Een tegenslag in Noorwegen. Edwin kan niet meer inloggen op ‘zijn’ servers. Hij is eruit gegooid. ‘I got detected,’ laat hij zijn online vrienden weten. Die lachen om de mededeling. Al snel praten ze weer over andere zaken. Maar Edwin wil meer. En dan, begin 2012, stuit hij op een goudmijn.
Via een nieuwe scan ziet Edwin dat ook KPN verouderde software heeft. De grootste telecomprovider van Nederland gebruikt HP Data Protector en heeft de update niet uitgevoerd. Er staat een raam open. Zal hij de gok wagen? Even binnenkijken op het netwerk van zijn eigen internetprovider? KPN is een grote vis. Het zal ’m vast veel credits opleveren. Edwin neemt de sprong. Hij voert een willekeurig ip-adres van KPN in, voert zijn exploit uit en via computers van de Japanse universiteit belandt hij zo, hop, in het netwerk van KPN.
Hij zit nu in een klein hoekje van het netwerk. Hij is binnen, maar moet nog wat deuren door. Hij kan bijvoorbeeld geen directe commando’s geven vanaf zijn computer naar KPN. Ook heeft hij geen volledige rechten op het hele netwerk. Hij kan niet zomaar doorlopen: een firewall verhindert dat. Maar dat is kinderspel. Edwin omzeilt de beperking door een programma van zijn computer naar de KPN-computer te verplaatsen. Vervolgens kan hij alles doen.
Dom, dom, dom KPN, denkt hij. Alles staat open. Edwin scant vanaf de ene KPN-computer de rest van het netwerk en ziet de verouderde software op honderden plekken. Bijna alle computerservers van het gigantische KPN-netwerk hebben ‘een raampje openstaan’. De jongen uit Barendrecht wandelt onbezorgd door en kijkt verbaasd rond. 514 computerservers kan hij aansturen. Hij komt zelfs op de core router: de ruggengraat van het KPN-netwerk. Hij kan de gegevens van 2,1 miljoen klanten van KPN zien, hij kan voor honderdduizenden klanten de verbinding naar een 112-server stopzetten, hij kan internetverkeer omleiden zodat mensen die naar bijvoorbeeld NU.nl gaan ergens anders uitkomen. Edwin kan alles en KPN weet van niets.
Opgewonden vertelt hij Dwaan over zijn verovering. Die gelooft hem eerst niet, waarna Edwin vanaf het KPN-netwerk inlogt op het chatkanaal en ‘bewijst’ dat hij controle over KPN heeft. ‘WTF!’ reageert Dwaan. Edwin vertelt hem hoe hij binnen is gekomen. Dwaan gaat zelf kijken en, verrek, ook hij is even later binnen. Rustig aan, maant Edwin hem, maar Dwaan is door het dolle heen. Wat nou, oppert hij, als ik de KPN-computers met elkaar en ons laat communiceren? Edwin ziet het niet zitten, maar Dwaan is al bezig: hij installeert een bot, waardoor de computers precies doen wat hij wil.
Edwin is in z’n nopjes met zijn nieuwe status. De ICT-opleiding volgt hij niet meer. De spanning in huis lijkt te verminderen. Zijn moeder mailt opgelucht naar een vriendin: ‘Edwin voelt zich steeds beter. Hij is ontheven van de leerplicht dit jaar en doet nu thuis voor de LOI Engels op havo-niveau.’
Edwin buit ondertussen op zolder zijn nieuwste vangst uit. ‘I’m hacking my ISP,’ zegt hij tegen de Koreaanse student ‘Combasca’. ISP staat voor internetprovider. Combasca gelooft hem niet en vraagt om bewijs. Ook nu gaat Edwin weer het chatkanaal op vanaf het KPN-netwerk. ‘U should become a hacker too,’ spoort hij Combasca aan.
*
Terwijl Edwin online furore maakt, kijken mannen en een enkele vrouw in een flatgebouw naast de A12 bij Den Haag elkaar ontredderd aan. Boven de studio van radiozender Fresh FM hebben tientallen mensen hun intrek genomen in een leegstaande kantooretage. Er zijn bureaus neergezet, netwerkkabels getrokken en laptops geïnstalleerd. Voor wie niet weet wat er gaande is, is het een vreemd gezicht: vroeg in de ochtend haasten mensen zich naar deze bovenste etage om er pas na middernacht weer te vertrekken. Koeriers bezorgen elke avond eten. De mensen die naar boven gaan, spreken geheimzinnig over ‘project Victor’.
Tachtig tot honderd medewerkers lopen er al dagen rond. Veel technici van KPN en onderzoekers van FOX-IT. Ook Ronald Prins, de baas van het bekende beveiligingsbedrijf, is er weer. Na een melding van ene Combasca uit Zuid-Korea is de bal gaan rollen. Combasca vertelt dat hij chatte met een jongen die zich YUI noemde en die beweerde KPN gehackt te hebben. Hij toonde het bewijs. Combasca liet de opschepperige YUI maar praten en zocht contact met KPN. Hij verraadt de jongen. Via Twitter en de webcare-afdeling komt het bericht uiteindelijk bij een beveiligingsmedewerker van KPN terecht. Die herstart enkele servers in de hoop dat het daarmee voorbij is.
Maar de problemen met computerservers houden aan. En nu, ruim twee weken na die eerste melding, is de paniek compleet. Het is duidelijk dat iemand in het netwerk van KPN zit. Het kan een eenling zijn, maar ook een buitenlandse staat. Niemand die het weet. KPN en FOX-IT hebben nog geen idee van de schade. Ze moeten voorzichtig te werk gaan: computers onderzoeken terwijl de systemen doordraaien zodat de miljoenen klanten er geen last van hebben.
Eerst kijken ze naar de buitenste lagen. Maar hoe verder ze komen, des te meer ze zien. Bij het scannen van het internetverkeer blijken honderden punten in het KPN-netwerk een verbinding naar buiten te maken. Overal staan ramen en deuren wagenwijd open. Op 20 januari 2012 schaalt KPN op naar Code Oranje: er is een serieuze dreiging voor de bedrijfsvoering.
Een week later, op 27 januari, volgt een nóg grotere ontdekking: de inbreker zit ook op de core router, de machinekamer van KPN. Hij heeft feitelijk de controle over het hele netwerk en kan doen wat hij wil: internetverkeer inzien, tv uitschakelen, 112 platleggen. Daarop volgt Code Rood: het voortbestaan van de Nederlandse telecomprovider staat op het spel. KPN informeert het Nationaal Cyber Security Center (NCSC), de opvolger van GOVCERT van Aart Jochem, en het Team High Tech Crime van de nationale politie. Een KPN-directeur doet de volgende ochtend aangifte van computervredebreuk.
Net zoals bij DigiNotar, waarbij het complete bedrijf geïnfiltreerd bleek en de hackers zelf certificaten konden uitgeven, is ook nu de schrik groot. Opnieuw is de broosheid van een netwerk waarop miljoenen mensen vertrouwen zichtbaar. En ook nu komt dat door simpele fouten en onachtzaamheid. De update van HP Data Protector, die al sinds juni 2011 beschikbaar was, is een half jaar lang door niemand bij KPN uitgevoerd. Nog opvallender is dat de externe firewall uitgeschakeld blijkt. Door een verkeerde configuratie heeft die maandenlang opengestaan en kon iemand van buitenaf zo naar binnen lopen.
De crisis bij KPN legt systeemfouten bloot. KPN-topman Eelco Blok zit in de Cyber Security Raad, een adviesorgaan voor de overheid, maar vertelt daar niet dat zijn eigen netwerk is gehackt. Terwijl het de taak van de raad is om te adviseren bij landelijke crisissituaties. Pas als KPN weken later aangifte doet, weten de collega’s van Blok wat er aan de hand is. Het NCSC van Aart Jochem kan nauwelijks van nut zijn: hij heeft nog geen mandaat om op te treden. De boel overnemen zoals bij DigiNotar is een uiterste noodgreep die de overheid in kan zetten. Hoewel er flinke paniek heerst, is het daarvoor nog te vroeg. Het is nog niet bewezen dat buitenlandse hackers KPN hebben overgenomen en kwade bedoelingen hebben.
De commerciële belangen van KPN botsen met de opsporingstaak van de politie. Het hoofd van het Network Operations Center van KPN wil geen computerservers uitschakelen of het complete netwerk laten scannen. Dat kost geld, mankracht en kan storingen voor klanten veroorzaken. Voor het politieonderzoek is dat wel nodig.
Onduidelijk blijft wat de impact is als KPN écht is overgenomen door een buitenlandse staat. Kan de overheid dan nog functioneren? Wat is de impact voor de AIVD en de MIVD, wier communicatie deels via het KPN-netwerk loopt? Wekenlang weet niemand het.
Het politieteam, FOX-IT en KPN volgen de digitale kruimels die de aanvaller heeft achtergelaten. Het spoor leidt naar de computerserver waar hij binnenkwam. Dan wordt de puzzel ingewikkelder: de aanvaller verschuilt zich achter VPN-verbindingen. Het politieteam vliegt ondertussen naar Zuid-Korea om met Combasca te praten en later naar Japan waar hij een universiteit heeft gehackt. Het levert weinig nieuwe inzichten op. Ook nu stuit de politie op fysieke grenzen: de aanvaller verschuilt zich achter servers in allerlei landen, van Oekraïne tot Engeland, van Tsjechië tot de Verenigde Staten. Telkens moet de politie eerst een rechtshulpverzoek indienen, waarna het wachten is op een kopie van een server.
Dat is tijdrovend. Als de aanvaller zich nu terugtrekt en zijn sporen wist, is bewijs verzamelen
nagenoeg onmogelijk. Maar de onderzoekers hebben geluk: de aanvaller blijft maar terugkomen, zelfs als KPN de hack op 8 februari 2012 in een persbericht wereldkundig maakt. Nota bene via een gehackte KPN-server gaat de aanvaller opnieuw een chatkanaal op. Hij noemt zich daar ‘KPN’.
Die actie zet het onderzoeksteam op het juiste spoor: ze zien dat de aanvaller een Russische VPN-server gebruikt. Het ip-adres van die server komt vaker voor in het KPN-netwerk. Het lastige is dat de onderzoekers daar alleen niets mee kunnen: een VPN-server maskeert de identiteit van de gebruiker. Toch hebben ze nóg een kans: via de VPN-server gaat verkeer naar een specifieke computer in het KPN-netwerk.
Het is een website waar een klant van KPN gedownloade films deelt, ndsmovies.com. Op de server waarop de website draait, blijken ook hackbestanden te staan. Precies het soort dat de gaten in de software van HP Data Protector uitbuit, waardoor de aanvaller binnen kon komen.
De beheerder van de site ndsmovies.com gebruikt het e-mailadres [email protected]. En als de onderzoekers dat opzoeken, ontdekken ze nóg iets opvallends: hetzelfde e-mailadres werd eerder gebruikt voor correspondentie met KPN vanwege een geblokkeerd ip-adres. In 2010 is een ip-adres dat toebehoort aan [email protected] vanwege ‘malicieuze activiteiten’ een tijdje geblokkeerd geweest. Dit ip-adres is gekoppeld aan een woonhuis aan de Menuethof in Barendrecht.
Eindelijk een spoor naar de dader. Maar voor hard bewijs hebben de onderzoekers meer nodig: een directe link van de aanvaller naar KPN. Het liefst willen ze hem pakken als hij ‘live’ via zijn computer in het KPN-netwerk zit. Het onderzoek duurt inmiddels bijna een maand en de problemen bij KPN houden aan. De druk is hoog. Terwijl KPN beweert dat de hacker geen klantgegevens heeft gestolen, verschijnen er berichten in de media dat dit wel het geval is. ‘Wachtwoorden KPN-klanten gepubliceerd’, kopt NU.nl. De NOS schrijft: ‘Hoogste alarmfase na hack KPN’.
Onbekenden publiceren een lijst met honderden gehackte KPN-mailadressen. De telecomprovider, die eerder beweerde dat er niets gelekt was, neemt een drastische maatregel: hij legt de maildienst voor 2 miljoen klanten plat. Zij kunnen dagenlang hun e-mail niet gebruiken. De ingreep van KPN leidt tot ernstig verstoorde communicatie bij klanten. Bedrijven kunnen hun producten niet leveren, geen bestellingen doen of facturen verzenden.
De onderzoekers voelen de aanhoudende druk. En daarom doen ze iets wat niet mag. Ze weten dat de aanvaller een virtuele server in Rusland huurt en dat de kopie van die server pas over een aantal weken in Nederland zal zijn. Op die kopie zullen niet alle gegevens staan. Dat komt door de manier van kopiëren: gegevens van het werkgeheugen komen niet mee. Daarom dringen ze vanuit Nederland de server in Moskou binnen. Op het werkgeheugen van de server vinden de onderzoekers chatgesprekken, waaronder dat van twee jongens over de KPN-hack.
Swordfish: ‘8 o’clock on NOS Journaal op 1’
Swordfish: ‘KPN bevestigt het’
xS: ‘Naja boeiend’
xS: ‘I really gotta truecript my shit now’
Swordfish: ‘I’m pretty safe if they come’
Dit ogenschijnlijk nietszeggende gesprek levert twee nuttige inzichten op: de aanvaller komt kennelijk uit Nederland én hij is bezig om zijn computer te versleutelen met TrueCrypt, een onder hackers populair programma om documenten af te schermen zodat buitenstaanders en niet bij kunnen. Dat betekent dat als de politie hem wil pakken, ze dat moet doen voordat hij z’n computer uit kan zetten. Anders gaan zijn gegevens verloren.
Stap voor stap komt de politie dichterbij. Dat is ook aan de geestdrift van de aanvaller te danken: die weet van geen ophouden en blijft maar in het KPN-netwerk dolen. Als hij via zijn Russische VPN-server nog een keer het netwerk van KPN scant op nieuwe kwetsbaarheden, blokkeert KPN het Russische ip-adres. Dan maakt de aanvaller een cruciale beginnersfout: hij verbindt rechtstreeks met zijn thuisverbinding naar een gehackte computerserver van KPN. Zijn thuisadres is zichtbaar.
Ondertussen kijkt de politie al via een tap op het thuisadres met de aanvaller mee om de laatste bewijsstukken te verzamelen. Maar ook dat verloopt niet helemaal soepel: de tapsoftware Replay van FOX-IT blijkt niet van alle internetdata bruikbare informatie te kunnen maken. Op een dag vallen zelfs alle internetgegevens weg: de politie staart naar een zwart scherm. Er komt niets meer binnen, terwijl er toch echt een tap is aangesloten in Barendrecht. Na wat heen-en-weergebel tussen politie en KPN wordt het euvel duidelijk: KPN heeft per abuis het internet van de jongen in Barendrecht geblokkeerd.
Iets meer dan twee maanden na het bericht van de Koreaanse Combasca is er genoeg bewijs en maakt een politiemacht in Barendrecht zich op om Edwin achter zijn computer vandaan te trekken. Twee agenten zullen zijn moeder opwachten en haar om de huissleutel vragen. Daarna sluipen ze naar Edwin toe, die nietsvermoedend op zolder als xS online furore maakt. ‘Politie! Meekomen! Niet aan je computer zitten!’
*
José Robbe legt een spritskoek op een schoteltje en schenkt koffie in. Vader Ruud zit naast me. Tijdens het gesprek heeft hij een paar keer een zakdoek uit z’n spijkerbroek gehaald en z’n ogen onder zijn bril drooggedept.
Na de aanhouding in Barendrecht zit Edwin eerst 42 dagen vast. Hij wordt schuldig bevonden aan computervredebreuk en krijgt een voorwaardelijke gevangenisstraf van 240 dagen en een taakstraf. In die taakstraf heeft hij geen zin en dus moest hij alsnog de cel in.
Daarna wordt hij nog ongrijpbaarder voor zijn omgeving. Hij neemt kalmeringsmiddelen en experimenteert met diverse drugs. Komt z’n vader thuis, ligt de woonkamer bezaaid met bladeren en planten omdat Edwin een psychedelisch brouwsel aan het maken is. Ook stopt hij eens stiekem lsd in de wijn van zijn vader. Die ziet het plafond van zijn slaapkamer veranderen in een lichtshow en heeft een urenlange trip. In de ochtend moet hij zijn werk afbellen omdat hij nog steeds hallucineert. Als het spul eenmaal is uitgewerkt, begrijpt Edwin niet dat zijn vader boos is: hij heeft hem slechts een verrijkende ervaring willen geven.
Edwin heeft waanideeën en verzet zich tegen alles. Zijn ouders worden er moedeloos van. Zelfs voor de professionals van verslavingskliniek De Bouman in Rotterdam waar Edwin naartoe gaat, is het te veel: na een week wordt hij er weggestuurd wegens onmogelijk gedrag. Vervolgens klopt hij weer aan bij zijn vader Ruud. Maar die kan de strijd met zijn inmiddels 22-jarige zoon niet langer aan.
Met pijn in het hart zegt hij bij de voordeur dat Edwin niet bij hem kan wonen. Edwin dringt aan. ‘Toe nou.’
Maar Ruud kan het niet meer. ‘Het gaat niet, sorry.’ Edwin vertrekt met een rugtas, z’n ouders weten niet waarheen.
Na een paar weken niets van hem gehoord te hebben probeert Ruud contact te krijgen. Hij stuurt WhatsApp-berichten en mails. Op één daarvan reageert Edwin. ‘Ja, alles goed hoor. Ik zit in Pyongyang, Noord-Korea,’ mailt hij. Edwin heeft een fascinatie voor Azië, en specifieker Japan en de Korea’s. Maar dat hij werkelijk in Noord-Korea zou zitten, gelooft zijn vader niet.
Er zit een foto bij de mail: Edwin draagt zwarte kleren en opvallende kettingen over z’n jas. Naast hem staat een Koreaanse militair. Met zijn toegeknepen ogen en kleine postuur heeft Edwin iets Aziatisch. Hij poseert voor een afbeelding van Pyongyang met de Noord-Koreaanse leider Kim-Jong Un. Het is waarschijnlijk een toeristische attractie in Zuid-Korea. Edwin sluit de mail af met: ‘WhatsApp en telefoons en dergelijke worden in de gaten gehouden. Computers hebben ze wel gelukkig.’
Het is een van zijn laatste berichten. Ruud buigt het hoofd. ‘Had ik hem dan weer in huis moeten nemen?’ vraagt hij. ‘Had ik het nog één keer moeten proberen?’ Met spijt in z’n stem: ‘Ik kon niet anders, ik was op.’
Het was vooraf niet mijn plan om de ouders van Edwin te spreken. Ik wilde zíjn verhaal horen, maar dat was niet gelukt. Toen we elkaar kort via Skype spraken, zat hij op een hotelkamer in Zuid-Korea. Na acht minuten sloot hij af met een glimlach en een peaceteken. Daarna hadden we sporadisch contact via WhatsApp. In z’n laatste berichten klonk wanhoop door. Het waren korte teksten zonder enige context. Warrig en onduidelijk. ‘Het bevalt slecht’, ‘ze hebben guns’ en ‘ik wil snel weg’. Op vragen over KPN reageerde h
ij ditmaal niet.
Een paar dagen daarna kreeg ik een bericht van een bron. ‘Heb je het gehoord over Edwin?’ Hij was dood aangetroffen in een bad in een hotel, niet ver van de internationale luchthaven van Seoul. De deur van zijn kamer, nummer 801, was van binnenuit gebarricadeerd met meubels en kussens.
Het duurde vervolgens een poos voordat ik contact opnam met zijn ouders. Ik wilde ze niet lastigvallen voor mijn verhaal, maar realiseerde me ook dat zij vragen zouden hebben als ze hoorden dat een journalist hem een paar dagen voor zijn dood nog had gesproken.
José Robbe reageerde instemmend op een verzoek om af te spreken. Zij en Ruud laten foto’s van Edwin zien en vertellen over zijn gecompliceerde jeugd. De pijn is zichtbaar. Ze vragen ook naar mijn laatste contact met hem. Ruud: ‘Dat is vlak voor zijn dood geweest.’
Als vanzelf komen we op de hack van KPN. Ik leg uit dat het me fascineert hoe een zeventienjarige jongen de belangrijkste telecomprovider van Nederland bijna ten val kan brengen en toegang heeft tot miljoenen klantgegevens. Volgens hen zijn de aanhouding en gevangenisstraf een keerpunt geweest: daarna is het bergafwaarts gegaan met Edwin. Zijn zelfdoding is een litteken dat ze altijd met zich mee zullen dragen. Ze hebben nog tal van vragen. Was Edwin wel zo schuldig als justitie deed voorkomen? KPN had toch zelf de ramen open laten staan? Als het zo makkelijk is om ergens binnen te dringen, is er dan niet een veel groter maatschappelijk probleem?
Wat niet helpt, is dat ze amper begrijpen wat Edwin precies heeft gedaan. De technische termen waar justitie tijdens de rechtszaak tegen Edwin mee komt, zijn een raadsel voor hen. Volgens de officier van justitie is het ‘een van de belangrijkste hacks in de Nederlandse geschiedenis’. Het werk van Edwin is ‘ingenieus’ en de ‘impact op KPN en daarmee ook op de samenleving immens’. KPN heeft naar eigen zeggen ‘3 miljoen euro schade’ geleden. De officier prijst het bedrijf voor de openheid. ‘Het is vrij zeldzaam dat een bedrijf als KPN zoveel gevoelige gegevens prijsgeeft. De commerciële belangen zijn immers groot en het risico voor reputatieschade is immens.’ Na de hack neemt KPN maatregelen om de beveiliging van de systemen te verbeteren. Hoewel Edwin in verhoren direct alles bekent en ook meewerkt aan het justitiële onderzoek, oordeelt de officier van justitie hard over hem. Zijn handelen was ‘kwaadaardig en opzettelijk’ en zorgde voor ‘direct levensgevaar’.
Het is oorlog maar niemand die het ziet Page 8