerrechten en politiek. Eindredacteur bij FTM.

Verbeteringen of aanvullingen?   Stuur een tip
Annuleren