Wie het nieuws volgt, zal het niet zijn ontgaan: het SHA hackerskamp van begin augustus was een groot succes. In totaal 3.650 hackers gingen los op het scoutingterrein van Zeewolde.
Door Chris van ’t Hof
SHA2017 was breed aanwezig in de media. Zo meldde NOS: “Hackers kraken brandweerauto op hackerfestival.” Trouw sprak een groepje dat ter plekke een ijskast had gemaakt van ventilatoren. NRC noemde de awesome elektronische badge. Tweakers gaf een hele opsomming van de hardware van het kamp: van de elektriciteitsvoorziening, supersnelle internetverbindingen en telefoonlijnen tot en met de Tesla’s, zelfgemaakte voertuigen en natuurlijk de awesome badge. Waag Society had een mooie blog met ‘10 redenen waarom SHA2017 het leukste kamp van het jaar was’: badge, voertuigen, community, muziek, eten, netwerk, feestjes, rook- en lichtshows, het terrein en nog wat fun stuff.
En die meer dan 300 lezingen dan? De enige lezing die in de media verscheen, was die van Willem Westerhof, die zonnepanelen wist te hacken – zodanig veel dat hij de stabiliteit van het energienet zou kunnen beïnvloeden. Cool, zeker omdat hij nog maar net afgestudeerd is. Zelfs de BBC berichtte erover, al was dat al voor het event. Maar dat was uiteraard niet de enige noemenswaardige talk. Daarom hier op SecurityVandaag, mijn overzicht van de sprekers die ik heb gezien: de topper, floppers en tips en flips.
Toppers
Bill Binney maakte diepe indruk met ‘How the NSA tracks you’. Hij kan het weten want hij werkte 34 jaar bij wat hij nu noemt the New Stasi Agency. Ondanks, of misschien juist dankzij zijn rolstoel kwam de oude baas zeer strijdlustig over en jaste hij er een hele reeks programma’s doorheen die maar één doel hebben: zoveel mogelijk data verzamelen over iedereen. Hij had destijds als Technical Director de meeste van deze programma’s zelf opgezet en zag van dichtbij hoe de datahonger volledig uit de hand liep, want data verzamelen is niet intelligence. Met als gevolg dat zo’n beetje iedereen wel een fout profiel heeft bij de NSA en er bijvoorbeeld 1,2 miljoen mensen op de ‘drone list’ staan om vermoord te worden, zonder een eerlijk proces. Binney heeft inmiddels veertig privacyrechtszaken aangespannen tegen Trump om de programma’s weer te stoppen, uiteraard vooralsnog zonder succes.
Dat je af en toe ook best mag lachen om Amerikaans oorlogsgeweld liet Vincent Ossewaarde zien in zijn talk ‘Hacking on a boat. Fun with onboard maritime systems’. Vaartuigen zitten vol met sensoren en zenden continu signalen uit, meestal gebaseerd op oude standaarden die makkelijk te hacken zijn. Zoals het AIS, Automatic Identification System, dat laat zien wat voor boot je bent en hoe hard je vaart. Je moet hier eigenlijk een licentie voor hebben en een gecertificeerde zender, maar met een software defined radio kun je het signaal prima nabootsen. Ossewaarde ging hiermee op zijn zeilbootje over het Flevomeer en deed zich voor als het grootste Amerikaanse vliegdekschip met een snelheid van 100 knopen. Het gevaarte voer vervolgens een route over het meer die de letters “SHA” vormden. Zo cool.
Even vermakelijk was Walter Belgers, pentester en president van Toool, de Open Organisation of Lockpickers. In zijn bijdrage ‘Physical penetration testing’ liet hij zien hoe je met eenvoudige middelen als ijzerdraad, elastiek en touw deuren open krijgt. Cylindersloten zijn een grotere uitdaging en vereisen professioneel gereedschap dat hij ook demonstreerde. Uiteraard niet om ons te leren inbreken, maar om samen sloten veiliger te maken. Er waren behoorlijk wat bezoekers op zijn praatje afgekomen, die bij elk geopend slot in juichen uitbarstten.
Belgers vertelde me achteraf dat de populariteit van lock picking onder hackers wel begrijpelijk is: ontwerp- en implementatiefouten zorgen voor kwetsbaarheden die je kunt opsporen en melden om te voorkomen dat kwaadwillenden er gebruik van maken. Het eindeloos proberen van mogelijkheden geeft een soort meditatieve focus en het oplossen van de puzzel een enorme kick. Maar er zijn ook verschillen: de cybersecuritywereld staat veel meer open voor het melden van kwetsbaarheden terwijl de slotenwereld, typisch, veel meer gesloten is. Daarin kunnen ze best wat van ons leren.
De spreker voor wie nog het hards geklapt werd was Bart Roos met zijn ‘Trip to India’. Twee jaar geleden werd hij gebeld door iemand uit India die zich voordeed als een Microsoft-medewerker, om wat problemen met zijn computer op te lossen. Roos opende zijn virtuele machine en speelde mee. Hij kreeg TeamViewer op zijn desktop en zag hoe de medewerker van alles aanwees dat voor storingen zou zorgen. Die konden verholpen worden, als hij maar betaalde. Niet dus. Later hoorde hij dat honderden Nederlanders op deze manier waren opgelicht en nam hij contact op met AVROTROS Opgelicht.
Kijkers werden opgeroepen niet meteen op te hangen als ze gebeld werden, maar eerst nog een nummer door te geven waarop zij teruggebeld konden worden. Als de nietsvermoedende oplichters dan terugbelden, zaten Roos en zijn collega’s klaar met een geprepareerde computer om hen terug te pakken. Ze hadden zelfs een nepbankierensite ontwikkeld om de oplichters hun transacties te laten plegen en zo meer sporen te vinden. Uit het onderzoek bleek dat het ging om een callcenter met maar liefst 60 medewerkers die in totaal 5 miljoen telefoontjes pleegden. Door ze op deze manier terug te hacken, kwamen ze achter de locatie en is de bende in samenwerking met de Indiase politie opgerold. Vooral de animatie van TeamViewer, waarin de Indiër Roos wilde overtuigen te betalen, leidde tot veel hilariteit in de zaal.
Floppers
De eerste spreker op het programma was cryptoheld Phil Zimmermann. De vader van de PGP-key had zoals bekend eind jaren negentig langslepende rechtszaken met de Amerikaanse overheid. Door versleuteling beschikbaar te stellen zou hij volgens Amerikaanse wetgeving aan internationale wapenhandel doen, terwijl PGP juist helpt mensen te beschermen. Afgelopen jaren ging Zimmermann aan de slag met Silent Circle, om iedereen van versleutelde communicatie te voorzien, maar dat bedrijf kwam niet echt van de grond. Nu woont hij in Nederland, tot het klimaat in de VS weer beter is.
Was dit een inleiding? Nee, dit was eigenlijk zijn hele verhaal, zonder slides of iets wat we nog niet wisten. “I will be happy to take some questions”, besloot hij, met nog 40 minuten te gaan. Na wat ongemakkelijk geschuifel in de zaal vroeg een bezoeker ‘are you related to Bob Dylan?’. En een volgende: ‘Do you have an invisibility cloak.’ Dat was volgens mij een beleefde manier om te zeggen: “Dude, you are here at an awesome hacker congress, we expected a bit more than that.” Na dit gênante moment werd het pontje naar het vasteland teruggeroepen, want de grote Zimmermann wilde snel weer weg.
Zo waren er nog wat sprekers die onvoorbereid een end in de ruimte stonden te kletsen. Zoals het Italiaanse driemanschap COD met hun ‘Zanshin Tech: the digital martial art’. Op zich een fascinerende gedachte om principes uit vechtsporten toe te passen op digitale zelfverdediging. En hard nodig, want volgens Claudio plegen honderden jongeren zelfmoord vanwege cyber bullying. Hij zou als judoka principes hebben die kunnen helpen. Iets met yin en yang, maar veel verder kwam hij niet. Zijn twee compagnons stonden vooral glazig in de zaal te staren en ook hier gingen we na 20 minuten al over op Q&A met een leeglopende zaal.
Ook de twee Tesla’s, die zo vaak in de media werden genoemd, stelden teleur. De zwarte bolides stonden te blinken in het Italiaanse kamp en trokken veel aandacht. Ik vroeg de eigenaar of er al kwetsbaarheden waren gevonden. Nee, daar hadden ze eigenlijk geen tijd voor gehad, want ze waren vooral pasta aan het eten en aan het feesten. “Oké, terwijl alle anderen hun auto ver buiten het terrein op een betaalde plek moesten parkeren, sta jij hier als enige gratis naast je tent. Dan heb je dus eigenlijk het parkeersysteem gehackt?”, vroeg ik hem. Ja, dat is eigenlijk wel het geval, moest hij lachend bekennen.
Enigszins gênant was de bijdrage van Sijmen Ruwhof: “How hackers could have hacked all Dutch elections since 2009.” Op zich al een pretentieuze titel, waar dan ook aardig wat publiek op af kwam. Ruwhof zou in de afgelopen acht jaar maar liefst dertig kwetsbaarheden hebben gevonden in het stemsysteem: geklooi met onbeveiligde USB-stick, gebruik van SHA1 hash, geen wachtwoordbeleid, onbeveiligde mail, et cetera. Controle achteraf is niet mogelijk, want de papieren stembiljetten worden zomaar vernietigd. Hij heeft het allemaal voorbij zien komen op YouTube en alles steeds gemeld bij de overheid, maar niemand wilde naar hem luisteren… Wat we volgens Ruwhof zouden moeten doen, is al deze kwetsbaarheden oplossen en de stembiljetten bewaren om na de eerste telling een audit te doen of alles wel klopt. Elke gemeente moet die resultaten publiceren.
De zaal leek in eerste instantie wel onder de indruk van zijn vlammende betoog voor eerlijke democratie. Totdat iemand de microfoon grijpt en rustig uitlegt dat wat Ruwhof voorstelt al lang gebeurt. De man is namelijk vrijwilliger bij zijn stembureau en raadt Ruwhof zich ook aan te melden: “Kun je nog eens wat van leren.” Die kwetsbaarheden die hij op YouTube zag, zijn namelijk allemaal opgelost, zo ook de papieren hertelling en rapportage per gemeente. Na deze interuptie stond de een na de andere stembureauvrijwilliger op om Ruwhofs verhaal onderuit te halen. Bam.
De grootste flop was wellicht van mezelf. Ik had namelijk toegezegd een sessie te leiden om 10.00 uur ’s ochtends. Ik werd echter pas om 11.15 uur wakker, met een telefoon vol gemiste oproepen. Tja, dat krijg je als je elke avond van 22.30-23.30 uur een radioprogramma draait, niet uitgepraat raakt met hackers en vervolgens om 3.00 uur nog staat te bbq’en… Oeps. Ik waggelde vervolgens naar de tent en trof daar een man of tien die naar een niet te lezen scherm zaten te kijken. Nee, mijn hulp was niet meer nodig. Sorry.
Geflipt
Flops zijn onvermijdelijk als je als organisatie openstaat voor de wat minder voor de hand liggende sprekers. Dat kan verkeerd gaan, maar soms juist heel goed uitpakken. Hier de flips, oftewel de sprekers waarvan je eerst denkt ‘wtf is dit nou?’ die vervolgens juist erg cool blijken te zijn. Wie Matt Westcott heeft gezien, begrijpt wat ik hiermee bedoel. Op het programma: ‘Zero to chiptune in one hour’. Hij vroeg het publiek om een deuntje. Dat werd The Archers en ging vervolgens een uur lang hexadecimale codes tweaken op zijn ZX Spectrum, een pc uit begin jaren tachtig. Dan denk je: saai. Maar nee, het was een prachtig display van ‘uber nerdiness’ en bij elke aangepaste versie van het deuntje ging het publiek harder juichen. Het resultaat is terug te luisteren op Soundcloud.
Het wtf-gehalte bereikte een hoogtepunt bij de lezing ‘Dickpics for privacy’, van Anus en Ranzbak. Ja, u leest het goed, deze heren hadden vooral veel foto’s van penissen. Deze van Twitter bekende internettrollen hadden op SHA al DeFeest, een radioprogramma van een uur lang ultra-melige improvisatie. Hun inzending over dickpics was ook eigenlijk bedoeld als grap, maar werd tot hun stomme verbazing gehonoreerd. Nu moesten ze wel…
Wat kregen we te zien? Penissen verkleed als bekendheden. Vooral die van Trump was treffend. Kunst met penissen. Pogingen van mannen om hun penis zo te photoshoppen dat die door de dickfilters komen. Maar ook voorstellen om penissen als biometrisch identificatiemiddel te gebruiken, bijvoorbeeld bij betalingen. En als iedereen zijn dickpic op zijn smartphone heeft, dan letten we wel wat beter op met wie we zomaar data delen. Oké… Wel jammer dat deze innovaties alleen opgaan voor een helft van de bevolking. Maar het moet gezegd worden: deze heren wisten toch op zeer vermakelijke wijze een uur vol te lullen.
Flippen is op SHA ook een serieuze aangelegenheid. Bitflippen welteverstaan, oftewel met spanningsschommelingen, magnetisme, warmte of andere invloeden van buitenaf enen en nullen omzetten. Ramiro Pareja en Nils Wiersma zijn hier meester in en lieten zien hoe ze besturingssystemen in auto’s kunnen beïnvloeden met pieken en dalen in de stroomtoevoer. Ze konden ook de score van een gokautomaat flink opschroeven met slechts de vonk van een piëzo-elektische aansteker. Awesome.
Een stuk geavanceerdere flip is de Flip Feng Shui van Victor van der Veen en Kaveh Razavi. Wat zij doen vergt een artikel op zich, maar kort gezegd komt het erop neer dat ze bits die dicht bij elkaar liggen op de chip elkaar kunnen laten flippen. Rowhammering noemen ze dat. Deze kwetsbaarheid is alleen op te lossen door de schakelingen op chips verder van elkaar te zetten, maar zoals we weten worden ze juist steeds dichter op elkaar gezet om in de pas te blijven lopen met Moore’s Law… Niet te fixen dus. Ook hierbij denk je: wtf!
Tips
Tot slot de sprekers die niet de zaal plat kregen, flopte of flipte, maar elk op hun eigen manier bijzonder zijn. Zo betrad Loek Gijben voor zijn lezing ‘Human body as an electric Input Output system’ het podium met allerlei sensoren op zijn lijf en hoofd. Moet je maar durven, want we konden live zien hoe zijn hersengolven piekten en zijn huid geleidde en dus of hij nerveus was of niet. Wat kun je hier nog meer mee? Een leugendetector maken, een voertuig besturen, deep brain stimulation-therapie? Of schrijver Grunberg, die zijn lezers wilde laten raden wat hij schreef op basis van zijn eeg? Nee, allemaal flauwekul, die signalen zeggen niet zoveel. En al die pieken op zijn eigen live scan? Dat is vooral interferentie van de omgeving… Wellicht teleurstellend, maar zeker ook nuttig om wat mythes te ontkrachten. Dat was ook zijn opzet.
In de categorie ontnuchterende praatjes valt ook Erica Portnoy met: ‘My Safe In Your House. Keeping Secrets On Remote Machines’. Ze opende met: “There is no cloud, it’s just someone else’s computer.” Oké, dus moet je je bestanden daar versleuteld opslaan. Echter, kun je ze dan nog wel doorzoeken? Je zou een index kunnen maken van trefwoorden met one-way hash function, die je dan op afstand kunt uitlezen met diezelfde hashfunctie, oftewel ‘A5876’ staat in deze 220 files. Daar kan een aanvaller echter frequentieanalyse op loslaten en alsnog raden waar je naar zoekt, of op zijn minst zien waar blijkbaar interessante informatie staat. En zo had ze nog wat andere ingewikkelde technieken geprobeerd, met als slotconclusie: nee, kan niet. Ook al versleutel je bestanden in de cloud, je zoekgedrag geeft van alles prijs.
Even onverminderd strijdbaar was Christopher Clay, met ‘Lets stop EU copyright’. Hij begon met een opsomming van aankomende EU-regulering die best heel strikt is: blogs mogen niet onbetaald doorlinken naar nieuwssites, worden hierop automatisch gescand en zo nodig geblokkeerd. De grote Google en Facebook ontspringen natuurlijk weer de dans omdat ze te machtig zijn. Zullen de Members of European Parliament in oktober instemmen met de wetten? Waarschijnlijk wel, want ze weten maar half wat de gevolgen zijn en laten zich graag beïnvloeden door de machtige lobby. Daarom moeten wij als burgers onze MEP’s hierop aanspreken. Hoe? Volgens Clay kun je ze het beste gewoon bellen, want je wordt ook daadwerkelijk te woord gestaan. Er is nu zelfs een tool voor: de MEP roulette van Bits of Freedom.
Hoop voor de toekomst kregen we vooral van onze jongste spreker: Jurre Groenendijk. Deze 15-jarige hacker was al eens in het nationale nieuws verschenen omdat hij zijn school had gehackt. Met toestemming en resultaat. Ja, hij zou zijn cijfers kunnen aanpassen, maar doet dat niet en wil ook niet uitleggen hoe dat zou kunnen. Dat is zijn erecode. Wat hij wel wilde laten zien, was hoe hij de schoolkluisjes kon hacken, door met een Arduino vermomd als lunchbox ID-kaarten van anderen af te luisteren. Daar had hij behoorlijk foute grappen mee uit kunnen halen, maar in plaats daarvan stelde hij netjes een rapport op voor de school om het te fixen en kreeg hiervoor veel dank en bioscoopbonnen. Zo kan het dus ook. De bijdrage van Groenendijk was vooral een les in responsible disclosure aan de wat oudere hackers, die wel geneigd zijn kwetsbaarheden full disclosure te doen. Cool.
Come together
Deze jongste spreker viel overigens nauwelijks op in de menigte, want er waren behoorlijk wat leeftijdgenoten. SHA was toch wel het hackerkamp waar we de nieuwe generatie hackers zien aantreden. Het zogenaamde Family Village voor hackgezinnen was deze editie zelfs tien keer zo groot. En zo waren er nog meer villages: voor Italianen, Belgen, Britten, bedrijven en een GLBT-village, compleet met dagelijkse ‘Queer Feminist parties’. Zelf zat ik met een groep Nederlands bij de haven, net achter de dijk. En wat betreft de sprekers, werd het ultieme come-togethergevoel uitgedragen door Jos Weyers, in zijn bijdrage: ‘I have a dream’. Daarin ontvouwde hij zijn plan Beehive4.2: een oude koepelgevangenis in Arnhem die een permanent SHA-kamp wordt, een soort super hackerspace.
Dit overzicht is uiteraard subjectief en selectief, want met 7 parallelle tracks mis je meer dan je ziet. Maar goed, als ik terugkijk op SHA en me afvraag welke sprekers uiteindelijk de meeste indruk hebben gemaakt, kom ik uit bij de mensen van de organisatie zelf. Zoals Jeroen van der Ham, Oskar Koeroo en Brenno de Winter, die naast hun zware taak als organisatoren, ondanks chronisch slaaptekort, ook nog lezingen stonden te geven. Respect! De core orga’s Attilla de Groot en Elger Jonker, die na jaren voorbereidend werk ook de opening en sluiting deden hadden naar mijn beleving eigenlijk nog het mooiste optreden. Daarom in deel 2 van deze reeks: hoe meer dan 1000 Angels (vrijwilligers) en een handvol goden SHA mogelijk maakten.
Chris van ’t Hof (@cvthof) is internetsocioloog, schrijver en presentator.