Gewapend met sterk beveiligde laptops krioelen dit jaar rond de 13.000 computerexperts en privacyvoorvechters door de gangen van het Congress Center Hamburg. Zij zijn hier om na te denken over onze digitale beveiliging, en dan vooral om te bediscussiëren hoe die beter kan worden geregeld.

In de kelder wordt dag en nacht geprogrammeerd en aan computers gesleuteld. Door het hele gebouw worden door (hackers)collectieven informele praatjes georganiseerd – over de digitale munteenheid Bitcoin, bijvoorbeeld. Maar er zijn ook grote zalen met ruimte voor 3000 man, waar grote onthullingen worden gepresenteerd.

Deze onthullingen die op het Chaos Communication Congress (CCC) werden gepresenteerd sprongen het meest in het oog:

1: Ieders telefoongesprek kan eenvoudig afgeluisterd worden

Een van de schokkendste onthullingen op het CCC ging over een onderwerp dat ons allemaal aangaat: het afluisteren van mobiele telefoons. Twee Duitse onderzoekers, Tobias Engel en Karsten Nohl, toonden aan dat je met een investering van een paar honderd euro potentieel honderden miljoenen telefoongesprekken kunt afluisteren, sms’jes kunt onderscheppen en de locatie van de bellers kunt achterhalen.

Dat kan via SS7, een internationaal softwaresysteem dat vrijwel alle telecommaatschappijen gebruiken om telefoongesprekken en berichten aan elkaar door te geven. Als iemand mij vanuit Chili wil bellen, moet zijn telefoonmaatschappij mij eerst zien te vinden. Die plaatst een zoekvraag bij SS7 en die komt erachter dat ik op dit moment op het T-Mobile-netwerk zit in Hamburg, vlak bij de zendmast op de hoek van de Ludwig-Erhard-Straße en de Herrengraben. Iedereen met toegang tot het systeem kan aan de hand van een telefoonnummer

Het is eenvoudig om toegang tot dit systeem te krijgen. Je kunt je bijvoorbeeld voordoen als sms-dienst en voor een paar honderd euro toegang kopen tot het systeem. De onderzoekers hebben dit gedaan en keken hoeveel informatie ze konden ontfutselen. Je raadt het al: dat was veel. En het verliep gemakkelijk.

YouTube

Tobias Engel, SS7: Locate. Track. Manipulate

Het lastige is dat je hier niets tegen kunt doen. De enige oplossing is dat de telecommaatschappijen SS7 aanzienlijk moeten verbeteren of helemaal moeten vervangen. De kans dat ze dat gaan doen is klein, vermoeden de onderzoekers.

Toch lieten ze hun publiek niet helemaal met lege handen achter. Voor een vervolgonderzoek hebben ze SnoopSnitch gelanceerd, die registreert wanneer een systeem binnengedrongen wordt. Aan de hand van deze metingen kunnen de onderzoekers in kaart brengen wie dit doet en vooral ook waar dit gebeurt.

2: De NSA kan veel kraken – maar lang niet alles

In een stampvolle zaal onthulden journalisten/activisten Laura Poitras en Jacob Appelbaum dat de National Security Agency (NSA) er alles aan doet om protocollen die het internet beveiligen, te kraken. Het is de inlichtingendienst bijvoorbeeld gelukt om al het internetverkeer via HTTPS, een versleutelde internetverbinding, te onderscheppen. Ook kan een VPN-verbinding, een soort virtuele tunnel tussen twee machines, worden afgeluisterd door de NSA. Eind 2011 waren er zelfs plannen om per uur 20.000 VPN-verbindingen te monitoren.

Dit baseren Poitras en Appelbaum op nieuwe documenten die zij van klokkenluider Edward Snowden hebben gekregen en die in samenwerking met Der Spiegel

Eind 2011 waren er plannen om per uur 20.000 VPN-verbindingen te monitoren

Het kraken van deze protocollen wordt mede mogelijk gemaakt door achterdeurtjes in bepaalde software. Zo gaat de NSA geheime samenwerkingen aan met commerciële bedrijven en telecomproviders om zogenoemde backdoors in software te implementeren, die het de NSA makkelijk maken om versleutelde informatie te ontcijferen. Ook overzeese bondgenoten, zoals het Britse GCHQ, doen vrolijk mee, zo blijkt uit de documenten.

Maar er is ook goed nieuws. Uit de documenten is namelijk gebleken dat de inlichtingendiensten lang niet alle versleutelde online communicatie kunnen hacken. Appelbaum vertelt dat de NSA veel moeite heeft met het kraken van en Ook bijt de inlichtingendienst zich stuk op het open netwerk Tor, waarmee men anoniem kan surfen. Helemaal moeilijk wordt het voor de NSA als iemand deze applicaties in combinatie met elkaar gebruikt: op dat moment is zelfs de burger de inlichtingendienst te slim af.

Aangezien de documenten uit 2012 stammen, is het moeilijk om te zeggen waar de NSA en andere inlichtingendiensten op dit moment staan met het kraken van beveiligingen.

YouTube

Bekijk hier het praatje van Applebaum en Poitras terug.

3: Je biometrische kenmerken zijn makkelijk te hacken

Jan Krissler en Tobias Fiebig van de Technische Universiteit van Berlijn hebben de vingerafdruk van de Duitse minister van Defensie Ursula von der Leyen gehackt. In hun presentatie lieten ze zien hoe makkelijk dit ging: ze analyseerden een paar foto’s van haar vinger met behulp van de software VeriFinger. Volgens de onderzoekers zijn deze kopieën vervolgens makkelijk te klonen met bijvoorbeeld een 3D-printer of een siliconenmal.

De onderzoekers vertelden bovendien hoe zij de iris van Angela Merkel wisten te kopiëren. Zij gebruikten hiervoor een foto die werd genomen met een 10 megapixelcamera in een mobiele telefoon, vanaf ongeveer drie meter afstand. Met commercieel verkrijgbare software maakten de onderzoekers een digitale kloon van de iris.

Met hun project willen de onderzoekers aantonen dat een kloon vingerafdrukken- en irisscanners eenvoudig kan misleiden. Deze identificatiemethodes zijn dus lang niet waterdicht. Krissler toonde dit al eerder aan in 2008, toen hij de vingerafdruk van de toenmalige Duitse minister van Binnenlandse Zaken van een glas wist te extraheren en na te maken. Hij publiceerde de mallen zelfs in een clubblad van de Chaos Computer Club, zodat alle leden zich konden identificeren als minister.

Krissler vertelt dan ook dat hij zijn wachtwoorden meer vertrouwt dan zijn vingerafdrukken.

YouTube

Bekijk hier het praatje van Krissler en Fiebig terug (Duits).

4: Online stemmen is (nog) niet te vertrouwen

Estland wordt vaak bejubeld vanwege zijn innovatieve overheidsdiensten, waaronder de mogelijkheid om via het internet te stemmen. Maar liefst een kwart van de bevolking heeft bij de vorige verkiezingen op deze manier gestemd. Na een jaar lang onderzoek concluderen J. Alex Halderman en zijn team dat het I-voting-systeem ernstig tekortschiet en daarom per direct moet worden gestaakt.

De test toonde aan dat de onderzoekers het fictieve stemmenaantal van elke partij naar hun hand konden zetten

Halderman vertelt op het CCC dat computers van burgers eenvoudig te hacken zijn, waardoor ook een online stem kan worden gemanipuleerd. De stemprocedure zelf kan dan wel beveiligd zijn, toch kan kwaadwillige software gevoelige informatie ontfutselen, zoals de geheime code waarmee moet worden ingelogd op het digitale stembureau. Wanneer de burger heeft gestemd, wordt deze geheime code opnieuw gebruikt om de stem te veranderen. Hier merkt de burger niks van.

De onderzoeker en zijn team ontdekten ook dat de servers van de overheid zeer slecht beveiligd zijn. Zij installeerden via dvd’s malware op de servers om stemmen te ‘stelen.’ De test toonde aan dat de onderzoekers het fictieve stemmenaantal van elke partij naar hun hand konden zetten en zo de uitkomst van de verkiezingen konden veranderen.

YouTube

Bekijk hier het praatje van Halderman terug.

5: Een bom krijg je vrij eenvoudig een vliegtuig in

Op eerste kerstdag 2009 probeerde Umar Farouk Abdulmutallab zichzelf en het vliegtuig waarin hij zat op te blazen met behulp van een bom in zijn onderbroek. Als reactie hierop werden op honderden vliegvelden in allerijl zogenoemde bodyscanners geplaatst, apparaten die door de kleding van mensen heen kunnen kijken. Een van die scanners was de Rapiscan.

Een groep Amerikaanse en Canadese onderzoekers heeft op eBay een Rapiscan kunnen kopen en die uitgebreid kunnen testen. Ze ontdekten dat het vrij makkelijk is om wapens en explosieven mee te smokkelen. De Rapiscan is vorig jaar (tijdelijk) uit de roulatie gehaald omdat hij niet aan een aantal technische eisen voldoet. Maar ze worden nog wel degelijk buiten vliegvelden ingezet.

Het (zeer vermakelijke) praatje van de onderzoekers toont aan hoe moeilijk goede beveiliging is en dat veel veiligheidsmaatregelen toch vooral een vorm van theater zijn: veel machtsvertoon en poeha voor de bühne, maar weinig inhoud.

YouTube

Security Analysis of a Full-Body X-Ray Scanner

We begrijpen onze technologie niet (en daar kun je wat aan doen) Van een grammofoonplaatspeler begreep iedereen hoe het apparaat werkte. Maar van een smartphone? Of het internet? We worden omringd door technologie waarvan bijna niemand de werking doorgrondt. Laat staan de politieke en economische machtstructuren erachter. Op de vierdaagse Networkshop deed ik een poging daar verandering in te brengen. Een verslag. Lees hier de reportage terug In dit dorpje proberen dappere hackers het internet te redden In een klein Spaans dorp kwam deze zomer een groepje hackers bijeen. Hun missie: hoe redden we het internet uit de klauwen van de National Security Agency en Google? Douwe Schmidt doe verslag van deze Matrix van Calafou, met illustraties van striptekenaar Typex. Lees het verhaal hier terug