Dat AIVD onder nieuwe wet onschuldige burgers mag hacken is belangrijker dan tappen én ingrijpender

Hacken is mooie manier om tapverbod internetkabels te omzeilen

Het debat over de nieuwe inlichtingenwet gaat vooral over het aftappen van internetverkeer. Maar het hacken van computers en telefoons is voor veiligheidsdiensten veel effectiever - en minstens zo ingrijpend voor burgers, waarschuwen critici.

AIVD-hoofd Rob Bertholee laat bij College Tour onder meer glasvezelkabel zien.

Toen Rob Bertholee, het hoofd van de AIVD, onlangs bij College Tour in gesprek ging met studenten over de nieuwe wet op de inlichtingendiensten (Wiv), had het hoofd van de dienst een glasvezelkabel meegenomen. Een vuistdikke koker waarin allemaal kleinere kabels zitten. 'Er liggen er duizenden van in Nederland', zei Bertholee. Zijn dienst zal straks op enkele of meerdere daarvan gaan aftappen omdat ook terroristen die internetkabels voor hun communicatie gebruiken. En daar kan de AIVD nu niet bij, legt Bertholee vaak uit.

Op die manier draagt het hoofd van de AIVD eraan bij dat de discussie over de Wiv zich in aanloop naar het referendum in maart vrijwel enkel toespitst op glasvezelkabels. En specifieker: de mogelijkheid tot grootschalig aftappen van internetverkeer. Daarom spreken de tegenstanders van de wet smalend over een 'sleepnet': de diensten zullen straks een net door het internet trekken waar ook de communicatie van onschuldigen tussen kan zitten.

Maar dit debat is veel te eenzijdig, zoals ook de recente onthulling van deze krant over het werk van de hackers van de AIVD laat zien. Zij slaagden er in de zomer van 2014 in om het computersysteem van de beruchte Russische hackgroep Cozy Bear te infiltreren. Deze werkwijze - hacken - gebruiken de Nederlandse diensten al veel langer en heeft de laatste jaren een enorme vlucht genomen. Bronnen vertellen dat de AIVD en MIVD momenteel in Nederland en tot ver daarbuiten op honderden plekken in computersystemen zitten. Maar daarover hebben de diensten het in de aanloop naar het referendum liever niet. De hackmogelijkheid is namelijk een mooie manier om het niet mogen tappen van internetkabels te omzeilen. En de AIVD'ers willen niet dat hun werkwijze op straat komt te liggen.

Malware

Al in 2013 gebeurde dat toch. In een uitgelekt gespreksverslag pochen negen AIVD'ers en MIVD'ers tegenover specialisten van de NSA dat ze een manier hebben gevonden om het verbod op kabelinterceptie te ontwijken. Ze vertellen dat ze toegang kregen tot Nederlandse webfora en malware hadden geïnstalleerd om de database met alle berichten van alle gebruikers en hun persoonsgegevens binnen te halen. Zo kan de dienst zelfs gebruikersnamen aan IP-adressen koppelen. De NSA luistert er geïnteresseerd naar.

De AIVD hackte de fora om potentiële terroristen te kunnen volgen, maar haalde zo ook de gegevens binnen van tientallen onschuldigen. Het gespreksverslag kwam door klokkenluider Edward Snowden op straat te liggen en de toezichthouder concludeerde dat het hacken in sommige gevallen veel te grofkorrelig gebeurde en zelfs onrechtmatig was. Zo precies en effectief is dat hacken niet altijd.

AIVD-hoofd Rob Bertholee laat bij College Tour onder meer een vroeger door de dienst gebruikte camera zien.

Versleuteling

Maar het is een prachtig middel voor de Nederlandse diensten. Je kunt namelijk direct bij een bron (computer, smartphone, webforum, e-mailserver) meekijken en je hebt nauwelijks last van versleuteling. Wil de AIVD een mailtje van een doelwit achterhalen, dan is het logischer om een mailserver te hacken dan een tap op een internetverbinding te zetten. Het nut van tappen is bovendien minder geworden doordat de hoeveelheid dataverkeer toeneemt en doordat bijvoorbeeld chat- en maildiensten met versleuteling werken.

Vandaar dat het hacken steeds populairder wordt. In 1998 al richtte de NSA z'n eigen hackteam op, de AIVD volgde twee jaar later. Ook de MIVD maakt er graag gebruik van. De hackoperaties van beide Nederlandse diensten vallen nu onder de gezamenlijke Joint Sigint Cyber Unit (JSCU). In 2015 voerde die 'tientallen hackoperaties' uit, blijkens een rapport van de toezichthouder. Ook internationaal is hacken, anders dan het veel oudere en meer bewerkelijker tappen van glasvezelkabels, steeds populairder. Het kan eenvoudiger zijn om bijvoorbeeld in een Iraans datacentrum op een strategische plek malware te installeren dan op zoek te gaan naar de juiste kabels van Iraanse internetproviders waarlangs misschien interessante communicatie gaat. Data kiezen niet altijd dezelfde route, maar internetverkeer van bepaalde ministeries of bedrijven gaat wél altijd eerst langs de servers van die organisaties.

Dure grap

Er is ook een kanttekening. Als doelwitten van de diensten hun beveiliging serieus nemen, volstaan algemene hacktrucks niet. Dan hebben diensten onbekende kwetsbaarheden nodig om in te breken. Dat kan een dure grap zijn: onbekende kwetsbaarheden voor de nieuwste iOS of Android-besturingssystemen kunnen met gemak een miljoen euro kosten. Specialisten van private bedrijven speuren ze op en verkopen ze voor grof geld.

Maar daar hebben de diensten iets op bedacht: ze hacken onschuldige personen die in contact staan met het doelwit om zo alsnog bij het doelwit binnen te komen. Onder de huidige wet mag dat nog niet, maar omdat de wet op dit punt verruimd zal worden, zijn de AIVD en MIVD dit vanaf 2015 alvast gaan doen. En het is precies deze mogelijkheid die het scherpst wordt veroordeeld in een advies van onderzoeksinstituut TNO over de nieuwe wet. De onderzoekers zijn kritisch over het grootschaliger tappen van glasvezelkabels waar het publieke debat vrijwel uitsluitend over gaat, maar nog veel meer over het hacken van derden. De opstellers van het rapport willen zelfs dat die bevoegdheid helemaal uit de wet gaat: 'Het binnendringen in computers van derden om bij de computer van een doelwit te kunnen komen, moet worden afgewezen. Het feit dat doelwitten van de diensten hun computers over het algemeen goed beveiligen kan nooit de privacyrisico's rechtvaardigen van het hacken van computers van onverdachte burgers in hun omgeving.'

AIVD-hoofd Rob Bertholee tijdens College Tour.

En dan is er ook nog de bredere kritiek van de onderzoekers op het hacken. Zij vinden dat die bevoegdheid te gemakkelijk wordt vergeleken met het tappen van communicatie. De inbreuk, zo stellen de opstellers, is bij hacken namelijk vele malen groter: 'Nu de computer (pc, tablet, smartphone) een steeds centralere rol inneemt in het privéleven, als de toegangspoort tot de informatie en contacten waarmee mensen hun leven vormgeven, vormt het binnendringen in computers de zwaarst denkbare inbreuk op de privacy.' Pikant: voor het tappen is een drietraps-toestemming nodig, terwijl voor het hacken slechts éénmalig toestemming vereist is.


Alles wat je moet weten over de Russische hacks - en welke rol Nederland speelde in het ontdekken daarvan - lees je hier

Digitale agenten van de Nederlandse geheime dienst braken in bij Russische hackers. Ze zagen zo als eersten hoe die in verkiezingstijd doelen in de VS bestookten. Dat blijkt uit onderzoek van de Volkskrant en Nieuwsuur. Dit is een verzameling van de stukken die we (eerder) schreven over de Russische inmenging in de Amerikaanse verkiezingen en welke rol Nederland speelt in het geheel.