Het is oorlog maar niemand die het ziet
Page 3
Door de documenten van de NSA ben ik ineens interessant voor geheime diensten. Het hoofd van de AIVD komt naar NRC Handelsblad om te waarschuwen dat het bezitten van staatsgeheimen gevolgen kan hebben. De militaire inlichtingendienst wil een kort geding starten om een artikel tegen te houden. Niet langer ben ik een onwetende toeschouwer in deze wereld, ik ben een medespeler geworden.
In de Snowden-documenten zou staan wat niemand me wilde vertellen: door technologie is informatie nergens meer veilig. De Amerikaanse NSA dringt honderden buitenlandse computersystemen binnen en zal dit aantal opvoeren tot miljoenen. De Nederlandse AIVD is al rond 2000 begonnen met hacken. Nog voor de invoering van de euro kunnen hackers van de Nederlandse geheime dienst e-mails bekijken, ook in landen ver buiten Nederland. Er bestaan ook al virtuele identiteiten om te spioneren. Later dringt de AIVD ongezien webfora binnen waarop jihadistische teksten worden verspreid. De MIVD heeft toegang tot meer dan duizend buitenlandse computersystemen zonder dat iemand het doorheeft.
De nieuwe wereld, zo blijkt die zaterdag 2 november 2013, is digitaal. Het is een wereld waarin de mogelijkheden onbeperkt zijn en de regels onduidelijk. Wat dat betekent voor de veiligheid, zouden we ervaren na ons tweede bezoek aan Rio de Janeiro.
2
Totale black-out
Als Steven en ik op de kamer van hotel Benidorm Palace in Rio de eerste Snowden-documenten zien, giert de opwinding door onze lichamen. Nu gaan we lezen wat voor altijd verborgen had moeten blijven, denken we. We doen de hoteldeur op slot en zetten onze laptops klaar.
Maar in plaats van te tikken, staren we naar grafieken en beschrijvingen met woorden als ‘PSTN’, ‘MySQL’, ‘CNE’, ‘Sigad’, ‘Thuraya’ en ‘CERF Call’. Het frustrerende van een stap in een nieuwe wereld is dat je erachter komt hoe onwetend je bent. Hetzelfde gevoel als na een eerste werkdag bij een nieuwe werkgever: hoe je je er ook op hebt voorbereid en hoe zeker je je ook waant, na zo’n dag weet je vooral wat je nog niet weet. De routines, de namen van nieuwe collega’s, de verhoudingen, het jargon.
Na een tijdje begrijpen we dat we naar technische termen kijken die soms aan codenamen refereren of verwijzen naar een gebruikte techniek. Wat ze precies betekenen, is afhankelijk van de context.
Hoe lastig het is, blijkt als we een tekst lezen waarin Nederlandse specialisten van de AIVD en MIVD hun Amerikaanse collega’s een presentatie geven. De Amerikanen zijn duidelijk onder de indruk van de Nederlanders, zo valt te lezen. De Nederlandse presentatie is van ‘zeer hoog niveau’, schrijven ze. Maar wat kunnen de Nederlanders precies?
In het document staat dat ze ‘MySQL-databases’ binnenhalen via ‘CNE access’. Weer googelen. MySQL blijkt een toepassing te zijn om databases te bouwen en te beheren. Daarin worden alle berichten van een gebruiker opgeslagen, net als diens logintijden, ip-adres en wachtwoord. Met die gegevens kan de dienst op zoek gaan naar de werkelijke identiteiten van gebruikers. CNE is Computer Network Exploitation, jargon voor hacken. Eigenlijk staat er dus dat de AIVD toegang krijgt tot een webforum en vervolgens de hele database opzuigt en in die database gaat zoeken naar wie er allemaal op het forum actief is. Iets wat wettelijk gezien niet mag, denken we. Het is een van de vele losse draden die we moeten verifiëren.
En dat is nog niet alles. De AIVD gebruikt de database ook voor andere doeleinden. ‘Ze onderzoeken,’ schrijft de NSA, ‘of ze de data uit de webfora kunnen combineren met gegevens van andere sociale media, en proberen goede manieren te vinden om de data die ze al hebben te minen.’ Dataminen. Weer een nieuwe term. Het is het geautomatiseerd analyseren van data. Het herkennen van patronen van gebruikers. Zo wil de geheime dienst achterhalen wie er precies op fora actief zijn. En nog belangrijker: wie er achter de gebruikersnamen schuilgaan.
Een manier om daarachter te komen is door zoveel data samen te brengen dat er kruisverbanden ontstaan: het kan zijn dat iemand telkens op hetzelfde moment inlogt op Facebook als op een bepaald webforum. Op Facebook onder de echte naam, op het forum onder een alias. Hoe meer gegevens, des te duidelijker de correlatie.
Als we terug zijn in Nederland en het document publiceren in NRC, spitst de publieke discussie die ontstaat zich toe op één vraag: mag de AIVD dit doen? Privacy-experts en juristen menen van niet: de dienst haalt namelijk de gegevens van duizenden, ook onschuldige, gebruikers binnen. De AIVD vindt van wel. Een jaar later zal de toezichthouder van de Nederlandse geheime diensten na eigen onderzoek concluderen dat de AIVD in meerdere gevallen ‘onrechtmatig’ heeft gehandeld.
Het stuk op de voorpagina en de daaropvolgende discussie zijn exemplarisch voor de artikelen die ik die maanden schrijf. Ze gaan vooral over rechtmatigheid en de gevolgen voor burgers die niets verkeerds doen. Dus: mag het? En hoe groot is de privacyschending? Het zijn journalistiek relevante vragen. En toch hebben ze iets onbevredigends; omdat ze niet gaan over de dieperliggende oorzaken. Ze gaan over het afwijkende, niet over het gebruikelijke. Ze laten niet zien hoe de organisatie van het internet eruitziet, waarom dat aantrekkelijk is voor spionagediensten en waarom dat internetgebruikers kwetsbaar maakt.
Dat is deels de makke van de journalistiek. Journalisten schrijven graag over wat nieuw en anders is. Het is nieuw dat de AIVD webfora hackt. En als het ook nog eens niet mag, is het een schandaal. Dan vinden allerlei mensen en politici er iets van. Daarna komen er maatregelen — ook weer nieuws — en eventueel politieke gevolgen — wéér nieuws.
Het heeft ook te maken met maatschappelijke acceptatie. Door de documenten en gesprekken begin ik te zien dat het verkeersnetwerk op allerlei plekken kwetsbaar is. En dat alles wat eraan gehangen wordt — telefoons, laptops, beveiligingscamera’s — door anderen te traceren is.
Dat wereldwijde netwerk heeft een magnetische aantrekkingskracht: organisaties, bedrijven en overheden kleven er maar wat graag hun producten en diensten aan vast. En dat betekent weer meer zwakke plekken en extra belangen: die van de veiligheidsdiensten voorop.
Maar kan het iemand iets schelen hoe het werkelijk werkt? En wat de maatschappelijke gevolgen zijn? Denk aan het beroemde filmpje van cineast Frans Bromet uit 1998. Hij vraagt met zijn bekende, nasale stem aan Nederlanders of ze een mobiele telefoon willen, op dat moment een nieuw fenomeen. Niemand wil het. ‘Het lijkt me helemaal niet leuk om altijd bereikbaar te zijn,’ werpt een vrouw tegen. De mobiele telefoon kwam er en niet lang daarna de smartphone. Het werd een belachelijk succes. En zo gaat het met allerlei stappen in de digitale tijd: eerst schoorvoetend en al snel is de aarzeling weg — tot aan de inmiddels brede acceptatie van, bijvoorbeeld, digitale medische dossiers.
Terwijl ik thuis of in een speciale redactieruimte op de krant de documenten van de NSA lees en de technische termen probeer te begrijpen, is het alsof ik een pikdonkere ruimte betreed. En ergens in dat donker moet zich een kluwen aan techniek bevinden waar een onzichtbare strijd woedt.
Er komen gaandeweg steeds meer vragen op. Hoe hack je eigenlijk? Hoe kan de AIVD vanuit een pand in Zoetermeer een webforum dat ergens anders staat binnendringen? En ook: wat betekent dat voor de relatie burger-overheid, voor de democratie? Het onderwerp is onder mijn huid gekropen, merk ik als ik een rondje hardloop of ver na middernacht nog lig te piekeren.
In de gesprekken die ik in de maanden en jaren daarna voer, komt één verhaal telkens terug. Het speelde zich af in 2011 in Nederland.
*
Het verhaal begint bij Aart Jochem. De computerspecialist adviseert de overheid bij nationale crises. De 46-jarige IT’er is niet iemand die zich snel zorgen maakt. Hij leidt een team van IT-deskundigen bij een overheidsdienst met de onmogelijke naam GOVCERT, het Computer Emergency Responce Team.
In de jaren tachtig studeert Aart Jochem computertechniek aan de hts in Den Haag, daarna haalt hij zijn doctoraal elektrotechniek en computerarchitectuur aan de TU Delft. Het is de tijd van de eerste Mac en Ruud Lubbers is premier.
Als hij in 2007 bij GOVCERT komt, heeft de organisatie een gezapige uitstraling: het team stuurt beveiligingsadviezen naar ministeries. Aart Jochem is een degelijke en rustige specialist. Collega’s roemen zijn vriendelijkheid, zijn vernieuwingsdrang en
uitmuntende kennis van informatiebeveiliging. Ze bespeuren bij hem het idealisme uit de jaren tachtig en negentig: dat technologie mensen vooral meer vrijheid moet brengen.
In de vier jaar, acht maanden en dertig dagen die hij bij GOVCERT werkt, heeft hij nooit het gevoel gehad dat de zaken hem ontglippen. Tot hij woensdagavond 31 augustus 2011 op de school van een van zijn kinderen in Alphen aan den Rijn is. Hij wilde naar de ouderavond. Maar nu hij hier zit, begrijpt hij niet waarom hij is gegaan. Hij staat stijf van de adrenaline en kan niemand vertellen wat er aan de hand is.
Twee dagen eerder. Aart Jochem zit aan een ovale vergadertafel bij GOVCERT als collega Hans Petri binnenkomt. Aart Jochem ziet meteen dat het mis is. Petri heeft waakdienst en beheert het alarmnummer. Bleek. Een trillende snor. Zo heeft hij zijn collega niet eerder gezien.
Petri vertelt over een melding van een Iraanse man op een Google-forum. De Iraniër schrijft dat hij Gmail wil openen, maar dat Google Chrome hem waarschuwt dat het onveilig is. De man weet niet precies wat er aan de hand is, maar vermoedt dat iemand zich voordoet als Gmail.
Specialisten bij het Duitse CERT, een evenknie van Aart Jochems organisatie, hebben al naar de melding gekeken. Een ook zij denken dat er iets mis is. Het probleem ligt alleen niet bij Google in Iran of in de Verenigde Staten, maar in Beverwijk, denken zij. Bij een bedrijf genaamd DigiNotar. Meteen waarschuwen de Duitsers hun Nederlandse collega’s.
Aart Jochem en zijn collega’s weten niet wat ze moeten doen. Dan pakt Jochem een whiteboard en schrijft: ‘Welke informatie hebben we?’ En daarnaast: ‘En wat zijn de mogelijke scenario’s?’ Weer stilte. Het whiteboard blijft een tijdlang onbeschreven. In allerijl wordt achterhaald wat DigiNotar doet en hoe belangrijk het bedrijf is. Langzaam druppelt er informatie binnen. Het bedrijf geeft certificaten uit, zo blijkt. Heel belangrijke certificaten. En kennelijk heeft iemand die zo goed na kunnen maken dat ze niet van echt te onderscheiden zijn. Dat is niet goed, weet Aart Jochem: digitale certificaten zijn de bouwstenen van het internet. Als één steen wegvalt, stort het bouwwerk in.
*
Het internet is een aaneenschakeling van computers die via websites, zoekmachines en browsers verbonden zijn. Maar niet elke website die aan dit netwerk hangt is te vertrouwen. Het kan zijn dat de ogenschijnlijke website van de Belastingdienst niet van de Belastingdienst is maar van een crimineel die probeert inloggegevens te stelen. Daarvoor is een systeem bedacht: elke keer als een gebruiker naar een website gaat, controleert de internetbrowser of die website te vertrouwen is.
Google (Chrome), Microsoft (Internet Explorer) en Firefox (Mozilla) doen dat niet zelf. Dat hebben ze uitbesteed aan bedrijven die certificaten uitgeven. Het systeem is vergelijkbaar met een notaris die controleert of bij de verkoop van een huis de juiste partijen betrokken zijn. DigiNotar is een digitale notaris. Het bedrijf controleert wie bij een website hoort en of de website te vertrouwen is.
Nu zijn er honderden, zo niet duizenden van dit soort certificaatuitgevers, ofwel CA’s in het Engels. Grote bedrijven als Google vertrouwen er een paar honderd. Die hebben een extra status, zogenaamde root CA’s. Deze partijen kunnen van elke website aangeven of die te vertrouwen is en andere CA’s ook een betrouwbare status geven. Een soort ‘supernotarissen’. DigiNotar is er een van. Microsoft en Google varen blind op hun autoriteit. En daar zit precies de kwetsbaarheid: slaagt iemand erin een certificaat van een supernotaris na te maken, dan kan hij zich voordoen als vertrouwde website en de communicatie en gegevens van internetgebruikers stelen.
Dit weet Tony de Bos ook. De forse De Bos — die zijn korte haar met een flinke lik gel een jeugdige look geeft — is eind jaren negentig medeoprichter van DigiNotar. In de tijd dat Nederland het internet omarmt, groeit zijn bedrijf mee: van enkele personen naar ruim twintig en later zelfs vijftig. DigiNotar verhuist van een bescheiden pand aan de Zeestraat in het centrum van Beverwijk naar een riant bedrijfspand aan de Vondellaan aan de rand van de stad.
Daar beleeft De Bos vanaf 2008 zijn goede jaren. Digitale communicatie neemt toe: online aankopen, het internetbankieren, de communicatie tussen overheid en burger, tussen apparaten onderling. Waar het werk van traditionele notarissen onder druk staat, gaat het juist goed met het bedrijf van De Bos. Zijn certificaten zijn overal nodig.
DigiNotar staat te boek als een degelijke organisatie. Het bedrijf maakt goede sier met indrukwekkende veiligheidsmaatregelen. Klanten en bezoekers vergapen zich eraan.
Omdat de certificaten van DigiNotar zo belangrijk zijn, is het uitgifteproces goed beschermd. Het bedrijf heeft haast militaire stappen gezet om inbrekers buiten te houden: DigiNotar scant al het binnenkomende internetverkeer en heeft het computernetwerk opgedeeld in verschillende afgesloten delen. Elk verzoek voor een certificaat wordt door twee verschillende medewerkers beoordeeld: het ‘vier-ogen’-principe.
Daarna gaat het naar een ‘veilige omgeving’ waar het certificaat uitgegeven wordt en een digitaal echtheidsstempel krijgt. Een medewerker van DigiNotar moet hiervoor fysiek een smartcard in een computer steken. Die computer staat in een zwaarbewaakte ruimte ter grootte van een halve woonkamer. Om daar binnen te komen, moet de medewerker verschillende deuren passeren die een sluis vormen: daar heeft hij speciale elektronische passen voor. Voor iedere volgende deur zijn minder mensen geaccrediteerd. De binnenste ruimte is beveiligd met verstevigde deuren met ijzer erin. Die gaan pas open na een handbiometrische controle en het invoeren van een gepersonaliseerde pincode. Deze futuristische kluis is het pronkstuk van het bedrijf.
Aan alle mogelijke doemscenario’s is gedacht. Als de stroom uitvalt, neemt een generator het systeem over. Mocht een vliegtuig op het gebouw storten, dan staat een replica van het gehele systeem in een beveiligde bunker bij Schiphol.
*
Daarom zijn Aart Jochem en zijn collega’s geschrokken als ze horen dat er een vals certificaat in omloop is. En ook nog van het grote Google: de inbreker heeft hoog ingezet. Terwijl Jochem en zijn collega’s meer informatie zoeken, gaat de melding van de Iraniër een eigen leven leiden. Het bericht komt Ronald Prins onder ogen. De oprichter van FOX-IT is verknocht aan zijn mobiele telefoon en een fervent twitteraar. Zijn cryptografische kennis maakt hem tot een autoriteit als het gaat om beveiligingsvragen. Hij mengt zich graag in online discussies — een eigenschap waar hij ook commercieel profijt van heeft. Prins hint op de eventuele gevolgen van de Google-melding: als dit betekent dat iemand de certificaten van DigiNotar kan namaken, is de schade niet te overzien. ‘Een ramp,’ twittert Prins.
Ook Tony de Bos ziet de opwinding op Twitter. Begin dat jaar heeft hij DigiNotar voor 3,7 miljoen euro verkocht aan het Amerikaanse Vasco. Het is een prachtige deal en het bewijst nog maar eens het belang van zijn groeiende bedrijf. Als een van de twee medeaandeelhouders houdt De Bos een aardige som geld aan de verkoop over. Op papier is hij zelfs miljonair. Een deel van het bedrag, ruim 1,4 miljoen euro, is al uitbetaald, de rest zal over een paar maanden volgen — mits er in de tussentijd niets ernstigs gebeurt.
Maar nu bellen ongeruste klanten hem op. Of hij kan vertellen wat er aan de hand is. Even denkt De Bos terug aan een paar weken eerder. Hij was op vakantie en hoorde dat er iets speelde bij DigiNotar. Een hack misschien. Hij had nog gevraagd of hij zijn vakantie moest afbreken. ‘Niet nodig,’ was hem gezegd. Het incident was afgehandeld. De klanten willen nu weten of DigiNotar nog te vertrouwen is. ‘Natuurlijk,’ zegt hij zelfverzekerd. De Bos is overtuigd van zijn organisatie en alle veiligheidsmaatregelen. Toch belt hij ’s avonds voor de zekerheid Ronald Prins met de vraag of hij onderzoek wil doen. Prins kan met zijn autoriteit vast bevestigen dat er niets onoorbaars is gebeurd bij DigiNotar, denkt De Bos.
De afspraak is nog niet gemaakt of Google komt met een public statement: iedereen die een website bezoekt die gebruikmaakt van certificaten van DigiNotar zal een melding krijgen: deze website is niet langer te vertrouwen. Iemand probeert zich voor te doen als Google om e-mails en documenten te lezen. De impact van het statement van Google is niet te overschatten: de hele wereld weet nu dat er een probleem is bij het bedrijf in Beverwijk.
Dinsdagochtend om negen uur stipt belt Aart Jochem met Tony de Bos. Die zit op dat moment naast Ronald Prins. Het boegbeeld van FOX-IT wil dat DigiNotar zo open mogelijk is over wat er aan de hand is. De Bos heeft mokkend het advies van Prins overgenomen om het onderzoek van FOX-IT al wereldkundig te maken. Het wemelt inmiddels van de pottenkijkers bij zijn bedrijf: onderzoekers van FOX-IT stellen De Bos vragen over de inrichting van het netwerk, plaatsen sensoren en bekijken zijn kluis. De eerste advocaat komt langs om de gevolgen voor de overname in te schatten.
Aart Jochem wil snel antwoorden. Wat betekent dit allemaal? Hij en zijn team tasten in het duister. Het Google-bericht is ernstig, dat weten ze. Iemand is erin geslaagd om een DigiNotar-certificaat na te maken, om de zwaarbeveiligde kluis binnen te dringen en met de smartcard een certificaat te tekenen. Het kan een mol bij DigiNotar zijn, een hacker, een vijandige staat. Alles is mogelijk. Ze moeten er snel achter komen hoe dit is gebeurd.
Het enige wat Aart Jochem nu kan, is de schade beperken: alle certificaten van DigiNotar die voor een veilige verbinding tussen internetgebruiker en overheidswebsites zorgen, laten vervangen.
De zich ontvouwende crisis is een realiteitscheck: de Nederlandse overheid blijkt totaal niet voorbereid. Het is 2011 en niemand weet hoe belangrijk het bedrijf in Beverwijk is voor het Nederlandse internet. Toezichthouder OPTA — die toeziet op telecommunicatie — zou het moeten weten, maar die heeft de controle van DigiNotar weer bij PriceWaterhouseCoopers ondergebracht. En die kijkt vooral naar de organisatorische structuur van het bedrijf, niet naar de techniek.
Voor Aart Jochem is het improviseren. Hij heeft geen enkel mandaat. Zijn team weet niet eens of het contact met Prins wel is toegestaan. Officieel mag GOVCERT alleen overheidsorganisaties helpen als daarom wordt gevraagd. Een vreemde beperking voor een partij die wordt geacht overzicht te hebben en de overheid te adviseren. Van alle kanten staat het team onder druk: Binnenlandse Zaken wil weten welke overheidswebsites DigiNotar-certificaten gebruiken, softwarepartijen als Google willen weten of hun gebruikers nog veilig zijn, collega-CERTs van over de hele wereld willen hún overheden adviseren. De telefoon rinkelt onophoudelijk.