Dat de onderzoekers de VPN-server van Edwin in Moskou hackten, staat niet in het dossier. Het is ‘witgewassen’ via de Criminele Inlichtingen Eenheid, een afdeling binnen de politie die informatie over ernstige misdrijven verzamelt en die de identiteit van bronnen mag afschermen. Omdat de bron niet hoeft te worden prijsgegeven, valt het niemand op — ook de advocaat van Edwin niet.
De rechters gaan deels mee in het verhaal van het OM. Ze betreuren het dat Edwin ‘zijn talenten op negatieve wijze heeft ingezet’. Toch zijn er ook verzachtende omstandigheden. ‘Het relatieve sociale vermogen van verdachte en zijn lijden onder het mislukken op school en in sociaal opzicht’, zo oordeelt de rechter, ‘hebben een rol gespeeld in het toevlucht zoeken op internet en grensverleggend gedrag aldaar.’ De Kinderbescherming adviseert een taakstraf. De rechtbank veroordeelt Edwin tot 100 uur taakstraf en een voorwaardelijke gevangenisstraf.
‘We hadden echt geen idee wat er op die zolder gebeurde,’ zegt Ruud. Het heeft hem doen realiseren dat de risico’s in de digitale wereld volstrekt anders zijn dan in de echte wereld. ‘Als je er een verhaal over wilt maken,’ zegt José ineens, ‘dan werken we mee. Ook als waarschuwing voor andere ouders: we hadden er nooit bij stilgestaan dat hij dit zou kunnen veroorzaken.’
Ruud: ‘Ik ben angstiger geworden voor de computer.’ Als hij zijn belastingaangifte doet en het wil even niet lukken, schiet hij in de stress. ‘Ik ben soms bang dat iemand misbruik maakt van mijn identiteit. Ik ben afhankelijk van technieken die ik niet kan doorgronden, dat maakt me onzeker.’
Dat is er dus aan de hand: door het internet zijn nieuwe risico’s ontstaan die nauwelijks te overzien zijn. Het zou niet lang duren voordat de betekenis daarvan echt zou doordringen.
DEEL II
Wat zijn de gevolgen?
5
Bom op een simkaart
Ze is blond, lang en zal straks naar Spanje vliegen. Dat is alle info die ik heb als ik om half zeven ’s avonds bij de rood-wit geblokte kubussen in de aankomsthal van Schiphol sta. De vrouw heeft een mail gestuurd over een bizar voorval in Engeland en we hebben een afspraak gemaakt. Plots staat ze voor me. ‘Jij bent Huib, toch?’
Als we in Café Rembrandt op Schiphol Plaza zitten begint ze meteen te vertellen. Ze wil anoniem haar verhaal doen; ik noem haar Robin. Een aantal jaren geleden woonde ze in Engeland. Ze zocht daar werk, ging via internet op zoek naar een klus en zag een advertentie voor vertaalopdrachten bij het Australische bedrijf Appen. Dat zoekt freelancevertalers uit verschillende landen — ook mensen die Nederlands spreken — om software die spraak omzet in tekst te verbeteren.
Robin gaat naar de website en vult een online-sollicitatieformulier in. Daarop krijgt ze een mail van een contactpersoon, ene Alan. Ze moet eerst een test doen en als dat goed gaat, krijgt ze een klus, belooft hij haar. Ze zal per opdracht worden betaald via PayPal. De test bestaat uit luisteren naar korte audiofragmenten en woord voor woord uitschrijven wat ze hoort.
Robin slaagt. Als er een nieuw ‘project’ klaarstaat, krijgt ze een mail van Alan. ‘You should now see the following project available.’ Ze logt in, leest de instructies en gaat naar het project ‘Dutch free speech transcription’. Ze ziet een hele lijst met fragmenten. En als ze die aanklikt hoort ze Nederlanders praten. Ze moet letterlijk opschrijven wat ze hoort in de fragmenten die tien tot twintig, soms dertig seconden duren.
Ze hoort taxichauffeurs, maar de fragmenten zijn zo kort dat ze niet de context begrijpt. Andere mensen kunnen tegelijkertijd aan hetzelfde project werken. Ze hoort mensen praten over privézaken. Een man en een vrouw spreken over hun vakantie naar Turkije. Ze vertaalt de gesprekken en denkt er verder niet over na. Weken gaan zo voorbij. Ze schrijft zich in voor het ene na het andere project en wordt er steeds behendiger in. Duizenden fragmenten vertaalt ze. Telkens volgt keurig de betaling via PayPal.
Geleidelijk krijgt ze een beeld van de mensen die ze beluistert. Het merkwaardige is dat de gesprekken behoorlijk actueel zijn: ze hoort over politieke gebeurtenissen of nieuws van de laatste weken. Ook opvallend: ze hoort veel jongeren met een Turkse of Marokkaanse achtergrond. En het zijn voornamelijk taxichauffeurs. Ze spreken met de centrale of onderling met elkaar. Hoe meer fragmenten ze vertaalt, des te duidelijker wordt het dat de taxichauffeurs uit de regio’s Den Haag en Amsterdam komen.
Ze begint zich af te vragen hoe dit kan. Hoe komt een Australisch bedrijf aan hun communicatie? Soms werkt ze een gesprek uit dat duidelijk een chatgesprek is: korte berichtjes die door een computerstem worden voorgelezen. Ook dat bevreemdt haar: weten die mensen dat zij naar hun gesprek luistert?
*
Het contact met Robin komt tot stand op het moment dat ik vastloop als onderzoeksjournalist. Ik begrijp hoe aantrekkelijk internet is voor geheime diensten. Zonder een grens over te steken, is het mogelijk om in een ander land te spioneren. Zonder dat iemand het ziet; verborgen achter een valse identiteit of een VPN-server. Het is alleen lastig om duidelijk te maken wat daarvan de gevolgen zijn: de artikelen die ik erover schrijf zijn vaak abstract en theoretisch.
Het taboe op afluisteren is weggevallen, dat is duidelijk. De Amerikaanse NSA zit in 2012 al in meer dan 50.000 computersystemen wereldwijd. Een speciale hackeenheid van de dienst, de Tailored Access Operations, dringt via internet de routers van een organisatie binnen en installeert software op het computernetwerk. Zo heeft de NSA altijd toegang en kan de dienst data wegsluizen of een heel computernetwerk platleggen. De methode wordt steeds populairder, blijkt uit gelekte gegevens van de NSA. Binnen een paar jaar loopt het aantal geïnfecteerde computernetwerken op tot enkele miljoenen.
De techniek biedt meer mogelijkheden. Data uit glasvezelkabels filteren is praktischer dan ergens buiten een richtmicrofoon plaatsen. Per maand slaat de NSA volgens een eigen presentatie (‘huidige aantallen en limieten’) 312 miljard internetgegevens en 135 miljard telefoongegevens op. Dat zijn de gegevens van 19 miljard telefoongesprekken per maand. Oftewel ruim 600 miljoen per dag.
Inlichtingendienst AIVD trekt hele webfora leeg, inclusief de gegevens van mensen die geen doelwit van de dienst zijn. En wat voor de geheime dienst geldt, geldt ook voor bedrijven en overheidsinstanties: de techniek maakt een nieuw soort opsporing mogelijk die voorheen ondenkbaar was. De Belastingdienst krijgt zoveel parkeergegevens, betaalgegevens en kentekenregistraties binnen dat medewerkers automobilisten zo goed als live kunnen volgen. De politie laat misdaad voorspellen door allerhande data te combineren. Online zoeken gaat bij de politie geautomatiseerd dankzij het programma iColumbo. Rechercheurs hoeven alleen maar een zoekterm in te vullen (een e-mailadres, kenteken of gebruikersnaam) en het programma gaat automatisch aan de slag.
In de krant probeer ik duidelijk te maken waarom deze onderwerpen ons allemaal raken, maar betwijfel of ik daarin slaag. Dat komt ook omdat de gevolgen tot nu toe nog hypothetisch zijn: de KPN-hack door de zeventienjarige Edwin krijgt zoveel aandacht omdat de aanvaller bij de gegevens van miljoenen klanten kan. En hij had die toegang kunnen misbruiken (maar deed dat niet). De invoering van een nieuw Elektronisch Patiëntendossier is risicovol omdat het mogelijk tot privacyschendingen leidt (maar of dat zo is, is onbekend). Het kopen van WhatsApp door Facebook kan betekenen dat Facebook een greep in de data van WhatsApp gaat doen (wat dan nog onbekend is). Het verzamelen van metadata door Nederlandse inlichtingendiensten is kwestieus omdat het misschien in strijd is met de wet (maar ook dat is onduidelijk). Dit alles verklaart waarom veel mensen onverschillig zijn over de gevaren.
Mijn worsteling wordt versterkt als uit onderzoek van NRC Handelsblad blijkt dat er een zekere ‘Snowden’-moeheid optreedt. Lezers zijn de verhalen over de NSA-klokkenluider die honderdduizenden geheime documenten meenam meer dan zat, laat een presentatie van NRC-hoofdredacteur Peter Vandermeersch zien. Fanatiek stuurt Vandermeersch dagelijks een top 25 van best gelezen stukken naar de redactie, vaak voorzien van commentaar welke stukken beter hadden gekund. Nu heeft hij de trends over een langere termijn in kaart gebracht. De conclusie is helder: zet ‘Snowden’ in een kop en lezers slaan het bericht massaal over.
&nbs
p; De oorzaak is tweeledig. Snowden is in zekere zin een mediahype. En zoals dat gaat bij mediahypes zakt de aandacht na een tijd weer weg. Maar er speelt ook iets wezenlijkers: het is voor veel mensen niet duidelijk waarom de artikelen over afluisteren en hacken belangrijk zijn. En dus haken ze op een bepaald moment af. De artikelen gaan vaak over wetten, samenwerkingen of incidenten, en te weinig over de achterliggende systematiek en de directe gevolgen voor burgers. Wat zegt het dat de NSA in 50.000 computersystemen is binnengedrongen als je je daar geen voorstelling van kunt maken? En ook de gevolgen (‘leidt tot privacyschendingen’) zijn vaak niet tastbaar. Voor wie? En hoe? En wat houdt dat concreet in?
Het is tijd voor een volgende stap. Ik moet nóg dichterbij zien te komen. Wat betekent het voor een samenleving als overheden en geheime diensten toegang hebben tot steeds meer data? Precies op dat moment krijg ik een mail van een vrouw die een ‘ervaring wil delen’. Soms is journalistiek gewoon geluk hebben.
*
Robin bestelt een cola light en vertelt verder. Maandenlang werkt ze de gesprekken uit van tientallen onwetende Nederlanders. Haar ongemak neemt steeds verder toe. Op een dag hoort ze iemand vanuit een auto een voicemail inspreken. Het gaat over een zakelijke deal. Ze schrikt. ‘Ik hoorde de stem van mijn ex-vriend, ik wist het zeker.’ Even denkt ze dat ze gek wordt, maar dan krijgt ze een overduidelijke bevestiging: in een volgend fragment belt hij een vrouw en gebruikt hij een koosnaampje dat hij ook voor haar gebruikte. Robin: ‘En dat is geen alledaags koosnaampje. Ik viel zowat van m’n stoel.’
Ze belt hem op. Ze wil weten of hij meewerkt aan dit project. ‘Zo naïef was ik kennelijk.’ Hij reageert onthutst. Eerst wil hij haar niet geloven, maar ze kan details geven uit de gesprekken die ze zojuist heeft gehoord. Gesprekken die een paar weken eerder plaatsvonden. Hij begrijpt het niet: nooit heeft hij iemand toestemming gegeven om mee te luisteren. Hij belt via Vodafone maar kan zich niet voorstellen dat zijn provider zomaar privécommunicatie doorspeelt aan een Australisch bedrijf.
Na deze ervaring stopt Robin met de vertaalklussen. Het zit haar niet lekker. Duizenden, zo niet tienduizenden privégesprekken heeft ze gehoord van mensen die daar niet van op de hoogte zijn. Ze piekert zich suf hoe dat kan. Ernaar vragen bij Appen durft ze niet: ze vertrouwt ze voor geen meter. Robin doet wat eigen onderzoek maar komt niet ver. Jaren laat ze het liggen, maar vergeten doet ze het niet — en als het NSA-afluisterschandaal begint, moet ze er iets mee doen.
Als ze mij bij De Wereld Draait Door ziet in een item over afluisteren, besluit ze een mail te sturen. Ik vraag haar tijdens ons gesprek om zo veel mogelijk details, om bewijzen dat ze écht bij Appen werkte en daarvoor ook betaald kreeg. Ze laat mails en rekeningafschriften zien. Ze geeft me het nummer van haar ex-vriend. Als ik hem bel, bevestigt hij Robins verhaal. Hoewel het inmiddels jaren geleden is, staat het hem nog helder voor de geest. Hij heeft nog altijd geen idee waarom juist hij is afgeluisterd.
Dit zijn twee hoogopgeleide mensen met een goede baan. Geen complotdenkers maar nuchtere personen die zorgvuldig formuleren. Ze hebben er geen enkel belang bij om de zaak te overdrijven: ze koesteren geen wrok tegen Appen, ze zijn vooral verbaasd. Ze vertellen erover omdat de gebeurtenis indruk maakt. In de maanden na onze afspraak op Schiphol hebben we geregeld contact. Ze stuurt me allerlei bewijzen door: de inschrijving bij het bedrijf, de vertaalopdrachten die ze deed, nieuwe opdrachten die binnenkomen. Ik kan het allemaal controleren en gebruiken, op voorwaarde dat ze anoniem blijven. Wat is hier in hemelsnaam aan de hand?
*
Doorgaans werkt het zo na het krijgen van een tip: je vraagt als journalist eerst de tipgever het hemd van het lijf en gaat vervolgens aan de slag met die informatie. Wat is er al bekend? Wie kan me er meer over vertellen? En hoe en waar is bevestiging te vinden voor het nieuws? Maar de nieuwe techniek maakt dit journalistieke onderzoekswerk anders. Tegenwoordig valt of staat een verhaal met de juiste interpretatie van hoe de techniek werkt.
Als de NSA-affaire uitbreekt, probeer ik uit te vinden waar buitenlandse geheime diensten in Nederland afluisteren. Een logische plek zou de AMS-IX zijn, het Prins Clausplein van het internet in Amsterdam. Iedere persoon die ik spreek, heeft een andere theorie. ‘Je moet nét buiten de datacentra kijken, dat is de makkelijkste plek om te tappen,’ zegt de een. ‘Ik zou zeker bij de kasten kijken waar de verbindingen worden gemaakt. Daar wil je zitten,’ zegt een ander.
Eén iemand weet te vertellen dat AMS-IX een perfecte afluisterplek zou zijn én dat het knooppunt al vroeg is overgegaan op apparatuur van het Amerikaanse Glimmerglass. Dat zou mogelijk een aanwijzing kunnen zijn. Dan zie ik een folder van Glimmerglass opduiken in de spyfiles — gelekte spionagedocumenten — van WikiLeaks. Daarin staat dat de apparatuur ook populair is bij Amerikaanse inlichtingendiensten. Hebbes. Totdat iemand me vertelt dat het gebruik van Glimmerglass op zich niets te betekenen heeft: het ligt eraan hoe de apparatuur is geïnstalleerd en wie er toegang toe heeft. Daarmee ben ik weer terug bij af.
Hoe ingewikkeld het is, blijkt als het gaat over de interpretatie van techniek. Of, in andere woorden: wat technologie kan. Want wat voor de een overduidelijk lijkt, hoeft dat voor een ander niet te zijn.
Zo schrijf ik een verhaal over een lek in besturingssysteem Android dat is ontdekt door onderzoekers van de Vrije Universiteit in Amsterdam. Miljoenen mensen gebruiken apparaten die op Android draaien, het is veel populairder dan iOS van Apple. Aan de Amsterdamse Boelelaan laat een onderzoeker van de VU me zien hoe hij binnenkomt: als hij toegang heeft tot iemands internetbrowser, kan hij diens Google-gebruikersnaam achterhalen. En omdat Google één gebruikersnaam hanteert voor allerlei applicaties — en dus ook voor de Android-telefoon — kan hij via de browser een app op de telefoon van het slachtoffer plaatsen. Vervolgens kan hij die app ongemerkt activeren om controle te krijgen over de telefoon. Daarna is alles mogelijk: camera aanzetten, apps vervangen door kwaadaardige versies, berichten onderscheppen, malware installeren. Op deze wijze kan hij zelfs iemands DigiD, ING Bankieren- en PayPal-account manipuleren.
Na publicatie krijg ik kritiek van deskundigen. Want hoe ‘makkelijk’ is het voor hackers om dit lek te misbruiken als onderzoekers al allerlei ingewikkelde stappen moeten zetten? Voor hen is het misschien niet zo ingewikkeld, maar voor hackers hoeft dat niet te gelden. En kun je het eigenlijk wel een lek noemen? Is het niet gewoon een kwetsbaarheid die samenhangt met de voorkeur van Google om één gebruikersnaam te hanteren voor alle services? Een woordvoerder van Google brengt ertegen in dat als een hacker iemands gebruikersnaam en wachtwoord heeft, je sowieso de klos bent. Dat is óók waar. En zo wordt het een definitiekwestie: wat voor de een evident een lek is, hoeft dat voor een ander niet te zijn.
Het wordt nog complexer als de techniek in handen is van geheime diensten. Berucht is een verhaal van persbureau Bloomberg dat claimt dat China middels chips ter grootte van een rijstkorrel bij minstens dertig grote Amerikaanse bedrijven zou spioneren. De chips zouden verstopt zijn in de printplaten van computerservers. ‘The Big Hack’ heet het artikel van Bloomberg, dat zich baseert op anonieme bronnen.
Het zou een gigantisch afluisterschandaal zijn, maar in de weken na de publicatie komen grote bedrijven als Apple en Amazon met opvallend harde ontkenningen. Volgens die bedrijven wijst niets erop dat het verhaal klopt. Onderzoekers hebben de printplaten eindeloos onderzocht en zijn nooit op geheime chips gestuit. Ook de Britse en Amerikaanse overheid weerspreken het verhaal van Bloomberg.
Als de NSA-documenten van Snowden in de openbaarheid komen, verschijnen de wildste afluisterverhalen. In verschillende Europese landen luisteren de Amerikanen op grote schaal het telefoonverkeer af, stellen media in Noorwegen, Spanje, Frankrijk. Maar klopt dat wel? Is het mogelijk om die conclusie te trekken op basis van de door Snowden gelekte data? De NSA-presentatie waarop de journalisten zich baseren — Boundless Informant — geeft geen definitieve antwoorden. Per land blijkt er een grafiek te bestaan met aantallen (voor Nederland 1,8 miljoen), het soort onderschepte informatie en welke techniek daarvoor is gebruikt. Nergens staat wie de communicatie onderschepte,
om welke communicatie het gaat en waar precies.
Na maanden blijkt dat niet de NSA, maar de Europese landen zélf de gesprekken afluisterden en vervolgens aan de NSA doorgaven. Veel media blijken een verkeerd beeld te hebben en zelfs minister Ronald Plasterk — die in Nederland verantwoordelijk is voor de AIVD — weet ondanks de informatie die hem ter beschikking staat niet hoe het in elkaar steekt: hij zegt in actualiteitenprogramma Nieuwsuur dat het waarschijnlijk is dat Amerikanen 1,8 miljoen telefoongesprekken van Nederlanders hebben onderschept. In werkelijkheid heeft de Nederlandse MIVD 1,8 miljoen telefoongesprekken in Somalië afgetapt en aan de NSA doorgegeven.
*
Soms duurt het jaren voordat echt duidelijk is hoe het zit. Er blijkt namelijk een veel groter verhaal schuil te gaan achter die 1,8 miljoen telefoongesprekken die door de MIVD zijn afgeluisterd.
Het lijkt op het eerste gezicht simpel: de MIVD onderschept in het Friese Burum met de bekende, witte schotels satellietcommunicatie. En als Nederland in 2012 meedoet aan een antipiraterijmissie voor de kust van Somalië, haalt de MIVD in Burum ook Somalisch telefoonverkeer uit de lucht. Het Midden-Oosten en Noord-Afrika vallen binnen het bereik van de Friese schotels. Sigint heet dit: signals intelligence. In normaal Nederlands: inlichtingen verzamelen uit signalen.
De MIVD erkent dat ze de telefoongesprekken verzamelde, dat ze over Somalië gaan én dat ze aan de NSA werden gegeven. Toch liep dit niet via Burum. Als de Nederlanders het commando voeren over de NAVO-missie voor de kust bij Somalië wil de MIVD, zo lees ik in een NSA-document, vóór de kust Somalisch telefoonverkeer afluisteren. ‘In het geheim werd een sigint-team op het Nederlandse schip HMS Rotterdam geplaatst’, staat er in de vertrouwelijke Amerikaanse presentatie. Daar is gespecialiseerde apparatuur en software voor nodig. En die heeft de MIVD niet. Kunnen de Amerikanen die spullen misschien leveren? vraagt de MIVD.
Het is oorlog maar niemand die het ziet Page 9