In de afgelopen drie weken heeft Cyber Security specialist Rickey Gevers diverse presentaties gegeven die als leidraad hadden de toekomst van het internet. De presentaties leverden levendige gesprekken en bijzondere input op. Dit is voor hem aanleiding geweest om een stuk te schrijven voor het Cqure kennisplatform. Rickey is daarbij terug gegaan naar het begin van het internet. Hij schetst de ontwikkeling en trends van het internet en belicht daarbij naast de prachtige functionele kant ook de keerzijde.  

Internet

Het internet is zonder twijfel een van de grootste, revolutionaire producten in de geschiedenis. Het is het platform dat vormgeeft aan diverse, andere op zichzelf staande revoluties, denk aan de Arabische Lente, maar ook de 3D printer. Het internet is een wereld op zich. Een wereld die verkend moet worden, maar een ook wereld waar tegenwoordig cruciale veldslagen plaatsvinden in tijden van oorlog. Het internet is het perfecte instrument voor inlichtingsdiensten. Alles kunnen we tegenwoordig door het internet zien, voelen, kopiëren en in de gaten houden. Het internet biedt eindeloos veel nieuwe mogelijkheden. Het internet verbindt mensen. Direct contact met de andere kant van de wereld is nodig. Mensen op de noordpool maken zich zorgen om het welzijn van mensen op de zuidpool. Het internet maakt dingen zichtbaar en meetbaar. Maar is het internet wel robust en solide genoeg om ons in de toekomst te voorzien in de waarden en normen waarin wij met onze naasten hebben afgesproken te leven?

Nog steeds in de kinderschoenen

Het internet is nu grofweg 30 jaar oud. En is nog steeds extreem flexibel. Die flexibiliteit komt met name voort uit economische- en politieke druk. De ‘Dot Com bubbel’ is daar een goed voorbeeld van, maar ook de onthullingen van Edward Snowden. Het feit dat zulke relatief, eenvoudige onthullingen zoveel teweeg kunnen brengen in het internet landschap geeft aan de Het Internet ‘far from mature’ is.

The Internet is based on Trust

Het Internet werd in de begin jaren met name door wetenschappers gebruikt om informatie uit te wisselen. Om dit zo snel en efficiënt mogelijk te doen, hebben deze wetenschappers een internet gecreëerd dat zo snel mogelijk en zo goed mogelijk functioneerde. Deze gedachte heeft ervoor gezorgd dat het internet is ontworpen met een basis van vertrouwen. In de begin dagen van het internet heeft men ongetwijfeld aan de mogelijkheid van misbruik gedacht, maar dat was in die periode ondergeschikt aan het belang van goed werkende infrastructuur. Security problemen waren een probleem voor 'later'. Geen security is goedkoper, makkelijker en performance technische gezien ook 'sneller'. Dat 'later' begon zich echter al vrij snel op te dringen nadat het internet een explosieve groei doormaakte en alles aan het internet gekoppeld werd. 

Een iconisch moment vond plaats in 1998

Toen een destijds befaamde hacker groep, the “l0pht”, een presentatie gaf aan het Amerikaanse congress. Zij vertelden binnen 30 minuten het internet uit te kunnen zetten door gebruik te maken van verschillende protocollen. Een van de belangrijkste protocollen om goed met elkaar te kunnen communiceren is BGP. Dit protocol wordt door de grotere providers gebruikt om met elkaar te kunnen praten en informatie met elkaar uit te wisselen. Dit protocol is wederom gebaseerd op basis van vertrouwen, er is geen manier om je buurman(de andere provider) op correctheid te controleren. Je moet hem maar op zijn blauwe ogen geloven. De jongens van de l0pth legden dit keurig uit aan het Amerikaanse congres. Hoe het er vandaag de dag mee staat? Ach, aanvallen worden slechts sporadisch gesignaleerd en af en toe worden er bitcoins gestolen, who cares? 

The Internet as instrument for Surveillance

Tijdens de opkomst van het internet zijn een aantal Amerikaanse partijen zeer grote spelers en daarmee wereldmachten geworden. Beste voorbeelden hiervan zijn Microsoft en Google. Iedereen werkt op Microsoft computers en iedereen gebruikt Google om op het internet te zoeken. Dat dit een gevaar is, begrepen mensen al wel. Maar het moet eerst fout gaan, voordat mensen het ook daadwerkelijk beseffen. En die fout werd gemaakt door de NSA. De NSA heeft deze grootmachten gebruikt om als bron te dienen voor internet surveillance op ongekende schaal. Dat het mogelijk was om het internet te gebruiken voor surveillance wisten we eigenlijk ook altijd al. Vrijwel iedere techneut wist dat het mogelijk was. Op congressen als CCC wordt al jaren gepraat dat staten dit soort dingen doen. Op het Nederlandse Hack in the Box gaf Rop Gongrijp op 25 mei 2012 hier een presentatie over. Deze presentatie werd door iemand afgedaan als FUD (Fear, Uncertainty and Doubt, Vijf dagen voor deze bewuste presentatie vloog Edward Snowden naar Hong Kong, om enkele dagen later de volledige compositie van het internet blijvend te veranderen.

Cryptografie*

Sinds de start van het internet is cryptografie altijd al 'een ding' geweest. Zo waren er de fameuze crypto wars. Diverse cryptografische oplossingen werden op het internet aangeboden en verspreid, maar tot nu toe heeft geen van de cryptografie oplossingen een groot publiek weten te bereiken. Mijns inziens is cryptografie de basis van een vertrouwensrelatie op het internet, echter moet deze dan wel volledig zijn geïmplementeerd vanuit de basis. Op dit moment is dat niet het geval. Zo hebben we ooit een certificaathouder in Nederland gehad die vertrouwen verkocht door middel van cryptografische Certificaten. Enfin iedereen weet hoe het met DigiNotar is afgelopen. Het gebruik van versleuteling wordt ook veel voor email gebruikt. Techneuten kunnen hier prima mee werken, maar echt fijn is het niet. Vind maar eens dat ene belangrijke mailtje terug in je inbox. Een zoekfunctie werkt namelijk niet binnen een encrypted container. Sinds de onthullingen van Edward Snowden is er echter wel vaart gekomen in het gebruik van werkbare cryptografie. Op het moment dat Facebook WhatsApp overnam waren wij het allemaal zat. Een Amerikaanse overheid die onze WhatsApp berichten meeleest, nee liever niet! We stapten over naar het Russische Threema, maar wie gebruikt dat nu eigenlijk nog?

* Encryptie is het versleutelen of vercijferen van een boodschap.

Internet in times of War

Al eerder vertelde ik over de hackergroep the l0pth, zij vertelde tegenover het Amerikaanse congress het internet binnen 30 minuten uit te kunnen schakelen. Dat dit ook daadwerkelijk mogelijk is, bewees de NSA tijdens de burgeroorlog in Syrië. Om het internet aldaar beter te monitoren besloot de NSA een update op alle ‘core routers’ van het land uit te voeren. Echter maakte men per ongeluk een fout waardoor alle routers uitvielen en het internet in het gehele land uitviel. 

En wij die arme Bashar maar de schuld geven… Het uitvallen van het gehele internet illustreerde wel perfect welke macht de NSA over het internet van Syrië wist uit te oefenen: volledige controle.

CyberWar

Hoewel wij als Westerse samenleving traditioneel gezien het liefst de Russen overal de schuld van geven, valt dat op het internet erg mee en ‘blaimen’ wij vooral de Amerikanen. Maar is dat wel terecht? Er is een aparte pagina over de cyber aanvallen op Estland in 2007. Datzelfde geld voor de cyberaanvallen in 2008 op Georgië.

Uit deze aanvallen kan worden opgemaakt dat Rusland op eniger wijze controle weet uit te oefenen over grote botnets. Botnets zoals bijvoorbeeld het Pobelka botnet dat in 2012 ongeveer de hele BV Nederland infecteerde. De Chinezen worden door ons, het westen, vooral uitgelachen vanwege de beperkte vrijheid die men daar op internet geniet. Zo had men als eerste de 'Great Chinese Firewall' en daar bleef het niet bij. Zoekmachine's als Google werden strikte voorwaarden opgelegd om te mogen opereren binnen China. Maar een onderwerp wat zeker niet mag worden vergeten is de grote interesse vanuit China in onze technologische kennis. China staat bekend vanwege de vastberadenheid om buitenlandse bedrijven te hacken, dit doen ze op een opvallende en langdurige wijze. Men is ‘determined’ om binnen te komen. En zodra men binnen is, wordt al het intellectueel eigendom van het bedrijf keurig ingepakt in een zip file en richting China retour gestuurd. Eenieder die kijkt naar de Chinese Chengdu J-20, de Chinese equivalent van onze JSF, ziet dat het toestel verassend veel op onze JSF lijkt. Maar belangrijker is dat experts belangrijke JSF 'geheimen' hebben zien opduiken bij deze Chengdu J-20. De Amerikaanse inlichtingen- diensten hebben deze Chinese spionage zelfs een code naam gegeven: Operation Byzantine Hades.

The internet Government

Zoals al eerder besproken, gebruikt vrijwel iedereen Google voor zoekopdrachten, heeft iedereen een Facebook profiel, en gebruiken we Gmail of Outlook voor onze email. Dit houdt in dat deze derde partijen welke onderhevig zijn aan Amerikaanse wetten, onze data beheren. Op basis hiervan hebben besluiten, die in Amerika worden genomen, direct betrekking op ons en onze data. Willen we zoiets wel? Hetzelfde geldt voor censuur. Het Amerikaanse Facebook heeft voor ons bepaald dat wij geen blote tepel willen zien en dus ook niet mogen zien. Maar hier in Nederland is die mening heel anders, wij aanbidden de selfies van Heleen van Rooyen.

De toekomst van het internet

Ik ben zelf een zeer idealistisch persoon. Een open en vrij internet is voor mij altijd een streven geweest. Ik was dan ook altijd erg enthousiast wanneer landen als Nederland, maar ook Chili wetten over netneutraliteit aannamen. Enorm belangrijke beslissingen voor de toekomst van het internet. Wat echter niet vergeten moet worden, is dat een overheid de taak heeft zijn of haar burgers te beschermen. Het internet is een nieuwe wereld die in feite geen grenzen kent. Geen barriëres heeft die een normen/waarden kader illustreren. Ook geen barrières die sociaal/maatschappelijk geaccepteerde gedragingen onderscheiden of controleren. Als voetnoot wordt altijd de fysieke locatie van een, op internet aangesloten, apparaat gebruikt om te bepalen welke wetten en regelgeving er voor gelden. Maar dat is nu juist net hoe internet -niet- werkt. Internet bevindt zich in een vreemd kabeltje en gaat in theorie in 1 seconde 7 keer rond de aarde, dát is waar het internet zich fysiek bevindt. En die omgeving is op dit moment feitelijk wetteloos. Als het gaat om het beschermen van burgers op het internet is dat op dit moment niet mogelijk. Er is geen douane beambte die een Russisch IP pakketje fouilleert, of een 100% controle uitvoert bij de Surinaamse IP pakketjes.

Politiek

Als we kijken naar onze rechtstaat zijn de grenzen voor een Nederlandse hacker die een andere Nederlander hackt duidelijk: de gevangenis in. Maar hoe zit dat met de Russen die ons continue hacken? En de Chinezen? Die hebben vrij spel, niemand die daar echt tijd, noch moeite in investeert om deze personen te vervolgen. Doen die landen zelf dan iets tegen de hackende burgers aldaar die ons aanvallen? Vrijwel niets, zolang de eigen bevolking (en dat is waar het bij politiek om draait) maar niet word aangevallen. Er komt een moment dat ons tolerantie potje overstroomt en wij verder geen aanvallen uit dergelijke landen meer accepteren, echter moet in dit soort gevallen vaak eerst een grens worden overschreven om tot actie over te gaan. Edward Snowden is de man die ons heeft verteld waar zo'n grens ligt. Rusland en China accepteren het niet langer en kondigen maatregelen aan, Rusland wil werken aan een eigen internet. Brazilië en ook Duitsland zijn de Amerikaanse bemoeienis zat en kondigt aan te willen werken aan een eigen internet.

Conclusie

Zo'n drie tot vier jaar geleden verkondigde ik wel eens mijn mening dat het een utopie was een open en vrij internet, zoals wij het destijds kenden, in stand te houden. Die mening werd mij veelal niet in dank afgenomen en kwam mij geregeld op veel kritiek te staan. Een landelijk internet leek mij een beter idee. Een landelijk internet waarbij de sluizen voor verkeer vanuit Europa misschien iets makkelijker geopend kunnen worden dan wanneer er verkeer vanuit Azië, het Midden-Oosten of Amerika ons land probeert binnen te komen. Het internet is gebouwd op basis van vertrouwen en dat vertrouwen is inmiddels meermaals geschonden. In mijn optiek is de huidige opzet van het internet niet toereikend genoeg om aan de diverse, in de wereld geldenden, veiligheidsnormen te kunnen voldoen. Normen en waarden spelen daarbij een grote rol, maar ook de menselijke behoefte op vergelding, vergelding omdat we het vervelend vinden dat iemand op oneerlijke wijze een voorsprong heeft weten te bemachtigen! Om die reden zullen er diverse initiatieven komen om het internet te gaan vervangen en anders in te richten. Een internet waarbij authenticiteits garanties kunnen worden aangebracht en welke veiligheidsmaatregelen heeft ingebouwd die overeen komen met onze fysieke landsgrenzen. Dat is waar we in mijn optiek naar toe gaan. Een soort internet 2.0. Maar dan een Europees broertje, met waarschijnlijk een Amerikaanse vader.