Technologie – Page 6 – Karin Spaink

Robuuste rechters

De rechter die in 2013 het grootschalige, ongerichte bijhouden door de NSA van alle telefoongesprekken van de bevolking afwees, maakte gisteren korte metten met de afluisterstaat. Indertijd oordeelde Richard Leon dat zonder aanzien des persoons bijhouden wie wanneer, hoelang en vanaf welke locatie met wie belt, ongrondwettig was – en griezelig Orwelliaans. Niettemin bood hij in zijn uitspraak de NSA alle ruimte om de boel te repareren.

Maar iedereen pleegde obstructie. Individuen uitsluiten van massasurveillance kon écht niet, dat zou het hele systeem ondermijnen, zei de NSA. ‘Er komen binnenkort betere wetten,’ zei de Amerikaanse overheid. ‘Wij hebben toch toestemming gegeven? Dan mag het dus wél!’ zei het Congres.

Deze week – twee jaar later – was rechter Leon het beu. Volkomen beu. Hij vonniste gisteren dat de NSA per direct moet stoppen de metagegevens bij te houden van de telefoongesprekken die de eiser voert. Kan de NSA niet één enkele persoon uitzonderen van haar surveillance? Jammer voor de NSA: dan maar helemaal stoppen met het bijhouden van zulke gegevens van totaal onverdachte burgers. Leon: ‘De regering vraagt mij de facto om goed te keuren dat ze een sleepnet van ongekende proporties over alle burgers uitwerpt.’

Had het Amerikaanse Congres ingestemd met deze grootschalige privacy-inbreuk? Doet er niet toe, sneerde Leon. Immers: het Congres mág helemaal geen toestemming geven voor wetten en praktijken die ongrondwettelijk zijn. ‘Het intrinsieke doel van het grondwettelijke recht op privacy zou volledig worden ondermijnd wanneer dit hof zich neerlegt bij de overtuiging van het Congres dat ieders persoonlijke vrijheid opgeofferd dient te worden in de strijd tegen hedendaags kwaad.’

Leons vonnis boet enigszins aan fermheid in wanneer je weet dat de bewuste afluistermaatregel over drie weken sowieso afloopt, en vervangen wordt door een nieuwe wet. Niettemin zet hij een nieuwe toon: massaal onverdachte mensen volgen, is serieus ongrondwettelijk, en gelegenheidswetgeving doet niets aan dat principe af.

Vorige maand was er hier een vergelijkbare overwinning: de langlopende rechtszaak die de Oostenrijker Max Schrems tegen Facebook voerde, en die nu eindelijk op Europees niveau wordt uitgevochten, leidde tot de uitspraak dat persoonlijke gegevens van Europese burgers niet op Amerikaans grondgebied mogen worden bewaard – waar ze feitelijk vogelvrij zijn, want wij vallen niet onder Amerikaans recht – en een deugdelijke Europese bescherming vereisen.

Als toetje oordeelde de Brusselse rechter gisteren dat Facebook niet langer gegevens mag bijhouden van bezoekers en passanten die zelf geen Facebooklid zijn. Per vandaag moet Facebook daarmee ophouden, op straffe van een boete van een kwart miljoen euro per dag.

Wie zijn rechten lief heeft, moet tegenwoordig bij het gerechtshof zijn – niet bij de politiek. Vandaag vierde ik een feestje voor de rechtstaat. En voor robuuste rechters.

Onrust in de tent

De beheerders van een forum waar ik veel vertoef, vroegen me vorige week hun team te komen versterken. Daags daarna kon ik overal achter de schermen kijken en had ik super powerzz.

Het werk van forumbeheerders beperkt zich gewoonlijk tot spammers vangen, uit de hand gelopen discussies weer op de rails te krijgen, ruziemakers uit elkaar halen, dubbele topics verwijderen, soms een berisping uitdelen, en vooral veel administratief werk. Rustig baantje, uurtje per dag, dacht ik nog, terwijl ik op mijn gemak de beheeropties verkende. Hoe deel je een waarschuwing uit, hoe sluit je een topic, hoe handel je een klacht af?

Vrijdagavond, amper acht uur nadat ik in functie was getreden, werd er van hogerhand een grote update uitgevoerd. De oudere teamleden wisten wel dat-ie eraan zat te komen, maar niet wanneer: de softwaremaker voert die op afstand uit, en is helaas tamelijk laks met waarschuwingen. Hop, forum ineens plat wegens groot onderhoud, en toen de boel de volgende ochtend weer werkte, was werkelijk alles anders. Andere lay-out, andere functies, andere wegwijzers. Veel was verbeterd maar het oogde allemaal volslagen onbekend, en de forumleden waren collectief de weg kwijt.

Ik ook, natuurlijk. Maar ik was inmiddels wél forumbeheerder, en dus: verantwoordelijk.

Het ongeluk wilde dat de rest van het forumbeheer dat weekend onbereikbaar was. De een had een burn-out, de tweede relatieproblemen, de derde zat in een grote verbouwing, de vierde had twee ernstig zieke familieleden, en de vijfde zat voor zijn werk op een booreiland. De personele krapte was juist de reden dat ze versterking hadden gezocht.

Het regende klachten. ‘Als de vorige versie niet wordt teruggezet, ga ik weg!’ dreigde de een. ‘Wat een botte ingreep, wat een machtsmisbruik,’ verweet een tweede. ‘Ik voel me hier niet langer thuis,’ piepte een derde. ‘Als ik dít doe, gebeurt er ineens dát, en dat hóórt niet,’ kreet de vierde.

Wat te doen?

Het enige dat ik kon doen. Overal antwoord op geven, publiekelijk de problemen inventariseren, mezelf door de nieuwe interface heen werken, oplossen wat ik kon en die verbeteringen openbaar bijhouden in nette lijstjes, vertellen wat snel gefixt kon worden en wat langer zou gaan duren. En vooral: heel, heel aardig zijn.

Na een dag klonken er andere stemmen. ‘Geef het tijd,’ zei de een. ‘Oh kijk wat een leuke nieuwe functie ik net heb ontdekt,’ zei een tweede. ‘Ik ken die software wel, heb je tips nodig?’ vroeg een derde. ‘Het begint te wennen,’ constateerde een vierde. ‘Het werkt eigenlijk best goed,’ gaf nummer vijf toe, terwijl nummer zes druk bezig was om nummer zeven met een forumprobleem te helpen. Gaandeweg gingen meer leden over tot de orde van de dag: berichtjes op het forum plaatsen en vooral veel onderling discussiëren.

Ineens werd ik een stuk optimistischer over het vluchtelingendebat.

Vieze zaken

Het Italiaanse bedrijf Hacking Team verkoopt software aan overheden om de computers en mobieltjes van ‘verdachte elementen’ te kunnen hacken. Hun unique selling point: zo vinden we drugdealers en pedofielen. Door de bron te hacken – de crimineel zelf – kun je al hun verkeer aan de bron onderscheppen, en vermijd je dat criminelen zich achter encryptie kunnen verschuilen.

Gisteren kreeg Hacking Team een koekje van eigen deeg. Een hacker was hun systemen binnengedrongen en had alle interne documenten buitgemaakt: e-mails, facturen, agenda’s, klantenlijsten, wachtwoorden, programmacode. De hacker gaf de hele zwik – 400 GB aan data – daarna vrij op internet.

De klap voor het bedrijf is immens. Niet omdat het hilarisch is dat een surveillancebedrijf niks merkt wanneer het zelf belaagd wordt, of dat de systeembeheerders daar wachtwoorden als ‘p4ssword’ gebruikten en gevoelige informatie onversleuteld op de servers bewaarden. De echte schadepost is hun klantenlijst. Daar staan idioot veel overheden op die zich niets aantrekken van mensenrechten, en van wie bekend is dat ze geregeld op journalisten en mensenrechtenorganisaties jagen: Azerbeidzjan, Bahrein, de Verenigde Emiraten, Egypte, Kazachstan, Marokko, Nigeria, Oezbekistan, Rusland, Sudan.

Eerder waren er serieuze berichten dat journalisten uit Marokko en Bahrein via de software van Hacking Team door hun eigen overheid waren afgeluisterd, getraceerd en gevangen werden gezet. Hacking Team ontkende stellig: met zulke overheden deden ze geen zaken. De facturen vertellen een ander verhaal. Marokko en Bahrein staan op de klantenlijst van Hacking Team. Aan Sudan, een land waarvoor de UN strikte exportregels heeft uitgevaardigd, leverde Hacking Team voor een half miljoen dollar aan diensten en software. Dissidenten in Sudan zijn hun leven niet meer zeker, mede dankzij Hacking Team.

Niks drugsdealers en pedofielen, zoals het verkooppraatje van Hacking Team wil. Maar hé, het faciliteren van repressie betaalt goed!

Waar het op neerkomt, is dat de surveillance die het Westen wederrechtelijk als normaal is gaan zien om haar eigen burgers te bespieden, nu ook massaal wordt aangeschaft en ingezet door overheden die geen enkele democratische schijn ophouden, en waar geen sprake is van een ‘normale’ rechtsgang. Westerse bedrijven als Hacking Team leveren zulke repressieve landen van harte – vergezeld van een gepeperde rekening – een gereedschapskist om hun eigen bevolking verder onder druk te zetten en tegenspraak ongenadig af te straffen. Voor winst moet elk principe kennelijk wijken.

Dat de Nederlandse KLPD een afspraak had met Hacking Team, verbaasde me niet. Dat Nederland wil dat de politie gericht kan inbreken op computers en mobieltjes van verdachten, is immers al langer bekend. Wat mij verraste, is dat Hacking Team de ING en ABN/Amro onder haar klanten blijkt te hebben. Straks wordt u gehackt door uw eigen bank.

Loon naar lezen

Bij Amazon kun je boeken kopen, maar ook lenen: één boek per keer, en zodra je een nieuw boek downloadt, verdwijnt het vorige automatisch van je e-reader. Een deel van het leenbestand bestaat uit bestsellers en topauteurs, een ander deel omvat titels van auteurs die hun boek zelf via Amazon hebben gepubliceerd. Daar zitten overigens ook titels van gerenommeerde schrijvers tussen.

Voor die laatste groep, de auteurs die niet via een uitgeverij maar via Amazon publiceren, introduceert het bedrijf morgen een nieuw betaalmodel. Voortaan krijgen auteurs geen vergoeding per geleend boek, maar per gelezen pagina. Er was eerder protest over de verdeelsleutel: schrijvers van dikke boeken kregen per uitgeleend exemplaar evenveel geld uitgekeerd als auteurs van dunne boekjes, wat niet iedereen beviel.

Vandaar dat Amazon een nieuw model ontwierp voor haar maandelijkse vergoedingen (die trouwens niet mis zijn: alleen al deze maand gaat het om drie miljoen dollar.) Uitgeleende boeken worden niet verrekend naar dikte, maar naar consumptie. Een uitgeleend boek telt voor Amazon voortaan pas mee wanneer de lener er minstens tien procent van leest, en daarna wordt de vergoeding berekend op het totale aantal gelezen pagina’s.

Het plan sloeg nogal in. En niet alleen omdat je zo waarschijnlijk promoot dat auteurs zich toeleggen op boeken vol cliffhangers, op snel en rap proza, op eye candy. Het is de aanpak zelf die allerwege op kritiek stuit: het model is immers volledig gebaseerd op consumptie en op het behagen van het publiek, en houdt geen enkele rekening met de prijs die het maken van een boek vergt, laat staan op de inspanning van de auteur.

Want het blijft natuurlijk niet bij de auteurs die alleen via Amazon publiceren. Amazon wil dit model uiteindelijk op alle auteurs toepassen. En omdat digitaal bezit steeds vaker slechts een licentie op gebruik behelst in plaats van fysiek eigendomsrecht, is het onderscheid tussen kopen en lenen flink aan het eroderen. Over een paar jaar moeten alle auteurs eraan geloven.

Wanneer je halverwege een film uit de bioscoop loopt, krijg je niet de helft van je kaartje terug, noch heeft je vertrek impact op de revenuen van de regisseur of de acteurs. Wanneer je een jurk maar twee keer draagt, zakken de inkomsten van de naaisters ervan niet. Waarom zou je boeken wél afrekenen op basis van gebruik?

Aangezien Amazon in Amerika nu al bijna tweederde van de boekenmarkt volledig in handen heeft, en verschillende uitgeverijen in een uitputtingsslag heeft gedwongen tot een bizar lage inkoopprijs, is de inzet van het gevecht hoog. Amazon heeft diverse grote boekhandelketens uit de markt geduwd, maakt uitgeverijen het leven zuur, en biedt auteurs daarna schijnbaar groothartig aan: ‘Dan kom je voortaan toch fijn direct bij óns publiceren?’

Moet je wel in de smaak vallen bij het publiek, anders telt de verkoop van je werk niet langer mee.

De toekomst is nu

Wat gebeurt er wanneer computers slimmer worden, en een zelfstandige vorm van intelligentie ontwikkelen? Hoeveel vrijheid houden wij mensen dan over? Willen ze ons dan overheersen of ons juist dienen? Heeft kunstmatige intelligentie (KI) het beste met ons voor, of zullen ze ons beschouwen als grondstof voor hun eigen plannen?

Tussen die twee uitersten beweegt het debat over KI zich ongeveer. Enerzijds de waarschuwers die stellen dat we met zulke slimme computers vrijwel krachten losmaken die we niet kunnen beheersen, die mogelijk onze ondergang inluiden. Anderzijds de optimisten die verwachten dat computers met intelligentie ook een besef van ethiek en moraal zullen ontwikkelen, en dat ze mogelijk zelfs fijner besnaard zullen raken dan onszelf ooit is gelukt. In dat geval zou KI juist onze redding betekenen.

Het is een heerlijk debat – vooral omdat het zo hopeloos futiel is. Alsof het ontwerp en het coderen van technologie een soort waardenvrije kern heeft, die even makkelijk linksom als rechtsom kan uitpakken. De crux met technologie is dat die nooit neutraal is: het gaat altijd om de vraag hoe die technologie is gestructureerd en ingebed, met welk doel hij wordt ingezet, en hoeveel waarde we aan de aldus vergaarde informatie toekennen.

En dan word je nu al niet vrolijk. We zijn als maatschappij enorm op computers en hun verwerking van aan ons gedrag onttrokken datasets gaan leunen om risico en fraude te identificeren, zelfs in die mate dat simpele mutaties een paar dagen te laat aan de bevoegde instantie doorgeven je al als fraudeur kan aanmerken. (En zie dan nog maar eens van dat label af te komen: wat eenmaal in de computer zit, kan er doorgaans niet makkelijk meer uit.) De systemen die we bouwen, zijn soms zo wrak dat er duizenden mensen zijn die na viereneenhalve maand het hun toekomende PGB nog steeds niet uitbetaald hebben gekregen. Het lukt ze, ondanks hun verwoede pogingen, niet om correct in het systeem te worden opgenomen. Wanneer KI later geen rekening met mensen houdt, is dat omdat we computers precies dát nu al leren.

Erger: het lukt ons niet om instituties of bedrijven – die toch door mensen van vlees en bloed gedragen en geleid worden – een acceptabele moraal bij te brengen. Na jaren van berispingen en zware boetes versus mooie beloftes levert Zara nog steeds kleding gemaakt door kinderen en uitgebuite volwassenen. Mijnbedrijven blazen hele bergenketens in de Appalachen weg en laten een kaal, kapot landschap achter. Schaliegasdelving zorgt overal voor vervuild grondwater en een schrikbarende toename van aardbevingen. Zakenbanken plunderen de reserves van fondsen, overheden en burgers. De zucht naar net iets goedkopere arbeid en winstmaximalisatie schept massawerkloosheid.

Wanneer instanties, bedrijven en overheden mensen al zo makkelijk afschrijven, is het naïef te verwachten dat intelligente computers dat niet zullen doen.

Verboden te tweaken

Amerikaanse autofabrieken willen niet meer hebben dat hun klanten met hun tengels aan hun producten zitten. Nu ja: mechanische onderdelen zoals bougies, banden of schokbrekers mag u desnoods zelf nog wel vervangen, maar de code die voor de besturing en diagnostiek van de auto wordt gebruikt, beschouwen de automakers voortaan graag als hun exclusieve terrein. Zodra iemand anders die software bekijkt, onderzoekt, verbetert of aanpast, wensen ze dat te bestempelen als een inbreuk op hun intellectueel eigendom. Als piraterij, kortom.

Da’s voor de veiligheid, hoor, claimen de fabrikanten. Vanzelfsprekend. Stel je voor dat iemand niet weet wat-ie doet en per ongeluk de cruise control vernaggelt, of de botsingsdetector.

Alleen is de groep mensen die in hun schuurtje, met een thermoskan koffie en de laptop erbij, de elektronische control unit (ECU) van hun auto eens fijn gaat uitpluizen, natuurlijk niet bijster groot. Om hen is het de fabrikanten ook niet te doen. Hun offensief richt zich op onafhankelijke bedrijven die zich hebben toegelegd op de tinkering, tuning & tweaking van moderne auto’s.

Want dat lijkt de automakers nou juist zelf zo’n lucratieve vorm van klantenbinding: wie een auto van ze koopt, mag tot in lengte der dagen de elektronica daarvan uitsluitend laten updaten, controleren of repareren bij door hen geautoriseerde dealers, die op hun beurt natuurlijk weer een percentage van de omzet aan diezelfde fabrikant afdragen. Via licenties, ketenbeheer en een beroep op intellectueel eigendom wordt de markt dichtgetimmerd, en de concurrentie tot piraterij verklaard.

Die aanpak past in een gaandeweg normaler wordende logica waarbij producten die we keurig hebben aangeschaft – software, tv-series of liedjes in iTunes, e-books – niet ons eigendom zijn. We blijken slechts een gebruiksrecht te hebben gekocht, wat onze gebruiksvrijheid nogal beperkt. Weggeven, uitlenen en doorverkopen worden problematisch. Bij software heeft het Amerikaanse verbod op onderzoeken en ontleden van de code – precies, ja: datzelfde tinkering dat nu in het geding is– ervoor gezorgd dat onderzoekers die cruciale fouten in software hadden gevonden, het spreken of publiceren daarover werd belet.

Hackers en hobbyisten hebben ingenieuze verbeteringen voor ECUs bedacht, waaronder manieren om efficiënter met brandstof om te gaan. Ze hebben serieuze gaten in de beveiliging van ECUs gevonden, en wat meer is: voorstellen voor verbetering ontwikkeld. Ze vonden de oorzaak van een rare fout bij General Motors, een fout die maakte dat auto’s al rijdend plotseling dood vielen. (Minstens 84 mensen zijn door die fout omgekomen.)

Dat de Amerikaanse autobranche met het veiligheidsargument komt aanzetten als legitimatie van hun poging om een onderhoudsmonopolie te verkrijgen, is derhalve nogal pijnlijk.

Cybergruwelen

‘Cyberoorlog staat op uitbreken,’ kopte de krant vorige week. Het klonk bijna opgetogen. Maar zoals nerds al aan het eind van de jaren negentig doorhadden; alles waar het predicaat cyber bijgeplakt werd, was gekunsteld hip of marketingpraat, of erger: allebei. Cybersex. Cybernaut. Of (gruwel) cyberfeminisme. En nu dus: cyberoorlog.

Catastrofale aanvallen staan te wachten, wist de deskundige, de virtuele oorlog is ons voorland. Her en der voeren kwaadwillende clubjes dergelijke aanvallen al uit, overal staat de malware klaar, hield de deskundige ons voor. Het wachten is op een schurkenstaat die al die initiatieven aaneen klinkt, en dan rijst-ie in alle omvang op: de cyberoorlog. Nou, berg je dan maar!

Waarom klonk dat nou bijna verlekkerd?

Misschien omdat de man verdiende aan het spinnen van zulke apocalyptische visioenen: voor HP werkt hij aan de virtuele veiligheid van overheden, en ja, dat concept moet verkocht worden. Of misschien was het omdat het rijtje van verdachte staten dat hij noemde, het aloude rijtje was: Iran, Noord-Korea, China. (Irak is uit de vaste opsomming weggevallen en wordt binnenkort vervangen door ISIS. Of beter: CyberIsis, om nog eens te benadrukken hoe eng ze zijn.)

Opmerkelijk is dat de man Israël en de VS niet in het rijtje plaatste: de twee enige overheden van wie tot nu toe bekend is dat ze doelgericht een computervirus op een ander land hebben losgelaten, Stuxnet, dat onverwacht – maar dat heb je nu eenmaal snel met computervirussen – ook buiten Iran opdook. Dat maakte zijn verhaal ineens wat hol. Oude schurkenwijn verkopen in nieuwe, en dus hoger geprijsde zakken – dat was wat hij deed. De oude riedel: zij zijn de vijand en wij moeten onszelf beter bewapenen. Met cyberbewapening! En we moeten de systemen van de vijand binnendringen om aanvallen te voorkomen!

Terwijl de kwetsbaarheid van computersystemen me zeer aan het hart gaat: een cyberversie van de wapenwedloop propageren is niet de oplossing. Dat pad zadelt ons op met geheime diensten die doelgericht gaten in software laten maken, met spionagediensten die permanent hun bevoegdheden misbruiken, met massasurveillance die tijd, geld en aandacht vreet en amper iets oplevert, met ondoorzichtige en warrige systemen.

Willen we onszelf beter beschermen, dan doen we er goed aan om rustiger om te springen met automatisering, connectiviteit en verknopingen. We zouden cruciale infrastructuur niet op een en hetzelfde netwerk moeten zetten: koppel de elektriciteitscentrales niet aan internet, zorg ervoor dat cash geld in roulatie blijft, zorg voor aparte frequenties, houdt FM in de lucht, en knoop niet alles aan elkaar.

En vooral: we moeten bescheidener worden in onze eisen. Waarom moet een infuuspomp aan het internet? Waarom wil je in hemelsnaam wifi bieden aan vliegtuigpassagiers, wanneer dat de boordcomputer kan compromitteren?

Wie alles aan elkaar knoopt, maakt zichzelf kwetsbaar. Daar is geen aanval voor nodig: een lastige bug volstaat.

Heel veilig

De massale surveillance die de NSA en haar Britse evenknie GCHQ stiekem uitvoeren, was voor de twee inlichtingendiensten niet genoeg. Behalve ongericht ieders internetverkeer onderscheppen, wilden ze hetzelfde ook doen met mobiel verkeer. Maar aangezien mobiel verkeer standaard wordt versleuteld, hadden ze een probleem.

Ze besloten Gemalto onderhanden te nemen. Dat bedrijf, dat haar hoofdvestiging in Nederland heeft, levert jaarlijks ruim twee miljard chips die wereldwijd in mobieltjes worden gebruikt. Via hun illegale surveillance identificeerden de NSA en het GCHQ een aantal ‘interessante’ mensen binnen Gemalto, wier gangen vervolgens digitaal tot in detail werden nagetrokken. Hun e-mail werd uitgeplozen, hun contacten werden geïnventariseerd, hun wachtwoorden werden onderschept.

Stukje bij beetje wisten de inlichtingendiensten dieper in het netwerk van Gemalto door te dringen. Hun eigen hackers schreven intussen scripts om geautomatiseerd informatie bij het bedrijf te onderscheppen en weg te sluizen.

Wat de NSA en het GCHQ er stalen? De geheime sleutels die in de chips zijn meegebakken, en die enerzijds dienen om de kaarthouder identificeren en anderzijds om het verkeer met de provider te versleutelen. In porties van soms miljoenen tegelijk ontvreemdden de inlichtingendiensten die sleutels.

Het effect: al het verkeer van de bijbehorende mobieltjes is op slag volkomen transparant voor de inlichtingendiensten. Nooit meer hoeven aankloppen bij providers voor gegevens, doelgerichte telefoontaps zijnn niet meer nodig, nergens hoeft een rechter aan te pas te komen, en als bonus: de NSA en het GCHQ hoeven nergens verantwoording over af te leggen, aangezien niemand wist dat ze dit deden.

U kunt uw mobieltje dus niet meer vertrouwen, dat kan zo worden afgeluisterd O niet omdat uzelf verdacht bent, hoor, nee wees gerust: ze luisteren u uitsluitend af omdat u ergens werkt waar volgens hen mogelijk interessante gegevens worden verwerkt, gegevens waarvan zij als inlichtingendiensten menen dat ze er zonder last of ruggespraak bij moeten kunnen. U bent geen doel, U bent alleen maar hun instrument. Zij willen graag illegaal al uw gegevens hebben, opdat ze illegaal – en zonder dat er enige verdenking jegens hen bestaat – ook de rest van de mensheid overal kunnen afluisteren.

De hack van de NA en het GCHQ heeft ongekende repercussies. Want de chips van Gemalto beveiligen tevens bankpassen, creditcardsleutels, toegangspasjes en chips voor mobiel betalen. Gemalto’s klanten zijn niet de minsten: Vodafone, Orange, AT&T, Verizon, T-Mobile, MasterCard, American Express. Al dat verkeer hebben de veiligheidsdiensten in één klap gecompromitteerd. Voor uw en onze veiligheid…!

Gemalto beweert nu dat er niet veel aan de hand is. Allicht: ze zijn als de dood dat hun klanten een zaak tegen ze beginnen. Maar als ik Gemalto was, zou ik als de sodemieter aangifte doen van malversaties door de overheid.

Bureauspeurders

CDA-kamerlid Pieter Omtzigt is tevens rapporteur Juridische Zaken en Mensenrechten voor de Raad van Europa. In die hoedanigheid publiceerde hij vorige week een rapport over de moderne massasurveillance.

Omtzigts rapport is heftig. De schaal waarop (vooral) de UK en de VS data van gewone burgers vergaren, noemt hij onthutsend: hij spreekt van ‘een op hol geslagen machinerie’. Veel van deze bespieding is volgens Omtzigt ronduit in strijd met de mensenrechten. Er worden geheime wetten, geheime rechtbanken en geheime wetsinterpretaties gebruikt; inlichtingendiensten hollen doelbewust allerlei waarborgen uit; burgers worden als verdachten behandeld; verdachten kunnen zich vaak niet verdedigen tegen aantijgingen, ook niet wanneer die op schrale gronden zijn gebaseerd; het optreden van afluisterinstanties onttrekt zich aan elke democratische besluitvorming, controle en verantwoording.

Het is nogal een waslijst.

En wat levert deze surveillance-industrie nu op, behalve een groeiende onvrijheid voor iedereen en miljoenencontracten voor de onderaannemers? Niets, constateert Omtzigt grimmig, zoals velen voor hem ook al deden. Er is geen enkele bewijs dat die hele machinerie enige aanslag heeft voorkomen.

Sterker: bij grote aanslagen blijkt na afloop telkens dat inlichtingendiensten de plegers ervan al eerder in het vizier hadden, maar dat hielp niet. Er was teveel werk: het wemelt van de meldingen via het systeem, en deze verdachten waren zodoende onderop de stapel beland. En de interne bureaucratie helpt ook niet; de verschillende takken van inlichtingendiensten werken langs elkaar heen, rapporten blijven halverwege hun weg omhoog in de pikorde ergens op een bureau liggen.

Omtzigts referaat past wonderwel bij de verhalen van ouders van Syriëgangers die we de laatste tijd horen. Bezorgde ouders melden de inlichtingendiensten of de politie geschrokken dat hun kind op het verkeerde pad raakt, maar daar gebeurt vervolgens nietsmee. In één geval stond de AIVD uiteindelijk zes weken later bij pa op de stoep, maar zoonlief zat inmiddels al dik en breed in Syrië. [Link 1] [http://www.at5.nl/artikelen/135127/vader-syriganger-waarschuwt-voor-radicalisering]

Wat heb je in hemelsnaam aan een alomvattende surveillancemachine wanneer serieuze meldingen van direct betrokkenen erin verzuipen?

Het probleem is deels dat het reuze efficiënt klinkt, zo’n algeheel burgerbewakingingssysteem. In de praktijk genereert zo’n systeem veel goedbedoelde, maar foutieve meldingen. Die moeten natuurlijk wel allemaal worden nagetrokken. Zo genereer je een idioot grote berg werk, waarin vooral veel onzin moet worden afgehandeld. Een groter probleem is dat we stilletjes zijn gaan denken dat misdaad en terreur vanachter een bureau zijn te beheersen: dat we criminelen via databeheer kunnen managen.

De terreurbestrijding moet de straat op, achter de bureaus vandaan. Hef de massasurveillance van onschuldige burgers op, laat onschuldige handelingen voor wat ze zijn, en richt je op daadwerkelijke meldingen. Met 10% meer rechercheurs kom je verder dan met 100% datacontroles.

Vertrouwen [3]

[Zie ook de voorlopers van deze column: Vertrouwen [1] en Vertrouwen [2].]

We zijn geconditioneerd geraakt dat de overheid onze gangen moet kunnen nagaan. Waar we zijn, wat we kopen, wie we mailen, bellen of sms’en, welke websites we bekijken: de overheid moet die informatie vastleggen. Het beoogde doel van deze ongeëvenaarde surveillance, wordt ons op het hart gedrukt, is terroristen vangen. Of criminelen. Mensen die in kinderporno doen. Of fraudeurs.

Mogelijk begon de grootschalige afluisteroperatie waarin we verzeild zijn geraakt, inderdaad zo: met het oprechte verlangen om boeven te vangen. Maar inmiddels zijn we in een radicaal andere fase beland.

De documenten die Edward Snowden prijsgaf, laten zien dat alle burgers in het westen permanent worden afgeluisterd, zowel door hun eigen als door andere overheden, en wel op grotere schaal dan iedereen voor mogelijk hield. Vrijwel niets wat gewone burgers doen, valt buiten de spiedende blik van de veiligheidsdiensten.

Ze beperken zich daarbij niet tot het legaal onderscheppen van informatie. De verzamelde westerse geheime diensten zijn inmiddels akelig proactief geworden.
Belgacom onderhoudt een van de grootste internethubs ter wereld: veel Afrikaanse en Aziatische internetverbindingen lopen via hen. De Britse geheime dienst – na de NSA de grootste afluistervink ter wereld – had geen wettelijke grond om toegang te krijgen tot de netwerken die Belgacom beheert, en besloot toen om de boel dan maar te hacken. Ze installeerden dusdanig ingenieuze achterdeuren in de systemen van Belgacom dat het bedrijf de hack pas twee jaar later ontdekte.

Heb je het ooit zo zout gegeten?! De Britse geheime dienst hackt een keurig Europees bedrijf in een bevriende natie teneinde toegang te krijgen tot al het verkeer van de internationale klanten van dat bedrijf, nota bene om daarmee de aan diezelfde geheime dienst opgelegde wettelijke beperkingen te omzeilen?

De Snowden-documenten die Der Spiegel dit weekend publiceerde, bewijzen dat deze Belgische affaire geen uitzondering is. De NSA blijkt ook de Grieken af te luisteren. Met welk doel of recht? Niet om terroristen of kinderpornohandelaars op te sporen, dunkt me.

Diezelfde documenten tonen aan dat de NSA zich al jarenlang inspant om encryptie te breken. Ze forceren bedrijven om achterdeuren in te bouwen in voorheen veilige protocollen, lekken in software houden ze achter teneinde die zelf te kunnen misbruiken, en tijdens internationaal vergaderingen over cybersecurity doet de NSA alles om veilige protocollen af te zwakken en deugdelijke standaards te compromitteren.

Dat uw bankverkeer straks niet meer veilig is, dankt u aan de NSA. Veilig bankverkeer vinden zij namelijk lastig, net als privacy dat eerder was.

We worden door meerdere overheden tegelijk in de gaten gehouden. Geen van die overheden legt daarvoor verantwoording af, en allemaal schenden ze op grote schaal burgerrechten, wetten en verdragen.

We leven in de DDR. In versie 2.0, dat dan weer wel.