Virtuele Vreemdelingenlegioenen

Nederland spreekt graag een woordje mee en deed dat afgelopen weken in een spraakmakend artikel in New York Times over een enorme internetaanval. Die was gericht op Spamhaus, ’s werelds grootste bestrijder van ongewenste reclamemail. Gevolg: politieonderzoeken in veel landen, waaronder de VS, Engeland en Nederland zelf. Het OM wil er inhoudelijk niets over zeggen.

De aanval vond plaats met een ondergrondse coalitie die zich Stophaus noemde. Een aanval die (met 300Gb/s) drie keer zo krachtig was als de grootste geregistreerde aanval tot nu toe op een website, met als doel die onbereikbaar te maken. In vaktermen een Ddos-aanval. New York Times gaf de fases van de aanval op Spamhaus grafisch weer.

Onzinverhaal met bunker

Dat alles leek Nederland als bakermat te hebben. Tot de verbeelding sprak de entiteit ‘Cyberbunker’ die werd beschreven als centrum van de aanval. De bewuste bunker staat in Kloetinge bij Goes.

Op zo’n term wil de pers wel mondiaal aanslaan. CNN, Daily Telegraph, New York Times, BBC en Bloomberg/BusinessWeek namen flux de taxi, trein of huurauto naar Goes om vandaar het groen van de Zomerweg in Kloetinge in te duiken.

Denken in termen van kwaad en oorlog is moeilijk in de virtuele wereld. Het diffuse online kwaad kreeg hier een fysiek gezicht. En nog wel met een anti-atoombunker van de Nato, gebouwd gedurende de Koude Oorlog, die nu naar zeggen in gebruik is als computercentrum.

Het Nederlandse hostingbedrijf Cyberbunker kwam centraal te staan in de nieuwsvoorziening. Dit bedrijf balanceert al ruim een decennium op de rand van maatschappelijke eigenrichting en criminaliteit. Netkwesties berichtte er in 2002 en in 2006 al over, en die verhalen gingen de afgelopen weken veelvuldig door Google Translate.

Cyberbunker van Herman Xennt heeft als oorsprong de genoemde bunker bij Goes, maar maakt daar al jaren geen gebruik meer van. De buitenlandse media hadden er eigenlijk niets te zoeken.

Het lijkt bovendien nogal onzinnig om bunkers in te zetten om internet te beschermen als een groep jongens op zolderkamers in Diemen, Sjanghai of Kiev in staat is het internet heftig aan te vallen. Maar goed, het bunkerverhaal helpt ons kennelijk om na te denken over de wereld van online aanvallen en defensie.

Banken volgende doelwit

Een week later waren ING en Rabobank doelwit van soortgelijke Ddos-aanvallen  die de toegang tot de websites blokkeerden door er enorme hoeveelheden data op af te vuren. Imiddels is ING drie keer aangevallen en de bank begint zich steeds beter te verdedigen.

De ellende begon vorige week woensdag toen er een flinke storing optrad en saldi niet waren bijgewerkt. Het ging om een interne storing zei ING, veel te laat. Dit riep twijfels op. Een bank handelt in betrouwbaarheid en heeft nagenoeg de morele plicht om dat vertrouwen te allen tijde voorop te stellen.

Dus mag je ervan uitgaan dat niet altijd de waarheid wordt gesproken als handhaving van het vertrouwen de hoogste prioriteit heeft. Er is geen enkele grond om te beweren dat er bij ING is ingebroken in de systemen. Van het tegendeel kun je echter evenmin overtuigd zijn.

Is het kattenkwaad of cyberterreur? Sterk verhaal natuurlijk, maar helemaal onlogisch is het niet dat de Russische maffia de verliezen die zijn toegebracht aan hun vermogens op Cyprus even laten vergelden De meeste oorlogen hebben economische componenten - veelal olie - die onderbelicht blijven.

Complottheorieën kietelen prettig, maar zijn onnodig. Zo is het onzinnig om het regime-Poetin ervan te verdenken, ook al komen aanvallen met botnets voor een belangrijk deel uit Rusland. Een oorzaak van de ellende zoeken in chantage van de bank ligt meer voor de hand, evenals een poging tot koersbeïnvloeding. Bij zo’n ernstige aanval is er reden genoeg voor de recherche om de koers en handel in aandelen ING even te bezien.

Botnets met onze pc’s

Geestig is wel dat ING is aangevallen met veel Nederlandse pc’s. De facto is de kans aanzienlijk dat u meedoet aan zo’n aanval. Uw pc kan geïnfecteerd zijn met een virus en als zombiecomputer onderdeel zijn geworden van netwerken die door derden zijn overgenomen, bijvoorbeeld in Rusland. Deze botnets worden ondergronds aangeboden op internet onder schuilnamen.

In Nederland werd vastgesteld dat in de loop van 2010 zo’n 5 tot 10 procent van alle breedbandabonnees, ofwel zo’n half miljoen Nederlandse huishoudens, een besmette computer hadden die in botnets was gebruikt. In ander mondiaal onderzoek kwamen tellingen uit op tientallen miljoenen besmette computers die op enig moment door derden konden worden bestuurd.

Professor Michel van Eeten van de TU Delft die deze cijfers rapporteerde, zegt: “Binnenkort voeren we het onderzoek weer uit. Er wordt door grote providers als KPN en Ziggo ook gewerkt aan een Nederlandse infrastructuur om besmetting bij abonnees sneller te traceren. Dat is echt hard nodig.”

Van Eeten merkt ook op dat de criminelen die computers besmetten en misbruiken nauwelijks te traceren zijn: “Ddos-aanvallen zijn voor websites wat spam voor e-mail is; dagelijkse overlast die je niet echt kunt uitroeien. Je ziet ook dat het samenhangt met eigen rechter spelen door de aanvallers. Zij bepalen wel even wie de aanval verdient.”

De moeilijk te traceren herkomst is de charme en tegelijkertijd de zere plek van (bom)aanvallen en defensie via internet. Je weet zelden precies waar de ellende vandaan komt en wie je moet bestrijden. Het is vrij eenvoudig om een computer van herkomst te fingeren in Oezbekistan of Tuvalu, terwijl die in Zeeland of Sjanghai staat.

Zo werd de laatste grote aanval op een Nederlands bedrijf, de inbraak bij het digitale sleutelbedrijf DigiNotar de Iraanse overheid als waarschijnlijke dader genoemd. En de inbraken bij New York Times en redacteuren thuis kregen China als hoogstwaarschijnlijke aanvaller mee.

Uit een onderzoek van iDefense van VerigSign uit 2010 bleek dat je voor 10 dollar per uur of bijna 70 dollar per dag al een botnet huurt. De meeste aanvallen worden voor de lol uitgevoerd, gewoon omdat het kan, wel honderdduizenden per week. Vaak wordt \een aanval gebruikt om af te persen, maar ook om de beveiliging van een bedrijf op de proef te stellen in de hoop dt er meer te halen is, bijvoorbeeld creditcards.

Dunne lijn goed en kwaad

De Nederlander Sven Olaf Kamphuis (35), officieel wonend in Barcelona en vanuit Berlijn actief met hostingbedrijf CB3Rob en samenwerkend met Cyberbunker, bekende zich eerst als coördinator van het aanvallende Stophaus. Later volgde een ontkenning. Ook een zich ‘Online Marketing Advocacy Group’ noemende partij werd getraceerd als aanvaller. Dit leek een een coalitie van e-mail marketingbedrijven ofwel spammers

Een hostingbedrijf stalt en ontsluit op haar servers - zware  internetcomputers - websites en verzorgt het e-mail verkeer. Veel hosters deden mee aan Stophaus.

Spamhaus, geeft zwarte lijsten uit met hosters en hun klanten die spammen. Doel van Kamphuis en zijn kornuiten was Spamhaus een pak slaag te geven. Volgens hem wordt er machtsmisbruik gepleegd. “Spamhaus is niet enkel aanklager, maar rechter tegelijk. Komen de servers van een hostingbedrijf op de lijst met een verdenking van spammen door je klant, heb je als hoster direct over de hele wereld voor al je andere klanten grote problemen om nog mail te versturen”, zegt hij in een uitgebreid video-interview via Skype.

Het middel om Spamhaus het zwijgen op te leggen was gelijk aan de beschuldiging: eigen rechter spelen. De groep aanvallers had enkel zijn gezicht, maar de omvang was een signaal dat de aversie tegen Spamhaus breed gedeeld werd. De aanval was bovendien technisch buitengemeen venijnig, gepleegd via ‘DNS-servers’, het hart van internet. Die maken onbedoeld de aanval sterker door inherente fouten.

Van Eeten: “De eigenrichting vind ik ten dele een belangrijk functioneel aspect van het reilen en zeilen van het internet. Het zijn vormen van zelfcorrectie die tot op zekere hoogte het internet in evenwicht houden. Maar net als in het Wilde Westen kan het ook vervelend escaleren.”

Het is een wonder dat er niet vaker problemen optreden. Dat is mede het gevolg van de dunne lijn tussen goed en kwaad. Technici als Kamphuis, vaak ook van universiteiten, bewaken het internet voor zover mogelijk.

Tot het fout gaat, of een groep boos wordt. Goed wordt dan kwaad, zowel in de zin van boos als malicieus. De grootste aanval ooit, uitgevoerd op Spamhouse, was zo’n signaal van het vervagen van de dunne lijn tussen goed en kwaad. Die op de Nederlandse banken de volgende.

Van Eeten: “Meestal gaat het weer voorbij en moet je je straf uitzitten. De banken hadden er enkele uren last van, Spamhaus een paar dagen en ooit is een klein Israëlisch bedrijf dat spammers bestreed, Blue Security, eens geheel opgehouden na een enorme Ddos-aanval.”

Robin Hoods of dwazen?

Soldaten voor zo’n aanvalsleger als Stophaus komen van heinde en verre  en hebben vaak een kras op hun ziel of reputatie. Fysiek kunnen we ons dat voorstellen, van de boeken en films over het Vreemdelingenlegioen. Zo was een compagnon van Kamphuis een belangrijke Nederlandse deelnemer aan het protestcollectief Anonymous dat regelmatig aanvallen uitvoert op doelwitten die naar het inzicht van de groep maatschappelijke belangen torpedeert.

De aanval op Spamhaus werd niet geclaimd door Anonymous. Het verbond de afgelopen jaren haar naam wel aan een aantal Ddos-aanvallen op Israëlische doelwitten, waarvan de jongste afgelopen zaterdag teneinde de Holocaust-herdenking te verstoren. Aan de aanval op Nederlandse banken is geen claim van een groep verbonden.

Of zijn CB3Rob nu fysiek meedeed of niet in Stophaus, Kamphuis uitte zich ook antisemitisch over Spamhaus en New York Times. Gevraagd naar zijn motief daarvoor, zegt hij: “In 2010 is mijn auto opgeblazen. Later op een conferentie in Berlijn vertelde een man van de Mossad mij dat het een waarschuwing was.”

Zo gaat dat in de virtuele wereld, droom en daad zijn nauwelijks te onderscheiden en de spelers versterken elkaars aversie om een ‘zaak te maken’ om aan te vallen. Banken vormen laaghangend fruit voor een aanval. Daar is altijd wel een coalitie voor te vinden in deze tijd de argumenten er met weten daar steeds beter ge- en misbruik van te maken.

Onder en bovenwereld

Van Cyberbunker was al eerder duidelijk geworden dat het zich niet altijd met koosjere activiteiten bezig hield. De aanval op Spamhaus, hoe bedenkelijk dit bedrijf ook met haar macht omgaat, maakte Cyberbunker in één klap wereldberoemd.

Voor Bunkerinfra dat de Zeeuwse bunker in gebruik nam (zie hierna onder 'Bunkers en verbeelding') zat er niets anders op om zich te distantiëren van Cyberbunker. Echter, ook deze onderneming roept vragen op. Pas in tweede instantie geeft directeur Joost Verboom van Bunkerinfra toe dat de persoon van Guido Blaauw nauw betrokken is bij Bunkerinfra. Ook dit is een figuur met krassen op de ziel die tussen de coulissen van het spel van goed en kwaad online opvallende rollen speelt. Verboom noemde Blaauw in een telefonisch vraaggesprek letterlijk een “dramageval”.

Spamhaus versus Kamphuis, van Cyberbunker tot Cyberinfra, de kronkels van Verboom en Blaauw; op internet is de lijn tussen goed en kwaad, tussen verdediging en aanval, dun. Personen dicht bij de lijn bevinden zich dan eens in de ‘onderwereld’ dan weer in de ‘bovenwereld’.

De aantrekkingskracht van deze wereld vol James Bonds en Kuifjes is voor talenten met verbeelding onmiskenbaar. Ze kleuren de wereld van de strijd die plaatsvindt in de online krochten.

Inlichtingen- en politiediensten hebben momenteel als strategie om de beste hackers met goed geld werk aan te bieden en in hun kamp te trekken. In China en Rusland heeft dit al groot succes. Overal worden groeiende budgetten, die parlementen beschikbaar stellen voor cyberwar en tegen cybercrime, ingezet om nieuwe legers samen te stellen.

Zie ook daar weer de overeenkomsten met het Vreemdenlegioen. Het maakt de sollicitatieprocedure bijzonder: online recalcitrant gedrag of misdaad leidt tot een mooie baan. Maar het kan, als je te ver gaat, net zo goed een langdurige gevangenisstraf opleveren. De andere kant van die dunne lijn.

Zowel het inlichtingenwerk als de piraterij is trekt avonturiers en is doortrokken van een sfeer van bravoure en bluf. De politiek kan met dit alles nog niet omgaan. Binnenkort zal geroepen worden dat de 50 miljoen euro van Nederland voor cyberdefensie, in november 2011 bekendgemaakt, te weinig geld is. Of te veel, wie zal het zeggen…

Bunkers en verbeelding

Bezwijkt het internet een keer? Op een ontkennend antwoord kun je later altijd worden afgerekend. Feit is dat TNO de “kritische infrastructuren” in kaart bracht en brengt, ook online: ministeries, energiebedrijven, waterleiding, Schiphol, de havens, beheer van wegen en bruggen, maar ook Defensie en geheime diensten in binnen- en buitenland.

Het bedrijf Bunkerinfra kocht in Nederland militaire bunkers om computers van dit soort organisaties te huisvesten. “Bunkerinfra focust speciaal op operaties op de terreinen cyberoorlog, cyberterrorisme en cybermisdaad”, laat het eveneens weten. Na de bunker bij Goes heeft Bunkerinfra voor 500.000 euro ook een bunker in Oegstgeest gekocht, van de Rijksoverheid in een openbare aanbesteding (‘verkocht wegens vrede’, schreef Rijksvastgoed geestig), en een bunker bij Hannover voor 700.000 euro. Bunkerinfra wil 18 miljoen investeren om er computercentra van te maken en bij succes verder expanderen in Europa

“De komende maanden zijn doorslaggevend”, zegt directeur Joost Verboom. “We bieden unieke beveiliging en sloten al mooie contracten af, maar verloren ook een overheidstender van KPN.”

De doelstelling van optimale veiligheid is curieus, omdat de zwakste schakels niet de servers met websites zijn, maar de verbindingen erheen. Die kun je niet zo zwaar beveiligen, blijkt wel uit langdurige uitval van de bereikbaarheid van Spamhaus en de banken.

Boeiend is wel de aankoop van de bunker door een regulier bedrijf met als naam Bunkerinfra die er wel degelijk computers wil plaatsen om kritische infrastructuren veiliger te laten werken. De overdracht was typisch voor deze schimmige wereld, warbij de bunker nu eigendom is van een tussenpersoon die de bunker dit jaar overdraagt aan Bunkerinfra.

Ene G.B. noemt zich op LinkedIn initiatiefnemer van Bunkerinfra. De letters en het kale hoofd boven het stukje zonnebril op LinkedIn blijken na wat onderzoek te staan voor Guido Blaauw.

Hij presenteert zich met werk voor het EU Intelligence Analysis Centre, actief in inlichtingenwerk, voorheen voor Binnenlandse Zaken en werk voor open source inlichtingenproject Osint.

Deze instanties kennen Guido Blaauw formeel niet. Hoe zit dat? Blaauw: “Nee, formeel ben ik er niet aan verbonden. Ik spreek af en toe mensen van de AIVD en KLPD, ook directeuren, omdat ik veel onderzoek doe.”

Blaauw ondernam onder de naam Rik van Esser VirtueelVaderland.nl, dat goede sier maakte op het extreemrechtse forum StormFront.

Nog steeds is Blaauw aka Van Esser (“mijn moeders naam”) actief met InterCenter.org met publicaties om de strijd tegen de Jihad te ondersteunen. Hij ontkent extreme sympathieën. “Ik heb meerdere Surinaamse, Turkse, Marokkaanse en andere nationaliteiten als vrienden. Die zou al lang weg zijn als ik zulke opvattingen zou hebben,” voert hij als alibi aan.

Of Den Haag blij is met de ophef in de Verenigde Staten over Cyberbunker en de verwarring met Bunkerinfra, gezien de beoogde klandizie van overheden en inlichtingendiensten, is zeer de vraag.