De mens is makkelijk te hacken

„Is het verwijtbaar dat wij naïef zijn over onze kwetsbaarheden?”

In café-restaurant Klein Kalfje in Amsterdam zit ik tegenover een man die zich, althans op Twitter, Foo Ling Yu, noemt. Hij werkt tegenwoordig voor de overheid en wil liever niet met zijn echte naam in de krant. Zijn specialiteit is ‘social engineering’, dat wil zeggen dat hij met psychologische middelen informatie weet los te krijgen uit mensen die ze liever niet verstrekt zouden hebben. Het klassieke spionagewerk zeg maar. Social engineering is echter ook een belangrijk onderdeel van wat ‘cyber warfare’ (digitale oorlogsvoering) is gaan heten.

Wie een netwerk wil penetreren heeft baat bij betrekkelijk eenvoudige trucs die uitgaan van bekende menselijke zwaktes. USB-sticks rondstrooien op het parkeerterrein van het bedrijf dat je wilt aanvallen bijvoorbeeld is betrekkelijk effectief. Er hoeft maar één sukkel rond te lopen die zijn nieuwsgierigheid niet kan bedwingen.

Foo Ling Yu maakt gebruik van subtielere methoden. „Het helpt om een week lang elk spitsuur de tram of bus te nemen waarvan je weet dat er werknemers van het bedrijf in zitten dat je wilt binnendringen,” zegt hij. „Je luistert de gesprekken af en zo kom je erachter wie de secretaresse is, wie met zwangerschapsverlof is, wie relaties met elkaar hebben.”

Een schrijver die onderzoek verricht, is ook een social engineer, hooguit een die van zijn werkzaamheden geen geheim maakt. Maar het is niet daarom dat social engineering mij boeit. Waar sociale vaardigheden overgaan in social engineering is moeilijk te zeggen, waarschijnlijk moeten we concluderen dat als sociale vaardigheden slachtoffers maken, je op een social engineer bent gestoten. Het is dat grijze gebied dat mij fascineert. Zodra social engineering een verlengstuk wordt van cyber warfare, krijgen basisvragen als: wanneer is vertrouwen gerechtvaardigd, hoeveel naïviteit heeft een samenleving nodig om leefbaar te blijven, extra urgentie.

Iedereen die een mobieltje heeft of aan internetbankieren doet, betreedt het domein dat ‘cyber’ wordt genoemd. Feitelijk geldt dat zelfs voor iedereen die een auto bezit of bestuurt, want auto’s zijn allang geen blik op wielen meer, maar zoals een cyber-expert dat noemde ‘rijdende iPads’.

Je hoeft weinig van techniek te begrijpen om in te zien dat cyber bij uitstek paranoia genereert.

Zelfinzicht

Cyber zou een metafoor kunnen zijn voor de verhouding tot onszelf. Wij maken gebruik van ons lichaam, wij besturen het of denken het te besturen zonder werkelijk de technische details te kunnen doorgronden, en hoewel het streven naar zelfinzicht doorgaans geroemd wordt, is het hoogmoed te beweren dat wij onszelf werkelijk kennen. Voor zover zelfkennis bestaat uit weten wat wel en wat niet gecontroleerd kan worden, wijst cyber ons op de grenzen van de zelfkennis. Beheren wij de machine of beheert de machine, die allicht is overgenomen door hackers, toch niet stiekem ons?

Niet alleen de mens is gemakkelijk te manipuleren, oftewel te hacken, hoe vernuftiger de technologie hoe gemakkelijker die te manipuleren en te misbruiken is. De meeste pacemakers bijvoorbeeld zijn tegenwoordig op het internet aangesloten. Toen de voormalige Amerikaanse vicepresident Dick Cheney een pacemaker kreeg, wilde hij er een die niet op het internet was aangesloten, uit angst dat Al-Qaeda zijn pacemaker zou hacken.

Foo Ling Yu vertelt dat hij er niet op uit is om schade aan te richten. In het verleden heeft hij hooguit ‘penetratietesten’ uitgevoerd, dat wil zeggen dat een bedrijf hem uitnodigt om dat bedrijf te penetreren om zo de zwakke plekken te vinden.

Foo Ling Yu deed zich in een geval voor als bezorger van DHL. Hij meldde zich bij de receptie van het desbetreffende bedrijf met een grote lege doos en zei dat die voor een van de werknemers was, laten we hem meneer Bouwman noemen. Bouwman moest zelf voor ontvangst tekenen. Foo Ling Yu wist dat meneer Bouwman op dat moment niet aanwezig was. De receptionist wees hem waar hij moest zijn. Op weg naar Bouwman komt hij langs een lege vergaderruimte waar twee laptops staan. Foo Ling Yu stopt ze in de doos, plakt die weer dicht en gaat ermee naar beneden.

„Vaak”, zegt Foo Ling Yu, „is het van belang om bluf tot het einde toe uit te spelen. Ik had met die doos naar buiten kunnen lopen maar dat was niet goed geweest. Dus ik ging naar de receptionist en ik zei: ‘Meneer Bouwman is er niet, ik laat de doos hier wel achter, u tekent er maar voor.’ Dat zei ik op zo’n toon dat ik wist dat de receptionist geen trek meer zou hebben om mij te helpen. Precies dat gebeurde. Ik werd het bedrijf uitgegooid met de laptops waarop vertrouwelijke informatie stond. Een social engineer hoeft niet altijd aardig te worden gevonden.”

Overheden

Het zijn uiteraard niet alleen individuen, criminele organisaties of semi-idealistische organisaties als Anonymous die zich met cyber warfare bezighouden. De belangrijkste hackers zijn overheden, zogenaamde ‘state actors’. Zij hebben doorgaans het meeste geld te besteden, toch maken ook deze state actors gebruik van dezelfde methodes waarin Foo Ling Yu zich gespecialiseerd heeft.

In de binnenstad van Amsterdam drink ik koffie met Paul Ducheine, bijzonder hoogleraar Military Law of Cyber Security & Cyber Operations aan de UvA en tevens kolonel bij de Landmacht, de dag dat ik hem ontmoet zal hij worden bevorderd tot brigadegeneraal.

„In principe is er geen verschil tussen cyber warfare en conventionele oorlogsvoering,” zegt Ducheine. „De drie vragen blijven: wat wil ik bereiken? Wat zijn de middelen? En is het doel volgens het oorlogsrecht legitiem? Stuxnet was een gamechanger, maar als iemand dat meeneemt en ergens anders achterlaat, ben ik daar dan nog verantwoordelijk voor? Als iemand een clusterbom meeneemt en ergens anders achterlaat, is dat nog mijn verantwoordelijkheid? De clusterbommen in Afghanistan leken erg op de voedselpakketten die we daar gedropt hebben.”

Stuxnet was een computerworm, vermoedelijk ontwikkeld door Amerika en Israël, die tot doel had het Iraanse kernprogramma te vertragen. Stuxnet dook echter ook op andere plekken op, en is zo ontdekt, overigens zonder op die andere plekken voor zover wij weten schade aan te richten.

„Snowden was ook een gamechanger,” vervolgt Ducheine. „Er is een spanningsveld tussen veiligheid en privacy. Wij hebben het Nationaal Cyber Security Centrum. Er is meer controle om onze veiligheid te verzekeren dan menigeen denkt, maar macht kan ontsporen zoals het verleden heeft bewezen. Iedere veiligheidsdienst krijgt weer andere taken mee, bedrijfsspionage maakt traditioneel gezien deel uit van spionage. De vraag is: mag ik iets in jouw digitale omgeving achterlaten? En als het mag, hoe moet ik het doen?”

Offensieve cyber

Nederland heeft al in 2012 aangegeven ‘offensieve cyber’ te willen, dat wil zeggen het cyberwapen niet uitsluitend in te willen zetten voor defensieve doeleinden. Daartoe leidt het Nederlandse leger cyberspecialisten op, onder wie ook social engineers. Of Nederland zal kunnen concurreren met de NSA of met de beruchte Unit 8200 van het Israëlische leger valt te betwijfelen, maar dat het Nederlandse leger in tijden van crisis begon te investeren in cyberoorlogsvoering geeft aan dat het ook in Nederland is doorgedrongen dat traditionele oorlogsvoering niet zal verdwijnen maar dat die oorlogsvoering steeds vaker beïnvloed en beslist zal worden met behulp van cyberwapens.

In een café niet ver van het centraal station van Utrecht zit ik tegenover Hans van de Looy, een van de oprichters van het bedrijf Madison Gurkha. Motto van het bedrijf: „Your security is our business”. Kort gezegd probeert Madison Ghurka bedrijven te beschermen tegen hackers. Van de Looy, met paardenstaart en ondeugende ogen, wekt eerder de indruk een activist te zijn dan de mede-eigenaar van een commerciële onderneming.

„Je kunt je redelijk beschermen tegen hackers”, zegt Van de Looy, „tenzij je organisaties als NSA tegenover je krijgt, want die hebben altijd meer te besteden dan jij. De wezenlijke vraag van cyber is wat je krijgt als iemand alle gegevens die van burgers online te vinden zijn, gaat combineren. Anders gezegd: mag de Belastingdienst gegevens van nummerborden opvragen bij de parkeerdienst van de Efteling om te kijken welke leaseauto’s daar zondag geparkeerd staan? Willen wij in zo’n maatschappij leven?”

„Dus wij zijn vergeten dat wij eigenlijk geen geheimen meer hebben?” stel ik.

„Ik denk dat wij vooral niet beseffen wat onze kwetsbaarheden zijn. Ons privéleven is maar één ding. Wij beseffen niet hoe makkelijk het is om een maatschappij te ontwrichten door bijvoorbeeld de elektriciteitsvoorziening te saboteren. Lees de roman Black Out van Marc Elsberg.”

„Maar als het zo makkelijk is”, zegt Michel van Eeten, hoogleraar aan de TU Delft met als taakomschrijving „Governance of Cybersecurity” en lid van de Dutch Cyber Security Council, op een zomeravond in een Japans restaurant in Den Haag, „waarom is het dan nog niet gebeurd? Bedrijven als Fox-IT of Madison Ghurka hebben belang bij het benadrukken van risico’s. Ja, China zou een elektriciteitscentrale kunnen saboteren, maar waarom zou China het doen? China exporteert toch liever naar Europa?”

„Je bedoelt,” zeg ik, „dat de atoombom na 1945 ook niet meer gebruikt is.”

„Ik weet niet of ik dat een gelukkige en geruststellende metafoor vind,” antwoordt Van Eeten. „Is het verwijtbaar dat wij naïef zijn over onze kwetsbaarheden? Ik geloof van niet. Onverstoorbaarheid is een superieure veiligheidsstrategie.”

Onverstoorbaarheid als superieure veiligheidsstrategie, daar heb ik sympathie voor. Privacy-expert Jeroen van den Hoven, eveneens verbonden aan de TU Delft, denkt dat de naïviteit pas zal verdwijnen als burgers het in hun portemonnee voelen. In een telefoongesprek zegt hij: „Amazon bepaalt nu al prijzen puur voor jou, omdat ze weten dat je bereid bent een bepaald bedrag voor een bepaald product te betalen. Als burgers erachter komen dat ze meer betalen omdat ze op een MacBook Air typen in plaats van op een gewone pc zal er iets veranderen.”

„Dus ook hier is de eigen portemonnee het voertuig voor verontwaardiging en verandering?”

„Ja,” zegt van Hoven. „Vergeet niet dat big data, en we leven in het tijdperk van big data, niet alleen een probleem maar ook een oplossing zijn. De sociale wetenschappen zullen nooit meer hetzelfde zijn. We hoeven niet meer een enquête te versturen en blij te zijn als 35 mensen reageren. We kunnen nu in real time zien wat mensen willen, waarnaar ze verlangen, wat hen bezighoudt. Het gaat erom op een verantwoorde manier met die gegevens om te gaan, maar er is een coalition of the morally willing.”

Of deze coalitie op kan tegen realpolitik en geopolitieke machtsverhoudingen? Ik vraag het me af.

Het is de metafoor van de auto als iPad op wielen die mij het minste loslaat. De pacemaker als iPad die het hart ondersteunt, de kunstheup als iPad die de heup vervangt.

Pogingen het gedrag van mensen te veranderen, oftewel het beschavingsproces, hebben zich van oudsher gericht op de psychologie van de mens en op de manier waarop hij zijn samenleving inrichtte. Nu kunnen wij het gedrag van mensen beïnvloeden door de machines die hij gebruikt, en die hem tot op zekere hoogte beheersen, te beïnvloeden. Wie het rijgedrag van mensen wil veranderen hoeft niet meer de mens zelf te corrigeren, alleen nog de iPad op wielen.

De hedendaagse ingenieurs van de ziel zijn nerds, hackers die geen mens hoeven te zien om zijn leven toch te kunnen besturen. Meer nog dan dat we live de obsessies en onzekerheden van de massa kunnen bestuderen, hoe fijn ook voor sociale wetenschappers, lijkt me dat de ware paradigmawisseling door cyber.