Interview met Rob Gonggrijp

Wat is er mis met de hedendaagse computerhackers?
"Naast de oude garde, de hackers die inmiddels werken bij een computerbeveiligingsbedrijf of techneut zijn bij een internetbedrijf, is een wereld ontstaan van scriptkiddies, jong en oud, die niets echt zelf kunnen bedenken. Ze kunnen vaak slechts software draaien die door anderen gemaakt is. Het draaien van deze kraakprogrammaatjes is een rage. Ook zij zijn deel van onze gemeenschap. Er zitten heel ook slimme computeraars tussen, die te interesseren zijn in andere thema's."

Rob Gonggrijp (33) was een van de organisatoren van de hackersconferentie Hackers at Large (Hal), die twee weken geleden plaatsvond in Enschede. Computerkraker is hij naar eigen zeggen sinds 1985. Het begon met zijn hackerstijdschrift Hacktic. Daaruit ontsproot in 1993 internetdienstaanbieder Xs4all. Nu heeft hij al enkele jaren zijn computerbeveiligingsbedrijf, Itsx en hij begint net met een softwarebedrijf, Nah6.

"Dat bericht op Kuro5hin was bedoeld om duidelijk te maken dat Hal niet de plek is voor ongein. De belangstelling was zo groot dat we dit signaal nodig vonden. Er waren 2900 deelnemers, bijna twee keer zoveel als bij de vorige bijeenkomst in 1997. Door alle aandacht van de media en websites werd dat tekstje op beschouwd als dé tekst van de conferentie. Computerveiligheid is echter slechts één van de onderwerpen."
"Het werk van de Noor Jon Johanssen, ontwikkelaar van Decss om dvd's af te spelen op pc's met het besturingssysteem Linux, heeft niets van doen met inbreken in computers. Hetzelfde geldt voor iemand met veel kennis van programmeertaal Perl of iemand die netwerken aan elkaar kan knopen. Net als de bijeenkomsten van de Chaos Computer Club in Berlijn of Hope in New York moet Hal vooral de band versterken tussen de leden van onze gemeenschap. Je biedt deelnemers een plaats om elkaar te spreken en gedachten uit te wisselen."
 
Waarom trekt een oproep om volwassenheid dan de aandacht?
"Het is een teer punt in de hackersgemeenschap. Iedereen heeft kattenkwaad uitgehaald. De schaal van de ongein is echter veranderd. Sommige scriptkiddies worden op internet criminelen. Honderdvijftig machines kraken om ze in te zetten voor een ddos-aanval (distributed denial of service), of duizend harde schijven kapotmaken, dat is erger dan wat ik als kattekwaad bedreven heb."
"Het is ook veel te makkelijk. Vroeger had je voor het kraken van computers een kennisniveau nodig dat vanzelf leidde tot een grotere mate van verantwoordelijkheidsgevoel. Die kennis kreeg je van anderen, en die keken eerst goed of jij het wel aankon.
Het hacken van nu is slecht voor het imago van de groep. De media noemen die kneus in Sneek al een hacker. Hij kan niet eens een Visualbasic-script van tien regels schrijven dat een bestand maakt getiteld annakournikova.jpg. Van de ene op de andere dag is zo het imago door de plee."
 
Is dat zo erg?
"Die gekwetstheid is terecht. Hacken betekent iets anders. Omdat de media het verkeerd presenteren, wordt het raar om te zeggen dat je hacker bent. Ik voel mij hacker, maar ik heb een beveiligingsbedrijf. Deze gemeenschap bestaat al sinds de jaren zeventig."
 
Wilde je met Hal de script-kiddies wijzen op de bedreigingen van alomvattende computernetwerken? Zodat ze bijvoorbeeld hun pijlen richten op het Amerikaanse spionagenetwerk Echelon en openbaar maken wat daar allemaal wordt vastgelegd?
"Dat laatste lijkt me vrij gevaarlijk. Nee, van belang in de hackerswereld is bijvoorbeeld het recht op anonimiteit. In de Verenigde Staten slepen bedrijven internetaanbieders voor de rechter om de namen lost te krijgen van anonieme werknemers die op internet klagen over het management. Iedere potentiële discussie is straks hetzelfde als laster. Waar begint op het internet openbaarheid, wat is een gesprek in de kroeg? Regeringen en grote bedrijven hebben hier andere ideeën over dan wij. Zij maken de dienst uit, het publieke belang is op internet volledig afwezig."
 
Dat valt toch wel mee?
"Op de Hal is gesproken over de Digital Millennium Copyright Act en het kraken van de High-bandwidth Digital Content Protection door de Nederlander Niels Ferguson. Hij durft zijn methode niet te openbaren, omdat hij dan volgens de Amerikaanse wet strafbaar is. Dat illustreert hoe de technologie waarmee bedrijven hun rechten beschermen onaantastbaar wordt. Als je het begrijpt en je hebt daarover geen contract met de fabrikant ga je de bak in. Die techniek mag niet begrepen worden, je mag het niet ontleden."
"Diezelfde techniek omringt ons straks, zit in onze audio, video en alle digitale apparatuur. Er zijn straks weinig voorwerpen waar die techniek niet in voorkomt. De webbrowser, de videocamera, je mag er niets van begrijpen. Je autoradio spuugt alleen muziek uit als je per liedje betaalt. Je zet hem aan en je banksaldo wordt aangesproken. De enige reden dat het nog niet is ingevoerd is omdat het nog niet werkt."
"Het kraken van dit soort technologieën is een goede zaak. Er zijn wettelijk erkende rechten voor het toepassen van deze gereedschappen, zoals het citaatrecht, of voor educatief en eigen gebruik. De techniek is echter in voorbereiding om alle vormen van kopieën tegen te houden en deze techniek is straks wettelijk gesloten. We moeten zien tegen te houden dat onze maatschappij van alle burgers weet wat ze doen en waar ze zich bevinden. Dat het wordt zoals Oost-Duitsland was voor de val van de Muur."
"De beweging voor burgerrechten en privacy heeft het tij tegen, want het opgeven van die rechten is zo makkelijk. Over twee jaar staan er in een stad als Tilburg veiligheidscamera's met gezichtsherkenning. Dat is makkelijk voor het oppakken van voetbalhooligans en zakkenrollers. Die veiligheid wint. Toch ben ik geen pessimist. Ik denk dat het wel goed gaat. Maar ik ben er niet zo zeker van dat ik denk dat die camera's wel kunnen worden opgehangen."
 
Is Hal een geschikte manier om dat debat te beginnen?
"Deels. Het is een manier om intern en extern aandacht te krijgen voor dit soort thema's. Ook de lobby moet komen uit deze gemeenschap. In Nederland lobbyt Bits of Freedom (Bof), maar dat soort clubs heeft input nodig vanuit de gemeenschap. Hal is een plaats waar we onze strategie kunnen bepalen. Mensen met kennis van computerbeveiliging zijn in potentie mensen die sympathie met deze thema's hebben."
"Europa zit met een enorm democratisch probleem. Onze grondrechten zijn nationaal, maar de wetten worden voorgekookt in Brussel. Wil Bof op haar werkterrein iets bereiken in de EU, dan moet het samenwerken met gelijksoortige organisaties in alle lidstaten. Dit debat leeft echter alleen in Duitsland, Engeland en een beetje in Nederland. In Duitsland is privacybescherming regeringsbeleid, in Engeland is de regering anti-privacy en in Nederland neemt vrijwel niemand het onderwerp serieus. Het privacydebat blijft hier steken op het voorbeeld van een bedrijf dat informatie verzamelt over gebruikers van anti-roos shampoo. In Duitsland ligt het onderwerp veel gevoeliger. Ieder dorp heeft zijn Datenschutz-ambtenaar, die toeziet op de bescherming van persoonlijke gegevens."
"De Rus Dmitry Sklyarov is door de Verenigde Staten vastgezet omdat hij aantoont dat de keizer geen kleding aanheeft. Een deel van de Adobe-bestanden waar hij de beveiliging van kraakte is beschermd met de simpele encryptie Rot-13: je blaast ertegen en het is weg. Bij een hele hoop mensen kweekt dat het besef dat alleen begrijpen hoe het zit al een misdaad is. Ik zie computeraars bezig met uitvinden hoe een chipkaart werkt. Misbruik is niet hun doel; ik kan ze niet vertellen hoe het werkt, maar wel hoe het is om verhoord te worden door de politie. Begrijpen hoe een televisiedecoder werkt is geen misdaad; en ik voel me verantwoordelijk voor kids die dat proberen te ontdekken. Kennelijk lopen zij een groot risico. Uiteraard staat daarbij altijd de pers klaar om: 'zie je wel, criminelen' te roepen."
"Deze gemeenschap heeft een verantwoordelijkheid tegenover mensen zoals Dmitry. Wat hij doet is wetenschappelijk werk en geen misdaad. Net als professor Ed Felten - die erin slaagde het Verance Watermerk te kraken, een onderdeel van de techniek om het kopiëren van digitale muziek tegen te gaan - houdt hij de industrie eerlijk. Alleen krijgt Felten een keurige brief en Dmitry, of jongens van vijftien die hetzelfde doen, worden gearresteerd. Zelfs het publiceren van een ddos-programma is een gereedschap. Het nut ervan is dat het ons leert hoe het werkt."