Geheim overleg met hackers van de NSA

De Amerikaanse NSA is niet de enige die computersystemen hackt. „The Dutch” doen dat ook, zegt de NSA in geheime notulen. „Ze zoeken naar goede manieren om hun data te minen.”

Op 14 februari 2013 – Valentijnsdag – vergaderen medewerkers van de Amerikaanse afluisterdienst NSA met hun Nederlandse counterparts. Het is een bijeenkomst voor specialisten: mannen en vrouwen die zich bezighouden met spionage op internet.

Uit het geheime gespreksverslag dat de NSA zal maken, blijkt niet waar de vergadering plaatsvindt. Maar het document maakt wel duidelijk dat de AIVD en de militaire inlichtingendienst MIVD een zware delegatie hebben afgevaardigd. In totaal zitten er negen Nederlanders tegenover de drie Amerikanen.

De Nederlanders steken van wal. Ze vertellen over de veranderingen in hun organisatie. Ze briefen de Amerikanen over hun onderzoek naar de activiteiten van Chinese hackers in Nederland. De Nederlanders willen graag feedback: wat vinden de NSA-collega’s van hun onderzoek?

Even is er een ongemakkelijk moment, als de Amerikanen toegeven „nog geen tijd” te hebben gehad om de rapporten te lezen die de Nederlanders hen hebben gestuurd.

Uit de notulen van de vergadering, die zijn gelekt door voormalig NSA-medewerker Edward Snowden, blijkt dat de Amerikanen niet altijd even geboeid zijn door wat hun Nederlandse collega’s vertellen. Maar dat verandert als de Nederlanders uitleggen hoe ze inbreken in de servers van openbare webfora, om daar grote hoeveelheden gegevens te verzamelen. „De discussie over de webfora”, schrijft een medewerker van de NSA, „was een stuk interessanter.”

Webfora zijn een belangrijke bron van inlichtingen voor de diensten. Vorig jaar publiceerde de AIVD een uitgebreide notitie over jihadistische fora op het ‘onzichtbare’ web. Meer dan 90 procent van het internet is nog niet in kaart gebracht door de zoekmachines van Google. Maar juist op dit darknet bevinden zich de webfora waarop moslimextremisten met elkaar discussiëren.

Volgens de AVID vormen de fora „de kern en de motor van de wereldwijde virtuele jihadistische beweging.” En het darknet is niet alleen een toevluchtsoord voor de internationale jihad. Ook rechtsradicalen en neo-nazi’s weten elkaar te vinden op webfora. Hetzelfde geldt voor voetbalhooligans, en voor gewelddadige dierenactivisten.

Sommige webfora worden gehackt door de AIVD. Medewerkers van de dienst slagen er in toegang te krijgen tot de computerservers waarop de websites draaien, en daar kwaadaardige software te installeren. Met behulp van deze malware kan de database van het forum, met daarin de gegevens van alle gebruikers, ongemerkt worden weg gesluisd. De technische term voor zo’n aanval is Computer Network Exploitation (CNE). De Nederlandse diensten, zo schrijven de Amerikanen, „verzamelen (...) databases door middel van CNE”.

Het hacken van computers mag volgens de wet. Het „binnendringen in een geautomatiseerd werk” is één van de „bijzondere bevoegdheden” die de diensten mogen gebruik om informatie te verzamelen. Maar het is een grote inbreuk op de privacy van een burger. Vooraf moet daarom altijd toestemming van de minister worden gevraagd. En in de aanvraag voor de hack moet de dienst overtuigend aantonen dat het beoogde doelwit (een persoon of organisatie) een ernstige bedreiging vormt voor de ‘democratische rechtsorde’.

De afgelopen jaren is CNE steeds belangrijker geworden voor de Nederlandse diensten. Vanaf volgend jaar zullen de AIVD en de MIVD hun krachten op het gebied van computerspionage gaan bundelen in een nieuwe gezamenlijke eenheid, die zal opereren vanaf het AIVD-hoofdkwartier in Zoetermeer. Met de oprichting van deze Joint Sigint Cyber Unit (JSCU) worden de capaciteiten van de beide diensten op het gebied van hacken verder versterkt. De AIVD is alvast op zoek naar personeel voor de functie van ‘ICT-specialist Computer Network Exploitation’.

Maar de wet is nog niet toegesneden op cyberspionage. De Wet op de inlichtingen- en veiligheidsdiensten (Wiv) dateert uit 2002. In de memorie van toelichting daarop wordt nog gesproken van „het binnendringen van (stand-alone) pc’s”. Dat was toen al niet zo’n zinnige opmerking – een computer zonder internetverbinding is lastig te hacken. En anno 2013 surfen mensen niet alleen vanaf hun pc, maar ook met hun smartphone en hun tablet.

Data staan niet meer op de harde schijf, maar hangen ergens in de ‘cloud’. Daarmee is het ondoenlijk geworden op een computerhack te beperken tot één computer. Als je bijvoorbeeld de e-mail van één redacteur van NRC Handelsblad wil lezen, is het het handigst om het mailverkeer van de hele krant te onderscheppen, en daarna te gaan selecteren.

Zo gaat het ook bij de webfora. Door de hack krijgt de dienst niet de gegevens van één persoon, maar van alle gebruikers van het forum in handen. Volgens het ministerie van Binnenlandse Zaken past het inbreken in webfora binnen artikel 24 van de wet, waarmee hacken wordt toegestaan. In deze optiek kan een webforum worden beschouwd als een ‘organisatie’ die een bedreiging vormt voor de rechtsorde, als er aanwijzingen zijn dat er staatsondermijnende activiteiten plaatsvinden.

Deskundigen op het gebied van informatierecht en privacy vinden dit echter te ver gaan. Het vermoeden dat een webforum verdacht publiek trekt, betekent nog niet dat álle bezoekers doelwit mogen worden van de dienst. Volgens hoogleraar Nico van Eijk van de Universiteit van Amsterdam gaat de AIVD met het gebruik van deze hackmethode een grens over. „Ze trekken een sleepnet door internetfora en nemen de data van willekeurige personen mee.”

Uit het geheime NSA-document blijkt dat de AIVD maximaal gebruik maakt van de gegevens die ze hebben binnen gehaald. Zo probeert de dienst gebruikers te koppelen aan een IP-adres – het unieke nummer van hun internetaansluiting. De Nederlanders, „proberen betrouwbare IP-adressen te genereren”, schrijft de NSA. Net als een telefoonnummer is een IP-adres één van de kenmerken op grond waarvan de AIVD iemand kan aanwijzen. Zo kan de database met gebruiksgegevens nieuwe ‘targets’ opleveren.

En de AIVD doet nog meer. „Ze onderzoeken of ze data uit de webfora kunnen combineren met gegevens van andere sociale media en proberen goede manieren te vinden om de data die ze al hebben te minen.

De AIVD hackt dus een forum, haalt de gegevens van alle gebruikers binnen, en gaat vervolgens kijken of er mogelijke targets kunnen worden geïdentificeerd voor nader onderzoek.

In 2011 publiceerde de toezichthouder op de inlichtingendiensten CTIVD een rapport over ongerichte zoekacties. Dat rapport ging niet over computerhacken, maar over het binnenhalen van radio- en satellietcommunicatie door de MIVD. In het Friese Burum worden grote hoeveelheden satellietcommunicatie opgevangen en opgeslagen. Deze bulkinformatie mag niet zomaar worden doorzocht: daar is toestemming van de minister voor nodig.

Net als bij hacken moet er in de aanvraag een specifiek doelwit worden genoemd, een persoon of een organisatie. De praktijk was echter anders, concludeerde de CTIVD.

De toezichthouders stelden vast dat de MIVD toestemming kreeg voor het onderzoeken van „breed geformuleerde categorieën van personen en organisaties”. Volgens de commissie was dit „niet in overeenstemming met de wet”. Inlichtingendiensten mogen dus geen sleepnet uitgooien om verdachten te vinden in de enorme hoeveelheden onderschepte data.

Naar aanleiding van het kritische rapport van de CTIVD zei toenmalig minister van Defensie Hans Hillen (CDA) in het voorjaar van 2012 dat het voor staatsveiligheid nodig kan zijn om „de randen van de wet op te zoeken of zelfs daaroverheen te gaan”. Volgens Hillen was het duidelijk dat de techniek de wet heeft ingehaald en dat de Wiv zo snel mogelijk moest worden aangepast.

De afgelopen jaren hebben AIVD en MIVD zich achter de schermen luidkeels beklaagd. De NSA en de Duitse Bundesnachrichtendienst halen op grote schaal e-mails en ander verkeer van het internet. Maar in Nederland is het ongericht aftappen van kabels verboden. Een groot probleem voor de diensten, in een tijdperk waar ruim 90 procent van het dataverkeer over de glasvezelkabel gaat.

Aanstaande maandag zal een commissie onder leiding van de jurist Constant Dessens een rapport presenteren waarin de Wet op de inlichtingen en veiligheidsdiensten wordt geëvalueerd. De algemene verwachting is dat Dessens zal adviseren om de wet te verruimen.

Tijdens hun vergadering met de NSA vertellen de Nederlanders over hun juridische problemen. „Er is nog geen toegang tot de kabel”, staat er in het NSA-verslag. „Nederlandse juristen zijn van mening dat hij (de kabel) nu al kan worden getapt, mits het gaat om defensieve maatregelen.” Uit de NSA-notulen blijkt niet waar de Nederlanders precies op doelen.