Het is oorlog maar niemand die het ziet Read online

  Het terrein is chaotisch: her en der mensen, strobalen, spandoeken. En lukraak plukjes tenten. Golfkarretjes rijden op en neer. Op het terrein zijn verschillende eilanden: Rainbow Eiland bijvoorbeeld, of Noisy Square — het domein van echte hackers. Mannen en vrouwen met zwarte T-shirts en een MacBook vol stickers. Ik zie een ‘boodschappendrone’ vliegen — een quadcopter met vier propellers die een pizza af kan leveren.

  Ik luister naar toespraken en kijk naar een videogesprek met Julian Assange van WikiLeaks. Hij heeft het over een surveillancesysteem dat sterk aan het oprukken is: grote bedrijven en overheden proberen het internet te controleren. Assange noemt dit systeem ‘de vijand’. En hij spreekt in termen van ‘wij’ en ‘zij’. ‘Alle internetgebruikers zullen uiteindelijk in dit systeem komen,’ voorspelt hij.

  Internet, is de gedeelde conclusie op het festival, is geen vrijplaats meer. Ooit was het een uitwisselingsplek waar staten geen autoriteit hadden. Maar het grootkapitaal en de overheden hebben hun plek opgeëist. Het gaat niet langer alleen om verbinden, netwerken en communicatie. Hoe meer het internet het leven van mensen binnendringt via smart-tv, smartphone, slimme energiemeters en DigiD, des te meer gaat het over veiligheid.

  Het verkeersnetwerk is snel aan het veranderen. Google en Amazon zijn de bewegwijzering gaan verzorgen, zijn de vervoersmiddelen voor de datapakketjes gaan maken en bij elke afslag kun je wel een winkelcentrum van een van beide vinden. Daarbij slinkt het aantal internetproviders per jaar. In de jaren negentig waren er tientallen, nu alleen nog een paar grote. De macht verschuift van de vragers, de gebruikers, naar de aanbieders, zoals Google. Die voeden zich met de data van miljarden mensen en sturen en bepalen het internetverkeer.

  Allerlei diensten zijn digitale camera’s gaan ophangen: in de Verenigde Staten bij de landingsstations, in Nederland bij de internetproviders, bij Apple, Google en Facebook of soms heimelijk ergens tussenin. Geen datapakketje steekt nog ongezien de oceaan over.

  Op het festival in Geestmerambacht heerst een vreemde mengeling van optimisme en verslagenheid. Haast kinderlijke blijdschap over oude computerspelletjes in 3D of een jarentachtig-speelautomaat. Tegelijk is er neerslachtigheid over de macht van grote bedrijven en instituten als de NSA. Oud-NSA-directeur Thomas Drake laakt in een presentatie het gedrag van geheime diensten. ‘De surveillancestaat ontneemt burgers hun soevereiniteit.’

  Tijdens het festival speelt een tweetal conflicten. Ze zeggen iets over de machtsstrijd die gaande is. Het festival heeft een sponsor, het Nederlandse beveiligingsbedrijf FOX-IT van de excentrieke cryptograaf en ondernemer Ronald Prins. FOX-IT houdt in opdracht van bedrijven wereldwijd systemen en netwerken in de gaten. Het groeit hard. Banken uit verschillende landen zijn klant. Gasten van FOX-IT krijgen op het festivalterrein een vipbehandeling: ze worden in golfkarretjes over het terrein gereden.

  Maar FOX-IT heeft een bedenkelijke reputatie onder hackers. Het symboliseert de machtige surveillance-industrie: het maakt internet volgens hackers onvrij. Het internet is een Amerikaanse militaire uitvinding en vanwege de veiligheid delen e-mails en berichten zich op in kleinere pakketjes; als iemand vervolgens internetverkeer onderschept, is het onleesbaar. Maar bedrijven als FOX-IT hebben slimme software gemaakt die herkent welke pakketjes bij elkaar horen. En dat is weer ideaal voor overheden die internet aftappen en die de opgezogen datapakketjes willen bekijken.

  FOX-IT verkoopt die software aan westerse landen, maar geeft ook trainingen digitale opsporing in bijvoorbeeld Egypte. En daarom zorgt de sponsoring van FOX-IT al voor het begin van OHM2013 voor hevige discussies. Met name Duitse hackers van de Chaos Computer Club wensen absoluut niet geassocieerd te worden met het bedrijf. Zij willen FOX-IT, dat enkele tienduizenden euro’s bijdraagt aan het festival, uitkopen. Maar de stichting die het festival organiseert, piekert er niet over. Pikant detail: in het bestuur zitten twee leden — onder wie de voorzitter — die bij FOX-IT werken.

  Dus gaat de sponsoring gewoon door. Daarop boycotten de Duitse hackers het festival. Maar dat is niet alles: op de tent van FOX-IT wordt tijdens het festival met rode graffiti NSA gespoten. Er wordt schamper gedaan over de golfkarretjes van FOX-IT. Hackers roepen beledigingen en fluiten naar medewerkers van het bedrijf. De spanning op het terrein is voelbaar. En dan gebeurt er nog iets wat ik niet voor mogelijk had gehouden: de geheime dienst blijkt zelf ook aanwezig.

  Ik ontmoet Jurre van Bergen. Deze twintiger heeft geholpen bij het opzetten van het festival. Hij slaapt in een tent bij Noisy Square, het rumoerige en activistische kamp aan de buitenrand. Van Bergen is een slimme techneut die software maakt voor idealistische organisaties, zodat mensen in landen als Iran anoniem en veilig online kunnen communiceren. Hij schrijft mee aan Tails, het besturingsprogramma dat anonimiteit en privacy garandeert. Met een veilige internetbrowser zorgt het ervoor dat iemands ip-adres niet herkenbaar is. De datapakketjes gaan zogezegd met onbekende kentekenplaten de digitale weg op.

  Op de eerste dag merkt hij iets vreemds: z’n telefoon, een Samsung Nexus, verliest in een paar uur 50 procent van het batterijvermogen. Omdat hij druk is met opbouwen, vergeet hij het. Op de tweede dag raakt hij zijn telefoon kwijt. Pas weken later krijgt hij hem terug via de Lost & Found-service.

  De dinsdag na het festival werkt Van Bergen in de bibliotheek in Haarlem als zijn vader belt. ‘Niet schrikken, er is iemand van de AIVD naar je op zoek.’ Zijn vader legt hem uit wat er aan de hand is. Er staat een man van middelbare leeftijd op de stoep die zich heeft voorgesteld als Hans Turksema van het ministerie van Binnenlandse Zaken. De vader heeft bij ‘Binnenlandse Zaken’ argwaan gekregen en gezegd: ‘Je bent zeker van de AIVD?’

  De man wil Jurre spreken om ‘het imago van de dienst onder hackers te verbeteren’. Hij laat een telefoonnummer achter. Als Van Bergen thuiskomt en het telefoonnummer — 0681704511 — leest, ziet hij dat hetzelfde nummer hem tijdens OHM heeft gebeld. Hij voelt zich er niet prettig bij. Hij heeft contact met mensen die hij wil beschermen. Dissidenten, activisten.

  Het voorval staat niet op zichzelf, vertelt Van Bergen. ‘Op het festival was het een publiek geheim dat meerdere mensen benaderd werden.’ De geheime dienst heeft OHM uitgekozen voor een charmeoffensief. Doel: hackers als informant rekruteren en zo hun kennis binnenhalen. De AIVD moet moderniseren. Niet langer gaat het over richtmicrofoons of kabels openbreken, maar over smartphones en wifirouters. De nieuwe tijd vraagt om nieuwe inzichten. En Van Bergen en zijn vrienden zijn de toegangspoort.

  Langzaamaan zie ik de contouren van een strijd: enerzijds willen veiligheidsdiensten gebruikmaken van de kennis van hackers, anderzijds zien die hackers dat hun vrijheid wordt bedreigd door machtige bedrijven en spionerende overheden. Wil ik weten wat deze strijd betekent, dan moet ik nog dichter bij het vuur zien te komen.

  *

  Op zondag 15 september 2013 rijd ik met NRC-collega Steven Derix naar Duitsland. We hebben contact gelegd met het Duitse weekblad Der Spiegel omdat zij de geheime stukken van Edward Snowden hebben. In mijn eentje lukt het niet om de inlichtingenwereld binnen te komen. Daarom heeft Steven zich aangesloten. Hij is vaak in Afghanistan geweest en heeft jarenlang over het leger geschreven. Hij heeft goede bronnen bij het ministerie van Defensie.

  Dat het ingewikkeld is, komt mede door de Nederlandse cultuur. De veiligheidsdiensten zijn een stuk geslotener dan de Amerikaanse diensten CIA en FBI. Die zijn vele malen groter en werken bovendien meer met contractors: mensen die er gedetacheerd zijn. Ze zijn ook onderdeel van een politieke strijd en de cultuur is er opener — wat lekken in de hand werkt. CIA-stukken komen in principe na dertig jaar vrij, in Nederland zijn documenten van net na de oorlog niet op te vragen bij de AIVD en MIVD. Amerikaanse inlichtingenofficieren publiceren met regelmaat hun memoires. Kom er maar eens om in Nederland. En CIA’ers en oud-CIA’ers spreken nog weleens met media. Of lekken documenten. In Nederland lijkt dat ondenkbaar.

  Steven en ik hebben allerlei vragen. Hacken de AIVD en MIVD ook telefoons? Wat gebeurt er écht met onze data die soms bij internetproviders zijn opgeslagen? Hoe veilig is een thuisverbinding eigenlijk? Wat doet Faceb
ook met al die persoonsgegevens? Ook samen stuiten we op muren. Alsof er een code is onder betrokkenen: daar spreek je niet over. Het bestaat niet. ‘Sorry, daar kan ik echt niet over praten.’ Terwijl de gelekte geheime documenten van Edward Snowden toch aantonen dat er van alles aan de hand is.

  Misschien, zeggen we tegen elkaar, ligt het aan de manier van communiceren. Ik ben niet bekend met extra beveiligde mail of versleutelingstechnieken. Ik bel mensen op. Of stuur een mail met een verzoek om eens koffie te kunnen drinken. Zou dat bronnen afschrikken? Vreemd is dat idee niet. Hoe meer ik lees en hoor over deze nieuwe wereld, hoe meer ik zelf ook de risico’s begin te zien.

  Elk contact blijkt een digitaal spoor achter te laten. Bellen: de telecomprovider slaat de metadata van het gesprek op. Dus: welk ander nummer bel je, hoelang, vanaf welke locatie. Politie en ook inlichtingendiensten kunnen die gegevens opvragen. Mailen: de datapakketjes gaan langs datacentra en internetknooppunten, ook Amerikaanse. Daar kunnen allerlei partijen bij. Ook slaan e-maildiensten informatie op. Als die Amerikaans zijn — zoals Google — vallen ze onder Amerikaanse wetgeving.

  En dus gaan Steven en ik experimenteren met andere technieken. We kopen prepaidtelefoons met verschillende simkaarten. De gedachte is: als iemand ons op de korrel wil nemen, dan beginnen ze waarschijnlijk bij onze telefoons. Die prepaidtelefoons zorgen voor een nieuw probleem: hoe laten we elkaar weten wanneer we die gebruiken? Want als we eerst met onze eigen telefoon naar een prepaidtelefoon bellen, ziet een overheid of dienst ook dat er een contact is met een onbekend prepaidnummer.

  Er zijn meer praktische problemen. Hou je die prepaidtelefoon namelijk de hele tijd in de buurt van de andere telefoon, dan maken ze allebei gebruik van dezelfde telefoonmast. Zo zou iemand die oplet een patroon kunnen zien: de nummers leggen dezelfde route af. Dus om echt veilig te zijn: eigen telefoon eerst uitzetten, dan een paar honderd meter verder lopen en dan pas bellen met de prepaidtelefoon waar onder pseudoniem de naam van Steven in staat.

  Ook mailen doen we voortaan anders. Niet langer via gewone mail, dat is blijkbaar te onbetrouwbaar. Zoals we onze computers ook niet langer vertrouwen. We kopen een paar oude en volledig opgeschoonde exemplaren en zorgen dat die alleen in noodsituaties aan het internet zijn gekoppeld. Mailen doen we ofwel versleuteld of niet meer. We ‘chatten’ vooral via beveiligde kanalen: door eerst een usb-stick in een computer te stoppen en een apart besturingsprogramma te openen. Daarin opent weer een browser die het mogelijk maakt om het unieke ip-adres af te schermen. Verder gebruiken we een chatprogramma om berichten volledig te versleutelen.

  Dit moet ons helpen dichter bij de juiste personen te komen.

  *

  We rijden over de Duitse A1 naar Hamburg, waar Der Spiegel is gehuisvest in een reusachtig glimmend pand aan een zijtak van de Norderelbe. Het weekblad werkt samen met de Amerikaanse documentairemaakster Laura Poitras. Edward Snowden heeft de duizenden geheime stukken van de NSA in Hongkong aan haar en de Amerikaanse journalist Glenn Greenwald gegeven. Poitras deelde ze vervolgens met Der Spiegel. Misschien willen die journalisten met ons over Nederland schrijven. Zo hebben we onszelf uitgenodigd.

  Maar het contact loopt op niets uit. De verslaggever die we ontmoeten is geërgerd omdat ik hem een paar dagen eerder op Twitter ben gaan volgen. Daarmee is ons contact op voorhand al besmet geraakt, vindt hij: iedereen kan nu weten dat we elkaar misschien zullen ontmoeten. Daar moet ik in het vervolg beter over nadenken, geeft hij nog mee. Het lijkt me een paranoïde gedachte.

  Teleurgesteld rijden we weer terug naar Nederland. Maar op de terugweg hebben we geluk. Een bron belt met een tip. Het is iemand die we in de weken daarvoor hebben leren kennen. Hij zegt dat er iets gaat gebeuren bij de Belgische telecomprovider Belgacom. We moeten het zelf maar verder uitzoeken.

  Het is de eerste keer dat iemand mij over dit onderwerp benadert. We hebben kennelijk een voet tussen de deur. En we hebben nog een keer geluk. De correspondent van NRC in Brazilië, Floor Boon, heeft een interview gehad met Glenn Greenwald — de journalist die toegang heeft tot alle Snowden-documenten. Na het interview heeft ze gevraagd of hij met NRC wil samenwerken. Dat wil hij.

  Het contact met Glenn Greenwald verloopt echter moeizaam. We krijgen hem nauwelijks te pakken. Z’n telefoon is telkens in gesprek, op mails antwoordt hij niet. We raken gefrustreerd. We sturen onophoudelijk versleutelde e-mails, en bellen en sms’en.

  Na twee maanden van vergeefse pogingen neem ik de gok en vlieg naar Rio de Janeiro. Van oud-spionnen heb ik geleerd dat fysiek contact het best werkt. Iemand met wie je gaat samenwerken, wil je eerst in de ogen kijken. Die strategie werkt: doordat Floor kan zeggen dat ik speciaal voor Greenwald naar Rio ben gevlogen, wil hij tijd voor me vrijmaken.

  We ontmoeten hem in de lobby van een chic hotel in Leblon, het Beverly Hills van Rio. Om ons heen brede types die opzichtig met hun telefoon spelen en onze kant op kijken. Het maakt me nerveus. De beweeglijke Greenwald stoort zich er totaal niet aan. Op luide toon verwelkomt hij Floor en mij. Ik vertel over NRC en wat ik nu weet over de Nederlandse geheime diensten. Greenwald vertelt hoe hij de samenwerking voor zich ziet. Hij wil bijvoorbeeld als auteur bij artikelen worden vermeld, omdat hem dat medeauteur maakt. Journalisten hebben juridische bescherming die nodig is bij het publiceren over staatsgeheimen. En als hij meeschrijft en auteur is, wil hij ook graag een freelancevergoeding. Dat is het. Opgelucht zeggen Floor en ik gedag.

  *

  Meteen bij terugkomst in Nederland is er iets veranderd. In een café aan het Europaplein in Amsterdam spreken Steven en ik een oud-medewerker van een Nederlandse geheime dienst. Hij is een bron die veel weet maar is net als de meeste van zijn collega’s niet scheutig met informatie. We weten niet of we hem helemaal kunnen vertrouwen: is hij gestuurd door de dienst om te achterhalen hoeveel wíj weten? Voorzichtig hebben we gepolst of hij, als het ons lukt de NSA-documenten te krijgen, mee wil kijken om informatie te verifiëren.

  Daarop reageert hij kwaad. Hatelijk bijna. ‘Jullie zijn onbetrouwbaar. Ik verdoe m’n tijd hier.’ Hij had verwacht dat we de documenten aan hem zouden geven. Hij vraagt loyaliteit van ons en wenst niet langer ‘zo behandeld te worden’. De ontmoeting is zo kort dat we haastig onze spa rood en koffie moeten opdrinken. We zijn stomverbaasd.

  Bij vertrek houdt hij nog even halt. ‘Waarom vliegen jullie via Portugal naar Brazilië?’ zegt hij terwijl hij ons aankijkt. We schrikken. Na mijn eerste afspraak met Greenwald gaan Steven en ik nu kijken hoe we de documenten kunnen uitwisselen. Niemand, zelfs familie en vrienden niet, weten wanneer en hoe we binnenkort naar Rio zullen vliegen. De tickets zijn niet via de krant geboekt en ook niet naar onze e-mailadressen gestuurd. Hoe kan het dat hij dat wel weet? Hij is al weg voor ik het hem kan vragen.

  Het geeft ons een vervelend gevoel. Deze man lijkt vooral informatie van óns te willen. Namens wie vraagt hij dat? Zijn verzoek om loyaliteit is ook vreemd na slechts een paar contacten.

  Op zaterdagochtend 2 november 2013 zit ik opnieuw met een vervelend gevoel. Nu in mijn eigen huis. Ik word bespied.

  Het internet is de avond ervoor weggevallen. Steven en ik waren via een beveiligde verbinding aan het chatten. Met een speciale laptop, een oud Windows-model dat vrijwel geheel is opgeschoond. Zo’n apparaat waar je eigenlijk niets mee kunt behalve een vrij basaal tekstprogramma openen. Met een usb-stick startte ik het besturingsprogramma Tails en daarna een anonieme internetbrowser om een chatprogramma te openen waarin berichten vercijferd zijn. Onder een alias was ik voor Steven te vinden op een chatkanaal. Hij had op zijn beurt hetzelfde gedaan totdat de verbinding plots wegviel.

  Ik zei Steven telefonisch dat ik niet langer kon praten. Maar het internet bleef weg. Ook de volgende dag — terwijl er geen storing bekend is. Het modem van de internetprovider werkt ook naar behoren. Alleen de witte router — die mijn wifisignaal de woonkamer in stuurt — heeft het volledig begeven. Resetten heeft geen zin, lukraak op knoppen drukken ook niet, er zit geen leven meer in. Zo dood als een pier.

  Als ik Steven bel en over internet begin, onderbreekt hij mij meteen. ‘Vreemd, bij mij wer
kt ook niets meer. Mijn modem is stuk.’ Hij heeft geen aparte router, zijn modem — van Siemens — zendt het draadloze wifisignaal uit. Maar ook bij hem hetzelfde euvel: geen storing bekend, wel een apparaat dat zich gedraagt als een steen.

  Twee apparaten op hetzelfde moment kapot. Eén in Amsterdam, één in Rotterdam, een week voordat we naar Rio vliegen. Iedereen die ik er later over spreek denkt hetzelfde: dat kan geen toeval zijn. De Belgische cryptograaf Bart Preneel: ‘Het is zeer wel mogelijk dat ze hebben geprobeerd malware op jullie wifirouter te installeren en dat men twee keer dezelfde fout heeft gemaakt waardoor er iets beschadigd is.’ ‘En wie zijn “ze”,’ vraag ik enigszins ongerust. Preneel: ‘Een professionele hacker, bijvoorbeeld van een inlichtingendienst.’

  Beveiligingsexperts zeggen dat ik aan de NSA moet denken. Die dienst was immers honderdduizenden staatsgeheime documenten kwijt en wil een inschatting van de schade maken. Toen kon ik me nog niet voorstellen wat de gevolgen voor de NSA zouden zijn en wat het zou betekenen voor hun relatie met Europese geheime diensten. Het was geen vreemde gedachte dat zo’n machtige dienst als de NSA alle lijnen naar de journalist die de stukken mogelijk zou hebben in de gaten wilde houden. En zo ook op een etage in Amsterdam-West was beland.

  Langzaam dringt het besef door dat dit een andere wereld is. Voordat ik een tweede keer naar Rio de Janeiro ga, ervaar ik welke ongekende mogelijkheden de diensten hebben om waar ook ter wereld te infiltreren, apparaten te hacken en geautomatiseerd te tappen. Geheime diensten zijn klaarblijkelijk dol op routers. Ze zitten op de perfecte plek in het netwerk: al het internetverkeer gaat erlangs. Maar dat is niet het enige. Hang een apparaat aan het internet en een degelijke geheime dienst kan er uiteindelijk altijd wel bij. Het maakt niet uit waar het ding staat: afstanden doen er niet meer toe.