‘We vonden een fout die twee jaar lang geheim moest blijven om te voorkomen dat criminelen erachter kwamen’

Wetenschappers gaan zelden in één streep op het doel af. Een ode aan de onverwachte ontdekkingen. Vandaag: de baanbrekende ontdekking van slecht beveiligde opslagschijven door software-expert Bernard van Gastel.

‘Mijn collega’s en ik zaten in de koffiepauze uit nieuwsgierigheid te sleutelen aan een oude opslagschijf. Het was een zogeheten solid state drive of SSD, een ‘veilige’ opslagschijf die je digitale gegevens bewaart, zoals privéfoto’s. Deze schijf kan je dan ook versleutelen met een wachtwoord.

‘Ik doe onderzoek naar energiezuinige software, dus ik was benieuwd of er ook software in die schijf zat. Dit bleek zo te zijn, er zat een volledig computertje in verstopt. Na die werkdag fietste ik samen met een collega naar huis en bespraken we onze zorgen over een mogelijke ontwerpfout in de software van de schijf. Eenmaal thuis aangekomen konden we binnen anderhalf uur inbreken in de schijf door het wachtwoord te omzeilen.

‘Binnen twee maanden konden we inbreken bij tweederde van alle opslagschijven, onder andere van het merk Samsung. En dat terwijl instanties, waaronder universiteiten, die SSD’s toen aan hun medewerkers uitdeelden met de boodschap: zet je privacygevoelige data op deze veilige schijf. We ontdekten bovendien een samenhangend probleem, waarbij Windows zijn eigen beveiliging uitschakelt.

‘We zochten meteen contact met het Nationaal Cyber Security Centrum (NCSC). Dat stelde de overheid in het geheim op de hoogte. Via het NCSC probeerden wij de fabrikanten in te lichten. Dit bleek lastiger dan gedacht, het zijn grote organisaties met soms een half miljoen medewerkers. Ook was er angst voor rechtszaken. Onze afdeling had al eens een rechtszaak aan de broek gekregen, onder meer toen we aantoonden hoe makkelijk de ov-chipkaart te kraken was. We kregen het advies om niet meer naar Zuid-Korea op vakantie te gaan, vanwege een mogelijke rechtszaak met Samsung.

‘Nadat we een A4’tje met daarop een korte samenvatting van onze bevindingen naar Samsung hadden gestuurd, stonden ze al snel op de stoep. We hoorden achteraf dat de hoofdverantwoordelijke voor de opslagschijven zich tien dagen had opgesloten in zijn kantoor om onze ontdekking te bestuderen.

‘Bij de ontmoeting met de overgevlogen Koreanen namen we onze schijf mee in een simpel lunchtrommeltje met een elastiekje eromheen. De mensen van Samsung keken hun ogen uit. Zij hadden blijkbaar een apparaat van meer dan 20 duizend euro laten maken om hetzelfde te doen wat wij met 100 euro aan materiaal voor elkaar kregen.

‘De Koreanen schrokken zó erg van onze bevinding dat ze direct terugvlogen naar het hoofdkantoor. Geen uitje naar de Keukenhof of Madurodam.

‘Uiteindelijk moest onze ontdekking twee jaar lang geheim blijven, ook om te voorkomen dat criminelen erachter kwamen. In die periode ervoer ik wel angst. Ik kreeg in die tijd net mijn eerste kindje. Ik was soms bang dat iemand ons met een honkbalknuppel stond op te wachten als wij met het wiegje thuiskwamen.

‘Na die twee jaar besloten we om toch het nieuws naar buiten te brengen. Binnen de kortste keren stonden we op de voorpagina bij 150 technologienieuwssites. Ook publiceerden we onze ontdekking in het vakblad IEEE Security and Privacy, hét blad in ons vakgebied. Het liefst wil ik niet nog een keer in deze wirwar van advocaten en justitie verstrikt raken. Daarom zoek ik dit soort onverwachte ontdekkingen niet op. Maar als wetenschapper heb ik ook een maatschappelijke rol, dus ik zou het zo weer doen als de kans zich voordoet.’