Deze column stond in Het Financieele Dagblad van 1 november 2018. Volg deze link voor mijn eerdere FD columns.
Het is algemeen bekend dat je telefoon of laptop meteen gehackt en afgeluisterd wordt, zodra je in China aankomt. Recent onderzoek van het U.S. Naval War College en Tel Aviv University toont nu aan dat de Chinese overheid internetverkeer ook wegplukt uit het Westen, in China vliegensvlug kopieert, en de datastroom weer doorstuurt naar het Westen. Zo heeft China het internetverkeer van buitenlandse overheden, banken en journalisten afgeluisterd.
Waarom geen wereldnieuws, geen oorverdovende veroordeling uit het Westen? Amerikaanse inlichtingendiensten doen het ook al jaren. En het oplossen van de fundamentele kwetsbaarheid van het internet die deze hack mogelijk maakt, betekent dat zij diezelfde truc niet meer kunnen uitvoeren. Ondertussen kunnen organisaties en individuen zichzelf niet compleet beschermen tegen deze hack. Met hun structurele politieke en economische spionage vormen overheden, China en de VS voorop, de grootste bedreiging voor een veilig internet.
Achterdeurtjes
Wie ooit eens de fout heeft gemaakt in China een telefoon of laptop aan te zetten, is direct de pineut. Zodra een apparaat verbinding zoekt met het netwerk van een Chinese internetprovider, zoals China Telecom, installeert de provider op de achtergrond ‘Chinese’ updates voor je favoriete apps en instellingen. Achterdeurtjes om jouw apparaat af te luisteren. Serieuze organisaties verplichten hun werknemers of ambtenaren dan ook al jaren een waardeloze telefoon of laptop mee te nemen en het apparaat bij terugkomst van een zakenreis, of eigenlijk al voor weggaan naar huis, volledig te wissen. Nieuw onderzoek laat nu zien dat China niet alleen binnen de eigen landsgrenzen, maar ook in de VS en Europa internetverkeer op grote schaal afluistert. De methode van de Chinese overheid is agressief en al jaren bekend.
Iedere internetprovider verplaatst internetverkeer via grote knooppunten in de wereld, zoals de reusachtige Amsterdam Internet Exchange. Het oude, en in zijn eenvoud briljante, Border Gateway Protocol (BGP) zorgt ervoor dat die knooppunten efficiënt datastromen van zender naar ontvanger sturen. Op het internet verplaatst verkeer zich via glasvezeltechnologie, met de snelheid van het licht. In tegenstelling tot analoge post kost geografische afstand niets, filevorming door overbelasting van een internetroute wel. Het kan dus gebeuren, dat een mailtje of appje naar je buurman niet binnen de landsgrenzen blijft, maar om efficiencyredenen via de VS of China gerouteerd wordt en alsnog in een flits bij je buurman terecht komt. BGP is onbekend en onbemind, maar vormt het motorblok onder het internet.
Ook al vinden Obama, Trump, Xi en andere staatshoofden cyber security voor de bühne allemaal even geweldig, is spionage van internetverkeer toch net ietsje belangrijker.
De Chinese overheid blijkt het BGP structureel te manipuleren om specifieke datastromen naar China te leiden voor spionagedoeleinden. Zij schakelt daarbij de hulp in van China Telecom, dat net als andere grote providers is ingeprikt op mondiale internetknooppunten. In het paper ‘China’s Maxim: Leave no Access Point Behind’ laten onderzoekers van het U.S. Naval War College en Tel Aviv University zien hoe China Telecom zes maanden lang communicatie tussen Canada en de Zuid-Koreaanse overheid via China omleidde, kopieerde en met de snelheid van het licht doorstuurde naar de eindbestemming. Verkeer tussen een vestiging van een Amerikaanse bank in Italië en de VS, en tussen Zweden en een Japanse vestiging van een Amerikaanse nieuwsorganisatie, is ook door BGP-manipulatie via China gereisd. Dat gebeurde niet om efficiency of technische redenen. China heeft het BGP doelbewust gemanipuleerd om specifieke stromen internetverkeer van overheden, banken en journalisten te kapen en bespioneren.
Voor de bühne
Tijdens mijn verblijf aan Harvard in 2014 publiceerde ik samen met de Amerikaanse cryptograaf Sharon Goldberg ons onderzoek over BGP-manipulatie door de Amerikaanse inlichtingendienst NSA, mede op basis van de Snowden-onthullingen. Wij lieten toen al zien dat het internet kwetsbaar is voor deze en andere routeringshacks. En dat Amerikaanse wetgeving is geboetseerd om zulke hacks wettelijk mogelijk te maken. Vier jaar later heeft China dat succesvolle concept kennelijk gekopieerd. Sterker nog, in 2015 spraken presidenten Obama en Xi af elkaar niet langer te hacken met behulp van het eigen leger. Maar het inschakelen van het bedrijfsleven valt niet binnen de reikwijdte van deze afspraak. Deze BGP-manipulaties en legio andere hacks laten zien waarom.
Naast het meenemen van wegwerptelefoons naar China zelf, moeten overheden, banken, journalisten en de rest van ons waar dan ook ter wereld alle communicatie versleutelen. Versleuteling beschermt de inhoud van het bericht, maar niet de ‘metadata’ – wie met wie wanneer contact heeft. Vaak vallen geplande overnames, diplomatieke samenwerking en klokkenluiders daaruit eerder te identificeren, dan de boodschap ‘hoe gaat ‘ie?’. Wie met China te maken heeft, kan maar beter ouderwets in een café afspreken. Want het BGP zal kwetsbaar blijven.
De huidige BGP-versie stamt alweer uit 1994, de laatste update uit 2006. Oftewel, internet prehistorie. De BGP-update die zulke hacks voorkomt ligt al jaren op de plank, maar wordt steeds niet doorgevoerd. Kwestie van prioriteiten: de VS, China en hun telecomvrienden houden de updates tegen. Ook al vinden Obama, Trump, Xi en andere staatshoofden cyber security voor de bühne allemaal even geweldig, is spionage van internetverkeer toch net ietsje belangrijker. In plaats van iedereen te beschermen, toch een primaire overheidstaak, blijft internet zo fundamenteel onveilig.