De macht van Facebook - Hoofdstuk 9:

CIA, politie en cybercrime

Juist in het afgelopen jaar is in Nederland de beveiliging tegen cybercrime door bedrijven en overheden, waaronder defensie en terrorismebestrijding, organisatorisch bij elkaar gebracht. Dat gebeurde in betrekkelijke stilte door het ministerie van Veiligheid en Justitie. Ook Facebook is een omgeving waar die voorheen gescheiden terreinen kunnen samenkomen. Dat vinden de betrokkenen ideaal om misdaad te bestrijden.

We publiceren het boek De macht van Facebook in hoofdstukken op Netkwesties.nl. Het boek dateert uit 2011, maar veel van de onderwerpen keren juist nu terug in actuele artikelen van bekende titels.

Eerder verscheen:

Inleiding
Hoofdstuk 1
Hoofdstuk 2
Hoofdstuk 3
Hoofdstuk 4
Hoofdstuk 5
Hoofdstuk 6
Hoofdstuk 7
Hoofdstuk 8

 

Facebook is een CIA-programma

Facebook bevestigde met de verstrekking van de opgeslagen gegevens aan Max Schrems de meest negatieve beelden van critici. Als reactie volgden onder meer filmpjes op YouTube. De leukste bijdrage is van de Amerikaanse satirische uitgave The Onion. In een video wordt adjunct-directeur Christopher Sartinsky van de CIA getoond gedurende een hoorzitting. Hem wordt tekst in de mond gelegd over alles wat Facebookers prijsgeven en hij concludeert over het sociale net: "Dit is een droom die bewaarheid wordt voor de CIA."

Mark Zuckerberg wordt 'directeur van CIA's Facebookprogramma' genoemd, dat tot een 'dramatische daling van de kosten van de CIA' heeft geleid. Citaat van Mark: "Facebook is het krachtigste middel ooit voor bevolkingscontrole en om mensen te bespioneren."

Facebook wordt weggezet als de belangrijkste partner van de uitvoering van Patriot Act, de vergaande (werkelijk bestaande) wet voor binnenlandse veiligheid die president Bush na de aanslagen van 2001 in no time langs de parlementen joeg. Het volgende doel in deze satire: kijken of Facebookers bereid zijn om en bloedmonster af te staan aan Facebook. Een 'panel van deskundigen' gaat er serieus op in en zegt onder meer dat Twitter waardeloos is voor de CIA in vergelijking tot Facebook.

WikiLeaksoprichter Julian Assange haalde recent uit naar Facebook met de betiteling 'walgelijk spionageapparaat'. Hoewel het geen (heimelijk) systeem is van de Amerikaanse overheid, biedt Facebook simpelweg een enorm gemak voor de spionnen van de Verenigde Staten, legt Assange uit in een interview met Russia Today: "Facebook is 's werelds meest omvangrijke database over mensen, hun relaties, hun namen, hun adressen, hun locaties en hun communicatie met elkaar, hun familieleden, allemaal gehost in de Verenigde Staten en toegankelijk voor de Amerikaanse inlichtingendiensten."

'Grootste databank van Joden'

Assange is 's werelds bekendste hacker voor het grote publiek, maar echt vermaard onder kenners is zijn voormalige Wikileakscollega Jacob Appelbaum (28), ondermeer maker van Tor om anoniem over internet te surfen. Ook hij moet niets van Facebook hebben, blijkt uit een interview van januari 2012 met NewMathilda.com in Australië.

"Wat is de grootste databank van Joden op de planeet? Facebook. Wat gebeurt er als een regime op zoek is naar de grootste database van linksen op de planeet? Of rechtse mensen? Dat is echt, echt eng, en er is maar één manier om je daaraan te ontrekken en dat is niet vrijwillig deel uitmaken van die databerg. En door mensen te vermijden die jou 'taggen' op Facebook… Zeg hen: "Als dat is alles is wat je uit onze vriendschap kunt halen, ga dan jezelf maar neuken!"

Klare taal van Appelbaum, niet zozeer vanwege dat neuken, maar meer nog daar de vermaarde internetonderzoeker (nu verbonden aan de University of Washington) een impliciete link legt tussen de Jodenvervolging van de Tweede Wereldoorlog en de databank van Facebook.

Dat Appelbaum af en toe gewag maakt van zijn Joodse afkomst en Facebook-oprichters Mark Zuckerberg en Dustin Moskovitz niet, doet niet ter zake. Ze huldigen wel totaal verschillende opvattingen over transparantie en privacy. In hun jonge levens - ze zijn bijna leeftijdgenoten en hebben Duitstalige namen - heeft Appelbaum pal gestaan voor privacy en Zuckerberg voor openheid. Appelbaum wijst op vrijheden die anderen bevochten hebben en waar hij voor strijdt: "Want dat is de reden dat ik als Joodse atheïst vrij over de wereld kan reizen zonder dat ik 'fucking' vermoord word."

Appelbaum zegt dat je gek moet zijn om jezelf te onderwerpen aan bewaking. Dat vindt hij het geval met Facebook: "Er zijn voordelen van het gebruik, maar op de lange termijn denk ik dat het behoorlijk de verkeerde kant op gaat als je een stelletje kapitalisten al je privé-informatie verschaft. Terwijl de Amerikaanse regering het recht heeft om alles in te zien zonder gerechtelijk bevel."

Appelbaum suggereert een nauwe samenwerking van Facebook met de Amerikaanse geheime diensten: "Ik was een keer bij het hoofdkantoor van Facebook in Palo Alto en ik zag op de tafel van een netwerkingenieur een brochure van Narus liggen."

Narus is het bedrijf dat met de Amerikaanse geheime dienst NSA en telecombedrijf AT&T betrokken was bij het grootste afluisterschandaal van de Amerikaanse bevolking ooit. "Facebook kijkt dus naar dezelfde oplossing. Dit moet je een idee geven over wat Facebook is."

Volgens Appelbaum zou de (Amerikaanse) regering juist moeten strijden voor open nettoegang in plaats van zich te liëren aan grote concerns die de macht over internet grijpen, zoals Facebook. Overheden hebben volgens Appelbaum met internet dezelfde taak als voor het autoverkeer: zorgen voor de beste verbindingen voor burgers, ten behoeve van de vrijheid van meningsuiting.

Knullig bericht Amsterdamse politie

Vóórpaginanieuws van de Amsterdamse stadskrant Het Parool: de politie en justitie van wereldstad Amsterdam volgen steeds intensiever sociale media zoals Facebook en Twitter. "De opsporingsdiensten vergaren er bewijs tegen criminelen en informatie over wat speelt in subculturen. Dat zegt de Amsterdamse hoofdofficier van justitie, Theo Hofstee: 'Vooral voor de opsporing zijn de sociale media belangrijk. Onze cybercrime-officier van justitie en een parketsecretaris richten zich volledig op de digitale wereld […] Criminelen gebruiken de sociale media, dus dat doen wij ook.'"

Maar ja, je moet dan wel wat te zoeken hebben en dat was nog niet veel volgens Hofstee. "Het is wél de bedoeling dat onze speciale officier van justitie voldoende serieuze strafzaken krijgt van de politie, dus dat moeten we organiseren. Dat gaat nu nog bepaald niet vanzelf."

Bromsnorren op Facebook, wat een ontdekking! En dat al op 13 oktober 2011, en dan nog op de vóórpagina van de stadskrant. Zou de politie echt zo achterlijk zijn, of de krant gewoon wat op de mouw spelden? Wat we willen weten is immers wat de politie meent openbaar te kunnen vinden aan bijdragen om criminaliteit op te lossen en te voorkomen. En hoe vaak slaagt dat, hoe diep gaat het? Wanneer eist de recherche toegang tot besloten groepen van Facebook? Hoe vaak geeft een rechtbank hier toestemming voor?

De krant schrijft namelijk: "Criminelen zijn nog geregeld zo dom allerhande informatie via sociale netwerken uit te wisselen in de veronderstelling dat ze daar niet worden gevolgd." Zou het? Gebeurt dat op grote schaal? En zouden ze daar nog lang mee doorgaan in de wetenschap dat de hoofdstedelijke bromsnorren ook de sociale media begluren?

Bespied met software van de Mossad

Na dit wat knullige krantenbericht volgde er veel serieuzer nieuws: meer blauw op het web met een systeem van het Israëlische bedrijf Athena, ontworpen met hulp van ex-leden van de geheime dienst Mossad. De landelijke politiedienst KLPD bestelt dit systeem dat verdachte informatie van openbare bronnen verzamelt, voor een groot deel van sociale media als Facebook, Hyves, weblogs en Twitter. De regio Twente gaat er in 2012 als eerste mee aan de slag.

Dat vertelde Omer Laviv, algemeen directeur van Athena. Over het systeem CY-Humint (Cyber Human Intelligence) zegt hij: "Het is bedoeld om wethandhavende instanties te voorzien van vroege waarschuwingen, die worden gebaseerd op 'deep-web' activiteiten."

Het systeem is krachtig vanwege analyse: "CY-Humint creëert en onderhoudt virtuele identiteiten, aangevuld met krachtige middelen voor analyse. Het systeem ondersteunt informatieanalisten online met de efficiency van het verkrijgen van informatie in de echte wereld."

In documentatie van Athena staat het volgende: "Gebeurtenissen als de 'Arabische Lente', de Londense rellen en de maatschappelijke onrust over de hele wereld hebben onomstotelijk aangetoond dat cyberspace is uitgegroeid tot een favoriete plaats voor aanzetten tot en het coördineren van terrorisme en criminaliteit, maar ook in de civiele onrust […] Door het monitoren van gesprekken over chats, forums en sociale netwerken kunnen onderzoekers bedreigingen identificeren voordat ze werkelijkheid worden."

Managing partner Onno Franken van Ordina, de IT-adviseur, op mijn vraag of nu iedereen op internet potentieel verdachte wordt: "Het systeem functioneert geheel binnen de wettelijke en ethische grenzen. Niemand is zomaar verdachte en niemand hoeft er bang voor te zijn."

In het verlengde daarvan speelt de vraag of juist degenen die kwaadwillend zijn voortaan het openbare internet zullen mijden, in de wetenschap dat de politie daar intensief surveilleert.

Ik weet niet of je vrolijk moet worden van het idee dat de politie in je Facebookprofiel zit te snuffelen als je wellicht vrienden hebt die een scheve schaats rijden. Misschien is het gewoon wennen, net als aan de verkeerscontrole of de agent op straat. Maar het feit dat het niet zichtbaar is maakt het voor het gevoel geniepig. Op welke momenten willen en mogen politie en justitie de stap maken van open naar besloten data op Facebook? Je moet nu nog meer oppassen met vrienden die je niet kent. Maar zouden boeven zelf echt zo loslippig zijn op Facebook en elders online?

'Politie moet wegblijven van sociale media'

Onderzoek van instituut TILT van de Universiteit Tilburg in 2010 bracht aan het licht dat zo'n 80 procent van de respondenten vond dat de politie op internet mag speuren naar openbare gegevens, zoals die op Facebook beschikbaar zijn. Bijna 60 procent vond dat de belastingdienst mag zoeken naar openbare internetgegevens.
Van de gegevens die geblokkeerd en beveiligd zijn op Facebook en Hyves vindt 50 procent dat de politie die mag bekijken voor opsporingsdoeleinden. Bijna 40 procent van de respondenten vindt dat de belastingdienst ook internetgegevens die zijn geblokkeerd of beveiligd mag raadplegen. De stemmen zijn verdeeld over de beslotenheid van sociale netten zodra daar eventueel misbruik van gemaakt is.
Het lijkt me wat zot dat respectievelijk 20 en 40 procent meent dat onze speurneuzen van de politie en de Fiod zelfs het openbare internetdomein maar links moeten laten liggen. Moet het blauw helemaal wegblijven van het web? Van de straat misschien ook? Volgens mij gaat het om de vraag hoe politie rechercheert op internet en waar de grenzen liggen bij het aanmerken als verdachte. Is die kans op internet en dankzij al die gegevens op Facebook heel veel groter dan in het dagelijks leven? Hoe eenvoudig kan de politie overgaan tot een vordering van besloten gegevens, zoals in Facebookgroepen?
Van de online profielhouders (Hyves en Facebook) in dit onderzoek vond 33 procent dat iedereen hun gegevens mag zien, want zij hebben 'niets te verbergen'. Twee derde zei het wel nodig te vinden om sommige informatie voor de buitenwereld af te sluiten.
Ongeveer een derde van de respondenten in dit onderzoek had een online profiel. Twee derde had dat nog niet, wat curieus is omdat alleen Hyves al in 2010 pretendeerde dat tenminste twee derde van de Nederlanders deelneemt. Hoe representatief is deze steekproef dan?

Inbrekers hebben er echt baat bij

Behalve de politie weten ook de boeven de weg naar Twitter en Facebook om hun werk te ondersteunen. Zo kunnen inbrekers zich een beeld vormen van wat er te halen is kunnen ze zich een beeld vormen van wat er zoal aan spullen te halen is in woningen en wanneer de eigenaar van huis is.
Op Britse websites verscheen het bericht met beveiligingsbedrijf Friesland als bron dat 80 procent van de inbrekers van sociale media gebruik zou maken om de kat van huis op te sporen. Beveiligingsbedrijven spuien doorgaans alarmerende berichten om meer diensten te verkopen.
Of het geboefte dat ook doet is nog maar de vraag. Het ligt wel voor de hand. 'Inbreker kiest doelwit via Twitter en Facebook' kopte het Reformatorisch Dagblad op 5 oktober 2011 op grond van het vage Britse bericht. Het percentage van 80 was echter allerminst hard.
Maar er zit wel wat in. Toevallig vond mijn intensiefst twitterende vriend drie jaar geleden zijn huis leeggehaald tijdens een vakantie waarin hij het kwekken niet kon laten. Nu moet je dus bij vertrek niet alleen het huis verlicht laten (altijd alleen boven met gordijnen dicht), maar ook op Facebook en Twitter net doen of je thuis bent.

Moord op de witte kuif

In de Nederlandse rechtspraak keert Facebook veel minder terug dan Google. Disputen met Facebook zelf als inzet zijn er nauwelijks. Facebook vormt in toenemende mate bewijsmateriaal, dat soms wordt gevorderd. Hoe vaak dat gebeurt en hoe Facebook reageert en vanuit welke principes en ervaringen, weten we niet. Wel passeerden echtscheidingsadvocaten en de politie, die inmiddels hun weg banen door de – naar men zegt – openbare uitingen op sociale media.

Zo richtte ik een besloten groep op: 'Moordaanslag op de witte kuif'. (Ook ik zelf ga met een witte kuif door het leven.) Geen reactie van Facebook. Is het niet op de hoogte? Is er dan geen meldsysteem? Zo ja, heeft Facebook niet als iedere burger de plicht om verdachte bewegingen te melden? Als Facebook dit al doet, hoe doet ze dat dan in diverse landen?

Facebook kent, zoals in hoofdstuk 1 beschreven, de tijdelijke en permanente uitsluiting voor vermeend wangedrag op Facebook. Dat gebeurt op grond van regels wat er zoal niet toegestaan is. Hoe het in de praktijk gaat, is duister. Net als het beleid van Facebook ten aanzien van de inhoud van communicatie die duidt op het beramen of uitvoeren van misdaad, vooral in besloten groepen.

Een juridisch vacuüm

Facebook en Google vroegen samen aan de Britse overheid of ze niet aansprakelijk gesteld kunnen worden voor beledigingen en wetsovertredingen door hun gebruikers. En wat ze binnen hun domeinen nu precies wel en niet als 'pers' moeten beschouwen.

Immers, voor de pers gelden andere regels bij het publiceren. Ze mag meer dan een 'gewone burger' die zich in het openbaar uit. Maar waar ligt de grens, bijvoorbeeld met hedendaagse bloggers of met ieder ander die zich journalist noemt?

Deze kwestie speelt al sinds de komst van internet het openbaar publiceren voor elke burger mogelijk maakt. In het algemeen heeft de pers meer bevoegdheden dan niet-pers. Eerst speelde die vraag vooral op het openbare internet maar publicaties verschuiven meer en meer naar domeinen waar bedrijven de baas zijn. In dit geval de sociale netwerken van Facebook en Google. Het zijn bedrijven en geen democratieën, dus de regels van het bedrijf gelden. Al bepaalt de samenleving indirect wel grenzen met regels bijvoorbeeld voor privacy.

Facebook en Google vinden dat ze niet aansprakelijk gehouden kunnen worden voor wetsovertredingen door gebruikers binnen hun domein. Bij vorderingen van justitie dragen ze graag bewijsmateriaal over zolang ze zelf buiten schot blijven. Het is een beetje de discussie over voetbalstadions en hooligans op straat, of van diefstal in winkels en in winkelcentra. Waar begint en eindigt de openbare ruimte?

Juridisch hebben partijen als Google en Facebook wel problemen die ze zo veel mogelijk pragmatisch oplossen. De grootste hobbel is hun grensoverschrijdend opereren, terwijl wetten nationaal zijn. Google heeft een heel systeem om bijvoorbeeld alcoholreclame voor bezoekers van het ene land te verbergen en voor die van het andere. Maar wat moet Facebook met een pagina van Heineken in de Arabische wereld? En met vorderingen van justitie in dictaturen voor afgifte van besloten uitingen van dissidenten?

Ik denk dat de bedrijven om te beginnen hun dilemma's openbaar moeten maken, want nu treden ze nogal schimmig op. Zeker Facebook doet wat juridische problemen betreft of zijn neus bloedt en uit zich vooral over bekende en aan te pakken misdaad als spam en kinderporno. Soms komt er een probleem aan de oppervlakte, zoals met een zaak bij de rechtbank Arnhem over stalken: "De vrouw ervaart de berichtgeving op Facebook als een bedreiging die aan haar gericht is, nu het contact- en wijkverbod op 7 november 2011 afloopt." Maar hier krijgt de aangeklaagde een publicatieverbod en Facebook zelf blijft buiten schot. Facebook heeft als juridische uitgangspunten dat het zich 'aan de wet houdt' en handelt bij een klacht of 'rapport' van een gebruiker. Wat dat in praktijk betekent, weten we niet. De vraag is of dat niet openbaar moet worden, net als gewone rechtspraak.

Van Facebook in de film

Behalve 'The Social Network', 'The Matrix' en nog een serie films met internet als aanjager van (meestal) ellende, circuleert er op het net zelf ook het nodige aan beeldende kracht over Facebook. De donkere kant van Facebook Connect kun je op de proef nemen op TakeThisLollipop.com. Koppel je met Facebook, dan krijgt TakeThisLollipop toegang tot je Tijdlijn.

Vervolgens begint er een filmpje waarbij een luguber, zwetend manneke, kennelijk een boef voorstellend, jouw profiel op het scherm heeft en je lokaliseert in Google Maps. Even later zit hij in de auto met jouw Facebookfoto op het dashboard geplakt. Hij stapt uit met het moordwapen. Einde film, behoudens de mededeling: "X is de volgende", met X als naam van een vriend met daarboven een lolly met een scheermes erin afgebeeld.
Dat laatste symboliseert mooi de verleiding van Facebook met gevaar tot gevolg. Dit filmscenario is echter wel simplistisch. Als het adres het enige element is, kun je net zo goed het telefoonboek nemen. Ik sta er niet in, maar je weet me te vinden. Er zijn veel intelligentere angstscenario's denkbaar met al die informatie van Facebook als leidraad. Zo kun je met wat fantasie een heel aardig Facebookscenario bedenken voor bijvoorbeeld 'The Bourne Identity', waarin acteur Matt Damon zijn identiteit verliest en moet zien te herwinnen.

Cyberboeven verhuizen mee naar Facebook

Behalve criminaliteit met behulp van Facebook, zoals beschreven, groeit ook de misdaad op Facebook zelf. Facebook wil immers het internet overnemen, en behalve marketeers verhuizen ook criminelen mee. Beveiliging is de grootste zorg voor Facebook. Niet de privacy, ofschoon er uiteraard samenhang is. De belangrijkste krachten van Facebook zijn tegelijkertijd de kwetsbaarste plekken. Wat te doen?
Facebook gaat de strijd met virussen en onveilige websites aan door samen te werken met internetbeveiliger WebSense. Dat is hard nodig, maar of het helpt is de vraag. De 'rat race' met criminelen is al eerder begonnen. Nog in november 2011 werden Facebookers overspoeld met foto's van porno en dierenmishandeling als ze op een 'duim' klikten van een spammer, die infiltreerde met een virus gericht op het verkrijgen van inlognamen en wachtwoorden. Het lek zat volgens Facebook in de browser Internet Explorer, maar ook zonder eigen schuld is de schade aanzienlijk.
Wall Street Journal had recent een alarmerend verhaal over de gevaren van onder meer Facebook en Twitter, waar vele bedrijfsgeheimen lekken. De krant sprak met Mikko Hypponen, onderzoekschef van beveiliger F-Secure in Finland. Hij liet aan de hand van eigen roekeloos gedrag zien hoe hij werd getraceerd bij het kantoor van Interpol in Lyon. Dat was niet zo erg, maar hij weet zeker dat op sociale media vreselijke beveiligingslekken vallen. Nu roepen beveiligers dat al snel, want ze verdienen geld aan angst, maar ongeveer alle belangrijke beveiligingsbedrijven noemen Facebook als belangrijkste nieuw crimineel domein.

Zo vertrouwd

Zo'n 20 procent van de internetters klikt achteloos op alle interessante links die hij of zij tegenkomt op Facebook of een ander sociaal net, ongeacht de afzender. Dat zei het Duitse beveiligingsbedrijf G Data, dat het via internet aan 15.000 surfers in 11 landen vroeg. Dit klikgedrag maakt hen tot een gemakkelijke prooi.
De regel is eenvoudig: net zoals je als kind leerde nooit snoepjes aan te nemen van vreemde meneren, moet je nooit e-mail openen of op links klikken van onbekende afzenders. De pest is natuurlijk dat virusverspreiders juist contacten buit weten te maken, waardoor het lijkt alsof de tip met links van bekenden komt. Volgens G Data klikt 35 procent van de gebruikers alleen op links van vrienden, en geeft 46 procent aan op socialenetwerksites nooit op links te klikken.
Ik heb op zowel Twitter als Facebook virussen zien langskomen die vermomd waren als uitingen van kennissen. De oproepen om te klikken zagen er verdraaid echt uit en waren attractief, tot tweemaal toe iets met erotiek van vrienden die ik kundig acht. Gelukkig klikte ik niet.
Volgens antivirusmaker Symantec zou 15 procent van de berichten met video's door criminelen worden geplaatst. Dat is verschrikkelijke onzin, maar goed, je moet wat roepen om software te verkopen. Toch nemen de zorgen razendsnel toe.
Zo is er 'Like-jacking', in navolging van 'hijacking' of kapen van je pc via het gewone web. Cybercriminelen misbruiken het leukje op Facebook op grote schaal, door het aanbieden van een nepduim. Het leukje leidt via een tussenliggende pagina naar een site die virussen op de pc installeert of gegevens probeert te ontfutselen. Ook kunnen gegevens van vrienden worden opgehaald, die weer doelwit zijn van nieuwe trucs gericht op hun vrienden. Juist deze verspreiding via vertrouwde kennissen maakt de links zo vreselijk effectief en gevaarlijk, zei Spencer Parker van beveiligingsbedrijf WebSense tegen de BBC. Facebook kocht van dit bedrijf de software Threatseeker Cloud. Die waarschuwt een Facebooker die dreigt door te klikken naar een website die niet in de haak is. Daarmee moet de ergste ellende worden voorkomen.

Facebook geraakt door DigiNotar kraak

Zeer compromitterend was in 2011 het lekken van sleutels voor beveiligde verbindingen door het Nederlandse bedrijf DigiNotar. Hier ging de aandacht alleen uit naar de Nederlandse websites waarvan de verbinding niet langer afdoende beveiligd was, waardoor derden verbindingen konden overnemen. Er zou zomaar iemand onze belastingaangifte hebben kunnen ontfutselen. Het ging om privacy, wat een luxe is ten opzichte van de lekken die door de DigiNotarkraak mogelijk werden in landen met repressieve regimes.

Veel erger was bijvoorbeeld dat de krakers van DigiNotar, waarschijnlijk in dienst van de Iraanse overheid, verkeer konden onderscheppen van surfers in Iran. Die meenden van beveiligde verbindingen gebruik te maken voor bijvoorbeeld Gmail van Google, Yahoo Mail, Skype en ook Facebook, inclusief de toegang tot geheime groepen en berichtenverkeer.

Voor de Iraanse geheime dienst telt vooral het laatste: wat mailen dissidenten en wat posten ze via 'beveiligde' verbindingen op Facebook? Zo'n 20 miljoen (2,5 procent) van de 800 miljoen Facebookers maken gebruik van de optie voor SSL-beveiliging, vooral in landen met repressieve regimes waarvoor de ontvreemde certificaten van DigiNotar de beveiliging boden.

Zuckerberg gehackt

Begin 2011 werd het profiel van Mark Zuckerberg gehackt door een lek in het inloggen op afstand. De hacker plaatste een boodschap op de pagina van Zuckerberg met harde kritiek op de voorgenomen beursgang. Facebook dichtte het gat snel.

Nog een stommiteit: in januari 2011 werd bekend dat je door het veranderen van een URL (webadres) van foto's op Facebook ook alle foto's kon bekijken die door gebruikers waren afgeschermd. Je moest een persoon dan wel eerst taggen op je foto's. Dit ontdekte Dnews in Duitsland, een zusje van Nu.nl.

Eind 2011 ging het opnieuw mis met de beveiliging van foto's. Tientallen privéfoto's van Zuckerberg zelf werden daadwerkelijk ontvreemd en gepubliceerd op fotodeelsite Imgur.com(/a/PrLrB#QytH4). We zien de Facebookbaas in het alledaagse leven in de keuken met zijn vriendin, met Barack Obama bij Facebook op bezoek, en diverse malen z'n witte poedeltje liefhebbend. Facebook maakte excuses en dichtte het lek. Facebook kon dit keer niet zeggen dat het lek niemand had gedeerd, zoals gebruikelijk.

Symantec ontdekte in juni 2011 dat aanbieders van applicaties op Facebook per ongeluk toegang kregen tot toegangssleutels van Facebookers. "We schatten dat sinds april 2011 zo'n honderdduizend applicaties met het lek te maken hebben gehad. In de afgelopen jaren zullen honderdduizenden Facebookapps per ongeluk miljoenen toegangssleutels hebben gelekt", aldus Symantec.

Volgens het beveiligingsbedrijf hebben derden dit echter niet doorgehad. De kans dat dit is misbruikt achtte Symantec dus klein, maar het zou alsnog kunnen. Facebook vond het risico klein en legde het probleem bij gebruikers. Als ze zich zorgen maakten moesten ze hun wachtwoord aanpassen. Een wel erg goedkope oplossing.

Dat besefte Facebook zelf ook wel, want er kwam een extra beveiliging. Zo moet je nu de naam van het apparaat geven als je niet op je gebruikelijke plek inlogt. Je krijgt dan een e-mail met een bevestiging, een controlemiddel om te kijken of jij het werkelijk was die vanaf een vreemd apparaat inlogde.

Wederom is Facebook slordig. Dat als locatie de plek van de provider wordt genoemd in zo'n bericht is technisch onoverkomelijk. Facebook voegt echter ook de Amerikaanse tijd toe, waardoor je in verwarring raakt. Facebook vraagt immers of jij het was die 's nachts om 04.10 uur inlogde. Je schrikt, want toen lag je op één oor. Dat is de Amerikaanse tijd, met vaak (dus) ook een andere datum. Onnodig lastig en ook een beetje dom.

Sociale beveiliging

Facebook kijkt naar extra middelen ter beveiliging van de toegang tot je eigen Tijdlijn en Nieuwsoverzicht. Zo zijn er voor beveiliging wat Zuckerberg 'social Captcha's' noemde ingevoerd. Captcha's zijn de codewoorden die je vaak in een vakje moet invullen om toegang te krijgen. Dat is bij verdenking door Facebook – bijvoorbeeld als je ineens in een ver land inlogt – vervangen door foto's van vrienden van wie je de namen moet invullen.

Over die laatste methode, beveiliging met het raden van gezichten, staat een geweldig grappig filmpje op YouTube (Facebook Epic Fail van de Ken Burton Show) waarin de vrienden vooral fans zijn van de presentator en hij er geen enkele van herkent, waardoor hij niet kan inloggen.
Nog een sociale manier om beveiliging te stutten is beloning van hackers en officiële beveiligers van bedrijven die lekken melden. Facebook kent zo'n 'Bug Bounty'-programma. Alleen al in de maand augustus 2011 werd er 40.000 dollar uitbetaald, berichtte beveiligingsbaas Joe Sullivan. Eén persoon verdiende al ruim 7.000 dollar voor zes verschillende meldingen. In totaal werden 16 personen die maand beloond, 'van Turkije tot Polen'. Google kent deze methode al lang en keerde naar eigen zeggen 300.000 dollar uit.
Facebook eert op haar site onder de rubriek 'White Hats' (ethische hackers) zo'n 80 personen die Facebook getipt hebben over beveiliging, nagenoeg allemaal mannen. Er staat geen Nederlandse naam bij. Wel een Belgische: Joachim De Lombaert, woonachtig in Silicon Valley.
Een beetje vreemd was de plotselinge publiciteit voor deze beloningen van Facebook begin 2012. Wellicht kwam dit door de invoering van een eenvoudiger manier om uit te keren, met een 'White Hat Visa-betaalpas'. Het bestaan van de Visa-pas maakte een Poolse deelnemer aan het programma bekend via een afbeelding op Twitter. De voorwaarden werden ook openbaar: er wordt alleen een beloning uitgedeeld als de hacker Facebook de tijd geeft het gat te dichten voordat het openbaar wordt, plus zorgvuldige omgang met privacygevoelige informatie. Naast financiële voordelen wil Facebook bezitters van de pas in de toekomst ook nog andere voordelen bieden, bijvoorbeeld toegang tot feestjes of eventueel een baan. Dat lijkt me ook zonder Visa-pas mogelijk. Die pasjes zijn alleen bedoeld om de hacker een beetje bij de club te laten horen.
Facebook heeft het beloningsprogramma niet uitgebreid naar de applicaties van derden op zijn platform, want dan zou het volgens Sullivan de spuigaten uitlopen met betalen. In plaats daarvan heeft Facebook de interne controle opgevoerd om applicaties van derden beter te testen op lekken, waardoor data gepikt kunnen worden van gebruikers. Het koppelen van applicaties is de kern van het succes van Facebook, maar ook de achilleshiel. Het haalt van alles binnen de poorten wat risico met zich mee kan brengen.

Beetje hypocriet

Wat zegt Facebook zelf in haar nieuwe 'Guide to Facebook Security'? Helemaal niet op links klikken? Natuurlijk niet: "Wees altijd voorzichtig bij het klikken op een link of het openen van een attachment, zelfs als het is verzonden of geplaatst door een vriend of een andere bron. Als je twijfelt, vraag dan een bevestiging rechtstreeks aan de afzender. Wees vooral voorzichtig met berichten die aantrekkelijke aanbiedingen of dringende verzoeken omvatten, en kijk uit voor links die een login en wachtwoord vergen. Als je niet zeker weet of de site echt of nep is, typ dan de URL over in de adresbalk en klik er niet op."
De veiligheidsgids begint met een mantra van de beveiligers: "Stop. Denk na. Sluit aan." Dat is hypocriet, want Facebook is er helemaal op gericht om je zo veel en snel mogelijk te laten klikken. Facebook maakt je nieuwsgierig en dus hongerig. Nergens wordt de indruk gewekt dat nadenken een belangrijke eigenschap is om Facebook te gebruiken, behalve wellicht bij het invullen van het profiel, maar dat gaat vanzelf uit ijdelheid.
Net zo hypocriet is de opmerking van Facebook dat je niet zomaar je persoonlijke gegevens aan derden moet verstrekken. Facebook is één grote ruilhandel in persoonlijke gegevens, zowel voor Facebook zelf als voor aanbieders van applicaties die als een vorm van betaling toegang eisen tot jouw persoonlijke gegevens. Facebook controleert veel apps op veiligheid maar staat in principe veel toe aan applicatieaanbieders.

Facebook hanteert in de beveiligingsgids wel toegankelijke taal, veel beter dan de meeste websites. Dat is ook nodig met een klein miljard mensen als doelgroep. Behalve de gids – nog niet in het Nederlands voorhanden – biedt Facebook.com/security toegankelijke rubrieken. Zo is er een quiz met zeven vragen, heel eenvoudig maar leerzaam voor het maken van wachtwoorden et cetera. Onder 'tips' biedt Facebook een aantal belangrijke aanbevelingen. Ze zijn de moeite waard. (Ook stond er weer een foutieve link in, maar de haastige slordigheid van Facebook leerde ik genoegzaam kennen in de afgelopen maanden.)

Grote risico's indammen

Facebook kent qua beveiliging dus twee achilleshielen, niet toevallig juist een gevolg van de twee grote krachten: het vertrouwen van vrienden waardoor iedereen maar raak klikt op wat zij aanbieden, en het open platform waar iedereen applicaties mag aanbieden en toegang kan krijgen tot profielen en Prikborden/Tijdlijnen van deelnemers.

Facebook neemt een bewust risico, zei beveiligingsbaas Joe Sullivan in een interview met Cnet: "Mensen interpreteren onterecht dat het een poortwachteraanpak is met het vooraf controleren van alle apps. We hanteren een op risico gebaseerde aanpak waarbij we energie besteden aan de apps die de meeste schade kunnen veroorzaken als ze slecht blijken te zijn."

Bovendien moet sinds een jaar iedere uitgever van een app expliciet om je toestemming vragen om toegang te krijgen tot verschillende onderdelen. Dat is uit veiligheidsoogpunt, niet vanwege privacy.

Dat dit voor veel gebruikers wat wazig is, kan Facebook kennelijk niet verhelpen. Facebook kiest de kant van de appmaker. Die moet faciliteiten krijgen om met zijn gebruikers te communiceren en data te verzamelen. Sullivan: "Ons doel is om gebruikers keuze te bieden en die keuze transparant te maken. Als een ontwikkelaar zegt dat hij tien onderdelen van de gebruiker nodig heeft voor zijn app, dan wil je de ontwikkelaar niet dwingen om het product te wijzigen."

Natuurlijk beschermt Facebook gebruikers ook terdege, binnen dit kader. De beveiligers hebben een hele muur getooid met 'scalps', bewijzen van successen in de strijd tegen ongewenste indringers op Facebook. Vooral tegen spammers treedt Facebook ongemeen hard op met rechtszaken, bijvoorbeeld resulterend in een recordschikking van bijna 900 miljoen dollar.

Het overgrote deel van het werk is het bestrijden van spam en inbraak. Facebook treedt preventief op, voor zover mogelijk. Blijkt een gebruiker bijvoorbeeld plotseling veel meer berichten dan gewoonlijk te verzenden en uitingen te publiceren, dan kan Facebook uit voorzorg het account blokkeren. Dan voert Facebook een controle uit op de pc van die klant met Clean and Repairsoftware van McAfee.

De beveiligingschefs zeggen terecht dat Facebook geavanceerd is in beveiliging en meer inspanningen verricht dan andere websites. In deze zin is de extra laag die Facebook boven op het World Wide Web betekent gunstig.

Facebook close met Washington

Sullivan werkte voor PayPal, eBay en het Amerikaanse ministerie van Justitie, waarvoor hij een van de eerste voltijd aanklagers was voor IT-misdaad. Hij dient de Amerikaanse regering nu nog als lid van de National Cyber Security Alliance, en was in 2011 ook op de grote Hack in the Box conferentie in Amsterdam. Tweede beveiligingschef Ryan McGeehan werkte voor de Federal Reserve (nationale bank) en neemt deel aan het nationale Honeynet Project om boeven te vangen met opgezette vallen.

Dat de Amerikaanse regering en Facebook samenwerken is dus geen geheim. Zo had Facebook overleg met Washington over de continuïteit van de diensten in Tunesië en Egypte gedurende de opstanden daar. Al zegt Sullivan: "We raken niet betrokken in geopolitieke debatten. We beschermen alleen onze gebruikers."

In de beveiliging werken vanouds experts uit bedrijven en overheden nauw samen. De veiligheid van internet is immers een gemeenschappelijk belang, daarop concurreer je niet, ook al is het even lachen als de concurrent onderuitgaat. Facebook heeft destijds ook hulp aangeboden bij Google toen Gmail werd gekraakt in China. En Google werkte toen samen met de geheime dienst in de VS.

Facebook krijgt net als Google te maken met nare regimes, zoals rond de kerst in 2010 met de inbraak op de inlog van dissidenten in Tunesië door internetproviders. Sullivan en zijn team moesten uitvinden hoe ze dit konden voorkomen zonder de rest van Facebook in de problemen te brengen. Facebook maakte vervolgens voor Tunesië een aparte, beschermde inlogpagina.

In een niet nader genoemd Zuid-Aziatisch land blokkeerde Facebook simpelweg de toegang voor een serviceprovider en haar klanten toen deze inbrak in de toegang tot Facebook. Kennelijk om de regering ter wille te zijn met afluisteren van verkeer. Dat moest afgelopen zijn, liet Facebook zo op eenvoudige wijze weten.
Facebook moet ook voldoen aan rechterlijke orders om data van gebruikers af te staan in geval van verdenkingen van criminaliteit. Google ging ertoe over om het aantal ingewilligde eisen van Justitie per land exact te gaan vermelden. Facebook doet dit (nog) niet.

Geen heroïsche krachtmeting met Anonymous

Hackersgroepen, waaronder de gevreesde LulzSec en Anonymous, zouden op 5 november 2011 de aanval op Facebook openen. Ze zouden het sociale net platleggen met Operation Facebook. De hackersgroepen zeiden te willen protesteren tegen het verstrekken van besloten gegevens van klanten aan de Amerikaanse autoriteiten zoals de inlichtingendiensten.
De waarschuwing vooraf luidde:

"Het communicatiemedium waar jullie allen zo zielsveel van houden, zal worden vernietigd. Als je een gewillige hacktivist bent of enkel een persoon die de bescherming van de vrijheid van informatievoorziening voorstaat, sluit u dan aan en help bij het onschadelijk maken van Facebook, ter wille van je eigen privacy.
Facebook verkoopt informatie aan overheidsinstellingen en het verschaft clandestiene toegang tot informatiebeveiligingsbedrijven, zodat ze mensen van over de hele wereld kunnen bespioneren. Sommige van deze zogenaamde WhiteHat Infosec bedrijven werken voor autoritaire regimes, zoals die van Egypte en Syrië.
Alles wat je doet op Facebook blijft op Facebook, ongeacht je 'privacy'-instellingen, en het verwijderen van je account is onmogelijk, zelfs als je je account 'opheft', want al je persoonlijke informatie blijft op Facebook en kan worden teruggezet op elk moment. Het veranderen van de privacyinstellingen om je Facebookaccount meer 'privé' te maken is ook een waanidee. Facebook weet meer over je dan je familie."

Dit was een goed gefundeerde klacht, of dat van die geheime diensten nu juist is of niet. Begin november liet Anonymous echter ineens weten dat de aanval niet zou plaatsvinden. De hackersclub zou die nimmer van plan zijn geweest en het bericht zou een valse uiting van een student zijn. Vreemd was wel dat de hackers Facebook maandenlang in de waan lieten dat ze zouden aanvallen. Als dat niet serieus was, hadden ze dit in september ook direct kunnen zeggen. Wellicht hebben ze wel degelijk geprobeerd om lekken in de Facebookafweer te vinden en is dit mislukt. Bij een mislukking van Operation Facebook zouden ze als een gieter afgaan.

Grote aanvallen ingezet

Wat Anonymous niet lukte, kregen sluwe virusschrijvers wel voor elkaar; Facebook ernstig bedreigen. Eind november 2011 werd via het Russische beveiligingsbedrijf Kasperski Lab bekend dat Facebook grootschalig te kampen kreeg met infectie van een variant van het virus Zeus. Dit steelt eerst inloggegevens van niet oplettende Facebookers die op een valse pagina inloggen en gebruikt deze data vervolgens om vrienden van diegenen linkjes te sturen naar het virus waarop ook hun pc's worden geïnfecteerd.
Ook dit virus maakte gebruik van de kracht van Facebook, te weten de aantrekkingskracht van vrienden om te klikken. In dit geval ging het om een link naar een aantrekkelijke foto. Voordeel is dat als Facebook het virus onderkent het er direct voor kan zorgen dat de links erheen zich niet verder verspreiden. Meestal gaat daar enige tijd overheen, net als vroeger met de beruchte virussen die via e-mail verspreid werden.
In de eerste week van 2012 was het opnieuw raak, met de meest geavanceerde aanval tot nu toe. Het Israëlische beveiligingsbedrijf Seculert ontdekte dat het in 2010 uiterst gevaarlijke Ramnitvirus nu op Facebook gericht werd. Bijna 50.000 loginnamen en wachtwoorden van voornamelijk Europese Facebookers waren gehackt door malware.
Facebook zei op de hoogte te zijn van de aanval en gedupeerden te helpen om met nieuwe logins weer op Facebook te komen. Securlet zei te verwachten dat de verspreiders van Ramnit de gestolen inloggegevens gebruiken om in te loggen op Facebook en van daaruit malafide links naar vrienden te sturen, om het virus snel te kunnen verspreiden. Facebook ontkende echter dat het virus zich via Facebook zelf had kunnen verspreiden. Het zou inmiddels door de antivirus van Facebook zelf worden verwijderd.

Het wachten is op een vernietigend virus dat in groten getale Facebookers zal treffen en/of een lek in de databanken van Facebook waardoor grote aantallen inschrijvingen buitgemaakt zullen worden. Hopelijk blijft dit achterwege, maar de kans op een rampje groeit.

Israëlische hack van 20.000 Facebookaccounts

'Hannibal', naar eigen zeggen een Israëlische hacker, publiceerde op website Pastebin 185.000 logins en wachtwoorden van Arabische Facebookaccounts. Dat gebeurde in januari 2012 in een hackersstrijd tussen Israëli's en Arabieren. "Ik publiceer deze lijst omdat ik wil laten zien hoe sterk ik ben. De Arabieren moeten een lesje leren en beseffen dat er niet met me te spotten valt."

Hannibal claimde 30 miljoen e-mailaccounts, 10 miljoen bankrekeningen en 4 miljoen creditkaartnummers van Arabische burgers buitgemaakt te hebben. Of dat waar was, werd betwijfeld. Nader onderzoek van nieuwssite ZDnet toonde aan dat het om zo'n 20.000 geldige inschrijvingen van Facebook ging.

Dat is nog altijd veel en een teken dat er flinke gaten kunnen optreden in de beveiliging. Facebook ontkende dat de hacker in de systemen van het sociale net had kunnen inbreken. Hij zou de logins verkregen hebben door spyware te verspreiden waarop de Facebookers geklikt hadden.

Volgens Facebook was ruim tweederde van de logins op pastebin.com/u/hannibal oud. Bovendien zei Facebook het misbruik van de logins te kunnen traceren als er ineens vanaf andere apparatuur wordt ingelogd. Facebook stuurt dan een melding naar het e-mailadres met de suggestie om het wachtwoord te veranderen. Is ook de e-mail gehackt, dan is er wel een probleem. De logins zijn immers de e-mailadressen.

Dat 'Hannibal' de logins en wachtwoorden publiceerde maakt het voor de slachtoffers eenvoudiger om te zien of ze ertussen staan en of ze maatregelen moeten nemen.

Facebook deed geen mededelingen over het aantal afgesloten inschrijvingen als gevolg van de kraak, maar wees op de links om wachtwoorden te wijzigen en inschrijvingen te herstellen. Begrijpelijk is dat Facebook succes van hackers niet onderstreept, maar daarmee blijft onduidelijk hoe gevaarlijk aanvallen kunnen zijn.

Conclusie: tot het waterhoofd barst

Vooral door toedoen van Microsoft is het computeren jarenlang buitengewoon onveilig geweest. Dat was te wijten aan het enorm hoge marktaandeel. Een lek in Windows raakte vanaf 1995 vrijwel iedereen die z'n pc met het internet verbond. Voor boeven was het prettig om zich op één systeem te kunnen concentreren. Microsoft en de meer dan een miljard trouwe klanten bouwden een enorm 'single point of failure', een zwakste schakel die ook nog eens een dankbaar doelwit voor inbrekers werd.
Zodra het marktaandeel van Apple steeg, bleek besturingssysteem OS niet eens zo veel veiliger, maar de inspanning van het geboefte bleef beperkter dan op Windows waar een klein slagingspromillage van misdaadpogingen al een aardige opbrengst betekende.
Ook de computers op het internet waar we mail, webpagina's etc. ophalen, de webservers, vormen al jaren gatenkaas. Dat komt ook voor een groot deel door zwakte van Windows.

Facebook is veel veiliger dan de eigen computer en dan het grote internet. Vrijwel alle ellende van het open internet, van phishing tot kinderporno, is op Facebook veel minder omvangrijk. Het is mede veilig dankzij de identificatie van deelnemers, die is gevolgd door de identificatie van apparatuur. Die hoge graad van beveiliging is zonder meer de grootste verdienste van Facebook, na de uitmuntende functionaliteit. Misschien is het wel het belangrijkste argument om inderdaad een groot deel van het grote boze internet over te hevelen naar Facebook. De westerse overheden, geheime diensten en (auteurs)rechtenlobby's zullen zich daar in elk geval allerminst tegen verzetten.

Facebook wordt echter zo verschrikkelijk groot dat het risico ook enorm toeneemt. Je kunt al het geld van de wereld in één bank onderbrengen en die het allerbeste beveiligen, er een onneembare vestiging van maken met een beveiliging van 99 procent plus vele negens achter de komma, maar stel dat er één slimmerik komt die een methode bedenkt om een minuscuul gaatje te vinden in de beveiliging? Juist ja, alle centjes pleite!
Dat risico van het single point of failure bouwen we ook met Facebook op.

Veelzeggend was de bekentenis van Facebook tegenover de Ierse privacywaakhond: het compleet ruimen van niet meer gewenste profielen was moeilijk vanwege de vele snippers informatie op verschillende plekken op het eigen computerpark. Bovendien vonden de Ieren dat het met de borging van procedures niet goed zat. Dat vergroot de kans op een inbraak van binnenuit, een risico dat groeit met de toename van het personeel.

Kortom, Facebook is dan wel het veiligste bastion om te internetten, maar tegelijkertijd kwetsbaar. Gaat het fout, dan kan het ook goed fout gaan. Voordeel is dat Facebook snel adequaat kan reageren om haar hele populatie te beschermen. Welke schade dan inmiddels aangericht zal zijn, is een nog niet beantwoorde vraag.

 

 

Gepubliceerd

10 apr 2018
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0