Column: Openheid als wapen tegen duistere zaken

Al maanden zijn politici aan het schreeuwen om maatregelen tegen spionage. Onzekerheid van schimmige praktijken maakt mensen onzeker. De remedie is simpel en doeltreffend, maar wel veel werk: transparantie.

De verontwaardiging was groot toen bleek dat medewerkers van ASML bedrijfsgeheimen hadden gestolen voor economische spionage. Uit het parlement kwam meteen de roep op een verbod op Huawei. Als door een wesp gestoken reageerde de topman van ASML met de boodschap dat hij de spionage juist toeschreef aan het Zuid-Koreaanse Samsung. Huawei is voor de omzet van ASML zeer belangrijk en eerder vriend dan vijand.

Dossiervorming

Inmiddels zijn politici zo geprogrammeerd dat spionage gelijk staat aan China of Rusland. Na alle Amerikaanse retoriek is Huawei gebombardeerd tot de ultieme zondebok. We moeten de Amerikanen maar op hun blauwe ogen geloven, want bewijs wordt niet geleverd. Daarom blijven we hangen bij beeldvorming als ‘slecht’ en ‘gevaarlijk’ en andere termen die een president in 280 karakters kan Twitteren.

Kijken we wel naar de inhoud, dan is het beeld diffuus. De Verenigde Staten blijken dan zelf wereldkampioen spioneren te zijn. Microsoft, Facebook, Google, Amazon en velen anderen werden tegen wil en dank ingezet om NSA-systemen, zoals ‘Prism’, mogelijk te maken. China voert aanvallen uit op bijvoorbeeld Asus en Netsarang om te spioneren. De AIVD breekt in bij Russische inlichtingendiensten, die op hun beurt bij ons losgaan. Kortom, iedereen kan Trojaanse paarden in soft- en hardware leveren.

Transparantie

De manier om het succes van een Trojaans paard te verminderen, is het paard van binnen bekijken. Bij software is dat kijken naar de procedures in bedrijven en de software die wordt geleverd. Weet wat je in huis haalt, wie wat levert en hoe die organisaties functioneren. Daarvoor is het wel nodig dat wij heldere criteria hebben hoe we toetsen, zodat we niet op basis van willekeur opereren. Het grote voordeel van open-sourcesoftware is dat we exact kunnen toetsen wat er in de programmatuur zit. Na jarenlang de neus daarvoor ophalen en niet toetsen, zullen we dat wel moeten gaan doen om de kans op spionage te verminderen.

Als je kijkend naar feiten tot de conclusie komt dat een leverancier een verhoogd risico vormt, is het prima. Maar dat betreft zeker niet alleen Chinese bedrijven die overheden helpen spioneren. Ook Amerikaanse firma’s die tegen alle beloftes in gesprekken afluisteren, heimelijk microfoontjes in apparatuur inbouwen of toetsaanslagen op computers bijhouden. In het licht van goede dossiervorming en transparantie blijken zelfs sommige Nederlandse beveiligingsbedrijven een spionagerisico te vormen.

Een inkijkje in een falend it-project

In het kader van een lopende procedure was ik als expert betrokken bij een zaak. Kern van de discussie: worden uitspraken van de Rechtspraak digitaal correct ondertekend?

Authenticatie bij Rechtspraak

Onlangs keurde de hoogste bestuursrechter de manier van inloggen voor het ondertekenen van uitspraken bij de Rechtspraak grotendeels af. De echte pijn zit niet in de uitspraak van de Raad van State, maar in de plots zichtbare nieuwe pijnpunten van het KEI-project dat al 200 miljoen euro verslond. De inzet is fors: de betrouwbaarheid onze nationale jurisprudentie.

Het gebeurt zelden dat het administratief functioneren van rechtbanken inzet is van een hoger beroep. De Afdeling Bestuursrechtspraak van de Raad van State is gevraagd te beslissen of de digitale handtekening op rechtbankuitspraken rechtsgeldig zijn. De kwestie speelt in een zaak tussen een asielzoeker en de Immigratie en Naturalisatiedienst (IND). Maar het is de Rechtspraak die zich verdedigt tegen de aantijging dat de digitale handtekening niet voldoet aan de norm voor het digitaal ondertekenen van uitspraken: de meerfactor-authenticatie.

Eigen realiteit

Volgens de Rechtspraak voldoet de norm wel. De eerste factor wordt geboden met de Rijkspas, die bij toegangspoortjes wordt ingezet om de rechtbank binnen te komen. Als tweede factor voert de Rechtspraak aan het inloggen op het systeem met gebruikersnaam en het wachtwoord. Het toegangssysteem heeft geen enkele verbinding met het zaaksysteem, waardoor een identiteitsclaim voor dat laatste systeem niet met twee factoren wordt geverifieerd.

Volgens de Rechtspraak hoeft het verifiëren van zo’n claim niet in hetzelfde systeem te gebeuren. Verder mag er tijd zitten tussen de beide authenticatiemethodieken. Dat laatste onderbouwt ze met een trainingshandboek de CISSP (Certified Information Systems Security Professional). Dat een cursushandboek van een Amerikaanse non-profit organisatie de basis van het betoog van de Rechtspraak vormt en niet een daadwerkelijke Europese beveiligingsnorm, zoals het door ENISA en het Nederlandse Forum Standaardisatie uitgedragen STORK-raamwerk is het eigenlijke ict-probleem hier: een eigen invulling van de digitale handtekeningen. Daarbij is bewust gekozen om rechtbanken vrij te stellen van de eIDAS-verordening op dit gebied. De Rechtspraak creëert een eigen ict-realiteit. In plaats van de digitale handtekening cryptografisch te borgen – zoals gebruikelijk – is een ondertekende uitspraak een PDF-bestand, met op de plek van de ondertekening de naam van de ondertekenaars. Als iedereen heeft getekend, maakt het zaaksysteem een controlegetal aan in een database. Het blijft onduidelijk hoe is geborgd wanneer op een later moment in de database wijzigingen worden gemaakt of hoe een audittrail werkt. Uit de beschikbare documentatie blijkt niet dat hiervoor maatregelen zijn genomen.

Verstrekkende gevolgen

Door het ontbreken van een cryptografische borging kunnen externe partijen geen digitale verificatie uitvoeren. Hoe problematisch dat in de praktijk is, ontdekte advocaat Gonny Meijering, die deze zaak aanbracht. Een rechter gelastte de vrijlating van een cliënt uit vreemdelingendetentie, maar dat weigerde de instelling op basis van een niet toetsbare PDF. Vrijlating volgde de volgende dag toen er met de rechtbank was gebeld om de authenticiteit van de uitspraak te bevestigen.

Naast de problemen rond dit individu speelt er een ander pijnpunt. Uitspraken zijn namelijk niet alleen voor de procespartijen op dat moment van belang. Ze vormen bij elkaar jurisprudentie die verifieerbaar juist moet zijn. In de toekomst kan dat specifiek voor een persoon, object, bedrijf of bestuursorgaan van belang zijn, maar ook als basis voor een geheel andere procedure. Je wilt dan geen ingewikkelde discussies over de uitspraak zelf.

Demonstratie fraude

De implementatie digitaal tekenen wordt nog opmerkelijker als de Rechtspraak een cursusvideo in de procedure inbrengt. In de video legt een vrouw uit hoe digitaal ondertekenen werkt. Daarvoor heeft zij drie tabbladen openstaan in Microsoft Internet Explorer. Op het eerste tabblad is zij ingelogd als een administrateur die de beslissing digitaal uitspreekt. Op het tweede tabblad is zij aangemeld als de rechter die ondertekent, terwijl ze op het derde tabblad de identiteit van de tweede rechter aanneemt. In haar eentje geleidt zij met succes een conceptuitspraak naar een dubbel ondertekende en uitgesproken zaak.

Dat één persoon meervoudig als anderen aangemeld kan zijn, logenstraft de effectiviteit van de toegangspas als tweede factor. Maar het legt nog een ander probleem bloot. Administratieve systemen worden soms anders gebruikt dan waarvoor ze zijn ontworpen. Het scenario opent een mogelijkheid dat een administratief medewerker namens de rechter met zijn of haar inloggegevens tekent.

Tijdens de zitting toont een rechter hoe hij ‘zijn’ digitale handtekening onder een echte uitspraak zet. “Voor ik teken lees ik altijd de uitspraak door”, stelt de magistraat en scrolt door een pdf-bestand snel naar beneden. Zonder te lezen stopt hij onderaan, valt stil, scrolt omhoog, wordt weer stil en vraagt dan aan de administrateur: “Hoe sluit ik dit [Adobe Acrobat] ook alweer?” Na het sluiten van de reader legt hij gespannen verder uit hoe hij in de webinterface een ondertekening zet. Het wekt niet de indruk van iemand die dit dagelijks doet.

Gemiste kansen

De zaak ademt onbegrip uit en het onvoldoende doorgronden van basisbeveiligingsprincipes. Door niet aan te sluiten bij bestaande nationale en Europese normen, open standaarden en afspraken kiest de Rechtspraak voor een bijzondere positie met hun zienswijze op de ‘digitale handtekening’. Implementatie van een zelf uitgevonden wiel is onnodig duur en complex. Bovendien grijpt de Rechtspraak naast de voordelen van echte digitale handtekeningen, zoals een hoge mate van zekerheid rond de authenticiteit van de ondertekenaars en integriteit van de uitspraak.

De digitale handtekening is slechts één uit een lange reeks van features, die past in een administratieve flow. Het lijkt er sterk op dat de Rechtspraak bestaande processen 1-op-1 heeft gedigitaliseerd, zonder daarin complexe zaken als identiteitsmanagement, authenticatie en cryptografie mee te nemen. Met een cursushandboek en een toegangspas krijg je geen betrouwbare digitale handtekening, zelfs niet met een budget 200 miljoen euro.

Een te innige band tussen overheid en journalistiek is niet gezond

Voor de Ommekeer TV spreekt Paul van Liempt met oud-onderzoeksjournalist Brenno de Winter over AIVD-informatie Van Hout, de innige banden tussen journalistiek en overheid en het debat rondom digitalisering en Huawei.

Update onderzoek naar Kaspersky Lab

Recentelijk heeft de Europese Commissie uitspraken gedaan over het risico rond Kaspersky Lab. Daarnaast heeft een wetenschapper onderzoek verricht naar de juistheid van de bewering dat Kaspersky Lab op basis van Russische spionage wetgeving gedwongen kan worden mee te werken aan Russische inlichtingenoperaties. Op basis van deze gebeurtenissen is het rapport bijgewerkt en zijn de nieuwe stukken aan de onderliggende onderbouwing toegevoegd.

Opmerking Kaspesky Lab heeft sinds het verschijnen een rebranding ondergaan en wordt nu Kaspesky genoemd. Voor de consistentie spreekt het rapport nog over Kaspersky Lab.

Waar gaat het rapport over?

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onderAlgemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken:

  1. Antivirussoftware heeft uitgebreide en diepgaande toegang tot een computer. Zulke toegang kan misbruikt worden voor spionage en sabotage.
  2. Als Russisch bedrijf is Kaspersky Lab volgens Russische wetgeving verplicht om bij de overheid mee te werken als de Russische inlichtingendiensten hierom verzoeken.
  3. De Russische Federatie heeft een offensief cyberprogramma. Dat laatste betekent dat het land met behulp van computers actief spionage en sabotage pleegt.

Het kabinet spreekt in een brief aan de Tweede Kamer van een voorzorgsmaatregel met als reden te vrezen voor spionage en sabotage. Daarbij schrijft het kabinet een eigen,aangescherpte afweging in het kader van de nationale veiligheid te hebben gemaakt. Inessentie komt de vrees van het kabinet erop neer dat de antivirussoftware van KasperskyLab, een bedrijf dat malware bestrijdt, zelf wordt ingezet als Trojaans paard ofwel malware.

Nederland beschikt niet over voorbeelden waaruit blijkt dat er misbruik is gemaakt van de antivirussoftware van Kaspersky Lab. Ook bij andere (Europese) landen en de Europese Commissie zijn er geen voorbeelden bekend. Als KRO-NCRV bij een journalistiek onderzoek met succes een beroep doet op de Wet openbaarheid van bestuur (Wob) komen nadere documenten beschikbaar.

Analyse

Brenno de Winter van De Winter Information Solutions is door Kaspersky Lab gevraagd een reconstructie te maken van de voorzorgsmaatregel van het kabinet en de drie observaties van het kabinet te analyseren. In een tijd van digitale operaties is het logisch en goed dat het kabinet alert is op de gevaren van spionage en sabotage. Dit rapport onderzoekt inhoudelijk en procedureel hoe de argumentatie vanuit het kabinet tot stand is gekomen, in hoeverre Kaspersky Lab op basis van deze argumentatie inderdaad een dreiging vormt en welke stappen noodzakelijk zouden zijn een dergelijke dreiging het hoofd te bieden.

VNG Crisisgame 2.0

Voor de Vereniging Nederlandse Gemeenten hebben Brenno de Winter en Barbara Bulten (De Winter) de nieuwe crisisgame mogen maken. Bibi Hoosein van de VNG heeft daarbij een sfeer gemaakt om de game ook echt tot iets moois uit te bouwen. Daarin wordt een informatiebeveiligings-incident gekoppeld aan fysieke dreiging. De game is in juli 2019 beschikbaar, maar de trailer is nu al openbaar en daar ben ik best trots op.

Trailer van de VNG Crisisgame 2.0

Ook zonder smoking gun is twijfel over Huawei terecht

Volgens een artikel in de Volkskrant zou Huawei mogelijk betrokken zijn bij spionage op een Nederlandse telecomprovider. Het gepresenteerde bewijs en de interpretatie ervan zijn in mijn ogen mager. Er is overigens wel reden om aan Huawei te twijfelen.

Huawei zou betrokken zijn bij de hack op een in Nederland opererende telecomprovider. Via een achterdeur zijn klantgegevens gestolen en dat is volgens de definitie computervredebreuk of simpel gezegd: hacking. De AIVD zou onderzoek doen. De krant baseert zich op inlichtingenbronnen. Over het journalistieke proces is niets bekend gemaakt.

Laten we er even vanuit gaan dat de journalist in kwestie een kloppend verhaal van zijn bronnen (zonder geopolitieke belangen) heeft gehad en het verhaal correct heeft begrepen en opgetekend. Dan vallen er een paar observaties te maken.

Rol Huawei onduidelijk

Er is nog veel onduidelijk. Om gegevens te stelen is gebruik gemaakt van een achterdeur. Zit de zwakheid in de software, in de hardware, is het een zwakheid die is misbruikt of echt een ingebouwde functionaliteit? We weten het niet. Of Huawei hier zelf slachtoffer van een hack is, actief betrokken, gedwongen betrokken of buiten hun weten om betrokken, is ook niet duidelijk. Beide scenario’s zijn realistisch.

Recentelijk werd een belangrijke modus operandi van de Chinezen bekend. Ze breken in bij makers van soft- en hardware, plaatsen malware in het productieproces. Onwetende fabrikanten – in dat geval het Taiwanese Asus en het Zuid-Koreaanse NetSarang – distribueerden de achterdeur zonder het zelf te weten. De verspreide software werd door de bedrijven wel voorzien van een digitale handtekening. Wie niet verder kijkt, verdenkt de Taiwanezen en de Koreanen. Uiteindelijk werd bewezen dat het de Chinezen waren. Huawei kan in zo’n scenario zelf slachtoffer zijn.

Aan de andere kant bleek recentelijk uit een (door experts omstreden) rapportage van de Britse overheid dat er diverse beveiligingsproblemen zijn met Huawei. Het bedrijf maakt nauwelijks voortgang met het oplossen van die problemen. Het niet oplossen van problemen kan opzettelijk zijn om spionage mogelijk te maken of laksheid zijn. Het is sowieso problematisch.

Huawei is – voor zover bekend – in één concrete zaak in verband gebracht met economische spionage. Dat werd duidelijk na de arrestatie van Meng Wanzhou, Huawei’s CFO, in Canada. Het bedrijf zou test-technologie van T-Mobile hebben gestolen. Deze zaak is civielrechtelijk in 2014 afgehandeld, maar de diefstal van technologie vormt nu een van de Amerikaanse aanklachten.

Klantgegevens

Een ander onduidelijk punt in het verhaal is wat voor klantgegevens zijn gestolen. Betreft het hier persoonsgegevens of gaat het om zakelijke informatie? Gaat het om administratie van het bedrijf, informatie over communicatie of zelfs de inhoud van communicatie?

Als het om persoonsgegevens gaat dan heeft de telecomprovider onder de AVG een meldplicht bij in ieder geval de toezichthouder. Bij ernstige inbreuken – en dat lijkt het wel te zijn als de AIVD betrokken is – moeten de betrokkenen op de hoogte worden gebracht door de provider. Mogelijk krijgt een grote groep mensen binnenkort bericht.

Daarnaast heeft een telecomprovider nog een meldplicht onder de Wet beveiliging netwerken en infrastructuren (Wbni). Bij grote hacks moeten telecomproviders in ieder geval een melding doen bij het National Cyber Security Center. Zo’n melding kan leiden tot aanvullende onderzoeken, zoals bijvoorbeeld van de AIVD.

Verder is onduidelijk wat de bron van het verhaal is. De gebruikte term ‘inlichtingenbronnen’ kan duiden op medewerkers van inlichtingendiensten, de nationale politie en zelfs inlichtingenafdelingen (telecom)bedrijven.

Door te stellen dat het hier mogelijk spionage betreft, moeten we er reken mee houden dat als dat zo is de aanvallende partij hoogwaardige expertise in de strijd kan werpen en over grote budgetten beschikt om tot een doel te komen.

Smoking gun

In de Volkskrant wordt gesproken van een smoking gun. Met de informatie die nu beschikbaar is, is het voorbarig om die conclusie te trekken. Er loopt nog een onderzoek bij in ieder geval de inlichtingendienst AIVD. Wat de onderzoeksvraag is, is onduidelijk.

Het is onbekend wat er is gebeurd, welke gegevens er zijn gestolen, wie er achter de aanval zit. Natuurlijk is het niet vreemd dat er naar China wordt gekeken.

Huawei heeft kennelijk een beveiligingsprobleem. Dat op zichzelf is reden tot zorg. Of de digitale inbraak de leverancier te verwijten is, moet blijken. In het verleden trad het kabinet met inhoudelijke informatie naar buiten toen ze de operatie van de Russen bij de OPCW onthulden. Als grote delen van een land betrokken zijn, is het niet onlogisch te verwachten dat die helderheid ons binnenkort weer wordt geboden.

Brenno over digitale spionage

Brenno de Winter spreekt in Café Weltschmerz over digitale spionage.

U kent dat wel: software updates die zich op iedere computer of smartphone melden om uw apparaatje automatisch bij te werken met verbeterende updates. Maar wat nu als er op die manier automatisch ook geavanceerde backdoors mee geïnstalleerd worden? Brenno de Winter legt uit hoe dit onlangs is gebeurd bij de Taiwanese telefoon en computerbouwer ASUS. Vanuit China bleek het update systeem van ASUS gehackt. Dit werd door het Russische beveiligingsbedrijf Kaspersky ontdekt. Opmerkelijk ook omdat juist Kaspersky door de Nederlandse overheid wordt geboycot, omdat het bedrijf haar roots in Rusland heeft! Brenno de Winter vertelt hoe het patchmechanisme voor een aanval als deze kon worden gehackt en hoe we ons daar in het vervolg beter tegen kunnen wapenen. Verder lezen kan bijvoorbeeld hier: ‪https://motherboard.vice.com/en_us/ar…