Alleen al vanwege PRISM geen EPD

Het afgelopen weekend domineerde het spionageschandaal het nieuws. De Amerikaanse overheid bespioneert iedereen die niet landgenoten of ingezetene van de VS is. Ons gedrag wordt per seconde geanalyseerd op een manier die noch wijzelf noch een geliefde ooit zou kunnen.

Dat dit mogelijk is, komt door de Patriot Act. Dat is Amerikaanse wetgeving die terreur moet tegengaan. Kennelijk vreest Obama u en mij meer dan zijn eigen ingezetenen. Dat de aanslagen in Boston, Oklahoma, Colorado en natuurlijk op 11 september 2001 door mensen van eigen bodem werden gepleegd, doet er kennelijk niet toe.

Als het verhaal van Obama klopt is niet duidelijk hoe hij een ingezetene wil scheiden van een niet-ingezetene. In de Verenigde Staten bestaat namelijk geen bevolkingsregister. Afgaande op de bron rond het spionageschandaal worden inderdaad ook profielen van landgenoten bijgehouden. Dus eigenlijk komt iedereen met maar een beetje digitaal leven wel in de systemen van de NSA voor.

Compleet beeld
PRISM geeft de Amerikanen een griezelig compleet beeld van uw en mijn leven. Want nu is duidelijk dat via Facebook, Google, Microsoft, Apple, Dropbox en diverse andere bedrijven gedetailleerde informatie wordt geleverd. Of het nu gaat om de flirtpartij, het zakelijk conflict, de documenten die gemeenteraadsleden vertrouwelijk op hun iPad krijgen, religieuze of politieke overtuiging of een voor de VS onacceptabel contact: alles maar dan ook alles wordt bewaard.

En dat is alleen nog maar de input uit het PRISM-programma. Via National Security Letters wordt informatie gevorderd en ook daarvan weten wij niet welke gegevens of databases ons betreffen. Hoe die informatie kan worden ingezet valt te zien in de video van de bron voor het PRISM-verhaal Edward Snowden uitlegt hoe het systeem werkt en gebruikt kan worden. De duiding doet griezelig veel aan Stasi-praktijken denken, maar betreft echt 2013 en niet 1983.

EPD
Maar waar de Stasi met de vingers niet zomaar aan onze medische dossiers kon komen, is dat voor de Amerikaanse overheid nog niet zo zeker. Het Elektronisch Patiëntendossier (EPD) wordt nog altijd aan elkaar geknoopt door het Amerikaanse bedrijf CSC. Dat bedrijf – overigens een oud-werkgever van me uit een grijs verleden ver voor de aanslagen van 2001 – zal gewoon moeten leveren als de NSA dat wil.

Maar misschien hoeven ze niet te leveren, want de onderneming blijkt wel hele fundamentele fouten te hebben gemaakt met beveiliging van andere gevoelige gegevens. Zo is de database met Deense rijbewijsgegevens gehackt, de database met Deense BSN-informatie, het IT-systeem van de Schengenzone en de e-mailaccounts pluswachtwoorden van 10.000 politieagenten en belastingmedewerkers.

Het boezemt geen vertrouwen in als een club zo met informatie van Europese burgers omgaat. Weer een voorbeeld waarom de huidige aanpak van het EPD geen gelukkige is. Mij lijkt een nerd van de The Pirate Bay minder bedreigend dan een Amerikaanse overheid die mijn gegevens langer dan ik leef bewaart. Maar met CSC krijg je kennelijk beide bedreigingen. Daarom wil ik niet in het EPD, maar die uitzondering zal ook wel weer in een PRISM-systeem worden opgeslagen.

De Chinese barbecue voor Justitie

Als er iets is wat wij goed kunnen in Nederland is het weggeven. Natuurlijk kun je denken aan de anderhalve miljard euro die richting Bulgaren is verdwenen of de miljarden die we hebben gedoneerd aan banken en landen als Griekenland, Cyprus of Portugal. Maar daarnaast doneren we ook bedrijfsgeheimen aan landen als China, Rusland, Roemenië en – daar zijn ze weer – Bulgarije.

Want inmiddels wordt er zoveel gestolen bij het Nederlands bedrijfsleven dat de AIVD het bestempelt – en let even op de bewoording – als een ‘groeiende bedreiging voor de nationale veiligheid‘. Ergo: het was al een bedreiging van de nationale veiligheid en in 2012 is het probleem alleen maar toegenomen. Ook de beveiligingsexperts van Verizon bevestigen dat beeld in hun jaarlijkse rapportage. Beide rapportages mogen we als gezaghebbend zien.

Massale diefstal
Wat hier beschreven wordt is een massale diefstal van bedrijfsgeheimen die zijn weerga niet kent. Het kapitaal waarmee onze kenniseconomie moet worden opgebouwd lekt aan alle kanten weg. Miljarden schade waarvan u de pijn nog moet gaan voelen, omdat Chinese bedrijven straks met onze kennis producten maken en gaan leveren aan… juist: Nederland. Daar sta je dan als bestolen bedrijfsleven.

Hoe zoiets bijvoorbeeld werkt toonde het bedrijf Digital Investigations in 2012 aan toen het bewijs in handen kreeg hoe bedrijfsdocumenten, netwerkstructuren en zeer gedetailleerd gedrag van computergebruikers van ruim 150.000 computers is gestolen. Later zou blijken dat het bedrijf het bewijs wel aan de politie had gegeven, maar dat het Team High Tech Crime er niets mee had gedaan. Terecht, want de politieke leiding van het Ministerie van Veiligheid en Justitie deed de massale besmetting eerder af als een ‘komkommerverhaal‘.

Basale beveiligingsfouten
Het is al langer bekend dat het Nederlands bedrijfsleven gewoon slecht is beveiligd. Datalekken zijn aan de orde van de dag. Het goede nieuws is dat we veel problemen relatief eenvoudig kunnen voorkomen, maar dan moet een onderneming wel weten dat er een probleem speelt. Gelukkig hebben we veel beveiligingsonderzoekers en hackers die zwakheden ontdekken en die ook wel publiek willen maken. Dan kunnen we daar wat van leren.

De keerzijde is dat de overheid beleid heeft gemaakt dat melden zo frustreert dat het maar beter is om niets te melden. Kennelijk kan het de overheid geen biet schelen hoe slecht dit is voor de BV Nederland. Want wie bij zijn ontdekking gebruik heeft gemaakt van beproefde technieken als ‘vaker hetzelfde proberen’ of ‘informatie via een telefoontje in handen krijgen’, riskeert vervolging.

Barbecue
Vandaag is iedereen welkom bij de hackerspace Revspace om te discussiëren.  Cybercrime Officier van Justitie Lodewijk van Zwieten zal fijntjes uitleggen dat het allemaal prima gaat: puistenhoofdjes worden met meer agenten van hun bed gelicht dan nodig zijn om Badr Hari aan te houden, terwijl de economische diefstal vrolijk doorgaat.

De Haagse hackers gaan met een barbecue nu het debat in openheid aan. U bent welkom. Dat is moedig en goed van ze. Laat ze maar kritisch vragen waarom deze overheid de echte problemen negeert, critici het liefst de mond snoert, hackerskampen tot hun domein willen maken en niets liever wil dan inbreken op uw mobiele telefoon en computer. Mocht een justitiemedewerker stiekem met stokjes eten dan weet u wie zijn echte broodheer is.

Na de Fyra is het tijd voor een visie op de mobiliteitsvraag van de toekomst

Eindelijk is de kogel door de kerk: de V250-Fyra is een definitief mislukt project. De ondergang is niet alleen een afgang voor NS, maar het einde van de internationale ambities voor het spoorwegbedrijf. Tijd om een echte visie te ontwikkelen.

Met de ondergang van de Fyra is de laatste internationale ambitie van NS ten onder gegaan: we hebben geen eigen internationale treinen meer. De IC-Berlijn, de Eurocity Nightline en de ICE naar Basel en Frankfurt zijn allemaal succesvolle initiatieven van andere landen waarin Nederland mag meespelen. En zelfs dat gaat moeizaam, want wie kaartjes koopt doet er slimmer aan om die op de website van Deutsche Bahn of NMBS te kopen in plaats van de site van NS Hispeed.

Struisvogelpolitiek
De affaire Fyra roept de vraag op of de Nederlandse Spoorwegen wel bij machte zijn een dergelijk groot project tot een goed einde te brengen. Kon ons spoorwegbedrijf eigenlijk wel voldoende regie voeren om zo’n duur experiment goed aan te kunnen? Een structurele geheimzinnigheid bij het bedrijf en een weigering openheid van zaken te geven, maken die indruk niet beter.

Die struisvogelpolitiek is wat het bedrijf kenmerkt. Voorlichters gaven het beeld van een Fyra die gaat rijden – hoe ongeloofwaardig ook – en NS Hispeed bleef maar hoop wekken richting reizigers. Het getuigt niet van realiteitszin, zoals die er in België wel was.

De Belgische overheid nam na het eerste incident meteen haar verantwoordelijkheid en trok de vergunning om te mogen rijden met de V250-trein in. De Nederlandse overheid deed dat niet. NMBS was meteen open en eerlijk over de problemen, terwijl NS schimmig deed. De Belgen openbaren een rapport met schokkende nieuwe informatie over de ernst van de problematiek en schoorvoetend erkent NS hetzelfde.

Visie
Misschien is een hogesnelheidsambitie voor de NS gewoon teveel gevraagd. Na de miljardeninvestering in de HSL-Zuid wordt het tijd voor een echte visie op wat we nu met het spoor willen. Het is tijd dat echt wordt nagedacht over de mobiliteitsvraag voor de toekomst.

Misschien is het concept Thalys toch zo gek nog niet, want die treinen rijden wél en bereiken echt hoge snelheden van 300 kilometer per uur. Visionair zou het zijn om iedere tien minuten een trein te laten rijden van Amsterdam via Brussel naar Parijs en Londen. Van hartje hoofdstad naar hartje hoofdstad.

De Eurostar en Thalys functioneren en zullen alleen in grotere getale moeten worden aangeschaft. Ondertussen laten we de NS als regionale vervoerder zorgen voor het nationale spoornet. Dat is al complex genoeg en heeft voldoende problemen. Dan kunnen ze ook werken aan die andere miljarden miskleun: de OV-chipkaart.

De techno-optimisten van Ivo Opstelten

Dit weekend debatteerden hackers, beveiligingsindustrie en politie over beveiliging tijdens #OpCyberpaint of ‘Operation Black Hat Down’

Tijdens de debatten kwamen belangrijke thema’s aan bod: is de overheid bij machte fatsoenlijk met technologie om te gaan? Is het nog veilig om lekken te melden als je vervolging riskeert? Is het verstandig om de politie te laten hacken in het buitenland? Waar ligt de grens in het mogen aantonen van het falen van een bedrijf of de overheid in het beveiligen van onze gegevens?

Mooie vragen, waarop geen eenduidig antwoord kwam. Al waren de aanwezigen eigenlijk allemaal techneuten die allemaal zien dat het in Nederland niet goed gaat, dat is niet waar het om draait. De techno-optimisten van minister Ivo Opstelten (Veiligheid en Justitie) bepalen wat er beleidsmatig gebeurt. Dat de politie niet met de goede zaken bezig is, blijft immers een keuze van het Openbaar Ministerie.

Techno-optimisten
De techno-optimist gaat niet snel in debat, want dan komt het op inhoudelijke argumenten aan en technologie heeft in hun ogen geen problemen. En als die toch worden gemeld pakt men volgens goed Hollands gebruik vooral de boodschapper aan. Net zo lang tot nagenoeg niemand meer iets durft te melden.

Bovendien was het jammer dat de techno-optimisten er niet waren omdat na het debat werd er gepaintballd. En wat zou het stoer zijn geweest om als hackers, politie, medewerkers van het Nationaal Cyber Security Center en industrie het eens tegen de mannen en vrouwen van Opstelten op te nemen.

Alles digitaal
Maar de beleidsmakers van Opstelten werkten onvermoeibaar door. In de week dat een relatief simpel administratief systeem bij de politieacademie mislukt bleek, kwam het idee om voor 2017 de hele BV Nederland digitaal te hebben.

Je hoeft geen wetenschapper te zijn om te begrijpen dat dit een miljarden verslindend kansloos ICT-project gaat worden. Want wie met de huidige mentaliteit op kleinere schaal (zeg honderden miljoenen) veel verprutst gaat dat op grotere schaal echt niet beter doen. De stemcomputer, het EPD of de OV-chipkaart: het blijft tobben.

Toekomstbeeld
Deze week wordt in de Tweede Kamer over de hackbevoegdheid in de opsporing gesproken, waarmee mijns inziens een soort cyberoorlog start. Daar worden we niet bepaald veiliger van. Een dag later ben ik een van de mensen die aan politici bij een hoorzitting mag uitleggen waarom het nu verkeerd gaat met de beveiliging bij banken.

Misschien moeten we het volgend jaar omdraaien: dan laten we politici met beleidsambtenaren paintballen en begrip voor elkaar krijgen. Ondertussen knutselen beveiligingsexperts en hackers aan wetten, waarborgen digitale vrijheid, stoppen megalomane kansloze projecten en ontwikkelen een echte visie voor onze digitale toekomst.

Internet en crowdfunding kunnen wat banken niet kunnen

Miljarden belastinggeld zijn geïnvesteerd in het overeind houden van systeembanken. Maar recentelijk ben ik me gaan afvragen of dat wel nodig is. Er zijn andere wegen om de economie draaiend te houden en die lijken beter te werken. Internet kan wat bankiers niet kunnen.

Naast schrijven over beveiliging vertel ik er ook graag over. Toen vorig jaar oktober een groot bedrijf mij vroeg een roadshow te doen van een aantal dagen was ik enthousiast. Daarvoor was het wel nodig dat er ook een aantal demonstraties werden gegeven door een door mij in te huren persoon.

Bankje spelen
De beste man wilde – terecht – zijn geld snel hebben en had dat ook binnen 24 uur. Maar na het insturen van de factuur moest er een aanvullende opdracht komen. Een maand later mocht ik eindelijk factureren en begon de betaaltermijn van 90 dagen te lopen. Enfin in april had ik mijn geld binnen.

Zonder het te willen zat ik dus een bedrijf van krediet te voorzien, want ik heb wel moeten investeren. Een kleine rondvraag leerde dat dit ‘heel normaal’ was. Een vriendin van me heeft een kleine MKB-onderneming en draait haar beste jaar ooit… op papier. In de praktijk leiden de idioot lange betalingstermijnen tot liquiditeitsproblemen. In september moet dat volgens haar wel achter de rug zijn.

Geen geld
Kleine ondernemers met een prima lopend bedrijf hebben het dus daarom opeens zwaar. Op zich hoeft dat geen probleem te zijn, want banken kunnen een overbruggingskrediet verstrekken. Dat is verstandig, want het MKB is toch de motor van de economie.

Alleen waar het bankwezen alles mag verprutsen om vervolgens te worden uitgekocht door de belastingbetaler (lees: ook veel MKB-ers) geven zij zelf massaal niet thuis. De eerste tien ondernemers die ik erover sprak herkenden dit probleem.

Toch geld
Een vriend van me heeft een jaar geleden zijn derde bedrijf opgericht. Na investeringen wordt er omzet gedraaid. Alleen loopt hij tegen de trage werking van de economie aan en heeft hij een relatief overzichtelijk overbruggingskrediet van €60.000 nodig. Experts vinden zijn bedrijf kansrijk, maar de banken niet. En dus zou het initiatief stranden bij de geur van succes.

Om niet ten onder te gaan ging hij naar de crowdfundingwebsite waar burgers en bedrijven anderen geld kunnen uitlenen. Hij vroeg en kreeg het krediet in drie dagen bij elkaar. Tientallen investeerders hebben kennelijk wel het vertrouwen dat banken mijn goede vriend niet durven geven.

Het leuke van het systeem is dat, na de eerste screening, de investeerder zelf ook nog eens screent. Sommige projecten halen dus niet het geld op, terwijl anderen heel snel rond zijn. Zo regelen inmiddels honderden bedrijven hun overbruggingskrediet, of worden start-ups gefinancierd.

Geen bank nodig
Het vraagt natuurlijk vertrouwen van mensen om vreemden geld te lenen. Maar tot nu heeft de site via wie mijn vriend zijn krediet kreeg iedere lening kunnen innen. Kennelijk allemaal goede leningen die banken dus gewoon hadden moeten verstrekken.

Zelf mocht ik ook rekenen op de steun van honderden mensen toen het Openbaar Ministerie mij op duizenden euro’s kosten joeg door alleen achter mij aan te gaan voor het onderzoek naar de OV-chipkaart. De eerste nood van 2500 euro werd in 58 minuten geledigd. Met dank aan NU.nl, Webwereld, PC-Active en GeenStijl.

Zowel mijn vriend als de vriendin regelen hun krediet nu buiten de banken om. In het geval van crowdfunding is dat goedkoper dan bij de bank, maar ook voor de kredietverlener is het zeer aantrekkelijk: zes tot tien procent rente per jaar. Zo’n vijf keer zoveel als op een spaarrekening. Dus besloot ik ook een beetje te helpen. Van je vrienden moet je het immers hebben.

Terughackende politie: de duivel uitdrijven met Beëlzebub

Het wetsvoorstel om de politie te laten hacken is in de kern – om maar eens een oud spreekwoord te gebruiken – niets anders dan de duivel uitdrijven met Beëlzebub. Met de bevoegdheden kan namelijk zoveel schade worden aangericht dat je je moet afvragen of het middel niet erger is dan de kwaal.

De gedachte lijkt heel simpel: als er ergens op internet iets gebeurt dat vanuit strafrechtelijk oogpunt twijfelachtig is, breek je in en vernietigt de data, haalt bewijs op of verstoort het proces. Daarmee maak je een voortijdig einde aan de criminele praktijk, verzamel je een stortvloed aan bewijs en hou je vinger aan de pols bij de crimineel.

Problemen
Tot zover de theorie. De praktijk is weerbarstiger. Zo is het bijna onvermijdelijk dat er wordt ingebroken bij onschuldige personen bij wie kwaadaardige software is geïnstalleerd  Uit het recente verleden in Duitsland weten we dat dit soort programmatuur wemelt van fouten, waardoor niet is uit te sluiten dat er grove fouten door opsporingsinstanties worden gemaakt, dat bewijs wordt verminkt of de crimineel zelfs in staat is de politie terug te hacken. Dat laatste heeft natuurlijk ook wel humor.

Maar daar houden de problemen niet op, want de techno-optimisten gaan wel heel gemakkelijk aan voorbij dat er bij het hacken ook wel wat mis kan gaan. Neem het risico dat in binnen- of buitenland een bedrijfsproces ernstig wordt verstoord. We zien nog wel eens gevoelige systemen op internet staan en door een hack kan een chemisch proces ontsporen, een brug of sluis verkeerd ingesteld raken of kan bij sommige vervoersbedrijven wissels verkeerd worden gezet.

Illegaal?
Daarnaast is het ook juridisch twijfelachtig wat er hier gebeurt. Zo is het maar de vraag of de Nederlandse politie bevoegdheid heeft om in te breken in computers in Rusland, Duitsland, Australië of Koeweit. Een deel van de bevoegdheden is zelfs niet toegestaan op basis van internationale verdragen. Daar laveert Ivo Opstelten handig omheen door het alleen dan te doen als men niet weet waar men inbreekt.

Als je niet weet waar je inbreekt dan is het lastig vast te stellen dat de inbraak rechtmatig is. Want wat illegaal is in Nederland hoeft dat nog niet in andere landen te zijn. In de Verenigde Staten mag je dingen zeggen, die in Nederland verboden zijn. Het beledigen van het Nederlands koningshuis is in veel landen niet illegaal. Hoe je zorgvuldig kunt zijn met bijzondere actiegroepen en journalisten die soms net iets meer mogen, is ook niet helemaal duidelijk.

Ineffectief
Maar los van al deze bezwaren spelen er grote risico’s voor het strafrechtelijk onderzoek zelf. Jurist Walter van Holst vroeg zich al af wat een bedrijf doet als zij een inbraak merken. Binnenkort is er een meldplicht en worden mensen geïnformeerd. Een goed lopend onderzoek kan daarmee opeens publiek worden en mogelijk meteen verprutst.

Over de effectiviteit kun je ook veel vragen stellen. Bij de DDoS-aanvallen op Nederland (ING, Rabobank, ASN, SNS, NS, OV-chipkaart.nl, KPN, DigiD, enzovoort) is niet duidelijk wie je moet hacken. Ook bij de Diginotar-zaak is het onderzoek inmiddels onverricht gesloten. Daar helpt hacken dus niets bij. Om te kunnen hacken moet je lekken hebben en gaat onze overheid – net als bij cyberoorlog – ons onveiliger laten zijn om de politie maar te kunnen laten hacken?

Beëlzebub
Mijn goede vriend Jan, een intellectueel jurist die nog altijd schrijft met een vulpen en voorzichtig aan een tablet is begonnen, vroeg me dit weekend of Opstelten de duivel niet aan het uitdrijven is met Beëlzebub. Tja Jan… daar lijkt het verdacht veel op.

Maar troost je, want een andere vriend in de VS – federaal agent – ziet het wel positief:

It’s nice, in a perverted way, to know that the US Congress isn’t the only crazy national legislature.

Apple steekt klanten een mes in de rug

Wie met gevoelige data werkt op Apple-hardware moet zich serieus afvragen of zijn gegevens nog wel veilig zijn. Het bedrijf heeft namelijk een achterstand met het op verzoek van de politie ontsleutelen van iPhones van hun klanten.

Het bedrijf heeft dus een achterdeur om dat ontcijferen te kunnen doen. Gelet op het besturingssysteem zal hetzelfde voor iPads gelden en mij is niet duidelijk waarom Apple niet hetzelfde zal doen met de diskversleuteling van de Mac.

Onveilig
Systemen met achterdeurtjes zijn naar hun aard onveilig. Enerzijds komt dat omdat mensen die niet zijn geautoriseerd bij gegevens kunnen komen, anderzijds doordat meer mensen de achterdeur kunnen ontdekken. Software is vaak terug te zetten naar de broncode (decompileren heet dat) en dan kunnen meer partijen de werking achterhalen.

Daarnaast is niet duidelijk voor wie Apple dit allemaal doet: de Amerikaanse overheid? De Nederlandse? China? India? Zou Apple dit ook zelf gebruiken op het moment dat het bedrijf een computer voor reparatie in handen krijgt? Het bedrijf heeft via de eigen clouddiensten al toegang tot enorm veel informatie. Allemaal zeer valide vragen, waarop het bedrijf geen antwoord geeft.

Maar misschien is nog wel het belangrijkste argument dat wij als klanten een mes in de rug krijgen. Ons wordt voorgespiegeld dat wij veilige software van het bedrijf krijgen dat in staat is onze informatie voor onszelf te houden. Apple wordt daar zo rijkelijk voor beloond dat het inmiddels het rijkste bedrijf ter wereld is. Maar we krijgen niet het product dat we denken te kopen.

Einde achterdeurtjes
Ik heb geen flauw idee welke andere achterdeurtjes er in de software zitten. Of het bedrijf ook in staat is uw telefoongesprekken af te luisteren, uw camera op afstand te bedienen, uw mail te lezen of door uw documenten gaat. Juist beveiliging is een zaak van vertrouwen en Apple bewijst nu dat vertrouwen niet waard te zijn.

Een paar weken geleden zag ik de bui al hangen, want er waren experts die twijfelden over de versleuteling op de Macs. Ik heb toen eieren voor mijn geld gekozen en ben overgestapt op Linux. Daar heb je zelf meer controle over de beveiliging en kun je veel ellende voor zijn. De stap doe ik met pijn in het hart, want esthetisch is Mac gewoon mooi.

Toch offer ik niet mijn bronnen op aan een feel good en bescherm toevertrouwde informatie zo goed als ik kan. Voor een leverancier die zegt data versleutelt te hebben en er dan toch bij kan, is dan absoluut geen plaats. Jammer dat de onderneming niet in staat is te zien welke broodheer hij moet dienen. Het waren tien fantastische jaren.

XS4ALL laat nog altijd zien wat de politiek niet kan

Vandaag is het op de kop af twintig jaar geleden dat XS4ALL werd opgericht. Een provider voortvloeiend uit Hack-Tic het lijfblad van een gemeenschap van Nederlandse hackers. Met vooruitziende blik werd mensen toegang tot internet geboden. Men was gelukkig als er na een jaar 500 deelnemers zouden zijn, maar dat aantal werd na een dag al gehaald. Dus werden zaken serieuzer aangepakt en was een internetprovider geboren.

Er waren al twee andere providers, maar wat XS4ALL uniek maakte was de groep mensen. Zij begrepen niet alleen de technische impact van technologie, maar ook de sociaal maatschappelijke gevolgen ervan. Met dat kennisniveau werden debatten gevoerd waar iedere internetter vandaag in Nederland nog iets aan heeft.

Censuur
De rechtszaken rond Scientology legden niet het naargeestig karakter van deze groep bloot, maar maakten ook duidelijk dat het niet normaal is om zomaar onder juridisch geblaf websites af te sluiten. Natuurlijk is het probleem van mensen de mond snoeren daarmee niet verholpen, maar de jurisprudentie helpt en het is duidelijk dat verweer mogelijk is. Nu is het Stichting Brein die een nieuwe poging waagt, en is het opnieuw XS4ALL die zichzelf in de strijd heeft geworpen.

Toen de Duitse overheid een website verplicht wilde laten filteren (een tactiek die later door Stichting Brein zou worden overgenomen) ontwikkelde XS4ALL technieken om dit soort blokkades te voorkomen. Dat zou van onschatbare waarde blijken voor activisten die hun verhaal naar de buitenwereld wilden krijgen.

Modem
Zelfs verouderde technieken houdt de provider in stand. Zo kon tijdens de Arabische lente nog met een modem worden ingebeld bij XS4ALL. Daardoor konden dissidenten hun verhaal toch aan de wereld tonen, want regimes sloten wel internet af maar initieel niet de telefonie. Via dure gesprekken kon u in de wereld volgen wat er gebeurde tijdens de revoluties.

Het bedrijf is inmiddels overgenomen door KPN en heeft daardoor wel iets van de wilde haren verloren. Maar een verjaardag van zo’n bedrijf is toch bijzonder. Iedere internetter zou de visionairen Rop Gonggrijp, Paul Jongsma, Felipe Rodriquez en Cor Bosman dankbaar moeten zijn. Zij wisten toen, twintig jaar geleden, technologie en politiek te koppelen met visie. Precies daaraan schort het nog steeds: de overheid heeft wel techneuten in dienst, maar de bestuurders die aan de knoppen van het internet zitten missen die uniek visie.

Opstelten en hackers: niet lullen maar poetsen!

Na miljarden aan belastinggeld te hebben verstookt voor het redden banken, wordt ons betaalverkeer via ‘systeembanken’ platgelegd door kinderlijk eenvoudig uit te voeren cyberaanvallen.

Volgens minister Opstelten moesten de banken dit vooral zelf regelen om nu enorm laat met een ‘topoverleg’ te komen.

De realiteit is echter dat het maar beperkt mogelijk is je te wapenen tegen een zogenaamde DDoS-aanval. Wie een paar tientjes over heeft legt met gemak een webwinkel of bank een uur of wat plat. Allemaal aanvallen die je via internet kunt kopen. Bij RSA Security hebben ze experts die enorm bedreven zijn in het in kaart brengen van de netwerken achter dit soort criminaliteit. Dat bedrijf investeert hoogwaardige, intelligente expertise op dit gebied en heeft een kundig centrum in Israël.

Weinig actie

In Nederland is sinds 11 september 2001 weinig anders geroepen dan dat opsporing meer macht moet hebben, wetten moeten worden opgerekt en we onze privacy maar moeten inleveren voor betere bescherming. De behoefte lijkt onverzadigbaar, want Opstelten komt zelfs met plannen om nog meer macht te krijgen. Spioneren op pc’s van argeloze burgers? Inbreken in andere landen? Nog intensiever tappen? Nog meer in de gaten houden wat wij op sociale media uitvreten? Geen probleem!

Maar waar blijven de resultaten? Natuurlijk, als een database van pensionado’s van de politie slecht beveiligd is, komt de opsporing op volle toeren in actie. Maar de dader(s) van de hack op Diginotar lopen nog vrij rond. Dat was wel een zaak waar de nationale veiligheid in het geding kwam, digitale handtekeningen bijna onderuit gingen en Nederland aanzien verloor. Angstvallig worden documenten hierover geheim gehouden, en ik moet juridische procedure op procedure voeren om nog maar iets helder te krijgen.

Botnet

Of neem het Pobelka-botnet dat grotendeels op Nederland was gericht. Rickey Gevers van het bedrijf Digital Investigations kreeg keihard bewijs in handen dat 150 duizend computers niet alleen waren geïnfecteerd, maar nauwgezet overheids- en bedrijfsnetwerken in kaart brachten en kopieën maakten van documenten die anders zorgvuldig geheim worden gehouden. Gevers leverde de informatie bij de politie op een presenteerblaadje aan, maar die deed niets. Pas toen er reuring kwam, ontdekte men dat de data niet leesbaar was.

Diezelfde politie en justitie heb ik tot drie maal toe erop gewezen hoe Russische criminelen zichzelf geraffineerd toegang verleenden tot honderden databases met de gegevens van miljoenen Nederlanders. Het bewijs lag kant en klaar, maar maanden verstreken en niets gebeurde. Uiteindelijk schreef ik diverse artikelen en dat was het dan. Nou ja de politie belde nog een keer met de mededeling dat ik te kritisch naar de overheid was.

Aan de slag!

Nu ligt er een daadwerkelijk probleem: systeembanken worden onderuit geschoffeld, webwinkels leiden miljoenen schade, het vertrouwen in banken neemt af en dus ondervindt de economie hier hinder hiervan. Maandag gaat Opstelten praten met de banken om het beeld hoog te houden dat de regering geïnteresseerd is in wat er allemaal gaande is. Wij moeten vrijheden opgeven voor bescherming. Dus is het nu niet tijd voor een maatschappelijke aai over de bol, maar hard resultaat.

De wetswijzigingen mogen er niet zijn voor de controlestaat, maar moeten echt iets opleveren. Waarom kan een bedrijf als RSA wel zaken goed in beeld brengen zonder allerlei machtsmiddelen en lopen wij zo enorm achter? Het is duidelijk dat de focus echt heel anders moet liggen. Het is tijd dat Opstelten zich weer als Rotterdammer gaat gedragen: niet lullen maar poetsen!

Geloof die excuses van ING maar niet

Afgelopen week werd pijnlijk duidelijk hoe afhankelijk veel mensen van online bankieren zijn: ING toonde verkeerde saldi en de persvoorlichting hield zich voor de pers schuil. Een waardeloze vertoning, die het vertrouwen in online bankieren compleet onderuit haalt, want het beeld is nu: onze banken kunnen ons geld niet goed bijhouden. Criminelen maken daar handig gebruik van.

Veel journalisten vroegen zich – volkomen terecht – af of ING massaal was gehackt. Dat is het nachtmerriescenario waar iedere burger bang voor moet zijn. Geen overheid zou dit soort hacks kunnen vergoeden; de diefstal zou echt massaal zijn. De schimmigheid van ING maakte de situatie niet beter, want juist een bank moet ervoor zorgen dat de financiële administratie op orde is.

Cybercriminaliteit
Rond de risico’s die we lopen wordt in Nederland vaak schimmig gedaan, terwijl het delen van kennis juist helpt om de gevaren goed op het netvlies te krijgen. Vorige week gaf RSA Security openheid van zaken door te tonen hoe kinderlijk eenvoudig het is om misbruik te maken van mensen en hoe dit soort problemen vorm krijgen.

Het blijft verbazingwekkend hoe geraffineerd hackers complete netwerken weten op te bouwen en desnoods elke toetsaanslag van gebruikers, elk scherm en elk bestand naar hun hand kunnen zetten. In een voorbeeld werd getoond hoe een webpagina door oplichters zo werd aangepast dat argeloze klanten niet doorhadden hoe hun bankrekening werd leeggeroofd.

RSA ziet jaarlijks honderdduizenden oplichtersmails langskomen. Een gemiddelde nepsite levert de oplichters zo’n 300.000 dollar per uur op, en dat terwijl het al snel zo’n elf uur duurt voor de oplichterswebsite is platgelegd. Misdaad loont dus gewoon.

Massaal
Door de geheimzinnigheid rond het onderwerp is niet meteen duidelijk dat het probleem een serieuze omvang heeft. Maar dat is wel zo. Nederland heeft de twijfelachtige eer om op de zevende plaats qua misbruik te staan, met een schade van een kleine tien miljoen dollar. Ter vergelijk: de eerste plaats wordt bezet door het Verenigd Koninkrijk, waar een duizelingwekkende 615 miljoen dollar is buitgemaakt.

Door de relatief goede economie en de relatief sterke euro vormt ons land een aantrekkelijk doelwit. Het is dus zaak om waakzaam te zijn en vooral niet te reageren op uitnodigingen via mail of social media. Alleen het bezoeken van een website kan al een probleem blijken, omdat dan kwaadaardige software op de computer wordt geladen. Criminelen zijn snel: de eerste nepexcuses met een verzoek om een account bij te werken zijn inmiddels al beschikbaar.

Leer ervan! Banken vragen niet per mail om gegevens en een excuus van een zelfgenoegzaam bedrijf als ING is wel een hele slechte smoes. Van een onderneming die geen opheldering op reële vragen wenst te geven en publiekelijk zich niet beschikbaar toont, zijn welgemeende excuses ook ver te zoeken. Zeker per mail. Niet op reageren dus.