Captain Crunch: 'Hacken moet je jezelf leren'

Dit is Captain Crunch

Captain Crunch is de hackersnaam van oerhacker John Draper. De in 1943 geboren programmeur dankt zijn nickname aan de mascotte (Cap'n Crunch) van een Amerikaans merk cornflakes dat in de jaren 60 een plastic fluitje meeleverde. Het scheepsfluitje dat als kinderkadootje in de cornflakesdoos zat, bleek bruikbaar om het telefoonsysteem van AT&T te hacken. Gratis gesprekken, ook voor duurdere lange-afstandsverbindingen, waren hierdoor mogelijk. Draper wist dit hacken van het telefoonnetwerk (phone hacking, ook wel phreaking) uit te dokteren na een tip van een blinde phonehacker. Het cornflakesfluitje wist namelijk een toonzuivere klank op 2600 hertz te geven, wat precies de frequentie is waarop het toenmalige AT&T-systeem interne commando's doorgaf.

Het beroemde hackersmagazine 2600: The Hacker Quarterly (voor het eerst gepubliceerd in 1984), is vernoemd naar deze vondst. Door te experimenteren met het fluitje wist radiopiraat Draper zogeheten blue boxes te maken: analoge elektronische apparaten waarmee de diverse tonen van het telefoonsysteem te reproduceren waren. Elke beller kon zo de rol van een operator aannemen.

Waar ben je nu mee bezig?

"Ik doe code-development voor Golden Spear, een start-up in San Francisco die AI (artifical intelligence, ofwel kunstmatige intelligentie - red.) ontwikkelt voor natural language processing. Het gaat dan om analyse en begrip van gewone taal, zowel in tekst als in spraak. En ook nog eens in diverse talen. Het is voor computers heel moeilijk om een gewone zin te herkennen." Lees ook: Wat is de NSA?

Dus je bent gewoon developer, geen hacker?

"Ik promote wel PGP (encryptiemethode Pretty Good Privacy - red.), dat is één van de beste manieren die er is om je communicatie veilig te houden. PGP bezorgt de NSA veel hoofdpijn."

Wat was je reactie op de onthullingen over de Amerikaanse inlichtingendienst NSA?

"Ik was niet verbaasd over de onthullingen door Edward Snowden. Ik wist wel dat ze de technologie hadden, ik wist alleen niet wat ze daarmee deden."

"Het baart me wel zorgen dat het veel mensen niet deert. Veel mensen halen hun schouders op: I don't care. Dat is fout. John Q. Public (Jan Modaal - red.) denkt dat er niets aan de hand is, want hij of zij 'doet toch niks illegaals?' Dat is een passieve en gevaarlijke houding, als schapen."

Crunchman doceert

Hoe komt een oerhacker die geen miljardenbedrijf heeft opgezet in Computer!Totaal? We hebben Captain Crunch, ook wel Crunchman genoemd, gesproken in de aanloop naar een college dat hij in september gaat geven aan Nederlandse studenten. Het IT Talent College, georganiseerd door Conjugo Events, brengt Captain Crunch 'voor de klas'. Hij legt dan het phreaking van vroeger uit, vertelt over zijn ervaring met softwareontwikkeling door de jaren heen en geeft zijn visie op huidige trends op het gebied van coding, security en verwante zaken. Zoals past bij een echte collegetour is deze bijeenkomst toegankelijk voor studenten die ter plaatse ook hun eigen vragen kunnen stellen.

Je vreest dat we in 1984 leven?

"Ja, 1984 is hier. Daarom adviseer ik iedereen: gebruik crypto! Gebruik encryptie ook voor de meest alledaagse zaken. Helaas is dat voor de meeste mensen nog altijd te ingewikkeld. Ik heb geprobeerd om de PGP-plug-in voor Chrome aan de praat te krijgen. Dat lukte me niet. Ik heb PGP nu wel werkend op mijn iPad. Dat kostte me een paar uur werk."

Gewone mensen maken dus erg weinig kans om encryptie te gebruiken voor hun communicatie?

"Nee, hoor. Ik raad Wickr aan, dat is een communicatie-app die je gewoon en makkelijk kunt installeren. Het is een veilige manier om te communiceren en het heeft zogeheten 'perfect forward secrecy'. Dat betekent dat het telkens nieuwe encryptiesleutels gebruikt, waardoor het vrijkomen - of kraken - van een sleutel geen impact heeft op alle berichten. Verder staan en blijven de berichten op mijn iPhone staan. Als ik een bericht wil lezen, wordt het ontsleuteld en dan na één uur automatisch gewist. Standaard staat het automatisch deleten ingesteld op 24 uur. Je kunt dat zelf instellen, bijvoorbeeld ook op een week."

"Geen enkel crypto-programma is perfect. Maar Wickr komt erg dicht in de buurt."

Je leest nu tijdens ons interview ook Wickr-berichten?

"Nee. Wickr heeft nu net een storing, dat heb ik weer met mijn pech!"

"Dat is wel echt jammer, want nu kan ik niemand bereiken terwijl ik even in Nederland ben. Ik ken hier mensen die me willen ontmoeten, maar die veilig moeten communiceren. Soms gebeurt dat zelfs via een tussenpersoon. Ik heb hun telefoonnummers of andere contactgegevens dan ook niet."

Waar erger je je aan?

"Mensen mailen me wel eens met me met de vraag 'Leer mij om te hacken'. Dat is een hele domme vraag. En het is te riskant. Voor hun én voor mij. Gezien mijn verleden word ik in de gaten gehouden. Hacken moet je jezelf leren. Dat heb ik ook gedaan."

Wat heb jij jezelf toen geleerd om te hacken?

"Ik zat in telefoonsystemen, wat toen analoge apparaten waren. Ik ben aan computers begonnen om analoge elektronica te ontwerpen. Dat was voor een analoge stemvervormer die ik wilde maken. Ik had een digitale computer nodig om de gecompliceerde filters te berekenen."

Welke computer was dat dan?

"Ik deed dat rekenwerk op wat toen een minicomputer heette: een HP 2000-systeem. Een vriend van me had dat in zijn garage staan. Hij wilde een bedrijf opzetten voor timesharing, waarbij dus meerdere mensen tijd op een centraal computersysteem konden huren. Dit was vóór de tijd van de personal computer. Dat bedrijf BTI, Basic Timesharing Inc., gaf mij toegang voor 99 cent per uur. De normale prijs was iets van 20 dollar per uur, plus nog eens de kosten van de processorbelasting die je veroorzaakt."

"Toen ik eenmaal had geleerd om de computer te gebruiken, was ik om."

Waarom ben je oorspronkelijk aan hacking, van analoge elektronica, begonnen?

"Ik was nieuwsgierig. Toen ik in dienst moest, had ik weinig te doen dus heb ik daar maar met het telefoonsysteem gespeeld. Toen ik uit dienst kwam, ontdekte ik dat het commerciële telefoonsysteem erg leek op dat in het leger."

Wat leer en doe je zelf anno nu?

"Dat is niet heel veel meer. Door mijn medische situatie kan ik niet meer veertien uur achter elkaar programmeren. Dus ik vertrouw veel op aanvullende functies van developmenttools, zoals AutoComplete. Dat en andere hulpmiddelen zitten in de meeste moderne IDE's (integrated development environments - red.). Bovendien is dat ook nodig voor de complexiteit van hedendaags coden: als je te maken hebt met bijna 30.000 API-calls (application programming interfaces - red.), zoals in een modern besturingssysteem. Hulp van developmenttools scheelt dan veel tijd."

Programmeren is dus makkelijker dan ooit?

"Nou, dat hangt ervan af. Ik vind bijvoorbeeld Visual Studio (het ontwikkelprogramma van Microsoft - red.) helemaal niks. Daar heb ik 24 uur aan besteed en geen één regel code gemaakt. Er zijn zoveel API's en zoveel mogelijke manieren om iets te doen. Er is te veel complexiteit. Je kunt jezelf dan zó in een cirkel klemzetten."

Wat gebruik je dan wel?

"Ik werk het meeste in Python. Misschien is dat ook omdat ik wat vastgeroest ben: ik wil geen andere talen meer leren. Gemiddeld besteed je dan namelijk zo'n tachtig procent van je tijd aan de syntax van een programmeertaal. Een taal is namelijk niet zo vergevingsgezind voor foutjes. Dus moet je de syntax goed doorhebben. Maar je bent dan niet bezig met het onderliggende probleem dat je met die programmeertaal wilt oplossen."

Inspiratie voor Jobs en Wozniak, hobbyclub

Het phonehacken door Captain Crunch en de door hem gemaakte blue boxes waarmee anderen dit ook konden doen, heeft AT&T gedwongen om het hele telefoonsysteem te herzien. De kosten van de gepleegde gratis gesprekken plus de kosten voor de vervanging van apparatuur waren enorm. De blue boxes van Draper zijn via een artikel in Esquire Magazine in 1971 breed onder de aandacht gekomen.

Onder de lezers waren ook een jonge Steve Jobs en Steve Wozniak, die vervolgens zelf in de blue box-business ging. De twee latere Apple-oprichters gingen deze phonehackapparaatjes maken en verkopen. Onder de lezers waren echter ook de Amerikaanse autoriteiten, die Draper in 1972 hebben gearresteerd voor telefoonfraude. Dat heeft Captain Crunch vijf jaar voorwaardelijke celstraf opgeleverd.

De beroemde phreaker is niet alleen bekend van zijn telefoonhacks en indirecte invloed op Apple-grondleggers Jobs en Wozniak. Draper was ook één van de leden van een hobbycomputerclub die vergaande impact heeft gehad. De Homebrew Computer Club in Silicon Valley die van maart 1975 tot december 1986 bijeenkomsten hield waar de leden dan hun knutselwerk aan elkaar showden, met elkaar deelden en weer verbeterden. Zoals Wozniaks ontwerp van de zelfbouwcomputer Apple 1. Uit de Homebrew-scene zijn diverse grondleggers van de pc- en later ICT-industrie voortgekomen.