'Door dat ding zijn we de controle kwijtgeraakt'

Internetbeveiliging smartphones

Door de smartphone zijn we de controle over ons leven kwijtgeraakt, zegt Bart Preneel. Betere beveiliging, zoals Facebook en Google onlangs invoerden, doet daar niets aan af. En dus zijn drastische maatregelen nodig. Een totale black-out, dat zal de mensen leren.

Bart Preneel. Beeld An-Sofie Kesteleyn

Bart Preneel is een autoriteit op het gebied van digitale beveiliging. De cryptograaf geeft leiding aan COSIC-iMinds, een onderzoeksgroep van ongeveer tachtig medewerkers. The Wall Street Journal noemde COSIC-iMinds eind vorig jaar bij 's werelds beste onderzoekscentra voor digitale versleuteling. In de onderzoeksgroep van Preneel werd onder meer AES bedacht, het belangrijkste algoritme voor de beveiliging van internetbankieren, draadloze netwerken en bestanden op harde schijven. Honderden miljoenen mensen maken er dagelijks gebruik van. Preneel en zijn collega's doen hoogwaardig onderzoek naar de beveiliging van biometrische systemen en de cloud. Ze doen opdrachten voor de auto-industrie en bouwen aan applicaties voor wasmachines. Hij werkt bovendien nauw samen met Intel, IBM en Microsoft. Regelmatig ontmoet hij inlichtingendiensten, zoals de Amerikaanse NSA, in standaardisatiecommissies.

Bart Preneel zou graag iets zeggen tegen mensen die een smartphone hebben. De Belgische hoogleraar - spitse neus, vriendelijke ogen, zwart pak, jazzliefhebber - zit in een leeg werkgroeplokaal in een imposant gebouw op het landgoed van de Katholieke Universiteit Leuven. In zijn hand een smartphone van Samsung.

'Mensen willen het niet horen', zegt hij, 'maar door dat ding zijn we de controle over ons leven kwijtgeraakt. Met de introductie van de iPhone in 2008 hebben we onze zelfstandigheid opgegeven.' Hij verheft zijn stem niet, er klinkt eerder ongeloof in door. 'We hebben het systeem van de Stasi gebouwd en geloven tegelijkertijd dat politici het nooit zullen misbruiken.'

Vraag Preneel hoe erg dat eigenlijk is en hij begint onrustig op zijn stoel te schuiven. Zo graag wil hij de mensen wakker schudden. Een einde maken aan de naïviteit. Maar de aantrekkingskracht van het vrijwillig gedragen volgapparaatje is tot nu toe vele malen groter gebleken. Preneel pleit daarom voor drastische maatregelen.

Facebook

'In opdracht van de Privacycommissie hebben wij onderzoek gedaan naar de discrepantie tussen de voorwaarden van Facebook en hun beleid. Daaruit bleek dat Facebook ook niet-gebruikers volgt op elke pagina op het internet waarop iets geliked kan worden. Mensen hebben daar nooit hun toestemming voor gegeven, terwijl die 'like-knop' op 80 procent van het internet staat. Dat betekent dat Facebook een nauwkeurig profiel heeft van het surfgedrag van alle gebruikers. De reactie van Facebook was om Facebook af te sluiten voor niet-gebruikers in België. We vonden meer: je kon op een Europese website aangeven dat je niet gevolgd wilde worden door Facebook. Klikte je daarop, dan werd je juist wél gevolgd. Een bug, volgens Facebook.'

Er is een dringende aanleiding hem te spreken. Het lijkt namelijk alsof overheden en opsporingsdiensten nu toch worden teruggedrongen ten gunste van de privacy van de burger. Facebook kondigde vorige maand aan de beveiliging van Facebook Messenger te verbeteren met zogenoemde end-to-end-versleuteling. Eerder deed Facebook dat al voor Whatsapp. Gebruikers van Whatsapp zien bij nieuwe chats zo'n zandkleurig informatieblokje met het symbool van een slotje erop. Ook Gmail, Microsoft en IBM namen soortgelijke beveiligingsmaatregelen. Volgens politie- en geheime diensten zou dit het opsporen van terroristen ernstig bemoeilijken. De vraag is volgens de Belgische expert of dat wel zo is.

Preneel is een eigenzinnige en autonome professor, een internationale autoriteit op het gebied van digitale beveiliging. Hij schroomt niet zijn opdrachtgevers tegen het been te stoten. 'Dit zullen ze bij Microsoft niet leuk vinden, maar...', zegt hij dan.

Om het belang van de stap van Facebook te duiden, is het belangrijk terug te gaan naar de introductie van de eerste smartphone, de iPhone in 2008. 'Een ramp voor de maatschappij', volgens Preneel. Met de iPhone, vertelt hij, zijn we data aan bedrijven gaan geven (in dit geval Apple). En via bedrijven weer aan overheden. Eerst hadden mensen een laptop van het eigen bedrijf plus een BlackBerry. De werkgever beheerde die, waardoor alle informatie binnen het bedrijf bleef. Toen kwamen de iPhone en de tablet. 'En kreeg de directeur een iPad van zijn vrouw met Kerst.'

Terrorisme

'Politie- en inlichtingendiensten klagen dat ze door toenemende encryptie geen zicht meer hebben op terroristen. Dat is een drogreden. Ze hebben ook veel meer andere gegevens dan vroeger. Abdeslam, de enige nog levende dader van de aanslag in Parijs, werd getraceerd doordat z'n luxe huurauto's via gps zijn locatie verraadden. De 'man met het hoedje' was op zijn wandeltocht vanaf de Brusselse luchthaven Zaventem tot de stad bijna overal gefilmd. En dat terwijl het in België niet toegestaan is om met vaste camera's de openbare weg te filmen. We moeten veel meer mensen in de wijken hebben en niet zeuren over encryptie. Bovendien hebben inlichtingendiensten onze metadata al.'

Preneel zag het gebeuren. 'Een directeur van een groot securitybedrijf had een iPad gekregen en kwam op 2 januari vragen of hij zijn werkmail ook op z'n tablet kon ontvangen. Want het is zo'n handzaam dingetje. Dat betekent ook dat je aanvaardt dat al je gegevens bij Apple liggen. En via het afluisterprogramma Prism bij de Amerikaanse NSA.'

Het is vast heel gerieflijk hoor, zo'n iPad, zegt Preneel, maar je maakt je ook afhankelijk van een derde partij. 'De cloud klinkt aardig, het is alleen niets meer dan iemand anders zijn computer.'

Ja, hij heeft zelf ook een smartphone. Niet dat hij hem veel gebruikt. Mail en werk doet hij via een Linux-besturingssysteem. Een enkele keer gebruikt hij Gmail of Yahoo. 'Als ik moet vliegen, kan ik mijn instapkaart alleen via Gmail of Yahoo ontvangen. Ik print 'm en gooi 'm daarna zo snel mogelijk weg uit de mail.'

Na de smartphone en de tablet kwamen de apps en de diensten: iMessage, Whatsapp, Facebook, Skype. Machtige communicatiediensten die allemaal in Amerikaanse handen zijn. En nee, dat is geen toeval. Preneel noemt als voorbeeld Skype, voorheen een Europese dienst. 'Een geweldige uitvinding, omdat het zo effectief is.'

Skype is een zogeheten peer-to-peer-netwerk, het werkt via een netwerk van computers die in dat netwerk gelijkwaardig zijn. Daardoor wordt de communicatie nauwelijks gehinderd door firewalls. Afluisteren is praktisch onmogelijk.

Beeld An-Sofie Kesteleyn

Preneel: 'Toen Skype groot werd, werd het gekocht door Microsoft. En ja hoor, vlak daarna - en ze zijn boos bij Microsoft als ik dit zeg - bleek de NSA toch in staat Skype af te luisteren. Dat is geen toeval.'

Daarom vindt Preneel mensen naïef. 'Er is over het algemeen weinig bewustwording. Geen maatschappelijk debat over hoe technologie met al z'n kwetsbare data beschermd moet zijn.' Waarom gebruikt iedereen het relatief onveilige Whatsapp en niet z'n veilige tegenhanger Signal, dat exact hetzelfde werkt?

Ja, rondom klokkenluider Edward Snowden was er even wat publiek besef. En toen zakte het weer weg. Maar al die grote Amerikaanse bedrijven die nu end-to-end-versleuteling invoeren dan? Is dat niets waard? Jawel, zegt Preneel. 'We hebben iets teruggewonnen.'

Alleen: het is te laat en het is voornamelijk voor de bühne. Facebook heeft alle data van zijn gebruikers al. Het bedrijf - en de Amerikaanse overheid - zijn niet geïnteresseerd in chatgesprekken. Ze willen metadata: wie communiceert met wie en hoe lang? Datzelfde geldt voor Whatsapp. Via de app heeft Facebook toegang tot iemands hele lijst van contacten. Metadata zijn nauwelijks beschermd. En dat geldt ook weer voor iMessage. De communicatie mag beveiligd zijn, de meeste gebruikers hebben een backup bij Apple. Via een rechterlijk bevel of het Prism-programma kan de Amerikaanse overheid er alsnog bij.

Signal en Whatsapp

'Ik ken de mensen die Signal hebben gemaakt goed. En ik vertrouw erop dat hun app goed in elkaar steekt. Volgens mij is de enige reden dat Signal, dat hetzelfde werkt als Whatsapp maar écht veilig is, dat het nog steeds klein is. Stel dat Signal zou groeien en door de massa gebruikt zou worden, dan wil de Amerikaanse overheid er alsnog bij. Op verzoek van die overheid koopt een groot Amerikaans consortium het bedrijf vervolgens op. Zo krijgen de Amerikanen hun toegang. Als de cheque groot genoeg is, zullen de ontwerpers van Signal vermoedelijk geen nee zeggen.'

Ja, dat is erg. Maar het is toch inmiddels een gegeven dat persoonlijke data in allerlei overheidssystemen zitten en bij bedrijven liggen? 'Het heeft grote gevolgen voor de maatschappij waarin we leven. We verliezen autonomie. Gaan we zelfcensuur toepassen als we weten dat onze zoekopdrachten en voorkeuren vastliggen? Bedrijven categoriseren steeds meer en discrimineren ook steeds meer. We krijgen (bij Google en Facebook) op basis van onze voorkeuren bepaald soort nieuws te zien. We zitten in een filter bubble. Dat maakt onze interacties minder rijk. Eigenlijk worden we voortdurend gemanipuleerd.'

Een totale black-out, dat is volgens Preneel de enige oplossing. Om mensen te laten beseffen wat het is om afhankelijk te zijn van technologie en slechte beveiliging. 'Dat Nederland of België een paar dagen zonder stroom zouden zitten. Geen koelkasten, geen wekker, geen televisie, geen internet, geen openbaar vervoer. Niets waaraan we zo gewend zijn geraakt.'

Dan gaan mensen pas nadenken, verwacht hij. En gaan ze eisen van de overheid dat die meer doet. 'De overheid heeft de taak mensen te beschermen. Waarom is het eigenlijk toegestaan dat nieuwe apps zoals Pokémon ook hun gebruikers mogen monitoren?'

Hij wil geen zeikerd zijn. Of een negatieveling. Zijn ogen glinsteren als hij het over 'hash-functies' en 'MAC-algoritmen' heeft. Hij zou willen dat mensen een overheid krijgen die ze beter beschermt. Hij vindt dat regeringen in Europa het laten afweten. 'Het is ook een verschil in wereldbeeld. In China vindt men dat de overheid alles mag weten. In de Verenigde Staten wantrouwt men de overheid, maar mogen bedrijven alles weten en in Europa wantrouwen we allebei een beetje, maar laten we alles gewoon gebeuren.'

Laat hij een laatste voorbeeld geven. In zijn onderzoekslab werkt hij voor een opdrachtgever aan betere beveiliging voor pacemakers. 'Die dingen kunnen worden aangestuurd door een smartphone. Levensgevaarlijk en er zijn nauwelijks regels voor.' Met een kleine update, terwijl het ding bij mensen tegen hun hart blijft zitten, maakt hij de beveiliging beter. 'Je kunt 'm moeilijk met een operatie gaan vervangen.'

Dit laat voor Preneel zien hoe weinig interesse politici, burgers en bedrijven hebben voor de zwakke beveiliging van technologie die zo'n diepe inbreuk maakt op het privéleven. Waar mensen letterlijk van afhankelijk zijn. 'En ik geloof de mensen van justitie en de inlichtingendiensten dat ze er geen misbruik van zullen maken. Maar hoe lang kan ik ze geloven?'

Hij heeft een simpel voorstel. Laat elke medewerker van een geheime dienst een keylogger installeren en een camera op z'n beeldscherm gericht hebben staan. 'Eens in de vijf jaar spoelen we de band terug om te zien wat ze uitspoken. Dat is toch niet onredelijk? Laat maar zien dat alles binnen de wet gebeurt.'

Pokémon-Go

'Mensen die zo'n spel gaan spelen, zijn - laat ik het vriendelijk zeggen - niet verstandig bezig. Ze lezen de voorwaarden niet. Eigenaar Nintendo slaat een schat aan gegevens op en doet onder meer aan tracking van zijn gebruikers. Hoewel het bedrijf een simpele scheiding kan aanbrengen tussen het spel en het tracken van gebruikers, gebeurt dat niet. Daarom vind ik dat mensen beschermd moeten worden. Waarom zijn er geen regels voor dit soort spellen?'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.