I
BPortage
I
Computerkrakers
De machtige nerd Hackers zijn al lang geen eenzame nerds met een rare hobby meer. Op een conferentie in Amsterdam kwamen de machtigen van de wereld samen. 'Waar informatietechnologie is, kan aangevallen woraen.' door MauritsMartijn foto's Adrie Mouthaan
26 Vrij Nederland
30 JULI 2011
tefan Esser is er een uit het boekje. Iets te bol met rode wangen, zijn overhemd in zijn iets te hoge pantalon gefrommeld. Ontwijkende blik, bril, scheiding in het haar. En als hij lacht dan hinnikt hij een beetje. Vandaag is Esser in Amsterdam om een workshop te geven op Hack In The Box, een van de grootste IT-beveiligingsconferenties ter wereld. Op dit feestje is Stefan Esser een ster. De tweeëndertigjarige beveiligingsexpert uit Keulen ontdekte een paar maanden geleden een gat in de beveiliging van het besturingssysteem van Apple. Hij schreef er een blogbericht over en zette het op Twitter. Zijn kunstje was nog niet eerder vertoond en Esser - die online onder de nickname 'iOnIc' door het leven gaatwerd een goeroe in de hackersscene. 'Sites nemen alles over wat ik schrijf,' vertelt hij, 'en ik had opeens veertigduizend volgers op Twitter. Die zijn helemaal gek. Ze zoeken verborgen boodschappen in mijn tweets. Zelfs als ik schrijf dat het regent denken ze dat ik een of andere geheime code doorgeef.' En Apple? Die klaagde Esser niet aan voor de kraak, maar bood hem direct een baan aan op het hoofdkantoor in Silicon Valley. 'Ik ben daar nu rustig over aan het nadenken,' zegt hij, met enig aplomb.
Oorlog, vriendschap, geld Vergeet de Bilderbergconferentie of Davos: tegenwoordig gebeurt het op bijeenkomsten als Hack In The Box. Hier bespreken hackers en topfiguren van grote technologiebedrijven hoe het ervoor staat in de IT-beveiligingsbranche. Dat gaat allang niet meer over technologieën waar de gemiddelde computergebruiker niets mee te
maken heeft. Natuurlijk, voor de leek zijn de meeste gesprekken en presentaties volstrekr onbegrijpelijk en klinken de woorden van het hacker-Bargoens - 'jailbreaks', 'exploit', 'penetration test', 'zero days' - meer als titels van Amerikaanse B-films, maar kijk je daar doorheen dan zie je dat het op Hack In The Box om veel meer gaat. Er wordt gesproken over de nieuwste cyberwapens die hele energienetwerken plat kunnen leggen. Het hoofd beveiliging van Facebook is overgevlogen om uit te leggen hoe hij de persoonlijke gegevens van de bijna zevenhonderd miljoen leden van het sociale netwerk probeert te beschermen. In een workshop laat een programmeur zien hoe je kunt inbreken in het geavanceerde softwaresysteem van een bank. Oorlog, vriendschap, geld; alles is digitaal. Alles is genetwerkt. En die afhankelijkheid van informatietechnologie maakt kwetsbaar. 'De mentaliteit in de hackersgemeenschap is de afgelopen paar jaar erg veranderd,' zegt Dhillon Andrew Kannabhiran (32), de Maleisische oprichter van Hack In The Box. 'Eerst ging het om hacken voor de lol. Laten zien hoe goed je bent, beroemd worden. Dat speelt nog steeds een rol, maar nu gaat het vooral om de dollars.' Vandaar dat het congres niet in een donker hol plaatsvindt, tussen de pizzadozen en kratten cola, maar in het chique hotel Krasnapolsky, waar tijdens de lunch sushi wordt gegeten en het patisseriebuffet over dertien tafels is uitgestald. Praat je op Hack In The Box met bezoekers, sprekers of vrijwilligers, gewone computernerds, hoge piefen van bedrijven of freelance IT-beveiligers: iedereen noemt zichzelfhier hacker. Een 'state of mind', hoor je vaak. Een geuzennaam. 'Niet iedereen zal je te woord willen staan,' zegt eventmanager Belinda Choong tijdens de rondleiding. 'Er zijn hier ook afgezanten van het Amerikaanse leger en de Zuid-Koreaanse overheid.' Niet veel later wil een grote man met een
Vrij Nederland
30 JULI 2011
reportage
Vrij Nederland
30 JULI 2011
brede nek inderdaad niet met zijn naam in Vrij Nederland. Met zijn camouflagekleurige kniebroek en een opnaaibadge op een kakibodywarmer met de tekst 'Pork Eating Crusader' kan hij ook niet echt ontkennen dat hij bij de afvaardiging van het Pentagon hoort. 'Wij zijn hier om te horen waartegen en hoe we ons defensiesysteem moeten bewapenen,' vertelt hij terughoudend, met vet Texaans accent. Verderop staat een negentwintigjarige Duitser die werkt voor het technical security team van een grote Duitse autofabrikant. Hij wil niet zeggen welke. 'Bedrijfsgeheimen, hè?' Hij volgt hier voor duizenden euro's een tweedaagse cursus hoe kwetsbaarheden te vinden in ingewikkelde softwaresystemen. 'Wij leren hier denken als de vijand.' Hard nodig, benadrukt hij. Als hackers in het systeem van de autofabrikant inbreken, dan zouden ze zomaar geheime informatie van nieuwe modellen auto's kunnen stelen. Maar, vertelt hij, ook in auto's zelf zit steeds meer informatietechnologie. 'Gps, Wifi, Bluetooth, gsm. Er bestaan nu al apps die een auto kunnen ontgrendelen of de warmte regelen. Wij moeten kunnen voorkomen dat een hacker de controle van een auto overneemt.'
penetratietesten Matthieu Suiche, een bescheiden Fransman, is tweeëntwintig jaar maar heeft nu al een indrukwekkende carrière achter de rug. Hij maakte zijn middelbare school niet af en ging als achttienjarige aan de slag als IT-expert voor EADS, het Europese lucht- en ruimtevaartconsortium in Leiden en, later, als forensisch onderzoeker bij het Nederlands Forensisch Instituut. Nu heeft hij een eigen bedrijf in Parijs. Microsoft riep hem uit tot Most Valuable Professional, een prijs voor een specialist van buiten de organisatie die bijdraagt aan kennis van Microsofts technologieën. Suiche is een grote naam in de IT-wereld, hij spreekt op alle conferenties. Op Hack In The Box geeft hij een workshop over de analyse en het verzamelen van gegevens uit het geheugen van Windows-computers. Deelnemers moeten zich van tevoren opgeven en betalen fors voor Suiche. Hij lacht geheimzinnig: 'De meesten van hen vertellen niet voor wie ze werken.' Inde workshop van SKChoong (36) uit Maleisië leren de deelnemers softwarecode schrijven waarmee ze zwakheden in systemen kunnen ,inden. 'De motivatie van de deelnemers is aan
henzelf,' zegt hij, een beetje ongemakkelijk. 'Sommigen zijn nieuwsgierig, anderen willen zich bekwamen in de kunst van het aanvallen.' Zelf is Choong security consultant. Hij doet penetratietesten voor banken, de overheid en het leger in Maleisië. 'Wij doen alsofwe hackers zijn en wijzen ze op hun systeemkwetsbaarheden. De laatste tijd gaat het goed met de zaken. Computers zijn overal, we kunnen niet meer zonder. Waar informatietechnologie is, kan altijd aangevallen worden.' Bijna elke dag laten hackers van zich horen. Een greep: op 27 mei maakte de grootste wapenleverancier van het Pentagon, Lockheed Martin, bekend eerder die maand door een 'grootschalige' aanval bestookt te zijn; op 8 juni vond een cyber-attack plaats op het Internationaal Monetair Fonds; 15juni legden hackers de site van de CIAplat, net als die van de Amerikaanse Senaat op 11juni. Vaak is onduidelijk wat er precies gebeurt, wie de daders zijn en wat hun intentie is. Als er echt schade wordt aangericht ofinformatie gestolen dan houden de getroffen organisaties dat meestal voor zichzelf. Duidelijk is wel dat de gewone burger steeds vaker slachtoffer is. Denk aan recente hacks als het stelen van de persoonlijke gegevens van meer dan zeventig miljoen gebruikers van het PlayStation Network van Sony, het platleggen van het betalingssysteem van de Rabobank en de inbraak in honderden e-mailaccounts van Googles Gmail.
'De beste hackers zijn de meest creatieve mensen ter wereld'
dan vloek. 'De beste hackers zijn de meest creatieve mensen ter wereld. Ze ademen vrijheid. Ze kunnen denken in complexe systemen en processen. Een hacker, iemand die dingen ontdekt en blootlegt, heeft altijd een relatie tot de waarheid. De allerbesten onder hen zijn de thought leaders van vandaag.' De twee oprichters van Googie. Mark Zuckerberg van Facebook. Maar ook Julian Assange, de oprichter van WikiLeaks, die twee jaar geleden nog een toespraak gaf op Hack In The Box. Briljante nerds met veel macht, die met hun technologische suprematie de wereld willen en kunnen veranderen. 'We are as gods,' schreef futuroloog Stewart Brand in Whole Earth Catalog, de bijbel van de hackerscultuur uit 1968, 'and might as well get good at it.' Richard Thieme: 'Ik heb de kids die het internet hielpen opbouwen zien opgroeien. Nu staan zij aan de top van de voedselketen. Vroeger was werken voor the man' - het establishment - 'totaal not done. Later was je een sukkel als je niet voor the man werkte. En nu? Nu zijn ze the man.' Er zijn verschillende tYPi='ncomputernerds op Hack In The Box te ontwaren. Jonge, voornamelijk Nederlandse, hackers en computergekken,
TOp van de voedselketen 'Hackers en computer-geeks zijn de grootste bedreiging voor onze samenleving,' zegt Richard Thieme (1944), achteroverleunend op een bank in de lounge van het hotel. 'Maar ook de enigen die redding kunnen bieden.' Thieme is een veteraan. Hij bezoekt al zestien jaar conferenties als Hack In The Box en staat te boek als een expert van de cyber- en hackerscultuur. De schrijver en adviseur mag vrijdag, aan het einde van de conferentie, de closing keynote speech houden. Van waar hij zit kijkt hij uit over de met glas overdekte Wintertuin van het Krasnapolsky, de grote zaal waar de jongens en mannen die Hack In The Box bezoeken (van de zeven getelde vrouwen, zijn er vier van de organisatie en een van een pr-bureau) gebroederlijk staan te praten. De kwetsbaarheid van technologische samenlevingen is alleen op te lossen met méér en betere technologie, denkt Thieme. En dat maakt de meeste bezoekers hier machtig; ze hebben een dusdanige kennisvoorsprong, dat de maatschappij afhankelijk is van hun kunsten. 'De ideeën van mensen die excelleren in technologie hebben de wereld geschapen,' meent Thieme. 'De technologieën die zij bouwen zijn van directe invloed op ons allemaal.' Dat is, vindt technologie-optimist Thieme, meer zegen
Julian Assange: briljante nerd met veel macht
~
§ ~ ~ ~, ~
Vrij Nederland
30 JULI 2011
2
eportage
!l;;
l i ~ ~
'" ~ ~
~ ~ : <'i:
Mark Zuckerberg (Facebook) met Sarkozy op de 'eG8'. Onder: Sergey Brin en larry Page van Google
die elkaar bij hun nickname als 'combuster' of 'vicarious' aanspreken en vrijwilliger zijn bij de conferentie. Ze dragen zwarte T-shirts en sneakers, en facultatief een baardje, oorbel of paardenstaart. Dit zijn voornamelijk hobbyhackers, de kleuters in de speeltuin. Dan zijn er de jongens als Apple-hacker Stefan Esser, specialisten die hun geld verdienen met het vinden van gaten in systemen of juist ervoor zorgen dat anderen die gaten niet kunnen vinden. Ze werken voor zichzelf, voor een baas of hebben een eigen bedrijf. De paar driedelige pakken hier behoren tot deze groep. En dan zijn er nog de bobo's die bij de grote internet- en technologiebedrijven de beveiliging bestieren, die tot de hogere managementlagen van de miljardenbedrijven behoren. Een indrukwekkend gezelschap. Googie, Facebook, Microsoft, Mozilla, BlackBerry en Adobe: allemaal hebben ze een top dog afgevaardigd. 'Tot voor kort waren de hackersgemeenschap en het bedrijfsleven twee totaal gescheiden werelden,' vertelt Hack In The Box-oprichter
30 Vrij Nederland
30 JULI 2011
Kannabhiran. 'Bedrijven zeiden tegen hackers: "Alsjullie een gat in onze beveiliging vinden dan klagen we jullie aan en gooien we jullie in de gevangenis." Dat is totaal veranderd. Nu willen bedrijven vrienden met je worden als je een bug vindt.' Een van de centrale thema's op het congres is de economische waarde van 'vulnerabilities', kwetsbaarheden in de beveiliging. Sommige hackers of IT'ers doen niets anders dan zoeken naar gaten in systemen van specifieke technologiebedrijven. Hebben ze die gevonden, dan stappen ze naar die bedrijven toe en vangen daar veel geld voor. 'Bountybugs', in jargon. Anderen gaan juist de zwarte markt op met de systeemkwetsbaarheden die ze hebben gevonden en verkopen het aan de best betalende computercrimineel. Software code als handelswaar. Voor de grote jongens is het belangrijk om bij conferenties als'Hack In The Box te zijn, legt director of security response van BlackBerry Adrian Stone (34) uit. 'Een goede relatie met de hackers gemeenschap is essentieel. Wij willen en moeten met ze samenwerken. Zij zullen uiteindelijk de problemen oplossen. Wij zijn hier ook om te rekruteren. Veel ex-hackers werken nu voor mij.' Joe Sullivan, chief security officer van Facebook, en met zijn tweeënveertig jaar bejaard vergeleken met zijn collega-CS O's, vult aan: 'Wij zijn hier om te leren. Dit zijn de mensen die nadenken over de problemen die nog gaan komen, de aanvallen van morgen. Hier zie je demonstraties van cutting edge beveiligingsen aanvalstechnologie.' Maar, voegt Sullivan snel toe, Facebook (geschatte waarde honderd miljard dollar) voelt zich ook verwant aan de jongens met de vierkante ogen en wenkbrauwpiercings. 'Hacken is de hele nacht opblijven en niet willen stoppen tot je een probleem hebt opgelost. Creatief, doortastend, toegewijd. Facebook is ontstaan uit het hoofd van Mark (Zuckerberg, MM) die precies dat deed. Wij willen die hackers mentaliteit behouden. Ons kantoor is geen gewoon kantoor. Er is lawaai en chaos. Hack is onze informele slogan.'
privacy een achterhaald concept Ivan Ristic (37) zit tijdens de lunch naast een prdame die het bedrijfwaar hij werkt, Qualys, producent van beveiligingssoftware en een van de hoofdsponsors van Hack In The Box, representeert. Ristic is director of engineering van de tak die zich bezighoudt met de beveiliging van communicatie over het internet. 'Ik heb gemengde gevoelens over technologie,' zegt Ristic. De prvrouw - die Ristic nadrukkelijk aan de verslaggever heeft opgedrongen om een goed woordje voor Qualys te doen - veert op. Ristic gaat rustig verder. 'Ik weet niet of al die technologie de mensheid wel dient. Maar wat is het alternatief? We kunnen niet meer terug, we zijn te af-
willen bedrijven vrienden met je worden als je een bug vindt'
'NU
hankelijk. Techneuten regeren de wereld, maar het grote probleem is dat de meeste van hen helemaal niet nadenken over de sociale consequenties van hun werk. Kijk naar Google en Facebook. Daar draait alles alleen maar om data en technologie, de rest volgt later wel.' In het boek You Are Not a Gadget waarschuwt Jaron Lanier voor de ideologie die informatietechneuten eigen is. Volgens Lanier, zelf een opperhacker die aan de basis stond van virtual reality-technologie, bestaat de 'ideologie van de superioriteit van de nerd' uit de gedachte dat alles met technologie is op te lossen. Hoe meer bits en data, hoe beter. Dat gaat gepaard met een zeker dedain: laat ons de zaken maar regelen, wij hebben er verstand van. Die aan arrogantie grenzende overtuiging is ook op Hack In The Box voelbaar. Maar pas op, zegt Lanier, hoe machtiger de hackers worden en hoe meer hun technocratische evangelie zich verspreidt, hoe gevaarlijker het wordt. In de wereld van de Facebooks en Googles bepalen algoritmes en machines wat mooi, belangrijk of interessant is. Alles 'ontmenselijkt' en informatietechnologie is de wet. Lanier gebruikt grote woorden. Genec raliserend, stigmatiserend. Maar toch krab je je wel even achter je oren als Mark Zuckerberg van Facebook zegt dat privacy een achterhaald concept is. Of als de jongens van Google écht niet begrijpen dat het digitaliseren van alle boeken ter wereld copyrightproblemen oplevert. Aan het einde van de laatste dag komen de CSÜ's van de grote bedrijven langs voor een gesprek en een foto. Wat is volgens hen het gevolg van onze enorme afhankelijkheid van informatietechnologie? Chris Evans (34), head ofsecurity van Chrome, de browser van Googie, de man door wiens vingers elk stukje code van de zoekgigant gaat, beantwoordt de vraag met een schuwe blik. En vraagt: 'Bedoel je dat kwantitatief? In termen van hoeveelheid computers?' Nou, meer wat de effecten zijn. Wat het betekent. 'Kwalitatiefis dat lastig te beantwoorden,' zegt hij resoluut. 'Ik heb meer informatie nodig.' Een aarzeling, dan: 'Dit zijn eigenlijk geen vragen die je mij moet stellen.' •
Vrij Nederland
30 JULI 2011
31
