Achter vergeten wachtwoorden zitten cryptomiljoenen verborgen. Deze hacker kraakt ze

Schermafbeelding © Joe Grand / YouTube

El País

| Madrid | Jordi Pérez Colomé | 10 mei 2022

De legendarische hacker Joe Grand staat in de cyberwereld bekend als Kingpin. Hij heeft een nieuwe uitdaging in zijn leven gevonden: geld terugwinnen dat verloren is gegaan door menselijke onzorgvuldigheid.

‘Ik ben het wachtwoord vergeten,’ vertelde zijn vriend aan Dan Reich, een elektrotechnisch ingenieur en oprichter van een start-up in New York. Het ging om het wachtwoord voor een digitale portemonnee met daarin Theta, een cryptocurrency. Het tweetal had in 2018 voor 50.000 dollar aan Theta gekocht. De digitale munt was nooit meer dan een paar cent waard geweest, maar begon tegen het eind van 2020 te stijgen. Binnen drie maanden was hun 50.000 dollar zo’n 2,5 miljoen dollar waard. De vriend van Reich die het wachtwoord vergeten was, is professioneel pokerspeler. Het is zijn werk om dingen te onthouden: ‘Hij had nummerborden van middelbare-schoolvrienden onthouden. Voor zijn levensonderhoud pokert hij aan acht tafels tegelijk en onthoudt hij het spel van tientallen verschillende spelers,’ schreef Reich in een artikel op zijn website.

Er was nog een probleem. De digitale portemonnee, een soort USB-stick, zou zichzelf na zestien mislukte pogingen wissen. En ze hadden er al twaalf gehad. Als ervaren elektrotechnicus wist Reich dat er een andere oplossing moest zijn. ‘De chats met onze vrienden werden steeds krankzinniger’, schreef hij. ‘Zoals dat als we geen technische manier zouden vinden om bij het geld te komen, we het op chemische wijze zouden moeten proberen: we zouden een weekend weggaan en hem hallucinogenen toedienen totdat hij zich het wachtwoord herinnerde.’ Het was ernstig.

Kingpin

Uiteindelijk, nadat hij eerst nog was gestuit op een mysterieuze, geheime Zwitserse groep met een lab in Parijs, die hij echter niet overtuigend vond, kwam hij Joe Grand tegen. Grand is in de wereld van hackers bekend als Kingpin. Hij was het jongste lid van de legendarische groep L0pht, een zevental dat in 1998 met nerdy kapsels en pakken en uitgestreken gezichten in de Amerikaanse Senaat verscheen om vragen van senatoren te beantwoorden: ‘Ik heb begrepen dat jullie in dertig minuten het internet in het hele land onklaar kunnen maken?‘ ‘Dat klopt’, was het antwoord. Grand geeft nu lessen en cursussen over de hele wereld. Maar, zegt hij in een videogesprek met El País vanuit zijn werkplek in Portland, Oregon, ‘diep vanbinnen ben ik nog steeds de zestienjarige hacker die het leuk vindt om mensen te ergeren’.

In februari 2021 vertelde Dan Reich Grand over zijn probleem. Het was tijdens de pandemie en Grand had tijd om na te denken over een oplossing. Grand is een hardware hacker, een speciale categorie in het wereldje. De aanval om bij de informatie in de digitale portemonnee te kunnen komen moest plaatsvinden op het niveau van de chip zelf, en betrof niet alleen de code. Bij crypto is je geld alleen toegankelijk met jouw persoonlijke sleutel, die in de portemonnee wordt bewaard. Zonder die sleutel, die in het geval van Reich ook nog eens was beveiligd met een wachtwoord van enkele cijfers, valt er niets te doen.

Beiden gingen ermee akkoord om een professionele video van het hele proces op te nemen. De opname werd gemaakt in mei 2021, maar de video werd pas op 24 januari dit jaar geüpload naar YouTube. Binnen drie weken had hij het ongelofelijke aantal van 4 miljoen views bereikt; inmiddels zijn het er 4,6 miljoen. De video van 32 minuten slaagt er op fraaie wijze in de complexiteit van het technische proces en de oplossingen die Grand aandraagt uit te leggen. ‘Hacken is niet wat je in speelfilms ziet,’ zegt Grand in de video. ‘Het is een enorme achtbaan, het betekent puzzels oplossen en computers en hardware dwingen dingen te doen die ze niet verwachten. Je wilt dat ze hun functie prijsgeven op een manier die jij kunt controleren.’

‘Het laat zien dat mensen problemen hebben met cryptocurrencies. Ze zijn niet echt gebruiksvriendelijk’

Inmiddels zijn Reich en Grand met nog enkele anderen partners in een nieuw bedrijf dat in de eerste plaats cryptobezitters wil bijstaan die de toegang tot hun portemonnee zijn kwijtgeraakt.

Grand weet niet goed hoe hij het ongelooflijke succes moet verklaren van de video, die ook leidde tot een geschreven versie in The Verge. ‘Wat het ook is, het laat zien dat mensen problemen hebben met cryptocurrencies. Ze zijn niet echt gebruiksvriendelijk‘, zegt hij. ’We worden overspoeld met e-mails, echt honderden en nog eens honderden berichten,’ voegt hij eraan toe. Sommige komen uit Spanje en Latijns-Amerika.

Niet alle problemen gaan over ontoegankelijke digitale portemonnees en verloren cryptomunten. Er zijn ook mensen die werden opgelicht en om die reden hulp zoeken; anderen hebben een versleuteld apparaat en weten niet meer hoe ze toegang kunnen krijgen. ‘En daarnaast zijn er ook mooie, legitieme probleemgevallen waarmee we kunnen helpen. Het is opwindend om de respons te zien,’ zegt hij. Het ontsluiten van digitale portemonnees is ook interessant omdat zijn honorarium een percentage bedraagt van het hervonden geld.

Weggegooide harde schijf

Overigens gaat het om veel meer gevallen dan we ons misschien voorstellen: volgens een vaak aangehaald onderzoek van Chainanalysis heeft 20 procent van de bitcoins die in omloop zijn, geen eigenaar. Dat gaat dus om vele miljarden euro’s. Sinds vorig jaar is Grand betrokken bij een veelbesproken geval van cryptoverlies. James Howells gooide per ongeluk een harde schijf weg met daarop zijn wachtwoorden, in plaats van een identieke waar ze niet op stonden. Zijn geval heeft veel aandacht gehadBBC publiceerde een artikel met daarin een van de meest evidente zinnen in de geschiedenis van de journalistiek: ‘Howells wilde dat hij zijn harde schijf nooit had weggegooid.’ Het is dan ook niet al te moeilijk om je in te leven in iemand die in een stadje in Wales woont en meer dan 200 miljoen euro had kunnen bezitten, maar die is kwijtgeraakt.

Het probleem is volgens Grand in dit geval niet technisch van aard, maar ligt bij de gemeente. Om die harde schijf op te sporen is toestemming nodig om de vuilstort te doorzoeken. ‘Hij probeert zich er al bijna tien jaar bij neer te leggen’, zegt Grand over zijn gesprekken met Howells. ‘Maar ik ben hoopvol. Ik denk dat het met de juiste stappen en de juiste mensen gaat lukken. Het is een aansprekend verhaal omdat hij een harde schijf weggooide, wat niemand iets kan schelen. Het gaat erom hoe de gemeenschap hiervan kan profiteren,’ legt hij uit. Howells heeft 25 procent van de waarde aan zijn gemeente beloofd als de harde schijf wordt teruggevonden.

Niet iedereen die denkt miljoenen te bezitten, heeft die ook werkelijk

Naast het bedrijf van Grand zijn er meer die een gat in de markt zien voor het opsporen van portemonnees met miljoenen aan verloren cryptovaluta. Er zijn ook andere problemen waar de sector op stuit. Bijvoorbeeld dat niet iedereen die denkt miljoenen te bezitten, die ook werkelijk heeft. ‘Ik spreek mensen in deze business die zeggen steeds weer teleurgesteld te worden. Soms zeggen ze je dat ze geld hebben en dan vind je 2 dollar. Veel mensen overdrijven,’ aldus Grand.

Zijn nieuwe onderneming is meer dan alleen een technische uitdaging. Tijdens de lockdowns stelde Grand zichzelf andere, grotere vragen dan wanneer hij voor computeruitdagingen staat. ‘Ik kreeg een burn-out. Ik had geen zin meer in techniek, zelfs niet in hacken. Ik had als een gek gereisd en stressvolle achttienurige werkdagen gemaakt om producten te ontwerpen,’ zegt hij. Dat ging om entreepassen voor de beroemde Def Con-hackerconferenties; technische kunstwerken met gebruikmaking van hoogstandjes op het gebied van elektronica, hardware, codering en cryptografie. De opdracht leverde prestige op binnen het vakgebied, maar de vereiste inspanning was slopend.

‘Ik vroeg me uiteindelijk af wat mijn leven inhoudt en waar om mensen zich mij zullen herinneren. Iedereen heeft wel iets gedaan dat misschien memorabel is zonder dat er uiteindelijk iemand naar omkijkt, want je verandert toch in een voetnoot. Dus ik accepteerde mijn sterfelijkheid, denk ik. Ik kwam tot de conclusie dat ik gewoon moet doen waar ik van houd,’ zegt hij. En het hacken van cryptoportemonnees kwam precies op het juiste moment.

Trezor

Met de rust van de lockdowns had hij drie maanden om uit te dokteren hoe hij Dan Reichs cryptoportemonnee te lijf kon gaan. Het merk was Trezor, misschien wel het meest populaire merk. De software was verouderd en daarvan kon Grand profiteren. Maar ook met andere uitdagingen had hij niet veel moeite. ‘Alles is te hacken, alles,’ zegt hij. Hoewel de oude versie van de software van Trezor de aanval makkelijker maakte, beschikt Grand inmiddels ook over manieren om toegang te krijgen tot nieuwere versies, die hij momenteel nog even voor zich houdt.

Trezor was niet erg blij het onderwerp te zijn van een op video vastgelegde aanval die door miljoenen mensen werd bekeken. Het bedrijf haastte zich te zeggen dat een soortgelijke aanval door allerlei aanpassingen inmiddels niet meer zou werken. Grand begrijpt dat. ‘Als zoiets naar buiten komt, is dat natuurlijk niet leuk. Ik voel me er dan ook niet zo goed over en zou ze graag helpen,’ zegt hij. Maar hij heeft belangrijkere doelen: ‘Mijn doel is om mensen aan het denken te zetten en dingen te tonen die ze nog niet eerder hebben gezien. Ik wil de boel een beetje door elkaar schudden en daarmee de druk opvoeren om producten te verbeteren en het bewustzijn te vergroten. Hacker zijn betekent ook een mogelijk controversiële kant laten zien, die mensen niet altijd leuk vinden. Mensen zien hacken als magie, maar dat is het niet,’ voegt hij eraan toe.

Grand ontwierp bijvoorbeeld een kaartje om parkeermeters mee voor de gek te houden en een apparaatje om garagedeuren mee te openen: met elke klik veranderde het de code, zodat de deur uiteindelijk openging. ‘Ik zweer dat ik er nooit iets slechts mee heb gedaan‘, zegt hij.

Zijn mobiele telefoon gebruikt hij alleen voor bellen en navigatie, niet voor sociale media of e-mail

‘Ik ben een hacker die eerlijke kansen biedt. Ik ben aan niets en niemand verbonden en ik bevraag en wantrouw alles,’ voegt hij eraan toe. Om die reden is hij een ‘technologisch minimalist’: technologie is zijn leven, maar omdat hij de risico’s kent, gebruikt hij alleen wat strikt noodzakelijk is. Zijn mobiele telefoon gebruikt hij alleen voor bellen en navigatie, niet voor sociale media of e-mail.

‘Ik maak mijn afwegingen’, zegt hij. ‘Ik weet dat ik als ik een smartphone gebruik kan worden gevolgd via mijn telefoon. Dat is een grens. Ik ben me bewust van wat technologie is en wat bedrijven die jou technologie bieden met jouw gegevens doen,‘ voegt hij eraan toe.

‘Ik heb geen Amazon Echo of Alexa. Ze zeggen dat die alleen luisteren wanneer je bijvoorbeeld “Hé Alexa” zegt, maar ik weet dat dat niet waar is. Die dingen moeten namelijk luisteren om te horen wanneer je “Hé, Alexa” zegt,‘ redeneert hij. Hij voegt eraan toe: ‘Ik gebruik alleen wat ik nodig heb. Ik zal dergelijke dingen niet in huis halen, tenzij ze een specifiek doel dienen.’

Met zijn nieuwe project hoopt hij dat mensen de positieve kant van de hackerswereld zullen inzien: ‘Mensen vinden het fijn als er hackers zijn die goede dingen doen.’

Lees ook:

Recent verschenen