19.00-21.00 #hacktalk9: het einde van het internet

WTF?! Ja, je leest het goed: er komt een dag dat het internet het gewoon niet meer doet. Omdat het moedwillig stuk wordt gemaakt of omdat we iets over het hoofd hebben gezien dat tot nog toe geen probleem was, maar nu wel. Of we hebben het internet gewoon zo ingewikkeld gemaakt dat er iets mis gaat en we niet weten wat...

Deze Hack Talk ging daarom over “Het einde van het internet”. Ik had dertien scenario’s ontwikkeld om het internet kapot te maken en tien experts uitgenodigd om hierover te discussiëren: vijf die weten hoe je online dingen kapot kunt maken en vijf die in dagelijks leven het internet draaiende houden, oftewel aanvallers versus verdedigers. Om het abstracte thema wat op te leuken, hadden we ook allerhande hand-on activiteiten die we zouden kunnen doen als er geen internet meer is. We hadden een heuse telex, waarmee het publiek analoog kon meechatten tijdens de discussie. Club Worm heeft een fysieke versie van ThePirateBay, het online platform voor het al dan niet illegaal delen van content. Bij hun Pirate Bay kun je DVD’s, CD’s boeken en games lenen en ter plekke kopiëren. Worm heeft een Pirate Box ontwikkeld, een LAN-filesharingsysteem, om zonder toegang tot internet toch bestanden met elkaar te kunnen delen via een lokaal netwerk. Onze DJ, die normaal zijn muziek van een USB-stick speelt, was vervangen door Akim en zijn orgel die op een oud analoog orgeltje easy tunes speelt.

We eindigden de avond met Jeux de Cyber: gooien met oude mobieltjes, tablets en andere digitale elektronica op een echte Jeux de Boulle baan. VJ Pleun schakelde over van haar Mac naar een authentieke sheet projector om de score te projecten. Als muzikale begeleiding kreeg Akim versterking van het samengeraapte Anti Cyber Anologue Assembly. En als er geen internet is, hebben we uiteraard ook geen blockchaintechnologie meer. Om toch alle gebeurtenissen in een feilloze administratie vast te leggen, hadden we een analoge, offlineversie. We noemen het Bloktsj1.

Om de vraag of internet stuk kan te beantwoorden, eerst de vraag: wat is internet? Een antwoord is: internet een netwerk van netwerken. Dat zijn er momenteel ongeveer 100.000. Onze KPN heeft zo’n netwerk, Rijkswaterstaat en de universiteiten ook. Binnen die netwerken heeft elke aangesloten computer een adres, waar de informatiepakketjes hun weg naartoe vinden. Die netwerken adverteren naar de buitenwereld welke adressen ze hebben en worden ook wel Autonomous Systems genoemd.

Overigens vliegen de pakketjes niet meer zoals vroeger over alle netwerken heen, maar worden ze binnen datacenters van het ene naar het andere netwerk over gezet. Als twee partijen vaak data uitwisselen, zeg Google en Facebook, kan dat via de zogenaamde internet exchanges. Een van de grootste ter wereld is onze AMS-IX, de Amsterdam Internet Exchange, een soort grote rotonde in het wereldwijde internetverkeer. En nee, als je die platgooit gaat niet het internet uit. Mocht dat je al lukken, het zijn immers dertien verschillende, zwaarbeveiligde locaties, dan nog komen de pakketjes op hun bestemming via de traditionele wegen.

Een tweede antwoord is: internet is een protocol, oftewel een reeks afspraken over hoe we de communiceren. Het belangrijkste protocol is TCP/IP, oftewel het Transmission Control Protocol en het Internet Protocol, dat het bovenstaande verkeer beschrijft, maar er zijn er veel meer. We spreken vandaag de dag ook wel van de Internet Protocol Suite, omdat het een reeks protocollen is die telkens worden aangevuld. Ze beschrijven hoe de informatiepakketjes worden samengesteld, geadresseerd, verstuurd en ontvangen. Dat adverteren van IP-adressen door AS-en is bijvoorbeeld het Border Gate Way protocol. Als je daar mee knoeit kun je wel het hele internet plat krijgen omdat de pakketjes dan hun weg niet meer kunnen vinden. Maar daarover later meer. Een derde antwoord is: internet is een samenwerkingsverband van verschillende, veelal onafhankelijke organisaties. Er is dus niet een bedrijf of overheid die het internet beheert, maar een bonte stoet van stichtingen, vereniging en losse vrijwilligers die in allerlei samenwerkingsverbanden de protocollen aanpast om problemen tijdelijk op te lossen, ook wel aangeduid als The Internet Community. Overheden en bedrijven mogen ook mee praten, maar zijn niet de baas in dit gezelschap. Dit wordt ook wel het multi-stakeholder model genoemd en is zowel de kracht als de zwakte van de organisatie van het internet.

Die Internet Community is heel open. Heb je een goed idee om het internet beter te laten werken, dan dien je dat idee in als RFC, Request for Comments. Daar wordt dan door een groep experts over gediscussieerd en als de meesten het een goed idee vinden, gaan ze het testen. Dat moeten dan twee of meer onafhankelijke partijen zijn, om te kijken of de specificaties aan zowel de zender- als ontvangstkant kloppen. Werkt alles naar tevredenheid, dat wordt de RFC opgenomen in de reeks van standaarden.

Die internetexperts zijn georganiseerd in non-profit organisaties als Internet Engineering Task Force (IETF), the Internet Research Task Force (IRTF), the Internet Architecture Board (IAB) en the Internet Society (ISOC). Maar eigenlijk kan iedereen een RFC indienen. De eerste RFC stamt uit 1969. Sindsdien krijgen ze een uniek nummer en datum mee, zodat je de hele geschiedenis van veranderingen kunt teruglezen. Belangrijk voor de discussie hier: je kunt iets toevoegen aan de protocollen, maar al het oude moet wel blijven werken. Backwards compatibility heet dat en dat beperkt dus de mogelijkheden internet echt anders in te richten.

Een andere belangrijke club van non-profits zijn de organisaties die het Domain Name System beheren. Zij koppelen dus een internetadres aan een naam. De registers van namen en nummers worden wereldwijd bijgehouden door organisaties die samenwerken in de ICANN, de Internet Corporation for Assigned Names and Numbers. Binnen Europa is dat RIPE, de Réseaux IP Européens, vrij vertaald Europese IP Netwerken, die beheert dus wie welke netwerken gebruikt en beheert. Binnen Nederland hebben we SIDN, de Stichting Internet Domein Registraties. Net als BGP is het DNS een essentieel onderdeel van internet: maak je dat stuk, kunnen internetgebruikers niet meer surfen op het WWW.

Je zou het internet ook kunnen beschrijven in hiërarchische lagen, volgens het zogenaamde OSI-model. Of je kunt op de filosofische toer gaan en het internet beschrijven als een levend organisme met een neuraal netwerk dat zich voedt via knooppunten en ons bestuurt in plaats van andersom… Laten we het er voor nu op houden dat internet een netwerk van netwerken is, dat we gebruiken volgens protocollen die zijn ontwikkeld in een samenwerkingsverband van veel onafhankelijke organisaties die problemen die zich voordoen oplossen naar beste kunnen.

Het probleem dat telkens weer blijft terugkomen is dat we het internet vandaag de dag gebruiken voor zaken waar het niet voor is ontworpen: betalingen, geheime informatie en belangrijke beslissingen. We hangen er ook steeds meer dingen aan: auto’s, industriële processen en consumentenelektronica. Optimisten zijn enthousiast over dit Internet of Things, terwijl securityspecialisten het hebben over The Internet of Shit. Ze grappen dan: “The ‘s’ in IoT stands for security”.

We kunnen ook niet van de ene op de andere dag opnieuw beginnen. Het internet kan niet uit, of overgedaan worden, we kunnen er alleen nog meer dingen aanhangen. Alternatieven voor internet worden ondertussen afgeschaft. De oude telefoonlijnen, PSTN, zijn allemaal vervangen door Digital Service Lines, DSL. TV en radio gaan over op internet. Alles wordt internet en een back-up is er dus niet meer… Om deze enigszins beknellende gedachte eens goed uit te werken hebben we deze Hack Talk georganiseerd.

Nu de deelnemers van het debat. Aan de kant van de hackers hebben we onze Guild of Grumpy Old Hackers. Van links naar rechts. Hans van de Looy is onafhankelijk IT security expert, met 36 jaar ervaring bij verschillende bedrijven en is nu Unicorn. Edwin van Andel kennen we nog als jurylid van onze hack challenges Game of Toons en van Lord of the Things. Hij reist momenteel de hele wereld over als CEO van Zerocopter, een bedrijf dat top hackers levert. Mattijs van Ommeren, is security consultant bij het Finse bedrijf Nixu en kennen we als een van de organisatoren van het hackevent Alt-S.Victor Gevers is al bijna 20 jaar helpende hacker, met meer dan 5.000 Responsible Disclosures op zijn naam. Deze vier heren zijn samen goed voor minstens honderd jaar hackervaring en regelmatig bij ons programma om commentaar te geven op allerlei onderwerpen. Hans heeft daarom een toepasselijk shirt aan met Statler en Waldorf, de oude mannetjes van The Muppet Show. Als GGOH begeleiden ze jonge hackers om ze op het goede pad te houden, zoals we zagen bij onze Hack Talk over cyberboefjes. Eigenlijk zijn deze mannen dus ook verdedigers van het internet, maar ze weten wel hoe aanvallers denken.

De vijfde man, Daan Archer, heeft een bijzondere positie. Hij is eigenlijk ook geen hacker in de zin van aanvaller, maar meer als maker. Ik ken hem nog uit mijn tijd in Japan, waar hij Technisch Wetenschappelijk Attachee was. Als we dan langs bedrijven gingen, had hij “de baksteen” bij zich: een satelliettelefoon, voor het geval alles in Japan zou uitvallen en de ambassade Nederlandse burgers zou moeten mobiliseren. Nu, terug in Nederland, is hij bezig met een startup in blockchain technologie. Hij doet dus de Bloktsj1 en staat met de doos blokjes, rekenmachine en viltstiften klaar naast het scherm om elke opkomende gast voor eeuwig vast te leggen in onze houten administratie.

Bloktsj1 werkt als volgt. Net als de huidige blockchaintechnologie, wordt elke transactie vastgelegd met een uniek nummer, dat met voorgaande transacties een onveranderbare reeks vormt en openbaar is voor iedereen om te checken. Als een gast opkomt, wordt het tijdsstip genoteerd en opgeteld bij de datum van die dag. Dit getal wordt gedeeld door de naam van de gast, alfabetisch omgezet in getallen, dus: Daan is 41114. Het geheel wordt vermenigvuldigd met de uitkomst van de vorige transactie, de zogenaamde nounce. Op zijn blokje staat dus de uitkomst van mijn nounce x (180710+191043)/41114. Deelnemers uit het publiek kunnen met hun rekenmachine checken of de berekening klopt en krijgen voor dit ‘minen’ een drankje.

Tot zover de overeenkomst met huidige blockchain technologie. Maar we gaan dus analoog, letterlijk met houten blokjes. Die heb ik uit een houten balk gezaagd en zijn dus, door de houtnerf, uniek van opmaak en te controleren als enige blokje op die plek in de ketting. De uitkomst van het sommetjes van Daan is echter te groot om op de blokjes te schrijven, dus nemen we alleen de eerste negen getallen. Hiermee creëren tegelijkertijd een one-way encryption function. Het getal is uniek, maar je kunt niet terugrekenen welke naam ervoor is gebruikt. Daarmee is de Bloktj1 niet alleen praktisch uitvoerbaar, maar ook nog eens privacy vriendelijk zoals echte blockchain. Daan is al druk aan het rekenen en schrijven om voor elk van de Grumpy Old Hackers een eigen blokje in de Bloktsj1 te maken.


Dan komen de verdedigers van het internet erbij. De eerste is Frank Breedijk, maker van de vulnerabilityscanner Seccubus en Security Officer bij Schuberg Philis, een bedrijf waar je je IT-omgeving aan kan uitbesteden als je zeker wilt weten dat het blijft draaien. Frank heeft daarom ook een toepasselijk T-shirt aan met de tekst “Looking for Trouble”. Want dat is wat hij doet: problemen oplossen. Hij heeft ook de telex meegenomen, geleend van stichting Noodnet. Het zijn twee grote beige kasten met elk een typemachine. Als je aan een kant iets intypt, worden de toetsenaanslagen als analoog signaal via een klein koperdraadje naar de andere gestuurd, die het op een rol papier uitprint.

Wat is zijn grootste nachtmerrie als het gaat om het internet draaiende te houden? Frank: “Als een of andere wizzkid een manier weet te vinden om een heel lang getal te ontbinden in twee priemgetallen. Dan kan ik als securityman wel inpakken.” Cryptografie is namelijk gebaseerd op puzzeltjes, die versleuteling makkelijk maken en ontsleuteling moeilijk. Twee priemgetallen vermenigvuldigen is makkelijk, maar om het resultaat weer te ontbinden moet je eigenlijk alle mogelijkheden afgaan. Als het getal maar lang genoeg is, lukt het computers niet om dat binnen korte tijd uit te rekenen. Veel cryptografie is gebaseerd op dat principe en naarmate computers sneller worden, nemen we gewoon langere getallen. Weet je echter een andere manier te verzinnen om makkelijker die ontbinding te doen, dan is al die versleutelde informatie alsnog te lezen.

Terwijl Frank dit uitlegt, begint de grote beige kast naast hem te ratelen. Een berichtje vanuit het publiek. Op de rol papier staat echter een onleesbare combinatie letters en getallen. Frank gaat het meteen fixen, dus we gaan door naar de volgende gast.

Michiel Steltman is onder andere directeur van stichting DINL, de Digital Infrastructure Association Netherlands, een samenwerkingsverband van organisaties die zorgen dat de netwerken, datacenters, clouds en domeinen, kortom de basisstructuren van het internet, het doen. Michiel is een veel geziene spreker op IT-congressen en noemt zich daarom “IT-nerd die door omstandigheden in de public affairs terecht is gekomen”. Hij had al email in 1987 en heeft dus vanuit zijn werk meegemaakt hoe het internet is geworden tot wat het nu is.

Hoe kan volgens hem het internet kapot? Michiel: “Mijn grootste zorg is niet technisch van aard. Het internet is zo ontworpen dat het niet stuk kan, juist omdat het, zeg maar, met plakband aan elkaar zit. Dat doen we al 25 jaar zo en zullen we ook wel blijven doen. Mijn grootste zorg is de zogenaamde Master Switch. Als er nog maar een paar organisaties aan de knoppen zitten kan iemand het internet uit zetten. Met het grote geld dat omgaat met internet komt er machtsconcentratie. Versterkt door overheidsregulering, waardoor alleen zulke grote bedrijven het nog aankunnen.” De open cultuur van samenwerkende non-profits kan dus volgens hem steeds meer vervangen door een klein besloten clubje van giganten dat dan kan besluiten het internet aan of uit te zetten.

Hoe kan volgens hem het internet kapot? Michiel: “Mijn grootste zorg is niet technisch van aard. Het internet is zo ontworpen dat het niet stuk kan, juist omdat het, zeg maar, met plakband aan elkaar zit. Dat doen we al 25 jaar zo en zullen we ook wel blijven doen. Mijn grootste zorg is de zogenaamde Master Switch, waarmee iemand het internet uit kan zetten. Met het grote geld dat omgaat met internet komt overheidsregulering, waardoor alleen de grote bedrijven het nog aankunnen.” De open cultuur van samenwerkende non-profits kan dus volgens hem steeds meer vervangen door een klein besloten clubje dat kan besluiten het internet aan of uit te zetten.

De overheid zelf, in de vorm van het Nationaal Cyber Security Center mag natuurlijk op deze avond ook niet ontbreken. Op mijn verzoek een afgevaardigde te sturen, krijgen we Jeroen van der Ham aan tafel. Goede keuze, want hij is niet alleen security expert bij het Nationaal Cyber Security Center, maar ook een bekende in het hackerswereldje. Jeroen was vrijwilliger bij hackerskamp SHA2017, lid van de Utrechtse Hackerspace Randomdata en security docent aan de UvA. Hij komt ook op met een toepasselijk T-shirt, met de tekst: “The only winning move is not to play”. Dit verwijst naar de film War Games, waar een hacker een nucleaire oorlog ontketent via een defensiecomputer, die hij per abuis aanziet als spelcomputer. Is dat ook zijn rampscenario voor het internet? Jeroen: “Nee. Dat is BGP.” Typisch Jeroen: kort en bondig.

We praten nog wat door over de Diginotar affaire, de certificatenverstrekker die in 2011 werd gehackt, wat leidde tot de grootste cybercrisis tot dan toe. Midden in de nacht verscheen minister Donner op tv, met de boodschap dat we de overheidssites niet meer konden vertrouwen. De man begreep zelf niet echt wat er aan de hand was, maar toen was wel goed te zien hoe de Nederlandse overheid opereert in dergelijke crises. GovCERT, de voorloper van NSCS, betrok iedereen erbij, van hackers tot Microsoft, om zo snel mogelijk certificaten te vervangen en Nederland weer veilig online te krijgen. Dat was de wake up call, waardoor we nu beter voorbereid op grote internetcrises volgens Jeroen. De overheid heeft sindsdien meer de voelhorens uit voor komende cyber ellende. Onder andere in de Information Sharing and Analysis Centers, ISACs, waar de vitale sectoren dreigingsinformatie delen.

Maar, zoals gezegd, wordt het internet vooral draaiende gehouden door onafhankelijke non-profits. We zijn dan ook trots dat we iemand aan tafel hebben van ICANN, de Internet Corporation for Assigned Names and Numbers, oftewel de club die het wereldwijde DNS-register bijhoudt. Het is voormalig D66 leidster Lousewies van der Laan, die nu bij ICANN in de International Board of Directors zit. Over een rampscenario hoeft ze niet lang na te denken, want ze heeft er net een meegemaakt. Ze is namelijk net voor haar werk in Porto Rico geweest. Lousewies: “Daar hingen de internetkabels gewoon aan de palmbomen. Een orkaan rukte al die draden los en het eiland ging offline. Een draadloos internet opzetten lukte niet, vanwege de hoge bergen. Iedereen in rep en roer, want in al hun rampscenario’s hadden ze geen rekening gehouden met een falend internet. Toen kwam er zo’n gast van Google, een vent met dreadlocks. Die liet grote luchtballonnen op met microgolftechnologie eraan en Porto Rico was weer online.”

Interessant geval en een mooie illustratie van hoe vanzelfsprekend internet is voor iedereen, maar geen realistisch scenario voor het dicht-bekabelde, vlakke Nederland. Het rampscenario van Lousewies ligt meer in lijn met dat van Michiel. Ook zij is groot voorvechter van een vrij internet volgens het multi-stakeholder model: “Internet is het enige wat wereldwijd werkt zonder overheidsbemoeienis. Iedereen werkt met elkaar om beleid te maken. ICANN heeft wel een Governmental Advisory Committy, waarin de regeringen van alle landen kunnen meepraten. Maar die begrijpen niet dat ze niet de baas zijn en proberen dan toch grip te krijgen op die technische laag. Mijn angst is: ze begrijpen het niet, dus gooien ze er veel wetten tegenaan. Dat is wat het internet kapot maakt.”

Tot slot hebben we ook bij de verdedigers een vijfde man met een bijzondere positie en nu al met een back-up te komen voor ons falende internet. René van der Velde is zelfstandige en adviseert bedrijven en overheden met dreigingsstrategieën. Hij is ook de eigenaar van de laatste Noodnet bunker van Nederland. Van hem heeft Frank dus de telex geleend, die inmiddels aan de praat is. Maar ik heb René vooral gevraagd om met hem te praten over Noodnet, onze enige back-up voor als alle communicatie faalt.

Hij komt echter niet aan tafel, maar neemt als een echte crisismanager meteen de leiding en richt zich tot het publiek. “Ga allemaal even staan” roept hij handgebarend. “OK, kijk nu op je telefoon. Is je batterij minder dan 50%, ga dan zitten.” Meer dan de helft gaat zitten. “Wie heeft nog 60% over? Wie 80%, wie 90%?” Uiteindelijk staat er van de 140 bezoekers nog een jongen, met lang haar, baard en telefoon omhoog. Hij zegt: “Ik heb geen smart phone, maar een oude Nokia. Met deze batterij gaat die nog een week mee.” De hippie krijgt applaus.

René vervolgt: “Kijk, in tijden van crisis is het eerste wat je wilt doen het thuisfront bellen. Of alles OK is en dat het nog wel eens laat kan worden. Dan moet je dus wel kunnen bellen. Ik heb daarom een telefoon van T-mobile, een van Vodafoon en deze.” Hij houdt een smart phone omhoog met een dikke rubberen bekleding en smijt hem hard op de grond. Dan wenkt hij de barvrouw, die aan komt lopen met een emmer water. René gooit de telefoon erin, laat hem tien seconden onderwater en haalt hem er dan weer uit. “Waterdicht, schokvast en met powerbank. Gaat vier dagen mee.”

Dan het noodnet, waar de telex vandaan komt. René laat een oude kaart zien van Nederlend, met daarop 23 punten die onderling verbonden zijn door staatsbedrijf PTT. Elk van die punten was een bunker, waar in tijden van nationale crisis een team van 21 mensen zich kon terugtrekken. Er waren in Nederland in totaal 5.500 mensen aangewezen die onder alle omstandigheden met elkaar moeten kunnen blijven communiceren. Via die telexteams dus. In 2010 besloot de Nederlandse overheid echter dat deze miljoenen kostende voorziening niet meer rendabel was. Noodnet werd overgezet naar internet en omgedoopt tot de NCV, Nood Communicatie Voorziening. De bunkers konden worden gesloopt. Behalve een, die in Arnhem. René diende samen met twee anderen een voorstel in om de laatste Noodnetbunker te kopen voor een symbolisch bedrag en om te toveren tot een museum. Dat kun je nu nog steeds bezoeken.

Noodnet was dus onze allerlaatste back-up voor het internet het niet meer doet. Je zou nog iets kunnen proberen via het C2000 van de hulpdiensten, maar daarvan is de capaciteit te beperkt. Of via zendamateurs, of met Software Defined Radio, maar dat wordt nog te weinig gebruikt en is niet echt betrouwbaar. We hebben dus eigenlijk geen alternatieven meer.

Daarom nu het debat: hoe waarschijnlijk is het dat het internet stuk gaat? De gasten kunnen stemmen op dertien scenario’s die bestaan uit een technisch deel, dus wat kapot kan, een mogelijke aanvaller met bepaald motief en een inschatting van de totale schade. Om alvast een voorschot te nemen op het offline gaan, hebben we geen stemkastjes maar papieren emoji’s. Elke gast krijgt een geel rondje, waar een gezichtje op kan worden getekend dat zegt: dit is een realistisch scenario. De een maakt er een smiley van, de ander een huilend gezicht en een derde zet er een zonnebril op. De andere emoji is een papieren drol. Als je die ophoudt zeg je: dit is een waardeloos, shitscenario. Het publiek chat mee via de telex.

Scenario 1: De ModderDoSSers. Dit rampscenario is gebaseerd op de actualiteit. Nederland werd in die periode opgeschikt door een reeks DDoS aanvallen. Eerst gingen een paar sites van banken uit de lucht en vervolgens ook van de overheid. Veel mensen dachten dat we werden aangevallen door de Russen, maar het bleek achteraf de 18-jarige Jelle S. die het wel grappig vond om te spelen met de zogenaamde Webstresser. Dat is een online tool die je voor 25$ per uur kunt huren om heel veel aanvragen op de website af te laten vuren om te kijken of je een DDoS kunt weerstaan. Je kunt daar echter elke url invullen, dus eigenlijk is het een DDoS as a Service.

We trekken dit scenario door en hebben het niet over een jongen met een webstresser, maar een groepje gamers dat op zoek is naar een flinke uitdaging: wie krijgt de meeste sites plat. We noemen ze de ModderDoSSers. Ze zijn erg competitief, jutten elkaar online flink op en zijn bereid om over allerlei grenzen heen te gaan. Uiteindelijk lukt het hen niet om het hele internet uit te zetten, maar ze kunnen wel het merendeel van de Nederlandse websites voor enkele dagen platleggen.

Bij de hackers zie ik alleen maar drollen. Edwin: “Heel Nederland is niet te doen. Dan moet je te veel machines aanvallen.” De rest knikt instemmend. Ze krijgen bijval van Michiel, die als directeur DINL zich ook heeft ingezet voor NaWas – de Nationale Wasstraat tegen DDoS-aanvallen. “DDoS is een oplosbaar probleem. We houden grote aanvallen bij en mitigeren die. Alleen bedrijven die hun netwerkrouting niet op controle hebben, zijn de sjaak.” De rest van de verdedigers houdt wel hun smiley omhoog. Frank: “Ik zie wel de technieken om veel verkeer te generen verder evolueren.” Lousewies: “Ja joh, al die IoT dan?” Jeroen: “Inderdaad. Stel je voor dat het Mirai botnet op Nederland gericht wordt…”

Mirai is een botnet van gehackte consumentenelektronica, vooral webcams met standaard wachtwoord zijn gewillige slachtoffers. In de VS hadden zo eens 300.000 gehackte webcams een internet Service Provider platgelegd en daarmee een deel van het Amerikaanse internet. OK, schoorvoetend verdwijnen de drollen en kunnen we met z’n allen concluderen dat in het ModderDoSSers scenario het internet niet stuk gaat, maar je wel delen van het Nederlandse internet voor enkele dagen onbereikbaar kunt maken.

Scenario 2: de Master Switch. Overheden gaan in samenwerking met grote bedrijven proberen het internet te reguleren, bijvoorbeeld om auteursrechtwetten af te dwingen. Dat gebeurt nu al en blijkt niet zo effectief. Experts zeggen dan: “The internet interpretates censorship as just another routing problem”. Het bijzondere in dit scenario is echter dat de internet community, die nu het internet telkens verbetert en draaiend houdt, het gedoe zat is en besluit af te haken. Dan valt het multi-stakeholder model dus uiteen.

René steekt enthousiast zijn smiley in de lucht. “Tijdens de Koude Oorlog had je een boek met daarin dertig bedrijven waarmee je alles kunt uitzetten. Als de overheid daartoe besluit, kan dat.” Hij is echter de enige. De rest houdt de drol op. Lousewies: “Er zijn landen die maar een paar kabels hebben, dan kan dat. Je ziet ook wel in Iran en China dat de overheid streng reguleert, maar dan spreek je meer van fragmentatie van het internet, geen Master Switch.” Zij en Michiel hadden Master Switch als hun meest gevreesde rampscenario, maar er is hen dus alles aan gelegen het te voorkomen. Dat is immers hun werk.

Telexbericht vanuit het publiek. “DNS. Als je SIDN oplegt alles uit te zetten. Kan ook met .com via Verisign. Cripple Switch.” Jeroen doet ook nog een duit in het zakje: “Alternatieven verdwijnen. Jongeren gebruiken internet alleen voor Facebook en Gmail. Die kun je uitzetten.” OK, laten we dan concluderen dat als je echt wil, je wel bepaalde diensten kunt uitzetten en daarmee het internet flink kan saboteren, maar of de overheid dat ook echt gaat doen is niet heel erg waarschijnlijk.

Scenario 3: Cryptopocalyps. De geschiedenis van cryptografie gaat terug tot de klassieke oudheid. Oorlog en spionage is van alle tijden, zo ook geheimschrift. In die geschiedenis zie je dat er telkens weer iemand de code weet te kraken en iemand anders een weer nog ingewikkelder versleuteling bedenkt. In het huidige digitale tijdperk is het vooral een kwestie van steeds langere sleutels maken, zodat de computers er te lang over doen om die te raden.

Frank noemde al het ontbinden in priemgetallen. Als iemand daar een makkelijk sommetje voor bedenkt, kan het veel sneller. Een andere uitdaging wordt de komst van kwantumcomputers. Die kunnen meerdere berekeningen tegelijk doen en heel snel, waardoor het aantal ontsleutelmogelijkheden exponentieel toeneemt. De NSA, die nu een kwantumcomputer aan het bouwen is, zegt ook niet voor niets: “Collect now, decrypt later.” In dit scenario doet het internet het dus nog wel, alleen kunnen we niks meer geheim houden en er niet meer op vertrouwen dat online informatie klopt. Lousewies: “Vertrouwen is de basis van het internet. Ook als mensen alleen al het gevoel hebben dat ze internet niet meer kunnen vertrouwen ben je ze kwijt. En de NSA levert de meeste crypto…” Jeroen: “Crypto zit overal in. Als je dat wil vervangen, moet je nu beginnen, voordat er kwantum is.” Michiel: “Als het een wiskundig probleem is, dan is het op te lossen. Maar, ik vertrouw overheden niet, die achterdeurtjes in willen bouwen.”

Hacker Hans weet de gemoederen te bedaren, volgens hem klopt de redenering wel, maar zijn we al druk bezig al die cryptografische problemen op te lossen. De rest van de hackers stemt in. De geschiedenis van crypto breken en maken gaat dus onverminderd door. Belangrijkste crypto is momenteel SHA256. Ook die zal er ooit aangaan en dan komen we weer met wat nieuws.

Nog een laatste poging via de telex: “Nobody but the US has safe crypto. Zal ook gelden voor Chinese crypto. Phill Zimmermann deed aan wapenhandel…” Dan loopt de papierrol vast. Terwijl Frank het probleem oplost, komt de gast uit het publiek tevoorschijn. Het blijkt Oscar Koeroo te zijn, securityman bij KPN. “Wat dacht je van het verlies van de sleutels voor DNSSEC. Als je een foutje maakt in roll over key, gaat alles daarna op zwart.” Ik vraag de deelnemers aan het debat wat ze hiervan vinden, maar niemand reageert. Behalve Daan: “Moet hij ook een blokje krijgen?” roept hij wanhopig. Hij was namelijk nog bezig de hele Bolktj1 van de gasten tot nu toe door te rekenen. O ja, handmatige crypto… “Mag ik mijn laptop gebruiken?” Ja hoor, zolang je maar niet online gaat. Oscar krijgt ook een Bloktj1 en we laten crypto maar even voor wat het is: een onoplosbare puzzel…

Scenario 4: het Code Leger. Oftewel de Russen gooien ons internet plat. Nederland heeft zich natuurlijk niet echt populair gemaakt bij het Kremlin toen onze AIVD aantoonde dat Russische hackers hadden ingebroken bij het Amerikaans Democratisch Congres. We hebben ook net vier leden van de Russische geheime dienst GRU het land uitgezet. Onze MIVD had ze namelijk op heterdaad betrapt toen ze de wifi van het hoofdkantoor van de Organisation for the Prohibition of Chemical Weapons (OPCW) stonden af te tappen. Rutte sprak trots dat onze jongens van de dienst knap werk hadden geleverd, maar daar zal Putin anders over denken. Het conflict escaleert als het Internationaal Gerechtshof in Den Haag oordeelt dat Rusland achter het neerhalen van MH17 zat.

De NAVO gaat groepen bewegen van Oost naar West, via de Rotterdamse haven, diezelfde haven waar twee containerterminals platgingen in juni 2017 door (not)Petya. Deze sabotage software vertoond grote overeenkomst met andere malware van Russische makelij, gebaseerd op exploits als Eternal Blue, die ze gestolen hebben van de Amerikaanse NSA. Eigenaar van die terminals Maersk had toen wereldwijde schade, maar heeft, toeval of niet, de Amerikaanse Defensie als grootste klant. Dan is het voor de Russen wel heel comfortabel als ze hun grootste vijand, nota bene met hun eigen wapens, op zee kunnen vastzetten. Kortom: (not)Petya was geen collateral damage, maar een Proof of Concept.

De Russen hebben de middelen en motivatie om ons land als vijand en internationaal knooppunt lam te leggen. En ze hebben een belangrijk troef: een cyberaanval is moeilijk te herleiden naar een dader, dus ze kunnen blijven ontkennen dat ze erachter zitten. Is het de GRU, de FSB, het Kremlin, patriottistische Russische splintergroeperingen of iemand die zich voordoet als Rusland? Hoe dan ook, ze blijken over nog meer kwetsbaarheden te beschikken, in industriële systemen, auto’s en elektriciteitsnetwerken. En die zetten ze nu in om Nederland op de knieën te krijgen.

Ik ben nog niet uitgepraat of ik zie bij alle hackers de smileys omhooggaan. Ja, waarschijnlijk scenario. Ook bij de verdedigers gaan, na wat twijfels, de gele rondjes omhoog. Behalve bij Michiel, altijd optimistisch over de weerbaarheid van de Nederlandse infrastructuur: “Zo’n aanval moet wel worden voorbereid en dan is de ontdekkans redelijk aanwezig.” Victor: “Eternal blue komt weer terug. Let maar op. Het is gewoon wachten tot het misgaat.” Daarmee is het pleit beslecht: Het Code Leger is een realistisch scenario om het internet in Nederland, of zelfs daarbuiten plat te krijgen.

Scenario 5: BGP hijacking. In de voorbereiding van dit programma vroeg ik aan Victor hoe je volgens hem het internet kapot zou kunnen krijgen. Net als Jeroen gaf hij deze mysterieuze drie-letterige afkorting als antwoord. Ik dacht dat ik wel wat wist van internet, maar van het Border Gate Way protocol had ik nog niet gehoord. Dat terwijl het al sinds 1994 bestaat (RFC1771) en een belangrijke achilleshiel is van het internet. Als informatiepakketjes hun weg vinden van het ene IP-adres naar het anderen, moeten die pakketjes dus ergens te weten krijgen in welk Autonomous System dat adres zich bevindt. Omdat dat nog wel eens veranderd, adverteren die AS-en, continu aan elkaar welke adressen zich binnen hun netwerken bevinden zodat de routers ertussen kunnen beslissen waar de pakketjes naartoe moeten.

Dat is in het verleden wel eens misgegaan. In 2008 bijvoorbeeld wilde de Pakistaanse overheid haar burgers de toegang tot YouTube blokkeren, omdat daar opruiende video’s te zien zouden zijn. Hun landelijke telecom operator kreeg de opdracht om via hun AS al het YouTube verkeer naar een doodlopend IP-adres te sturen. Toen streden dus binnen BGP twee adressen om voorrang. Dat van Pakistan won en het wereldwijde YouTube verkeer verdween in hun dode adres.

De geschiedenis van BGP kent wel meerdere van dergelijke incidenten. Tijdens een presentatie bij de AMS-IX hoorde ik ook iemand spreken over Ghost BGP, oftewel niet-bestaande AS-en die roepen dat ze bepaalde IP-adressen hebben. Zouden dat spionagenetwerken zijn, of saboteurs, vroeg ik de spreker. Nee, het is waarschijnlijk gewoon ruis op de lijn en een oplosbaar probleem. Fouten in BGP zijn dus vooralsnog vooral storingen en geen opzettelijke verstoringen.

Aldus: wie zouden we kunnen bedenken die wel bewust BGP zou verstoren om het internet plat te krijgen? Vergelijkbaar met het boek “Blackout” van Marc Elsberg gaan we uit van een mondiale groep anarchisten, die de huidige samenleving willen ontwrichten om een nieuw vrij Utopia te stichten. Ze hebben dus verschillende netwerkbeheerders gehackt en gaan dan via BGP de IP-adressen adverteren van veel gebruikte sites: Google, Facebook, etc.

Michiel voelt wel iets voor het rampscenario. “Dit kan langdurige shit veroorzaken, maar niet voorgoed. Waarschijnlijk komt er dan een versnelde invoering van een nieuw routing manifesto.” Oftewel, ook hier staat de Internet Community klaar om het probleem meteen op te lossen. Hans is niet overtuigd: “De meeste BGP-problemen zijn fouten, niet hacktivisten.” Op de telex verschijnt: “Injecteer alle AS /24 met more specifics.” Frank legt uit: “De meest specifieke route wint. Maar dat moet je dan wel doen vanaf een plek waar men je niet vindt, anders word je van internet gehaald.” Kortom, dit scenario blijft vooralsnog theoretisch. Laten we hopen dat dat voorlopig zo blijft.

Scenario 6: aanval op de datacenters. We gaan nog even door met de mondiale hacktivisten. In dit scenario hebben we te maken met een antikapitalistische beweging die de grote Amerikaanse techbedrijven wil dwarsbomen door hun datacenters te saboteren. Google, Amazon, Microsoft en Apple hebben in die datacenters niet alleen veel data staan, maar routeren ook binnen die datacenters veel verkeer, oftewel private peering. Een manier om die datacenters plat te krijgen is via de koelsystemen die, net als veel industriële systemen, wel eens kunnen draaien op verouderde software, terwijl ze wel online te benaderen zijn. Zet eerst de noodsystemen uit, gooi de temperatuur een paar graden omhoog en de servers raken oververhit. Dan gaan niet alleen de diensten van de techreuzen plat, maar gaat ook veel netwerkverkeer weer zoals vroeger over de openbare netwerken en kunnen andere delen van het internet overbelast raken, zeg voor een paar dagen.

Ik zie vooral drollen. Hans: “In de meeste datacenters zitten mensen. Die voelen of het te warm is.” Frank, die verantwoordelijk is voor de veiligheid van het datacenter van Schuberg Phillis: “In geval van storing, is er altijd iemand op de zaak. Pas bij autonome datacenters zou je zoiets kunnen doen.” De enige die een smiley ophoudt is René. Hij vindt het scenario wel wat en voegt eraan toe: “Je zou ook het brandalarm af kunnen laten gaan.” Hij krijgt bijval van Mattijs: “Of zout in het reservoir van het koelsysteem.” Kortom, ook dit scenario blijft te theoretisch. Datacenters zijn vooralsnog ook mensenwerk, van techneuten die weten hoe ze problemen moeten oplossen. Vooralsnog wel…

Scenario 7: Zonnestormen. Dit is een scenario waar ikzelf eerder bij betrokken was vanuit het Analistennetwerk en gaat als volgt. Onze zon straalt een behoorlijke hoeveelheid elektromagnetische straling uit. Onze elektronische apparatuur is bestand tegen een dergelijke dosis. De zon straalt echter niet continue, maar grillig. Dat komt door grote explosies op het oppervlak van de zon. Soms vindt er een hele grote plaats en als die net richting aarde gaat, hebben we in een keer heel veel straling.

De laatste zonnestorm was in 1859 en legde destijds het telegraafsysteem plat. Er zou er zomaar weer een kunnen plaatsvinden en onze apparatuur verstoren. Als eerste gaan de satellieten die om de aarde draaien eraan. Dan zijn we niet alleen GPS kwijt, maar ook onze tijdsbepaling. Computers zouden namelijk hun interne klok te synchroniseren op de satellieten en als dat niet meer kan, gaat er van alles mis in de communicatie tussen die computers. Dat is: als ze het nog doen na zo’n overdosis straling…

René is meteen enthousiast. “Als die satellieten uitvallen, zal de VS ze herschikken, maar dan natuurlijk in hun eigen belang. In Europa hebben we er niet genoeg om dat op te vangen.” De rest van het gezelschap is wat minder onder de indruk. Michiel: “Het kan en de voorspelbaarheid is niet groot, maar de kans ook niet. En als het een grote storm is, dan ligt ook het elektriciteitsnetwerk plat en hebben we nog grotere problemen.” Jeroen: “We hebben vanuit het NCSC contact met het KNMI, die meldt als er zo’n storm aankomt. De stroom zal eerder uitvallen, want computernetwerken zijn beter geïsoleerd. Maar de kans is inderdaad niet zo groot. Uiteindelijk bereikt zo’n sunflare alleen een klein deel van de aarde, dat naar de zon toe gericht is.” Kortom: het scenario kan, maar de kans erop is klein. Vooralsnog dan.

Scenario 8: Kabelbreuk door platentektoniek. We gaan nog even door met moeder natuur als hacker. René heeft een kaart van West-Europa met zeekabels. Is er een aardbeving en de aardplaten verschuiven, dan breken enkele van die kabels en zal bijvoorbeeld internetverkeer tussen Nederland en Groot-Brittannië of Denenmarken, of tussen Europa en de VS afgebroken worden. Zo’n kabelbreuk zou ook veroorzaakt kunnen worden door een statelijke actor, bijvoorbeeld Chinezen of Rusland dat het Westen willen dwarszitten, of Amerika dat Europa wil afstraffen. Nee, de rest is eensgezind: geen realistisch scenario. Vroeger had dat misschien gekund, toen we nog maar enkele kabels hadden. De kaart van René is dan ook achterhaald. Nu hebben we zoveel kabels, die inderdaad wel eens breken, maar dan zijn er altijd nog genoeg over om al het verkeer op te vangen.

Scenario 9: Black Out. Het is al enkele keren ter sprake gekomen: als de elektriciteit uitvalt, dan ook het internet. Daar hebben we in Nederland al eens een enkele klein voorbeelden van gehad en meerdere grote in het buitenland. En we hebben er ook een Hack Talk over gedaan, aflevering 8: hack the grid. De conclusie was toen en nu: in de oude situatie, met enkele grote centrales wel, maar met de toenemende decentralisering niet meer. De grote centrales worden aangevuld met kleine energie opwekkers zoals zonnepanelen, windmolens en biocentrales. Energieconsumenten worden ook producenten en het geheel wordt steeds meer een smart grid met energie vraag en aanbod. Mocht er een verstoring in het net optreden, kunnen we makkelijker delen afkoppelen die autonoom verder draaien. Kortom: ons elektriciteitsnetwerk wordt juist robuuster, omdat het steeds meer op het internet gaat lijken. Wie dat wil platleggen, moet dus snel zijn nu het nog kan. Dan nog hebben de vele datacenters en zendmasten back-up stroom om dagen door te gaan.

Scenario 10: het einde van Moore’s law. Het aantal transistoren op een chip verdubbelt elke twee jaar, aldus Gordon Moore in 1975. Daarmee krijgen computers dus exponentieel meer rekenkracht. Deze wetmatigheid blijkt tot op de dag van vandaag nog steeds op te gaan. Of Moore nu echt zo’n vooruitziende blik had, of dat zijn uitspraak vooral een self-fulfilling prophecy is, laat ik even in het midden. Feit is wel dat een groot deel van de IT-industrie deze exponentiele groei in hun businessmodellen heeft verankerd. Ze maken zwaardere besturingssystemen omdat de chips meer aankunnen en verkopen die voor dezelfde prijs. Ze bouwen nieuwe datacenters in de veronderstelling dat er steeds meer data wordt gebruikt. Ze draaien zwaardere algoritmes om meer waarde te generen met al die data. Enzovoort, enzovoort… Al die businessmodellen gaan uit van groei, waardoor veel kan voor weinig en ze houden elkaar in stand. Maar wat nu als de groei afgeremd wordt en die businessmodellen elkaar gaan tegenwerken?

Een belangrijke rem op Moors Law is dat we tegen fysieke beperkingen aanlopen: er kunnen gewoonweg niet nog meer transistoren op de vierkante millimeter. Ze worden te klein. Een andere beperking is dat de transistoren nu al zo dicht op elkaar staan, dat ze elkaar kunnen beïnvloeden. De VU-onderzoeksgroep van professor Herbert Bos heeft bijvoorbeeld een techniek ontwikkeld waarmee je door eentjes en nulletjes in een chip te wijzigen, ook die in naastgelegen chips kunt beïnvloeden: bitflips door rowhammering noemen ze dat. De enige oplossing is de transistoren verder uit elkaar te plaatsen en dat zou dus het einde van More’s Law betekenen. Je zou ook meer theoretisch kunnen redeneren: exponentiele curves kunnen niet oneindig doorgaan, ze zullen altijd ergens gaan afvlakken, of zelfs de andere kant op gaan.

De deelnemers zijn vooralsnog optimistisch over Moores Law. Edwin: “Chips ontwikkelen blijft gewoon doorgaan.” Michiel: “Exponentiele groei stopt altijd ergens, maar dat zie ik hierbij niet op korte termijn gebeuren.” De enige die nog twijfelt is Jeroen. Hij voelt wel wat voor die elkaar beïnvloedende businessmodellen. Als alleen al de verwachting van groei afneemt, zal dat impact hebben. “Stel je voor dat alles wat nu online gratis is ineens wel wat gaat kosten. Het einde van het internet, is als we ervoor moeten gaan betalen…” Dat is eigenlijk best een trieste conclusie, maar ik zie aan de rest dat ze zich hierin wel kunnen vinden.

Scenario 11: onoplosbare kwetsbaarheden. Rowhammering is er zo een. Laten we dat wat breder trekken. Hackers vinden wel vaker kwetsbaarheden die alleen te verhelpen zijn als je de hardware vervangt. Stel nu dat die hardware wijdverbreid is of fundamenteel is aan de werking van het internet en niet te vervangen is. Recentelijk hadden we Meltdown en Spectre, die hiervoor in aanmerking kwamen, al waren die kwetsbaarheden moeilijk uit te buiten en kwam er toch nog een soort van softwarematige oplossing. Of wat te denken van al die netwerk hardware van CISCO? Als daar iets mee mis blijkt, kunnen we ze niet in een keer allemaal vervangen, want het zijn er gewoon te veel.

Jeroen protesteert: “Dit is mijn werk. Als iets fundamenteel is, informeren we iedereen. Al die dingen die je noemt hebben we overleefd.” De hackers hebben echter allemaal smileys omhoog. Mattijs: “Als je echt gemotiveerd bent, lukt het je altijd wel een lek te vinden waar niemand van gehoord heeft.” Victor: “Hoeveel oude kwetsbaarheden zie je nu nog op het internet? Veel en het worden er steeds meer. Telkens als we iets opgeruimd hebben, komt het weer terug. Overheden doen veel goede dingen: ze waarschuwen, raden patches aan, alleen rebooten ze niet.”

De telex rapporteert: “Stimuleer transparantie, voorkom monocultuur.” Volgens Michiel klopt het beeld van een monocultuur niet: “Er is niet een stukje dat alles beïnvloedt. Die netwerk switches en routers zijn niet alleen van CISCO, maar ook van Juniper.” Hij herhaalt nog maar eens: “Juist omdat het internet met plakband aan elkaar zit, is het weerbaarder.” Ik concludeer: we hoeven niet te vrezen dat er nu een fundamentele kwetsbaarheid is die het hele internet platgooit, maar we moeten er wel voor blijven waken dat de totale hoeveelheid kwetsbaarheden niet te groot wordt.

Scenario 12: complexiteit. Dit is mijn favoriete scenario: we maken het internet zo ingewikkeld, dat er op een gegeven moment iets misgaat waardoor het internet het niet meer doet, maar weten niet waarom. Eigenlijk is dit niet echt een scenario, maar meer een aanname die niet te bewijzen of te weerleggen is. Je weet immers niet wat je niet weet… De deelnemers reageren daarom wat gelaten op deze stelling. Frank doet nog een poging: “Complexiteit is de aardsvijand van veiligheid en vertrouwen. We hebben niet genoeg checkboekjes om te internetbankieren. Het aantal AS-nummers en IP-adressen schaalt niet oneindig…” De hackers zijn resoluut en eensgezind: Nee. Dit is een shitscenario. Jeroen valt hen bij: “Ik ben onder de indruk van hackers die willen begrijpen hoe de dingen werken. Zij zullen ervoor zorgen dat de dingen ook blijven werken.” OK, ik geef toe: deze blijkt te ver gezocht.

Scenario 13... Tot slot: wat denkt het publiek? Is er iemand met een rampscenario dat we nog niet hebben besproken? Iemand roept nog iets over monocultuur. “Er zijn maar een paar vendoren. Wat als die nu niet meer te vertrouwen zijn?” Iemand anders roept: “Een astroïde die de aarde raakt!” Tsja, dan hebben we wel wat andere zorgen dan een goed werkend internet… Net als ik denk dat we het wel hebben gehad voor deze avond, grijpt onze orgelman Akim de microfoon: “Het internet zoals we dat nu kennen houdt op te bestaan als we iets beters hebben ontwikkeld. Een heel ander protocol, misschien niet eens binair, maar iets echt fundamenteel anders.”

Een beter einde aan het debat kan ik me niet voorstellen, dus we gaan over naar het minder serieuze deel. Akim mag met zijn orgel naar de borrelruimte van Worm, waar inmiddels ook gitaren en een analoog elektronisch drumstel worden ingeplugd. Pleun klapt haar laptop dicht en volgt Akim met een sheetprojector, een stapel doorzichtige plastic velletjes en stiften. De grote plastic grasmat ligt klaar voor Jeux de Cyber. Edwin, al vaker juryvoorzitter bij hackevents legt de regels uit. “Wie heeft er oude mobieltjes, tablets of andere digitale meuk meegenomen? Die smijt je op de mat. Wie het dichtst bij de target zit, wint een ronde en wie de meeste rondes wint is de winnaar.” Ik gooi de target op de mat: een oude Toon, de slimme thermostaat, die ik nog over had van Game of Toons. Rond middennacht wordt Jeroen uitgeroepen tot winnaar. Hij krijgt een grote roze opblaasbokaal. Hopelijk neemt hij die mee naar zijn werk, het NCSC. Wie weet halen ze hem nog eens tevoorschijn als het internet wel ooit eens platgaat en zeggen: “Weet je nog? Toen dachten we nog dat dit nooit zou gebeuren.” We zullen zien…

We openden the Pirate Bay, Worms mediarchief voor illegale kopietjes van je favoriete films, boeken en games. De hackers van Hack42 hadden veel oude back-up tech meegenomen en links en rechts doken oude gameconsoles en PC op. We speelden ook Jeux de Cyber: deelnemers konden met waardeloze smartphones schuiven op Worms Ptanquemat, met Edwin zoals wel vaker bij Hack Talk als Judge. Vj Pleun ging over op de sheet projector en hield de score bij.

Onder muzikale begeleiding van the Analogue Anti Cyber Assembly speelden we een potje Jeux de Cyber. Jeroen van der Ham won het meest en ging naar huis met de prestigieuze cyber bokaal.

Ook deze aflevering van Hack Talk was weer gratis. Dat kon omdat we gesteund worden door organisaties die net als wij graag kennis delen over cyber security. Dus, met dank aan: