18 febrero 2011

Entrevista a Hans Hübner (pengo)

Justamente, acabábamos el año en SecurityByDefault con un post de nuestra serie [Cine de Hackers], en la que Alex nos presentaba la película "23 - Nada es lo que parece":
23 Nada es lo que parece narra la historia de Karl Koch, un hacker alemán conocido como Hagbard Celine, que en los años 80 vendió información al KGB en plena guerra fría.
En dicha película, aún centrándose en la historia de Karl Koch, también pudimos conocer a David, personaje ficticio, pero que representaría a los otros dos hackers pertenecientes al grupo (denominado "Wily Hackers" por la prensa): Markus Hess (alias  Urmel, corresponde con el hacker perseguido en la historia de El Huevo del Cuco de Clifford Stoll) y Hans Hübner (alias pengo). Este último quizás fue el miembro posteriormente "más castigado" por parte de la comunidad hacker debido a todo lo ocurrido con el caso KGB.

Se puso en duda su "ética hacker" y fue recriminado públicamente por el mismísimo Wau Holland (uno de los fundadores del Chaos Computer Club), como se relata en el libro “Llaneros solitarios” - Hackers, La guerrilla informática. Muchos rumores apuntaban a que fueron los propios Karl y Hans los que confesaron los hechos a las autoridades (en la película de '23' ya se reflejaba algo en su parte final...). Una vez este caso de hacking saliese a los medios a finales de los 80, tuvo lugar el juicio contra estos hackers, aunque ya sabemos el desenlace fatal de Karl Koch.

En este artículo de la Phrack #25, tendréis recopilados y ordenados cronológicamente varias notas de prensa y mensajes de listas de correo sobre el caso que en esos momentos era plena actualidad (Marzo de 1989), incluso una carta del propio pengo en RISKS en el que reprochaba a la prensa la filtración de los nombres y apellidos de todos ellos, algo que no vino nada bien para su vida cotidiana (y menos encontrándose todavía en pleno juicio por el caso).

Hemos tenido la gran suerte de poder contactar con Hans "pengo" Hübner, y poder formularle algunas preguntas sobre pasado y presente, que muy amablemente ha contestado. No todos los días se tiene la oportunidad de "conocer" un poco más a miembros de la primera época del CCC con una historia llevada al cine y protagonistas de hackeos tan memorables para la época. ¿Cualquier tiempo pasado fue mejor? Veamos que opina Hans al respecto de esto y otras muchas cosas:

Hans Hübner, foto cortesía de Olaf Langmack

Lo primero de todo, gracias por dejarnos "robarte" tiempo para esta entrevista. Fuiste uno de los primeros miembros del Chaos Computer Club desde sus inicios. Cuéntanos, ¿cómo era? ¿Sigues en contacto con miembros de la época?

Cuando me puse en contacto con el CCC a finales de los años 80, ya había llegado a ser bien conocido por lo ocurrido con BTX y HASPA. Se basaba en Hamburgo, y abrió algo así como una sede en Berlín (que en realidad no era más que una dirección de correo en una tienda de discos cerca de mi colegio y el llevar a cabo reuniones semanales en un bar). El CCC, como organización, es y era un canal cara al público para lo underground de la informática. Yo estaba más interesado en la parte activista que en lo político, por lo que en esos días, mi afiliación era algo informal.

Todo esto sólo cambió hasta después de que la historia del KGB se hiciese pública, y el CCC, es decir, Wau Holland, dijese que nosotros (la gente involucrada en el caso de la KGB) no eramos hackers. Me uní oficialmente al CCC en ese momento e incluso me convertí en miembro del consejo, motivado por la sensación de que a pesar de que había hecho algo mal, todavía eramos hackers.

Hoy en día, me encuentro con antiguos miembros del CCC de vez en cuando, pero aquella generación de hackers se ha disuelto del todo y todo el mundo ya se ocupa de sus propios asuntos.

¿Qué opinas sobre las ediciones recientes del congreso? Sin tener en cuenta el número de asistentes, ¿crees que existen otras diferencias más significativas con respecto a las primeras ediciones o sigue teniendo un sentimiento parecido sobre movimientos sociales, tecnológicos y concienciación sobre hacking? 

Creo que el congreso es básicamente lo mismo que era en los años 1990. Ha crecido, pero como en el pasado, es un lugar donde el underground se reune bajo el amparo de una organización que proporciona un canal al público general. Creo que hubo y hay bastante escepticismo por el underground hacia la CCC como organización, y muchos ven quizás la organización del CCC demasiado involucrada y presente en los medios de comunicación. Por lo menos ese era mi punto de vista, y tras contactar con algunos otros activistas me dió la impresión de que esta idea era generalizada. Por otra parte, el congreso es una gran oportunidad para conocer a gente con ideas afines, por lo que todavía cumple con su propósito.

Ahora que Wikileaks y Julian Assange están más presentes en los medios de comunicación, y sabiendo que él también perteneció al club, ¿le llegaste a conocer? ¿Estaba en tu mismo círculo (como ocurrió con Karl) o simplemente era "otro miembro" para tí como el resto?

No había oído el nombre de Julian Assange hasta el año pasado, pero eso no significa que pudiese haber coincidido con él -en línea- antes. Él es de casi la misma generación que yo, y en los años de lo de la KGB, me encontré con varios hackers de Australia por lo que no es del todo improbable que me haya topado con con él, también. De hecho, Julián Assange es uno de los autores del libro "Underground", libro que descubrí el año pasado (bueno, y el hecho de que él es uno de los autores es algo de lo que no me había dado cuenta hasta hace 2 minutos :) ), por lo que por lo menos sabe algo acerca de mí. Quizás es que me conoce “de segunda mano”.

¿Sigues involucrado en temas de seguridad? Quizás no como los viejos tiempos, pero si interesado en la temática, manteniéndote informado a través de blogs de seguridad, portales, listas de correo, atendiendo a congresos de seguridad...

No, yo no estaba interesado en la seguridad como tal. La seguridad informática es algo que me doy cuenta que se interpone entre mi y la diversión. Romper las medidas de seguridad era algo que hice con el fin de tener acceso a las máquinas con las que quería jugar. Mi interés real radica en la arquitectura y programación de sistemas. Antes, la única manera de poder utilizar ordenadores interesantes era "irrumpiendo" en ellos.

Empezaste en esto del hacking cuando tenías unos 16 años, y la tecnología no estaba tan a mano como hoy en día. Incluso teniendo en cuenta las facilidades de las que disponemos actualmente para acercarnos al mundo tecnologíco, ¿sigues prefiriendo los "viejos tiempos"?

Tengo buenos recuerdos de los sistemas de los años 1990. Me gusta la idea de crear una máquina, hardware y software, que formen una unidad arquitectónica y un bello conjunto. Hoy las computadoras no son generalmente creados teniendo en mente la "belleza", y desde esa perspectiva, si que los "viejos tiempos" eran mejores. Yo por lo general no "prefiero" los viejos tiempos, sin embargo: Todavía es posible divertirse con los sistemas actuales, y a pesar de que rara vez se puede trastear con sistemas “bonitos” actuales, todavía se siguen creando (como, por ejemplo, el chip GA144 el cual admiro mucho). Además en la actualidad, Internet es, básicamente, nuestros sueños de finales de los años '80 hechos realidad.

Así que, sí, algunas cosas en el pasado eran mejores, pero no me decanto por volver a lo de antes.

Sobre el tema del "KGB", ¿fue complicado "reiniciar" tu vida después del último testimonio que publicaste en la publicación RISKS y todo lo que se dijo de ti, profesional y personalmente hablando?

Recuerda que era todavía un adolescente cuando me convertí en hacker. No tenía que “reiniciar” nada, y mi vida simplemente siguió su cauce. Co-fundé una compañía cuando salió a la luz todo lo del KGB a la palestra y mis compañeros no querían contar más conmigo.

Yo era percibido como un traidor por aquellas personas que no estuvieron involucradas en el caso, pero pensaba que sabían lo que estaba pasando. Pasé mucho tiempo pensando en mi papel y la vida siendo hacker, cuando tendría que estar pensando en construir mi carrera e ir a la universidad.

En el ámbito profesional, me convertí en programador “freelance” y sigo en ello hoy en día. Sigo teniendo pasión por la informática y por la programación, y todo lo ocurrido con el tema KGB probablemente amplió mi personalidad de manera que me ayudó a encontrar nuevos trabajos. Aún a día de hoy, a veces pienso que una carrera algo más regular hubiese sido mejor para tener la mente más tranquila..

En la GALACTIC HACKER PARTY (Amsterdam - 1989), Wau Holland (uno de los fundadores del CCC) mantuvo una discusión contigo sobre la ética hacker y sobre lo que ocurrió en el asunto KGB (y la "información sensible" que supuestamente se facilitó), e incluso recriminó que estos hechos iban en contra de los ideales o espíritu del CCC. ¿Te esperabas tales acusaciones en público? ¿Cómo te sentiste en aquel momento? 

Critiqué la versión del CCC sobre la “ética hacker” porque decían que la información quería y debería ser libre, pero la “información privada” debería protegerse. Creo que el concepto equivocado ahí es la palabra “privada”. Entiendo que tener privacidad en el ámbito digital es algo que la mayoría de la gente desearía tener, pero pienso que esa gente que tiene mayores conocimientos debería concienciar al resto de que esto no es más que una ilusión. Creo que mis esperanzas de que el CCC fuese un lugar en el que todo el mundo supiese que estaba ocurriendo realmente (y hablar sobre ello, también) era un poco ingenuo.

¿Tuviste amigos cercanos que te apoyasen y entendiesen tu postura al 100% tras lo ocurrido? 

En realidad no - Cuando me convertí en hacker, me alejé un poco de mi vida social anterior. Como comenté, tenía veintipico años, por lo que no tenía mucho a lo que volver.

¿Has contactado de nuevo con Markus Hess después de todo lo ocurrido? Leyendo la transcripción de una entrevista telefónica a él por parte de PHRACK, no quería ni saber ni hablar sobre el tema nunca más.

No, después de que lo de la KGB saliese a la luz no le volví a ver. De hecho, sólo le ví en contadas ocasiones cuando visitaba a Karl en Hannover, por lo que no hemos tenido tampoco un trato cercano.



Colaboraste con el guión de la película "23". ¿Es cierto que el papel del personaje "David" (interpretado por Fabian Busch) fue un personaje basado tanto en la vida y esperiencia de Markus Hess como la tuya? ¿Nos puedes comentar alguna anécdota del rodaje?

En el momento en que se hizo la película, toda la historia ya era pasada. Al ver el set de filmación y los localizaciones originales en el contexto de la historia, sentía como si hubiese viajado en el tiempo. En retrospectiva, la película ha influido mucho en mi modo de ver toda esa historia, y tanto August Diehl como Fabian Busch siempre me han parecido como si saliesen de mi propia historia en lugar de ser simplemente actores. Cuando conocí a Fabian en el set, me pareció irritante verle fumando tabaco de liar tal y como me ocurría en aquellos tiempos. Hizo un gran trabajo en capturar una gran parte de mí mismo en su papel de David.

En realidad, no considero '23' una película de hackers. Más bien, es el retrato de Karl como un joven luchador, que es lo que en realidad trata de plasmar esta primeriza obra de Christian Schmid. Creo que hizo un buen trabajo.

¿Qué nos puedes decir sobre tu vida cotidiana con la tecnología? Quiero decir, ¿te preocupa tu seguridad personal, eres paranoico con tu información, privacidad, cifras tu disco y demás, o prefieres preocuparte de otros temas?

Yo no soy para nada paranoico, y prefiero no preocuparme (aunque sin duda a veces lo hago). No creo en la seguridad informática con el hardware actual. Hay muchos componentes que son vulnerables, y no tengo ninguna confianza en la industria de semiconductores y software en general. He visto a organismos gubernamentales implantar puertas traseras en los sistemas operativos a principios de los años 1990, y no tengo motivos para creer que tales prácticas se hayan detenido.

La seguridad informática lo tiene dificil conmigo.

----------------------------------------------------------------------------------------------------------


A continuación dejamos la entrevista original con Hans Hübner, en inglés:


> First of all, thanks for letting us "steal" your time for this interview.
> You were a former member of Chaos Computer Club since its very beginning,
> tell us how it was? Do you keep in touch with other former members?


When I got in touch with the CCC in the late 1980ies, it had already
become well known through the BTX and HASPA coups.  It was based in
Hamburg, and kind of opened a branch in Berlin (which was actually no
more than a mailing address in a record shop near my school and a
weekly meeting in a pub).  The CCC, as an organization, understood
itself as being a channel into the public for the computer
underground.  I was more of an activist and less of a politician, so
in those days, my membership was only informal.


This only changed until after the KGB story had made it into the
public and the CCC, namely Wau Holland, claimed that we (the people
involved in the KGB case) were "not hackers".  I officially joined the
CCC at that point and even became a member of the board, motivated by
the feeling that even though we had done something wrong, we were
still hackers.


Nowadays, I meet former CCC members now and then, but that hacker
generation has mostly dissolved and everybody is doing their own
thing.


> What do you think about recent editions of the congress? Besides the number
> of people which attendes, do you think there are more significant
> differences between first editions or the feeling of social movements,
> technology and hacking awareness is quiet the same?


I think that the congress is basically the same as it was back in the
1990ies.  It has grown, but as in the past, it is a place for the
underground to meet under the cover of an organization that provides a
channel into the general public.  I think that there was and is quite
some scepticism from the underground towards the CCC as an
organization, and many see everyone involved in the CCC as being too
media focused and too much being part of the establishment itself.  At
least that was my view, and from a few contacts to activists I get the
impression that this is still a common view.  Then again, the congress
is a great opportunity to meet like-minded people, so it still
fulfills its purpose.


> Now that Wikileaks and Julian Assange are more presence in the media, and
> knowing that he also belonged also to the club, did you know him? were you
> close to him (as with Karl) or he was just "another member" for you like the
> others?


I have not heard the name Julian Assange before last year, but that
does not necessarily mean that I have not met him - online - before.
He is from almost the same generation as myself, and in the KGB years,
I met several australian hackers so it is not totally unlikely that I
have met him, too.  In fact, Julian Assange is one of the authors of
the "Underground" book that I've only found last year (well, and the
fact that he's one of the authors is something I did not realise until
2 minutes ago :) ), so at least he knows something about me.  Might be
second-hand knowledge anyway.


> Are you still involved in security? Maybe not like "old times", but
> interested in security topics, keeping updated with security blogs, portals,
> mailing-lists , attending security conferences...


No.  I was never interested in security itself.  Computer security is
something that I perceive as being in between me and the fun.
Breaking security measures was something that I did in order to get
access to machines that I wanted to play with.  My interest is
computer architecture and systems programming.  Back in the day, the
only way to get to use interesting computers was to break into them.


> You started hacking when you were about sixteen years old, technology wasn't
> so affordable like nowadays. Even taking into account the facilities that
> are available today to approach the world of technology, do you still prefer
> 'old times'?


I have fond memories of the systems of the 1990ies.  I like the idea
of creating a machine, hardware and software, that form an
architectural unity and a beautiful whole.  Today's computers are not
generally created with beauty in mind, and from that perspective, the
"old times" were better.  I don't generally "prefer" the old times,
though:  It is still possible to have fun with today's systems, and
even though one can rarely look at beautiful systems today, they are
still being created (like, for example, the GA144 chip which I really
admire).  Also, the Internet today is basically our dreams of the late
1980ies come true.


So, yes, some things in the past were nice, but I'm not looking back
to turn back.


> Related to the "KGB" issue, was it hard to "reset" your life after your last
> testimony in RISKS digest and everything that was told about you,
> professionally and personally speaking?


Remember that I was still a teenager when I became a hacker.  I had
nothing to "reset" back to, and my life went on.  I had co-founded a
company when the KGB story surfaced and my partners did not want to
have me in there anymore.


I was perceived as a traitor by people that were not involved in the
case but thought they know what was going on.  I spent a lot of time
thinking about my role and life as a hacker, when I had better be
thinking about building a career and visiting the university.


Professionally, I became a freelance programmer and this is what I
still do.  I still love computers and programming, and the whole KGB
thing probably added to my personality in ways that also helped me
find new jobs.  Still, I sometimes think that a more regular career
would have been nice for peace of mind.


> In the GALACTIC HACKER PARTY (Amsterdam - 1989), Wau Holland (one of the
> founders of CCC) discussed with you about hacker ethics and what happened
> about the sensitive information of "KGB hacks", and he said that these facts
> were against CCC ideals. Were you expecting such public acussation? How did
> you feel in that moment?


I was very offended.  I never believed in the "hacker ethics" being
the universal conduct for everyone calling themselves a hacker.  His
claim that we were not hackers motivated me to join the CCC in the
first place, but after a few years as a CCC member and also as a CCC
board member I was rather disillusioned.


I criticized the CCC version of the "hacker ethics" because it claimed
both that information wants to and should be free, but "private data"
should be protected.  I think that the whole idea of data that is
"private" is wrong.  I understand that having privacy in the digital
domain is something that most people would rather want to have, yet I
think that those people who should know better should educate the rest
that this is just wishful thinking.  I think that my hopes for the CCC
being a place for people who know what's going on (and talk about it,
too) was a bit naive.


> Had you any close friends which support you and understand you 100% after
> what happened?


Not really - When I became a hacker, I pretty much got detached from
my former social circle.  Again, I was in my very early 20ies, so I
did not have much to return to.


> Have you contact again with Markus Hess after what happened? Reading a
> transcribed phone interview to him from PHRACK (link to that), he didn't
> want to know/talk anything about this stuff anymore.


No.  I have never met him after the KGB story surfaced.  In fact, I
have only met him a few times when I visited Karl in Hannover, so we
have not been close.


> You collaborated with the script of the '23' movie. Is it true that the role
> of 'David', (played by Fabian Busch) was a character based both on Markus
> Hess and you? Any anecdotes during the filming?


At the time when the film was made, the whole story already was way
back in the past.  Seeing the film set and the original locations in
the context of the story was feeling like kind of time travel.  In
retrospect, the film has influenced my view on the whole story a lot,
and both August Diehl and Fabian Busch always appear to me as coming
out of my own story rather than being just actors.  When I met Fabian
on the set, I found it rather irritating to see him smoke self-rolled
cigarettes as I did back in the day.  He did a great job in capturing
a large part of myself in his role as David.


Overall, '23' is not so much of a hacker film.  Rather, it is a
portrait of Karl as a struggling young man, which is what Christian
Schmid's early oevre is all about.  I think he did a good job.


> What about your every-day technology life? I mean, are you worry about your
> computers, very paranoid about your data, privacy, disk encrypting and so
> on, or now you prefer worrying about other things?


I am not paranoid at all, and I prefer not to worry (although I
certainly sometimes do).  I do not believe in computer security with
current hardware.  There are just too many components that are
vulnerable, and I have no trust in the semiconductor and software
industry in general.  I have seen government agencies plant backdoors
in operating systems in the early 1990ies, and I have no reason to
believe that such practices have stopped.


Computer security has a hard sell on me.
----------------------------------------------------------------------------------------------------------

7 comments :

Anónimo dijo...

wowww!!!, muy buena entrevista, me vi esta pelicula coma hace 6 meses, y es muy buena, la arecomiendo. Gracias.

Román Ramírez dijo...

Enorme.

Madrikeka dijo...

Muy buena entrevista, me ha gustado mucho.

un poco larga para la hora en la que me la he leído XD

Newlog dijo...

Genial entrevista!

+1 para secbydefault!

Anónimo dijo...

Lo mejor que he leido esta semana.
Me quedo con esta parte:

"...No creo en la seguridad informática con el hardware actual. Hay muchos componentes que son vulnerables, y no tengo ninguna confianza en la industria de semiconductores y software en general. He visto a organismos gubernamentales implantar puertas traseras en los sistemas operativos a principios de los años 1990, y no tengo motivos para creer que tales prácticas se hayan detenido."

Amen.

Un saludo.
Manolo

Rafael Vidal dijo...

Gracias por compartir la entrevista, muy buena la verdad!! Me quedo con la última frase "Computer security has a hard sell on me", es un fenómeno!
Saludos

Sebastián Guerrero dijo...

Increíble cómo os lo habéis currado, es un gustazo poder leer una entrevista de alguien así. Enhorabuena.

Yo pediría que nos sorprendierais con más entrevistas así :).