Met een geweldige primeur over betrokkenheid van de AIVD bij de plaatsing van Stuxnet-malware in het beheer van het Iraanse kernprogramma en een rechtszaak van diezelfde AIVD; plus de gebruikelijke DWDD-marketing en een onnodig stickertje van Lubach op het omslag kwam het boek van Huib Modderkolk met een katapult op de markt. ‘Het is oorlog, maar niemand die het ziet’ bereikt direct de top-10. En dat is terecht.

Afgaande op de betoog van Paul Abels dat de AIVD nooit zonder strategisch doel in de openbaarheid treedt, was die rechtszaak mogelijk bedoeld om extra aandacht te trekken voor de Stuxnet-primeur: de AIVD spreekt internationaal een knap woordje mee en wil dat weten. De bemoeienis van de AIVD met Iran is overigens gezien de internationale verhoudingen twijfelachtig, vindt Paul Aarts.

De eerste beschrijving van strijd in Modderkolks boek is gewijd aan zijn ontrafeling van de eerste grote digitale aanval op Nederland tot nu toe; die op de uitgever van digitale certificaten DigiNotar in Beverwijk in augustus en september 2011. Deze aanval stortte Nederland tot op regeringsniveau in chaos. Modderkolk reconstrueert het met onder anderen Aart Jochem en Erik de Jong van Govcert.

Kabeltje van DigiNotar

De aanvaller kwam eenvoudig binnen via de website van DigiNotar die onder verouderde software draaide, en huurde bij Leaseweb met vpn-verbinding. Dat laatste maakte het voor Team High Tech Crime eenvoudiger om de aanvaller in Iran te traceren. Hij gebruikte zijn verbinding namelijk ook om ’gewoon’ te surfen, een vorm van slordigheid die ook in digitale recherche welkom is. Of de jongeman door de staat Iran werd gestuurd, is niet duidelijk geworden. De AIVD wilde niet dat de politie daar onderzoek naar deed.

Modderkolk ontdekte dat de oorzaak een doelbewuste ingreep van DigiNotar was: een extra kabeltje naar een server om de vertragende beveiliging in het dagelijks werk met het uitgeven van certificaten te kunnen omzeilen. De ellende kost DigiNotar-oprichter Tony de Bos de miljoenen van de overname van DigiNotar door Vasco, die ze terugvordert.

Akerboom en vitale infra

En aardige details: de chef van de terrorismebestrijding Erik Akerboom, nu politiebaas, wist niet eens wat digitale certificaten zijn en had dus geen benul van de ernst van de schade laat staan van te nemen maatregelen. Nederland kan niet anders doen dan Mozilla (Firefox) en Microsoft te smeken geduld te oefenen met het intrekken van DigiNotar certificaten. Microsoft besluit om de noodzakelijke Windows-update alleen voor Nederlandse computers tien dagen uit te stellen, teneinde onze overheidsdiensten draaiende te houden.

Gevolg is wel dat het niveau van de Nederlandse digitale beveiliging wordt opgekrikt. Modderkolk schrijft dat er daarna pas tot een inventarisatie komt van vitale infrastructuur in Nederland. Hij weet niet dat digitale specialisten van onder meer TNO, zoals Eric Luiijf die inventarisatie vele jaren eerder herhaaldelijk hebben gemaakt – met een openbaar en een geheim deel - en ook uitgebreid waarschuwden voor de gevaren van cyberaanvallen. Er kwam breedvoerig overleg in Den Haag buiten de radar van de media, er en werden maatregelen genomen op Schiphol en elders.

En de regel is ingevoerd dat besturingssystemen van installaties, zoals bij sluizen en bruggen, niet op internet aangesloten mogen worden. Wat overigens (zie onder met Stuxnet) lang niet afdoende is. Modderkolk schrijft over een virus van Russen in de systemen van de Oosterscheldekering in Zeeland, maar kon helaas onvoldoende bevestigd krijgen waar en wanneer precies en met welke dreiging, om er in de Volkskrant destijds over te schrijven.

Met Mossad en CIA

Dan volgt in het boek de inmiddels befaamde onthulling van de vergaande inbreng van de AIVD in de eerste fase bij het saboteren van het Iraanse nucleaire programma in Natanz, waarover Modderkolk in de Volkskrant publiceerde met Kim Zetter. Deze fantastische journalist schreef een boek over Stuxnet (hier een informatieve voordracht van 45 minuten met bewijzen van het slagen van de aanvallen, met de nodige piepjes. Daarin komt de AIVD niet voor, evenmin in de uitstekende docu Zero Days.)

De Iraniër uit de hogere staatsregionen die het kunstje met de plaatsing van de usb-sticks flikte was een Nederlandse ambassade in het Midden-Oosten binnengelopen met verzoek om bescherming. Hij werd gerund door de CIA, die hem meer kon betalen dan de AIVD en verbleef om veiligheidsredenen in het een buitenland (Engeland?) dat in ruil meekeek met de operatie.

Overigens was deze AIVD-Iraniër die in 2007 de Siemens besturing van de Iraanse centrifuges met een vroege versie van Stuxnet aanviel, later niet meer welkom. Waar is hij gebleven? Vervolgens werd de grote en bekend geworden aanval voorbereid met een sterk verbeterde versie en in 2009 en 2010 uitgevoerd door een ingenieuze besmetting van vijf Iraanse leveranciers van de nucleaire ontwikkeling.

Modderkolk oppert de mogelijkheid dat de aanval op DigiNotar van 2011 een Iraanse vergelding was voor de Stuxnet-bijdrage van Nederland, maar blijft vooral achter met de vraag: hoe kon één jongeman met een laptop Nederland digitaal ontwrichten? (Achter elke laptop kan overigens een leger hackers schuilgaan.)

Van superkraker naar zelfmoord

Het volgende hoofdstuk gaat over zo’n jongeman met een laptop, maar een ‘lone wolf’, dus van ander en ook tragisch allooi: Edwin Robbe, de 17-jarige zonderlinge adoptiezoon van José en Ruud Robbe in Barendrecht die via zijn KPN-verbinding internationaal hackte en aanschuurt tegen bekende collectieven als Anonymous en Lulzsec. Met een compagnon komt hij op het diepste niveau van het KPN-netwerk van ruim 500 servers en de core router.

De even fraaie als bondige kern: ‘Edwin kan alles en KPN weet van niets.’ Dan volgt Code Rood bij KPN, wordt een heel team geformeerd ter bestrijding, en komen traag de oorzaken boven tafel: al een half jaar geen update uitgevoerd van essentiële software voor KPN’s beveiliging en zelfs een wijd openstaande firewall. De aanvaller is nog onbekend, het kan net zo goed een buitenlandse staat zijn. Beveiligers vliegen zelfs naar Azië in hun jacht naar de bron.

KPN-baas Eelco Blok is lid van de Cyber Security Raad maar licht medebestuursleden niet in en KPN voelt weinig voor intensieve bemoeienis van High Tech Crime van de overheid, wat gezien het nationale belang van KPN wel noodzakelijk is. Ongeveer alles wat kwetsbaar is in Nederland, inclusief AIVD en MIVD, maken gebruik van KPN-netwerken op verschillende lagen, hoe dan ook van de kabelinfrastructuur. Dan blijkt de dader ‘gewoon’ een Nederlandse scholier te zijn die wordt gepakt en straf krijgt. Met de jongen loopt het tragisch af.

Nederlandse kindermoord

We leren van de details en paniek bij KPN veel minder dan van de DigiNotar-kraak, wat een van de schaarse omissies van het boek is. Daarentegen is de beschrijving van de kraak bij het internationale onderdeel BICS van Belgacom, met het oog op toegang tot de systemen van de Europese Commissie en wellicht ook de Navo, een hoogtepunt van het boek. Even nauwgezet als verbaasd beschrijft Modderkolk, beginnend vanuit de Snowden-bestanden, hoe vernuftig de Britse GCHQ de kraak opzette via valse LinkedIn-pagina’s van drie systeembeheerders van BICS; en ermee wegkwam. Europol weigerde onderzoek te doen, onderdeel van de operatie om de Britse hack vooral politiek met de mantel der liefde te bedekken.

Zo maakt hij ook gehakt van een motie in het Nederlandse parlement om inlichtingen verzameld door de AIVD en MIVD niet ten goede te laten komen aan Amerikaanse diensten voor het doden van vermeende terroristen met drones zonder enige vorm van proces. Of, zoals Modderkolk terecht schrijft, ‘standrechtelijk te executeren’. Met een collega traceert hij een Somalische man die vertelt door zo’n aanval twee kinderen verloren te hebben, en zelf een been. Ontkenning door minister Hennis-Plasschaert is onzinnig.

Voor inlichtingen over Somalië was de VS aangewezen op inlichtingen van de MIVD. Daartoe benodigde afluisterapparatuur voor een Nederlands schip leverde de NSA, in ruil voor de inlichtingen. Want de markt van geheime diensten is grotendeels ruilhandel, ouderwets gedragen door trots, ijdelheid en hebzucht. De politiek heeft weinig tot niets in te brengen en ministers als Plasterk en Hennis brachten daar bepaald geen verbetering in toen het erop aankwam. Bijvoorbeeld de stugheid van Rob Bertholee als AIVD-chef woog zwaarder, zoals in diens terughoudendheid om met de MIVD samen te werken. (Overigens ook een oud gegeven, al na de Tweede Wereldoorlog vochten Nederlandse inlichtingenbazen elkaar de tent uit.)

Five Eyes tot Leaseweb

Rusland, China, Iran en Noord-Korea zijn de erkende vijanden, reden om het hacken door deze landen steeds over het voetlicht te brengen, zoals met de vangst van Russische spionnen in Den Haag door de MIVD. Al jaren is in kleine kring in Nederland bekend: als het moet, bijvoorbeeld bij aanslagen, kunnen de AIVD en NCTV tot nagenoeg iedere Nederlandse telefoon en computer toegang krijgen. Dat is in zekere zin een veilig gevoel. Maar het wordt een ander verhaal als de AIVD zo makkelijk gegevens verstrekt aan de Five Eyes alliantie met de Amerikanen en Britten.

Zo kon de AIVD dankzij de nog ongeëvenaarde inbraken in systemen van Cozy Bear en Fancy Bear in Moskou – over een periode van drie jaar! - de Amerikanen waarschuwen voor een digitale aanval op hun ministerie van Buitenlandse Zaken. De NSA legt vervolgens een directe lijn met Zoetermeer om de verdediging te stutten. ‘Er volgt een digitale veldslag zoals niet eerder is vertoond’, vat Modderkolk de strijd om de systemen in Washington samen. De onvergeeflijke loslippigheid van de NSA-chef Richard Ledgett in april 2017 maakte een einde aan de AIVD-infiltratie in Rusland.

Want Nederland spreekt een woordje mee, blijkt uit ‘Het is oorlog’, ook omdat we hier zo eenvoudig kunnen tappen van de grote verbindingen en dataparken zoals bij Leaseweb waar servers met tapsoftware van IDD continu beschikbaar zijn. De FBI kwam tevergeefs met een half miljoen dollar naar Leaseweb voor een permanente verbinding, ontdekte Modderkolk. Is ook niet nodig, want via de ‘eigen’ AIVD en politie wordt veel verkeer onderschept voor de Amerikanen. Bijvoorbeeld van El Chapo, op grond waarvan de FBI de Mexicaanse drugsbaas kan pakken.

Webzilla versus Kaspersky

Edward Snowden was als ingehuurde NSA’er tekenend voor de verwevenheid van inlichtingenwerk en bedrijfsleven. Dat is een gevaarlijke gewoonte. Zo tekent Modderkolk een bizar verhaal op van een Nederlandse vrouw die voor een Australisch bedrijf audiobestanden van telefoongesprekken moet vertalen en op een gesprek stuit van haar ex. Dit soort krankzinnige zijpaden maken het boek attractief, maar voeden ook de huiver die Modderkolk goed verwoordt.

De verhoudingen tussen de private hosting en cyberstrijd van staten, van met name Rusland, brengt Modderkolk over het voetlicht met de verhalen over Webzilla en over King Servers, net als de andere hoofdstukken deels eerder in de Volkskrant gepubliceerd. Verkeer via de serverparken in Nederland, verhuurd aan Russen of andere buitenlanders, is ‘grillig en moeilijk te doorgronden’. Inmiddels heeft de FBI afdoende bewijzen gepubliceerd over de kwaadaardigheid van Aleksej Goebarev (Gubarev in de krant) die bij Webzilla vele servers huurt en ter beschikking stelt van de cyberaanvallen vanuit zijn land.

Modderkolk neemt het echter wel op voor de Russische beveiliger Kaspersky die een aantal malen doelwit is van de AIVD, dat geen bewijzen kan vinden van actieve samenwerking met Russische staatshackers. Toch krijgt Kaspersky een ban van de Nederlandse regering, niet op grond van bewijzen maar louter in het voetspoor van de Verenigde Staten. Dat Modderkolk een definitief oordeel velt, is moedig. Want als het tegendeel ooit wordt bewezen, hangt hij.

Eigen twijfels

Modderkolk gebruikt en noemt in ‘Het is oorlog’ veel bronnen, wat zeer te prijzen is bij juist dit moeilijke onderwerp. Anders dan bijvoorbeeld Joris Luyendijk deed met zijn verslaggeving uit The City met het boek ‘Dit kan niet waar zijn’ dat volkomen oncontroleerbaar is dus fictie of in elk geval aangedikt kan zijn – zoals de titel al aangeeft. Modderkolk maakt er evenmin een geheim van dat Ronald Prins van voorheen Fox-IT en (even) AIVD veruit zijn belangrijkste bron is. Hij beschrijft ook diens afscheidsreceptie, intelligentie. speelse en altijd nieuwsgierige karakter en ook de 40 miljoen die hij inde van de verkoop van Fox-IT.

Vele details in ‘Het is oorlog’ zijn boeiend, niet alle onbekend, zoals de nogal ongezonde animositeit tussen AIVD en MIVD. En dat de AIVD, om financiële redenen en vanwege technisch vernuft in Nederland, liever hackt dan massaal data verzamelt en analyseert. Modderkolk laat zich niet louter leiden door argwaan en vooroordelen zoals bijna alle journalisten die over ‘geheime diensten’ schrijven, maar door aanhoudend gezonde nieuwsgierigheid. Zijn houding sloeg zienderogen om, heel gezond. Dat sommigen die kritiseren als te positief is niet onderbouwd.

De tekortkomingen in het boek zijn vergeeflijk. Dat is op de eerste plaats het bieden van iets te weinig context, zoals rekenschap van de geschiedenis en daarmee de betekenis van het inlichtingenwerk, en de plek in de maatschappelijke, politieke en economische veranderingen waarin de ‘oorlog’ in zich in het duister afspeelt. Maar dat komt nog wel, want de schrijver zit middenin de strijd. (Ik versloeg in 1989 de Roemeense opstand in Boekarest mede vanuit een hotel vol met geheime agenten, zag en hoorde heel veel maar had geen flauw benul van het geheel.)

Dat gebrek aan context en geschiedenis maakt het ook moeilijk te bepalen in hoeverre het echt oorlog is. Wat is de schade van dit enorme computerspel in het echie? Maar de grote charme van Modderkolk is dat hij ruimschoots ruimte laat voor twijfels aan de betekenis van de digitale cyberstrijd en ook aan de moeilijke eigen positie wanneer hij meermalen zelf doelwit is van gerichte hacks.

Modderkolk beschrijft eerst z’n eigen strijd om kennis en bronnen te verzamelen. Niet altijd kan hij op begrip van zijn hoofdredactie rekenen, bijvoorbeeld als hij ontdekt dat de AIVD onderzoek deed naar Geert Wilders. Hoofdredacteur Philippe Remarque wil ook de inhoud van die rapportage weten, die volgens Modderkolk onmogelijk boven tafel kan komen; de primeur op zich was al mooi. Modderkolk schrijft overigens niet waarom hij NRC van Peter Vandermeersch verruilde voor de Volkskrant, al bevat deze zin wellicht de reden. (En bovendien weet de AIVD het.)

Ook erkent Modderkolk niet direct dat zijn onderzoek naar de Snowden-files, toen nog bij NRC, ondanks (of dankzij) de gecreëerde hype niet goed ging. Maar wel indirect: het was, zoals we vermoedden, volgens hem heel moeilijk om met collega Steven Derix in de bestanden een weg te vinden naar nuttige informatie; door de omvang maar ook door gebruikte afkortingen en andere geheimtaal.

Maar eindelijk ligt er een fantastisch boek over Nederland en de ‘cyberoorlog’. Want het schrijven over ‘de diensten’ is ‘koorddansen’ zoals Modderkolk zegt. De valkuil van het plakken van journalistieke artikelen tot een boek is het gebrek aan verbanden, coherentie en helicopterview, of beter nu: drone- en satellietview. Maar dat is, zoals genoemd, hier beperkt het geval. Modderkolk legt steeds verbanden en vormt een fraai geheel. Bovendien is de nu al vermaarde schrijver nog jong, open en leergierig en heeft nog tweederde van zijn van journalistieke loopbaan voor zich.

*) Het is oorlog maar niemand die het ziet, Huib Modderkolk, 2019