Een ander voorbeeld is het dubieuze Nederlandse King Servers. De eigenaar is een 26-jarige Rus die in het westen van Siberië woont, vlak bij de grens met Mongolië. Hij huurt zo’n duizend computerservers op een industrieterrein in het Nederlandse Dronten, die hij weer verhuurt aan klanten die voornamelijk pornowebsites aanbieden.
King Servers heeft een slechte naam: veel kinderporno, malware, digitale aanvallen. Als de Nederlandse politie iets kwalijks ontdekt, stapt zij met een bevel naar King Servers, waarna het maar afwachten is of de Rus in de wildernis van Siberië bereid is om de huurovereenkomst met de desbetreffende klant op te zeggen. Veel meer dan een vriendelijk verzoek kan de politie niet doen; bij Rusland aankloppen heeft niet zoveel zin. Het land levert geen onderdanen uit.
Als Russische hackers in de zomer van 2016 stemcomputers in Arizona en Illinois aanvallen, concludeert de FBI dat zes van de acht gebruikte ip-adressen van King Servers zijn. Toeval? Het blijkt ongelooflijk ingewikkeld om de precieze betrokkenheid van King Servers helder te krijgen: hackers kunnen verschillende servers huren, ze kunnen een VPN-verbinding gebruiken, het anonieme Tor-netwerk, waarna ze misschien toevallig via King Servers gaan of ze besteden hun activiteiten uit aan criminelen die weer hun eigen servers hebben. Concluderen dat als een aanval via King Servers gaat, King Servers ook heeft meegeholpen, is je op glad ijs begeven: het kan, maar het kan net zo goed écht toeval zijn. Rijkswaterstaat weet ook niet op elk moment van de dag wie er over de Nederlandse wegen rijden. Het verweer van bedrijven als King Servers en Webzilla: wij zijn net als de post, we brengen pakketjes van A naar B en mogen de brieven niet openen. Wij weten dus niet wat er via onze servers gaat.
Waarschijnlijk is dat de reden waarom mijn bronnen niets van Webzilla weten: internetverkeer is grillig en moeilijk te doorgronden. Criminelen en staatshackers maken daar misbruik van. Nederland, met zijn vele datacentra en belangrijke verbindingen naar de rest van de wereld, is daarom extra kwetsbaar. De snelle netwerken die Nederlanders gebruiken om te delen, werken en appen, gebruiken anderen om te spioneren en aan te vallen.
Als ik vraag hoe het Nationaal Cyber Security Center voorkomt dat een buitenlandse overheid controle krijgt over een hostingprovider, ontvang ik een teleurstellend antwoord. Het NCSC, dat bijdraagt aan een ‘veilige, open en stabiele informatiesamenleving’, houdt zich niet bezig met hostingproviders. Hoewel die de kern vormen van het internet staan hostingproviders evenmin op de lijst van ‘vitale infrastructuur’ — plekken die als ze uitvallen grote maatschappelijke schade veroorzaken.
Zelfregulering is zoals vaker de Hollandse oplossing. Telecomwaakhond OPTA en de Nederlandse politie proberen hostingproviders op hun verantwoordelijkheid aan te spreken. Maar hoe doe je dat als de eigenaren zich uitschrijven uit Nederland (Ecatel), in Rusland wonen (King Servers) of zich op Cyprus vestigen (Webzilla)?
In tegenstelling tot Webzilla staat antivirusbedrijf Kaspersky inmiddels vol in de schijnwerpers. De Amerikanen wantrouwen het Russische bedrijf — zeker nadat spionagedocumenten van de computer van een NSA-medewerker verdwijnen en in handen van Russische spionnen vallen. Op de computer draaide software van Kaspersky. Dat kan geen toeval zijn, zeggen de Amerikanen. En prompt verschijnen berichten in Amerikaanse media dat de antivirussoftware een geweldig spionagemiddel voor de Russen is: het kan op miljoenen computers automatisch op zoek gaan naar geheime documenten die zo in het bezit komen van Rusland.
*
Ook de AIVD heeft Kaspersky in het vizier. Na de gezamenlijke operatie met de CIA in het Amsterdamse hotel zijn de zorgen niet afgenomen.
Israël is binnengedrongen bij Kaspersky en heeft gezien dat Russische hackers computers waarop Kaspersky draait gebruiken om te zoeken naar geheime documenten. De AIVD wil nu met eigen ogen zien of het bedrijf een risico vormt. Vele lokale overheden en telecomprovider KPN gebruiken de antivirussoftware.
Dus gaat de Nederlandse dienst op zoek naar een plek om mee te kijken. Die plek is een bekend datacenter net buiten Haarlem. Kaspersky huurt bij Leaseweb computerservers zodat klanten hun antivirussoftware kunnen updaten. De informatie die klanten ‘ophalen’ als ze Kaspersky updaten komt uit het datacenter in de Waarderpolder.
De AIVD, vertellen bronnen, wil weten wie bij die updateservers kunnen. De antivirussoftware is goed en robuust, maar de dienst is wantrouwig over de Russische link. Over een brede linie vallen Russische spionnen Nederland aan. Gemeenten en ministeries liggen voortdurend onder vuur. Hackers van Cozy Bear bestoken begin 2017 ook het ministerie van Algemene Zaken — waar de werkkamer van de premier is. Met slim opgstelde mailtjes als lokaas proberen ze ambtenaren naar valse websites te lokken. Het lukt ze uiteindelijk niet tot het interne computersysteem van Algemene Zaken te komen.
Zouden de Russische spionnen, die goed op de hoogte zijn van hun Nederlandse doelwitten, hulp krijgen van Kaspersky? Een theorie van de AIVD: Russische medewerkers van Kaspersky kunnen bij de updateservers in Haarlem en daardoor is er een lijntje van Nederland naar Rusland. Wat gebeurt daarmee? Gebruiken Russische spionnen die toegang en voegen ze eigen software aan de updates toe? Is via de updateservers informatie over Nederlandse klanten te krijgen waar Russen iets mee kunnen?
Een technisch medewerker van de AIVD gaat in januari 2015 naar het datacenter in Haarlem voor een precaire operatie: meekijken zonder dat Kaspersky iets doorheeft. Een hackoperatie om duidelijkheid te krijgen. De AIVD kiest het Russische Nieuwjaar om naar binnen te gaan. Dan letten de Russen waarschijnlijk wat minder op, is de gedachte. Om fysiek toegang te kunnen krijgen tot een computerserver is het nodig even met het apparaat te rommelen. De AIVD wil zeker weten dat er geen pottenkijkers zijn. De specialist van de AIVD is anderhalf uur bezig en loopt dan vlug het terrein weer af.
Wat de operatie precies oplevert is onduidelijk. Maar bronnen laten blijken dat de AIVD eigen inlichtingen over Kaspersky heeft, maar geen concrete verdenkingen van spionage. Des te opvallender is dat het kabinet enkele jaren later besluit tot een verbod op de antivirussoftware bij de Rijksoverheid. Dat verbod komt er nadat de Amerikanen Kaspersky in de ban doen. Heeft Nederland dan toch aanwijzingen dat Kaspersky spioneert? Bronnen vertellen over de beslissing. Als die op hoog ambtelijk niveau besproken wordt en de terrorismecoördinator een knoop door moet hakken, blijkt de AIVD desgevraagd geen belastende inlichtingen over Kaspersky te kunnen leveren. Het kabinet en de NCTV nemen het besluit vooral als voorzorgsmaatregel.
De zaak toont hoe tussenbedrijven slachtoffer kunnen worden van de escalerende digitale strijd. Kaspersky heeft één grote zwakke plek: het hoofdkantoor staat in Moskou. En dat zorgt voor wilde theorieën. De directeur van Kaspersky heeft vroeger een opleiding bij de beruchte KGB gehad, dus zal hij wel voor de Russische veiligheidsdienst werken. Dat hij een KGB-opleiding deed klopt, maar Kaspersky is pas jaren daarna opgericht. Een verband is er niet. De twintigjarige zoon van directeur Eugene Kaspersky werd eens ontvoerd en na een paar dagen bevrijd door veiligheidsdienst FSB. De gijzelaars gingen bijzonder knullig te werk. Typische actie van een Russische veiligheidsdienst, zeggen sceptici, met een valse gijzeling even de directeur onder druk zetten. Voor die claim is geen enkel bewijs.
Kaspersky, zeggen Amerikaanse juristen, valt onder specifieke Russische wetgeving waardoor het bedrijf verplicht is data over klanten af te staan aan Russische veiligheidsdiensten en die te laten meekijken in systemen. Kaspersky en internationale juristen weerspreken dat: die specifieke wetgeving is niet op het bedrijf van toepassing. Wel helpt Kaspersky — in Rusland en daarbuiten — opsporingsdiensten mee in het tegengaan van digitale criminaliteit. Zoals ook FOX-IT in Nederland dat doet. Of Mandiant in de Verenigde Staten.
Het Nederlandse verbod wordt niet gevolgd door andere Europese landen zoals Frankrijk, België en Duitsland. Zouden zij met Kaspersky blijven werken als westerse diensten harde bewijzen hebben dat het bedrijf meewerkt aan Russische spionage? Ook KPN besluit het Nederlandse overheidsverbod te negeren: technici van dat bedrijf blijven erbij dat Kaspersky de beste bescherming biedt. Het risico op spionage beperken ze door de antivirussoftware geen verbinding te laten maken met ex
terne servers; Kaspersky wordt als het ware ingekapseld in het KPN-netwerk.
Het heeft iets ironisch: Kaspersky beschermt computers tegen spionageaanvallen, maar wordt verbannen als de strijd intensiveert.
Wat is de positie van Goebarev in dit conflict? Hoe verklaart hij de vele spionagevirussen die via zijn computerservers gaan? Wat weet hij van zijn klanten?
*
Aleksej Goebarev loopt driftig door het verlaten kantoorpand totdat hij bij zijn werkkamer komt. Een schilderij van een gouden draak, dat hij van een zakenrelatie kreeg, siert de wand. Midden in de kamer staat een fitnessbank met gewichten, daarnaast een platenspeler, met aan de zijkant een stapel lp’s van Michael Jackson. ‘Ik heb alles van hem,’ zegt Goebarev emotieloos. Daarna loopt hij door naar de aangrenzende vergaderruimte en gaat aan het hoofd van de tafel zitten.
Goebarev — verre neef van de gelijknamige overleden Russische astronaut en volksheld — werd geboren in de Siberische stad Oest-Ilimsk. Daar kapte zijn vader vijfduizend meter hout per maand en verkocht dat aan Japan en China. Na zijn middelbare school begon Goebarev een studie wiskunde aan de beroemde universiteit van Novosibirsk. De studie maakte hij niet af omdat zijn vrouw zwanger raakte en hij op z’n twintigste vader werd.
Om zijn gezin te onderhouden werd hij consultant in de ‘internetbusiness’, wat leidde tot de oprichting van zijn eigen bedrijf op Cyprus. Waarom daar? ‘Omdat ik het in Moskou niet kon betalen.’ Toen hij er eenmaal was, zag hij dat het eiland helemaal geen slechte plaats is om te leven. ‘Ik kreeg hier een lening tegen maar 6 procent, kocht een huis en verhuisde mijn gezin hierheen.’ Zo simpel was het.
Hij vindt het absurd dat mensen aan hem twijfelen. Een jonge Rus die in tien jaar tijd een miljoenenbedrijf heeft opgebouwd met een relatief eenvoudig product. Wat is daar opmerkelijk aan, vraagt Goebarev kwaad. ‘Ik heb dit bedrijf zelf van de grond af opgebouwd. Mijn concurrenten zijn gewoon niet goed genoeg.’
We stellen onze vragen. Jochem Steman — grote ogen, strak achterovergekamd haar — schudt af en toe demonstratief zijn hoofd. Alsof hij het onbegrijpelijk vindt dat journalisten twijfelen aan de oprechtheid van zijn baas. Klopt het dat Goebarev ál het contact met zijn klanten, een imposant aantal, zelf onderhoudt? Goebarev: ‘Mensen vertrouwen mij.’
Zou het kunnen dat hij onbewust heeft meegewerkt aan de Russische aanvallen op de Democratische Partij? Goebarev schudt zijn hoofd. ‘Bij ons betaal je met creditcard of een bankoverschrijving. Elke transactie met een klant staat op papier.’ Heeft hij recentelijk gekeken of er misschien vreemd dataverkeer via zijn servers is gegaan? ‘Nee. Het mag niet eens. Ik heb 37.000 servers wereldwijd. Wij mogen daar van de wet niet bij.’
Na een klein uur schudden we Goebarev de hand, pakken onze notitieblokjes in en lopen voor hem uit naar de lift. Daar nemen we afscheid. Even later lopen Tom en ik via de achteruitgang naar buiten. Kort kijken we elkaar aan. Overtuigd van zijn onschuld zijn we niet, maar het tegendeel bewijzen kunnen we evenmin.
Twee jaar na dit gesprek — als Goebarev naar de achtergrond is verdwenen — wijst een Amerikaanse journalist me op een rapport van een voormalig digitaal specialist van de FBI. In een lopende rechtszaak is de FBI-agent op zoek gegaan naar informatie over Goebarevs bedrijven.
De servers van Goebarev, zo laat het veertig pagina’s tellende rapport zien, worden geregeld door Russische criminelen gebruikt. Ook aanvallen van Russische hackers van Fancy Bear en Cozy Bear gaan via Goebarevs bedrijven. Goebarev heeft 400.000 klachten ontvangen over kwaadaardig internetverkeer dat via zijn servers gaat. Hij heeft daar nauwelijks op gereageerd. Hij verhuurt met gemak duizend computerservers aan partijen zonder dat hij weet wat de huurders ermee doen.
Er gaan zoveel criminele internetaanvallen via zijn servers dat kenners verrast zijn. ‘De omvang van cybercrime is te groot om het nog toeval te noemen,’ vertelt iemand die zelf bij een hostingbedrijf werkt en het rapport heeft gelezen. ‘Het aantrekken van criminelen en overheidshackers lijkt bij Goebarev een bedrijfsstrategie.’ Bij RIPE, de non-gouvermentele organisatie die internetruimte uitgeeft, zorgt het rapport voor verontwaardiging. Webzilla en al zijn dochterbedrijven faciliteren illegale hackactiviteiten, luidt de conclusie. ‘Onze gemeenschap,’ foetert een lid van de RIPE-commissie die misbruik tegen moet gaan in een mailwisseling, ‘heeft een duidelijk en evident probleem dat “zelfregulering” niet gaat oplossen.’
Ik lees het rapport van de FBI’er met verbazing. Er blijkt overduidelijk uit dat een Nederlands bedrijf bij illegale hackactiviteiten een oogje dichtknijpt. Datzelfde bedrijf heeft inmiddels een eigen datacenter laten bouwen in Amsterdam-Zuidoost en zal nóg meer computerservers gaan verhuren. Er valt kennelijk niets tegen te doen. Goebarev wordt alleen maar rijker, de aanvallen blijven onverminderd via zijn computerservers lopen.
Nu kun je je afvragen wat je daar als argeloze burger van merkt. Hoe erg is het als een samenleving kwetsbaarder wordt doordat criminelen en staten ongemerkt kunnen toeslaan? In het voorjaar van 2017 volgt het antwoord.
11
Vissen met dynamiet
René de Vries stuurt zijn marineblauwe Tesla over de A13 richting Rotterdam als hij een WhatsApp-bericht van een collega krijgt. De 56-jarige havenmeester is op weg naar het World Port Center, het zenuwcentrum van het havenbedrijf. Er zijn problemen in de haven bij terminalbedrijf APM, leest hij op zijn telefoon.
De Vries kan het bericht niet meteen plaatsen. Natuurlijk kent hij APM, een bedrijf met een winst van 4 miljard dollar per jaar. Op de Eerste en Tweede Maasvlakte heeft het een eigen terminal: een aanlegplek waar de grootste containerschepen ter wereld aanmeren. APM zorgt er met gigantische blauwe kranen voor dat de containers van het schip naar de juiste vrachtwagens gaan.
Amper een minuut later gaat De Vries’ telefoon. Het is een medewerker van Maersk, eigenaar van APM. ‘Niets doet het meer,’ zegt de man. ‘Camera’s, kranen, slagbomen: alles is out of order.’
De Vries laat de boodschap op zich inwerken terwijl hij de parkeergarage van het Rotterdamse havenbedrijf binnenrijdt, pal naast de Erasmusbrug. Hij schiet de lift in en drukt op de knop voor de negentiende verdieping. Daar huist, met uitzicht over Rotterdam, de ‘incidentenkamer’ van het havencentrum.
De manager vertelt De Vries dat hij geen schepen meer kan toelaten omdat beide terminals van APM platliggen. Vanuit het havengebouw zijn de terminals, veertig kilometer verderop, nauwelijks te zien. Op de computerschermen is het des te duidelijker: er is geen scheepverkeer mogelijk in de Europahaven, bij Hoek van Holland vult de zee zich met stippen — iedere stip is een wachtend schip.
De Vries kijkt om zich heen: een kantoorruimte vol schermen, telefoons en laptops waar vijftien mensen druk aan het bellen zijn. De Rotterdamse korpschef Frank Paauw wordt geïnformeerd, net als burgemeester Achmed Aboutaleb.
Een patrouilleboot van het Havenbedrijf haast zich naar de Maasvlakte. Ook de douane gaat kijken. Er staat voor miljarden euro’s aan ladingen die nergens heen kunnen op de wal. Het wordt bovendien snel drukker op de N15, de belangrijkste toegangsweg naar de haven. Tientallen vrachtwagens komen vast te staan: ze kunnen het haventerrein niet op.
In de incidentenkamer zien ze dat inmiddels drie van de vijf Rotterdamse terminals compleet stilliggen. Is het een stroomstoring? Of is dit een aanval? schiet door het hoofd van De Vries. ‘Gaat er straks geplunderd worden?’ vraagt een van de aanwezigen zich vertwijfeld af.
De Vries denkt vooral aan de containers die nergens naartoe kunnen. De zomercollectie van een winkel kan erin zitten. Nieuwe telefoons of laptops. Maar veel erger: bederfelijke waar als groente en fruit. De meeste spullen moeten verder Europa in.
René de Vries is een ervaren politieman. Hij heeft allerlei soorten incidenten meegemaakt. Steekpartijen, op heterdaad betrapte dieven en bedreigingen. Maar op dinsdag 27 juni 2017 heeft hij geen idee wat er gebeurt. Een brand op een schip of een lek van vervuilende stoffen is voor hem overzichtelijk. Een afgebakend probleem. Maar wat de haven nu overkomt, is ongrijpbaar.
De veiligheid in de haven waarborgen, meer kan hij voorlopig niet doen. De zeehavenpol
itie en de douane patrouilleren. Sommige vrachtwagenchauffeurs zijn weer omgekeerd, andere zoeken een slaapplek in de buurt of overnachten in hun vrachtwagen. Niemand weet hoelang het zal gaan duren. Als De Vries in de avond weer in zijn Tesla stapt, bekruipt hem een angstig gevoel. De normaal zo bedrijvige haven ligt er stil bij.
*
De onmacht is niet alleen in Rotterdam voelbaar. Op die dinsdag 27 juni valt het ene na het andere bedrijf stil. Pakketdienst TNT Express, medicijnfabrikant MSD, staalfabrikant Evraz, het grote Britse reclamebureau WPP, de Russische oliegigant Rosneft, Amerikaanse ziekenhuizen: ze kunnen niets meer.
Een onbekend virus slaat genadeloos toe. Frankrijk, India, Groot-Brittannië, Polen, Duitsland: overal raken systemen beschadigd. ‘Bedrijven wereldwijd vleugellam’, kopt RTL Nieuws. ‘What is it and how can it be stopped?’ vraagt de Britse krant The Guardian zich af. ‘Een wereldwijde aanval met gijzelsoftware,’ begint presentatrice Annechien Steenhuizen het achtuurjournaal die avond. Verslaggever Gerri Eickhof is naar de Rotterdamse haven gegaan en zegt dat alle Europese landen zijn getroffen. ‘Is al bekend waar het virus vandaan komt?’ vraagt Steenhuizen. Eickhof, met op de achtergrond de stilstaande blauwe kranen van APM-terminals: ‘Nee, geen idee. En dat is ook heel erg moeilijk. Je kunt wel een kwaadaardige bron vinden maar dan blijkt dat daarachter nog een kwaadaardiger bron zit en nog weer verder en nog weer verder. Zo de hele wereld en het hele internet over.’
Deskundigen, verslaggevers, werknemers van getroffen bedrijven: niemand kan uitleggen wat er die dinsdag precies gebeurt. Binnen een paar uur zijn honderdduizenden computers besmet en vallen systemen in zeker 65 landen uit. Postpakketten kunnen niet worden geleverd, artsen kunnen niet meer bij medische gegevens en burgers niet meer bij hun geld. Niet eerder zorgde een digitale aanval voor zoveel schade.
In de dagen daarna noteer ik tientallen vragen in een notitieblok. Wie heeft de aanval geopend en waarom? Hoe kan de Rotterdamse haven zo ontregeld raken? Is dit de opmaat tot een digitale oorlog?
Het is oorlog maar niemand die het ziet Page 20