Ook zonder smoking gun is twijfel over Huawei terecht

Volgens een artikel in de Volkskrant zou Huawei mogelijk betrokken zijn bij spionage op een Nederlandse telecomprovider. Het gepresenteerde bewijs en de interpretatie ervan zijn in mijn ogen mager. Er is overigens wel reden om aan Huawei te twijfelen.

Huawei zou betrokken zijn bij de hack op een in Nederland opererende telecomprovider. Via een achterdeur zijn klantgegevens gestolen en dat is volgens de definitie computervredebreuk of simpel gezegd: hacking. De AIVD zou onderzoek doen. De krant baseert zich op inlichtingenbronnen. Over het journalistieke proces is niets bekend gemaakt.

Laten we er even vanuit gaan dat de journalist in kwestie een kloppend verhaal van zijn bronnen (zonder geopolitieke belangen) heeft gehad en het verhaal correct heeft begrepen en opgetekend. Dan vallen er een paar observaties te maken.

Rol Huawei onduidelijk

Er is nog veel onduidelijk. Om gegevens te stelen is gebruik gemaakt van een achterdeur. Zit de zwakheid in de software, in de hardware, is het een zwakheid die is misbruikt of echt een ingebouwde functionaliteit? We weten het niet. Of Huawei hier zelf slachtoffer van een hack is, actief betrokken, gedwongen betrokken of buiten hun weten om betrokken, is ook niet duidelijk. Beide scenario’s zijn realistisch.

Recentelijk werd een belangrijke modus operandi van de Chinezen bekend. Ze breken in bij makers van soft- en hardware, plaatsen malware in het productieproces. Onwetende fabrikanten – in dat geval het Taiwanese Asus en het Zuid-Koreaanse NetSarang – distribueerden de achterdeur zonder het zelf te weten. De verspreide software werd door de bedrijven wel voorzien van een digitale handtekening. Wie niet verder kijkt, verdenkt de Taiwanezen en de Koreanen. Uiteindelijk werd bewezen dat het de Chinezen waren. Huawei kan in zo’n scenario zelf slachtoffer zijn.

Aan de andere kant bleek recentelijk uit een (door experts omstreden) rapportage van de Britse overheid dat er diverse beveiligingsproblemen zijn met Huawei. Het bedrijf maakt nauwelijks voortgang met het oplossen van die problemen. Het niet oplossen van problemen kan opzettelijk zijn om spionage mogelijk te maken of laksheid zijn. Het is sowieso problematisch.

Huawei is – voor zover bekend – in één concrete zaak in verband gebracht met economische spionage. Dat werd duidelijk na de arrestatie van Meng Wanzhou, Huawei’s CFO, in Canada. Het bedrijf zou test-technologie van T-Mobile hebben gestolen. Deze zaak is civielrechtelijk in 2014 afgehandeld, maar de diefstal van technologie vormt nu een van de Amerikaanse aanklachten.

Klantgegevens

Een ander onduidelijk punt in het verhaal is wat voor klantgegevens zijn gestolen. Betreft het hier persoonsgegevens of gaat het om zakelijke informatie? Gaat het om administratie van het bedrijf, informatie over communicatie of zelfs de inhoud van communicatie?

Als het om persoonsgegevens gaat dan heeft de telecomprovider onder de AVG een meldplicht bij in ieder geval de toezichthouder. Bij ernstige inbreuken – en dat lijkt het wel te zijn als de AIVD betrokken is – moeten de betrokkenen op de hoogte worden gebracht door de provider. Mogelijk krijgt een grote groep mensen binnenkort bericht.

Daarnaast heeft een telecomprovider nog een meldplicht onder de Wet beveiliging netwerken en infrastructuren (Wbni). Bij grote hacks moeten telecomproviders in ieder geval een melding doen bij het National Cyber Security Center. Zo’n melding kan leiden tot aanvullende onderzoeken, zoals bijvoorbeeld van de AIVD.

Verder is onduidelijk wat de bron van het verhaal is. De gebruikte term ‘inlichtingenbronnen’ kan duiden op medewerkers van inlichtingendiensten, de nationale politie en zelfs inlichtingenafdelingen (telecom)bedrijven.

Door te stellen dat het hier mogelijk spionage betreft, moeten we er reken mee houden dat als dat zo is de aanvallende partij hoogwaardige expertise in de strijd kan werpen en over grote budgetten beschikt om tot een doel te komen.

Smoking gun

In de Volkskrant wordt gesproken van een smoking gun. Met de informatie die nu beschikbaar is, is het voorbarig om die conclusie te trekken. Er loopt nog een onderzoek bij in ieder geval de inlichtingendienst AIVD. Wat de onderzoeksvraag is, is onduidelijk.

Het is onbekend wat er is gebeurd, welke gegevens er zijn gestolen, wie er achter de aanval zit. Natuurlijk is het niet vreemd dat er naar China wordt gekeken.

Huawei heeft kennelijk een beveiligingsprobleem. Dat op zichzelf is reden tot zorg. Of de digitale inbraak de leverancier te verwijten is, moet blijken. In het verleden trad het kabinet met inhoudelijke informatie naar buiten toen ze de operatie van de Russen bij de OPCW onthulden. Als grote delen van een land betrokken zijn, is het niet onlogisch te verwachten dat die helderheid ons binnenkort weer wordt geboden.

Brenno over digitale spionage

Brenno de Winter spreekt in Café Weltschmerz over digitale spionage.

U kent dat wel: software updates die zich op iedere computer of smartphone melden om uw apparaatje automatisch bij te werken met verbeterende updates. Maar wat nu als er op die manier automatisch ook geavanceerde backdoors mee geïnstalleerd worden? Brenno de Winter legt uit hoe dit onlangs is gebeurd bij de Taiwanese telefoon en computerbouwer ASUS. Vanuit China bleek het update systeem van ASUS gehackt. Dit werd door het Russische beveiligingsbedrijf Kaspersky ontdekt. Opmerkelijk ook omdat juist Kaspersky door de Nederlandse overheid wordt geboycot, omdat het bedrijf haar roots in Rusland heeft! Brenno de Winter vertelt hoe het patchmechanisme voor een aanval als deze kon worden gehackt en hoe we ons daar in het vervolg beter tegen kunnen wapenen. Verder lezen kan bijvoorbeeld hier: ‪https://motherboard.vice.com/en_us/ar…

Spionage en naïviteit

“Over spionage moeten we niet naïef zijn”, roepen politici. Een slimme retorische zet om zonder feiten andersdenkenden aan de kant te zetten. Zo’n houding is niet behulpzaam bij dit complexe beveiligingsvraagstuk.

Digitale spionage is ernstig. Al langer dan een decennium maakt de AIVD van ieder jaarverslag gebruik om ons te wijzen op de digitale interesse die er in ons land bestaat. Nederland speelt politiek een belangrijke rol door de vele internationale organisaties die zich hier hebben gevestigd. Onze innovatie maakt ons een aantrekkelijk doelwit voor economische spionage. Jaarlijks worden terabytes aan waardevolle data gestolen.

Vier Russen werden ons land uitgezet, omdat ze via wifi bij gevoelige documenten van de OPCW wilden komen. Datzelfde viertal werd verdacht van de hack op de mail van de democratische partij tijdens de campagne van Hillary Clinton. De hack op de hotelketen Mariott zou Chinese spionage zijn. De Verenigde Arabische Emiraten hackten iPhones om zo journalisten en dissidenten in de gaten te houden.

Onze inlichtingendiensten hacken webcams en systemen van de Russen. De Britten houden via de hack op Belgacom een oogje in het zeil bij de Belgische regering en de NATO. Amerikaanse inlichtingendiensten hebben toegang tot data van alle cloud-partijen van Amerikaanse origine. Die praktijk is bekend sinds de onthullingen van Snowden. Wikileaks onthulde hoe inlichtingendiensten mee konden luisteren met smart-tv’s.

En dan zijn er nog de bedrijven die elkaar bespioneren. Een Nederlands informatiebeveiligings­bedrijf steelt aanbestedingsinformatie uit Singapore. In 2017 arresteert de FIOD een medewerker van een technologiebedrijf voor diefstal van bedrijfsgeheimen bestemd voor een concurrent. Een ERP-leverancier steelt miljoenen documenten van een concurrent.

Met deze overvloed aan voorbeelden die boven de radar zijn verschenen, wordt ook de politiek wakker. Zij roepen om vooral naar de afkomst van een leverancier te kijken. Zo vrezen politici Chinese spionage bij C2000. Nu is dit systeem bestemd voor operationele, vluchtige informatie en niet voor beleid en strategie. Daarnaast is het nog maar de vraag of zo’n aanval realistisch wel mogelijk is. Er zijn overigens normenkaders die precies dit gevreesde risico behoorlijk inperken. Maar toch…

Het kabinet belooft een Rusland- en China-strategie. Een nogal eenzijdige aanpak als u het mij vraagt. Het gaat bijvoorbeeld volledig voorbij aan spionage uit het Verenigd Koninkrijk, de Verenigde Staten, Verenigde Arabische Emiraten, Iran, Noord Korea enzovoort. En precies daar zit hem de kneep. Dergelijke beloftes illustreren de kortzichtige benadering van de problematiek. Er wordt niet gereageerd op concrete risico’s of feiten, maar door algemene angst te zaaien, wordt de illusie gewekt dat ‘men’ er bovenop zit.

Spionage is van alle tijden en alle landen. We moeten dan ook niet kijken naar de afkomst, maar naar de risico’s. Dat betekent beveiliging op orde brengen, due diligence bij de inkoop en normen hanteren. Daarop moeten we goed toetsen, oftewel: audits uitvoeren. In beveiliging is namelijk weinig ruimte voor lichtgelovigheid, een synoniem voor naïviteit.

Presentatie onderzoeksrapport maatregel Kaspersky Lab

Op 14 mei 2018 neemt de overheid een voorzorgsmaatregel en besluit de antivirussoftware van Kaspersky Lab uit te faseren. Als een Wob-verzoek naar deze maatregel komt, vraagt het bedrijf mij een extern onderzoek te starten. De reconstructie en analyse zijn beschikbaar en in deze webcast bespreek ik mijn bevindingen.

Het rapport is hier beschikbaar:

Het kabinetsbesluit over Kaspersky Lab – een reconstructie en analyse

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onderAlgemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken:

  1. Antivirussoftware heeft uitgebreide en diepgaande toegang tot een computer. Zulke toegang kan misbruikt worden voor spionage en sabotage.
  2. Als Russisch bedrijf is Kaspersky Lab volgens Russische wetgeving verplicht om bij de overheid mee te werken als de Russische inlichtingendiensten hierom verzoeken.
  3. De Russische Federatie heeft een offensief cyberprogramma. Dat laatste betekent dat het land met behulp van computers actief spionage en sabotage pleegt.

Het kabinet spreekt in een brief aan de Tweede Kamer van een voorzorgsmaatregel met als reden te vrezen voor spionage en sabotage. Daarbij schrijft het kabinet een eigen,aangescherpte afweging in het kader van de nationale veiligheid te hebben gemaakt. Inessentie komt de vrees van het kabinet erop neer dat de antivirussoftware van KasperskyLab, een bedrijf dat malware bestrijdt, zelf wordt ingezet als Trojaans paard ofwel malware.

Nederland beschikt niet over voorbeelden waaruit blijkt dat er misbruik is gemaakt van de antivirussoftware van Kaspersky Lab. Ook bij andere (Europese) landen en de Europese Commissie zijn er geen voorbeelden bekend. Als KRO-NCRV bij een journalistiek onderzoek met succes een beroep doet op de Wet openbaarheid van bestuur (Wob) komen nadere documenten beschikbaar.

Analyse

Brenno de Winter van De Winter Information Solutions is door Kaspersky Lab gevraagd een reconstructie te maken van de voorzorgsmaatregel van het kabinet en de drie observaties van het kabinet te analyseren. In een tijd van digitale operaties is het logisch en goed dat het kabinet alert is op de gevaren van spionage en sabotage. Dit rapport onderzoekt inhoudelijk en procedureel hoe de argumentatie vanuit het kabinet tot stand is gekomen, in hoeverre Kaspersky Lab op basis van deze argumentatie inderdaad een dreiging vormt en welke stappen noodzakelijk zouden zijn een dergelijke dreiging het hoofd te bieden.

Gehackt door de Russen met ouderwetse wardriving

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

De oude tijden herleven nu blijkt dat de Russische inlichtingendienst GRU precies deze methode gebruikt om her en der in te breken op netwerken van organisaties. Ze gebruiken daarbij de zeer populaire WiFi Pineapple, een kastje dat vaak opduikt bij presentaties over beveiliging om de gevaren van draadloze netwerken te demonstreren.

De zaak maakt duidelijk dat de GRU gevoelige documenten prima via een draadloze verbinding op afstand kan ophalen. Goede beveiliging zou wifiverbindingen anders behandelen dan fysieke verbindingen en er in een aantal gevallen zelfs voor kiezen om documenten in het geheel niet via een netwerk toegankelijk te maken. In al die jaren is er maar weinig verbeterd.

Dankzij onze laksheid kunnen inlichtingendiensten, criminelen en anderen kinderlijk eenvoudig toegang krijgen om documenten te stelen, beschadigen, vernietigen of te plaatsen. Het schokkende ervan is dat het niet meer vereist dan vaak gratis software, goedkope standaardcomputers of een WiFi Pineapple en een beetje knappe antenne. Sterker nog: in de tijden van het wardriven waren we in de hackerscene dol op Pringles-chips. Niet zozeer omdat ze lekker zijn, maar vooral omdat de blikken perfecte richtantennes zijn voor wifi. We krikten er de reikwijdte van netwerken fors mee op van enkele honderden meters tot zelfs enkele kilometers.

Het is nog een geluk dat de Russen vanuit een auto besloten te hacken. Ze hadden ook kunnen kiezen voor de patser-optie: niet alleen parkeren bij het Marriott Hotel, maar er meteen in te checken om vanuit een knappe kamer voorzien van deugdelijk roomservice en een kaartje ‘niet storen’ aan de deur rustig te hacken. Eerst bij het OPCW om vervolgens de doos Pringles een kwart slag te draaien naar het Catshuis toe.

Maar goed, de hackers zaten wel in de auto en werden bovendien gestoord. “Met het onthullen van de werkwijze van de GRU maken we het de GRU moeilijker en vergroten we tegelijkertijd onze eigen weerbaarheid,” zei de Minister van Defensie trots. Ik onderschrijf die boodschap en pleit al langer voor meer openheid over hoe incidenten verlopen. Maar het is ook onze collectieve taak om twintig jaar na het wardriven eindelijk eens de naïviteit van ons af te schudden. Laten we onze beveiligingsmaatregelen nu écht richten op dreigingen die we al ruim twintig jaar in het vizier hebben.

Sleepwet: Praat mee over je digitaal privéleven

Met een nieuwe afluisterwet gaat Nederland een grens over waar internetexperts, wetenschappers, geheimhouders, bedrijfsleven en mensenrechtenactivisten fel tegen zijn. Een haalbaar referendum stelt een fundamentele verandering eindelijk ter discussie.

De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) opent de weg om naast gericht op een persoon of groep ook onschuldige burgers te tappen. Alles uit naam van de veiligheid. Wat de wetswijziging moet opleveren is niet onderbouwd.

Fundamentele verandering

In de nieuwe wet kan bijvoorbeeld een hele wijk of een organisatie worden getapt. De hoop is dat daarmee bepaald afwijkend gedrag in kaart te brengen is. Hoe dat werkt, is niet onderbouwd. Wat nieuw is, is dat we geen vermoeden meer nodig hebben om mensen in de gaten te houden.   

In een informatiesamenleving laten we met bijna alles digitale sporen achter op sociale netwerken, mail en computersystemen cruciaal. Ook zaken als een misstand, conflict, medische informatie of iets anders heeft opeens de terechte angst dat iemand meekijkt. Daarmee komt ons digitale privéleven ter discussie te staan. We gaan een grens over.

Dat gaat niet alleen mensen aan, maar ook bedrijven. Hoe aantrekkelijk is het voor een buitenlandse onderneming om zich hier te vestigen of hier computers te plaatsen en vervolgens de bedrijfsgeheimen in te leveren bij de Nederlandse overheid? Dat schept niet bepaald een lekker vestigingsklimaat.

Weerstand

Er is veel kritiek bij wetenschappers, experts op het gebied van aftappen, het bedrijfsleven (waaronder grote ondernemingen als Microsoft, Google, KPN, T-Mobile, Vodafone, BT, Tele2, Verizon, internetproviders, enzovoort), de koepel voor de ICT-branche, de Raad van State, bij mensenrechten- en burgerrechtenorganisaties, belangengroepen van bijvoorbeeld journalisten, advocaten, Greenpeace, huisartsen, VNONCW en ga zo maar door. Om duidelijk te zijn: allen zijn om veel verschillende redenen tegen de wet.

Met de kritiek is nauwelijks iets gedaan. Critici zet Lodewijk Asscher (PvdA) weg als ‘naïef’ zonder onderbouwing over nut en noodzaak te leveren. Het maatschappelijk debat is nauwelijks gevoerd. De kamer ging akkoord en dat is niet heel bijzonder voor een orgaan dat in de afgelopen kabinetsperiode de volgende conclusie(lange pdf) over zichzelf trok:

De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied. Bovendien schiet de Tweede Kamer informatievoorziening van het kabinet aan de Kamer tekort.

De vraag is daarom gerechtvaardigd wie er nu naïef is. Er is zicht (ruim 297.000 van de 300.000 handtekeningen zijn gehaald) op een raadgevend, correctief referendum over deze Wet op de inlichtingen- en veiligheidsdiensten met de daarbij horende debatten in aanloop naar het referendum.

Een mooi moment om de niet malse waarschuwingen nu eens goed en rustig opnieuw te bespreken, bewijs van noodzaak en effectiviteit te eisen om zelf keuzes te maken over de inrichting van onze informatiesamenleving. De vraag is of de overheid ons hele leven moet controleren of niet. Voor dat debat teken ik, u ook?

Europees Hof van Justitie maakt cloud tastbaarder

Dinsdagochtend heeft het Europees Hof van Justitie besloten dat privacygaranties in een besluit van de Europese Commissie tussen de Verenigde Staten en Europa onvoldoende zijn. Dat betekent dat bedrijven moeten gaan nadenken waar data in de cloud precies staat.

Inzet van de zaak is de Safe Harbor Agreement tussen Europa en de Verenigde Staten. Dit besluit is noodzakelijk, omdat de bescherming van de persoonlijke levenssfeer in Europa beter is geregeld dan in de VS. Omdat je niet zomaar persoonsgegevens in een rechtsgebied mag bewaren dat niet voldoet aan onze standaarden moest er iets worden geregeld.

Facebook

Of de huidige Safe Harbor regels onze rechten wel voldoende waarborgt, was lang onduidelijk. Tot de onthullingen van Snowden kwamen en heel duidelijk werd dat onze gegevens massaal worden geanalyseerd door Amerikaanse inlichtingendienst NSA. Daarbij werd meer en meer duidelijk dat dit niet te verklaren is vanuit nationale veiligheid en dat er duidelijk ook economisch werd gespioneerd. Dat betekent dat persoonsgegevens zijn misbruikt. Volgens de VS is dat niet zo, maar onder ede durfde niemand dat bij de Ierse rechter te verklaren.

De Oostenrijker Max Schrems voerde een aantal zaken en sleepte rond de NSA-spionage uiteindelijk Facebook voor de rechter, omdat dat dat bedrijf onze gegevens op Amerikaanse servers verwerkt. Omdat het Europese hoofdkantoor van dit bedrijf in Ierland staat, moest daar worden geprocedeerd. Daar is het inmiddels bij het Hooggerechtshof die vragen aan het Europese Hof van Justitie stelde.

Ongeldig

Uiteindelijk kwamen die met het oordeel dat de beschermende maatregelen van de Safe Harbor Agreement onvoldoende zijn en daarmee wordt niet langer aan Europese regels voldaan. Kort gezegd: je mag data van Europese burgers niet zomaar in de Verenigde Staten opslaan. Daar wordt namelijk niet aan de bescherming voldaan die wij gewend zijn.

Dat betekent niet dat er niets in de VS mag worden opgeslagen, maar dat daarover afspraken moeten zijn gemaakt. Amerikaanse bedrijven zelf met de toezichthouder (in ons geval het CBP) afspraken en vastleggen in Binding Corporate Rules (BCR), zodat er meer zekerheid is dat aan onze wetgeving wordt voldaan. Dat Facebook, Google en andere bedrijven dit gaan doen, is wel duidelijk.

Zelf nadenken

Maar voor Nederlandse bedrijven betekent dit dat er meer moet worden nagedacht wat er met persoonsgegevens gebeurt. Je kunt niet langer zeggen ‘het staat in de cloud’, maar moet meer van die cloud weten. Na 1 januari 2016 kan de toezichthouders forse boetes opleggen wie zich niet aan de wetgeving houdt. Daarbij kun je niet zomaar de schuld in de schoenen schuiven van de cloudleverancier.

De uitspraak betekent dus dat de bedrijven zelf verantwoordelijkheid moeten nemen wat ze met onze gegevens doen. Afspraken tussen toezichthouders en cloudaanbieders zul je moeten checken. Want bijna religieus naar de hemel wijzen zeggen ‘jouw data is nu daar’ is sinds vandaag echt onvoldoende.

AIVD waarschuwt voor cloudspionage

De AIVD en het kabinet waarschuwen voor de gevaren van het stallen van data in het buitenland. De geheime dienst vreest spionage van buitenlandse evenknieën.

In een persbericht stelt het kabinet dat organisaties zich onvoldoende bewust zijn hoeveel gevoelige informatie ze bezitten. Buitenlandse inlichtingendiensten zouden voor hun interessante informatie op allerlei manier proberen in handen te krijgen. Lees het verhaal op Webwereld.