- Home
- Huib Modderkolk
Het is oorlog maar niemand die het ziet
Het is oorlog maar niemand die het ziet Read online
Technology is cool, but you’ve got to use it as opposed to letting it use you.
PRINCE
Deze uitgave is mede tot stand gekomen dankzij steun van het
Fonds Bijzondere Journalistieke Projecten.
© 2019 Huib Modderkolk
Omslagontwerp Philip Stroomberg
Verzorging e-book Coco Bookmedia
Foto auteur Ruud Pos
ISBN e-book 978 90 5759 981 1
Deze digitale editie is gemaakt naar de eerste druk, september 2019
www.uitgeverijpodium.nl
Inhoud
Proloog
Deel I Wat is er aan de hand?
1 Een ongenode gast
2 Totale black-out
3 Het Zwitserland onder de geheime diensten
4 Code Rood
Deel II Wat zijn de gevolgen?
5 Bom op een simkaart
6 Een veelkoppige slang
Deel III Waar gaat het naartoe?
7 Te dichtbij
8 Complot in Amsterdam
9 Betrapt op het Rode Plein
10 Porno en Rolls-Royce
11 Vissen met dynamiet
Deel IV Wie gaat ons beschermen?
12 Vechten zonder regels
Epiloog
Verantwoording
Dankwoord
Literatuurlijst
Register
Proloog
Premier Mark Rutte zit tegenover zijn drie veiligheidschefs. Het is een vrijdagochtend in het voorjaar van 2015. Eens per maand delen die chefs hun laatste inzichten met hem. Rutte ontvangt ze samen met zijn belangrijkste ministers in de Blauwe Zaal aan het Binnenhof. Aan de wand hangen de portretten van alle na-oorlogse premiers. De bijeenkomst is staatsgeheim: de notulen zijn niet openbaar, betrokkenen mogen er buiten de zaal niet over spreken.
‘Dit maakt ons nerveus,’ hoort Rutte een van de chefs zeggen. ‘Waar we bang voor waren, wordt nu werkelijkheid.’ De militaire veiligheidsdienst heeft ontdekt dat Russische hackers een computerserver in Meppel gebruiken voor aanvallen. Ze dringen via de computerserver elektriciteitscentrales binnen van landen waarmee de Russen in conflict zijn en laten daar virussen achter. Ze vallen in Oost-Europa de netwerken van tv-redacties aan en verwijderen video’s en documenten. Ze zoeken naar de besturing van West-Europese bruggen en sluizen om te weten hoe ze die bij een conflict kunnen uitschakelen.
De veiligheidschefs schetsen Rutte de noodscenario’s. Veel keuze laten de deskundigen de premier niet. ‘We móéten iets doen,’ zegt een van hen. De sabotagepogingen van Rusland zijn een rode lijn. ‘Onze waarschuwingen zijn niet langer theoretisch. We zien de eerste gevolgen nu in de praktijk.’ De bazen van de veiligheidsdiensten stellen een investering voor van 340 miljoen euro. Het ‘absolute minimum’ om niet verder achterop te raken in de digitale strijd tussen landen.
Die investering is noodzakelijk om kwetsbare systemen zoals elektriciteitscentrales en sluizen goed te kunnen beveiligen, om het Nederlandse internetverkeer te scannen en digitale specialisten op te leiden. ‘Iedereen was het erover eens dat er iets moest gebeuren,’ benadrukt een van de aanwezigen later.
Maar als het over geld gaat twijfelt Rutte. Er zijn praktische bezwaren: Algemene Zaken heeft nauwelijks budget, Defensie moet al veel bezuinigen en Buitenlandse Zaken wil liever investeren in educatie in het buitenland. Rutte laat de waarschuwing passeren.
Waarom doet de premier niets? Gelooft hij de bazen van zijn veiligheidsdiensten niet? Of kan hij niet aan zijn kiezers uitleggen waarom hij extra geld uitgeeft aan digitale veiligheid?
*
Stel, je woont in een prettig huis in een aangename stad. Niet ver van je werk, de kinderen kunnen dichtbij naar een goede school en er woont familie in de buurt. Op een dag komt er een man aan de deur. ‘Ik moet u waarschuwen. We hebben metingen gedaan en de grond in de wijk is ernstig aan het verzakken. We weten niet precies waardoor het komt.’
Je kijkt de man verbaasd aan. Je hebt nog nooit van verzakkingen gehoord. Waar heeft hij het over? Je belt met familieleden die verderop wonen. Zij hebben dezelfde man aan de deur gehad. Ook bij hen is er geen scheur te zien. In de weken daarop denk je er nauwelijks meer aan. Tot de man weer aanbelt, ditmaal met een collega. ‘We hebben nieuwe resultaten en het gaat sneller dan we dachten. Door de verzakkingen ontstaan gevaarlijke situaties voor bewoners. Om de druk op het gebied te verminderen, vragen we mensen ergens anders te gaan wonen.’
Je bent niet iemand die snel in paniek raakt. Maar nu word je toch onrustig. In de wijk verschijnen informatieborden. ERNSTIGE VERZAKKING staat er in grote letters op. Zelf merk je nog steeds weinig, net zomin als je familieleden. Waarom zie je de verzakkingen niet? In de media duiden experts de metingen, veel wijzer word je daar niet van. Allemaal speculatie. Sommigen zeggen dat het meevalt. Volgens anderen zou het maximaal een jaar duren voordat er huizen in gaan storten. ‘Verzakkingen bedreigen hele woonwijken,’ kopt een bekend dagblad. Moet je alles opgeven vanwege een onzichtbaar gevaar? De kinderen van school halen, je prettige huis uit, weg van de familie?
*
Diezelfde twijfel is ook zichtbaar bij waarschuwingen over digitalisering. We bellen, delen en liken de hele dag door. We ervaren de voordelen van de digitale tijd: de smartwatch controleert de hartslag, de slimme meter houdt het energieverbruik bij en de smartphone leidt ons soepel door het verkeer.
De waarschuwingen horen we ook: pas op, diezelfde apparaten leggen onze gedragspatronen minutieus vast. Let op, er ontstaan nieuwe gevaren. Staten gebruiken internet steeds meer om te controleren en te beïnvloeden. Spionage is makkelijker dan ooit. Dat heeft gevolgen: anonimiteit en privacy raken in de verdrukking, nepnieuws voedt het wantrouwen, aanvallen via internet ontwrichten de samenleving.
Maar we blijven bellen en appen, kopen een Apple Watch en delen ondanks de alarmerende signalen babyfoto’s op Facebook. Komt dat omdat we de gevaren niet zien of omdat we ze niet begrijpen?
Zelfs de Nederlandse premier laat een duidelijke waarschuwing van zijn veiligheidsbazen aan zich voorbijgaan. Dat intrigeerde me: hoe kan het dat we onverschillig blijven terwijl de gevolgen zo ernstig en ontwrichtend kunnen zijn? Hoe kan het dat we apathisch doorgaan als vrijheden op het spel staan? Wat moet er gebeuren voor wij, politici en burgers, de dreiging wél zien? En als we die zien, stoppen we dan met Facebook, doen we de smartphone weg en gaan we dan ons gedrag aanpassen?
Er was maar één manier om antwoorden te krijgen: uitzoeken hoe groot de gevaren zijn en wat ons nog te wachten staat. De onzichtbare dreiging zichtbaar maken. Afdalen naar de pIekken waar de risico’s van de moderne tijd te zien zijn.
DEEL I
Wat is er aan de hand?
1
Een ongenode gast
Er zit een indringer in mijn huis. Hij zit in de hoek van de kamer naast het witte tv-meubel. Een ongenode gast die mijn etagewoning in Amsterdam-West is binnengekomen. Hij houdt me in de gaten.
Waarschijnlijk was het de bedoeling dat hij niet op zou vallen, maar hij is onvoorzichtig geweest en heeft zichzelf verraden. En hoewel ik hem niet recht in de ogen kan kijken, voelt het intimiderend. Hij kan mij wel zien, ik hem niet. Wat zou hij allemaal weten? Hoelang zit hij er al? En wie kijken er allemaal mee?
Zo loop ik in de ochtend van zaterdag 2 november 2013 ijsberend door mijn huis, een blik richting de hoek van de kamer.
Een half jaar daarvoor heeft mijn leven een nieuwe wending genomen. Ik ben onderzoeksjournalist bij NRC Handelsblad en schrijf over binnenlandse onderwerpen, zoals de hogesnelheidslijn en het beleid van minister Uri Rosenthal. Mijn chef Jan Meeus moedigt me aan na te denken over grotere maatschappelijke thema’s. ‘Privacy en geheime diensten,’ zeg ik tegen hem, ‘daar zou ik onderzoek naar willen doen.’ H
et lijkt me dat de privacy op allerlei manieren onder druk staat: de smartphone neemt al steeds meer van het leven over, e-mail heeft bellen vervangen en gratis chatten via WhatsApp is de nieuwe volksverslaving. Met de smartphone is de buitenwereld onze huiskamers binnengedrongen. Wat betekent dat voor onze veiligheid?
Dan verschijnt Edward Snowden. De 29-jarige Amerikaan neemt tienduizenden top secret-documenten van de Amerikaanse geheime dienst NSA mee en geeft die aan journalisten. De geheimen van de machtigste dienst ter wereld liggen op straat. Een enorm schandaal met wereldwijde media-aandacht. Door zijn onthullingen is in één klap zichtbaar dat de digitale tijd nieuwe vormen van spionage met zich meebrengt.
Ineens weet de wereld dat de Amerikaanse afluisterdienst NSA bij Google en Facebook data op kan vragen. Dat het jaarlijks om 230 miljoen internetgegevens gaat: van soms één mail tot chatgeschiedenissen van honderden personen. Dat de NSA elke dag een kopie krijgt van álle telefoongegevens van 120 miljoen Amerikanen. Jan Meeus zegt dat ik voor Europa en Nederland uit moet zoeken hoe het zit. ‘Dit is je kans,’ zegt hij.
Ik wil Snowden ontmoeten maar heb geen idee hoe ik in zijn buurt moet komen. Kan ik direct contact met hem opnemen? Of zou ik de journalisten kunnen bellen die hij de geheime documenten heeft gegeven? Als iemand me toen had gezegd dat Edward Snowden anderhalf jaar later vermomd tegenover mij zou staan, had ik hem voor gek verklaard.
Deze wereld is compleet nieuw voor me. Ik maak zoals iedereen gretig gebruik van de nieuwe technologieën, doe aan sociale media en heb een iPhone. Ik verbaas me over de snelheid waarmee berichten verstuurd worden, maar zou niet kunnen uitleggen hoe het werkt. Het heeft iets ongrijpbaars en angstigs: wie kijkt er mee met mijn vakantiefoto’s en wie luistert er mee als ik mijn vriendin bel?
Als alfa weet ik niet waar te beginnen. Een collega tipt me Erik Bais, die een eigen internetbedrijf heeft. In de zomer van 2013 ga ik daarom naar de Gorslaan in Purmerend en kom terecht in een soort accountantskantoor: systeemplafond, glazen hokken en ruime bureaus met grote computerschermen. Er werken alleen maar mannen. We drinken filterkoffie uit grote mokken. Bais, met gekreukt overhemd, staat voor een whiteboard en tekent er met stift lijntjes en pijlen op. Hij begint meteen over ‘protocollen’, ‘hashes’, ‘switchen’ en ‘redundantie’. Op mijn verzoek doet hij een paar stappen terug.
‘Neem als uitgangspunt het verkeersnetwerk zoals we dat kennen,’ legt Bais uit, ‘de wegen, de afritten, de knooppunten. Dankzij dit netwerk kunnen auto’s van stad naar stad rijden; kunnen mensen zich verplaatsen. Zo is het eigenlijk ook met het internet.’ Achter onze computerschermen en smartphones bevindt zich een verkeersnetwerk. En hoewel we dat nauwelijks waarnemen, bestaat ook dit netwerk uit fysieke elementen. Uit draden, gebouwen, telefoonmasten, kasten.
Via dat verkeersnetwerk begint een e-mail of een appje aan een reis langs zeven plekken: het modem van je internetprovider, de wijkcentrale van de internetprovider, het datacenter van de internetprovider, het internetknooppunt en het datacenter van de ontvangende internetprovider. En vervolgens weer de wijkcentrale en het modem van de ontvanger. Dat is het. Easy as that.
Ik zie de reis voor me: typ je een e-mail en druk je op ‘verzenden’, dan wordt het bericht opgedeeld in datapakketjes, met elk een eigen etiket: wat zit erin, waar komt het vandaan en waar moet het naartoe. Die pakketjes kiezen de kortste weg naar het modem van je internetprovider — bijvoorbeeld Ziggo. Daarna zoeven de pakketjes via kabels naar een wijkcentrale van de internetprovider en vandaar naar het datacenter van diezelfde provider. Het vervoer gaat bijna altijd via glasvezel, wat betekent dat de pakketjes worden omgezet in lichtsignalen. De datacentra zijn gebouwen met gangen vol stellingkasten waarop computers draaien.
De computers sturen de pakketjes weer verder. Ze gaan naar een groot internetknooppunt op zoek naar de ontvangende partij; dat kan heel goed een andere internetprovider zijn. Die internetknooppunten zijn cruciaal: daar maken internetpartijen koppelingen met elkaar.
In Amsterdam ligt een van de grootste internetknooppunten ter wereld — de Amsterdamse Internet Exchange, ofwel AMS-IX. Hoewel het in feite één knooppunt is, bestaat het uit verschillende enorme datacentra. Aan de ringweg A10 Oost zijn bijvoorbeeld twee immense raamloze flats verrezen vol stellingkasten met draaiende computers waar miljoenen datapakketjes per seconde doorheen worden gejaagd.
Een internetknooppunt is niets anders dan een gigantisch Prins Clausplein met twintigbaanswegen. Veel koppelingen en veel capaciteit. Want grote vervoerders, zoals Netflix, Google en YouTube, willen graag brede wegen oftewel snelle verbindingen. Dat zo’n reusachtig knooppunt in Amsterdam ligt is een economische troef van Nederland. Maar het trekt ook pottenkijkers aan: het is een honingpot voor criminelen en opsporingsdiensten. Er gaat een schat aan informatie doorheen.
De datapakketjes gaan na het knooppunt naar het datacenter van de internetprovider van de ontvangende partij. Dat kan elders in Nederland zijn maar net zo makkelijk in Taiwan of in de Verenigde Staten: dan steken de pakketjes even vlug de oceaan over. Dat gaat via grote zwarte kabels die uit vele lagen bestaan en op de zeebodem liggen. In Nederland komen verschillende grote kabels aan land in onder meer Beverwijk, Katwijk en in het noorden bij de Groningse Eemshaven. De ligging van die kabel verklaart bijvoorbeeld waarom het Amerikaanse Google in Groningen is neergestreken: het wil dicht bij de trans-Atlantische snelweg liggen. Bij de punten waar de grote kabels aan wal komen zijn bunkerachtige landingsstations verrezen met hekken en camerabewaking.
In 2010 plaatsten de Verenigde Staten Beverwijk en Katwijk op een lijst van ‘kritieke plekken’ die de veiligheid van de Verenigde Staten in gevaar brengen als er iets misgaat. Bij New York staat het grootste landingsstation ter wereld. Toen orkaan Sandy in 2012 de staat New York bedreigde, kreeg de veiligheid ervan de hoogste prioriteit: het zou als eerste hulp krijgen en mocht in geen geval uitvallen.
Zo reizen al die pakketjes razendsnel door het netwerk van draden en gebouwen. Bais grijnst en zet zijn koffiemok neer. ‘Begrijp je het nu?’ Ik knik voorzichtig en weet nu globaal hoe het internet werkt.
*
De uitleg van Bais werpt meteen nieuwe vragen op: wie zijn er machtig online, wie vallen data aan of beschermen die juist? Wat doen geheime diensten met die nieuwe technieken? Dat is de volgende stap. Maar geheimen openbaren zich niet zomaar. Edward Snowden opbellen gaat niet: hij zit ondergedoken in Moskou. Ik moet op zoek naar de mensen met verstand van deze wereld.
Bellen, bellen, heb ik als journalist geleerd. Als je even vastloopt, probeer je te bedenken wie je verder kan helpen. Ik nodig mezelf uit bij internetproviders en telecomdeskundigen, bij oud-inlichtingenmedewerkers en beveiligingsexperts. Ze zijn zonder uitzondering bijzonder vriendelijk. Het zijn vaak mannen, tussen de dertig en vijftig, die geen pak dragen maar een T-shirt, spijkerbroek en sneakers. Velen werken in gebouwen op bedrijventerreinen. Het is een wereld van bedrijfskantines en recepties met toegangspoortjes.
Personen die bij de overheid of een geheime dienst hebben gewerkt spreken liever af op neutraal terrein. Vaak dragen ze nog een colbert om te benadrukken welke status ze eens hadden.
Weken gaan zo voorbij. De ene na de andere afspraak. Iedereen is bereid me iets te vertellen over het internet. Over de gevaren, valkuilen, zelfs over spionage en de bedreigingen voor de privacy. En telkens hoor ik hetzelfde: er is een gigantische handel in data, de Amerikanen zijn online oppermachtig en kunnen veel afluisteren, Nederlanders zijn specialistisch maar mogen wettelijk gezien niet zomaar glasvezelkabels aftappen. De Britten zijn eveneens zeer kundig en kunnen goed hacken. Daarnaast zijn er talloze vage tussenbedrijven, zoals hostingproviders, simkaartfabrikanten, servicebureaus en transitproviders, die interessant zijn. De ontwikkelingen gaan zo snel dat het nauwelijks bij te benen is.
Na deze algemene introductie houden de gesprekken vaak op. Er is van alles gaande. Het is duidelijk dat we in een opwindende tijd leven, dat iedereen op zoek is naar data en nog meer data, maar hoe dat precies in zijn werk gaat, blijft een raadsel. De gesprekspartners willen praten over de techniek, de infrastructuur en de
theorie, maar over de praktijk wordt gezwegen. Erik Bais uit Purmerend krijgt weleens een tapbevel van een inlichtingendienst, vertelt hij na enig aandringen. Dan moet hij op last van de AIVD iemands internetverbinding tappen. Hoe gaat dat eigenlijk? Zuigt hij dan alle datapakketjes op? En hoe ziet zo’n bevel er eigenlijk uit? ‘Kan ik dat zien?’ vraag ik hem. Een antwoord blijft uit.
Zo gaat het overal. Heeft een internetprovider weleens gezien dat er Amerikanen, Russen of andere partijen bij hem binnen zitten? Weten onderzoekers hoe en waar Facebook zijn data bewaart en wie daar allemaal bij kan? Kan een geheime dienst iemands zoekgeschiedenis in Google Maps achterhalen?
Hoe specifieker de vragen, des te stiller en ongemakkelijker mijn gesprekken verlopen. Het zijn de momenten waarop mensen vragen hoe ik ben gekomen, of ik m’n telefoon nog aan heb staan, of ik de volgende keer alsjeblieft niet via de mail een vraag wil stellen. Een specialist van industriële spionage wil geen voorbeeld geven van zijn werk. ‘Dat kan ik echt niet maken. Als dat bekend wordt, ben ik mijn baan kwijt,’ zegt hij nerveus en kijkt me zijn kamer uit. De oud-inlichtingenmedewerker wil het alleen hebben over juridische mogelijkheden. Wat de diensten echt doen, is geheim. Daar kan hij moeilijk iets over zeggen. In meerdere gevallen reageren mensen niet op vervolgvragen of verzoeken om nog een keer af te spreken.
Antwoorden vind ik ook niet in de journalistiek. Er zijn wel verhalen over incidenten maar de context ontbreekt. Nergens lees ik iets over hoe de technologie van invloed is op onze veiligheid.
Niet eerder ben ik als journalist op zulke muren gestuit. Ik vraag een vriend — een goedgetrainde jurist die bekend is in de hackerscene — om raad. Hij oppert naar OHM2013 te gaan. Het zegt me niets. ‘Observe. Hack. Make,’ zegt hij, ‘een festival met duizenden bezoekers, onder wie voormalige spionnen, hackers en klokkenluiders.’ Het blijkt de eerste keer na de onthullingen van Edward Snowden te zijn dat zo’n groep mensen in Europa bij elkaar komt. En het festival is, toevallig, in Noord-Holland. In recreatiegebied Geestmerambacht bij Alkmaar.
Het is oorlog maar niemand die het ziet