Na vijf dagen aandacht voor Rian van Rijbroek verdient de zaak wat mij betreft rust, ook omdat de aanvankelijke verbazing omslaat in pestgedrag. Maar een interview in De Telegraaf roept weer nieuwe vragen op. Hierbij mijn gedachten, die te lang zijn voor 140 280 tekens.
Het is kerstavond 2017 als Rian van Rijbroek stilletjes langs het Utrechtse kantoor loopt van een wereldberoemd Russisch softwarebeveiligingsbedrijf.
Ik gok op het Russische Kaspersky, dat in Utrecht zit.
„De zwakke plek zit in de wifi, zelfs bij dit type bedrijven”, zegt ze.
Bij bedrijven die iets weten van beveiliging is netwerksegmentatie de norm. Dat betekent dat je je interne systemen niet direct aan je blijkbaar triviaal te hacken wifi-netwerk hangt. Zeker niet als beveiligingsbedrijf.
Die kerstavond bestaat haar ’buit’ onder meer uit veertig IP-adressen, aangetroffen op het gekraakte computernetwerk van het bedrijf waarvan het hoofdkantoor in Moskou staat. Van Rijbroek stuurt ze door naar haar ’deep throat’ bij een Amerikaanse veiligheidsdienst. Bijna per kerende post krijgt ze bericht dat ze beet heeft: er zit een lek in de Tweede Kamer dat samenwerkt met de Russen!
Opvallend dat iemand die informatie uit een bundeltje ip-adressen (ogenschijnlijk zonder context) weet te halen, maar ze zijn inderdaad heel slim bij de Amerikaanse geheime dienst. Maar zou die je daarover laten vertellen in de krant?
Ik heb het idee dat hier gebeurt wat ook in het boek met Vermeend aan de hand is: informatie uit de echte wereld wordt aan elkaar geknoopt en door de blender gehaald.
In dit geval lijkt de feitelijke basis de beschuldiging aan Kaspersky’s adres te zijn dat het zou samenwerken met de Russische geheime dienst, en met zijn beveiligingssoftware documenten van pc’s zou kunnen halen - waaronder geheime informatie.
Als dit onderzoek echt zou bestaan, is het een geheime operatie. Op het lekken van een staatsgeheim staan flinke straffen.
Om wie het gaat, mag ze nog niet bekendmaken: ze heeft op verzoek van de betrokken veiligheidsdiensten ’een NDA’ ondertekend, ofwel een geheimhoudingsverklaring.
Dan is die geheimhoudingsverklaring zojuist geschonden…
Van Rijbroek is zelfverklaard meesterhacker, (oud-)medewerker van topconcerns als Apple en agent van veiligheidsdiensten.
Heeft Apple of de veiligheidsdienst dat bevestigd?
Rian onderbreekt het gesprek aan de keukentafel meermalen om te bellen met haar contacten die stuk voor stuk bevestigen dat zij een zeer bedreven hacker is. „Dit is een politieman van de digitale recherche, daar heb ik een drugszaak mee gedraaid. Mijn betrokkenheid bij dat onderzoek heeft geleid tot zes pogingen om mij om het leven te brengen. Vijf daarvan ontdekte ik vooraf. Door te hacken”, zegt Rian met een strak gezicht. De man aan de telefoon bevestigt dat hij bij de politie werkt en dat hij inderdaad heeft samengewerkt met Rian. „Ze is een techneut. Als u wilt weten of zij kan hacken: dat kan ze.”
Dit is natuurlijk geen enkel bewijs. Beter zou een demonstratie zijn: geef een hacker een telefoon of ander digitaal apparaat en kijk hoe lang het duurt.
Los daarvan mag de politie op dit moment eigenlijk niet hacken. Een uitbreiding van de wet op de computercriminaliteit die dat mogelijk moet maken, is nog niet door de Eerste Kamer.
Een bevriende hacker zegt aan de telefoon dat Rian voorafgaand aan een afspraak met de directie van een apothekersorganisatie al vanuit de wachtkamer het interne netwerk had gekraakt. „Geef haar je telefoon, en ze zit er binnen vijf minuten in”, zegt hij.
Oké, wat hij zegt: geef haar je telefoon en zie hoe snel het gaat - toch?
En als je echt over de zero day-exploits beschikt om op (impliciet alle) telefoons in te breken, waarom hou je die voor jezelf en meld je die niet bij de fabrikanten van de telefoons? Bij het onder de pet houden van zero days kunnen ernstig ethische vraagtekens worden gezet.
Dat zag ook het vorige kabinet. Als de geheime diensten of de politie zero days willen gebruiken (en ze dus niet melden bij de verantwoordelijke fabrikant) moet een commissie dat afwegen.
Daarnaast zijn zero days zeldzaam. De FBI betaalde er een goede hoeveelheid geld voor.
Ze grijnst als ze praat over concurrerende hackers en tech-journalisten die haar deskundigheid afgelopen dagen in twijfel trokken en daarbij verwezen naar een YouTube-filmpje uit 2012 waarop zij in verleidelijke poses te zien is als fotomodel in een exclusief hotel in Dubai.
Dat filmpje kwam inderdaad veelvuldig voorbij, maar moet je los zien van de gefundeerde kritiek op haar uitlatingen in Nieuwsuur en in haar boek. Daarin doet ze uitspraken en schrijft ze dingen die aantoonbaar onjuist zijn. Kwalijker: ze doet adviezen die onverstandig zijn (zoals: verwijder je bankieren-app). Meer daarover in deze factcheck.
Er is sprake van enorme haat en nijd in de hackerswereld.
Zo ken ik de hackerswereld over het algemeen niet, al ging het deze week op Twitter af en toe wel wat ver.
Ook wil ze geen details kwijt over haar onderzoek naar het Kamerlid met verdachte Russische contacten. „Anders breng ik een lopende AIVD-operatie in gevaar.”
Dat doe je al door een operatie aan het licht te brengen. Als er echt een Kamerlid zou zijn dat samenwerkt met de Russen, dan is dat nu gealarmeerd.
Willem Vermeend is voorlopig niet van plan Van Rijbroek publiekelijk af te vallen. Hij is er nog altijd van overtuigd dat Rian inderdaad een meesterhacker is. „Ik heb zelf gezien hoe ze binnen een paar minuten de besturing van een mobieltje van iemand anders kan overnemen!” vertelt hij.
Geef-haar-dan-je-telefoooooooon.
Over zijn eigen reputatie maakt Vermeend zich ook weinig zorgen. De plagiaatbeschuldigingen zijn natuurlijk pijnlijk, maar de oorzaak is te verklaren, zegt hij. Een door de schrijvers samengestelde noten- en bronnenlijst zou abusievelijk niet zijn meegenomen door Einstein Books, de uitgever die wordt bestuurd door zijn dochter Simone.
Plagiaat kun je niet afvangen door een bron te vermelden. Er zijn integraal honderden woorden letterlijk gekopieerd en als eigen werk voorgeschoteld - je komt dan niet weg met een bronvermelding.
Vermeend liet onmiddellijk het boek uit de schappen halen, zegt hij. „Geen seconde getwijfeld. Het was klaar. Punt uit!
Dat is niet waar: aanvankelijk zeiden hij en zijn uitgever een nieuwe versie van het boek uit te brengen waarin wel ‘voetnoten zouden zijn aangebracht’. Die voetnoten waren onvoldoende om de plagiaatbeschuldigingen op te lossen. Pas na een paar uur besloot Vermeend en/of zijn uitgever om het boek uit de schappen te halen.