32 Magazines from AIVD.NL found on Yumpu.com - Read for FREE.
Het fascinerende aan deze uitbraak was dat hij op klaarlichte dag plaatsvond en daardoor goed te volgen was. Popcorn erbij, dat idee.
Je zag hoe de analisten koortsachtig werkten om te achterhalen wat er toch aan de hand was en – belangrijker – hoe je ervoor kon zorgen dat je geen slachtoffer werd. Je zag dat er conclusies werden getrokken die achteraf voorbarig bleken te zijn. Zo werd op een bepaald moment geroepen dat de ransomware sterke overeenkomsten vertoonde met de Petya-ransomwarefamilie uit 2016. Later op de dag kwam het bericht dat er toch grote verschillen met Petya waren. Vanaf dat moment gingen de meeste tweets over de uitbraak vergezeld van twee hashtags: #petya en #notpetya.
Best wel een koddig gezicht. De WannaCry-uitbraak in mei kon worden gestopt doordat er een killswitch aanwezig was, maar dat bleek nu niet het geval te zijn. Wel werd al vrij snel het e-mailadres geblokkeerd waarmee je contact moest opnemen over de betaling. Maar de schade kon sowieso niet ongedaan gemaakt worden, zo bleek uit onderzoek. Ook werd bekend dat je je computer kon ‘vaccineren’ door een read-only bestand met de naam perfc.dat in C: Windows aan te maken. En als je je computer had uitgezet toen dat CHKDSK-scherm werd getoond, dan kon je hem weer aan de praat krijgen met behulp van een boot-CD (LiveCD).
Op dat punt waren er namelijk nog helemaal geen bestanden versleuteld. Ik heb wel eens de veiligheid in de luchtvaart ten voorbeeld gesteld aan informatiebeveiliging. In de burgerluchtvaart gaat het bij iedere vlucht om veel mensenlevens en kostbare vliegtuigen. Dat zijn twee redenen die ieder voor zich al genoeg gewicht in de schaal leggen om zwaar in te zetten op beveiliging, zowel in het vliegtuig zelf als in de ondersteuning op de grond. En ook de klanten – de passagiers – begrijpen het belang van veiligheid maar al te goed. Safety zit in de genen van iedereen die met luchtvaart te maken heeft. Informatiebeveiliging is nog niet zo ver.
Maar nu is er iets vreemds gaande in de luchtvaart. Zowel de Amerikaanse als de Britse luchtvaartautoriteiten hebben een verbod ingesteld op het meenemen van elektronica in de cabine van het vliegtuig als je vanuit bepaalde landen in het Midden-Oosten naar de VS of het VK vliegt. Uitbreiding van het verbod voor vluchten van en naar heel Europa is in door de Amerikanen de ijskast gezet – uitdrukkelijk voorlopig. Het gaat daarbij om elektronica groter dan een smartphone, en niet meenemen in de cabine betekent niet meenemen in de handbagage. Je mag die apparatuur wel in het ruim vervoeren – in je ingecheckte koffer dus. Want, zo is de gedachte, ruimbagage wordt veel strenger gecontroleerd dan handbagage waardoor de kans groter is dat een eventuele bom gevonden wordt.
Maar je kunt je apparaat ook afgeven bij de gate, waarna alle daar ingezamelde apparaten in een doos gaan die in het ruim wordt gezet, op dezelfde manier waarop ook buggy’s en rolstoelen, die je tot het laatste moment wilt gebruiken, worden ingeladen. En dan geldt het voordeel van de strengere scan dus niet. En nu komt het: als zoiets in de cabine van een vliegtuig gebeurt, “dan gooit de stewardess dat apparaat in een emmer water”(citaat van een piloot).
Water is een effectief middel om een kleine lithiumbrand te doven. Maar als zo’n brand in het vrachtruim ontstaat, dan kan niemand erbij om de brand te blussen. En als er dan zo’n hele doos lithiumhoudende apparaten staat die elkaar letterlijk kunnen aansteken, dan kan dat gemakkelijk uitlopen op een allesverwoestende brand. Dat betekent dat deze beveiligingsmaatregel een nieuw risico introduceert.
En dat nieuwe risico zou wel eens groter kunnen zijn dan het risico dat men wil bestrijden. Terwijl je ook nog eens vraagtekens moet zetten bij de effectiviteit van de getroffen maatregel. Wat we ook vinden van deze maatregel, we zullen er vanuit de informatiebeveiliging op moeten inspelen. Kernpunt daarbij is voor ons dat je op vliegreis de fysieke controle over je zakelijke apparatuur verliest. Die apparatuur zou kunnen verdwijnen of ze zou ingezien of zelfs gemanipuleerd kunnen worden. Over die laatste twee hoeven wij ons gelukkig niet zo druk te maken omdat onze apparatuur afdoende beveiligd is. Die beveiliging staat of valt wel met het gedrag van de gebruiker.
Een wachtwoordbriefje in je laptoptas was altijd al een dom idee en als je je apparatuur moet afgeven blijft het een dom idee. Overigens kan het je nog wel overkomen dat je na aankomst op je bestemming bij de grenscontrole wordt gevraagd om je apparaat te ontgrendelen.
Daar kun je weinig tegen doen: als je weigert, dan wordt je afgevoerd naar een eenzaam kamertje en uiteindelijk geef je je wachtwoord toch wel prijs. Dan het onderwerp van de mail. Als daarin prijzen worden aangekondigd van loterijen waaraan ik nooit heb deelgenomen, of als een naar eigen zeggen lieftallige dame spontaan een relatie met mij wil, dan weet ik het ook wel: foute boel. De onderwerpregel kan veel verklappen over de bedoelingen van de verzender. Dat gezegd hebbende: een uitgekiend onderwerp kan je natuurlijk ook op het verkeerde been zetten. 'Uw verbruik' is een logisch onderwerp voor een mailtje dat zogenaamd van je energieleverancier komt.
Met andere woorden: gebruik het onderwerp alleen om mail eventueel af te keuren, nooit om goed te keuren. Er moest worden vastgesteld dat ik ook echt ik ben. Want ik mag namens mijn organisatie digitale certificaten bestellen. Die digitale certificaten, die zorgen voor dat slotje in de browser, ze maken een veilige verbinding tussen een website en een bezoeker mogelijk. Zie zo'n certificaat maar als het paspoort van een website, met daarin een visum dat alleen geldig is voor jouw computer. Het paspoort identificeert de website, het visum beveiligt de verbinding.
Onze certificaten vallen onder het regime van PKIoverheid en er gelden strenge regels voor het mogen aanvragen van certificaten voor deze speciale Public Key Infrastructure. Vandaar dat de bedrijven die digitale certificaten mogen leveren die onder de vlag van de Staat der Nederlanden vallen zeker willen – nee, moeten – weten wie ik ben en of ik daar ook echt werk. Die identificatie werkt een beetje twee kanten op. Ik kreeg vooraf een mailtje van het id-bedrijf waarin een foto zat van degene die mij zou komen opzoeken. Er stond ook bij dat hij Hans heette, en er was nog een pincode die ik hem kon vragen als ik aan zijn identiteit zou twijfelen. Dat voelde een beetje alsof ik in een thriller zat, waarbij de kans bestond dat Hans zou worden uitgeschakeld en dat een namaak-Hans mijn id-bewijs zou komen inscannen, hetgeen dan jammerlijk zou mislukken omdat namaak-Hans niet de juiste code zou weten.
In eerste instantie kwam Hans niet verder dan onze poort. Hij mocht niet naar binnen, want hij was niet aangemeld. Ja, ook wij zijn streng! Hans moest zijn achternaam prijsgeven zodat ik hem alsnog kon aanmelden.
Ik heb geen idee of hij zijn echte naam noemde, sterker nog: ik weet niet eens of Hans echt Hans heet. Maar dat hoeft ook niet, want de cirkel was al rond: het certificatenbedrijf vertelde me dat ze het bedrijf van Hans op me af zouden sturen, het bedrijf van Hans vertelde me dat ze Hans zouden sturen en door de foto wist ik dat daadwerkelijk Hans voor mijn neus stond. Bovendien toonde Hans zijn bedrijfspas. En als Hans dan eigenlijk Piet heet maakt dat niets uit.
Als wij gewone mensen een typefout maken of iets geks opschrijven, dan haalt dat zelden – zeer zelden – de wereldpers. Doet de Amerikaanse president dat, dan is dat nieuws van kosmische proporties, zeker als er ruimte wordt geboden om het niet als typefout te zien, maar als iets anders. Want, zo zei Trumps woordvoerder Sean Spicer op een persconferentie: “De president en een kleine groep mensen weten precies wat hij bedoelde”. Was covfefe misschien het codewoord voor “val Noord-Korea aan”?
Was het de beruchte nuclear launch code? Voorlopig lijkt het daar niet op.
Maar wat dan wel? Hoe zou de beveiliging van de first smartphone geregeld zijn? Enerzijds kan ik mij voorstellen dat de Secret Service er bovenop zit, anderzijds zou het beheer ervan ook wel eens in handen van Barron kunnen liggen, Trumps elfjarige zoon die “zoveel over computers weet” (ik citeer Trump). Je verwacht – hoopt? – toch in ieder geval dat er iemand is die toezicht houdt op die telefoon en de accounts die erop aanwezig zijn. En dat iemand zo nodig kan ingrijpen. Maar nee, het duurde gewoon tot de volgende ochtend tot de tweet werd verwijderd.
Dat impliceert dat de president bij het krieken van de dag vernam wat er aan de hand was en toen, waarschijnlijk nog in pyjama, eigenhandig actie ondernam.
This is the account of how the Dutch secret service (AIVD) approached me in 2013, and how I understand the events that took place. I was a student until summer 2013, and after OHM2013 was hired at an internet service provider. I also did some technical consulting and digital security trainings for Publeaks during that time. This is all prior to my involvement in Tails.
It is important to tell the whole story, the run up to the approach, the approach itself, how and when it happened, and discuss the aftermath. This is not an isolated incident but rather a pattern of harassment of hackers and other communities. With the new Dutch security services law coming up now, the services will gain additional measures and more power, I think this story is more relevant than ever. Being surveilled? It’s 2013, the year of the Snowden leaks, the arrests and trials of some people associated with Lulzsec, and OHM2013 – the Dutch hacker camp that takes place every four years. OHM2013 was not without its controversy. The primary sponsor was Fox-IT, an IT-security company that is deeply involved with the Dutch government and has helped catch teenagers doing some DDoS attacks.
Fox-IT is also rumored to have had contracts with the Mubarak regime in Egypt. Due to this fact, some of us decided to organize NoisySquare, to put the resistance back in OHM.
We had our own tipi tent organized as an additional track in the OHM2013 program. Lectures, workshops, panel discussions and our meeting circles were hosted in this tipi. A couple of months before OHM2013 would start, my aunt received a phone call from somebody who claimed to be my friend and was looking for my mobile number. However, I never gave any of my friends my aunt’s phone number.
My aunt was alarmed, she asked who she was speaking to, and made it clear that she found this a rather strange conversation. The person on the phone didn’t really identify himself, and my aunt hung up. For a while I thought one of my friends was trying to prank me and my aunt, and I soon forgot about the incident.
When I was in Germany in May of that year, I went to an event that was about Chelsea Manning and Collateral Murder (Wikileaks released video footage of a US Apache helicopter attacking and killing Reuters journalist Namir Noor-Eldeen, driver Saeed Chmagh, and several others in a public square in Eastern Baghdad), me and my then partner left the event and found that our mobile batteries were losing charge even though we were not using the phone. The situation with the battery normalized after I returned to the Netherlands. Later in the year, I had the same experience with my phone while attempting to help with the build-up of OHM2013. My phone battery was draining quite quickly, even though I wasn’t using it. I asked whether other people had the same issue and was told that the GSM towers were probably overloaded, even though nobody else was having any of these issues. This is where it starts getting a little weird, I assumed it must have been an IMSI-catcher but I couldn’t back up this claim with actual evidence.
But the same insane battery drain happened while the phone wasn’t being used much. During OHM2013, I lost my phone.
I only got it back after OHM2013 when somebody returned it to the lost and found box and a friend managed to bring it back to me. When I got the phone back, I saw someone had been trying to call me from a number I did not recognize. I later learned it belonged to an AIVD agent, as he left his mobile phone number with my father. Hans Turksma, AIVD Just before OHM2013 took place, I had dropped out of my university studies and on top of that I was a bit of an emotional mess after a romantic break-up. I have a feeling that the intelligence service pried on this mental state of mine.
On a Monday afternoon 2 weeks after the OHM2013 event, a stranger approached my parents’ home. He rings the doorbell, no reply, he tries a few more times, nobody is home, my parents are walking the dogs. He continues to wait in front of the house for some time and leaves soon after. He comes back the following day, now there are people home.
My stepmother opens the door, the man identifies himself as Hans Turksma, from the ‘Ministry of Interior’ and explains he’s looking for me. My stepmother explains that I’m not home and invites him in. But he doesn’t want to come in and they continue talking at the door.
My stepmother calls to my father to explain that there is someone looking for me. My father asks whether he works for the AIVD and after asking the question several times, Hans Turksma acknowledges that he works for the AIVD and that he would like to speak to me. My dad asks why Turksma is interested in speaking to me, he’s surely not here to offer his son a job.
Turksma makes it clear he isn’t there to offer a job but rather to “see how the image of the AIVD can be improved among the hacker community”. How Turksma would like to do this remains unclear.
My dad explains to Turksma that he never wants to see him again near his house or near his son, and to stop the harassment. Turksma indeed, never came back.
While Turksma was at my parents’ house, I was having a meeting at a provider to run our first Dutch Tor exit nodes. After I went to the library to check some e-mails, my dad calls, “Hey Jurre, don’t freak out, but there was someone from the AIVD at the door looking for you.” My heart skips a beat. My head has too many questions. I hang up and remove the battery from my mobile phone. At this point I stopped using mobile phones for a while. At the time I was freelancing and people expect to call me and that I will pick up the phone during the day.
Imagine trying to explain that you just had an AIVD agent at the door looking for you. The faces are priceless. Uninvited guest Some weeks later at the end of August, we were having a Publeaks meeting at an outdoor cafe in Amsterdam Noord. It’s early and the terrace is abandoned, we sit down and shortly after, a man who looked like he was in his fifties sits down next to us, orders a coffee, pays immediately in cash and watches us the entire time listening in on our conversation. As soon as we talk more informally, he gets up and leaves on his bike. After a while, all these little coincidences become a pattern. I was told I was being paranoid and might be delusional.
Some people even expect the AIVD to roam around the hacker world to look for the “bad guys” and would be disappointed if they didn’t. Unfortunately, there is a big downside for the people who’ve been asked to inform on their peers and friends. It’s not exactly a nice feeling. And, you’re left with questions: Am I being followed? Will I get charged with some bullshit charge? You start being more careful in how you communicate with people. How do I explain this to any future or current partners?
These interactions make you change a little bit as a person. At a later point in time, it became clear to me that more people have been approached and asked to become informants. I have not been explicitly asked to become an informant, but from what I understand by talking with Buro Jansen & Janssen is that this is probably the real reason for approaching me. I never called the mobile phone number that was left by Hans Turksma. I never spoke to them, nor did I ever agree to inform.
Time and time again we see people being approached and manipulated in different communities. Some of them are not even politically active, nor are they activists, some just want to throw a party with some of their hacker friends. These are the same people who organize events or started hackerspaces. We aren’t those bad guys they think we are, we haven’t been accused of a crime and yet we are still being harassed.
Another approach – Sabu? In 2017 I learned that another approach had taken place. The security services approached a Tor exit node operator and Msc student of the TU-Delft. It became clear that the security services would like to infiltrate hackerspaces, hacker events throughout Europe, and especially the Chaos Computer Club and free software projects like Tor and Tails.
![]()
It looks like this is an international effort. They offered the Delft student a get-out-of-jail card if he gets caught hacking for assignments from the security services.
I’m no law expert, but that sounds like it could be slightly illegal, even under the new law. Now, you might wonder: Where have I heard of something similar to this? It smells a lot like the Sabu case, the hacker turned informant who hacked and snitched on several hackers, notably the Lulzsec hackers and Sigurdur “Siggi” Thordarson from Wikileaks, who also turned out to be an FBI informant. Both cases proved to be quite a success for the American government. Perhaps there is now an international effort to ruin more people’s lives. All of this is giving me the creeps.
![]()
It’s not exactly good for your mental health to know, that someone is really trying to get you. You don’t know the purpose nor how they will do it.
Will they employ honey traps? Do they want to put backdoors in the software?
Even though they promised the Dutch parliament not to place backdoors in the software? If a foreign agency succeeds in whatever technique they might employ and share it with the Dutch agency, will the Dutch “whitewash” the access that way? I’ve became very distrustful over the years of people and especially of the government and how they try to rip communities apart. I think the approach totally freaked me out and changed me a little bit and not exactly for the better. Why not sit down with them Some people have asked why I didn’t sit down with them to tell them what I think about all of this. Some will say, this might help to catch some potential bad guys so what’s the fuss?
I disagree because you might be approached, you politely decline, and they never return, right? Well, some people are being harassed for long time, where the AIVD will try to persuade you to become an informant with a slew of manipulative tricks; they don’t take no for an answer in most cases. They will offer all kinds of rewards but in the end they will always drop you after they used you. They got what they needed and you are no longer interesting.
And there is something else. The people who they pick often have no perspective, they are in debt and easy to manipulate for the service. If they want out of the informant role, they are pressured by the service who will threaten to snitch on them to family and friends.
So much for democracy and oversight My answer is clear: I don’t talk with people who are selected to work for the service and educated to perform manipulative tricks on their targets. There is a power imbalance between us – they can lie, I can’t lie. They suffer from not being able to self-reflect. Should I trust some black box organization on their “blue eyes”? Or on the service’s track record, since its inception, of harassment of anything or anyone that’s slightly critical of the democracy? With the stories so far, the next couple of years will be quite interesting for the tech community.
We’ll see more attempts of the services trying to recruit informants, giving them direct access to databases or networks. Let’s hope they never try to recruit people who work for the NCSC in the Netherlands and try to force them to inform on the community.
If you really want to protect democracy and you care about the rule of law, say no to becoming an informant. To those working at the security services: leak more documents or at the very least, ask for a self-reflection course. Ways forward First of all, it’s ok to say NO. It’s legal to refuse to collaborate.
If you’re unsure about what they might ask of you, contact a lawyer, contact the CTIVD to submit a complaint, or contact Buro Jansen & Janssen. If you’re based in the United States of America, I encourage you to read the following text: Some of this, I think, comes down to consent.
The security services might try to continue to lure you into their web, even though a one-time firm “no” should be enough to back them off. Unfortunately, when it comes to recruitment of informants, you might have to say no multiple times. And that’s really bad, especially if you haven’t done anything wrong, or illegal, and your own government is trying to persuade you to do possibly illegal things to fulfill their needs to conduct cyberwar or destroy communities.
However, I’d like to propose some ways to create a more resilient and emphatic community. 1) I’m open to creating a group of people who have been approached, and see what we can do as a group of people, for example, submitting a complaint to the CTIVD. 2) We can create a “Frequently Asked Questions” document, like the one from Crimethinc, according to our local laws in the countries we’re based in.
What can they ask for? Can you decline?
What could this mean? What to do when you are approached and they’re giving you a hard time? 3) Empathy, if somebody has been an informant and has been (hopefully) naive and wants out, we should help them get out and perhaps rejoin the community at a later stage through restorative justice processes.
4) Don’t accuse your peers of being feds, agents or informants without credible evidence that proves your case. Don’t destroy someone else’s life. Investigate rumors thoroughly and if sure present facts in a decent manner. 5) Write down your story when it happens, while the information is still fresh in your head. This can help in the future when you hear of similar stories and it can aid in understanding the aim of the operation in question.
In short: (from Crimethinc) – Non-cooperation is the best way to protect our communities and movements against state repression. – If they are approaching you about informing, they probably have a weak case if they have a case at all. – You do not have to cooperate. You have the right to remain silent. – Contact a lawyer as soon as possible. Jurre van Bergen // email: [email protected] My KeyID: 0x9586d84b70dcae8c My fingerprint: EBDD 1240 CBC8 91C2 6C48 75D0 9586 D84B 70DC AE8C.
Comments are closed.
|
AuthorWrite something about yourself. No need to be fancy, just an overview. ArchivesCategories |