‘Het is oorlog maar niemand die het ziet’

RECENSIE - Huib Modderkolk verzamelt zes jaar onderzoek naar mondiale digitale strijd. Eindelijk een goed boek over de praktijk van digitale strijd tussen staten, onder leiding van hun geheime diensten. Een oorlog die niemand zou zien. Voetbal is oorlog, zei Rinus Michels, en we gingen het zo zien.

Met een geweldige primeur over betrokkenheid van de AIVD bij de plaatsing van Stuxnet-malware in het beheer van het Iraanse kernprogramma en een rechtszaak van diezelfde AIVD; plus de gebruikelijke DWDD-marketing en een onnodig stickertje van Lubach op het omslag kwam het boek van Huib Modderkolk met een katapult op de markt. ‘Het is oorlog, maar niemand die het ziet’ bereikt direct de top-10. En dat is terecht.

Afgaande op de betoog van Paul Abels dat de AIVD nooit zonder strategisch doel in de openbaarheid treedt, was die rechtszaak mogelijk bedoeld om extra aandacht te trekken voor de Stuxnet-primeur: de AIVD spreekt internationaal een knap woordje mee en wil dat weten. De bemoeienis van de AIVD met Iran is overigens gezien de internationale verhoudingen twijfelachtig, vindt Paul Aarts.

De eerste beschrijving van strijd in Modderkolks boek is gewijd aan zijn ontrafeling van de eerste grote digitale aanval op Nederland tot nu toe; die op de uitgever van digitale certificaten DigiNotar in Beverwijk in augustus en september 2011. Deze aanval stortte Nederland tot op regeringsniveau in chaos. Modderkolk reconstrueert het met onder anderen Aart Jochem en Erik de Jong van Govcert.

Kabeltje van DigiNotar

De aanvaller kwam eenvoudig binnen via de website van DigiNotar die onder verouderde software draaide, en huurde bij Leaseweb met vpn-verbinding. Dat laatste maakte het voor Team High Tech Crime eenvoudiger om de aanvaller in Iran te traceren. Hij gebruikte zijn verbinding namelijk ook om ’gewoon’ te surfen, een vorm van slordigheid die ook in digitale recherche welkom is. Of de jongeman door de staat Iran werd gestuurd, is niet duidelijk geworden. De AIVD wilde niet dat de politie daar onderzoek naar deed.

Modderkolk ontdekte dat de oorzaak een doelbewuste ingreep van DigiNotar was: een extra kabeltje naar een server om de vertragende beveiliging in het dagelijks werk met het uitgeven van certificaten te kunnen omzeilen. De ellende kost DigiNotar-oprichter Tony de Bos de miljoenen van de overname van DigiNotar door Vasco, die ze terugvordert.

Akerboom en vitale infra

En aardige details: de chef van de terrorismebestrijding Erik Akerboom, nu politiebaas, wist niet eens wat digitale certificaten zijn en had dus geen benul van de ernst van de schade laat staan van te nemen maatregelen. Nederland kan niet anders doen dan Mozilla (Firefox) en Microsoft te smeken geduld te oefenen met het intrekken van DigiNotar certificaten. Microsoft besluit om de noodzakelijke Windows-update alleen voor Nederlandse computers tien dagen uit te stellen, teneinde onze overheidsdiensten draaiende te houden.

Gevolg is wel dat het niveau van de Nederlandse digitale beveiliging wordt opgekrikt. Modderkolk schrijft dat er daarna pas tot een inventarisatie komt van vitale infrastructuur in Nederland. Hij weet niet dat digitale specialisten van onder meer TNO, zoals Eric Luiijf die inventarisatie vele jaren eerder herhaaldelijk hebben gemaakt – met een openbaar en een geheim deel – en ook uitgebreid waarschuwden voor de gevaren van cyberaanvallen. Er kwam breedvoerig overleg in Den Haag buiten de radar van de media, er en werden maatregelen genomen op Schiphol en elders.

En de regel is ingevoerd dat besturingssystemen van installaties, zoals bij sluizen en bruggen, niet op internet aangesloten mogen worden. Wat overigens (zie onder met Stuxnet) lang niet afdoende is. Modderkolk schrijft over een virus van Russen in de systemen van de Oosterscheldekering in Zeeland, maar kon helaas onvoldoende bevestigd krijgen waar en wanneer precies en met welke dreiging, om er in de Volkskrant destijds over te schrijven.

Met Mossad en CIA

Dan volgt in het boek de inmiddels befaamde onthulling van de vergaande inbreng van de AIVD in de eerste fase bij het saboteren van het Iraanse nucleaire programma in Natanz, waarover Modderkolk in de Volkskrant publiceerde met Kim Zetter. Deze fantastische journalist schreef een boek over Stuxnet (hier een informatieve voordracht van 45 minuten met bewijzen van het slagen van de aanvallen, met de nodige piepjes. Daarin komt de AIVD niet voor, evenmin in de uitstekende docu Zero Days.)

De Iraniër uit de hogere staatsregionen die het kunstje met de plaatsing van de usb-sticks flikte was een Nederlandse ambassade in het Midden-Oosten binnengelopen met verzoek om bescherming. Hij werd gerund door de CIA, die hem meer kon betalen dan de AIVD en verbleef om veiligheidsredenen in het een buitenland (Engeland?) dat in ruil meekeek met de operatie.

Overigens was deze AIVD-Iraniër die in 2007 de Siemens besturing van de Iraanse centrifuges met een vroege versie van Stuxnet aanviel, later niet meer welkom. Waar is hij gebleven? Vervolgens werd de grote en bekend geworden aanval voorbereid met een sterk verbeterde versie en in 2009 en 2010 uitgevoerd door een ingenieuze besmetting van vijf Iraanse leveranciers van de nucleaire ontwikkeling.

Modderkolk oppert de mogelijkheid dat de aanval op DigiNotar van 2011 een Iraanse vergelding was voor de Stuxnet-bijdrage van Nederland, maar blijft vooral achter met de vraag: hoe kon één jongeman met een laptop Nederland digitaal ontwrichten? (Achter elke laptop kan overigens een leger hackers schuilgaan.)

Van superkraker naar zelfmoord

Het volgende hoofdstuk gaat over zo’n jongeman met een laptop, maar een ‘lone wolf’, dus van ander en ook tragisch allooi: Edwin Robbe, de 17-jarige zonderlinge adoptiezoon van José en Ruud Robbe in Barendrecht die via zijn KPN-verbinding internationaal hackte en aanschuurt tegen bekende collectieven als Anonymous en Lulzsec. Met een compagnon komt hij op het diepste niveau van het KPN-netwerk van ruim 500 servers en de core router.

De even fraaie als bondige kern: ‘Edwin kan alles en KPN weet van niets.’ Dan volgt Code Rood bij KPN, wordt een heel team geformeerd ter bestrijding, en komen traag de oorzaken boven tafel: al een half jaar geen update uitgevoerd van essentiële software voor KPN’s beveiliging en zelfs een wijd openstaande firewall. De aanvaller is nog onbekend, het kan net zo goed een buitenlandse staat zijn. Beveiligers vliegen zelfs naar Azië in hun jacht naar de bron.

KPN-baas Eelco Blok is lid van de Cyber Security Raad maar licht medebestuursleden niet in en KPN voelt weinig voor intensieve bemoeienis van High Tech Crime van de overheid, wat gezien het nationale belang van KPN wel noodzakelijk is. Ongeveer alles wat kwetsbaar is in Nederland, inclusief AIVD en MIVD, maken gebruik van KPN-netwerken op verschillende lagen, hoe dan ook van de kabelinfrastructuur. Dan blijkt de dader ‘gewoon’ een Nederlandse scholier te zijn die wordt gepakt en straf krijgt. Met de jongen loopt het tragisch af.

Nederlandse kindermoord

We leren van de details en paniek bij KPN veel minder dan van de DigiNotar-kraak, wat een van de schaarse omissies van het boek is. Daarentegen is de beschrijving van de kraak bij het internationale onderdeel BICS van Belgacom, met het oog op toegang tot de systemen van de Europese Commissie en wellicht ook de Navo, een hoogtepunt van het boek. Even nauwgezet als verbaasd beschrijft Modderkolk, beginnend vanuit de Snowden-bestanden, hoe vernuftig de Britse GCHQ de kraak opzette via valse LinkedIn-pagina’s van drie systeembeheerders van BICS; en ermee wegkwam. Europol weigerde onderzoek te doen, onderdeel van de operatie om de Britse hack vooral politiek met de mantel der liefde te bedekken.

Zo maakt hij ook gehakt van een motie in het Nederlandse parlement om inlichtingen verzameld door de AIVD en MIVD niet ten goede te laten komen aan Amerikaanse diensten voor het doden van vermeende terroristen met drones zonder enige vorm van proces. Of, zoals Modderkolk terecht schrijft, ‘standrechtelijk te executeren’. Met een collega traceert hij een Somalische man die vertelt door zo’n aanval twee kinderen verloren te hebben, en zelf een been. Ontkenning door minister Hennis-Plasschaert is onzinnig.

Voor inlichtingen over Somalië was de VS aangewezen op inlichtingen van de MIVD. Daartoe benodigde afluisterapparatuur voor een Nederlands schip leverde de NSA, in ruil voor de inlichtingen. Want de markt van geheime diensten is grotendeels ruilhandel, ouderwets gedragen door trots, ijdelheid en hebzucht. De politiek heeft weinig tot niets in te brengen en ministers als Plasterk en Hennis brachten daar bepaald geen verbetering in toen het erop aankwam. Bijvoorbeeld de stugheid van Rob Bertholee als AIVD-chef woog zwaarder, zoals in diens terughoudendheid om met de MIVD samen te werken. (Overigens ook een oud gegeven, al na de Tweede Wereldoorlog vochten Nederlandse inlichtingenbazen elkaar de tent uit.)

De volledige recensie is te lezen op Netkwesties, met onder meer de KPN-hack uit 2010 – 2012, de Britse hack via valse LinkedIn-pagina’s van Belgacom-systemen om bij de Navo en Europese Commissie in te breken, de innige verhouding van AIVD met CIA en NSA, plus kritiek op het boek.

Uitgeverij Podium. Huib Modderkolk: “Het is oorlog maar niemand die het ziet”, 2019.