Donderdag 25/04/2019

Hacking

Deze vrouw leert The New York Times zichzelf en zijn bronnen te beschermen

Runa Sandvik. Beeld Jeroen de Bakker

Telefoon, mail, zelfs wapens: bijna alles is te hacken, zegt voormalig hacker Runa Sandvik. Ze werkt nu bij 'The New York Times', waar ze journalisten bijschoolt over het belang van computerbeveiliging.

Bellen, eindeloos bellen. Natuurlijk hadden de Washington Post-journalisten Carl Bernstein en Bob Woodward hun belangrijkste geheime bron, Deep Throat, in de parkeergarage, waar hij de journalisten brokjes informatie toestopte en ze richting gaf. Maar veel van hun Watergate-onthullingen – illegale acties tegen veronderstelde vijanden van toenmalig president Nixon, met medeweten en goedkeuring van de president – kwamen tot stand door de telefoon.

Mogelijke bronnen werden eindeloos opgebeld. Nummers van belangrijke personen werden nog gewoon opgezocht in het telefoonboek. Maar bij de val van Nixon speelde de telefoon nóg een grote rol. Alle presidentiële gesprekken bleken opgenomen, waaruit de bemoeienis van de president bij de illegale acties bleek en hij moest aftreden.

Hadden Bernstein en Woodward hun werk in 2017 zo gedaan, dan was er waarschijnlijk nooit een stuk in de krant gekomen. Want niemand had de journalisten zomaar aan de telefoon te woord gestaan. Een onbeveiligde telefoonlijn? Absurd. De journalisten hadden voor het benaderen van contacten nooit de gewone telefoonlijnen van The Washington Post kunnen gebruiken. Ze hadden de inlichtingendiensten net zo goed meteen kunnen vertellen met wie ze allemaal contact hadden.

Want zoals verslaggevers ooit hun werk deden, is tegenwoordig volstrekt onmogelijk. Technische mogelijkheden en bijbehorende kwetsbaarheden hebben het speelveld voor journalisten voorgoed veranderd.

Daarom heeft The New York Times sinds vorig jaar Runa Sandvik in dienst, een voormalig hacker en beveiligingsexpert. Deze kleine, tengere vrouw is verantwoordelijk voor de digitale beveiliging van de belangrijkste krant van de Verenigde Staten. Begin vorig jaar bestond haar functie nog niet, maar in de afgelopen anderhalf jaar is haar werk enorm belangrijk geworden. Cruciaal zelfs.

Zij leert verslaggevers hoe ze zich digitaal moeten wapenen. Ze helpt om de bronnen van The New York Times te beschermen. En ze maakt journalisten bewust van de gevaren. Een telefoongesprek is nooit zonder risico's. In een gelekt document kunnen onzichtbare sporen zitten. Een smartphone is een goudmijn voor veiligheidsdiensten.

Sandvik ziet het in Washington, waar een heksenjacht gaande lijkt op klokkenluiders, op bronnen van journalisten. Ze ziet hoe The New York Times zelf ook een doelwit is geworden en last heeft van serieuze hackaanvallen. En hoe verslaggevers onder vuur liggen.

Waar zit de kwetsbaarheid voor journalisten?

"Het proces van informatie verzamelen gaat zo snel, dat journalisten nauwelijks in staat zijn om de juiste voorzorgsmaatregelen te treffen. Wij vragen vaak: 'Wie is er bereid om de gevangenis in te gaan om zijn bronnen te beschermen?' Dan steekt iedereen meestal zijn hand op. Maar als we dan vragen welke voorzorgsmaatregelen ze moeten nemen om te garanderen dat het contact met een bron veilig verloopt, dan steekt niemand zijn hand op. Het is heel lastig voor journalisten om dat volledig te begrijpen. Het zijn geen computerexperts. Maar een beetje basiskennis kan je helpen om je bronnen niet in gevaar te brengen."

Zijn journalisten naïef?

"Dat denk ik niet. Ze maken zich er wel zorgen over, maar ik denk dat ze het niet altijd begrijpen. Journalisten moeten zich permanent realiseren dat leven in een digitale samenleving betekent dat praktisch elk contact met iemand anders een digitaal spoor achterlaat. Dus ook het benaderen van een nieuwe potentiële bron."

Weten de journalisten dat ze naar u moeten komen?

"Ja en nee. De eindredacteuren weten dat wel. Toch gaat het soms te snel of wordt het vergeten als mensen denken dat het onderwerp niet gevoelig is. En we hebben hier duizend verslaggevers. Maar we doen het beter dan toen ik kwam. Ik zeg altijd: 'Ik bemoei me niet met de inhoud. Ik wil alleen helpen om jouw doel te bereiken. Op een veilige manier.'"

Begrijpen ze dat?

"Ja, ze zijn zich meer bewust van hun kwetsbaarheid en die van hun bronnen. Dat is ook door Donald Trump veranderd. Iedereen is doordrongen van het belang van betere bronbescherming."

Wat heeft de krant gedaan om het voor bronnen veiliger te maken?

"We hebben vorig jaar een tippagina gemaakt met allerlei mogelijkheden voor klokkenluiders om informatie vertrouwelijk naar de krant te sturen. Via Signal, SecureDrop, versleutelde mail. De bron kan zelf de veiligste methode kiezen."

Inktpuntjes

Ondanks alle voorzorgsmaatregelen maken ook journalisten die zich bewust zijn van digitale gevaren, fouten. Soms met ingrijpende gevolgen, zoals onlangs bij een publicatie van het Amerikaanse online tijdschrift The Intercept.

In juni bracht het een verhaal over Russische pogingen om de Amerikaanse verkiezingen te hacken. Het was gebaseerd op een gelekt rapport van de inlichtingendienst NSA. Nog voor publicatie arresteerde de FBI een medewerker van de NSA op verdenking van lekken. Ze bekende meteen.

Daarna maakte de FBI bekend hoe ze was gevonden. The Intercept had de NSA benaderd met het gelekte rapport, een papieren document, om te verifiëren of het echt was. De NSA vond vervolgens in de systemen terug dat het rapport door zes mensen was geprint. Daarna was het simpel. Uit internetgegevens bleek dat een van deze zes mensen al eens via een privéaccount had gemaild met The Intercept, omdat ze naar iets op zoek was.

Later onthulden diverse websites dat er op het gelekte document kleine, gele, bijna onzichtbare inktpuntjes zaten, die een soort code vormden waarmee exact te achterhalen was waar en wanneer het was geprint. Een soort digitaal watermerk dat bijna alle printers blijken achter te laten. Probleem is alleen dat bijna niemand dat weet, of wist, tot de NSA-medewerker werd gearresteerd.

De journalisten hadden het gelekte document beter niet gepubliceerd, zegt Sandvik. "Maar die fout had iedereen kunnen maken. Zij wisten niet dat er puntjes op het document zaten die de bron zouden ontmaskeren."

Nog een voorbeeld waaruit blijkt dat het gevaar soms ook in het onvoorspelbare schuilt. The New York Times werkte in 2015 aan een verhaal over een bedrijf dat met witwassen te maken had. De verslaggevers waren nog bezig, maar vlak voordat ze zouden publiceren, werden de verdachten van het bedrijf gearresteerd. Er kwam een rechtszaak waarbij Justitie een afschrift presenteerde van een telefoongesprek tussen de verdachten. Die zeiden daarin dat ze konden zien dat The New York Times hun website meerdere keren per dag bezocht.

Sandvik: "Zo wist Justitie ook dat de krant met een verhaal bezig was en dat snel handelen geboden was. Dat is een voorbeeld van hoe je als journalist moet weten waar het gevaar ligt en welke sporen je achterlaat. Dat probeer ik duidelijk te maken. Maar het is een grote organisatie, en ik kan niet altijd en overal aanwezig zijn."

Sandvik moet een brug slaan tussen verslaggevers en de ICT-afdeling, bedrijfsonderdelen die nauwelijks met elkaar communiceren, zoals dat in zoveel bedrijven en overheidsinstanties gaat. De inhoudelijke medewerkers kennen het belang van digitale veiligheid, maar weten amper hoe ze daarmee moeten omgaan. De ICT-afdeling weet het, maar kan het niet uitleggen.

Is het ook een generatiekloof? Een probleem van vaak wat oudere journalisten, die niet zijn opgegroeid in een digitale wereld en de mogelijkheden en gevaren niet kennen?

"Zeker, dat speelt mee. Het eerste wat ik hier voor alle journalisten heb georganiseerd, was een veiligheidstraining. Een basisuitleg over goede wachtwoorden en versleuteling. En verschillende afdelingen hebben verschillende behoeften: de onderzoeksredactie heeft uiteraard het meest nodig.

"Eens per maand stuur ik een valse mail om te kijken hoeveel mensen klikken en hoeveel er hun wachtwoord en gebruikersnaam afstaan. Daar schrijf ik dan een rapport over. Wat zijn de vijf slechtste redacties? Daar zit een zeker spelelement in, dat zorgt voor onderlinge competitie. Mensen zijn nog steeds de zwakste schakel. Ik kan nog zoveel training en adviezen geven, maar de verslaggevers moeten het doen."

Is in veel bedrijven vaak niet net de ICT-afdeling een zwakke schakel? Updates die te laat worden uitgevoerd, verouderde systemen?

"Grote ICT-afdelingen werken op een bepaalde manier. Die beginnen om 9 uur en gaan om 17 uur naar huis. En in het weekend zijn ze niet bereikbaar. Dat is nu wel aan het veranderen. Wij doen het anders, andere Amerikaanse media ook, zoals Buzzfeed. Maar alle grote Scandinavische media bijvoorbeeld, hebben de afgelopen jaren hun ICT net uitbesteed aan IBM. En ik weet zeker dat IBM in staat zal zijn om je wachtwoord te resetten, maar het gaat je niet helpen met de veiligheid van je Twitter-account of met het gebruik van Signal."

Speelgoed uit elkaar halen

De in Noorwegen geboren en opgegroeide Sandvik raakte op haar vijftiende gefascineerd door computers toen haar moeder er een kocht voor het hele gezin. "Toen ik klein was haalde ik al speelgoed uit elkaar. Ik wilde weten hoe iets werkte. Daar kon ik echt enthousiast van worden: als iets een puzzel was, kon ik er de hele nacht mee doorgaan tot ik het begreep." Dat had ze ook met die eerste IBM-familiecomputer. En digitale veiligheid, waar ze zich nu mee bezighoudt, heeft die puzzelachtige kenmerken ook.

Tijdens haar studie computerwetenschappen raakte ze in Londen betrokken bij de ontwikkeling van Tor, een netwerk dat anonieme communicatie op internet mogelijk maakt. Vrijwilligerswerk. Want toen ze haar studie had afgerond, ging ze voor een bank werken. Ze testte de systemen en deed veiligheidsonderzoek. "Dat was leuk. Ik leerde hoe ik in systemen kon inbreken en vervolgens ook hoe ik ze kon beschermen."

Toch stopte ze al na een jaar met die baan om weer bij Tor aan de slag te gaan, vooral omdat Tor meer betaalde. Het belang ervan – anoniem, veilig kunnen communiceren via internet – zag ze toen nog niet zo. "Wat mij aantrok was het technische aspect: je kunt een stukje software gebruiken om anoniem te zijn. Ik wilde begrijpen hoe dat werkt."

Zo kwam ze erachter hoe Tor werkte en wie het gebruikte. En dat het voor sommige internetgebruikers, zoals journalisten en activisten in bijvoorbeeld Azië, van levensbelang was om de censuur te omzeilen. "Toen zag ik het idealistische concept en niet meer alleen de technische puzzel die het voor mij was."

In die tijd ontmoette ze ook Edward Snowden, voormalig CIA-medewerker en systeembeheerder bij de NSA. Dat was in december 2012, op Hawaï, een half jaar voordat hij halsoverkop met tienduizenden staatsgeheimen bij zich de VS verliet. Op Hawaï werkte hij voor de NSA en organiseerde hij een zogeheten cryptoparty, waar Sandvik uitleg kwam geven over Tor. "Een half jaar later zag ik een foto in de krant van hem als staatsvijand. Ik dacht: 'Hé, die komt me bekend voor.'"

Door Snowden werd bekend wat Amerikaanse inlichtingendiensten allemaal kunnen, hoeveel informatie ze weten te achterhalen en hoe kwetsbaar systemen zijn. Zo onthulde hij het bestaan van het afluisterprogramma Prism, waarmee de NSA gegevens verzamelde van gebruikers van onder meer Google, Facebook, Skype en YouTube. Ook verzamelde de dienst gegevens van betalingen via alle grote creditcardmaatschappijen.

Zelf weet Sandvik ook hoe je ergens digitaal moet binnendringen; daardoor kan ze anderen ertegen beschermen. Ze wist in 2015 een sluipschuttersgeweer te hacken, een speciaal wapen dat door nieuwe technologie beloofde altijd raak te schieten. De gebruiker moest eerst met een rode knop het doelwit vastleggen, daarna kon hij de trekker overhalen, maar het geweer zou pas een kogel afvuren als er zo werd gemikt dat het zeker raak zou zijn.

Binnen een jaar had Sandvik de software van het geweer gehackt. Ze wist de software zo te manipuleren dat de trekker werd geblokkeerd of de kogel steevast naast het doelwit belandde.

Waar anderen vooral een handig wapen zagen dat nooit zou missen, zag Sandvik meteen beveiligingsrisico's. Zij ziet dreiging die anderen niet zien.

Als bijna alles te hacken is, hoe wapen je je dan tegen digitale aanvallen?

"Als de overheid echt een bron wil achterhalen, zal ze daar waarschijnlijk altijd in slagen. Bij zaken als nationale veiligheid hebben zij altijd meer data en middelen dan wij om iets te achterhalen."

Maar wat kun je dan nog doen?

"De drempel zo hoog mogelijk maken, daar moeten we ons op richten. We kunnen het nooit waterdicht maken, maar wel zo moeilijk dat het de tijd en het geld niet waard is om ons aan te vallen. Als je bijvoorbeeld je telefoondata niet versleutelt, kan een dienst naar een telefoonaanbieder gaan en de gegevens opvragen. Versleutel je ze wel, dan verhoog je de drempel substantieel. Want dan moeten de diensten je telefoon hacken. Dat kost veel geld, en is moreel ook een heel andere kwestie dan data opvragen."

Dus u raadt aan altijd gebruik te maken van bijvoorbeeld versleutelde communicatie?

"Het gaat erom dat je goed nadenkt voor je iemand benadert. Kan iets gevoelig worden? Gebruik dan een kanaal dat niet te herleiden is naar jou. Prepaid-telefoon, andere locatie. Leid je internetverkeer om als je een mail verstuurt. Als je vanuit dit gebouw een mail stuurt via het wifi-netwerk, dan gebruik je het IP-adres van The New York Times.

"Een probleem is dat bronnen zichzelf niet vaak zien als bron. Zij denken: 'Hij heeft al zo veel informatie, ik geef alleen maar wat context.' Of: 'Ik breng geen informatie of een document over, ik zet alleen maar iets recht.' Ze zien dus ook het gevaar niet en zullen het soms overdreven vinden om versleutelde communicatie te gaan gebruiken. En journalisten denken ook nog weleens: 'Ach, het gaat niet om nationale veiligheid. Stuur maar gewoon een mail.' Niet doen, want ook een onderwerp dat onbelangrijk lijkt, kan heel gevoelig worden. Denk na over alle digitale sporen die je achterlaat."

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.