Pr0t3ct!on#cyber_security@...

De hackwedstrijd ‘can you crack it?’ voor aspirant-cyberspionnen van de Britse geheime dienst GCHQ loopt om middernacht af. Een aanwijzing: ‘dead beef’.

160 raadselachtige lettercombinaties zette Government Communications Headquarters (GCHQ) online. De Britse geheime afluisterdienst, met cyberoorlogvoering en -terrorisme in het pakket, stelde daarbij een simpele vraag: can you crack it? Wie het het raadsel voor 12 december middernacht oplost, mag op gesprek komen voor een baan als ict-versie van James Bond.

Het aanbod gold alleen voor Britten, maar dat weerhield hackers en puzzelaars over de hele wereld er niet van een poging te wagen.

Hint 1: verwacht geen Harry Potter-achtig raadsel met cryptische spreuken of klassieke geheimschriften. Alleen de website zelf al, een retrofuturistisch ontwerp met getallen in het zestientallig stelsel, was een duidelijke aanwijzing dat niet-computernerds wel konden inpakken.

„Een aantal interessante dingen valt meteen al op”, zegt Gareth Owen, docent computer science van de University of Greenwich, die op http://gchqchallenge.blogspot.com in onderkoeld academisch Engels de oplossing meldt (aan een baan On Her Majesty’s Secret Service had hij blijkbaar geen behoefte). „Het eerste getal is EB, machinecode voor een ‘jump’-instructie.”

Machinecode is taal van de computerprocessor zelf, een beperkt vocabulaire aan instructies om bytes uit het geheugen op te halen of bijvoorbeeld naar een ander computeradres te springen. Direct in machinecode programmeren, in plaats van ‘hogere’ programmeertalen als C++ of Python, is een zeldzaamheid, alleen toegepast voor de meest basale computerfuncties, voor virussen, en dus voor dit soort geintjes.

Dat het machinecode was, wist Owen zeker toen hij verderop de code ‘dead beef’ vond, een lettercombinatie die traditioneel verwijst naar een vastgelopen, ‘dood’, programma (in machinecode ziet dat eruit als ‘AF BE AD DE’).

Verdere inspectie van de instructies leerde dat de code een versie was van het RC4-versleutelingsalgoritme, ook toegepast in de (achterhaalde) WEP-beveiligingsmethode voor draadloze netwerken. Alleen: de te ontcijferen boodschap zelf ontbrak.

Hier kwamen dan toch nog wat Harry Potter-instincten van pas. De getallen op de canyoucrackit-website waren niet verpakt in een een html-bestand zoals je zou verwachten, maar als een beeldbestand. En beeldbestanden bevatten een ‘header’ met basisgegevens zoals de afmetingen van het plaatje, en in dit geval ook een slinks verstopt reeksje bytes.

Wat volgde was een klassiek raadsel binnen een mysterie binnen een enigma. De ontcijferde code leverde een webadres op, en daar stonden instructies om een Virtual Machine te maken: een denkbeeldige computerprocessor die je kunt simuleren met een echte computer. Daaruit rolden weer nieuwe cijferreeksen, die samen met nog wat obscure ongebruikte bytes uit eerdere stappen (maar ja, welke?) combineerden tot weer een nieuw webadres. Dat leverde opnieuw machinecode, die zowaar de weblink gaf naar het wachtwoord: Pr0t3ct!on#cyber_security@12*12.2011+.

Gauw invullen op de website, en je wordt feestelijk onthaald ‘So you did it! Well done.’ Maar bij doorklikken kom je uit op een gewone vacaturesite van GCHC, met een oproep voor Cyber Security Specialists, met een inkomen vanaf 25,446 Britse pond (30.000 euro) en 10,5 vakantiedagen. James Bond zou er niet voor uit zijn bed komen. „Een nogal teleurstellend einde voor nogal wat werk”, constateert Owen droogjes.

Al kon het ook slimmer: de luie beveiligingsspecialist Charles Meaden zocht met Google op de canyoucrackit-website, en vond de ‘So you did it!’-pagina achter de opgave. Ook het password zelf zong al snel rond op het net. GCHQ liet – enigszins tegen de aard van de opgave in – weten dat slimmeriken die het zware werk omzeilden gediskwalificeerd worden.

Maar uit alle online reuring was eigenlijk al duidelijk dat het vast niet alleen om het eerste handjevol eerlijke oplossers ging. Zoals reageerder FragFrog het op de computersleutelaarswebsite Tweakers.net verwoordde: „Extreem goed staaltje viral marketing, en dat voor een overheid, hulde.”

    • Bruno van Wayenburg