Zes jaar is verstreken tussen de paniek om het Beverwijkse certificatenbedrijf DigiNotar en het einde van de AIVD-spionage op het Rode Plein. In die zes jaar is de wereld er totaal anders uit gaan zien. In 2011 was Hyves nog groter dan Facebook, de dreiging van Bin Laden groter dan van welk digitaal leger ook en de smartphone nog slechts een geinig apparaat.
Destijds leek DigiNotar een ongelukkig incident, dat nooit meer zou plaatsvinden. Bij digitale dreiging kon niemand zich wat voorstellen. Er was nog geen Nationaal Cyber Security Center of een digitale eenheid van de AIVD en MIVD. CDA’er Piet-Hein Donner was een gezaghebbend jurist die het land probeerde gerust te stellen.
Zes jaar later is Hyves er niet meer, zijn de Amerikaanse techreuzen Apple, Google, Microsoft, Amazon en Facebook de machtigste bedrijven ter wereld, hebben Russische hackers zich succesvol gemengd in de Amerikaanse presidentsverkiezingen en doen we alles met de smartphone. Wie ’m per ongeluk thuis laat liggen, keert weer om.
De dreiging komt nu van alle kanten. Chinezen, Iraniërs, Amerikanen, Russen, Britten: ze spioneren allemaal. Ze stelen informatie en gebruiken die om samenlevingen te beïnvloeden. Het inmiddels opgerichte Nationaal Cyber Security Center groeit explosief en kent honderden medewerkers. Op grote schermen is te zien wanneer de Chinese werkdag begint: dan stijgen de grafieken die digitale aanvallen registreren. In 2015 en 2016 waarschuwen de AIVD en MIVD steeds luider: digitale spionage overspoelt Nederland. Brazilië, Vietnam, India: iedereen doet het.
Dat de dreiging anders is, merk ik zelf ook. Twee dagen voordat Eelco en ik publiceren over de jarenlange AIVD-spionage in Moskou, krijg ik om zeven uur ’s ochtends een sms-bericht van mijn telecomprovider. ‘Geregeld. U heeft de instellingen van uw VPN gewijzigd. We voeren de veranderingen zo snel mogelijk door.’
Ik vraag het meteen na bij de IT-afdeling van de Volkskrant. ‘Wij hebben niets veranderd in je verbinding,’ zegt een jongeman in T-shirt. Ik bel mijn telecomprovider. Daar kunnen ze de melding ook niet plaatsen. ‘Sorry, geen idee meneer.’ Tot slot bel ik een goede inlichtingenbron die ervaring heeft met digitale spionage. De bron schrikt: ‘Huib, dit is een rode lijn. Het tijdstip, zo vlak voor publicatie van een belangrijk verhaal, kan geen toeval zijn. Regel snel een nieuwe telefoon en nieuwe simkaart.’
Een maand eerder, toen ik terugkwam uit Washington en het AIVD-verhaal bijna rond was, had mijn router het thuis begeven. Geen signaal meer, zo dood als een pier — net als die keer voordat ik naar Rio de Janeiro zou gaan. Ik dacht toen dat het toeval was. Maar nu het sms-bericht binnenkomt, ben ik daar niet meer zo zeker van.
Ik probeer te bedenken of er een verband is tussen de twee gebeurtenissen. Voor de zekerheid laat ik de router achter bij een digitale specialist. De telefoon is zorgelijker: als iemand daadwerkelijk knoeit met mijn telefoonverbinding is er een direct probleem. Dan zijn mijn gesprekken en berichten niet meer veilig. Het ongemakkelijke is dat ik de dreiging niet in de ogen kan kijken. Ik heb geen idee waar het gevaar vandaan komt.
Het zou de Britse of Amerikaanse dienst kunnen zijn. Misschien de Russische. Of toch de AIVD. Bronnen denken dat de Nederlandse dienst bijzonder nerveus zal zijn als we het verhaal gaan publiceren. De geheime dienst wil niet dat hun werkwijze op straat komt te liggen. Dat het over ‘hacken’ gaat, maakt het nog eens extra gevoelig: hacken is een geheim wapen van de AIVD, waar de dienst zich al jaren geleden in heeft bekwaamd. Ook is ‘Zoetermeer’ bang voor een Russische tegenreactie: als zwart-op-wit staat dat de AIVD drie jaar lang kon meekijken bij een van de bekendste Russische hackgroeps, dan is dat groot nieuws. En bovendien een publieke afgang voor de Russen — die structureel het bestaan van dit soort hackgroepen ontkennen. De Russische overheid wil zich nog weleens revancheren of zich fysiek laten gelden. Denk aan de molestatie van de Nederlandse diplomaat Onno Elderenbosch in Moskou na een politieke rel met Nederland. Elderenbosch werd in zijn woning vastgebonden en zijn huis werd overhoopgehaald.
Als Eelco en ik op donderdag 25 januari 2018 om negen uur ’s avonds ons verhaal publiceren, gaat het razendsnel de wereld over. De internationale context is relevant: de Nederlandse waarschuwingen aan de Amerikanen zijn een reden voor de FBI om het onderzoek naar Russische inmenging te openen. Voor het eerst is ook duidelijk waar de Amerikaanse diensten hun stelligheid over de betrokkenheid van het Kremlin bij de beïnvloeding vandaan hebben: uit Zoetermeer. Alle grote internationale media nemen het bericht over, de aandacht is overweldigend. Als ik de volgende ochtend mijn telefoon aanzet, hapert het apparaat vanwege alle berichten, mails en meldingen.
Niet iedereen is opgetogen. Bij het ministerie van Algemene Zaken ‘staan de vlekken in de nek’, vertelt een bron. Er is angst voor een Russische tegenreactie. Onze bronnen voelen zich niet veilig. Sommigen kan ik wekenlang niet bereiken. Eén iemand durft uit angst maandenlang niet af te spreken. Van een politiebron hoor ik dat het Team High Tech Crime mediacontacten verbiedt. Politiemedewerkers krijgen te horen dat ze voorlopig niet met media mogen afspreken, zeker niet met de Volkskrant of Nieuwsuur.
Na de publicatie opent de geheime dienst een intern veiligheidsonderzoek naar het lek. De AIVD probeert na te gaan wie er heeft gepraat: op het lekken van staatsgeheimen staan hoge straffen. AIVD-onderzoekers bellen en spreken medewerkers en oud-medewerkers van de dienst. Het interne onderzoek levert uiteindelijk te weinig aanknopingspunten op. De conclusie is dat niemand bij de AIVD heeft gelekt en dat de staatsgeheime informatie uit het buitenland moet zijn gekomen.
Ik probeer te achterhalen wat er met mijn telefoon is gebeurd. Ik heb een vrij nieuwe iPhone die ik update zodra het mogelijk is. Zo’n iPhone hacken kan ook de AIVD niet zomaar. Daarvoor heeft een geheime dienst een gat in de software nodig. Hoe nieuwer de telefoon en het besturingssysteem, des te moeilijker en duurder dat is. Voor een nog niet ontdekte kwetsbaarheid in het nieuwe besturingssysteem van een iPhone betalen geheime diensten met gemak een miljoen euro. Een bedrag dat een dienst misschien overheeft voor een belangrijke terrorist, maar niet voor een journalist.
Hacken is niet aan de orde. In het sms-bericht staat iets over een ‘VPN-verbinding’. Daarmee wordt waarschijnlijk de verbinding van mijn telecomprovider bedoeld. Zoals bij Belgacom al bleek, gebruiken providers steeds vaker VPN-verbindingen. Geheime diensten zoeken naar mogelijkheden om die te kraken. Probeert een geheime dienst door te rommelen met de VPN-verbinding mijn telefoonverkeer binnen te halen? En welke geheime dienst?
*
Met zijn vuist slaat de Russische miljonair op de zes meter lange vergadertafel. Zijn hoofd schiet naar voren en zijn bruine ogen kijken ons woedend aan. De 36-jarige Aleksej Goebarev heeft zich twintig minuten ingehouden. In het Engels blaft hij nu: ‘Ik heb nul komma nul contact met Russische veiligheidsdiensten. Ik praat met niemand. Nooit.’ Dan zakt hij weer terug in zijn stoel.
De gedrongen Goebarev heeft net — hand in de broekzak van een blauw linnen pak — zijn kantoorpand aan Volkskrant-collega Tom Kreling en mij laten zien. Een grijze blokkendoos van een paar verdiepingen hoog aan een rommelige, drukke weg in de Cypriotische kustplaats Limassol waar deze zaterdag in januari 2017 verder niemand aanwezig is. In rap tempo liep hij erdoorheen en wees hij kordaat naar de zitzakken, houten draken en spelcomputers — alsof hij met het tonen van zijn relikwieën onze vervelende vragen kon afwimpelen.
Goebarev was op mijn radar gekomen dankzij een journalist van The Wall Street Journal. Deze Amerikaanse collega was met kerst naar Amsterdam gevlogen omdat hij een explosief dossier in handen had gekregen: een rapport van een Britse oud-spion over Donald Trump en zijn contacten met Rusland. Het rapport staat bol van de spectaculaire informatie — het Kremlin zou een video hebben van Trump die kijkt hoe prostituees urineren op een bed in een hotel in Moskou — inclusief een opzienbarende alinea over het Nederlandse internetbedrijf Webzilla.
Webzilla en zijn eigenaar Goebarev zouden de Russische hacks van de Democratische Partij hebben gefaciliteerd: de aanval zou via het netwerk van Webzilla zijn gegaan. Goebarev zou er persoonlijk van hebben geweten, hij zou niets minder dan een spion voor de Russische veiligheidsdienst FSB
zijn. Omdat de Amerikaanse journalist weinig aanknopingspunten kon vinden voor alle theorieën in het rapport was hij naar Nederland gevlogen en had hij bij de Volkskrant aangeklopt. Zo kwamen we met elkaar in contact.
Ik had net het idee dat ik digitale spionage een beetje begon te begrijpen. Of het nou de Britse spionage bij Belgacom was of de Chinese spionage in Ede: de manier van spioneren vertoonde parallellen. Eerst met een truc binnenkomen — vaak via een phishing mail, dan een virus naar binnen brengen en vervolgens de informatie stelen. Voor de rol van eventuele tussenbedrijven had ik nauwelijks oog gehad. En nu tref ik een Amerikaanse journalist met een rapport waarin staat dat een Nederlands bedrijf de Russen heeft geholpen met het hacken van Amerikanen.
Hostingproviders, zoals Webzilla, leveren twee diensten: opslag en transport. Het zijn de opslagplaatsen en verkeersknooppunten van het internet. Zoals bij fysieke opslagboxen kun je er ruimte huren. Je stopt er alleen geen meubels of verhuisspullen in maar documenten en e-mails. De andere functie is transport: je leidt er, zoals bij een fysiek knooppunt, verkeer vandaan en naartoe. Ieder bedrijf heeft computerservers nodig om e-mails te versturen of op te slaan en om documenten en informatie te bewaren. Ook voor een website is het huren van computerruimte nodig: datapakketjes moeten naar jouw website kunnen komen.
Zonder hostingproviders geen internet. Ze zijn er in allerlei soorten en maten. Bekend is Leaseweb, een vrij grote Nederlandse aanbieder. Onbekender zijn bijvoorbeeld Worldstream, King Server en Webzilla. Webzilla is een geval apart: het begint zonder eigen computerservers. Die huurt Goebarev hoofdzakelijk bij Leaseweb, waarna hij die serverruimte weer verhuurt aan eigen klanten. De kracht van Goebarev is dat hij zijn klanten alle zorgen uit handen neemt: hij biedt niet alleen de computerservers maar ook onderhoud en service. Hij heeft in datacentra altijd technisch experts klaarstaan om storingen te verhelpen. In de analogie met een snelweg: Goebarev biedt niet alleen een mooie asfaltweg, maar doet ook de wegenwacht. Hij belooft storingen binnen 15 minuten op te lossen.
Voor Goebarev is het een lucratieve business; zijn bedrijf groeit als kool en heeft in 2016 een omzet van 50 miljoen dollar. Zijn klanten, met wie hij persoonlijke contacten onderhoudt, komen vooral uit Oost-Europa en Rusland. Wat zij met de serverruimte doen, is aan hen: net zoals een klant zelf mag weten wat hij in een opslagbox bewaart. Een verhuurder heeft daar niets over te zeggen. Maar wat als er permanent crimineel internetverkeer via die computerservers gaat? Kan de verhuurder zich dan nog onttrekken aan zijn verantwoordelijkheid? Wat als er altijd wapens in de opslagboxen van één specifiek bedrijf worden gevonden?
Hier begint het onderscheid tussen hostingproviders. Sommige — zoals Leaseweb — hadden voorheen een bedenkelijke reputatie. Ze controleerden nauwelijks wie computerservers huurden en wat die klanten ermee deden. Spamaanvallen of kinderporno gingen vóór 2007 regelmatig via de servers van Leaseweb. Vanaf 2007 nam Leaseweb werknemers aan die misbruik gingen bestrijden. De politie kreeg een aanspreekpunt bij het bedrijf en kon verzoeken om computerservers te onderzoeken of Leaseweb bevelen de toegang tot gegevens af te sluiten.
Inmiddels werkt Leaseweb, waar jarenlang het Europese internetverkeer van pornosite PornHub naartoe ging en dat ook het chiquere Heineken als klant heeft, goed samen met de politie. In het datacenter buiten Haarlem staat altijd een oude Dell-server met tapsoftware van het bedrijf IDD. Als de politie wil tappen hoeft ze alleen maar een rechterlijke machtiging te overhandigen en het tappen kan beginnen.
Probleem is: hoe is te achterhalen welke klant misbruik maakt van gehuurde servers? Een hostingprovider mag volgens de wet niet in een computerserver kijken. Een opslagloods zal ook geen camera’s in de boxen van klanten hangen. Daarom proberen overheden steeds meer op de hoogte te zijn van het verkeer dat door providers gaat. En dat is niet zonder risico’s.
Een incident in 2012 toont wat er op het spel staat. Een Nijmeegse anarchistische club zet rond Koninginnedag een festivalposter online met de titel ‘Hang the Queen’. De politie ziet het iets na middernacht. Een uur later al belt een officier van justitie naar Leaseweb: de website waarop de poster staat, ‘draait’ bij Leaseweb en moet onmiddellijk offline.
De Leaseweb-medewerker weigert. Iedereen kan wel zeggen dat hij iets offline wil; eerst wil hij een gemotiveerd bevel zien. Dat volgt de volgende dag om vijf uur ’s middags, waarna de website twee uur later offline gaat. Die rompslomp willen autoriteiten vermijden. In december 2018 schrijft minister Ferdinand Grapperhaus (Justitie) dat hij bestuurlijke dwang wil toepassen tegen hostingproviders die niet binnen 24 uur kinderpornomateriaal van internet halen.
In Europa geldt een vergelijkbare maatregel voor terroristisch materiaal. De angst van privacyvoorvechters en hostingproviders is dat Europa en de Nederlandse overheid de bestuurlijke dwang zullen uitbreiden en ook gaan gebruiken voor bijvoorbeeld haatzaaien, opruiing en nepnieuws. Of voor een onwelgevallige tekst over de koning. Daarmee zou de overheid een machtig instrument tot censuur in handen krijgen: een provider mag een verwijderverzoek immers niet weigeren.
Op allerlei manieren proberen overheden hun greep op internet te verstevigen. De Amerikaanse FBI meldt zich in 2013 met een half miljoen dollar bij Leaseweb. De Amerikanen willen in ruil daarvoor een ‘black box’ installeren waarmee de FBI altijd toegang krijgt tot de computerservers van Leaseweb. Het Nederlandse bedrijf bedankt voor het aanbod. In maart 2019 neemt het Europese Parlement het omstreden Artikel 17 aan: veel van wat internetgebruikers online willen zetten op bijvoorbeeld Facebook of YouTube gaat voortaan langs een filter om te kijken of het geen inbreuk maakt op het auteursrecht. Privacyvoorvechters zoals de stichting Bits of Freedom vrezen dat hiermee de deur wordt opengezet naar de normalisering van internetcensuur.
Er is ook een andere kant: sommige hostingproviders houden zich moedwillig doof voor autoriteiten. Of maken er een verdienmodel van om foute klanten aan te trekken. Berucht is het Nederlandse Ecatel — dat in 2010 de dubieuze titel ‘favoriete provider voor cybercriminelen’ krijgt van het onafhankelijke HostExploit. De twee eigenaren van Ecatel reageren volgens overheidsbronnen nauwelijks of traag op verzoeken om computerservers te onderzoeken of af te sluiten. In 2018 vordert een rechter dat Ecatel illegale streams van wedstrijden uit de Engelse Premier League 30 minuten na een melding moet afsluiten.
En Webzilla? In welke categorie valt het hostingbedrijf van Goebarev in zijn blauw linnen pak? Is het meer Leaseweb of meer Ecatel? Opzienbarend is dat het miljoenenbedrijf in het verleden geregistreerd stond op nogal vreemde postadressen. Zoals een uitgewoond huisje op recreatiepark Country Club Midland Parc in het Amersfoortse bos, waarvan de eigenaresse een bejaarde mevrouw uit Emmen is. Of op een inmiddels dichtgetimmerde woning nabij een achterstandswijk in Amersfoort. Of op het adres van een medewerker van een verpakkingsbedrijf voor de tuinbouw, die nog nooit van Webzilla heeft gehoord. Waarom zou een professioneel bedrijf dit soort postadressen hanteren?
Er zijn meer vragen. Waarom ging Goebarev op 22-jarige leeftijd naar Cyprus, terwijl hij zijn opleiding aan de technische universiteit in Siberië nog niet had afgemaakt? Waarom koos hij Cyprus als locatie voor het hoofdkantoor van moederbedrijf XBT, een eiland voor de kust van Turkije waar het wemelt van de spionnen en dat bekendstaat als een paradijs voor inventieve belastingconstructies? Waarom onderhoudt hij persoonlijk contact met klanten en laat hij dat niet over aan zijn medewerkers? Waarom vergaart hij in tien jaar een fortuin met zijn bedrijf terwijl de winstmarges bij hostingproviders niet zo groot zijn? Waarom rijdt hij rond in een witte Rolls-Royce Ghost of zit hij op zijn 25 meter lange jacht?
*
Mail van Jochem Steman, de rechterhand van Goebarev. ‘Wij willen de harde afspraak maken — en ook vastleggen — dat er geen publicatie kan zijn voor onze instemming.’ Tom Kreling en ik zitten in de hotellobby in Limassol en bespreken de vragen die we straks aan Goebarev willen stellen.
Maar eerst meldt de Nederlander Steman zich in onze mail. Hij is chief commercial officer van Webzilla en fungeert tevens als pitbull voor zijn baas: vlak voor het gesprek met Goebarev komt hij met verregaande voor
waarden. Hij wil een veto kunnen uitspreken over de tekst en hij eist dat wij over niets anders schrijven dan over Webzilla. Na een paar keer bellen en mailen, waarbij we proberen uit te leggen dat journalistieke vrijheid net iets anders werkt, laat Steman die eisen vlak voor het interview toch weer vallen.
Om kwart voor elf in de ochtend nemen we de huurauto en rijden richting het kantoor van XBT Holding, waar Goebarev en Steman ons op zullen wachten. Ik heb bij allerlei bronnen in de inlichtingenwereld geprobeerd informatie te krijgen over Webzilla. Als het waar is dat zo’n cruciale schakel in het internet aanvallen op westerse organisaties mogelijk maakt, zou er toch ergens een belletje moeten gaan rinkelen. Het is in wezen hetzelfde als een moskee die heimelijk terrorisme financiert: net zo’n bedreiging voor de veiligheid en net zo onwenselijk. Maar wie ik ook bel — politiebronnen, inlichtingenbronnen, technisch experts — niemand blijkt antwoorden te hebben. Ze zoeken naar woorden om duidelijk te maken dat ze het niet weten.
Dat is toch gek. Webzilla huurt voor ongeveer 15 miljoen euro per jaar duizenden computerservers in Haarlem en verhuurt die door aan klanten in Oost-Europa en Rusland. Niemand lijkt te weten wát er via de servers van Webzilla gaat. Hoe kan dat? Hoe zit het bijvoorbeeld met het Nationaal Cyber Security Center, de organisatie die Nederland digitaal veilig moet houden en is ondergebracht bij het ministerie van Justitie en Veiligheid? Wat weten zij van Webzilla? Ik snap dat het onwenselijk is om zomaar een bedrijf binnen te stappen en in computerservers te gaan neuzen, maar wat nou als er sprake is van moedwillige sabotage door Webzilla?
Het is oorlog maar niemand die het ziet Page 19