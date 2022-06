De software van NSO maakt gebruik van zwakke plekken in de beveiliging van mobiele telefoons. Beeld Getty, bewerking de Volkskrant

De hacksoftware wordt niet alleen door inlichtingen- en opsporingsdiensten gekocht om terroristen en criminelen mee op te sporen, maar ook wereldwijd door overheden om oppositieleden, activisten en journalisten in de gaten te houden, zo bleek eerder uit onderzoek van het Canadese CitizenLab en Amnesty International. Critici vinden dat de hacksoftware daarom een bedreiging vormt voor de democratie. NSO Group deed naar eigen zeggen in 2021 zaken met zestig inlichtingen- en veiligheidsdiensten uit veertig landen.

Het kabinet-Rutte III sprak in 2017 in het regeerakkoord af dat de Nederlandse politie alleen hackmiddelen mag inkopen bij leveranciers die niet aan dubieuze regimes leveren; die beperking gold niet expliciet voor inlichtingendiensten. De Amerikaanse overheid zette in november 2021 NSO Group op een sanctielijst vanwege ‘kwaadaardige activiteiten’ die ‘in strijd zijn met de nationale veiligheid en buitenlandse belangen’.

NSO Group levert producten – spionagesoftware Pegasus is het bekendste voorbeeld – onder meer aan autoritair geleide landen, zoals Saoedi-Arabië en de Verenigde Arabische Emiraten, zo is gebleken uit talloze publicaties. Aangetoond is ook dat de telefoon van de weduwe van de vermoorde Saoedische journalist Kamal Kashoggi met Pegasus was geïnfecteerd, net zoals de telefoons van vermoorde Mexicaanse journalisten, van Hongaarse oppositieleden en journalisten, leden van het Europees Parlement, Catalaanse politieke leiders en activisten.

‘Liever wil je dit soort middelen niet hoeven inkopen’, reageert Bart Schermer, hoogleraar privacy en cybercrime aan de Universiteit Leiden. Hij wijst erop dat NSO Group een commercieel bedrijf is met commerciële belangen. ‘Bovendien kun je je bij de lijst met cliënten van NSO Group afvragen of je daartussen wilt staan. Als je niet wilt dat zo’n leverancier ook dubieuze regimes faciliteert, moet je ermee stoppen.’

Politieke doeleinden

Het Europees Parlement onderzoekt onder leiding van Jeroen Lenaers (CDA) of het gebruik van Pegasus en andere spionagesoftware in strijd is met Europese grondrechten. D66-europarlementariër Sophie in ’t Veld is rapporteur voor dat onderzoek. Over het Nederlandse gebruik van Pegasus zegt ze: ‘Je kunt vraagtekens zetten bij dit middel. Het is ongelooflijk invasief en we hebben inmiddels in verschillende landen – Polen, Griekenland, Hongarije en Spanje – gezien dat het voor politieke doeleinden werd gebruikt. Los van de vraag of het middel zelf legitiem is, is ook belangrijk wat de voorwaarden voor gebruik zijn.’

Kamerlid Pieter Omtzigt kijkt als rapporteur van de Raad van Europa eveneens naar de spionagesoftware. ‘Dit is een indringender vorm van afluisteren dan wat je in het boek 1984 van Orwell ziet. Ik wil weten binnen welk kader het is ingezet, tegen welke categorieën personen, en hoe het toezicht is georganiseerd. Ook wil ik weten wat de premier van het gebruik van Pegasus door Nederland vindt.’

Vier bronnen bevestigen dat de AIVD commerciële hacksoftware heeft ingezet om Ridouan T. eind 2019 op te sporen. T. was destijds voortvluchtig en hield zich schuil in het buitenland. Het opsporen van criminelen is geen wettelijke taak van de inlichtingendienst, maar vanwege de ernstige verdenkingen tegen hem wilde oud-minister van Justitie en Veiligheid Ferd Grapperhaus dat de inlichtingendiensten zouden helpen bij de opsporing. Hij deed een oproep daartoe nadat advocaat Derk Wiersum was vermoord. Geheime diensten hebben, anders dan de politie, de mogelijkheid om zelfstandig onderzoek te doen in het buitenland.

Hulp van geheime dienst

Drie maanden na de moord op Wiersum werd T. in Dubai aangehouden. Welke rol de hacksoftware daarbij speelde, is niet bekend. In het dossier van de zaak zitten twee ambtsberichten van de AIVD die gaan over de in Dubai in beslag genomen spullen van T., zoals notitieblokjes, telefoons en laptops. Een verklaring daarvoor is dat die spullen door de inlichtingendienst van de Verenigde Arabische Emiraten aan de AIVD zijn gegeven, waarna de AIVD ze aan het Openbaar Ministerie heeft overgedragen. Inlichtingendiensten wisselen gegevens alleen onderling uit, niet met andere politiediensten. Bronnen vertellen dat Dick Schoof, tot 2020 hoofd van de AIVD, tijdens zijn laatste nieuwjaarsreceptie een opmerking maakte over de Nederlandse politie, die de ‘hulp’ van de geheime dienst nodig had om de meest gezochte crimineel van het land te pakken.

De AIVD gaat niet in op vragen over het gebruik van hacksoftware, de relatie met NSO Group of het hacken van T. Ook NSO Group wil niet bevestigen of Nederland een klant is. ‘Technologie van NSO is door opsporingsdiensten wereldwijd gebruikt om terroristische aanvallen te voorkomen. Als gevolg van strikte geheimhoudingsovereenkomsten kunnen we niets zeggen over onze klanten’, stelt het bedrijf in een schriftelijke reactie. De advocaat van T., Inez Weski, vindt dat er ‘grote vraagtekens’ te plaatsen zijn bij de rol van de AIVD en de gebruikte opsporingsmethoden. Zij noemt de hacksoftware een ‘buitenwettelijk technisch middel’ en merkt op dat de verdediging ‘tot op heden niets heeft mogen toetsen’.

Het is opmerkelijk dat de AIVD ervoor kiest om commerciële hacksoftware aan te kopen. De inlichtingendienst staat bekend als kundig en technisch zeer bedreven. De AIVD is er de laatste jaren, zo vertellen diverse inlichtingenbronnen, in geslaagd om goede hackers aan zich te binden. Onder meer door een goed salaris te bieden en de werkomgeving hackvriendelijker te maken. Toch moet de dienst in de voortdurende technische wapenwedloop commerciële hacksoftware inkopen. Vooral het hacken van verschillende versies van Androidtelefoons zou voor de AIVD te complex zijn.

Het logo van de NSO Group op een muur bij een vestiging van het bedrijf in het zuiden van Israël. De Amerikaanse overheid zette in november 2021 NSO Group op een sanctielijst vanwege ‘kwaadaardige activiteiten’ die ‘in strijd zijn met de nationale veiligheid en buitenlandse belangen’. Beeld ANP / AFP

De software van NSO maakt gebruik van zwakke plekken in de beveiliging van mobiele telefoons. Zo is het mogelijk om, zelfs zonder dat een slachtoffer ergens op klikt (‘zero-click’), een iPhone of Androidtelefoon te infecteren. Na infectie heeft de gebruiker volledige toegang tot de geïnfecteerde telefoon: tot de microfoon, camera, gps-locatie, belgeschiedenis, apps, de contactenlijst. Apple en WhatsApp zijn rechtszaken tegen NSO Group begonnen vanwege misbruik van hun producten door NSO Group.

Met het inkopen van de spionagesoftware maakt de AIVD zich kwetsbaar. Het Israëlische ministerie van Defensie controleert elke aanvraag voor het gebruik van NSO-software. Klanten zijn daardoor bekend bij de Israëlische overheid. Die klanten betalen voor het gebruik van de software. Voor toegang tot een land waar ze willen hacken, kopen zij een aparte licentie, waardoor bij de leverancier bekend is in welke landen een klant wil hacken.

Klanten loggen bij een hackoperatie in op een online portaal, volgens een uitleg van Juan Andres Guerrero-Saade, onderzoeker bij beveiligingsbedrijf SentinelOne. Daar voeren ze een telefoonnummer in. Daarachter, onzichtbaar voor de klant, bevindt zich de infrastructuur die de hack mogelijk maakt: het testen of het nummer geldig is, welke software erop draait en of de zogeheten exploit, die de kwetsbaarheden misbruikt, werkt. Als dat zo is, kiest het systeem een aanvalsmethode (zoals een sms met link of een onbeantwoord WhatsApp-videogesprek) en wordt de malware geïnstalleerd. Daarna kan een klant data uit de telefoon halen.

Lijst met vijftigduizend doelwitten

De digitale infrastructuur is van derden en kan op haar beurt ook worden gehackt. Zo lekte vorig jaar een lijst met vijftigduizend mogelijke doelwitten van Pegasus uit met daarop de telefoonnummers van journalisten van CNN en The New York Times. Een deel van de nummers bleek inderdaad geïnfecteerd.

NSO zegt in de reactie aan de Volkskrant dat het de software ‘niet zelf bedient’ en dat het ‘geen enkele kennis bezit’ over hoe en wanneer Pegasus wordt ingezet door klanten. De vraag is wat NSO daarmee bedoelt. Toen de lijst met vijftigduizend mogelijke doelwitten via Amnesty International publiekelijk bekend werd, stelde NSO dat geen van die nummers was geïnfecteerd. Die verklaring bleek niet alleen onjuist, maar riep ook vragen op. Want als NSO geen kennis heeft over wie wordt geïnfecteerd, hoe wist het bedrijf dan zeker dat niemand was besmet?

Dit typeert het dilemma, zegt hoogleraar Schermer. Hij begrijpt dat inlichtingendiensten naar hacksoftware grijpen als noodzakelijk kwaad. ‘Alleen, het gebruik outsourcen naar een bedrijf maakt je kwetsbaar; en extra kwetsbaar als dat bedrijf uit een buitenlands, en zelfs een niet-EU-land komt.’