30C3 – Jubileumeditie van het Chaos Communication Congress

Het CC Congress is een jaarlijkse, vierdaagse conferentie over technologie, maatschappij en utopie welke volledig georganiseerd wordt door vrijwilligers oftewel ‘Angels’. Honderden lezingen en workshops geven een creatieve en kritische kijk op het gebruik van technologie in onze samenleving.

Alsof het na de verhuizing naar Hamburg voor de vorige editie nog niet groots genoeg was, werden voor dit jubileum nog eens drie extra zalen van het Congres Centrum Hamburg ter beschikking gesteld voor Self-Organized Sessions (‘SOS’), ad hoc voordrachten en workshops, die parallel liepen met het officiële schema. Duizenden bezoekers trokken dan ook naar Hamburg, waar in de weidse omtrek van het congrescentrum alle hotels volgeboekt waren door zowel hackers als sympathisanten. Naast de delegaties uit verschillende landen (‘Assemblies’) waren zoals gewoonlijk ook tientallen ‘Signal Angels’ in negen landen, die een hackerspace of gewoon hun woonkamer ter beschikking stelden voor ‘Congress Everywhere’. Op deze manier kon men -waar dan ook- live volgen wat er in Hamburg gebeurde. Via VPN toegang tot het Congress network, IRC en Twitter (toch wel het moderne IRC) kon men zelfs interactief deelnemen aan de talks.

Tenzij een spreker dat echt niet wilde, werd alles opgenomen. De talks in het Duits werden simultaan vertaald en de video’s werden ondertiteld. Zo wordt het Congress nog meer een ontmoetingsplaats. Daarnaast kan je gerust blijven hangen en het geeft niet wanneer je de volgende talk mist, je kunt immers achteraf alsnog alles rustig bekijken. Voor de ondertiteling is men overigens nog op zoek naar Engels- en Duitstalige vrijwilligers.

Geen thema?
De afgelopen negenentwintig keer was er altijd een thema, zoals ‘The usual suspect’, ‘Here be dragons’, ‘Full steam ahead’ of laatst ‘Not my department’. Ditmaal zaten de organisatoren echter om een subtitel verlegen. Op het gebied van security waren de gebeurtenissen van 2013 zodanig hallucinant dat er geen woorden voor zijn. Vooral de NSA liep daarbij in het oog, zo erg zelfs dat een top-30 van de NSA hacks gepresenteerd werd: backdoors, virussen, rootkits, etc. Alles wat we tot nu toe enkel vermoedden, zoals bijvoorbeeld nog in het vorige nummer de hard disk hacking via firmware, wordt door de NSA al enkele jaren in de praktijk gebracht, met dank aan de Amerikaanse burger die door het stemmen van de Homeland Security Act de NSA niet alleen vrij spel, maar ook onbeperkte middelen gaf om de Big Brother megalomanie ten top te drijven.

Power corrupts…
…absolute power corrupts absolutely. De überwachungswahn van de overheid -niet alleen de Amerikaanse overheid overigens- kent geen grenzen. Het gaat nu ook niet alleen meer over terrorisme, maar vaak veeleer over economische spionage, althans in de landen die zogenaamd de mensenrechten wel respecteren. Hierdoor duiken nieuwe spelers op die een graantje willen meepikken, want de overheden die spionagesoftware en -hardware willen gebruiken, ontwikkelen dat natuurlijk niet allemaal in-house, ze kopen het ergens. Bijvoorbeeld bij Fox-IT in Nederland, bij Amesys in Frankrijk en bij HackingTeam in Italië. Zij worden betaald om in allerlei producten backdoors in te bouwen en targets te kraken, het zogenaamde ‘hacking back’ van door ‘de vijand’ gehackte machines. Met name Fox-IT werd afgelopen zomer nog geboycot tijdens OHM, omdat ze door software te leveren aan onder meer de Iraanse en Egyptische overheid medeplichtig zouden zijn aan misdaden van het regime. “Niet waar”, zeggen deze bedrijven, “Wij leveren enkel aan klanten die het vaandel van de ethiek hoog houden en de mensenrechten respecteren”. Daarbij gebruiken ze Open Source software om hun doel te bereiken, wat uiteraard alle lezers van dit blad en vele miljoenen andere gebruikers in een slecht daglicht stelt. We merken ook op dat deze nieuwe hackers wel een heel dubbele moraal hanteren, want ‘gewoon’ mensen opsluiten, zonder ze dood te martelen, te intimideren, te achtervolgen en te chanteren mag klaarblijkelijk wel, denk maar aan Assange en Snowden.

Een tweede negatief effect van de commercialisering van de digitale spionage is dat veel Amerikaanse IT-bedrijven in de rest van de wereld geboycot worden, omdat nu meer en meer aan het licht komt dat hun producten op vraag van de overheid vol zitten met achterdeurtjes.  

To protect and infect
Morgan Marquiz en Claudio Guarnieri brachten op ludieke wijze in kaart waar en hoe enkele van die achterdeurtjes gebruikt werden. Ze wezen ook erop dat wat zij en anderen ontdekt hadden, slechts het topje van de ijsberg is. En dat het heus niet blijft bij TCP/IP of GSM-verkeer. Stel je voor: je bent een beetje paranoïde en je hebt een stickertje op de lens van je laptop webcam geplakt, je hebt wifi en bluetooth uitgeschakeld en je plugt de netwerkkabel enkel in als het echt niet anders kan. En je gebruikt natuurlijk een zogenaamd secure operating systeem. Oftewel, je waant veilig in je eigen ivoren Linuxtoren. Als je denkt dat je dan niet gevolgd kan worden, dan heb je het helaas mis. Tegenwoordig bestaan er hacks waardoor je computer via geluidstrillingen met andere systemen in de nabijheid gaan communiceren, die dan weer wel op het netwerk aangesloten zijn en je gevoelige data wordt alsnog doorgesluisd naar bepaalde servers die overal op niet verdachte locaties ingeplant worden. Daarnaast word je mobieltje geconverteerd tot onzichtbare microfoon, die eveneens allerlei info en zelfs hele gesprekken doorsluist naar bepaalde servers. Marquiz en Guarnieri spoorden deze servers op, een activiteit waarbij ze geregeld door allerlei ISP’s naar buiten gewipt werden. Zo kwamen ze erachter dat Amerikaanse spyware ook aan landen onder embargo verkocht werd, waaronder Iran. Waarschijnlijk mocht dat voor één keertje om het verlies aan omzet door gebrek aan vertrouwen in andere landen te compenseren? Hoe krijg je die spyware dan op je systeem? Dat vonden de twee uit door hun contacten met activisten. Die kregen via mail of GSM van onbekende partijen allerlei (semi-)relevante tips en informatie, bijvoorbeeld foto’s van wantoestanden, zogenaamd gelekte documenten etc. Deze bestanden bleken dan verborgen instructies te bevatten, code die zichzelf onzichtbaar maakte en slechts moeilijk te achterhalen is. Je moet al weten wat je zoekt om erop uit te komen. In de Arabische wereld wordt het dubbel moeilijk om uit te vissen of een bestand al dan niet verdacht is, omdat men daar van rechts naar links leest. Zoek dan maar eens het verschil tussen exe.image.jpg de executable en exe.image.jpg het beeldbestand…  

Moraal van het hele verhaal: waarschijnlijk is het veiliger om je aftandse hardware nog even online te houden, bij voorkeur wanneer die dateert van voor 9/11.

Lichtere noot
Hoewel er natuurlijk nog veel meer presentaties waren over spionage, mass surveillance, NSA en andere security nightmares, kan de boog niet altijd gespannen staan. Wie dat wilde, kon een uitlaatklep vinden in de ‘Freiheit statt Angst’-betoging of eens goed gaan lachen in de aller-allerlaatste Hacker Jeopardy, een quiz voor en door hackers.

Creatieve geesten konden breimachines hacken of bij de T.A.M.I.-delegatie uit Tel Aviv analoge robots leren maken. Voor de lekkerbekken was een popcornmachine en een kaasproeverij aanwezig. We hadden ook de grootste lol bij het uittesten van een alternatieve manier van communicatie, want de verschillende verdiepingen van het CCH waren via een pneumatisch buizensysteem verbonden.  Boodschappen gingen in een plastic fles in het systeem, dat aangedreven werd door een stofzuiger.  Routing was er ook, maar gebeurde in deze versie nog manueel. Nog meer communicatiemiddelen kon je vinden op het dak, waar een radom (radar-dome) geïnstalleerd was.

Tot slot
De globale democratie zal zichzelf niet verdedigen, het is duidelijker dan ooit dat er nood is aan politiek geëngageerde hackers om al deze misstanden niet alleen bloot te leggen, maar ook aan te klagen. En wie bang is, krijgt ook slaag.

Links
https://events.ccc.de/congress/2013

http://www.puscii.nl/blog/content/whats-wrong-kids-these-days